[WordPress] マルチサイトのセキュリティ①:reCaptcha v3でボット(スパム)対策

技術メモ

マルチサイトのセキュリティ対策

WordPressをマルチサイト化すると、ひとつのサイトネットワーク内に複数のWordPressサイトができます。通常のWordPress(シングルサイト)ですら、何の対策もせずに放置すれば確実にスパムコメントやら何やらが来るわけですから、もしマルチサイトを対策なしで放置したら子サイトの数だけ攻撃が増えるということに…。

そんななか、Googleが提供しているreCaptcha v3は、Invisible reCaptchaプラグインと組み合わせることでマルチサイト全体を保護することが出来ます。reCaptcha v3は簡単に言うと「AIが自動でボットを判別し遮断する」という仕組みですが、かなり防御力は高いです。
マルチサイトに対応した無料のセキュリティ系プラグインはあまり多くないので、これは嬉しい。

なお、一般的な「reCaptcha v3+Invisible reCaptcha」の導入方法はたくさん紹介があるので、具体的な手順はそちらを参照してください。たとえば:

スパム対策のreCAPTCHA v3をWordPressに導入するならプラグインが簡単で便利
→画像入りでreCaptchaの導入手順が紹介されています。

マルチサイトにreCaptcha v3を導入する

ここからは、マルチサイトに「reCaptcha v3+Invisible reCaptcha」を導入する場合の話です。
シングルサイトとはちょっと挙動が変わるところがあるので、本記事ではその注意点に絞って紹介します。(Google reCaptchaの具体的な使い方はここでは説明しません。上記のサイト等で確認してください。)

reCaptcha v3サイトキーの取得

マルチサイト用のreCaptchaサイトキーは「親サイト」ひとつ分だけ取得するのでOKです。ネットワーク側でreCaptchaを設定すれば全サイトに適用されるからです。

例えば、以下のような構造のマルチサイトだった場合、

https://xxxxxx.com/ 親サイト
https://xxxxxx.com/site1/ 子サイト1
https://xxxxxx.com/site2/ 子サイト2

親サイトである「xxxxxx.com」のサイトキーだけ取得すれば良いということです。

Invisible reCaptchaの有効化

「サイトネットワーク管理>プラグイン」で「Invisible reCaptcha」をインストールし、「サイトネットワークで有効化」すると、全サイトで有効化されます。大変便利です。

有効化したあとは:
・Invisible reCaptchaの設定が「サイトネットワーク管理>Invisible reCaptcha」に表示されます。
・親サイト+子サイト側にはInvisible reCaptcha設定は現れません。(ネットワーク側の一括設定で便利)

「サイトネットワーク管理」でInvisible reCaptchaを有効化

Invisible reCaptchaの設定

Invisible reCaptchaプラグインの設定画面でやることは、シングルサイトと同じです。
・サイトキーと秘密鍵は「親サイト」のものを入力するだけでOKです。
・それ以外の設定もシングルサイトと全く同じでOKです。

設定も「サイトネットワーク管理」で行います

Invisible reCaptchaでは、最低限次の設定をおすすめします。(必要に応じて設定を追加してください)

設定タブ
サイト鍵:GoogleのreCAPTCHAで取得した「Site Key」を入力します。
秘密鍵:GoogleのreCAPTCHAで取得した「Secret key」を入力します。
言語:reCAPTCHAの表示言語の設定です。「自動検出」で良いでしょう。
バッジ位置:reCAPTCHAのバッジをどこに表示させるかの設定です。スマホでの表示を考慮するとインラインがおすすめ。

WordPressタブ
登録フォームの保護を有効化: ☑
コメントフォームの保護を有効化: ☑
パスワード再発行フォームの保護を有効化: ☑
※全部チェックしておけば問題ありません。

問い合わせフォームタブ
Contact Form 7の保護を有効化: ☑
※Contact Form 7を使うのであれば必ずチェック。スパムメールを防いでくれます。

Invisible reCaptchaの設定が終わると、「親サイト」「子サイト」含め、ネットワーク内の全サイトにreCaptchaが適用されます。
その後、全サイトの投稿ページのコメント欄にreCaptchaバッジが表示されれば成功です。

他にも、ログイン画面やお問合せフォームなど、全サイトのあらゆるフォームにreCaptchaバッジが表示され、ボットを遮断してくれるようになります。

マルチサイトreCaptcha v3導入まとめ

reCaptcha v3は無料ですし、非常にシンプルな設定でマルチサイト全体がボット攻撃から保護されるので、ぜひサイト構築直後から導入しておきたいところです。

ちなみに私は、スパムメールが大量に来るようになってからreCaptcha v3を導入したことがありますが、その後うそのように平和になりました。AIがどのように人間とボットを判別しているのか謎ですが、体感的にはかなり信頼できるツールだと思います。

ただ、reCaptchaはあくまでもボット対策に特化したものなので、WordPressのログインページのURL変更のような根本的なセキュリティ対策は別のプラグインを使って行うことになります。その話はまた今度!

にほんブログ村 IT技術ブログ Webサイト構築へ
にほんブログ村「Webサイト構築」ランキング参加中です。ポチッと応援お願いします♪

コメント

この記事へのコメントはありません。

CAPTCHA


naochka

長年IT業界でWeb+デザインをやってました。いまはWordPress中心です。やや技術的な話が多いですが、なぜか世界中あちこち放浪してた関係でたまに想い出を綴ってたりもします。 Wall Street Journalを読む会の英語ナビゲーターやってます。(実は帰国子女)

最近の記事

  1. 第10回 Wall Street Journalを読む会:こんなに市場が冷えても金融破綻が起きていない理由とは?

  2. [名刺デザイン] 旅するカレー:美味しさ伝えるショップカード (実物紹介)

  3. [WordPress] マルチサイトのセキュリティ②:All in One WP Securityの3つの基本対策

  4. [WordPress] マルチサイトのセキュリティ①:reCaptcha v3でボット(スパム)対策

  5. Google Analytics(GA4)でQRコードからのアクセスを計測する方法

次回のWSJ会開催@Peatix

カテゴリー

アーカイブ

TOP