WordPressのセキュリティ対策でInvisible reCAPTCHAプラグインを入れてみた

先日気になるツイートを発見。

WPのセキュリティ対策は管理画面はある程度はサーバー側でやってくれるけど、ログイン画面の｢wp-admin｣を守るなら、Google｢Invisible reCaptcha（チェックする必要がない最新版）｣が最強。ひとまずこれひとつ入れとけば十分ってレベル。 pic.twitter.com/JKjEfJtcZW

— ジロー@名古屋 (@JIRO_biz) 2017年10月4日

え？そうなの？！

これまで使ってきたセキュリティ対策のプラグインはSiteGuard WP Plugin。

SiteGuard WP PluginはログインURLを変更してくれたり、ワードプレスにログインするとメールで知らせてくれたりとセキュリティ対策は万全かと思ってたけど狙われたらヤバいみたい。

オススメされてたInvisible reCAPTCHAを入れると悪意のあるスパムやボットによる不正操作を防止してくれるんだって。なんて賢いやつなんだ。

インストールまでの手順はブロギングライフさんのこの記事を参考にしました。

Googleが無料で提供するInvisible reCAPTCHAは、スパム防止に絶大な効果を発揮します。コメント、メール、ログイン時に認証を行いスパムを排除するため、サイトの安全性を高めることに繋がります。https://t.co/1oI3j2ljY9

— Chico M@ブロギングライフ (@BloggingLifeJP) 2017年11月7日

Invisible reCAPTCHAをインストールするにはgoogleアカウントが必要なので持ってない人は取得しておきましょう。googleアカウントにログインした状態でreCAPTCHAを開いて右上か左下の青い[Get reCAPTCHA]を押す。

すると登録したいドメイン入力欄が表示されます。

ラベルはわかりやすくドメイン名にしてみた。
Choose the type of reCAPTCHAは

reCAPTCHA V2
Invisible reCAPTCHA
reCAPTCHA Android

３つある中のInvisible reCAPTCHAにチェックを入れる。

第2世代のreCAPTCHA V2は表示される度にチェックを要求されるが、第3世代Invisible reCAPTCHAはその名の通り目に見えないバックグラウンドで認証してくれる優れもの。

その下のDomainsに登録したいドメインを入力しましょう。
複数ある場合は改行して一行に１ドメイン入力。

Accept the reCAPTCHA Terms of Service(使用許諾)にチェックを入れて右下の[Register]ボタンを押すと

あれ？URL starts with an invalid schemeとエラー表示。
https://は必要なかったみたい。もう一度ドメインettomark.comのみ入力して[Register]を押すと次に進みました。

今回必要なのはKeysのSite keyとSecret keyの２つ。
メモ帳かevernoteにでもコピペしておきましょう。

先ほど登録したサイトのWordPress管理画面にログインし、
プラグインからInvisible reCaptcha for WordPressを検索。

インストール後、有効化すると管理画面の設定の中にInvisible reCAPTCHAが増えます。
クリックすると以下のような設定画面が表示されます。

先ほどコピーしておいたSite keyとSecret keyをそれぞれコピペ。

言語を日本語に、Badgeの位置は3つの中から選ぶことができる。
Bottom LeftかBottom Rightにすると画面下の端っこに出るようです。

スマホで確認すると下に固定表示されるので邪魔になりそう。

Inlineを選ぶとボタンの近くに表示されるのでとりあえずInlineで [変更を保存]。
設定が終わるとYour changes were successfully saved!が表示されます。

それからWordPressタブを選んで設定したい箇所をチェックして [変更を保存]。

Invisible reCAPTCHAはコンタクトフォームにも対応しているのでContact Formsをタブをクリック。問い合わせフォームのプラグインContact Form 7を使われている方はチェックして [変更を保存]しておきましょう。

改めて管理画面ログインを開くとボタンの近くに表示されてる。

SiteGuard WP Pluginが必要なくなるから後から外しておこう。
これで一安心かな？

reCAPTCHAを間違えて登録したときはもう一度googleのhttps://www.google.com/recaptcha/admin#list
から消したいサイトを選びDelete Keyを押して[OK]を押すだけ。

ちなみにサブドメインでいくつかのサイトを運営しているので、reCAPTCHAの設定したところドメインのみの登録で全てのサブドメインも適応されました。何気に便利。

慣れれば10分程度で登録〜設定完了まで終わる作業。安心してサイトに訪問してもらうには最新のセキュリティ対策は必要です。