Google reCAPTCHAの導入方法・Contact Form 7に設定する方法

WordPressブログにお問い合わせフォームを設置していると、迷惑なロボットによるスパム投稿が大量に届くことがあります。

そんな時は、Googleが提供する「reCAPTCHA（リキャプチャ）」を導入するとスパムを防止できます。

この記事では、reCAPTCHAの仕組みや設定方法、導入のメリット・デメリットを初心者にも分かりやすく解説します。

Google reCAPTCHAとは？

reCAPTCHA（リキャプチャ）とは、Googleが提供しているWebサイトをスパムや不正アクセスから守る無料のセキュリティサービスです。​

reCAPTCHAは、ウェブサイトにアクセスしているのが本物の人間なのか、それとも悪意のあるプログラム（bot）なのかを区別するための仕組みです。

Googleによって無料で提供されており、多くのウェブサイトでスパム対策として導入されています。

reCAPTCHAを利用すると、フォームの不正送信や不正なアクセスを防げます。

reCAPTCHA v3の基本

reCAPTCHAのサービスは、サイトを登録すれば無料で利用できます。

現在提供されているのは、reCAPTCHA v3と、ひとつ前のバージョンであるv2の2種類です。

reCAPTCHAがbotを見分ける仕組み

reCAPTCHAは、様々な方法で人間か、bot（悪意のあるプログラム）かを見分けています。

チャレンジ/レスポンス型:
古典的な方法で、ユーザーに何らかの課題（文字入力、画像選択など）を与え、それをクリアできるかどうかで判断します。
Botには難しい歪んだ文字や複雑な画像の認識を利用します。

行動分析型 (reCAPTCHA v3):
最新のバージョンのreCAPTCHA では、ユーザーがウェブサイト上でどのようにマウスを動かしているか、どのくらいの速さでクリックしているかなど、人間らしい自然な行動を分析します。
これにより、ユーザーに特別な操作をさせることなく、裏側でbotかどうかを判定します。

v2とv3の違い

現在利用できるreCAPTCHAのバージョンは「v2」と「v3」です。

reCAPTCHA v2:
「私はロボットではありません」というチェックボックスをユーザーがクリックするタイプです。

Googleが怪しいと判断した場合のみ、追加の画像選択チャレンジが表示されることもあります。

メリット: 導入が比較的簡単で、bot判定が分かりやすい。

デメリット: ユーザーに一手間かけさせてしまうことがある。

reCAPTCHA v3:

ユーザーには見えないところで行動が分析され、0.0 (botの可能性大) から 1.0 (人間の可能性大) のスコアが付けられます。
サイト運営者は、このスコアに基づいてアクセスを許可するか、追加認証を求めるかなどを判断します。

メリット: ユーザーに負担をかけないため、UX（ユーザー体験）が良い。

デメリット: スコアに基づいてどう対応するか、サイト側での判断（設定）が必要になる場合がある。
ただし、WordPressプラグインなどでは自動で処理してくれることが多い

初心者には、ユーザー体験に優れた「reCAPTCHA v3」の導入がおすすめです。

「スコアに基づいた自動判定」
例えば、Contact Form 7のようなプラグインと連携した場合、このスコアが低い（botの可能性が高い）と判断されたアクセスからの送信を自動的にブロックしてくれます。
サイト運営者は、難しい設定をせずとも、プラグインが自動で判断してくれるため、手間なくスパム対策ができます。

Contact Form 7にreCAPTCHAを導入する方法

WordPressで定番のお問い合わせフォームプラグイン「Contact Form 7」にreCAPTCHA v3を導入する実際の手順を解説します。

手順は次の3ステップです。

サイトを登録する

まず最初に、あなたのブログサイトをreCAPTCHAに登録します。

reCAPTCHAに登録をするにはGoogleアカウントが必要です。
※Gmailなどのアドレス

Googleアカウントにログインした状態で、以下のリンクをクリックするとreCAPTCHAの登録画面が開きます。

すべての項目が入力必須です。

送信後、画面に「サイトキー (Site Key)」と「シークレットキー (Secret Key)」が表示されます。

サイトキーとシークレットキーを取得する

下記のような画面にサイトキーとシークレットキーが表示されます。

サイトキー:
ウェブサイトの訪問者に見える部分（フロントエンド）に設置します。

シークレットキー:
ウェブサイトの裏側（サーバーサイド）で、Googleとの通信に使います。絶対に他人に知られないように、大切に保管してください。
これらのキーは後で使うので、コピーしてメモ帳などに一時的に控えておきましょう。

Contact Form 7に設定する

次に、取得したサイトキーとシークレットキーをContact Form 7に設定します。

プラグインの設定画面で、取得したサイトキーとシークレットキーを入力することで、スパム対策が強化されます。

WordPressの場合、「Contact Form 7」のように、プラグイン側でreCAPTCHA連携機能が用意されていることが多いです。
テーマによっては、テーマ設定の中にキーを入力する欄がある場合もあります。

reCAPTCHA v3を活用するメリット

ユーザー体験が良い: 訪問者は何も操作する必要がありません。チェックボックスをクリックしたり、画像を選んだりする手間がないため、スムーズにサイトを利用してもらえます。

バックグラウンドでの保護: サイトの閲覧中、常にユーザーの行動を分析し、怪しい動きがないかをチェックしてくれます。

高度なbot検出: 単純なチャレンジではなく、AIが行動パターンを分析するため、より巧妙なbotも見破りやすくなっています。

柔軟な対応: スコアに応じて、「完全にブロックする」「コメントを承認待ちにする」「通常通り許可する」など、サイト側で対応を調整できます（プラグインが対応している場合）。

reCAPTCHAのデメリットと注意点

メリットが多いreCAPTCHAですが、いくつか注意点もあります。

v3バッジが表示される:
reCAPTCHA v3を使用する場合、通常はサイト上にGoogle reCAPTCHAのバッジが自動的に表示されます。

Googleの利用規約で定められた手順を守れば、非表示にすることもできます。

誤判定の可能性:
まれに、本物の人間をbotと誤判定してしまう（またはその逆）可能性もあります。
精度は100%ではないことを理解しておきましょう。

プライバシーへの懸念:
reCAPTCHA v3はユーザーの行動を分析するため、プライバシーに関する懸念を持つ人もいます。
心配な場合、サイトのプライバシーポリシーに、reCAPTCHAを使用している旨を記載しておきましょう。

サイトの信頼性を高めるためにも、プライバシーポリシーにreCAPTCHAの使用について明記することをおすすめします。

reCAPTCHAのバッジを非表示にする方法

reCAPTCHAを利用すると、画面の右下にreCAPTCHAのバッジが表示されます。

このreCAPTCHAのバッジは、非表示にできます。

ページのデザインの邪魔になったり、コンテンツと重なってしまう場合は、非表示にするのがおすすめです。

ただし、非表示にする場合は以下のコードを入力し、reCAPTCHAを利用していることを表示するのが条件となっています。

This site is protected by reCAPTCHA and the Google
    <a href="https://policies.google.com/privacy">Privacy Policy</a> and
    <a href="https://policies.google.com/terms">Terms of Service</a> apply.

非表示にするには、CSSを使います。
下記のコードを「外観」→「カスタマズ」→「追加CSS」に追加すると、バッジが非表示になります。

.grecaptcha-badge { visibility: hidden; }

reCAPTCHAに関するよくある質問