WordPressの問い合わせフォームと言えば
Contact Form 7が有名なんですが、
インフラ屋の私からするとちょっとざわざわするんですよね。
このブログではforumrun(無料)を使っていますが、
WordPressのプライベートカンパニーは
Contact Form 7を使っていました。
セキュリティが恐い
Contact Form 7を使って1年。
特に大きな問題はありませんでした。
※問い合わせもありませんでしたが
2026年現在、問合せフォームを悪用した
不正メールは主流ではありませんが、
それでも問合せフォームは基本的に狙われやすいです。
最新の状態にしてReCAPCHAを使っていれば、
まあ基本的に大丈夫ではありますが、
職業柄気になるんですよね。
プラグインがあるだけで、フォームを
閉じていても悪用される場合があります。
アップデートがめんどくさい
Contact Form 7はWordPressのプラグインです。
なのでアップデートしないといけません。
そりゃそこそこのPVがあれば、見た目も整えて
Contact Form 7でいいと思うんですが、
そんなに運用コストはかけたくないものです。
Contact Form 7はスパムスコアが高くなりやすい?
Contact Form 7は「スパムスコアが高くなりやすい構造」を持っています。
ただしこれは、
CF7が危険だからではありません。
きっちり設定されないまま使われることが多いのが理由です。
CF7は「最低限しかやらない」
Contact Form 7は、
フォームを作る
メールを送る
だけのシンプルなプラグインです。
- SPFを意識しない
- DKIMを付けない
- DMARCも見ない
メールの信頼性は完全にサーバー任せ。
スパムスコアが上がりやすい典型パターン
Fromをユーザー入力にしている
PHP mail() を初期状態で使用
DKIMなし
SPFが雑 or 未設定
これだけで、
「なりすましっぽいメール」完成。
「ちゃんとやれば大丈夫」は本当。でも…
From固定・SPF・DKIM・DMARCを
正しく揃えれば、CF7でも問題なく届きます。
ただし現実には、
そこまで出来ている人はかなり少ない
フォーム設定、DNS、サーバー。
全部またぐ知識が必要だからです。
これはContact Form 7特有の欠陥というより、
「WordPressフォームの王道ゆえに、雑に使われやすい」ことが原因です。
Gooleフォームでいいんじゃない
正直なところ、
小規模サイトの問い合わせフォームなら
Googleフォームで十分じゃないかと思っています。
見た目は味気ないし、
「ちゃんとしたサイト感」は薄れるかもしれません。
でも、運用とセキュリティを考えると、
この割り切りはかなり合理的です。
Contact Form 7のセキュリティリスク
Contact Form 7自体が危険、という話ではありません。
ただし 責任の所在は完全に自分 になります。
- WordPress本体の脆弱性
- プラグインのアップデート遅延
- reCAPTCHA設定ミス
- メール送信周りの設定不備
これらが重なると、
ある日突然、
自分のサーバーが「踏み台」になる
という未来がゼロではありません。
確率は低い。
でも、ゼロではない。
インフラ屋としては、
この「ゼロじゃない」が気持ち悪い。
Googleフォームのセキュリティの考え方
一方でGoogleフォームの場合、
セキュリティ設計は Google側の責任 です。
- インフラ
- 不正アクセス対策
- スパム対策
- 可用性
全部、
世界最大級のインフラ屋 が面倒を見てくれる。
自分がやることは、
URLを貼る
通知を受け取る
それだけ。
脆弱性情報を追いかける必要もないし、
アップデートに神経質になる必要もありません。
違いは誰が責任を持つか
CF7 → 自分
Googleフォーム → Google
この違いをどう捉えるか。
個人サイトなら「責任を手放す」選択もある
問い合わせが月に何件も来るなら、CF7でしっかり作り込む価値はあります。
でも、ほとんど問い合わせが来ない
「今の自分のサイト規模に合っているか」
で選びたい。
私は今、
Googleフォームのほうが安心感がある。
それだけの話です。
本気ならforumrun
メールでの問い合わせが
サイト運営におけるメインの窓口になっていて、
しかもそれなりに数があるなら、
formrunという選択肢もあります。
私はブログでは、
無料で使える範囲ですが、
実際に使ってみて「よく出来ているな」と感じています。
フォーム作成から、
問い合わせの管理、やり取りまでが一続きで、
問い合わせ対応を前提に設計されているのが分かります。
formrunが向いている人
問い合わせが定常的に来る
メール対応が業務の一部になっている
対応の属人化を減らしたい
セキュリティや可用性を自分で抱えたくない
要するに、
問い合わせ対応を
「ついでの作業」ではなく
「ちゃんとした業務」として扱いたい人。
ただし、正直に言うと高い
ここは正直に書きます。
formrun、
安くはありません。
個人ブログで、
月に数件の問い合わせ
ほとんど使っていない
この状態だと、
完全にオーバースペックです。
便利なのは確かですが、
合う合わないは規模と重要度によります。
フォーム作成から問い合わせ対応・顧客管理まで【formrun】 
主なコンタクトフォームサービス
| サービス | 運用責任 | セキュリティの考え方 | コスト感 | 向いている人 |
|---|---|---|---|---|
| Contact Form 7 | 自分 | 自分で守る(更新・設定・監視が前提) | 無料 | WordPressをきちんと管理できる人 |
| Googleフォーム | Googleに任せる(個人用途なら割り切りやすい) | 無料 | 個人ブログ・問い合わせ少なめ | |
| forumrun | サービス側 | 専用設計に任せる(業務運用向け) | 高め | 問い合わせが業務レベルで発生する |
| Typeform / Jotform | サービス側 | SaaSに任せる(入力体験やデザイン重視) | 中〜高 | 体験・見た目を重視したい |
| HubSpot Forms | サービス側 | CRM前提(フォームから営業・マーケまでつなぐ) | 無料〜 | 営業・マーケ連携したい |
最後に:不正メールめっちゃ多い
WordPressとContact Form 7は、
長く使われてきた定番の組み合わせです。
ですが、
メールを取り巻く環境は、最近劇的に厳しくなっています。
そもそも届かないと意味がありません。
今ではWordPress以外の選択肢もたくさんあります。
サービス内容によってはこういった心配が不要なサービスもあります。
WordPressもこのご時世どうかな?
と思うところもありますが、安価に複数サイト運営出来るのは
レンタルサーバー×WordPressである事は間違いありません。
どのサーバーを選ぶかは好みですが、
老舗を選んでおく、という考え方もあります。
メールのセキュリティや到達率の
参考になれば幸いです。
お読み頂きありがとうございました!
