Snow Monkey Formsで添付ファイルを安全に！特定拡張子のみに制限する設定術

WordPress

2024.10.102025.02.12

フォーム添付ファイルが無制限だと危険！WEBデザイナーが知るべき潜在リスク
Snow Monkey Forms専用設定でセキュリティ強化！添付ファイル制限の具体策
1. 1.functions.phpにコード追加：フォーム経由のMIMEタイプを制御する方法
2. 2.アップロード許可拡張子を自在にカスタマイズ！安全なファイル指定術
実践後が安心！フォームファイル制限がもたらすサイトの安定性と管理効率

フォーム添付ファイルが無制限だと危険！WEBデザイナーが知るべき潜在リスク

「クライアントからの問い合わせで、関連資料をフォームから送ってもらいたい」
「ポートフォリオサイトで、制作物のPDFファイルをアップロードしてほしい」

WordPressサイトを運営するWEBデザイナーにとって、お問い合わせフォームにファイル添付機能を設けることは、非常に便利でユーザーフレンドリーな機能に映るでしょう。しかし、その利便性の裏には、見過ごされがちなセキュリティリスクが潜んでいます。

たとえば、メールフォームからZIPファイルや実行ファイル（.exeなど）が無制限にアップロードされてしまうと、不正なプログラムやマルウェアの温床となる可能性を否定できません。

また、サイズの大きな動画ファイルなどがアップロードされ続ければ、サーバー容量を圧迫し、サイト全体のパフォーマンス低下や高額なサーバー費用発生につながることもあります。

あなたの運営するサイトが、意図せずしてセキュリティホールとなったり、余計なコストを背負い込むことになってしまっては大変です。

Snow Monkey Forms専用設定でセキュリティ強化！添付ファイル制限の具体策

WordPressの管理画面では柔軟なファイルアップロードを維持しつつ、Snow Monkey Formsのメールフォームに限り、アップロード可能なファイルの種類を制限し、これらのリスクを回避する方法があります。

これは、不正なファイルアップロードを防ぎ、サイトのセキュリティと安定性を両立させるための、WEBデザイナーとしてぜひ知っておきたい設定術です。

Snow Monkey Formsのファイルアップロード制限は、テーマのfunctions.phpファイルに数行のコードを追加するだけで実現できます。

これにより、意図しないファイル形式がフォーム経由でアップロードされることを防ぎ、サイトの安全性を飛躍的に向上させることが可能です。

1.functions.phpにコード追加：フォーム経由のMIMEタイプを制御する方法

WordPressのデフォルトのアップロード制限を変更するには、upload_mimesフィルターフックを使用します。このフィルターを使うことで、許可するMIMEタイプ（ファイルの拡張子と種類）を細かく指定できます。

以下のコードを、ご利用のテーマのfunctions.phpファイルの一番下の行に追加してください。

// Snow Monkey Formsでのファイルアップロードを特定拡張子に制限
add_filter( 'upload_mimes', function( $mimes ) {
    if ( ! is_admin() && isset( $_POST['_snowmonkey-forms_contact-form'] ) ) { 
        $mimes = array(
            'jpg|jpeg|jpe' => 'image/jpeg',
            'gif'          => 'image/gif',
            'png'          => 'image/png',
            'pdf'          => 'application/pdf',
            'webp'         => 'image/webp', // 近年需要の高いWebPも追加
        );
    }
    return $mimes;
}, 10, 1 );

// Snow Monkey Formsでのファイルアップロードを特定拡張子に制限

add_filter( 'upload_mimes', function( $mimes ) {

if ( ! is_admin() && isset( $_POST['_snowmonkey-forms_contact-form'] ) ) {

$mimes = array(

'jpg|jpeg|jpe' => 'image/jpeg',

'gif' => 'image/gif',

'png' => 'image/png',

'pdf' => 'application/pdf',

'webp' => 'image/webp', // 近年需要の高いWebPも追加

);

}

return $mimes;

}, 10, 1 );

2.アップロード許可拡張子を自在にカスタマイズ！安全なファイル指定術

上記のコード内で、実際にアップロードを許可する拡張子とそのMIMEタイプを指定している箇所は以下の部分です。

$mimes = array(
	'jpg|jpeg|jpe' => 'image/jpeg',
	'gif'          => 'image/gif',
	'png'          => 'image/png',
	'pdf'          => 'application/pdf',
	'webp'         => 'image/webp',
);

$mimes = array(

'jpg|jpeg|jpe' => 'image/jpeg',

'gif' => 'image/gif',

'png' => 'image/png',

'pdf' => 'application/pdf',

'webp' => 'image/webp',

);

ここでは、画像ファイル（JPEG, GIF, PNG, WebP）とPDFファイルのみを許可するように設定しています。

もし、他の特定のファイルを許可したい場合は、カンマで区切って追記してください。例えば、Office系の文書ファイル（Word, Excel）を許可したい場合は、以下のように追加します。

// ...既存のMIMEタイプ...
'doc|docx'     => 'application/msword', // Wordファイル
'xls|xlsx'     => 'application/vnd.ms-excel', // Excelファイル

// ...既存のMIMEタイプ...

'doc|docx' => 'application/msword', // Wordファイル

'xls|xlsx' => 'application/vnd.ms-excel', // Excelファイル

ただし、セキュリティリスクを最小限に抑えるため、本当に必要なファイルのみに限定することを強く推奨します。

実践後が安心！フォームファイル制限がもたらすサイトの安定性と管理効率

このfunctions.phpへのシンプルな追記により、Snow Monkey Formsからのファイルアップロードは、あなたが許可した特定の拡張子のみに制限されます。これにより、以下のようなメリットが得られます。

セキュリティ強化: 不正なスクリプトやマルウェアがフォーム経由でアップロードされるリスクを大幅に軽減できます。
サーバー負荷の軽減: 不要な大容量ファイル（動画など）のアップロードを防ぎ、サーバーのディスク容量圧迫や帯域幅の消費を抑制します。
サイトパフォーマンスの維持: サーバーに余計な負荷がかからないため、サイト全体の表示速度や安定性を保つことができます。
管理の手間削減: 未知のファイル形式がアップロードされて内容確認に手間取る、といった事態を減らせます。

WEBデザイナーとして、クライアントサイトや自身のサイトを安全かつ安定して運営することは、信頼を得る上で不可欠です。この設定を活用し、より堅牢なWordPressサイトを構築しましょう。