この記事のレベル
| 初心者 | (3.0) |
| 重要度 | (3.5) |
| 難しさ | (2.0) |
こんにちは、編集長のカワウソです!
「フォームのスパム対策として、reCAPTCHA(リキャプチャ)を導入しているけど、無料利用に制限がかかってしまった……」と悩んでいませんか?
スパム対策として有名なGoogleの『reCAPTCHA』。
しかし近年、無料プランにおける月の評価回数が、100万回から1万回に大幅に引き下げられました。
そこで今回は、『reCAPTCHA』の代替となる『Cloudflare Turnstile(クラウドフレア ターンスタイル) 』のメリットや導入方法について、詳しく解説します。
カワウソ
この記事は次のような人におすすめ!
- 初めて企業ホームページを作る人
- WordPressのフォームにContact Form 7を使っている人
- GoogleのreCAPTCHAの代替ツールを探している人
この記事を読めば、最短10分で『Cloudflare Turnstile』をフォームに導入できます。
なお、この記事はWordPress(ワードプレス)のプラグイン『Contact Form 7』でフォームを作っている方向けの内容になっているので、あらかじめご了承ください。
WordPress(ワードプレス)とは、「Contents Management System(コンテンツ・マネジメント・システム)」の一種で、HTMLやCSSなどのWeb制作スキルがなくても、ホームページの制作や更新が簡単にできる無料のシステムのことです。
『Contact Form 7』は、WordPressで作成したホームページに、お問い合わせフォームを簡単に設置できる無料のプラグインです。
それではどうぞ!
(おさらい)なぜ「スパム対策」が必要なのか?
まず、ホームページに設置するフォームに対して、スパム対策が必要な理由をおさらいしておきましょう。
ホームページにフォームを設置すると、「スパムボット(自動的に迷惑行為を行うプログラム)」から大量のスパムメール(迷惑メール)が送られてくることがあります。
スパムメールの種類は、主に以下のとおりです。
| スパムメールの種類 | 内容 |
|---|---|
| 広告メール | こちらが興味のない商品やサービスの宣伝を一方的に送りつけられます。 |
| ウイルス感染を狙うメール | メール内のリンクをクリックしてしまうことで、自社のパソコンやスマートフォンがウイルスに感染させられます。 |
| 偽の請求書や詐欺のメール | 実際には購入していない商品の請求書を装われたり、当選を偽って金銭を要求されたりします。 |
| フィッシングメール | 大手企業や銀行などの「偽のログインページ」に誘導されて、IDやパスワード、クレジットカード情報などの個人情報が騙し取られます。 |
なお、スパムメールが大量に届くと、大切な顧客からの問い合わせを見落としてしまったり、迷惑メールを削除する手間が発生したりすることも。
さらに、サーバーに大きな負担がかかれば、ホームページの表示が遅くなったり、最悪の場合はダウンしてしまったりするおそれもあるのです。
そのため、フォームにおいてスパム対策は必須と言えるでしょう。
reCAPTCHAの代替『Cloudflare Turnstile』が注目される理由
フォームのスパム対策としてこれまでは、Googleの『reCAPTCHA(リキャプチャ)』を活用するのが一般的でした。
しかし近年、『reCAPTCHA』の無料利用枠が大幅に縮小されました。
月間の評価数について、以前は100万回まで無料でしたが、現在は1万回を超過した場合、機能の継続利用のためには有料プランへの移行が求められます(参考:Google Cloud「reCAPTCHA の料金」)。
カワウソ
とくにWordPressで『Contact Form 7』を使っている場合、『reCAPTCHA』の代替ツールを探している方もいるでしょう。
そこで今注目されているのが、新しいスパム対策『Cloudflare Turnstile(クラウドフレア ターンスタイル)』です。『Contact Form 7』のマニュアルでも以下のように、案内されていますよ。
Turnstile は Cloudflare によるスマートな CAPTCHA 代替サービスです。Contact Form 7 は Turnstile とのインテグレーションモジュールを提供し、あなたのフォームをスパムボットから守ります。Google reCAPTCHA とは異なり Turnstile は無料で利用できます。reCAPTCHA を使うべき理由が特にないのであれば Turnstile を選択してください。
(引用:Contact Form 7「Cloudflare Turnstile インテグレーション」)
『Cloudflare Turnstile』は無料で使えるのはもちろん、ほとんどのユーザーに負担をかけることなく、スパム対策ができるなどのメリットがあります。
詳しくはこのあと解説します。
Cloudflare Turnstileとは? 主な特長と仕組み
それではここから、『Cloudflare Turnstile』について深掘りしていきましょう。
『Cloudflare Turnstile』は、Cloudflare, Inc.が提供する「人間とボット(自動プログラム)を区別するためのスパム対策ツール」です。
Cloudflare, Inc.は、ホームページ、アプリ、ネットワークの速度と安全性を向上させる企業です。具体的には、ホームページの表示速度を向上させる「CDN(コンテンツ配信ネットワーク)」や、「WAF(Webアプリケーションファイアウォール)」および「DDoS攻撃に対するセキュリティ対策」などを提供しています。
『Cloudflare Turnstile』をフォームに設定すると、以下のような認証ボックスが表示されるようになります。
『Cloudflare Turnstile』の主な特長と仕組みは、以下のとおりです。
| 特長 | 仕組み |
|---|---|
| ユーザーの負担が少ない 「見えない」認証 | ブラウザの癖や人間の行動を検出することにより、ユーザーに対して画像認証を求める必要がない仕組みです。 ごく稀に、疑わしいと判断した場合のみ、簡単なインタラクション(例:チェックボックスをクリックするだけ)を求めることがあります。 |
| プライバシーへの配慮 | ユーザーのデータを広告目的や個人を特定できる情報として収集することはありません。収集されるデータは、ボットを検出するためのみに利用されます。 |
| 高度なボット検知技術 | セキュリティ メカニズムと、機械学習モデルを活用して、人間とボットを高速に区別します。 |
| 導入のしやすさ | WordPressの場合は、関連のプラグインにキーを入力するだけで設定可能です。 |
(参考:Cloudflare Docs「Cloudflare Turnstile」)
(参考:Cloudflare 「Turnstile Privacy Addendum」)
なかでも、ユーザーの負担が少ない認証の仕組みは、フォームの離脱率改善によい影響を与える可能性があるでしょう。
Googleの『reCAPTCHA』も「v3」のバージョンだと、基本的にユーザーに操作を求めることはありません(参考:reCAPTCHA「reCAPTCHA v3」)。
カワウソ
Googleのほうが一般的な知名度は高いものの、とくに『reCAPTCHA』を使う必然性がない場合は、コストを抑える意味でも『Cloudflare Turnstile』を検討する価値はあるでしょう。
『Cloudflare Turnstile』をWordPressに導入する方法
ここからは、WordPressと『Contact Form 7』を利用している方向けに、『Cloudflare Turnstile』の導入方法を解説します。
- 『Cloudflare Turnstile』のアカウントを作成する
- 『Cloudflare Turnstile』でキーを発行する
- 発行したキーをWordPressに設定する
- 『Contact Form 7』と『reCAPTCHA』の連携を解除する ※使用していた方のみ
それでは、手順を一つずつ解説します。
【1】『Cloudflare Turnstile』のアカウントを作成する
無料で始めるをクリックします。
お好きな方法でアカウントを作成してください。
【2】『Cloudflare Turnstile』でキーを発行する
ウィジェットを追加をクリックします。
ウィジェット名を入力してください。
あくまでも、「あとで識別するためのもの」なので、任意の名前で構いません。
自社ホームページのホスト名を入力したのち、追加をクリックしてください。
※ここでは例として、「example.com」にしています。
スクロールして「選択されたホスト名」を表示させます。
さきほど追加したホスト名にチェックをいれたのち、追加をクリックしましょう。
デフォルトで「管理対象」が選択されています。
「管理対象」は基本的にユーザーに対して操作を求めません。
しかし、疑わしいと判断した場合のみ、簡単なインタラクション(例:チェックボックスをクリックするだけ)を求めます。
カワウソ
管理対象は「セキュリティ」と「ユーザーの利便性」のバランスが取れた設定です。
基本的には「管理対象」のままで問題ないので、このままを作成クリックしてください。
「サイト キー」と「シークレット キー」が発行されました。
このあと、WordPressに入力しますので、コピーして控えておきましょう。
【3】発行したキーをWordPressに設定する
ここからは、発行したキーをWordPressに設定します。
主に以下2通りの方法があり、それぞれスパム対策の適用範囲が異なるので、状況に応じてどちらかを選んでください。
| 方法 | 適用範囲 |
|---|---|
| 『Contact Form 7』にキーを入力する | 『Contact Form 7』のフォームのみ |
| プラグイン 『Simple Cloudflare Turnstile』を利用する | 『Contact Form 7』のフォーム WordPressのログイン画面 WordPressのユーザー登録画面 WordPressのパスワードリセット画面 WordPressのコメントフォーム |
※『Simple Cloudflare Turnstile』は、設定画面で適用範囲を選択できます。
2025年8月現在、『Simple Cloudflare Turnstile』は有効インストール数10万件を超えており、評価も5つ星中4.7つ星と高いですが、Cloudflareの公式プラグインではないことは留意しておきましょう。不具合が発生するおそれも否定はできないため、定期的に互換性を確認し、必要に応じてアップデートしてください。
(参考:wordpress.org「Simple Cloudflare Turnstile – CAPTCHA の代替手段」)
カワウソ
プラグイン数を抑えたい方や、他のプラグインでログイン画面などのセキュリティをある程度担保できる方は、『Simple Cloudflare Turnstile』を利用する必要性は薄いでしょう。
それではそれぞれ解説します。
【方法その1】『Contact Form 7』にキーを入力する
『Contact Form 7』を有効化していると表示される「お問い合わせ」メニューのなかにある、インテグレーションにアクセスします。
「サイト キー」と「シークレット キー」を入力したあと、変更を保存をクリックしてください。
フォームにアクセスして、以下のように表示されていれば、完了です。
【方法その2】プラグイン『Simple Cloudflare Turnstile』を利用する
プラグインの新規追加画面から、『Simple Cloudflare Turnstile』を検索したのち、今すぐインストールをクリックしてください。
次に有効化をクリックします。
WordPressメインナビゲーション「設定」のなかに、『Cloudflare Turnstile』のメニューが追加されました。
アクセスして、「サイト キー」と「シークレット キー」を入力してください。
『Cloudflare Turnstile』を有効化するフォームを選択します。
基本的には、すべて選択して構いません。
ほかのセキュリティプラグインを導入していて、機能が競合する場合は、必要に応じてチェックを外してください。
| 項目 | 説明 |
|---|---|
| WordPress ログイン | WordPressのログイン画面です。 |
| WordPress 登録 | WordPressのユーザー登録画面です。 「設定 > 一般」の画面で「だれでもユーザー登録ができるようにする」にチェックを入れている(デフォルトではOFF)と、WordPressのログイン画面に「登録」というテキストリンクが表示されます。その「登録」をクリックした画面のことです。 |
| WordPress パスワードリセット | WordPressのパスワードリセット画面です。 WordPressのログイン画面にある「パスワードをお忘れですか ?」というテキストリンクからアクセスできます。 |
| WordPress コメント | WordPressのコメントフォームです。 「設定 > ディスカッション」の画面で「新しい投稿へのコメントを許可」にチェックを入れている(デフォルトではON)と、「投稿」で作成したページにコメントフォームが表示されるようになります。 |
カワウソ
WordPressの「ユーザー登録画面」や「コメントフォーム」は、そもそも法人だとセキュリティ上の観点から、機能自体をオフにすることをおすすめします。
コメントフォームの機能をOFFにする方法は、以下の記事で詳しく解説しています。
「すべての CF7のフォームで有効化」にチェックを入れたあと、変更を保存をクリックします。
ショートコード[cf7-simple-turnstile]を『Contact Form 7』のフォームに追加しなくても、基本的には自動で適用されます。万が一、フォームに認証が表示されないときや、その表示場所を調整したいときは、利用するとよいです。
応答テストをクリックして、「成功 ! Turnstile はこれらの API キーで正しく動作します。」と表示されれば完了です。
各フォームで『Cloudflare Turnstile』が正しく機能しているかどうかを確認しましょう。
▼お問い合わせフォーム▼
▼WordPressログイン画面▼
▼WordPressパスワードリセット画面▼
※WordPressのログイン画面にある「パスワードをお忘れですか ?」というテキストリンクからアクセスできます。
【4】『Contact Form 7』と『reCAPTCHA』の連携を解除する ※使用していた方のみ
フォームで『Cloudflare Turnstile』が正しく機能していることを確認したら、『Contact Form 7』と『reCAPTCHA』の連携を解除しておきましょう。
たとえば、「お問い合わせ > インテグレーション > reCAPTCHA」の画面にキーを設定していた方は、キーを削除をクリックすれば、連携を解除できます。
なお、Google Cloud側(reCAPTCHA管理コンソール)の設定を解除するのは、『Cloudflare Turnstile』への移行が完全に完了し、『reCAPTCHA』が不要であると最終的に判断してからにしてください。
何か予期せぬ問題が発生したときに、すぐに『reCAPTCHA』に戻せるように、Google Cloud側の設定は一旦そのままにしておくのが賢明です。
次に、『Cloudflare Turnstile』の注意点を紹介するので、あらかじめ確認しておいてください。
『Cloudflare Turnstile』の注意点3つ
ここからは、『Cloudflare Turnstile』の注意点を3つ解説します。
- スパムボットを完全に排除できるわけではない
- 正当なユーザーをボットと誤検知するおそれもある
- 実装後は競合や予期せぬ挙動が発生しないかを確認する
なお、これらは『Cloudflare Turnstile』に限らず、どのセキュリティ対策にも通じることです。
どのようなシステムも完璧ではなく、既存環境との連携や、予期せぬ影響がないかを確認するプロセスは、ホームページの安定性と安全性を保つうえで常に必要となります。
それぞれ解説します。
スパムボットを完全に排除できるわけではない
『Cloudflare Turnstile』は効果的なセキュリティ対策ツールですが、スパムボットを完全に排除できるわけではありません。
ボット技術は常に進化しており、特定のシナリオや新たな脅威に対しては、『Cloudflare Turnstile』だけで防御しきれないおそれがあります。
そのため、『Cloudflare Turnstile』だけでなく、他の多層的なセキュリティ対策と組み合わせて利用することが推奨されます。
たとえば、以下のようなものです。
| セキュリティ対策の例 | 説明 |
|---|---|
| WAFの導入 (Web Application Firewall) | WAFは、ウェブアプリケーションへの不正なアクセスや攻撃から保護するセキュリティ対策です。SQLインジェクションやクロスサイトスクリプティング(XSS)など、既知の脆弱性を狙った攻撃を検知および遮断します。 |
| 国外IPアドレスからの アクセスを制限 | 国外IPアドレスからのアクセス制限は、特定の国や地域からの接続をブロックするセキュリティ対策です。ホームページの主要な利用者層が国内に限定されている場合、国外からの不正アクセス試行やボットによる攻撃の多くを事前に遮断できます。 |
| 多要素認証(MFA)の導入 ※ログインフォームの場合 | 多要素認証(MFA)は、ユーザーが本人確認を行うときに、パスワードだけでなく、スマートフォンアプリのコード、指紋、顔認証、セキュリティキーなど、複数の異なる種類の認証要素を組み合わせるセキュリティ対策です。これにより、たとえパスワードが漏洩しても、他の認証要素がなければ不正ログインを防止できます。 |
『Cloudflare Turnstile』はあくまで多層防御の一部であり、万能ではないことを理解しておくことが重要です。
正当なユーザーをボットと誤検知するおそれもある
『Cloudflare Turnstile』は優れものですが、ごく稀に正当なユーザーを誤ってボットと判断し、アクセスをブロックしてしまう「誤検知」が発生するおそれがあります。
これは、ユーザーのネットワーク環境や、ブラウザのバージョンもしくは拡張機能などが、『Cloudflare Turnstile』の評価ロジックによって不審な挙動として認識されることで起こり得ます。
誤検知が発生した場合、ユーザーのフォーム離脱により、売上の低下につながるおそれがあるため、導入後の変化をモニタリングすることが重要です。
もし、誤検知が頻繁に発生するようであれば、『Cloudflare Turnstile』の設定(例:認証の厳しさ)を見直してください。
また、重要性が非常に高いフォームの場合は、ユーザーが認証を通過できない場合の代替手段(例:サポートへの連絡方法)を記載しておくのもよいでしょう。
実装後は競合や予期せぬ挙動が発生しないかを確認する
『Cloudflare Turnstile』をホームページに導入するときは、既存のシステムや他のセキュリティ対策との間で、予期せぬ競合や不具合が生じないかを確認することが不可欠です。
たとえば、ほかのセキュリティ対策機能と『Cloudflare Turnstile』が干渉すると、うまく動作しないおそれがあります。
総じて、実装後にフォームが正しく動作するか、ホームページ全体のパフォーマンスに影響がないかなどを確認することが重要です。
『Cloudflare Turnstile』に関するよくある質問
最後に、『Cloudflare Turnstile』に関するFAQ(よくある質問)を紹介します。
- 『Cloudflare Turnstile』は本当に無料ですか?
はい、『Cloudflare Turnstile』は無料で利用できます。
ほとんどの個人および中小企業のホームページでは、無料プランで問題なく使えるでしょう。「ウィジェット数」や「分析の振り返り期間」を増やしたい場合などは、有料プランを検討してください。
プランの詳細については、以下からご確認いただけます。
(参考:Cloudflare Turnstile「すべてのプランを比較する」)
- 『Cloudflare Turnstile』を導入したら、スパムが完全に無くなりますか?
残念ながら、どんなスパム対策ツールも100%の保証はありません。
しかし、『Cloudflare Turnstile』は非常に高度な技術を使っており、現在のスパムボットの大半を効果的に防ぐことができます。
これにより、自社のスパム処理にかかる時間や労力を大幅に削減できるでしょう。
- フォームに『Cloudflare Turnstile』の認証ボックスが出てこないのですが?
まず、『Cloudflare Turnstile』のダッシュボードで取得した「サイトキー」と「シークレットキー」が正しくWordPressに設定されているか確認してください。
また、ホームページのキャッシュが残っている可能性もあるので、キャッシュをクリアしてみると表示されることがあります。
なお、ウィジェットモードで「非表示」を選択している場合、認証ボックスは表示されません。設定を確認し、必要に応じて「管理者」への変更を検討してください。
そのほか、『Simple Cloudflare Turnstile』を利用している場合は、ショートコード[cf7-simple-turnstile]を『Contact Form 7』のフォーム編集画面に貼り付けることで、解決する場合もあります。
まとめ
この記事では、WordPressのプラグイン『Contact Form 7』でフォームを作っている方向けに、reCAPTCHAの代替『Cloudflare Turnstile』のメリットや導入方法を解説しました。
- フォームを設置すると、スパムボットから大量の迷惑メールが届くおそれがある
- Googleの『reCAPTCHA』は、無料だと月の評価回数が1万回と上限がある
- 『Cloudflare Turnstile』は、無料&ユーザー負担が少ないスパム対策ツール
- どんなセキュリティ対策も完全に安全なものはないので、多層的に取り組むことが重要
それでは素敵なホームページの完成を願っております。
最後まで読んでいただき、ありがとうございました。
ホームページの開設を検討している方へ
エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1※のレンタルサーバーであり、23万社の導入実績があります。
2025年9月4日(木)17時まで、サーバー利用料金の半額がキャッシュバックされる期間限定キャンペーンを開催中です!
今なら実質月額495円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※ 2025年6月時点、W3Techs調べ。
XServerビジネスは、エックスサーバーを法人向けに特化したレンタルサーバーです。
サーバー月間稼働率99.99%以上を保証する「SLA」をはじめ、セキュリティやサポートが充実しています。
2025年10月7日(火)17時まで、初期費用が0円になる期間限定キャンペーンを開催中です!
今ならお得にホームページを開設できます!
コーポレートサイトでよく使われる「.co.jp」のドメインも永久無料で、大変お得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
『エックスサーバー』と『XServerビジネス』の違いは、以下の記事で詳しく解説しています。
なお、当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
カワウソ
当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。
ホームページの開設を検討している方へ
エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1※のレンタルサーバーであり、23万社の導入実績があります。
2025年9月4日(木)17時まで、サーバー利用料金の半額がキャッシュバックされる期間限定キャンペーンを開催中です!
今なら実質月額495円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※ 2025年6月時点、W3Techs調べ。
XServerビジネスは、エックスサーバーを法人向けに特化したレンタルサーバーです。
サーバー月間稼働率99.99%以上を保証する「SLA」をはじめ、セキュリティやサポートが充実しています。
2025年10月7日(火)17時まで、初期費用が0円になる期間限定キャンペーンを開催中です!
今ならお得にホームページを開設できます!
コーポレートサイトでよく使われる「.co.jp」のドメインも永久無料で、大変お得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
『エックスサーバー』と『XServerビジネス』の違いは、以下の記事で詳しく解説しています。
なお、当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
カワウソ
当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。
