【WPForms】reCAPTCHAからTurnstileに移行した

以前「Contact Form by WPForms」というWordPressのプラグインをインストールして、当ブログに問い合わせのページを作成しました。

私はスパム対策としてGoogleの「reCAPTCHA」という認証サービスを使っていましたが、先日Cloudflareの「Turnstile」に移行しました。

今回はTurnstileへの移行方法とreCAPTCHA解除の手順をお伝えします。

reCAPTCHAが有料になる？

「reCAPTCHA」は、Googleが提供する迷惑メール（スパムメール）対策の認証サービスです。

私は「Contact Form by WPForms」（以下「WPForms」）に導入して以来、無料で何事もなく利用してきました。

ところが、2025年の1月末にGoogleから以下の内容のメールが届きました。

「2025年末にすべてのGoogle reCAPTCHAキーをGoogle Cloudプロジェクトに移行する必要があることをお知らせいたします。」

全文を読んでも私には意味がよくわかりませんが、どうもこれまでの 「reCAPTCHA」という単体のサービスが「Google Cloud」という包括的なサービスに統合されるようです。

それにともない、reCAPTCHAの利用状況によっては課金される場合があるので、利用者は対応よろしく頼むという内容です。

面倒なので他のサービスに移る

reCAPTCHAの利用料金については、下記のGoogle Cloudのサイトにて記載されています。

https://cloud.google.com/security/products/recaptcha

「Essentials」プランだと月に10000件の評価までは無料となります。

「評価（アセスメント）」はreCAPTCHAが作動した回数のことで、「PV（ページビュー）」ではありません。

「Standard」プランでは10000件を超えて100000件までは$8、「Enterprise」プランではそれに加えて100000件以降は評価1000件あたり$1かかるそうです。

要するにスパムが来れば来るほどカネがかかるということで何やら不安になります。

ですが、件のGoogleからのメールによると私は「過去3ヶ月間のreCAPTCHAの月間使用量は平均7件でした」とのことです。

とはいえ、これから毎月毎月reCAPTCHAの使用量が頭の片隅にチラつくのは煩わしい。

また、Google Cloudへの移行は自動で行われるものの、APIだの何だのと細かな設定をしなければならないようです。

ということで、これ以上あれこれ考えるのは面倒なので別のサービスに移行することにしました。

Cloudflare Turnstileとは？

「Turnstile（ターンスタイル）」は、Cloudflare（クラウドフレア）が提供するCAPTCHA代替セキュリティサービスです。

現在（当記事投稿時点）、利用は無料で利用回数にも制限はありません。

また、チェックボックスや画像の認証は不要なので、ユーザーの手間を省くことができます。

私は以下の手順でCAPTCHAサービスを切り替えました。

今回はその手順をお伝えしますが、他のプラグインでもreCAPTCHAを使っている場合は、それぞれ設定を変更する必要があるのでご注意ください。

なお、私のreCAPTCHAタイプは「reCAPTCHA v2」です。

タイプによって設定方法が違う可能性があるので、以下の作業はすべて自己責任にて行うようお願いします。

Turnstileの導入手順

まず、Cloudflareのサインアップページを開きます。

私はGoogleアカウントでサインアップするので「Googleで続行」をクリックしました。

Googleアカウントが複数ある場合は任意のアカウントを選択します。

アクセスの許可を求められるので「次へ」をクリックします。

「サイトの速度とセキュリティを向上」は無視して画面左上の「○○’s Account」（下図下線部）をクリックします。

左メニューの「Turnstile」→「ウィジェットを追加」の順にクリックします。

任意の「ウィジェット名」を入力して「ホスト名の追加」をクリックします。

「カスタムホスト名を追加する」の欄に自身のサイト（ブログ）のドメイン名を入力したらその右の「追加」をクリックします。

その下の「選択されたホスト名」に入力したドメイン名が表示されたのを確認して「追加」をクリックします。

「ウィジェットを追加」の画面に戻るので「ウィジェットモード」と「事前クリアランス」を選択します。

私はウィジェットモードを「管理対象」、事前クリアランスを「いいえ」のデフォルトのままにしました。

これらは今後のブログやスパムの様子を見て変更すればいいかと思います。

以上を選択したら画面右下の「作成」をクリックします。

するとサイトキーとシークレットキーが表示されるので、この2つをメモします。

これらはあとで確認することができます。

Cloudflare Turnstileでの設定はここまでとなります。

WPFormsでの設定変更

次にWordPressのWPFormsの「設定」→「CAPTCHA」タブ→「Turnstile」の順にクリックします。

その下の欄にTurnstileで取得したサイトキーとシークレットキーを入力して「設定を保存」をクリックします。

「設定は正常に保存されました」と表示されました。

その下にCAPTCHAのプレビューが正しく表示されるか確認します。

念のため「すべてのフォーム」を開いて任意のフォームの「編集」をクリックします。

画面右上にTurnstileが「有効」と表示されていればOKです。

自分のブログの問い合わせページを開くと、Turnstileの認証が「成功しました！」と表示されました。

reCAPTCHAの解除

最後にこれまで使ってきたreCAPTCHAの設定を解除します。

私はWPFormsの設定解除とreCAPTCHAそのものの解除を行いました。

WPFormsの設定解除

WordPressのWPFormsの「設定」→「CAPTCHA」タブ→「reCAPTCHA」の順にクリックします。

サイトキーとシークレットキーを削除して「設定を保存」をクリックします。

「設定は正常に保存されました」のメッセージを確認します。

再び「CAPTCHA」タブを開いて「Turnstile」→「設定を保存」の順にクリックします。

必ずTurnstileの設定を保存し直します。

GoogleのreCAPTCHAの解除

Google reCAPTCHAの管理ページを開きます。

画面左上のドメイン名が合っているか確認します。

画面右上の「設定」の歯車アイコンをクリックします。

「設定」画面右上の「削除」のゴミ箱アイコンをクリックします。

「削除」をクリックします。

「新しいサイトを登録する」の画面が表示されます。

自分のブログが削除されて新規登録の状態に戻りました。

私はしばらくTurnstileで様子を見て、異常がなければこのまま利用していくつもりです。

また何かあればお伝えしたいと思います。