WordPressにおける「reCAPTCHA v3 導入方法」についてお話しします!
私がreCAPTCHAを導入するキッカケになったのは、ConoHa WINGからのお知らせでした。
最近、ウェブサイトのセキュリティがますます重要視される中で、reCAPTCHAは強力な味方となっています。
特にreCAPTCHA v3は、ユーザー体験を損なうことなくボット攻撃からサイトを守るための優れたテクノロジーです。
ですが、初めての方からすれば
reCAPTCHAって何?導入や設定が少し難しいのでは?
とお考えではありませんか。
そこでこの記事では、reCAPTCHA v3の具体的な設定や導入手順を、図解付きで解りやすくお伝えします。
※この記事ではプラグインを使った導入手順になります
この記事を読めば、あなたのWordPressサイトも安全で快適に運営できること間違いなし!
さあ、一緒にreCAPTCHA v3を導入して、サイトのセキュリティを強化していきましょう。
reCAPTCHA v3を導入するための基本知識
GoogleのreCAPTCHAを導入するためには、いくつかの準備と基本知識が重要です。
特に、reCAPTCHAとは何かを理解し、どのバージョンをどのように選ぶかがポイントになります。
またreCAPTCHAにはv3とv2のバージョン違いも存在するので、そのv3とv2の違いについても詳しく説明します。
Google reCAPTCHAとは何かを理解しよう
Google reCAPTCHAは、ウェブサイトのスパムやボットからの攻撃を防ぐためのセキュリティツールです。
ウェブサイトを見ていると、以下のチェックボックスやクイズ(画像選択)の画面を見たことがありませんか。
- 「私はロボットではありません」
- 「信号機が写っている画像を選んでください」
あの機能こそが「reCAPTCHA(リキャプチャ)」です。
簡単に言うと、「あなたが人間か、それとも悪意のあるプログラム(ボット)か」を見分けるためのセキュリティ機能です。
reCAPTCHAがなぜ必要なの?
インターネット上には、人間になりすましてウェブサイトに悪さをする「ボット」がたくさんいます。
- 掲示板やコメント欄に大量のスパム(迷惑な宣伝など)を書き込む
- ユーザーアカウントを不正に作成する
- サイトの情報を根こそぎ自動で抜き取る
- サイトに過剰な負荷をかけてダウンさせる
悪質なボットの活動を防がないと、ウェブサイトはスパムだらけになったり、サービスが使い物にならなくなったりしてしまうからです。
reCAPTCHAは何をしているの?
reCAPTCHAは、あなたが人間かボットかを様々な方法で見分けようとします。
- 昔ながらの方法※reCAPTCHA v1
歪んだ文字を読ませて入力させる(時々見かけますが、これはもうあまり使われません) - 「私はロボットではありません」チェック※reCAPTCHA v2
チェックボックスにチェックを入れるだけで、裏側であなたの操作(マウスの動きなど)を分析して人間か判断します - 画像認証※reCAPTCHA v2
「写っているバスを全て選択してください」のように、ボットには難しい判断を要求します
他にも自転車やバイク、橋など「人なら判断できる」といった画像を選択させて「人間だ」と判断しています - 見えないreCAPTCHA※reCAPTCHA v3
これが最新の主流です
あなたがサイトを閲覧したり操作したりする様子(どんなページを見たか、どんな速さでスクロールしたかなど)を裏側でこっそり分析し、怪しい動きがなければ何も表示せずに「人間だ」と判断してくれます
ユーザーにとっては一番ストレスがない方法ですね
Webサイトのセキュリティ強化
reCAPTCHAは、サイトの安全を守り、品質を保つために非常に重要です。
信頼性が高いサイトはSEOの観点からもよい評価につながります。
- スパム対策
スパムコメントや不正登録を防ぎ、サイトをクリーンに保てます - ユーザー体験の向上
スパムがないきれいなサイトは、利用者にとっても快適です - 信頼性の維持
不正に悪用されない安全なサイトは、Googleからの評価にも良い影響を与える可能性があります
つまり、reCAPTCHAは
あなたのウェブサイトは人間が安心して使える場所ですよ
という状態を保つための、賢い「門番」のような役割を果たしているセキュリティ機能なんです。
reCAPTCHA v3とv2 違いとメリット・デメリット
上記にも書きましたが、reCAPTCHAにはv2とv3の2つのバージョンがあります。
reCAPTCHA v2では、何らかの行動を取る(取らせる)必要があります。
何らかの行動を取る(取らせる)ことで、アクセスしているのが人間かボットかを判別する仕組みです。
reCAPTCHA v3が登場するまで主流として広く利用されていました。
以下にreCAPTCHA v2のメリット・デメリットを挙げます。
メリット
- 明確な人間判定
ユーザーが明示的な操作(チェックボックスのクリックや画像認証)を行うため、人間であることの判定がある程度明確です。
特に画像認証は、機械にとっては難しいタスクであり、ボット排除に有効な手段となります。 - 比較的容易な導入(Checkbox版)
「私はロボットではありません」というチェックボックスを設置するタイプのv2は、他のバージョンと比較して実装が比較的容易な場合があります。 - Invisible reCAPTCHAの選択肢
reCAPTCHA v2には、ユーザーにチェックボックスを見せないInvisible reCAPTCHAというタイプも存在します。
これは、ユーザーの行動からボットの可能性を判断し、疑わしい場合にのみ追加認証を求めるものです。
これにより、通常のユーザー体験を維持しつつセキュリティを確保できます。
デメリット
- ユーザー体験の阻害
チェックボックスのクリックや画像認証といったユーザー側の操作が必要となるため、Webサイトの利用プロセスに一手間が加わります。
これは、ユーザーによっては煩わしく感じられ、サイトからの離脱につながる可能性があります。 - アクセシビリティの問題
画像認証などは、視覚障碍者や高齢者など、一部のユーザーにとって利用が困難な場合があります。
アクセシビリティの観点から課題となることがあります。 - 洗練されたボットによる突破の可能性
技術の進歩により、一部の高度なボットはreCAPTCHA v2の認証を突破する可能性があります。 - 手動によるスパムへの非対応
reCAPTCHA v2はプログラムによる自動化されたアクセス(ボット)を排除することを目的としており、人間が手動で行う悪意のある行為やスパムを防ぐことはできません。 - 認証作業の負担
ユーザーによっては、画像認証の難易度が高いと感じたり、何度も表示されることにストレスを感じたりすることがあります。
recAPTCHA v3ではアクションを必要としません。
reCAPTCHA v3は、あなたがウェブサイト上でどんな風に動いているか(マウスの動かし方や、ページを見る速さなど)を、裏側でこっそり分析しています。
そして、その「人間らしさ」を点数(スコア)として密かに評価しています。
この仕組みのおかげで、あなたが人間らしい動きをしていると判断されれば
特別な操作(チェックボックスへのクリックや画像選択など)を一切行う必要がなく、ウェブサイトの利用を妨げません。
でも、もしボットのような怪しい動きが見られた場合は、アクセスをブロックするなどして、ウェブサイトをしっかり守ってくれるのです。
以下にreCAPTCHA v3のメリット・デメリットを挙げます。
メリット
- ユーザー体験の向上
ユーザーが認証のための操作を行う必要がないため、Webサイトの利用体験がスムーズになります。
フォーム送信などがより煩わしくなくなります。 - 透過的な認証
ユーザーはほとんどの場合、reCAPTCHAがバックグラウンドで動作していることに気づきません。
これにより、離脱率の低下が期待できます。 - 機械学習による精度の向上
ユーザーの行動データを学習することで、ボット判定の精度が時間とともに向上します。
多くのWebサイトに導入され、利用されるほど、その判定能力は高まります。 - 柔軟な対応が可能
0.0(ボットの可能性が非常に高い)から1.0(人間の可能性が非常に高い)までのスコアで判定されるため、サイト運営者はこのスコアに基づいて、特定のしきい値を設定し、疑わしいアクセスに対して追加認証を求めたり、アクセスをブロックしたりするなど、柔軟な対応を実装できます。 - 広範な保護
特定のページだけでなく、サイト全体のユーザー行動を分析することで、より洗練されたボットによる攻撃にも対応できる可能性があります。
デメリット
- 誤判定の可能性
人間のユーザーがボットと誤判定されたり、逆に高度なボットが人間と判定されたりする「誤検知」が発生する可能性があります。
これにより、正当なユーザーの利便性を損ねたり、スパム пропуска許してしまうことがあります。 - しきい値設定の難しさ
適切なスコアのしきい値を設定することが重要ですが、この設定が難しく、サイトの特性や目標に応じて調整が必要です。
設定を誤ると、誤判定が多く発生する原因となります。 - サイトの表示速度への影響
reCAPTCHA v3を導入することで、ページの読み込み速度に影響が出る可能性があります。
特にJavaScriptの読み込みや実行に時間がかかる場合、サイトパフォーマンスの低下を招くことがあります。 - 手動によるスパムへの非対応
reCAPTCHA v3は機械的なボットによるアクセスには強いですが、人間が手動で行う悪意のある操作やスパム行為を防ぐことはできません。 - プライバシーに関する懸念
ユーザーの行動を継続的に分析し、そのデータをGoogleに送信するため、ユーザーによってはプライバシーに関する懸念を抱く可能性があります。
特に、Googleアカウントへのログイン状況やCookie情報なども判定に使用される点が指摘されています。 - 継続的な監視と調整の必要性
導入して終わりではなく、誤判定がないか、期待通りの効果が得られているかなどを継続的に監視し、必要に応じて設定を調整する必要があります。
reCAPTCHA v2とv3の違いは
- 何等かの行動をとる(取らせる)ことで人間かボットかを判断するのがreCAPTCHA v2
- 裏でこっそり分析して判断し、サイトを守るのがreCAPTCHA v3
そうなると、どちらを選べばいいのかですが【メリット・デメリット】などから、導入するバージョンは変わると考えてください。
このように選ぶ際は、ユーザーの利便性やサイトの要件を考慮し、あなたのサイトに最適なバージョンを選ぶことが重要です。
WordPressでreCAPTCHA v3 導入準備編
reCAPTCHA v3(またはv2)を導入するにあたり必要なものは以下になります。
WordPressでreCAPTCHA v3(またはv2)を設定するにはプラグインを使えば非常に簡単です。
はじめての方にもわかりやすく図解付きでお伝えしていくので、記事を参考にして実際に導入してみましょう。
Googleアカウント取得(アカウント取得していない方)
reCAPTCHAのAPIキーを取得する前に、Googleアカウントのない方は、アカウント取得から始めてください。
取得済の方はここをクリックして次の項目へ
取得する理由は、Google reCAPTCHAのAPIキーを取得するのに必要となるからです。
Googleアカウント公式HPからアカウント作成をクリックします
アカウント作成をクリックした先は以下の画面になるので、必要事項を入力してアカウントを取得してください。
※この記事では取得方法の解説は省略します
Google reCAPTCHA v3 サイトキーとシークレットキーを取得
ここからは、Googleアカウントが取得されている前提で解説していきます。
まずはGoogle reCAPTCHA 登録画面にアクセスします
アクセスすると以下の画面になります
次に各項目を入力していきましょう。
各項目を入力
上から順番に(①~④)必要事項を入力していきます。
入力する内容は簡単なので以下を参考にしてください。
① ラベル
わかりやすい名前を付けてください。
登録したサイトを識別できる名前が望ましいです(サイト名やドメインなど)
※特に複数のサイトを登録する場合
② reCAPTCHA タイプ
今回はスコアベース(v3)を選択。
reCAPTCHA v2を導入するなら チャレンジ(v2)を選択
③ ドメイン
reCAPTCHA v3(またはv2)を導入したいサイトのドメインを入力。
④ Google Cloud Platform
はじめてGoogle Cloudを使用するなら、プロジェクト名が入力されているのでそのままでも大丈夫です。
以前に使用していたなら、そのときのプロジェクト名が入力されています。
①~④まで入力が終われば最後に reCAPTCHA 利用条件に同意する にチェックを入れて 送信 をクリック。
これでreCAPTCHA v3の『サイトキーとシークレットキー』が発行されます。
reCAPTCHA v2で進めてきたならv2用の『サイトキーとシークレットキー』が発行されます
アラートをオーナーに送信する の部分はチェックしても、しなくてもOKです
※あとから管理画面で選択できます
送信後、画面が切り替わってサイトキーとシークレットキーが表示されます。
取得したサイトキーとシークレットキーはメモ帳にでもコピペしといてください。
※後にプラグインの設定に必要になります。
プラグインをインストール
プラグインをインストールして導入準備は完了です。
この記事では【reCaptcha by BestWebSoft】と言うプラグインをインストールします。
- ① プラグインの検索窓に reCaptcha by BestWebSoft と入力し検索
- ② reCaptcha by BestWebSoftを見つけたら 今すぐインストール をクリック
インストールできたら有効化をクリックして、インストール完了です。
ちょっと余談ですが
当ブログではお問い合わせをGoogleフォームで作成しており、フォームプラグインを使っておりません。
よって、別途プラグインをインストールする形となりました。
以下のプラグインをインストールされている方は、プラグインの設定からreCAPTCHAを登録できますよ。
ContactForm7やWP Membersとの連携はメジャーで、解説されているサイトも多くあります
次はいよいよインストールした『reCaptcha by BestWebSoft』の設定です。
WordPressでreCAPTCHA v3 導入設定編
プラグイン『reCaptcha by BestWebSoft』の設定は簡単にできます。
取得したAPIキーをreCaptcha by BestWebSoftの設定で登録、必要事項にチェックして保存すれば完了です。
それではプラグインの設定をお伝えしていきますね
プラグイン『reCaptcha by BestWebSoft』の設定
- reCaptcha バージョン バージョン3を選択
- 先ほど取得、コピペしたサイトキーとシークレットキーを入力
- reCaptchaをテスト をクリック
reCaptchaをテストをクリックすると「試験確認書を提出してください」と出ます。
そのままテスト検証が終わるのを待っていてください。
「検証は正常に完了しました」となればOKです。
- reCaptchaを有効化 WordPressデフォルトのままでもOKです(必要と思う場所はチェックを入れておきましょう)
- reCaptchaドメイン そのままでOKです
- Weekdays and Hours ここもそのままでOKです
- reCaptcha バッジを非表示 チェックOFFの状態でOK
※非表示にする場合、プライバシーポリシーにreCAPTCHAを使用している旨を記載します - スコア デフォルトの0.5のままでOKです
※様子を見て数値の変更をおこないます - reCaptchaを非表示にする 全てチェックOFFの状態でOK
- 許可リスト通知 「許可リストに登録されています」のままでOK
- 高度な保護 チェックOFFの状態でOK
変更内容を保存をクリックして完了です。
お疲れ様です
最後にreCAPTCHA v3の導入と設定ができているか、あなたのサイトを表示して確認しましょう。
画面向かって右下にreCAPTCHAのアイコンが表示されていれば導入成功です。
「私はロボットではありません」のチェック表示されているのが、reCAPTCHA v2で導入した画面になります。
上記画像の設定ではチェックが入るまで、ログインボタンが押せない仕様となっています(reCAPTCHA v2)
reCAPTCHA導入時の注意点
reCAPTCHAは、ウェブサイトをスパムや悪質なボットから保護するための強力なツールですが、導入時にはいくつかの点に注意が必要です。
- reCAPTCHA v2のメリット・デメリット
- reCAPTCHA v3のメリット・デメリット
適切に設定しないと、ユーザー体験を損ねたり、期待した効果が得られなかったりする可能性があります。
以下に、注意すべきポイントを挙げます。
誤判定される可能性
reCAPTCHA v3では、スコアリングシステムによってユーザーが判断されていますが、誤判定が生じることもあります。
例えば、しきい値の設定では低すぎるとbotを検知できないし、高ければユーザー判定が正常に作動しない(ブロックされる)ことになります。
また何度も同じような操作を続けるのも、botと判断されてしまう可能性があります。
なので「100%防げるものではない」ということを覚えておきましょう。
誤判定を減らすためには、使用状況を定期的に確認し、適切な設定を行うことが重要なのです。
ユーザー体験への配慮
reCAPTCHAは、ユーザーに「私はロボットではありません」などのチェックボックスをクリックさせたり、画像選択を求めたりすることで、人間であることを確認します。
※reCAPTCHA v2
これが頻繁すぎたり、難しすぎたりすると、ユーザーにストレスを与え、サイトからの離脱につながる可能性があります。
頻繁に出てくることで、あなたも煩わしいと感じたことがありませんか?
プライバシーポリシーへの明記
reCAPTCHAは、ユーザーのIPアドレス、ブラウザ情報、閲覧履歴などを収集して、ボットかどうかを判断します。
これらのデータ収集は、プライバシーに関わるため、ウェブサイトのプライバシーポリシーに必ず明記する必要があります。
「当サイトではreCAPTCHAを使用しており、ユーザーのIPアドレスやブラウザ情報などが収集される場合があります。」といった旨の記述を、プライバシーポリシーに追記しましょう。Googleのプライバシーポリシーへのリンクも記載すると、より丁寧です。
正しく機能しているかのテストと監視
reCAPTCHAを導入したら、実際にスパムが減ったか、正規のユーザーが問題なく利用できているかを確認することが重要です。
設定ミスがあると、正しく機能しない場合があります。
導入後、ご自身で何度かフォームの送信テストを行い、reCAPTCHAが正常に動作しているか確認しましょう。
ウェブサイトのアクセスログやフォームの送信履歴などを定期的に確認し、スパムの状況に変化がないか監視しましょう。
不審なアクティビティが続く場合は、reCAPTCHAの設定を見直す必要があるかもしれません。
上記の注意点を踏まえることで、reCAPTCHAを効果的に導入し、ユーザー体験を損なうことなくウェブサイトを保護することができます。
まとめ
今回の記事はreCAPTCHAの導入方法をメインに、reCAPTCHAについてお伝えしました。
reCAPTCHAの導入から設定手順について簡単におさらいしておきましょう。
記事のまとめ
reCAPTCHAはウェブサイトをスパムや悪質なボットから保護するための強力なツールです。
お問合せやコメントフォームから、悪質なスパムに悩まされているなら導入を検討してください。
無料で利用できますし導入手順も当記事を参考にすれば、簡単にスパム対策ができます。
そしてサイトのセキュリティ強化にもつながります。
おすすめ記事
ランキングに参加中 もしよろしければ【にほんブログ村】【人気ブログランキング】【FC2ブログランキング】【ブログサークル】の応援クリックお願いします。
にほんブログ村
人気ブログランキング
