以下は、スパムメール対策として使っていた「Google reCAPTCHA」から「Cloudflare Turnstile」へ移行した際の覚書です。
問題及び解決策
「Google reCAPTCHA」は完全無料ではなくなるということを示唆するメールがGoogle からとどきました。「reCAPTCHA」は大変便利なスパム対策。でも、課金されることは避けたいです。どうすればよいでしょう?
私の場合は、「Google reCAPTCHA」から「Cloudflare Turnstile」に乗り換えるというのが解決策です。
移行の詳細
課金を示唆するメール
ことの発端は、「[Reminder] Your Google reCAPTCHA keys are eligible for migration to a Google Cloud Project」というタイトルのメールが来たときです。この[Reminder] の前にも同じ内容のメールが来ていたと思いますが、そのときはメールの内容をきちんと読まずに放置していました。
このメールに含まれていたリンクをクリックして課金制度(How billing works)を見てみると、一月あたり10,000 assessments までは無料であることが示されています。私のウェブサイトの場合は、おそらく今のところは無料の範囲だろうと思います。とはいえ、完全無料ではないということが頭の隅にありました。
CAPTCHA 代替サービス「Cloudflare Turnstile」
どうしたもんだかと悩みながら、CAPTCHA 代替サービスを検索したところ、Cloudflare の提供する「Turnstile」 というサービスが高い評価を受けているようでした。Cloudflareの持つ高度な脅威分析技術を活用することにより、リアルタイムでの安全性を確保しているとのことで、これにより、スパムや悪質なボットからサイトを守ってくれるらしいです。設定は簡単で、費用は不要、唯一必要なのはCloudflareのアカウント(無料)だけとのことです。さらに、「Turnstile」 は、ブラウザ情報や行動パターンを分析して、バックグラウンドで認証を行うことから、訪問者に画像を選んだり文字を入力したりする操作を求めることなく、自然な流れで認証が完了するため、訪れた人にとっても快適な操作体験を提供できそうでした。
また、WordPressで作成した私のホームページの場合は、問い合わせフォームを設置するために「Contact Form 7」というプラグインを利用していますが、「Contact Form 7」の運営元のページにおいても「Turnstile」が推奨されていました。
以上のような理由で、「Turnstile」を導入することにしました。
導入手順1.Cloudflareのアカウント作成
Cloudflareのアカウント作成ページを開き、GoogleやAppleのIDを使用するか、あるいは新たにメールアドレスとパスワードを入力してCloudflareのアカウントを作成します。
導入手順2.「Cloudflare Turnstile」の設定
次に「Cloudflare Turnstile」の設定をします。具体的には、「Cloudflare Turnstile」のページ上でウィジェットを追加し設定します。Cloudflareのダッシュボードを開き、サイドバーにある「Turnstile」をクリックします。
「ウィジェットを追加」(英語ページの場合は「Add widget」)をクリックします。
次にウィジェットの名称を入力します。これは自分用の識別ウィジェット名ですので、どんな名称でも構いません。
続いて、「Turnstile」 を利用する自分のウェブサイトのアドレス(ホスト名)を登録します(ホストというのはドメインのことです)。「ホスト名の追加」(英語ページの場合は「Add Hostnames」)をクリックすると、右端からメニューが出てきます。
その中の「カスタムホスト名を追加する」(Add a custom hostname)テキストボックスに対象のウェブサイトのアドレスを入力して、その並びにある「追加」(英語ページの場合は「Add」)をクリックします。すると、入力したウェブサイトのアドレスが「選択されたホスト名」(Selected hostnames)に追加されますので、チェックボックスにチェックを入れて「追加」(Add)ボタンをクリックします。
次に、ウィジェットモードを選択します。ウィジェットモードは、「Cloudflare Turnstile」のウィジェットの動作を指定するものです。選択肢は3つありますが、基本的にはデフォルトで選択されている「管理対象」(英語ページの場合は「Managed」)のままで構いません。最後に「作成」(Create)ボタンをクリックします。
ページがリフレッシュされ「Turnstile ウィジェットの作成に成功しました」というメッセージが表示されることを確認します。
メッセージの下に、「サイトキー」と「シークレットキー」が表示されます。この2つは「メモ帳」や「テキストエディタ」などにコピーしておくと便利です。
導入手順3.「Simple Cloudflare Turnstile」プラグイン
「Simple Cloudflare Turnstile」というプラグインをインストールして有効化します。
対象のウェブサイトで利用している「問い合わせフォーム」が「Contact Form 7」(6.1以降)や「WPForms」であれば、「Simple Cloudflare Turnstile」をインストールしなくても問い合わせフォームに関しては「Turnstile」 を有効化をすることができます。しかし、このプラグインをインストールしなければ、WordPressログイン画面など、「問い合わせフォーム」以外のフォームには「Turnstile」 が有効化できません。私の場合は、「Contact Form 7」を使用していますが、「Simple Cloudflare Turnstile」もインストールしました。
では、「Simple Cloudflare Turnstile」をインストール・有効化した後の、設定をします。「Simple Cloudflare Turnstile」の設定ページで、先ほどコピーしたCloudflareの「サイトキー」と「シークレットキー」を入力します。
次に基本設定を行います。「テーマ」では、画面に表示されるウィジェットの色をライト/ダーク/自動から選択します。「言語」では、ウィジェットで使用する言語を指定します。私は「自動検出」を選んでいます。「送信ボタンを無効化」とは、チェックボックスをONにすると、認証中は訪問者が送信ボタンなどを押せなくなります。
次に、どのフォームで 「Simple Cloudflare Turnstile」を有効化するかを指定します。基本的には、すべてのチェックボックスをONにします。明らかに不要である場合にはOFFのままにしておきます。
最後に、「変更を保存」をクリックします。
すると「応答テスト」ポタンが表示されるのでクリックします。「 成功 ! Turnstile はこれらの API キーで正しく動作します。」という表示が現れれば、 「Simple Cloudflare Turnstile」は正しく設定されているということです。
導入手順4.「お問い合わせ」の「インテグレーション」
「お問い合わせ」の「インテグレーション」画面で「インテグレーションのセットアップ」をクリックします。すると「サイトキー」と「シークレットキー」のテキストボックスが表示されるので、この2つのキーを入力します。最後に「変更を保存」をクリックします。
導入手順5.「Cloudflare Turnstile」の動作確認
対象のウェブサイトで「お問い合わせ」をクリックすると「Turnstile」のウィジェットが表示されています。
また、WorPressからログアウトすると、ログイン画面に「Turnstile」が表示されます。
動作確認が完了したところで「Google CAPTCHA」は削除しました。
まとめ
以上で「Google CAPTCHA」から「Cloudflare Turnstile」へ乗り換える作業はすべて終了しました。これで、「Google CAPTCHA」の新たな課金制度のことを気にする必要がなくなりました。一件落着。