Invisible reCaptcha for WordPressの設定方法【Google reCATCHA】

今回の疑問点

不正ログイン対策をGoogle reCATCHAでするにはどうすればいい？
Google reCATCHAは、Akismet Anti-Spamよりも優秀って本当？2つの違いは？
AMPページでもGoogle reCATCHAを使うにはどうすればいい？
Invisible reCaptcha for WordPressの設定方法を教えて？
プラグイン「Contact Form 7」にもGoogle reCATCHAを導入させるには？

という人のために、プラグイン「Invisible reCaptcha for WordPress」の設定方法を、画像付きで解説します。

1.前提条件・事前準備・参考記事
2.Invisible reCaptcha for WordPress（Google reCATCHA）とは
3.Invisible reCaptcha for WordPressを設定する手順
4.Google reCAPTCHAを設定する方法
5.Invisible reCaptcha for WordPressを設定する方法
6.まとめ

1.前提条件・事前準備・参考記事

WordPressのセキュリティに関しては、以下を参考にしてください。

2.Invisible reCaptcha for WordPress（Google reCATCHA）とは

2-1.Google reCATCHAとは

Google reCATCHA（グーグル・リキャプチャ）とは、Googleが提供する不正アクアセス対策ツールのこと。
Invisible reCaptcha for WordPress（インビジブル・リキャプチャ・フォー・ワードプレス）とは、Google reCATCHAを簡単に導入できるプラグインのこと。

Google reCATCHAには、v1（バージョン1）、v2（バージョン2）、v2 invisible（バージョン2 invisible）、v3（バージョン3）とあり、現在はv3の使用が推奨されます。
v2は、「私はロボットではありません」とのメッセージとチェックボックスがあり、ユーザーがチェックを入れて認証しました。
v3は（2018年10月29日に公開）、人間らしくない動きをするとbotとして判定され、不正ログイン等を自動で防ぎます。
ユーザーの操作を必要としないため、ユーザーフレンドリーです。
v3は、驚くほどスパムコメント等をブロックします。

ただ、v3は便利になった反面、人間がbotと判断されるエラーも時々起こります。
特に、セキュリティプラグイン「Wordfence Security – Firewall & Malware Scan（ワードフェンス・セキュリティ）」で「2段階認証（2FA）」を導入すると、2段階認証ができず、ログインできないエラーが発生する場合があります。
でもご安心を。エラーはプラグインのリネームで簡単に対処できます。

WordPressにログイン（2段階認証）できなくなった場合は、以下の記事を参考にしてください。
ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】

総合的な判断から、Google reCATCHA v3の使用をおすすめします。

2-2.Google reCATCHAとAkismet Anti-Spamの違い

スパムコメント対策として有名なプラグインは、Akismet Anti-Spamです。
Google reCATCHAとAkismet Anti-Spamの違いは以下になります。

Akismet Anti-Spam：
1. 保護：コメント欄のみ。
2. スパム処理方法：スパムコメントを自動的にフォルダ分けする（結局スパムコメント自体は受け付ける。）。
3. 商用利用：不可（アフィリエイト、物販不可）。有償なら商用利用OK。
4. バッジ表示：なし。
5. アカウント登録：Akismetのサイトで会員登録が必要。
Google reCATCHA：
1. 保護：コメント欄、ログインフォーム、問い合わせフォーム等。
2. スパム処理方法：スパムコメントをブロックし、そもそもスパムコメントを受け付けない。
3. 商用利用：無料で、利用可能（アフィリエイト、物販可能）。
4. バッジ表示：必要（強制）。
5. アカウント登録：Googleで会員登録が必要。

Akismetは、コメントを受け取ってから、必要のないコメントを削除する、という仕様です。
つまり、スパムコメントを膨大に受け取る可能性が残ります。
しかも保護できるのは、コメント欄のみです。

また、商用利用もできません。（有料なら商用利用可能）
さらにスパムコメントの増加に従い、サイトが重くなります。

Google reCATCHAの登場により、Akismet Anti-Spamを使う理由は無くなりました。

2-3.プラグイン「Invisible reCaptcha for WordPress」の特徴

Invisible reCaptcha for WordPressは、Google reCATCHA専用のプラグインです。
Invisible reCaptcha for WordPressには、以下の保護機能があります。

ログインフォーム保護
登録フォーム保護
コメントフォーム保護
パスワード紛失フォーム保護

また、以下のプラグインも保護できます。

WooCommerce（ネットショップ構築プラグイン）
UltraCommunity（SNSコミュニティサイト構築プラグイン）
BuddyPress（SNSコミュニティサイト構築プラグイン）
Contact Form（問い合わせフォームプラグイン）
- Contact Form 7（日本製）
- Gravity Forms（海外製）

Invisible reCaptcha for WordPress以外のプラグイン、例えば「Contact Form 7」だけでも、Google reCATCHAの導入は可能です。
しかし「Contact Form 7」でGoogle reCATCHAを設定すると、全てのページの画面右下に「reCAPTCHAのバッジ（ロゴ）」が表示されます。
このバッジは消せないため、スマートフォンだと、右下の「トップに戻る」ボタンが押せなくなり、記事も隠れてしまいます。

Invisible reCaptcha for WordPressなら、必要なページ（コメントフォームなど）だけに表示され、ユーザーの邪魔にならない箇所にバッジを配置できます。

3.Invisible reCaptcha for WordPressを設定する手順

Invisible reCaptcha for WordPressを設定する手順は、以下になります。

Google reCAPTCHAで設定する
1. Googleのアカウントを取得する
2. Google reCAPTCHAにサイトを登録して、サイトキー・シークレットキーを取得する
Invisible reCaptcha for WordPressで設定する
1. プラグイン「Invisible reCaptcha for WordPress」をインストールする
2. Google reCAPTCHAで発行したサイトキー・シークレットキーを入力する
3. プラグイン「Contact Form 7」にGoogle reCAPTCHAを適用させる

それでは、順番に説明します。

4.Google reCAPTCHAを設定する方法

4-1.Googleのアカウントを取得してログインする

Googleが提供する「Google reCAPTCHA」を利用するには、Googleのアカウントが必要です。

Googleアカウントの作成方法は、以下の記事を参考にしてください。
Googleアカウントの作成方法（データSIMだけでもOK）

4-2.Google reCAPTCHAにサイトを登録して、サイトキー・シークレットキーを取得する

プラグイン「Invisible reCaptcha for WordPress」にGoogle reCAPTCHAを導入するには、Google reCAPTCHAでサイトキー・シークレットキーの発行・取得が必要です。

4-2-1.「Google reCaptcha」のページにアクセスする

「Google reCaptcha」のページにアクセスします。すると、「Google reCaptcha」のトップ画面になります。

右上「Admin Console」をクリックします。

4-2-2.Google reCaptchaに新しいサイトを登録する

「Google reCaptcha」のトップ画面で「Admin Console」をクリックすると、「新しいサイトを登録する」画面になります。

ラベル：「登録したサイトを管理するための名前」を入力します。「ドメイン名+サイト名」がわかりやすくておすすめです、
reCAPTCHA タイプ：reCAPTCHAのバージョンを選びます。
v3の場合は、自動でスパムかどうかが確認されます。v2の場合は、画像やテキストを選択・入力を求められ、スパムでないか確認します。
「v3」を選択します。
ドメイン：「Invisible reCaptcha for WordPress」をインストールする「サイトのドメイン」を入力します。「https://」は不要です。
オーナー：なにかあったときにメール通知する、サイトの所有者を入力します。
初期値で現在ログインしているGoogleのアカウントが設定されるので、1人でサイトを管理する場合はそのままで大丈夫です。
管理者を複数にする場合は、「メールアドレスを入力」にメールアドレスを追加します。
reCAPTCHA 利用規約に同意する：reCAPTCHAを利用するために、利用規約に同意します。「チェック」を入れます。
アラートをオーナーに送信する：設定が間違っていたり、不正なアクセスが増えた場合に、オーナーで設定したメールアドレスに通知します。「チェック」を入れたままにします。
全ての操作・入力が終わったら「送信」をクリックします。

4-2-3.「設定」画面に移動する

「新しいサイトを登録する」画面で「送信」をクリックすると、「サイトに reCAPTCHA を追加する」画面になります。

左下「設定に移動」をクリックします。

4-2-4.AMPページでreCAPTCHAを使用できるようにし、サイトキー、シークレットキーをコピーする

「サイトに reCAPTCHA を追加する」画面で「設定に移動」をクリックすると、「設定」画面になります。

「ゴミ箱アイコン」をクリックすると、登録済みサイト（ラベル）を削除できます。
「左矢印アイコン」をクリックすると、登録済みサイトの管理画面に移動します。
ラベルの変更ができます。
「reCAPTCHA タイプ」が表示されます。このタイプは変更できないので、違うタイプにしたい場合は、新たに設定する必要があります。
「reCAPTCHA のキー」をクリックすると、サイトキーとシークレットキーが表示されます。
プラグイン「Invisible reCaptcha for WordPress」で使う「サイトキー」をコピーします。左の「サイトキーをコピーする」をクリックすると、サイトキーがコピーできます。
プラグイン「Invisible reCaptcha for WordPress」で使う「シークレットキー」をコピーします。左の「シークレットキーをコピー」をクリックすると、シークレットキーがコピーできます。
「☓アイコン」をクリックすると、ドメインを削除できます。
新たにドメインを追加できます。既存のドメインがある場合、同じサイトキー・シークレットキーを使うことになります。
「☓アイコン」をクリックすると、メールアドレスを削除できます。
新たにメールアドレスを追加できます。
何らか（ログイン等）のエラーが出た場合、「reCAPTCHA ソリューションの入手元を検証する」のチェックを外すと、エラーが解消される場合があります。
サイトをAMP化しているなら、「このキーが AMP ページで動作するようにする」にチェックを入れます。
reCAPTCHAの通知が鬱陶しいなら、「アラートをオーナーに送信する」のチェックを外します。
全て操作・入力したら、「保存」をクリックします。

ここでは、「6.」「7.」「13.」を操作します。
次に、Google reCaptchaの「6.」「7.」でコピーしたサイトキー・シークレットキーを、プラグイン「Invisible reCaptcha for WordPress」で使います。

4-3.Google reCaptchaの管理画面の見方

「設定」画面で「左矢印アイコン」をクリックすると、「登録済みサイトの管理画面」になります。

Google reCaptchaを設定してからの時間が短いと、「注: ライブトラフィックがまだ十分にないサイトでは、スコアが正確でない可能性があります。」と表示されます。
登録済みのサイトが複数ある場合、ここから選択できます。
「+アイコン」をクリックすると、新しくサイトを登録できます。
「歯車アイコン」をクリックすると、「設定」画面に移動します。
「下矢印アイコン」をクリックすると、reCaptchaをダウンロードします。
「日付」をクリックすると、reCaptchaがアクションを検出する期間を指定できます。
合計リクエスト数：指定した期間にreCaptchaが検出したアクション数です。
不審なリクエスト：この値が「0%」なら問題ありません。「0%」以上なら、その他のセキュリティツールでサイトのセキュリティを強化します。
リクエスト数：reCaptchaがサイトから検出したアクションが表示されます。濃い青「High risk」は危険なアクション（botなど）、薄い青「Low risk」は安全なアクション（人間）です。
スコア分布：サイトから検出したアクションのスコア分布が表示されます。スコアの範囲は 0.0（不正なトラフィック）～1.0（安全なトラフィック）です。
上位 10 件のアクション：サイトでの上位 10 件のアクション（すべてのトラフィックが対象）を示しています。
不審なトラフィックのアクション（上位 10 件）：サイトの上位 10 件のアクションが（不審なトラフィックの割合が多い順に）表示されます。

5.Invisible reCaptcha for WordPressを設定する方法

5-1.Invisible reCaptcha for WordPressをインストールする

WordPressにログインし、プラグイン「Invisible reCaptcha for WordPress」をインストールします。

WordPress管理メニュー「プラグイン」＞「新規追加」＞「Invisible reCaptcha 」を検索＞「Invisible reCaptcha for WordPress（作成者: Mihai Chelaru）」の「今すぐインストール」をクリック＞「有効化」をクリック

5-2.Invisible reCaptcha for WordPressを設定する

プラグインを有効化したら、Invisible reCaptcha for WordPressの設定をします。設定箇所は以下です。

WordPress管理メニュー「設定」＞「Invisible reCaptcha」

5-2-1.「Settings」タブで、Google reCAPTCHAと連携させる

「Settings」タブで、Google reCaptchaでコピーしたサイトキー・シークレットキーを入力し、Google reCAPTCHAとプラグイン「Invisible reCaptcha for WordPress」とを連携させます。

「Settings」を選択します。
Your Site Key：Google reCAPTCHAの「設定（または、サイトにreCAPTCHAを追加する）」画面でコピーした「サイトキー」を入力（ペースト：貼り付け）します。
Your Secret Key：Google reCAPTCHAの「設定（または、サイトにreCAPTCHAを追加する）」画面でコピーした「シークレットキー」を入力（ペースト：貼り付け）します。
Language：スパムの可能性があるユーザーがアクセスしたときに表示する、画像やテキストでの判定を表示するときの言語を選択します。
「Automatically detect（自動）」のままにします。
Badge Position：保護が有効なページでは、バッジと呼ばれるreCAPTCHAのログマークが表示され、このバッジが表示される位置を選択します。「Bottom Right（右下）」「Bottom Left（左下）」「Inline（文中）」から選択できます。
「Inline（文中）」を選択します。
Badge Custom CSS：Badge Positionで「Inline（文中）」を選択した場合のみ、CSSで表示の調整が行えます。必要があればCSSを記載します。
全て入力・操作したら、「変更を保存」をクリックします。
すると、「Your changes were successfully saved!（変更が正常に保存されました！）」と表示されます。

＜注意＞

「5.Badge Position」で、初期値「Bottom Right（右下）」を選択したままだと、スマートフォンの右下「トップに戻る」アイコンに表示が被り、「トップに戻る」操作ができなくなります。
「Inline（文中）」を選択すれば、コメント等の下にバッジが表示されるようになります。

5-2-2.「WordPress」タブで、保護する箇所を設定する

「WordPress」タブで、WordPressのログイン画面やコメントフォームなど、保護したい画面を選択します。

「WordPress」タブを選択します。
Enable Login Form Protection：管理画面にログインするためのログイン画面を保護します。「チェック」を入れます。
Enable Registration Form Protection：登録画面を保護します。「チェック」を入れます。
Enable Comments Form Protection：スパムコメントからコメント欄を保護します。「チェック」を入れます。
Enable Forgot Password Form Protection：パスワードを忘れた際のパスワード設定画面を保護します。「チェック」を入れます。
全て操作したら、「変更を保存」をクリックします。
すると、「Your changes were successfully saved!（変更が正常に保存されました！）」と表示されます。

セキュリティを高めるために、全てにチェックを入れるのをお勧めします。

5-2-2-1.reCAPTCHAが表示されたか確認する

チェックをつけた画面で、以下のバッジが表示されれば大丈夫です。

例えば、コメントを送信する画面だと、「コメントを送信」の下に「reCAPTCHA で保護されていますプライバシー – 利用規約」と表示されます。

5-2-3.「Contact Forms」タブで、プラグイン「Contact Form 7」にGoogle reCAPTCHAを適用させる

「Contact Forms」タブで、プラグイン「Contact Form 7」にGoogle reCAPTCHAを適用させます。

「Contact Forms」タブを選択します。
Enable Protection for Contact Form 7：「Contact Form 7」で設置した問い合わせフォームを保護します。「チェック」を入れます。
Enable Protection for Gravity Forms：「Gravity Forms」で設置した問い合わせフォームを保護します。
Excluded Gravity Forms IDs：「Gravity Forms」で設置した問い合わせフォームのうち、保護しないフォームのIDをカンマ（,）区切りで入力します。
全て操作したら、「変更を保存」をクリックします。
すると、「設定を保存しました。」または「Your changes were successfully saved!（変更が正常に保存されました！）」と表示されます。

＜注意＞

まだプラグイン「Contact Form 7」をインストールしていなくても、先に「2.Enable Protection for Contact Form 7」を有効化しておけば、「Contact Form 7」をインストールした際にGoogle reCATCHAの設定が適用されます。

5-3.その他のプラグインの保護設定

「Invisible reCaptcha for WordPress」では、WordPressで利用している他のプラグインも保護できます。
使用していなければ、これらの設定は無視します。

5-3-1.WooCommerce

プラグイン「WooCommerce」を利用している場合、「WooCommerce」タブから各種画面の保護ができます。
各設定項目は以下のような意味になっています。

Enable Login Form Protection：管理画面にログインするためのログイン画面を保護します。
Enable Registration Form Protection：登録画面を保護します。
Enable Lost Password Form Protection：パスワードを忘れた際の画面を保護します。
Enable Reset Password Form Protection：パスワードリセット画面を保護します。
Enable Product Review Form Protection：製品のレビュー欄をスパムコメントから保護します。

5-3-2.Ultra Community

プラグイン「Ultra Community」を利用している場合、「Ultra Community」タブから各種画面の保護ができます。
各設定項目は以下のような意味になっています。

Enable Login Form Protection：管理画面にログインするためのログイン画面を保護します。
Enable Registration Form Protection：登録画面を保護します。

5-3-3.BuddyPress

プラグイン「BuddyPress」を利用している場合、「BuddyPress」タブから各種画面の保護ができます。
各設定項目は以下のような意味になっています。

Enable Registration Form Protection：登録画面を保護します。

6.まとめ

Google reCATCHA v3は、簡単、便利、強力な不正アクセスツールです。
Akismet Anti-Spamを使っているなら、Google reCATCHAにぜひ入れ替えたいですね。

ただ、Google reCATCHAは人間をbotと間違える場合があります。
WordPressにログイン（2段階認証）できなくなった場合は、以下の記事を参考にしてください。
ログイン(2段階認証)エラー対策【Invisible reCaptcha、Wordfenceの2FA、ConoHa WING】