Step1では、WordPressの標準設定を見直し、
- 承認待ちにする
- NGキーワードを設定する
といった対策を行いました。
しかし、それでもスパムはゼロにはなりません。
実際に、私のブログでも承認待ちの一覧に ○○件のスパムコメント
が毎日届く状態が続いていました。毎日手動でスパムをチェックして削除するのは、本当にストレスですよね。
途中から諦めて承認待ちのコメントがどんどん溜まってます・・・
「読者からのコメント欄は閉じたくない。
でも、管理画面の手間は減らして執筆に集中したい。」
そこで今回は、
『コメント欄は閉じない。でも、スパムは入口で弾く』
という方針で、強力なスパム対策ツールであるCloudflare Turnstileを導入します。
コメントスパム対策、なぜ「入口の防御」が必要?
Step1でやったことは、家で例えるなら「不審者が家に入ってきた後に、別室に隔離する(承認待ちにする)」ような「後処理」です。
- 承認待ちにする
- キーワードで弾く
- リンク数で制限する
しかし、これでは以下の問題が残ってしまいます。
- 「承認待ち」の件数自体は減らず、確認の負荷が高い
- 本当の読者からのコメントがスパムに埋もれて見逃すリスクがある
- 人力で書き込まれた巧妙なスパムはすり抜けることがある
そこで、家の敷地に入る前(入口)で不審者をシャットアウトする必要があります。
それが今回の目的です。
Cloudflare Turnstileとは
Cloudflare Turnstile(クラウドフレア ターンスタイル) は、大手セキュリティ企業であるCloudflareが提供する無料のスパム防止サービスです。
イメージとしては、ブログの入口に立つ、目に見えない優秀な警備員のようなものです。
人間か自動プログラム(ボット)かを自動で判定し、ボットだけを防いでくれます。
よくある画像選択(「信号機の画像を選んでください」など)をさせる「Google reCAPTCHA」と比較して、以下のようなメリットがあります。
- 読者に面倒な画像選択をさせない(ユーザー体験が良い)
- サイトの表示速度に影響しにくい(動作が軽い)
- 完全無料で利用可能
- プライバシーに配慮されている(無駄なデータ収集がない)
Cloudflare Turnstile導入の全体フロー(4ステップ)
専門用語が多くて難しそうに見えるかもしれませんが、以下の4ステップで完了します。
目安として15〜30分程度で設定できます。
- Cloudflareで無料アカウントを作成
- サイトを登録して「キー」を取得
- WordPressにプラグインを入れて設定
- コメント欄で最終動作確認
【実践編】WordPressにTurnstileを設定する手順
ステップ1:Cloudflareの無料アカウントを作成
まずは公式サイトにアクセスして無料登録をします。
メールアドレスとパスワードを入力して「サインアップ」をクリックするだけです。
GoogleアカウントやApple IDでのログインも可能なので、簡単な方を選んでください。
ステップ2:Turnstileの「サイトキー」「シークレットキー」を取得
WordPressとCloudflareを連携させるための「鍵(キー)」を2つ作成します。
アカウント登録後、ダッシュボード(管理画面)が表示されます。
左側のメニューから「セキュリティ(Security)」→「Turnstile」をクリックします。
画面中央にある「ウィジェットを追加(Add widget)」ボタンをクリックします。
※時期によってボタン名が異なる場合があります。
続いて、自分のブログの情報を以下のように入力します。
- Site name(ウィジェット名):わかりやすい名前(例:自分のブログ名)
- Domain(ドメイン名):ブログのドメイン(例:`ri-dream.net`)
- Widget Mode(ウィジェットモード):Managed(推奨) を選択
- Skip future security rule challenges…:No または未チェックでOK
ドメインを入力する際は、入力欄の下に表示される「+ Add ri-dream.net」(ドメイン名) のボタンをクリックして追加登録します。
すべての項目を入力後、画面右下の「作成(Create)」をクリックします。
すると、画面に「サイトキー(Site Key)」と「シークレットキー(Secret
Key)」という2つの長い文字列が表示されます。
この2つをWordPressに貼り付けるため、この画面はこのまま開いておいてください。
※これらのキーは暗証番号と同じ秘密情報なので、他人に教えたりネットに公開しないよう注意してください。あとから設定画面で確認することも可能です。
ステップ3:WordPressプラグインのインストールと設定
取得したキーを、WordPressに設定します。
今回は専用の無料プラグイン「Simple CAPTCHA Alternative with Cloudflare
Turnstile」を使用します。
WordPressの管理画面から「プラグイン」→「新規追加」を開き、上記のプラグイン名を検索してインストールし、「有効化」してください。
有効化すると、設定画面が開きます。
(もしくは「設定」→「Cloudflare
Turnstile」から開けます)
ここで、先ほどCloudflareで取得した2つのキーを貼り付けます。
キーを入力したら、画面を下にスクロールして「フォームで Turnstile を有効化する」の項目を確認します。
ここで「WordPress
コメント」にチェックを入れて、「変更を保存」をクリックします。
設定が正しく完了し連携に成功すると、画面上部に「検証は成功しました」という緑色のメッセージが表示されます。
ステップ4:コメント欄での動作確認
最後に、実際のブログ記事を開き、一番下の「コメントフォーム」を確認してみてください。
送信ボタンの上あたりに「Success(成功)」などの Cloudflareのウィジェットが表示されていれば、設定は完了です!
導入前後のスパム件数の変化(効果測定)
実際に入口対策(Turnstile)を導入してから1週間後、スパムの数はどう変わったのでしょうか。
- 導入前の1ヶ月:20件
- 導入後の1ヶ月:0件(計測中)
※導入後1ヶ月経過したタイミングで、具体的な数値を追記・報告予定です。
導入時の注意点とよくあるトラブル
- キャッシュプラグインの影響:画面を高速化するキャッシュ系プラグインを使用している場合、Turnstileのウィジェットが表示されないことがあります。その場合は一度キャッシュをクリア(削除)してください。
- APIキーの管理:取得した「Site Key」「Secret Key」は第三者に公開しないように注意してください。
- デザインのズレ:お使いのWordPressテーマによっては、ウィジェットの表示位置が送信ボタンの下になったり、少しズレたりすることがあります(動作には影響ありません)。
- 「Webサイトに接続できません」というエラーが発生:Cloudflareで設定したドメインが間違っている可能性があります。ドメインを確認しましょう。
Cloudflare Turnstile設定後にコメント欄で「Webサイトに接続できません」というエラーが表示される場合があります。
この場合、ほとんどの原因は Cloudflare側でのドメイン設定のミス です。
確認ポイント
Cloudflareの管理画面にログインし、対象のウィジェット設定から以下を確認します。
👉 Turnstile > Site(設定したサイト名) > Domains
この「Domains」の欄にご自身のサイトのドメインが正しく登録されているか確認してください。
- OK例:
ri-dream.net(https://などは不要です) - NG例:
https://ri-dream.net(URLごと入れているとエラーになります)
また、サイトの環境によっては www ありのURLでアクセスされることもあるため、安全のために www.ri-dream.net も追加で登録しておくことをおすすめします。
まとめ
WordPressのコメントスパム対策について、2段階に分けて解説しました。
Step1:WordPressの標準設定で「後処理」をして被害を最小限にする
Step2:Cloudflare Turnstileで「入口」を塞ぎ、ボットを弾く
この2つを両方おこなうことで、ようやくコメント欄は安定します。
せっかく読者との交流の場であるコメント欄ですから、閉じてしまうのはもったいないですよね。
今回の対策で、管理画面でスパムをちまちま削除する手間から解放され、本当に読んでほしい人・交流したい読者に向けた執筆に集中できるようになります。
まだ対策をしていない方は、被害が大きくなる前にぜひ早めの設定をおすすめします!
それでは良い WordPress ライフを!
コメント