reCapchaによるフォーム保護

投稿日: 更新日

フォームを狙う攻撃の種類とリスク

  • スパムメールの大量送信によるメールサーバーのブラックリスト登録リスク
  • 問い合わせフォームを悪用したフィッシングサイトへの誘導や広告の投稿
  • ブルートフォース攻撃(総当たり攻撃)による管理者アカウントのログイン試行
  • 大量のダミー投稿によるデータベースの肥大化とサーバー負荷の増大

reCaptcha導入のメリット

  • 人間とボットを自動で判別し、悪意のある自動投稿を物理的に遮断する
  • ユーザーに画像選択などの手間をさせない「v3」により、利便性を損なわずに保護できる
  • 攻撃コストを上げさせることで、特定のサイトを標的にした執筆を断念させる効果
  • Googleのセキュリティインフラを利用することで、自前で対策を組むより低コストかつ高精度

運用の注意点と設定

  • サイトキーとシークレットキーを適切に管理し、ソースコード上に露出させない
  • reCaptchaのバッジ(ロゴ)がデザインを邪魔する場合は、利用規約を遵守した上でCSSによる非表示設定を検討する
  • フォームだけでなく、ログイン画面やコメント欄など「入力」が発生する全箇所へ適用する
  • 稀に正当なユーザーがボットと判定される「誤検知」が発生する可能性を念頭に置く

鮮度管理と監査

  • Google Search Console等の管理画面で、ブロックされたリクエスト数とトラフィックの傾向を定期的に確認する
  • 使用しているプラグインやテーマとの競合がないか、WordPress本体のアップデート時に動作確認を行う
  • reCaptcha自体のバージョンアップ(v2からv3など)に伴う、古いAPIキーの廃止と差し替えの管理
アバター画像
0xc793

本サイトは、SOHO・個人・ホームネットワーク等の事業基盤や生活の継続を目的とした環境設計や実施タスクのナレッジです。セキュリティ、バックアップ、運用の各軸に基づき、エントリを配置していきます。