Googleは、2016年12月に第3世代のスパム防止認証システムInvisible reCAPTCHAを近々リリースするとの発表を行いました。Invisible reCAPTCHAは、2017年1月よりベータ版として一般公開され、利用できるようになっています。
2017年1月にInvisible reCAPTCHAがベータ版としてリリースされた直後に、WordPressではサポートするプラグインがいち早く提供されました。プラグインを使用することで、第三世代(後に2.5世代に変更となりました)のreCAPTCHAを簡単に導入することができます。本記事では、Invisible reCAPTCHAについての紹介とWordPressのサイトでの導入設定の仕方を紹介します。
目次 - Table of Contents
reCAPTCHAとは?
reCAPTCHAは、Googleが提供するスパムやボットによる不正操作を防止するサイトの認証システムです。現在、第二世代のバージョンが提供されています。
reCAPTCHAを備えたサイトでは、コメントや問い合わせフォームを送信する際に、以下の様なチェックボックスが表示されます。
「私はロボットではありません」のチェックボックスをご存じの方は多いと思います。以下は、reCAPTCHAの認証テストの例です。
お問い合わせフォームに、第二世代のreCAPTCHAを追加する方法については、以下の記事で詳しく手順を説明しております。
関連記事:
第三世代(2.5世代)のreCAPTCHAを問い合わせフォームに設置する方法は、本記事内で紹介しております。このまま読み進めて下さい。
[目次に戻る ]
Invisible reCAPTCHAとは?
Invisible reCAPTCHAは、次世代・第三世代(2.5世代)のスパムボット防止用の認証システムです。Googleの発表によると、スパム防止機能をさらに高め、過去の端末の操作やサイトのアクセス履歴などを元に、操作を行っているのが人かロボットかを自動的に判別する機能を備えています。
Invisible reCAPTCHAを導入したばかりの時は、通常のreCAPTCHA(バージョン2)と同様の認証テストが行われることが多いです。しかし、ある程度期間が経過すると、テスト無しで自動的に認証が行われるようになります。(ユーザーから見ると、認証テストはしていないのですが、バックグラウンドで認証が行われます。)
Invisible reCAPTCHAの紹介ページです。(2017年1月ベータ版リリース開始時)
Google Invisible reCAPTCHA ページ へ
2017年1月の時点での上記サイト紹介とデモ画面を録画し、YouTubeに投稿しております。ご興味のある方は、ご覧下さい。
[目次に戻る ]
reCAPTCHAの利点と効果
スパムコメントの防止
reCAPTCHAはスパムコメントの防止に絶大な効果があります。先日、テスト用のWordPressを設置したところ、毎日の様にスパムコメントが投稿されるようになりました。WordPressサイトでのスパムコメントの防止・対策には、プラグイン Akismetが有名ですが、試しにAkismetは使わずに、Invisible reCAPTCHAだけをコメントの認証に搭載したところ、搭載後、スパムコメントの投稿は0になりました。
Akismetはスパムをフィルターする機能です。スパムコメントの投稿を防止するものではありません。Akismetのアプローチは、メールのスパムフィルターと似たアプローチを採用しています。スパムのコメントが投稿された時にスパムフィルターで別のフォルダーに格納しています。つまり、スパムコメントは投稿されていて、それを見せないようにしているだけです。
reCAPTCHAの場合は、スパムコメント自体の投稿を防止します。私の運営するサイトでは、全てInvisible reCAPTCHAを導入しています。導入後、一度もスパムコメントの投稿はありません。
以下にブロギングライフの2017年9月のAkismetのレポートを添付します。7月に1つのスパムが表示されています。このコメントは人間が投稿したと思われるもので、Akismetではフィルターされれず、承認待ちの状態になっていました。スパムのチェックをいれて処理したものです。
コメントシステムにreCAPTCHAの認証を入れていれば、ほとんど全てのスパムコメントは防止できます。
Akismetを長い期間使用していたサイトにもInvisible reCAPTCHAを2017年から導入しました。過去半年間のスパムは0の状態が続いています。現在はAkismetの利用は止め、Invisible reCAPTCHAのみ利用しています。
[目次に戻る ]
ハッキングなどの試みの発生リスクを抑止
スパムが多くアクセスする(スパムコメントの投稿が多い)サイトは、スパムやハッキング行為から狙われやすい傾向があります。ハッキングの手口の一つは、ボットによってプログラムで管理画面へのログインを何度も試みたりすることです。
reCAPTCHAを導入するとボットによるスパムコメントの投稿を防止できます。(投稿したものをフィルタするのではなく、投稿自体を阻止しています)そのため、スパムのコメント投稿の試みが減少します。
スパムがあまり寄り付かないサイトは、ハッキング行為も少ないと思います。以下に紹介する次世代のreCAPTCHAをWordPressに搭載する場合、コメントだけでなく、メール送信フォームの送付時や管理画面へのログイン時もreCAPTCHAの認証を設定することができます。
WordPressのログインにreCAPTCHAを搭載した場合、ハッキングされる可能性は極めて低くなると思います。reCATPCHAは、ハッキングの試みのリスクを抑止する効果もあります。
WordPressにInvisible reCAPTCHAを搭載する方法
サイトの登録を行う
Google reCAPTCHA のホームページにアクセスします。
[Get reCAPTCHA]のボタン(画面赤矢印で指している箇所)を押します。サインナップが必要な場合は、ガイダンスに基づいて手続きして下さい。
reCAPTCHAのアカウントページが表示されます。”Register a new site”の欄に登録を行うサイト用のラベル名を入力し、reCAPTCHAのバージョンを選びます。第二世代は、”私はロボットではありません”のチェックボックスが表示されるタイプ、第三世代はバックグラウンドで認証を行います。
選択ボタンをチェックした後、[Register]をクリックするとドメインの入力欄が表示されます。複数のドメインを登録する場合は、一行毎にドメインを入力します。
使用許諾(Accept the reCAPTCHA Terms of Service”にチェックを入れて[Register]ボタンを押します。以下のボタンを押して下さい。
ベータ版の手続きをスキップして、”サイトキーとシークレットキー”の取得へ
[目次に戻る ]
ベータ版時の手続き(既に終了しています)
ベータ版を利用するためには、新たに登録を行う必要があります。
reCAPTCHAは、バージョン毎に登録する必要があります。バージョン2をご利用のサイトでも、新たに登録が必要となります。
[SIGN UP]のボタンを押すと、以下の様なサイト登録画面が表示されます。
登録フォームの上に最終テストを完了していないベータ版であること、API、ドキュメント、ポリシーが変更になる可能性があることの断り書きが表示されています。
Beta
This is a Beta version of reCAPTCHA which is still undergoing final testing before its official release. The API, documentation and policy are subject to change in the future.
サイト登録ラベル名(例:本サイトの場合は、”Blogging Life beta version”としました。)、ドメイン名(サブドメインが含まれます。)を入力し、利用規約に同意するチェックします。
内容を確認後、画面右下の[Register]ボタンを押して、登録を実行します。
[目次に戻る ]
サイトキーとシークレットキー
登録が行われると、reCAPTCHAを利用するための情報が表示されます。プラグインを使用してWordPressに導入する場合は、サイトキーとシークレットキー(のみ)が必要な情報です。
サイトキーとシークレットキーの値を控えておきます。
[目次に戻る ]
WordPress サイトでの導入手順
WordPressでは、Invisible reCAPTCHAをサポートしたプラグイン、Invisible reCAPTCHA for WordPressを使用すると簡単に導入することができます。
本サイトでInvisible reCAPTCHA for WordPressをインストールした時は、リリースされたばかりでした。(インストールが100件以下!)きちんと動作するか心配でしたが、利用開始してから、約1年半、問題なく動作しています。運用する他のサイトでも使っています。
設置方法
1. Invisible reCAPTCHA for WordPressをインストールし、有効化します。
2. WordPressの管理画面左のメニューの中から、[Invisible reCaptcha]をクリックします。
3. 以下の様な設定画面が表示されます。Googleのページで登録したサイトキーとシークレットキーを入力します。
言語は自動選択でも良いと思いますが、本サイトでは日本語を指定しています。バッジの表示場所(Badge Position)は、右下、左下、インラインから選ぶことができます。サイトのレイアウトなどとのバランス、お好みでバッジの表示場所は選択可能です。
4. 設定画面左にあるタブの中の[WordPress]をクリックします。ワードプレスの操作で有効にさせる項目を選びます。選択可能な項目は以下の通りです。
- ログインフォームの保護
- 登録フォームの保護
- コメントフォームの保護
- パスワード忘失時のフォームの保護
全て保護した方が良いと思われるので、全てにチェックを入れます。
青の[変更を保存]のボタンを押します。
5. Invisible reCAPTCHA for WordPress は、コンタクト フォーム 7 をサポートしています。設定画面左のタブから[Contact Forms]をクリックします。
以下に表示される画面のチェックボックスをクリックして、[変更を保存]を押します。
コンタクト フォーム 7 で、reCAPTCHAをご利用されている場合は、コンタクト フォーム 7 での設定を無効にして下さい。
コンタクト フォーム 7 は、本当に使いやすく、機能追加もし易いとても優れたプラグインだと思います。日本語のWordPressサイトでは、必須と言って過言ではない欠かすことのできないプラグインです。
以上で作業完了です。
[目次に戻る ]
Invisible reCAPTCHA 設置後の画面表示例
WordPress管理画面ログイン
WordPressにログインする入力画面に、「reCAPTCHAで保護されています」のメッセージとロゴ(バッジ)が表示されています。ログインする際に認証が行われます。
ログインをボットから保護することで、ハッキングなどの防止機能も高まります。
[目次に戻る ]
コメント欄
[コメントを送信]の上にreCAPTCHAのボックス(バッジ)が表示されています。
コンタクトフォーム
コンタクトフォームの[送信]ボタンの下にreCAPTCHAのロゴボックスが表示されています。
コメントを残す(承認後表示されます)