この記事では、GoogleのreCAPTCHAの代替となる「Cloudflare Turnstile」の使い方について、くわしく解説していきます。
| 2025.02.23 | 「プラグイン「Simple Cloudflare Turnstile」の設定」に、Turnstile対応プラグイン、ダークタイプウィジェットについての説明を追記 |
| 2025.03.05 | ホスト名の入力仕様を「ホストの追加」に詳細に明記(FAQにも追加) |
ちょっと前に、以下のメールが届いた件がX(旧ツイッター)で話題になっていました。
「推奨処理」2025年末までにreCAPTCHAキーをGoogle Coloudプロジェクトに移行してください」
これは、現在使っているreCAPTCHAキーを、Google Coloudプロジェクトに移行してくださいということですね。
でも、そのまま2025年末までほっといても自動で移行されるようなことを書いている記事もありましたが、真偽のほどは定かではありせん。
既に、自動でGoogle Coloudプロジェクトに移行されている人もいて、その場合は、おそらく上記メールは届きません。
ちなみに、僕もいつのまにかGoogle Coloudプロジェクトに移行されてたので、メールは届いていません。
Google Coloudプロジェクトに移行されているか確認する方法は、後述の「reCAPTCHAが移行されているか確認する方法」に書いているので、参考にしてください。
移行したGoogle Coloudプロジェクトですが、基本的には無料で利用できます。
10,000リクエストだと大丈夫そうに思いますが、reCAPTCHAを使っている全サイトの合計リクエストが10,000を超えたらということなので、アクセスが多いサイトをいくつか持っているとこの制限を簡単に超えると思いますね。
また、ボットによる大量のリクエストが発生した場合でも、簡単に10,000超えてしまいます。
ということで、ちょうどいい機会なので、GoogleのreCAPTCHAから完全無料の「Cloudflare Turnstile」(クラウドフレア ターンスタイル)に乗り換えてみました。
GoogleのreCAPTCHAを継続利用するかどうか迷っている人は、ぜひ参考にしてください!
GoogleのreCAPTCHAから乗り換えた理由
あらためて、GoogleのreCAPTCHAから「Cloudflare Turnstile」に乗り換えた理由をざっくりまとめました。
完全無料でない
冒頭でも書きましたが、Google Coloudプロジェクトに移行すると、10,000リクエスト/月までは無料ですが、それを超えると有料(課金)にアップグレードされます。
引用元:reCAPTCHA の各ティア間の機能の比較
全サイトの合計リクエスト数が判定の対象なので、アクセスが多いサイトを持っていたり、ボットのスパム攻撃が大量にある場合も、簡単に10,000リクエスト/月を超えてしまうんじゃないかと思われます。
Google Cloudプロジェクトへの移行が面倒くさそう
Google Cloudプロジェクトへの移行手順をざっくり確認したんですが、かなり難しそうです。
情報が多すぎてどこを重点的にに読めばいいのかわかりませんが、どうやら移行はConsole、または「Google Cloud コンソール」の画面を利用すればいいということはわかりました。
そこまでわかっても移行は難しそうです。
そんなわかりづらいGoogleの移行手順ですが、なんとたった3つの手順を実施すればいいようです。
参考にしたのは以下のサイト。
この記事の「reCAPTCHA の移行手順」に3つの手順が書かれているので、移行を考えている人は参考にしてください。
「Cloudflare Turnstile」とは?
「Cloudflare Turnstile」(クラウドフレア ターンスタイル)は、アメリカのCloudflare社から提供されているCAPTCHAに変わる無料の検証ツールです。
- CAPTCHAの代替
-
GoogleのreCAPTCHAなどの代替えとして、スパムボットからの攻撃を防止することができる。
- ユーザーエクスペリエンスの向上
-
視覚的なパズルを見せることなく、人間であることを確認できる。
※Googleの「eCAPTCHA V3」と同等で、バックグランドで実行
- 完全無料
-
評価数(リクエスト数)の上限もなく、無料で利用できる。
※上記画像は、ブラウザの翻訳機能を使ったページを元に出典しており、赤下線を追加しています。 - 使い方が簡単
-
プラグイン「Simple Cloudflare Turnstile」により、キーの入力とフォームの選択だけで使えるようになる。
「Cloudflare Turnstile」の使い方
今から「Cloudflare Turnstile」の使い方を解説しますが、やることは以下の3つです。
Cloudflareのアカウント作成
まず、Cloudflareでアカウントを作成しますが、既にGoogleアカウントを持っている人はそのアカウントを選択するだけでアカウントが作成できます。
Cloudflareのサインアップ画面にアクセスし、「Googleで続行」をクリック。
Cloudflare | Web Performance & Security
Googleアカウントを選択。
「次へ」をクリック。
ウィジェット/ホストの追加とキーの取得
続いて、ウィジェットとホストを追加し、ウィジェットに紐づくサイトキー、シークレットキーを取得します。
ウィジェットの追加
まず、問い合わせ画面やログイン画面などに表示する、以下のようなウィジェットを追加します。
左のメニューから「Turnstile」をクリックし、どちらかの「ウィジェットを追加」をクリック。
なんでもいいので、識別できるウィジェット名(①)を入力し、「ホスト名の追加」(②)をクリック。
ホストの追加
作成したウィジェットに引き続き、ホスト名を追加していきます。
ホストというのはドメインのことで、以下の公式ページのに書いているように、example.comやsubdomain.example.comなどの完全修飾ドメイン名(FQDN)で入力する必要があります。
公式ページ Hostname management · Cloudflare Turnstile docs
ホスト名には、完全修飾ドメイン名(FQDN)を入力(①)し、「追加」(②)をクリック。
入力したホスト名が表示されるので、「追加」をクリック。
画面の一番下にある「作成」をクリック。
サイトキー/シークレットキーの取得
ウィジェットが作成されると、画面の下にサイトキー/シークレットキーが表示されます。
「クリックしてコピー」をクリックするとクリップボードにキーがコピーされるので、メモ帳にでもそれぞれキーを貼り付けておきます。
ここでコピーしたキーは、プラグイン「Simple Cloudflare Turnstile」の画面に入力しますよ。
プラグイン「Simple Cloudflare Turnstile」の設定
プラグイン「Simple Cloudflare Turnstile」を使って、そのサイトでウィジェットが使えるように設定していきます。
既にTurnstile対応のプラグインを使っていますか?
問い合わせフォームが作成できるプラグイン「WPForms」は、このプラグイン自身がTurnstileに対応しています。
今使っているプラグインがTurnstileに対応しているか、すぐに確認してみましょう!
プラグイン「WPForms」を使っている場合は、こちらの記事に進んでください。
インストール/有効化
まず、プラグイン「Simple Cloudflare Turnstile」をインストール/有効化します。
WordPressにログインし、管理画面メニュー「プラグイン」の「新規追加」(①)をクリック。
「Simple Cloudflare Turnstile」を入力(自動で検索されます)
「今すぐインストール」→「有効化」をクリック。
「Cloudflare Turnstile」との連携をセットアップ
有効化すると、自動で「Simple Cloudflare Turnstile」の画面に移動します。
(移動しない場合は、管理メニューの「設定」→「Cloudflare Turnstile」とクリック)
ウィジェットの画面でコピーしたサイトキーとシークレットキーを入力。
下の方でサイトにインストール済のフォーム用プラグインがチェックできるので、チェック(①→②)して「変更を保存」をクリック。
ダークモードの画面の場合(タップで詳細展開)
ダークモードの画面を利用している場合は、ウィジェットのテーマ(タイプ)をダークに変更すると背景色と馴染んで見栄えがよくなります。
設定が保存されるとウィジェットが表示されるので、「人間であることを確認します」にチェック。
エラーになる場合(タップで展開)
ウィジェットに追加されているホスト(ドメイン)と異なるサイトの場合は、「ドメインが無効です」と表示されます。
サイトキーやシークレットキーが間違っている場合は、以下のエラー画面が表示されます。
さらに、「応答テスト→」をクリック。
チェックを入れた「問い合わせ」フォームを表示させると、「送信」ボタンの前にウィジェットが表示されていることが確認できればOKです!
ウィジェットにチェックをつけないと送信できないので、スパムbotを防ぐことができますよ。
ただし、セキュリティ強化プラグイン「XO Securitty」などでCAPTCHAの設定を有効にしていると、プラグインのCAPTCHAと「Cloudflare Turnstile」のウィジェットの両方表示されて、二重にチェックすることになります。
この場合は、「Cloudflare Turnstile」のウィジェットを利用しないようにしましょう。
ウィジェット/ホストの削除
ウィジェットとホストを削除する手順です。
まずは、ウィジェットの削除。
Cloudflareの左のメニューから「Turnstile」をクリックし、削除したいウィジェットの「Settings」をクリック。
画面の下にある「削除」をクリック。
「削除」をクリック。
次は、ホストの削除です。
Cloudflareの左のメニューから「Turnstile」をクリックし、削除したいホストが含まれているウィジェットの「Settings」をクリック。
削除したいホストの右にある「削除」をクリック。
画面の下にある「更新」をクリック。
ウィジェットに紐づくキーを取得する
既に作成しているウィジェットに紐づくキーを取得する方法です。
Cloudflareの左のメニューから「Turnstile」をクリックし、キーを取得したいウィジェットの「Settings」をクリック。
画面の下に、①の「表示」アイコンを押して、サイトキー、シークレットキーの「クリックしてコピー」は押してキーを取得してください。
reCAPTCHAが移行されているか確認する方法
reCAPTCHAキー(reCAPTCHA Classic)がGoogle Coloudプロジェクトに移行されているか確認する手順です。
以下のメールが届いている人は、移行されていない可能性が高いですが、念のため次の手順で確認してください。
「推奨処理」2025年末までにreCAPTCHAキーをGoogle Coloudプロジェクトに移行してください」
reCAPTCHAの管理画面にアクセス。
以下のように、赤枠の「Google Coloud」アイコンが表示されていて、マウスを乗せると「Google Coloudプロジェクトに関連付けられています。」と表示された場合は、そのキーは「Google Coloud」プロジェクトに移行済みです。
また、以下の「Google Cloud console」画面にアクセスして、下の「reCAPTCHA のキー」 セクションに移行されたキーが表示されていたら、そのキーは移行済みです。
「Cloudflare Turnstile」についてのFAQ
「Cloudflare Turnstile」に関するFAQをまとめましたよ。
「Cloudflare Turnstile」は無料で利用できますか
「Cloudflare Turnstile」は100%無料で利用できます。
「Cloudflare Turnstile」が連携できるプラグインを教えてください
以下のフォームやコメントなどが作成できるプラグインが連携できます。
上記プラグインがサイトにインストールされている場合、プラグイン「Simple Cloudflare Turnstile」の設定画面で、自動でプラグインが選択できるようになります。
「Cloudflare Turnstile」の制限を教えてください
ウィジェットは最大10個作成でき、ウィジェットに追加できるホスト(ドメイン)は最大10個です。
つまり、10 x 10で最大100個のサイトで「Cloudflare Turnstile」を利用することができます。
出典元:Cloudflare Turnstile docs
※上記画像は、ブラウザの翻訳機能を使ったページを元に出典しており、赤下線を追加しています。
サブドメイン、サブディレクトリで「Cloudflare Turnstile」を利用する場合は?
「ホストの追加」で書いたように、ホスト名は完全修飾ドメイン名(FQDN)で入力する必要があります。
つまり、example.com(ルートドメイン)のサブドメインであるsubdomain.example.comで利用したい場合は、ホストにsubdomain.example.comを追加します。
サブディレクトリexample.com/subdirで利用したい場合は、ホストにexample.comが追加されていればOKです。
補足情報
公式ページを読んでみると、ホストにルートドメインがあればサブドメインで「Cloudflare Turnstile」が利用できそうに思えたので、実際に確認してみました。
公式ページ Hostname management · Cloudflare Turnstile docs
確認したところ、実際にサブドメインでも利用できました。
つまり、ホストにはサブドメインが不要ということですね。
ただし、ホスト名には完全修飾ドメイン名(FQDN)を入力する仕様なので、サブドメインを利用する場合は、きちんとサブドメイン名を追加した方がいいでしょう。
コメント
コメント一覧 (11件)
始めまして。
私も最近「Cloudflare Turnstile」に切り替えていて、還じいさんの解説がとても分かりやすくて助かっています。
質問なのですが、最後に
「1つのホスト(ルートドメイン)で、サブドメイン、サブディレクトリも利用できます。」
とありますが、サブドメインの場合、何か設定は必要でしょうか?
大元のドメインを「Cloudflare Turnstile」に設定し、ContactFoam7でオレンジのロゴは確認できましたが、サブドメインでは表示されず、お伺いしました。
よろしくお願いいたします。
お問い合わせありがとうございます!
> 還じいさんの解説がとても分かりやすくて助かっています。
そう言っていただけるだけで、記事作成に時間をかけた甲斐がありました。
サブドメインの件ですが、特別な設定などはありません。
※ここではわかりやすくするために、ルートドメインをhogehoge.com、サブドメインをsub.hogehoge.comとします。
この記事を書く時にいろいろ検証して、ホスト名がルートドメイン(hogehoge.com)だけのウィジェットでも、サブドメイン(sub.hogehoge.com)のTurnstileがきちんと動作したことは確認しているんですよ。
念のため、さっき別なサブドメインでも試してみましたが、やはりホスト名にサブドメインがなくてもTurnstileは動作しました。
ただし、Turnstileのホスト名に関する説明ページを見ると、ホスト名はFQDN形式(https://以降の名前ですね)である必要があると書かれていました。
https://developers.cloudflare.com/turnstile/concepts/hostname-management/
ですが、そのすぐ下の方にオプションとしてホスト名がルートドメインでも、サブドメインは使えるよと書かれていたんですよね。
なので、本当にできるかどうか確認してみたらできたんですけどね。
あやこさんの方でサブドメインがなぜうまくいかないのかはわかりませんが、ホスト名にサブドメインを追加してTurnstileが動作するかどうか、確認してみてはどうでしょうか。
記事にはFQDNについての注意書きを追加しようと思います。
よろしくお願いします。
こんにちは。
さっそくお返事おただきありがとうございます。
記事に追加情報まで入れていただき感謝しかありません。
サブディレクトリの場合は、example.comが追加されていればOKとのことですが、サブディレクトリのサイトの問い合わせフォーム(ContactFoam7)で確認してもオレンジのCloudflareバッジはでてきませんが、これでも機能していると判断しても大丈夫でしょうか?
あれ?サブディレクトリもダメですか?
Turnstileののウィジェット(オレンジのバッジ)が出ていないと機能していません。
以下のサイトは、【還じいブログ】のサブディレクトリです。
https://kanrekigg.com/cocoon/
このページの一番下にTurnstileののウィジェットが表示されていることがわかるかと思います。
※Contact Form 7を利用
確認なんですが、以下のページの手順を実施していますか?
(Contact Form 7の①、②にチェックをつけてますか?)
「Cloudflare Turnstile」との連携をセットアップ
サブディレクトリもダメとなると、どこか手順が漏れているような気がするので、このページの手順を再度確認ください。
よろしくお願いします。
すみません、やっと理解しました!!
大元のドメインを登録した上で、サブディレクトリではプラグインでサイトキーとシークレットキーのみ登録ということですね。
無事表示できました・・・
根気よくお付き合いいただきありがとうございました!!
うまくいってよかったですね。
記事の内容がわかりづらかったかもしれないので、見直して修正してみます。
お問い合わせ、ありがとうございました!
還じい様、
はじめまして。Wordpress初心者、しかも数日前に還!に突入したばかりのBBAです。Cloudflare Turnstileへの乗り換え解説ありがとうございました。おかげさまで無事、reCaptchaの代わりに、Turnstileを導入できました。助かりました!
で、絶賛、悩み中なことがあります。
Contact Form7を使うために導入したのですが、乗り換えたとたん、安全でないメール設定が十分な防御策なく使われているとして、赤い「!」マークがでております。メール2自動返信の[Your-Email]が原因と思われます。Contact Form7のFAQでは、reCaptchaかAkismetを推奨しておりますが、Turnstileでも駄目じゃない、というような回答もありましたので、この「!」は放置していてもいずれContact Form7のVersion upなどで解決するだろう・・・と勝手に期待しております。ただ、周りにこの問題を共有できる話し相手がおらず、とても不安です。還じい様のお考えをお聞かせいただければ幸いです。
いっそ別のフォーム作成プラグインに乗り換えるしかないか、、、と思っておりますが。。。せっかく慣れてきたのに乗り換えは嫌だなぁ、と。
お問い合わせありがとうございます、還じいです!
※GGIとBBAで気があいますね(笑
Turnstileへの乗り換えが無事終わったようで、お役に立ててよかったです。
さて、お問い合わせの件ですが。
結論から書くと、「自動返信」は無効にしてください。
理由は、メールフォームの自動返信機能がスパム配信に悪用されているからです。
ここ最近になって複数のレンタルサーバーから自動返信についての警告メールがきました。
詳細は、以下の記事を参照ください。
【注意喚起】問い合わせフォームの自動返信機能を悪用したスパムメール送信と対策について
自動返信の影響で、レンタルサーバーのメールサーバーがスパム登録されてしまい、メールが送信できない問題がいくつか報告されています。
※おそらく、自動返信を有効にしている利用者のメールフォームが狙い撃ちされて、スパムメールが配信されているんでしょう。
なにか自動返信にしている理由があるんでしょうが、自動返信は無効にすることを強くお勧めします!
reCAPTCHAやTurnstileでも、botによるスパム対策できますが、この先もどこまで有効なのかはわかりません。
僕もいくつかのサイトで「Contact Form 7」+Turnstileの組み合わせで運営していますが、スパムメールは届いたことはないです。
ただし、自動返信は無効にしています。
重ねて書きますが、「自動返信は無効」にすることを強くおすすめします!
以上、よろしくお願いします。
ちなみに、「Contact Form 7」ではreCAPTCHA(V3)を推奨していますが、Turnstileでも問題なく使えます。
早速のコメントありがとうございます!
うううううううう 自動返信なしですか。それは難しい&悲しい決断です。というか、3年もX-server使っていたのに、こんな注意喚起メール見なかった気がします。見逃したのでしょうね・・・
予約を受ける業務用メールなのですが、自動返信相当が必要な運用としたい場合、どうしたらいいのでしょう?あきらめて自力で夜なべして返信する、という作戦しかないものでしょうか?
取り急ぎ、アドバイスに従って、メール(2)のチェックを外しました。
話し相手がいるって、こんなにもうれしくて心強いものなのだと今、しみじみしております~ 心から感謝です!
返事ありがとうございます。
エックスサーバーからは3/18の20:04にメールが届いていたので、この時間帯のメールを確認すればあるんじゃないですかね。
自動返信をスパムに悪用されると、サイトそのものを海外からアクセスできないようにするとメールに書いていたので、ひとまず自動返信は無効にしてた方がいいと思いますよ。
今後、レンタルサーバーの方で自動返信に対する有効な手段を提示してくるかもわかりませんが、あまり期待しない方がいいでしょう。
でも、業務用のメールで自動返信が使えないと大変ですね。
もし、何か有効な対策など見つかりましたら、ここにでも書きこませてもらいます。
他に何か困りごとや、質問などあればお気軽にコメントください。
よろしくお願いします。
ありがとうございます!ちょくちょくサイトを覗かせていただきますね。これからも頼りにしております!