[WordPress] マルチサイトのセキュリティ①:reCaptcha v3でボット(スパム)対策

技術メモ

マルチサイトのセキュリティ対策

WordPressをマルチサイト化すると、ひとつのサイトネットワーク内に複数のWordPressサイトができます。通常のWordPress(シングルサイト)ですら、何の対策もせずに放置すれば確実にスパムコメントやら何やらが来るわけですから、もしマルチサイトを対策なしで放置したら子サイトの数だけ攻撃が増えるということに…。

そんななか、Googleが提供しているreCaptcha v3は、Invisible reCaptchaプラグインと組み合わせることでマルチサイト全体を保護することが出来ます。reCaptcha v3は簡単に言うと「AIが自動でボットを判別し遮断する」という仕組みですが、かなり防御力は高いです。
マルチサイトに対応した無料のセキュリティ系プラグインはあまり多くないので、これは嬉しい。

なお、一般的な「reCaptcha v3+Invisible reCaptcha」の導入方法はたくさん紹介があるので、具体的な手順はそちらを参照してください。たとえば:

スパム対策のreCAPTCHA v3をWordPressに導入するならプラグインが簡単で便利
→画像入りでreCaptchaの導入手順が紹介されています。

マルチサイトにreCaptcha v3を導入する

ここからは、マルチサイトに「reCaptcha v3+Invisible reCaptcha」を導入する場合の話です。
シングルサイトとはちょっと挙動が変わるところがあるので、本記事ではその注意点に絞って紹介します。(Google reCaptchaの具体的な使い方はここでは説明しません。上記のサイト等で確認してください。)

reCaptcha v3サイトキーの取得

マルチサイト用のreCaptchaサイトキーは「親サイト」ひとつ分だけ取得するのでOKです。ネットワーク側でreCaptchaを設定すれば全サイトに適用されるからです。

例えば、以下のような構造のマルチサイトだった場合、

https://xxxxxx.com/ 親サイト
https://xxxxxx.com/site1/ 子サイト1
https://xxxxxx.com/site2/ 子サイト2

親サイトである「xxxxxx.com」のサイトキーだけ取得すれば良いということです。

Invisible reCaptchaの有効化

「サイトネットワーク管理>プラグイン」で「Invisible reCaptcha」をインストールし、「サイトネットワークで有効化」すると、全サイトで有効化されます。大変便利です。

有効化したあとは:
・Invisible reCaptchaの設定が「サイトネットワーク管理>Invisible reCaptcha」に表示されます。
・親サイト+子サイト側にはInvisible reCaptcha設定は現れません。(ネットワーク側の一括設定で便利)

「サイトネットワーク管理」でInvisible reCaptchaを有効化

Invisible reCaptchaの設定

Invisible reCaptchaプラグインの設定画面でやることは、シングルサイトと同じです。
・サイトキーと秘密鍵は「親サイト」のものを入力するだけでOKです。
・それ以外の設定もシングルサイトと全く同じでOKです。

設定も「サイトネットワーク管理」で行います

Invisible reCaptchaでは、最低限次の設定をおすすめします。(必要に応じて設定を追加してください)

設定タブ
サイト鍵:GoogleのreCAPTCHAで取得した「Site Key」を入力します。
秘密鍵:GoogleのreCAPTCHAで取得した「Secret key」を入力します。
言語:reCAPTCHAの表示言語の設定です。「自動検出」で良いでしょう。
バッジ位置:reCAPTCHAのバッジをどこに表示させるかの設定です。スマホでの表示を考慮するとインラインがおすすめ。

WordPressタブ
登録フォームの保護を有効化: ☑
コメントフォームの保護を有効化: ☑
パスワード再発行フォームの保護を有効化: ☑
※全部チェックしておけば問題ありません。

問い合わせフォームタブ
Contact Form 7の保護を有効化: ☑
※Contact Form 7を使うのであれば必ずチェック。スパムメールを防いでくれます。

Invisible reCaptchaの設定が終わると、「親サイト」「子サイト」含め、ネットワーク内の全サイトにreCaptchaが適用されます。
その後、全サイトの投稿ページのコメント欄にreCaptchaバッジが表示されれば成功です。

親サイト・子サイトともコメント下にreCaptchaバッジ出現

他にも、ログイン画面やお問合せフォームなど、全サイトのあらゆるフォームにreCaptchaバッジが表示され、ボットを遮断してくれるようになります。

マルチサイトreCaptcha v3導入まとめ

reCaptcha v3は無料ですし、非常にシンプルな設定でマルチサイト全体がボット攻撃から保護されるので、ぜひサイト構築直後から導入しておきたいところです。

ちなみに私は、スパムメールが大量に来るようになってからreCaptcha v3を導入したことがありますが、その後うそのように平和になりました。AIがどのように人間とボットを判別しているのか謎ですが、体感的にはかなり信頼できるツールだと思います。

ただ、reCaptchaはあくまでもボット対策に特化したものなので、WordPressのログインページのURL変更のような根本的なセキュリティ対策は別のプラグインを使って行うことになります。その話はまた今度!

にほんブログ村 IT技術ブログ Webサイト構築へ
にほんブログ村「Webサイト構築」ランキング参加中です。ポチッと応援お願いします♪

naochka

コメント

この記事へのコメントはありません。

CAPTCHA


naochka

長年IT業界でWeb+デザインをやってました。いまはWordPress中心です。やや技術的な話が多いですが、なぜか世界中あちこち放浪してた関係でたまに想い出を綴ってたりもします。 Wall Street Journalを読む会の英語ナビゲーターやってました。(実は帰国子女)

最近の記事

  1. 第15回 Wall Street Journalを読む会(最終回):市場が再び短期思考に回帰する理由

  2. 第14回 Wall Street Journalを読む会:アメリカ発の技術革新が、かつてない長期のドル高トレンドを牽引

  3. 第13回 Wall Street Journalを読む会:アメリカで実体経済と株価が乖離している理由とは?

  4. UAの二重計測問題の確認方法と解決策:UAとGA4を共存運用+All in One SEOで連携してる人は注意

  5. 初めてのWordPressテーマ選び、美麗デザインを購入するときは設定の難易度に気をつけて

最近のコメント

カテゴリー

アーカイブ

タグ

WordPress (28) WP技術 (15) WSJ会 (15) Illustrator (12) イラスト (11) WPデザイン (9) 手描き (8) デザイン (7) ロシア (7) マルチサイト (6) アメリカ (6) SWELL (6) アフリカ (5) ターニャ (5) 開発 (5) オリジナル (5) 名刺デザイン (4) ウクライナ (4) 昔話 (4) 飛行機 (4) 自作テーマ (3) GA4 (3) CSS (3) Photoshop (3) 戦争 (3) 旅行 (3) Web制作 (3) 英語 (3) セキュリティ (3) アプリ (3) 大陸横断 (2) LP (2) 経済 (2) 金融 (2) 上司 (2) カメラ (2) 会社 (2) ブログ (2) プリント (2) 旅するカレー (2)

次回のWSJ会開催@Peatix

TOP