ワードプレス、CAPTCHA の代替手段!Cloudflare Turnstile を実装する!

Web運用(サイト構築)
2025.03.02

Cloudflare Turnstile は、Google の reCAPTCHA の代替となる無料の CAPTCHA サービスです。ユーザーの利便性を損なうことなく、スパムやボットからサイトを保護できます。

Turnstile のセットアップ

Cloudflareに登録する必要がありますので、こちらの記事Cloudflareのアカウント作成についてもご参照頂ければと思います。

  1. Cloudflare ダッシュボード にログイン
  2. サイドバーから「Turnstile」を選択
  3. 「ウィジェットを追加」ボタンをクリックします。

Cloudflare Turnstileのウィジェット追加画面での設定手順を説明します。

ウィジェットの追加設定

この画面では、Turnstileの基本設定を行います。

① ウィジェット名を入力

  • **「ウィジェット名」**に分かりやすい名前を入力(例: Login Security や Contact Form Security など)。
  • この名前は管理用なので、後で識別しやすい名前を推奨。

② ホスト名の管理(オプション)

  • **「ホスト名を管理」**で、このウィジェットを適用するドメインを指定できます。右から画面が出現するので「カスタム ホスト名を追加する」から右横の「追加」→下部の「追加」ボタンをクリックで追加が完了します。
  • Cloudflareで管理しているドメインなら、選択可能。
  • **「+ ホスト名の追加」**ボタンをクリックすると、手動でドメインを追加できる。

③ ウィジェットモードの選択

  • 管理対象(デフォルト): Cloudflareが判断してCAPTCHAの代替となるインタラクティブなチェックを表示。
  • 非インタラクティブ: 完全に透明で、ユーザーに何も見えない形で動作。
  • 非表示: 何のUIも表示しないが、チャレンジは実行される。

通常は「管理対象」のままでOK(最もバランスが取れている)。

④ 事前クリアランスの設定

  • 「はい」を選択すると、Cloudflareプロキシ経由で訪問したユーザーの事前クリアランスが有効になり、Webサイト上のセキュリティチェックが最適化、Cloudflareが強めの判定を行い、訪問者を事前に認証します。
  • また、Cloudflareが訪問者を事前に認証し、一定時間内は追加のTurnstile認証を省略します。サイト全体でTurnstileを使う場合に便利ですが、想定外の動作が起こる可能性も否めません。Contact Formのみに適用するなら、「いいえ」で問題ないです。

⑤ 「作成」をクリック

  • すべての設定が完了したら、「作成」ボタンをクリック

ウィジェット作成完了画面の説明

この画面はCloudflare Turnstileのウィジェット作成が完了したことを示しています。次の設定に進むための重要な情報が表示されています。

① 成功メッセージ

  • 「Turnstileウィジェットの作成に成功しました。」 → 正常にウィジェットが作成され、利用可能な状態になっています。

② サイトキーとシークレットキー

  • サイトキーSite Key
    → Webサイト側(クライアント側)でTurnstileを動作させるために使用。
  • シークレットキーSecret Key
    → サーバー側でTurnstileの検証を行うために必要。
    このキーは他人と共有しないよう注意!

Simple Cloudflare Turnstileのインストール

「Simple Cloudflare Turnstile」 は、WordPressにCloudflare Turnstile(Cloudflareが提供するCAPTCHAの代替技術)を簡単に導入できる無料プラグインです。

  1. WordPress管理画面 → 「プラグイン」 → 「新規追加」
  2. 検索ボックスに「Simple Cloudflare Turnstile」と入力
  3. プラグインをインストールし、「有効化」ボタンをクリック

Turnstileの設定

  1. WordPress管理画面 → 「設定」 → 「Cloudflare Turnstile」 に移動
  2. サイトキーとシークレットキーを入力(Cloudflareから取得したもの)
    • サイトキー
    • シークレットキー
  3. 「送信ボタンを無効化」オプションを必要に応じて設定
    • これを有効にすると、Turnstileのチャレンジが完了するまで送信ボタンが無効化される
  4. 「高度な設定」「ホワイトリスト設定」は必要に応じてカスタマイズ
  5. 設定を保存

適用するフォームの選択

  1. 「フォームでTurnstileを有効にする」セクションへスクロール
  2. 適用するフォームを選択
    • WordPressログイン(管理画面のログインページに適用する場合)
    • WordPress登録(ユーザー登録ページに適用する場合)
    • WordPressパスワードリセット(パスワード変更ページに適用する場合)
    • その他のカスタムフォーム(例えば、お問い合わせフォームに適用する場合)
  3. 「Contact Form 7」などのフォームプラグインを使用している場合、対応する項目を有効化
  4. 設定を保存

実装後の確認

  • フォームに Cloudflare Turnstile のウィジェットが表示されているか
  • フォーム送信時に正しく認証されるか
  • エラーが発生した場合は サイトキー・シークレットキー を再確認

まとめ

Cloudflare Turnstile を導入することで、スパム対策が強化され、ユーザーに優しい認証システムを提供できます。プラグインを使う方法と、コードで実装する方法のどちらも試してみてください!

コメント

タイトルとURLをコピーしました