ブログを運営していると、コメント欄やログイン画面のスパム対策が気になってきます。
私もWordPressを始めた当初、参考にした古い動画を見ながら Invisible reCAPTCHA
を導入していました。
当時は「これで大丈夫だろう」と思っていましたが、あとから見直してみると、
古い情報のまま設定していたことに気づきました。
実際、私の環境では警告表示も出ており、このまま使い続けるのは不安でした。
そこで今回は、古い Invisible reCAPTCHA を削除し、
代わりに Cloudflare Turnstile を導入した流れを、実体験ベースでまとめます。
「難しそう」と感じましたが、1つずつ確認しながら進めれば何とか設定できました。
同じようにWordPress初心者で、スパム対策を見直したい方の参考になればと思います。
この記事は、WordPress開設後に行ったスパム対策の見直し記録です。
まず見直したかったこと
私が最初に使っていたのは Invisible reCAPTCHA というプラグインでした。
ただ、あとから調べると、古い情報をもとに設定していたことが分かりました。
さらに、実際にWordPress上で警告表示が出ていたため、このまま使い続けるのは不安でした。
この時に思ったのは、古い動画や古い記事を参考にした設定が、今のWordPress環境でも
そのまま使えるとは限らないということです。
特にセキュリティ系のプラグインは、更新状況や今のWordPress・PHP環境との相性を
確認する必要があると感じました。
そこで、まずは古いプラグインを外し、新しい方法に切り替えることにしました。
いきなり入れ替えず、先にBackWPupで手動バックアップ
プラグインの入れ替え前に、まずやったのはバックアップです。
設定変更は、うまくいけば何でもない作業ですが、失敗すると表示崩れや
不具合につながることもあります。
私はBackWPupを使っていたので、導入前に手動バックアップを1回取りました。
この時点で、古いプラグインを削除しても戻せる安心感ができました。
ややこしい設定をするときは、やはり最初にバックアップを取っておくのが大事だと感じました。
古いInvisible reCAPTCHAを削除した
バックアップを取ったあと、WordPressのプラグイン一覧から
Invisible reCAPTCHA を削除しました。
削除後に確認したのは次の点です。
・WordPress管理画面に普通に入れるか
・サイト表示に異常がないか
・ログイン時の警告表示が消えたか
結果として、管理画面もサイト表示も問題なく、警告表示も消えました。
この時点で、警告表示の原因は古いreCAPTCHAプラグインだった可能性が高いと感じました。
新しく導入したのはCloudflare Turnstile
今回、新しく導入したのは Cloudflare Turnstile です。
WordPress側では、Simple CAPTCHA Alternative with Cloudflare Turnstile
というプラグインを使いました。
このプラグインを選んだ理由は、WordPressコメント欄などに対応しており、
画像選択のような面倒な認証ではなく、見た目も比較的すっきりしていると感じたからです。
ちなみに、今回使ったCloudflare Turnstileは、ConoHa WINGのサーバーを
Cloudflareへ移すものではありません。
サーバーはConoHa WINGのままで、スパム対策機能としてTurnstileを使う形です。
ここは最初少し混乱しやすいところでした。
Cloudflare側でTurnstile用のウィジェットを作成
WordPress側のプラグインを有効化したあと、次はCloudflare側で設定を行いました。
Cloudflareの画面に入り、Turnstileのページから「ウィジェットを追加」を選びます。
設定した内容は次の通りです。
・ウィジェット名:nabeken-life.com
・ホスト名:nabeken-life.com
・ウィジェットモード:管理
ホスト名には、https:// は入れず、nabeken-life.com だけを入力しました。
ウィジェットモードは「管理」を選びました。
作成すると、サイトキーとシークレットキーが発行されます。
ここで注意点があります。
シークレットキーは、ブログ記事や画像で公開しない方がよいです。
記事に載せる場合は、必ず黒塗りやトリミングで隠しておく必要があります。
WordPress側にサイトキーとシークレットキーを貼り付ける
次に、WordPressのTurnstile設定画面へ戻り、Cloudflareで取得したサイトキーと
シークレットキーを貼り付けました。
その後、応答テストを実行します。
私の環境ではテスト成功後に、
「成功! Turnstile はこれらのAPIキーで正しく動作します。」
という表示が出ました。
ここまで来ると、WordPressとCloudflareの接続はできています。
まずはWordPressコメント欄だけ有効化した
Turnstileはログイン画面や登録画面などにも使えますが、今回はいきなり全部に入れず、
まずはWordPressコメント欄だけ有効にしました。
ログイン画面については、すでにSiteGuard WP Pluginを使っていたため、
役割が重ならないようにしました。
私の環境ではContact Form 7は使っていなかったため、お問い合わせフォーム側の
設定はしていません。
今回の方針は、
・ログイン画面はSiteGuard
・コメント欄はCloudflare Turnstile
という分担です。
最初はコメント欄が二重認証になった
Turnstileを有効化してコメント欄を確認すると、最初は少し違和感がありました。
上にはSiteGuardのひらがな画像認証、下にはCloudflare Turnstileが出ていて、
二重認証の状態になっていたのです。
セキュリティとしては強そうですが、読者目線では少し面倒です。
そのため、次にSiteGuard側のコメントページ画像認証だけを無効化しました。
SiteGuardのコメント画像認証だけOFFにした
SiteGuard WP Pluginの画像認証設定画面を開き、コメントページだけ「無効」にしました。
設定は次のようにしました。
・ログインページ:ひらがな
・コメントページ:無効
・パスワード確認ページ:ひらがな
・ユーザー登録ページ:ひらがな
この設定にすると、ログイン画面は今までどおりSiteGuardで保護し、コメント欄はCloudflare Turnstileで保護する形になります。
この役割分担が一番すっきりしていると感じました。
コメント欄を確認すると、Turnstileだけになった
設定変更後にコメント欄を確認すると、ひらがな画像認証は消え、
Cloudflare Turnstileだけが表示されるようになりました。
これで、コメント欄のスパム対策をCloudflare Turnstileへ一本化できました。
実際にここまで来た時は、「やっと終わった」という気持ちでした。
記事を書くより、こういう設定の方が頭を使うと正直感じました。
今回やって分かったこと
今回の作業を通じて、強く感じたことがあります。
それは、古い動画や古い記事をそのまま信じて設定すると、今の環境では
合わないことがあるということです。
最初の私は、参考にした動画どおりに設定していたので、それで完璧だと思っていました。
しかし、あとから見直すと、古いプラグインを使っていたり、現在の環境では
不安が残る設定になっていたりしました。
特にセキュリティ系のプラグインは、今も安全に使えるかどうかを確認する必要があると感じました。
また、設定系の作業は、AIに丸投げするよりも、自分で画面を見て、1つずつ確認して、
理解しながら進めることが大事だと実感しました。
私はエンジニアではありませんが、だからこそ、こういう設定は時間をかけて確認しながら
進めた方が、後で安心できると思いました。
まとめ
今回は、古いInvisible reCAPTCHAを削除し、代わりにCloudflare Turnstileを導入しました。
流れをまとめると、次のようになります。
・古いreCAPTCHAプラグインを見直す
・BackWPupで手動バックアップを取る
・Invisible reCAPTCHAを削除する
・サイト表示と管理画面を確認する
・Cloudflare Turnstile用プラグインを導入する
・Cloudflare側でウィジェットを作成する
・サイトキーとシークレットキーをWordPressに設定する
・応答テストを行う
・WordPressコメント欄にTurnstileを有効化する
・SiteGuardのコメント画像認証だけOFFにする
・コメント欄で正常表示を確認する
ログイン画面までTurnstileで保護する方法もありますが、私の環境ではSiteGuardが動いているため、今回は二重にせずコメント欄だけTurnstileに任せる形にしました。
結果として、私の環境では、
・ログイン画面はSiteGuard
・コメント欄はCloudflare Turnstile
という分担で落ち着きました。
同じように、古いreCAPTCHA系プラグインを使っていて不安がある方や、WordPressコメント欄のスパム対策を見直したい方の参考になればうれしいです。
コメント