WordPressにreCAPTCHAを導入

Posted by

概要

本ブログはWordPressで運用しているのですが、プラグインのJetpackを導入してからダッシュボードで「悪意のあるログイン試行のブロック数」が表示されるようになり、毎日結構な数になっていたことから、Google社のreCAPTCHA(リキャプチャ)を導入してみました。その際の手順を簡単にまとめます。
なお、reCAPTCHAのバージョンはv3、WordPressのプラグインはGoogle Captcha (reCAPTCHA) by BestWebSoftを使用しております。

GoogleへWEBサイトの登録&APIキー取得

下記のGoogle社のページで右上にあるAdmin ConsoleからWordPressのWebサイトを登録します。
https://www.google.com/recaptcha/intro/v3.html

まずは登録するサイトのドメインとラベルを適切に入力します。また、reCAPTCHAのタイプは今回、v3を使用します。こちらは、reCAPTCHAの最新版であり以前のようなチェックボックス押下も不要で、どういうロジックかはわかりませんが自動でGoogle社がスコアを出して、人間かBotかを判断してくれるようです。

WordPressにプラグインを導入

reCAPTCHAをログイン画面やコメント画面のフォームへ簡単に導入してくれるプラグインを使用します。今回は、v3にも対応していたGoogle Captcha (reCAPTCHA) by BestWebSoftを使用することにしました。
プラグインのURLは、こちらになります。
https://ja.wordpress.org/plugins/google-captcha/
設定に関する手順書もしっかり整理されており、こちらから参照可能です。
https://docs.google.com/document/d/1yTDdMSLqvgATbo5lPzuNn4QRF0EyEPFuLoFB15beMww/edit

プラグインの設定

プラグインを有効化するとサイドバーに”Google Captcha”が現れます。
ここで、上記の手順においてGoogleの登録ページで取得したAPIキー(サイトキーとシークレットキー)を正しく入力します。

APIキーを入力すると”Test Captcha”のボタンが表示されるので、正しく認証が実施できるかを確認します。

reCAPTCHAのバージョンと、有効化するフォームの箇所を選択します。

reCAPTCHAを隠すユーザと肝心の人間かBotかを判定するスコアを選択します。
とりあえず、デフォルトの設定の0.5のままにして様子を見ようと思いますが、Google社曰く0.5が閾値に最適のようです。

まとめ

冒頭に記載した通りスパムによるログインアタックが多かったのが導入した一番の理由ですが、reCAPTCHAのv3で運用してみたかったのも実は結構あります。実際にどのようなスコアが出ているかを定期的に管理コンソールから確認してみたいと思います。