【reCAPTCHAの代替】WordPressにCloudflare Turnstileを導入する手順を図解で解説

このように感じたことはありませんか？

Cloudflare Turnstileを、スパムやボットによる不正アクセスへの対策として導入するサイトが増えています。reCAPTCHAと異なり、ユーザーに煩わしい操作を求めずにボット対策ができることから注目を集めています。

本記事では、Cloudflare Turnstileの導入について、以下の内容をわかりやすく解説します。

• Cloudflare Turnstileの概要とreCAPTCHAとの違い
• WordPressへの導入手順
• Cloudflare Turnstileのメリットとデメリット

この記事を読むことで、Cloudflare Turnstileの基本から実際の設定手順まで理解でき、WordPressサイトのセキュリティ対策を行うことができます。導入を検討している方は、ぜひ参考にしてください。

Cloudflare Turnstileとは？

Cloudflare Turnstileって名前は聞いたことがあるのですが、何のことかわかりません…。

サイトへの不正なアクセスやスパムを自動で防いでくれるセキュリティツールです。

Cloudflare Turnstile（クラウドフレア ターンスタイル）とは、Cloudflareが提供する無料のボット対策ツールです。

サイトのフォームやログインページに設置することで、スパムや不正アクセスを自動的にブロックします。

スパム対策として広く使われてきたGoogleのreCAPTCHAは、無料プランにおける月間の評価回数が100万回から1万回へと大幅に引き下げられました。

現在は1万回を超えると機能の継続利用に有料プランへの移行が求められるため、代替ツールとして、Cloudflare Turnstileを導入するサイトが増えています。

Cloudflare TurnstileとreCAPTCHAの違い

従来のCAPTCHAは「信号機の画像を選んでください」といった画像認証や、歪んだ文字を入力させる方式が主流でした。こうした操作はユーザーにとって手間がかかるだけでなく、高齢者やスマートフォン利用者には負担が大きく、ストレスを感じるユーザーも少なくありませんでした。

Cloudflare Turnstileはバックグラウンドで自動的にボット判定を行うため、ユーザーが特別な操作をしなくても認証が完了します。

また、Cloudflare Turnstileは軽量な設計のため、ページの読み込み速度への影響がほとんどありません。reCAPTCHAはデータの読み込み量が多く、スマートフォンでの表示が遅くなりやすいです。

SEOにおいて重要なPageSpeed Insightsのスコアを1点でも上げたい場合、reCAPTCHAからCloudflare Turnstileに切り替えるだけで、モバイルスコアが改善するケースが多々あります。

WordPressへのCloudflare Turnstile導入手順

さっそくWordPressへの導入手順を知りたいです！

今回は、利用しているサイトの多いフォームプラグイン「Contact Form 7」を使用しているWordPressサイトを使って手順を解説します。

WordPressへのCloudflare Turnstile導入は、大きくわけて「Cloudflare側の設定」と「WordPress側の設定」の2段階で進めます。

• Cloudflare Turnstileのアカウントを作成する
• サイトキー・シークレットキーを発行する
• 発行したキーをWordPressに設定する
• 動作確認をする

順を追って確認していきましょう。

1.Cloudflare Turnstileのアカウントを作成する

出典：Cloudflare Turnstile

Cloudflare Turnstileの公式サイトにアクセスし、利用開始をクリックします。

出典：Cloudflare Turnstile

メールアドレスとパスワードを入力するか、各アカウントと連携してアカウントを作成します。

2.サイトキー・シークレットキーを発行する

出典：Cloudflare Turnstile

ダッシュボードにログインします。左側のメニューから「Turnstile」を選択し、「ウィジェットを追加」をクリックします。

出典：Cloudflare Turnstile

任意のウィジェット名を入力します。これは識別するためのものなので、後から判別しやすい名前であればOKです。

出典：Cloudflare Turnstile

ウィジェット名を入力したら、「ホスト名の追加」をクリックします。入力欄が表示されるので、対象サイトのドメインを入力してください。

出典：Cloudflare Turnstile

下部に入力したホスト名が表示されるので、チェックをいれて「追加」をクリックします。

出典：Cloudflare Turnstile

ウィジェットモードの設定は、デフォルトで「管理対象」にチェックが入っています。疑わしいアクセスの場合のみチェックボックスが表示される設定で、通常のユーザーには操作の手間がかかりません。

基本的にこの設定で問題ありません。このまま右下の「作成」をクリックします。

出典：Cloudflare Turnstile

「サイト キー」と「シークレット キー」が発行されます。この2つはWordPress側の設定で使用するため、コピーして控えておきます。

3.発行したキーをWordPressに設定する

WordPress管理画面の左メニュー「お問い合わせ」から「インテグレーション」を開き、Turnstileのセクションにある「インテグレーションのセットアップ」をクリックします。

Cloudflareで取得したサイトキーとシークレットキーを入力します。入力が完了したら「変更を保存」をクリックして設定完了です。

4.動作確認をする

実際にお問い合わせフォームのページを開き、Turnstileのウィジェットが表示されていれば完了です。

これまでreCAPTCHAを使用していた場合は、Turnstileの設定が完了したタイミングで連携を解除しましょう。

Cloudflare Turnstileを導入する際の注意点

Cloudflare Turnstileを導入する場合、何か注意したほうが良いことはありますか？

はい、いくつか気をつけておきたい点があります。

Cloudflare Turnstileは手軽に導入できるスパム対策ツールですが、以下のような注意点があることも把握しておきましょう。

• スパムを完全に防げるわけではない
• 正常なユーザーが弾かれる可能性がある
• 他のスパム対策ツールと競合する場合がある

スパムを完全に防げるわけではない

Cloudflare Turnstileは高い精度でボットをブロックできますが、すべてのスパムを完全に防げるわけではありません。人間が手動で送信するスパムや、高度な技術を使った攻撃も存在するため、Turnstileを導入していてもスパムが届く可能性は残ります。

判定の仕組みは公開されておらず、環境やアクセス状況によっては不正アクセスを正確に見分けられないケースもあります。

スパム対策の一つとして活用し、他の対策と組み合わせての運用がおすすめです。

正常なユーザーが弾かれる可能性がある

VPNの利用や特殊なネットワーク環境、ブラウザ設定によっては、まれに正常なユーザーがボットと誤判定されることがあります。

セキュリティレベルが高く設定されている場合や、アクセス状況によっては、追加の確認が表示されたり、送信がブロックされたりすることもあります。

フォームが送信できない場合は、誤検知の可能性が高いです。

導入後は実際の動作を確認しながら、必要に応じて設定の見直しも検討しましょう。

他のスパム対策ツールと競合する場合がある

Cloudflare Turnstileは、他のスパム対策ツールやセキュリティ系プラグインと競合して正常に動作しなくなることがあります。

reCAPTCHAや別のCAPTCHA系ツールを同時に有効にしている場合や、セキュリティツールと組み合わせている場合、エラーや誤作動が起こることも珍しくありません。

導入後は各フォームが正常に動作しているかを確認し、問題が発生した場合は他のプラグインとの競合を疑ってみましょう。問題がある場合は不要な機能を停止するなどして、必要なものだけに絞って運用することをおすすめします。

Cloudflare Turnstileの導入に関するよくある質問

まとめ

Cloudflare Turnstileは、reCAPTCHAの代替ツールとして導入するサイトが増えています。ユーザーに煩わしい操作を求めない点が、reCAPTCHAとの最大の違いです。

導入にあたってはCloudflare側でサイトキーとシークレットキーの取得が必要ですが、手順自体はシンプルです。reCAPTCHAからの移行を検討している場合も、比較的スムーズに切り替えられるでしょう。

すべてのスパムを完全に防げるわけではありませんが、何も対策をしないよりは安全です。フォームは設置しているけどスパム対策をしていないという方は、ぜひ導入を検討してみてください。