皆さんは運営しているWordPressのセキュリティ対策を行っていますでしょうか?
mixhostに限りませんが、WordPressを運営する上でセキュリティ対策を行うことはとても大切なことです。
ただしセキュリティ対策といっても攻撃の手法によって対策できる方法はそれぞれ異なっていきます。
セキュリティ対策を行う手法の1つにプラグインの導入がありますが、全てのセキュリティ対策のプラグインが良いかというとそうではありません。
中にはセキュリティ対策を装った悪意があるプラグインもありますので、プラグインを入れるときにも評価などを参考にする必要があります。
今回の記事では、有効インストール数は10万件以上あり、評価も星4.5あるWordPressでCAPTCHAでの認証を可能にするプラグインを紹介します。
例えば外部の会員サイトにログインを行おうとした際に、画像がいくつか表示されて○○○を選択してくださいといった認証や私はロボットではありませんといった認証が行われたことはないでしょうか?
これはログインをしようとしているユーザーが人間か通称ボットと呼ばれるロボットのどちらなのかをランダムな画像やチェックボックスを表示させて判別することでボットを除去することが期待できる認証方法となります。
ボットはルーチン作業のような決まった操作を行う際には使いこなせると便利なものですが、悪質なボットになると特定のサイトへの誘導やマルウェアを拡散させるなどを行うものも存在しています。
そのような悪質なボットからの登録やアクセスを防ぐために、CAPTCHAでの認証をセットすることでボットからサイトを守ることができる訳ですね。
ただし、近年はボットの技術も向上しています。
CAPTCHAでの認証をセットしたからといってもボットに認証を突破される場合もありますので、悪質なボットから運営サイトを完全に守れるわけではありません。
ですが今回紹介するプラグインで使用されているreCaptchaはGoogle社から提供されているため、信頼できるサービスとなっています。
ボット対策としては導入を行った方がセキュリティ対策としては良好ですので、是非本記事の導入方法を参考にして頂き導入の検討をしてみてください。
Invisible reCaptcha for WordPressとは?
今回ご紹介するのは、WordPressにreCaptchaを導入することができるプラグインである【Invisible reCaptcha for WordPress】です。
【Invisible reCaptcha for WordPress】は無料で導入できるプラグインで、最初に設定しておけば後は自動で動作してくれる上に初期設定方法も簡単です。
必要なものはGoogleのアカウントのみですのでセキュリティ対策を考えている場合にお試しでも導入しやすくおすすめできるプラグインとなります。
今回はInvisible reCaptcha for WordPressの導入方法から使い方までを解説していきます。
Invisible reCaptcha for WordPressの導入方法
導入するサイトのダッシュボードから「プラグイン→新規追加」と移動し【Invisible reCaptcha for WordPress】と検索し検索結果から【Invisible reCaptcha for WordPress】の【今すぐインストール】をクリックしインストールしましょう。
インストールが完了したらそのまま【有効化】を行ってください。
Invisible reCaptcha for WordPressの使い方
次に、インストールし有効化したInvisible reCaptcha for WordPressを実際に使用してみましょう。
インストール後のInvisible reCaptcha for WordPressの設定は次の手順を踏んでいきます。
- GoogleでreCaptchaを作成してreCaptchaのキーを発行する。
- WordPressに戻りInvisible reCaptcha for WordPressで発行したreCaptchaのキーを登録する。
- Invisible reCaptcha for WordPressの設定をメンテナンスする。
〈1〉GoogleでreCaptchaを作成してreCaptchaのキーを発行する。
Invisible reCaptcha for WordPressを有効化してもすぐには使用できません。
Invisible reCaptcha for WordPressをセットするためには、GoogleでreCaptchaにサイト登録する必要があります。
GoogleでのreCaptchaにサイト登録するためには、下記のURLから行います。
v3 Admin Consoleを選択すると、入力フォームが表示されます。
reCAPTCHA Enterprise版かreCAPTCHA版がありますが、こちらはInvisible reCaptcha for WordPressを導入しようとするサイトの規模によって選択します。
- reCAPTCHA Enterprise:月辺り最大100万件まで無料で使用可能。100万件を超える場合は1000回あたり1ドル。
- reCAPTCHA:月辺り最大100万件まで無料で使用可能。
reCAPTCHA Enterprise版の料金表は下記のURLに記載されていました。Google Cloudの公式ページです。
https://cloud.google.com/recaptcha-enterprise/pricing?hl=ja
最初はreCAPTCHA版の方で問題ないと思いますが、アクセス数が多い場合はreCAPTCHA Enterprise版を使用されるのが良いと思います。
ただし、料金体系が複雑ですので、reCAPTCHA Enterprise版を導入される場合は料金体系とサイトのアクセス数をよく確認し調べてから導入されることをおススメします。
入力項目は下記があります。
- ラベル:Google reCAPTCHAで管理するためのタグのようなものです。複数reCAPTCHAを作成する場合は、見分けがつくような名前に設定しましょう。
- reCAPTCHAタイプ:
- ドメイン:
reCAPTCHAタイプの違いは下記の通りです。
判定されるユーザー側での操作はなく、操作されている内容から総合的な判断で人間かボットかどうかを判定します。
例えば、規則的な動きをする場合はボット判定されるのではないかと思います。
ユーザー側は操作を気にする必要がないためreCAPTCHA認証の負担がありません。
画像認証があり、ユーザー側でreCAPTCHA認証の操作が必要になります。
冒頭で説明した画像がいくつか表示されて○○○を選択してくださいといった認証や私はロボットではありませんといった認証は
reCAPTCHA v3の方が最新バージョンになりますが、必ずしも最新バージョンだからと言ってreCAPTCHA v3を導入すればよいという訳でもありません。
それぞれのバージョンに特徴があるため、運営しているサイトによって使い分ける必要があります。
判定の厳しさで比較すると操作が必要なreCAPTCHA v2の方が厳しいと思いますが、ユーザーへの負担はその分増えます。
反対に、ユーザーへの負担を軽くしたい場合はreCAPTCHA v3の方が望ましいでしょう。
reCAPTCHAのバージョンはGoogle reCAPTCHAで作成しなおす必要がありますが切り替え可能ですので、まずは導入が楽なreCAPTCHA v3を入れてみて様子見を行いながらv2に切り替えるのが良いかと思います。
reCAPTCHA 利用条件を確認したら同意するにチェックを入れて送信を行うとreCaptchaのキーが発行されます。
〈2〉WordPressに戻りInvisible reCaptcha for WordPressで発行したreCaptchaのキーを登録する。
GoogleでreCaptchaのサイト登録が完了したらreCAPTCHAのキーとして、「サイトキー」と「シークレットキー」の2種類のキーが発行されています。
どちらもInvisible reCaptcha for WordPressで使用しますので、コピーしておきます。
WordPressに戻り、ダッシュボードを開きます。
ダッシュボード左側のメニューより設定>Invisible reCaptchaを選択します。
Invisible reCaptcha設定の画面が開きますので、この画面で入力を行います。
- サイト鍵:Google reCaptchaのサイトキーを入力します。
- 秘密鍵:Google reCaptchaのシークレットキーを入力します。
- バッジ位置:reCaptchaバッジをどこに表示するかになります。
以上の項目の入力が完了した[変更を保存]を選択します。
〈3〉Invisible reCaptcha for WordPressの設定をメンテナンスする。
続いてInvisible reCaptcha設定の左側メニューにある「WordPress」を選択します。
・ログインフォームの保護を有効化
・登録フォームの保護を有効化
・コメントフォームの保護を有効化
・パスワード再発行フォームの保護を有効化
どの画面にreCaptchaバッジを表示させるかの設定になるのですが、初期設定は全てチェックで問題ないと思います。
表示が煩わしくなってきたらチェックを外し調整を行っていきましょう。
以上でInvisible reCaptcha for WordPressの導入が完了となります。
ボット対策としてはセキュリティ対策をとるのであれば、まずは入れておくプラグインとしておススメできます。
必要なものもGoogleアカウントのみですので導入までの敷居も低く、初期設定を行っておけばOKですので様子を見ながらメンテナンスを行っていくと使いやすいプラグインとなっています。
ここまでの機能が一部無料※で使用できますので、まずはインストールしてみて試用してみるのもよいでしょう。
※reCAPTCHA Enterpriseで月当たり100万回を超えるアクセスを使用した場合は有料です。