今回の記事では、コメントフォームやお問い合わせフォームへの
Google reCAPTCHAのv3の導入方法を書きます。
私はお問い合わせフォームにプラグインのContact Form 7を使っているのですが
Contact Form 7のバージョンを5.0.5から5.1に更新したところ、
Contact Form 7のバージョン5.1はGoogle reCAPTCHAのV3しか対応しておらず、
Google reCAPTCHAのv2というバージョンでは使えなくなってしまったため、
これをきっかけに、Google reCAPTCHAのバージョンをv3にすることにしました。
v2のまま使うことも出来る
Contact Form 7を5.1にしても、Contact Form 7でのGoogle reCAPTCHA設定はオフ(空欄)にして、他のプラグインでContact Form 7にGoogle reCAPTCHAをセットする方法もあるため、絶対にv2が使えないというわけではないと思います。
私は使っていないので確認はしていないのですが、例えば
Advanced noCaptcha reCaptchaというプラグインは
Contact Form 7にも対応しているようです。
又、Contact Form 7をダウングレードして
Google reCAPTCHAのv2を使うという手段もあります。
その場合は、一旦、プラグインのContact Form 7を削除してから
以前のバージョンのファイルはこちらのページの一番下のところから
ダウンロード出来るようになっているので(2018年12月現在)
ダウンロードしたファイルを、ワードプレスダッシュボードのメニューの
プラグイン→新規追加→プラグインのアップロードで
Contact Form 7を以前のバージョンに戻すことは出来ますが、
以前のバージョンを使用する際はテスト目的のみの使用としてくださいとのことなので自己責任となります。
私はGoogle reCAPTCHAをV3で利用することにしました
私はContact Form 7を5.1に更新して、
Google reCAPTCHAはV3にして、
Contact Form 7で作成した、お問い合わせフォームにもV3でセットして
コメント欄の認証もV3にしました、コメント欄へのGoogle reCAPTCHAの導入は
Google Captcha (reCAPTCHA) by BestWebSoftというプラグインを利用しています。
まず、Google reCAPTCHAのV3のSite keyとSecret keyを取得します。
v2のサイトキーとシークレットキーを使いまわすことは出来ず、
v2のkeyはv2のkey、v3のkeyはv3のkeyと別のものになります。
Googleアカウントにログインした状態で、Google reCAPTCHAのページにアクセスして
パソコン版の場合、右上のMy reCAPTCHAという青いボタンをクリック。
そちらのページに、
Register a new site
Label
Choose the type of reCAPTCHA
というような項目がある入力画面が出ていると思うので
Labelは自分の覚えやすい名前をつけて、なんでもいいのでアルファベットで書きます。
Choose the type of reCAPTCHAはv3を選択
Domainsは自分のドメイン、httpsは書かずに、○○○.comだけ書けばOKです、そして
△△△.○○.comなどサブドメインでサイトやブログをやっている場合も、ルートドメインの○○.comだけでOK、同じドメインのサイトであればサイトキーやシークレットキーを使いまわしてOKです。
Accept the reCAPTCHA Terms of Service.という箇所のチェックは、利用規約に同意しますか?というような意味なので、チェックを入れます。入れないと先に進めません。
Send alerts to ownersという箇所もチェックを入れます。(デフォルトでチェックが入っています。)この項目は「?」マークをクリックすると、どういう意味なのか詳細を見ることが出来て、何か問題やエラーがあったら通知しますか、というような意味です。
そして登録という意味のRegisterという青いボタンを押します。日本のサイトでいうところの送信とか決定という意味です。
すると、ページが進んで
Adding reCAPTCHA to your siteの
keysという箇所にSite keyとSecret keyが表示されているので、この記号をコピー&ペーストして、後でプラグインの入力欄に貼りつけるだけです。
keysが表示されないよ!っていう時は、keysという部分をクリックして展開すると出ます。
keyは今メモっておいてもいいのですが、Googleアカウントにログインした状態で、こちらにアクセスすると、いつでもkeyを見ることが出来ます。
Your reCAPTCHA sitesという、今まで設定したreCAPTCHAの一覧のページに来ることが出来て、使うキーをクリックすれば、Site keyとSecret keyが表示される画面に行きます。
Contact Form 7を利用した、お問い合わせフォームでGoogle reCAPTCHAのv3を使う方法
Contact Form 7が5.1より前のバージョンの場合は、まず更新して5.1にします。
更新後、ワードプレスのダッシュボードにあるメニューから、お問い合わせ→インテグレーションと進みます。
reCAPTCHAという箇所に先ほどGoogle reCAPTCHAで取得したv3のサイトキーとシークレットキーを入力して完了です。
v3からはお問い合わせの送信ボタンの手前にある、チェック式のGoogle認証ボタンはなくなり、常にサイトの右側にreCAPTCHAのマークが出ていてサイトを監視している状態になります。サイトをどのように動いたかをスコアで出してbotか人間かを判断するようです。
よって、Contact Form 7のv2までの時にコンタクトフォームに設定していた[recaptcha]のボタンは不要になります。自動で無効になるのでv2の時の設定のままでも問題はないのですが
ワードプレスダッシュボードメニューからお問い合わせ→コンタクトフォームと進んで、
コンタクトフォームのタイトルのすぐ下の編集をクリックした進んだ先の
フォームに、[recaptcha]が表示されている場合、
消しておくと確実です。(v3では不要なので。)
これでお問い合わせの設定は完了です。
Google Captcha (reCAPTCHA) by BestWebSoftでコメントフォームにもGoogle reCAPTCHAのv3を導入
プラグインでGoogle Captcha (reCAPTCHA) by BestWebSoftをインストールしている場合、
ワードプレスダッシュボードメニューにGoogle Captchaとあるので、そちらに進みます。
するとGoogle Captcha Settingsという画面に進むので
Authenticationの
Site key
Secret key
という箇所に
先ほど取得した、v3のサイトキーとシークレットキーを入力します。
入力後、サイトキーやシークレットキーの入力ボックスのすぐ下に
テストのボタンが出現し、そちらのボタンを押すと
青いボタンに変わるので、こちらのボタンも押します。
サイトキーとシークレットキーが正しく入力されていると、
キーの横に
緑色のチェックマークがつくので、テストボタンを押して確認しておくと良いです。
Generalという項目の
Enable reCAPTCHA forという部分は
Comments formのみにチェックを入れます。
ログインフォーム等にもGoogle Captcha (reCAPTCHA) by BestWebSoftで
Google reCAPTCHAを設定すると、なぜかワードプレスにログイン出来なくなった等、
うまくいかないケースもあるようなので、私はコメントのみに設定しています。
このベージュ?黄色っぽい部分は課金コースの方の設定なので
私は無料版のみの使用なので、このへんは飛ばして下にスクロールします。
黄色っぽい部分は、課金の予定がないなら×ボタンを押して消してもいいです。
Hide reCAPTCHA forという項目では、自分など、認証不要の人を設定します。
一人でワードプレスをやっている場合は、管理者だけにチェックを入れれば良いのではないでしょうか。もし、管理者や編集者などに分けて、ワードプレスを利用している場合は、必要に応じて設定します。
reCAPTCHA Versionという項目ではVersion 3を選択。
Scoreという項目の部分は、私もよくわからないのですが(苦笑
Google reCAPTCHAでのスコアの意味とは、
0.0ほどボットの可能性が高く、1.0ほど人間の可能性が高いという意味のようです。
こちらのページのInterpreting the scoreという箇所に説明があります。
よって、Google Captcha (reCAPTCHA) by BestWebSoftでのスコア設定も、どのくらいのスコアで、botと判断するか、という意味じゃないかなあ?と思います。
初期設定の0.5のままで良いのではないでしょうか。
というのも私自身、インターネットでサイトを閲覧する時に
見たい箇所を探して、ザーッと読み飛ばして下の方に行くような見方をする時があって
それもbot判定されていたら、無差別にbot判定してしまうことになると思うので
0.5くらいでいいんじゃないかな。
Whitelist Notificationは、自分のIPアドレスなど絶対的に安全だからreCAPTCHAの認証は不要と設定した人(ホワイトリスト)に出すメッセージを設定出来るようです。
Whitelistの設定は、ワードプレスダッシュボードのメニューにあるGoogle Captchaから設定できます。IPアドレスで入力するようです。
whitelistに設定した人に対して出すメッセージを入力する項目が
Whitelist Notificationです。
Disabled Submit Buttonは、「reCAPTCHAが読み込まれるまで送信ボタンを無効する」という内容のようなのでチェックを外しています。
最後にSave Changesという決定ボタンを押して設定を完了します。
これで常時、サイトがGoogle reCAPTCHAのv3に守られるようになっています。
お問い合わせと同様、コメント欄からもチェック式の認証ボタンはなくなっていて、
画面右側に出ているGoogle reCAPTCHAのマークが、ユーザー(閲覧者様)の操作は不要に、botか人間かをチェックしてくれているようになります。
個人的にはお問い合わせフォームにチェックボタンは欲しかったので、Contact Form 7の機能でチェックボックスを導入しました。
余談なのですが、Google reCAPTCHAをv3にしてから
reCAPTCHAと併用して、
私は、あえて、お問い合わせ欄で、送信ボタンの前に
チェックボタンを追加しました、これはContact Form 7で設定しています。
ユーザー(閲覧者様)は、ただチェックを入れるだけで送信出来ます。
なぜわざわざこんな原始的なことをするのかというと(笑
私のお問い合わせには、送信後にこの内容でいいですか?みたいな
確認画面はなく、今までその代わりに
reCAPTCHAのような認証ボタンがあると、送信ボタンを押したら決定なのだという雰囲気があったと思うのですが
チェックボックスや認証ボタンが何もなくなると、
送信後に「えっ、確認画面とかないの!?」って思わせてしまうかなって思って
あえてチェックボックスを導入しました。
自分で自分のお問い合わせに送信してみましたが、
Contact Form 7で設定したチェックボックスを
reCAPTCHAのv3と併用しても特に問題ないように思いました。
Google reCAPTCHAはv2とv3と、どっちが良いのか
今、使用しているプラグインがv2のまま使えるなら、しばらくv2のままでもいいんじゃないかなあと思います。年単位でv2のままっていうのは良くないかもしれないけど、一ヵ月二ヵ月くらいで特別リスクが高くなるようなことはないと思います。
私の場合はContact Form 7のバージョンを更新したことによりv3に移行せざるをえなくなったのでv3にしました。
大きな違いは、ユーザー(閲覧者様)が、コメントや、お問い合わせ送信の時にチェックを入れたり、それでOKが出なかった場合は、何度も何度も画像認証を求められることがあるv2と、
ユーザーの操作は一切なくなりサイトをどう動いたかで判断するv3との違いです。
サイトをどう動いたか常にサイトを監視してくれるv3のほうがセキュリティとしては安心のような気がしますが、迷っている場合は今すぐ導入しなくても、しばらく様子見しても良いのではないでしょうか。
コメント