WordPressをGoogle reCAPTCHAで守ろう!Akismet代替手段でbotスパムコメント対策!

記事内に広告が含まれていることがあります。
WordPress Google reCAPTCHA

WordPressサイトを運営する上で切っても切り離せないのがスパムコメント

スパムコメントの多くはbotボットという自動プログラムを介して行われ、単純に宣伝目的のものから悪意のあるアダルトサイトやフィッシングサイトへの誘導等多岐に渡ります。

スパムコメントを放置する事で自分のサイトそのものへの悪影響もありますが、もし読者の方がそこへアクセスしてしまうような事があれば自分の信頼も失墜してしまいますよね。

そこでスパムコメントはもちろん、botによる総当たり攻撃ブルートフォースアタックのような不正ログイン攻撃も防ぐ事ができるGoogleグーグル reCAPTCHAリキャプチャーをWordPressに取り入れておきましょう!

2024年4月1日からGoogle reCAPTHAのリクエスト無料枠が100万→1万に大幅削減されることが発表されました。

それに伴い、現在当サイトでは同じようなbot判定サービスであるCloudflare Turnstileをおすすめしています。

Cloudflare Turnstileに関する詳細・WordPressサイトへの実装方法は「Google reCAPTHAの無料枠大幅減に伴いCloudflare Turnstileに乗り換え」で解説しています。

スポンサーリンク
スポンサーリンク

WordPressサイトのbot対策

スパム対策として有名なAkismet。

WordPressのbot対策として有名なプラグインがAkismetアキスメット

Akismetはスパムコメント対策として多くのサイトでおすすめプラグインとして推奨されています。

もちろんAkismetも優秀なんですが、何よりも動作がめちゃくちゃ重いんですよね・・・。

また、Akismetが守ってくれるのはあくまでコメントフォームのみ、WordPress管理画面へのログインフォーム等は守ってくれません(Contact Form 7のように対応していればプラグインも保護対象になります)。

そこで代替手段どころかパワーアップして対策できるのがGoogle reCAPTCHAです。

Google reCAPTCHAとは?

Google reCAPTCHAは言うまでもなくあのGoogleが提供するサービスで、ユーザーの行動が不審な場合botであると判定してくれるシステムです。

今までv1/v2/v3と公開されてきていて、現在はv2とv3が提供されておりv3が最新です。

v2はユーザーがチェックをつけたり画像選択する必要がありましたが、v3になるとユーザーは何もする必要がありません。

画面上の動きやログイン済みのGoogleアカウント等の挙動を全てスコアリングし一定スコアを下回ればbotであると判定するとの事ですが、ほとんどの普通のユーザーは問題無く認証されます。

不審な動きをするようなbotだけを効率よく弾いてくれるので、安全性を保ったまま利便性を向上させる事ができます。

けんちゃん
けんちゃん

実際にはスコアが低いとv3でも画像認証が出てくるらしいけど、ぶっちゃけ1回も見たことありません・・・笑。

Google reCAPTCHAでできること

Google reCAPTCHAはとても汎用性が高く、Akismetの場合基本的にコメントフォームのみですが様々なフォームを守ることができます。

  • コメントフォーム
  • 管理画面へのログインフォーム
  • ユーザー新規登録フォーム
  • Contact Form 7(問い合わせプラグイン)フォーム
  • WooCommerce(ECサイトプラグイン)フォーム

これは一例で、Google reCAPTCHAの設置はプラグインを使用しますが組み合わせるプラグインによって様々なフォームに設置する事が可能。

Google reCAPTCHAの使用条件

Google reCAPTCHAは全ての機能が無料で利用でき、専用サイトでレポートの閲覧や設定変更等が行えます。

利用にはGoogleアカウントが必要ですが、もちろん現在利用しているGoogleアカウントをそのまま利用可能。

特に追加の設定無く誰でも使える点はさすがGoogleですね!

もちろんGoogle reCAPTCHA設定ページは全て日本語対応なので簡単に設定が行えます。

WordPressでGoogle reCAPTCHAを使えるプラグイン

先述したように、Google reCAPTCHAをWordPressへ導入するためには基本的にプラグインを使用します。

Google reCAPTCHAを導入する為のプラグインは色々種類がありますので比較してみましょう!

Invisible reCaptcha for WordPress

Invisible reCaptcha for WordPress
Google reCAPTCHA対応プラグインの定番、迷ったらInvisible reCaptcha for WordPressでOK。

Invisibleインビシブル reCaptchaリキャプチャー forフォー WordPressワードプレス非常に簡素ながら様々なフォームに対応したプラグインです。

  • コメント
  • 管理画面へのログイン
  • ユーザー新規登録
  • パスワード再発行
  • Contact Form 7
  • WooCommerce
  • UltraCommunity
  • BuddyPress
  • Gravity Forms

非常に多彩なフォームに対応しており、とりあえずこれを入れておけばOKというプラグインです。

v2はもちろん最新のv3も対応しており、Google reCAPTCHAのバッジの表示もプラグイン内で編集できる為汎用性が高い点も○。

とりあえず迷ったらInvisible reCaptcha for WordPressを使っておけば良いと思います。

Advanced noCaptcha & invisible captcha Settings

Advanced noCaptcha & invisible captcha Settings
Advanced noCaptcha & invisible captcha Settingsはシンプルに設定でき、ショートコードの利用もできる。

Advancedアドバンスド noCaptchaノーキャプチャー & invisibleインビシブル captchaキャプチャー SettingsセッティングスもInvisible reCaptcha for WordPressと同じく様々なフォームに対してreCAPTCHAを実装できるプラグインです。

ショートコードを使用して任意の場所にバッジを表示する事が可能で、ログイン済みのユーザーにはreCAPTCHAを非表示にしたり任意のエラーメッセージを表示させたりする事が可能。

通常WordPressをブログとして使いたい場合はInvisible reCaptcha for WordPressで十分ですが、もっともっと自分でカスタマイズして使うという場合には一つの選択肢になるかも知れません!

reCaptcha by BestWebSoft

reCaptcha by BestWebSoft
様々な機能を駆使したいならreCaptcha by BestWebSoft。

reCaptchaリキャプチャー byバイ BestWebSoftベストウェブソフトはGoogle reCAPTCHAを導入する上で最も高機能なプラグインの一つです。

v2、v3に対応しプラグイン内でCSS/PHP/JavaScriptのカスタマイズが可能。

ただしContact Form 7や様々なプラグインのフォームに対応させるには年間$17.95(執筆時の日本円でおよそ2,000円)のサブスクリプションサービス(Proプラン)に課金する必要があります(1ドメイン/$179.5の買い切り型もあり)。

Proプランの場合最優先でサポートを受けられたりしますが、基本的な機能に限定すれば無料プラグインで十分かなというのが僕の感想。

様々カスタマイズして使いたい!という訳で無ければ、先述した2つで十分だと思います。

miniOrange 2 Factor Authentication

miniOrange 2 Factor Authentication
非常に多機能なセキュリティ統合プラグインminiOrange 2 Factor Authentication。

miniOrangeミニオレンジ 2トゥー Factorファクター Authenticationオーセンティケーション高機能な統合型セキュリティプラグインです。

様々なセキュリティ対策の一つとしてGoogle reCAPTCHAが対応していますが、残念な事に現行バージョンではv2のみの対応でv3に非対応。

v2だとユーザーに画像選択や「ロボットではありません」のチェックという手間を強いる事になるのでこの点は非常に残念です。

また、保護対象はログインフォームと新規ユーザー登録フォームのみでコメント欄やContact Form 7等の保護は行なえません。

コメント欄を使用しない、Contact Form 7もGoogleフォーム等に置き換えて使用しないというサイトではプラグインを統合して1つ減らせる事になるので十分使う価値がありますね!

けんちゃん
けんちゃん

ちなみに今製作者さんにコンタクトを取っていて、v3対応予定を聞いているところです!製作者も非常に前向きなので近い将来対応して下さるかも・・・?

Wordfence Security

Wordfence Security
セキュリティ統合プラグインのWordfence Security。

Wordfenceワードフェンス Securityセキュリティも miniOrange 2 Factor Authentication同様の統合型セキュリティプラグインです。

miniOrangeと同じくログインフォームや登録フォームのみですが、こちらはv3に対応しています!

何点以上で人間とみなすか(このスコアより上じゃないと合格できない)というしきい値の変更が簡単に行なえる点が特徴。

けんちゃん
けんちゃん

多機能統合型セキュリティプラグインなので他のセキュリティ対策もばっちりできるね!

Google reCAPTCHAの導入

それでは実際にGoogle reCAPTCHAを導入していきましょう!

まずはGoogle reCAPTCHAを使えるように設定します。

既にGoogleアカウントを所持しており、ログイン済みの前提で解説します。
Googleアカウントをまだお持ちではない方はまずGoogleアカウントの発行を行なって下さい。

まずはGoogle reCAPTCHAの登録を行います、以下のボタンから公式ページを開いて下さい。

Google reCAPTCHA - 公式サイト
Google reCAPTCHA公式サイトにアクセスし、右上のボタンから設定を開始する。

公式サイトにアクセスしたら、右上のAdmin Consoleをクリックします。

Google reCAPTCHAの設定入力
上から順に入力していく。
新しいサイトを登録する
  • Step.1
    ラベル

    サイト名、ドメイン等なんでも良いのでどのサイトか分かるように名前をつける

  • Step.2
    reCAPTCHAタイプ

    v3が使える環境ならv3、プラグイン等の関係でv3が使えない場合はv2を選択

  • Step.3
    ドメイン

    xxx.comやxxx.netのようにドメインを入力、www等のサブドメインは入力不要

    また、http://やhttps://のような通信プロトコルも入力不要

  • Step.4
    reCAPTCHA利用条件に同意する

    チェックを入れる

内容は後でも修正・編集が行えるので、最低限ドメインだけ間違わなければOK。

reCAPTCHAタイプだけは後から変更ができず、v2→v3等バージョンが変わる場合は作り直しになります。

Google reCAPTCHA - 登録完了
サイトキーとシークレットキーが発行される。

これでサイトキーとシークレットキーが発行されました!

この2つのキーはプラグイン側へ入力する必要があるので、このページを開いておいたままWordPress側で作業を継続しましょう。

AMP対応サイトの場合、「設定に移動」をクリックして「このキーがAMPページで動作するようにする」にチェックを入れて保存して下さい。

WordPressプラグインでGoogle reCAPTCHAを導入

続いてWordPressにGoogle reCAPTCHAを導入して行きます。

今回は非常にシンプルで動作が軽快、かつ様々なフォームに対応しているInvisible reCaptcha for WordPressを使って導入していきましょう!

アイコンを参考に、同じものをインストールする。

まずはプラグイン公式サイトからダウンロードしてインストール、もしくはWordPress上のプラグイン新規追加ページでInvisible reCaptcha for WordPressを検索してインストールします。

インストールしたら有効化して使えるようにしておきましょう、設定が完了するまでは稼働しないので安心して有効化しておいてください笑。

既に何らかのGoogle reCAPTCHAプラグインを導入している場合

既にContact Form 7のインテグレーション機能等、何らかのプラグインを使ってGoogle reCAPTCHAを導入している場合有効化している状態だと二重にGoogle reCAPTCHAが導入される事になってしまいます。

複数のプラグインを使ってGoogle reCAPTCHAが競合しログインが出来なくなるケースが過去報告されているので、もし既に導入している場合は先にそちらを無効化してから進めて下さい。

Google reCAPTCHAの設置

WordPressメニューから設定ページを開きます。

Invisible reCaptcha for WordPressの設定ページ

左側のWordPressメニュー > 設定 > Invisible reCaptcha

サイトキーとシークレットキーを入力する。

設定ページを開き最初に行う事は先程発行したGoogle reCAPTCHAのサイトキーとシークレットキーを入力する事。

間違わないようにコピペしましょう!

両方とも入力したらひとまず「変更を保存」ボタンで確定させます。

保護するフォームの選択

保護するフォームをチェックする。

続いてどのフォームを保護するか決めて設定を行います。

WordPressタブを開くと全部で4つ選択できるので、保護したいフォームにチェックを入れていきましょう。

ログインフォームはよく見るあのIDやメールアドレスとパスワードを入力するフォームです。

新規登録はWordPressのユーザー登録を受け付けている(未ログイン状態で新規ユーザー作成ができる)場合のフォームです(通常の個人ブログサイトの場合は大半オフになっていると思います)。

コメントを受け付けている場合はコメントフォームを、パスワード再発行フォームも同様に保護するべきでしょう。

けんちゃん
けんちゃん

ログインフォームとパスワード再発行フォームは必須!新規登録やコメントを受け付けている場合はこの2つもチェックしておこう!

WordPressへのGoogle reCAPTCHA実装確認

これで最低限の設定ができました!

試しに一度ログアウトして、ログインフォームを見てみましょう!

Google reCAPTCHAのバッヂが表示されていればOK。

右下にGoogle reCAPTCHAのマーク(バッヂ)が表示されていればOKです!

もし表示されていなければ以下のような可能性が考えられます。

考えられる不具合
  • サイトキー、シークレットキーが間違っている
  • Google reCAPTCHA登録時のドメインが間違っている

Google reCAPTCHAバッヂの表示位置変更

このままでも問題無く機能するんですが、このGoogle reCAPTCHAのバッヂ位置は変更ができます。

  • 右下(Bottom Right)
  • 左下(Bottom Left)
  • インライン(Inline)

変更をしたい場合はSettingsの中のBadge Positionから変更が可能です。

Google reCAPTCHAを右下に表示。
右下
Google reCAPTCHAを左下に表示。
左下
Google reCAPTCHAをインラインに表示。
インライン

正直表示の問題なのでどれでも良いんですが、インライン以外の2つはコメントフォームで他のバナー等とかぶってしまうことがあり僕はインラインを好んで使っています。

使っているテーマやプラグイン、カスタマイズ状況によって最適な設置場所は変わるので、設定後一度ご自身のサイトを表示して決める事をおすすめします!

Contact Form 7にGoogle reCAPTCHAを設置

WordPressのお問い合わせプラグインといえばContact Form 7が非常に有名、Invisible reCaptcha for WordPressは標準でContact Form 7へのGoogle reCAPTCHAの設置に対応しています。

Contact Form 7そのものがGoogle reCAPTCHAに対応はしているんですが、Contact Form 7のGoogle reCAPTCHA設定は全く関係の無いトップページ等サイト全体にバッヂを表示させてしまい使い勝手がよくありません。

もし現在Contact Form 7のGoogle reCAPTCHAオプション(インテグレーション)を使っている場合、合わせてInvisible reCaptcha for WordPressで設定をしContact Form 7側の設定は解除する事をおすすめします。

Contact FormsタブのContact Form 7用チェックボックスにチェックをつけて保存。

Contact Form 7に対応するのは設定ページのContact Formsタブ内、Enable Protection for Contact Form 7にチェックをつければOK。

バッヂの非表示

Google reCAPTCHAのバッヂ、実はこれ非表示にする事ができます。

どうしてもサイトデザインに合わないという場合は非表示にできますがサイト内に以下のHTMLコードを埋め込む必要があります。

Google reCAPTCHA非表示時の掲載HTML
This site is protected by reCAPTCHA and the Google
    <a href="https://policies.google.com/privacy">Privacy Policy</a> and
    <a href="https://policies.google.com/terms">Terms of Service</a> apply.

Google reCAPTCHA丸ごと非表示にした場合もプライバシーポリシー等は表示しなければならない点は注意しましょう。

また、非表示はCSSで行います。

バッヂ非表示用CSS
.grecaptcha-badge { visibility: hidden; }

このCSSをInvisible reCaptcha for WordPress設定ページ内の「Badge Custom CSS」欄に入力すればOK。

CSSでは非表示としてdisplay: hidden;という方法もありますが、この場合はGoogle reCAPTCHA丸ごと機能しなくなり設置の意味をなさなくなってしまいます。

詳しくはGoogle reCAPTCHAサポートページをご一読ください。

けんちゃん
けんちゃん

基本は表示させておいた方が「このサイトはセキュリティ対策をしているな」と思わせることができるかも知れないし、表示しておいた方が良いかな!

WordPressをGoogle reCAPTCHAで守ろう! まとめ

Google reCAPTCHAは非常に簡単なシステム、導入も実績あるプラグインで誰でも簡単に実装できます。

Akismetに比べて遥かに軽量でありながら、そもそもスパムコメントやメールを送信させないシステム。

もちろん今後もGoogleの開発が期待できますし、様々なサイトで利用されているのでフィードバックも膨大と信頼性も十分、まさに申し分ないと言えます。

非常に簡単に導入できるのでAkismetから乗り換えたい、または今の所なんの対策もしてない!なんて人は是非導入してみてください!

WordPressに2段階認証を導入しよう!プラグインの設定・導入手順を徹底解説!
WordPressのシェア率はざっくり3割強、つまりリリースされるWebサイトの3つに1つはWordPressが採用されている事になります。 WordPressは多機能でテーマを切り替えるだけで簡単にWebサイトを変える事ができる為非常に人...
Google Authenticatorで2段階認証を導入!不正アクセスを可能な限り遮断
インターネットバンキングが当たり前になり、近年では実店舗が無く基本的にインターネットで全てが完結するいわゆるネット銀行が増えてきました。 更には仮想通貨のように全ての取り引きがネット上という価値が当たり前になり、それと合わせて露呈したのがセ...
ConoHa VPS+KUSANAGIで始めるWordPress講座!初心者でもステップ形式で導入が可能です!KUSANAGI managerの使い方からコマンドまで全部解説
WordPress高速化エンジンKUSANAGIは、ConoHa VPSと組み合わせて使う事で初心者の方でも比較的簡単に導入が可能です。KUSANAGI managerを使った登録方法から設定やWordPressの設定まで全て解説!日本一分かりやすいKUSANAGIの始め方です!
もうFTPは時代遅れ!SFTP対応のFTPクライアントソフトおすすめ3選を徹底比較
Webサイト作成時のファイル転送手段として、未だにFTPエフティーピーが紹介され使っている方も多いと思います。 しかしFTPはもう過去の技術、FTP通信を現在も行っているというのは情報を盗んで下さいと言っているようなものです。 今すぐにFT...
スポンサーリンク
Web
スポンサーリンク
\この記事いいね!と思ったらシェアしてね/
スポンサーリンク
L'7 Records

コメント