reCAPTCHAを使ったフォームのスパム対策|Contact Form 7とPHPでの実装例

カテゴリー: WordPress タグ: ,

スパム対策は、フォームを運営する際に欠かせない要素です。特に、スパムボットによる自動送信を防ぐためにGoogleの提供する「reCAPTCHA」を活用するのは有効な手段の一つです。本記事では、WordPressプラグイン「Contact Form 7」と手動でPHPを使う2つの方法でreCAPTCHAを実装する手順を解説します。

reCAPTCHAとは?

reCAPTCHAはGoogleが提供するスパム対策ツールで、フォームの送信時に人間とボットを識別する機能を持っています。種類として以下があります:

  • reCAPTCHA v2: チェックボックスをクリックするタイプ。
  • reCAPTCHA v3: ユーザー操作を不要にしてスコアで判定。
  • Invisible reCAPTCHA: 非表示で動作するタイプ。

reCAPTCHA v2とv3の違い

特徴reCAPTCHA v2reCAPTCHA v3
操作性チェックボックスのクリックが必要完全自動でユーザー操作が不要
判定方法ユーザーのアクションに基づくスコア(0.0〜1.0)で信頼度を数値化
適用例小規模なフォームやシンプルな使用場面大規模なシステムやユーザー体験を損なわない用途

本記事では、最新技術でユーザー体験を向上させるreCAPTCHA v3を例に解説します。

Contact Form 7でのreCAPTCHA v3実装

1. Google reCAPTCHAの登録

  1. Google reCAPTCHAの公式サイトにアクセスし、Googleアカウントでログインします。
  2. 「サイトを登録」ボタンをクリックし、以下の情報を入力します:
    • ラベル: サイトを識別するための名前。
    • reCAPTCHAの種類: v3を選択します。
    • ドメイン: 使用するドメインを入力します。
  3. 「登録」ボタンをクリックすると、サイトキーとシークレットキーが生成されます。

2. WordPressでの設定

  1. WordPress管理画面にログインし、左メニューから「お問い合わせ」>「インテグレーション」を選択します。
  2. reCAPTCHAの項目で「インテグレーションのセットアップ」をクリックし、Googleで取得したサイトキーとシークレットキーを入力します。
  3. 設定を保存します。

3. フォームにreCAPTCHAを追加

reCAPTCHA v3はフォームに目に見えるチェックボックスが表示されないため、特別なショートコードは不要です。フォーム送信時に自動的にスコア判定が行われます。

4. 動作確認

実際にフォームを送信して、reCAPTCHAが正常に動作しスコアが適切に計測されていることを確認します。

PHPでのreCAPTCHA v3実装

1. Google reCAPTCHAの登録

Contact Form 7の手順と同様に、Google reCAPTCHAの公式サイトでサイトキーとシークレットキーを取得します。

2. フロントエンドのフォーム作成

以下はreCAPTCHA v3を組み込んだ基本的なHTMLフォームの例です:

<form action="process.php" method="post">
    <input type="text" name="name" placeholder="名前">
    <input type="email" name="email" placeholder="メールアドレス">
    <input type="hidden" id="g-recaptcha-response" name="g-recaptcha-response">
    <input type="submit" value="送信">
</form>
<script src="https://www.google.com/recaptcha/api.js?render=YOUR_SITE_KEY"></script>
<script>
grecaptcha.ready(function() {
    grecaptcha.execute('YOUR_SITE_KEY', {action: 'submit'}).then(function(token) {
        document.getElementById('g-recaptcha-response').value = token;
    });
});
</script>

3. サーバーサイドの検証

送信されたデータを検証するために、以下のコードを使用します:

<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $secretKey = "YOUR_SECRET_KEY";
    $responseKey = $_POST["g-recaptcha-response"];
    $userIP = $_SERVER["REMOTE_ADDR"];

    $response = file_get_contents("https://www.google.com/recaptcha/api/siteverify?secret=$secretKey&response=$responseKey&remoteip=$userIP");
    $responseKeys = json_decode($response, true);

    if ($responseKeys["success"] && $responseKeys["score"] >= 0.5) {
        echo "フォームが正常に送信されました!";
    } else {
        echo "スパム検知!フォーム送信は無効です。";
    }
}
?>

このコードはGoogleのAPIを使ってreCAPTCHAトークンを検証し、スパム送信を防ぎます。また、スコアを利用して信頼性を判断します。

4. 動作確認

フォームを送信し、期待通りに動作するかを確認してください。スコアが適切に計測され、スパムがブロックされれば成功です。

トラブルシューティング

  • reCAPTCHAが表示されない場合: APIキーの設定ミスやJavaScriptのロードエラーを確認してください。
  • スコアが低すぎる場合: フォームの設計やアクションを見直し、reCAPTCHAの動作を調整してください。
  • フォーム送信が遅い: GoogleのAPIレスポンスに遅延が発生している可能性があります。

応用: 他のプラグインやツールとの連携

Contact Form 7以外のフォームプラグイン(例: WPFormsやNinja Forms)でも同様の手順でreCAPTCHA v3を導入できます。また、Invisible reCAPTCHAを利用することで、ユーザー体験を損なわずにスパム対策を強化することも可能です。

実務Tips(ベストプラクティス集)

設計指針をチームで統一する

  • BEMやFLOCSSなど、どの設計手法を採用するかをプロジェクト開始時に明確化することが重要。
  • 混在すると可読性が落ち、保守性が低下するため、ルールブックやコーディング規約を作成して共有しましょう。

命名ルールは厳格に

  • BEMなら block__element--modifier の形を徹底。
  • 曖昧な命名は後のリファクタリングコストを増大させます。

レイヤー分割を意識する

  • FLOCSSやSMACSSは「レイヤーごとに役割を分割」する点が特徴。
  • UIデザインが大規模化するほど、レイヤー分けの恩恵が大きくなります。

コンポーネント化と再利用性

  • 設計は再利用可能なUI部品を作ることが最終目的。
  • BEMやOOCSSでコンポーネント単位に分けて、別ページでも使い回せる状態を目指しましょう。

過度にルール化しない

  • 小規模案件ではBEMの一部だけ、FLOCSSの構造だけ、など取捨選択してシンプルに導入した方が効率的。
  • 設計ルールは「最小限で最大効果」を意識すると実務に適合します。

FAQ|reCAPTCHA導入に関するよくある質問

Q. reCAPTCHA v2 と v3 の違いは何ですか?

A. v2は「私はロボットではありません」チェックや画像選択を伴う方式、v3はユーザー行動をスコア化して自動判定する方式です。UXを重視するならv3、確実なブロックを優先するならv2(チェックボックス/Invisible)が向きます。

Q. Contact Form 7 でreCAPTCHAを入れたら送信できない/反応がないのはなぜ?

A. サイトキー・シークレットキーの誤り、キャッシュ/最適化プラグインのJS圧縮競合、またはv3のスコア判定が厳しすぎる可能性があります。CF7・reCAPTCHAスクリプトを除外し、キーの再発行やv2への切替も検討してください。

Q. PHP単体での検証はどう書けばよいですか?

A. 送信時に取得したトークン g-recaptcha-response を、Googleの検証エンドポイントでサーバー側から検証します(secret とクライアントIPを送信)。戻り値の success(およびv3は score)を確認して処理を分岐します。

Q. v3 のスコアが低く正当な送信も弾かれます。対処法は?

A. 合格閾値(例:0.5→0.3)を緩和、送信ボタン周辺のみでトリガー、重要フィールドのサーバー検証強化、Akismet等の併用が有効です。改善しない場合は v2 Invisible に切り替えると実務上安定します。

Q. reCAPTCHAが表示されない/コンソールでエラーが出ます

A. ドメイン設定の不一致、スクリプト読み込み順、CSP(Content Security Policy)の制限、テーマや他プラグインのJS競合が原因です。該当ページのドメインをGoogle管理画面に登録し、最小構成で読み込み検証して切り分けてください。

Q. reCAPTCHA導入後もスパムが減りません。どうすれば?

A. reCAPTCHAに加えてAkismet、ハニーポット(不可視フィールド)、簡易クイズ、送信回数/頻度制限、NGワード(URL多用等)のサーバー側バリデーションを組み合わせると防御力が大きく上がります。

まとめ

reCAPTCHA v3は、ユーザー操作を最小限に抑えながらスパム対策を行うための優れたツールです。Contact Form 7とPHPのどちらでも簡単に導入できるため、フォームの種類や運用目的に応じて適切な方法を選び、セキュリティを向上させましょう。

関連記事: PHPで安全なコンタクトフォームを作成|CSRF・XSS対策と基本コード解説