こんにちは、和花人ブログのMIHOです。
WordPressでお問い合わせフォームを運営している方の多くが導入している「Google reCAPTCHA」。
実は今、このreCAPTCHAに大きな変更が起きているのをご存じでしょうか?
結論から言うと、
・ GoogleはすべてのreCAPTCHAユーザーを「reCAPTCHA Enterprise」へ移行予定
・ 無料枠を超過した分について課金が発生する可能性がある
という流れになっています。
この記事では、
を、私の実体験をもとにわかりやすくまとめました。
まず知っておきたい:reCAPTCHAがどう変わるの?
私も今までreCAPTCHAを利用していたのですが、ある日突然、画像の様な「注意喚起」が表示されました。
今回調べてみると、以下の様な状態になるそうです。
2024年〜2025年にかけて、Googleは「従来のreCAPTCHA」を段階的にreCAPTCHA Enterpriseへ統合していくと発表しました。
これまでWordPressなどで無料で使えていた仕組みが、今後はGoogle Cloudプロジェクトと紐づく形に変更されます。
| 内容 | 変更概要 |
|---|---|
| 利用キーの移行 | 従来のサイトキー/シークレットキーは、将来的にGoogle Cloudプロジェクト上で管理される予定。 |
| 無料枠の縮小 | Essentialsプランで月10,000回まで無料、それ以降は課金対象。 |
| 料金発生条件 | 100,000回以上の検証は1,000回あたり約US$1前後の課金の可能性。 |
| 移行猶予 | 現時点で強制移行ではないが、段階的な統合が進行中。 |
つまり今後は:
- API利用が一定量を超えると「課金対象」になる
- 現行の無料reCAPTCHAが 完全無料で使えなくなる可能性がある
ということです。
具体的には、Googleアカウントで発行した reCAPTCHA の「サイトキー」を通じて行われるAPIリクエスト数が、Googleの無料枠を超過した場合、Google Cloud課金 が発生します。
Turnstile(ターンスタイル)とは?
同様に人間か?ボットか?を判断しますが、完全無料で課金なし。
ユーザーの個人データを Google に送らないため、プライバシー保護面でも優秀。
Contact Form 7も正式対応しており、導入がとても簡単です。
MIHOつまり、画像の注意喚起文は「reCAPTCHA を使い続ける特別な理由がなければ、Turnstile に切り替えるのがおすすめ」という意味になります。
Google の「課金対象」とは?
現在のreCAPTCHA v2 / v3は「Classic版」として引き続き無料で利用できます。
ただし、Googleは将来的にすべてのユーザーを「reCAPTCHA Enterprise」に移行予定としており、その段階で課金体系が適用される見込みです。
- 通常のフォームで使っている分には課金は発生しません。
- しかし、Google Cloud ConsoleでEnterpriseキーを発行して使う場合や、大量アクセス・スパム攻撃で検証回数が増える場合は無料枠(1万件/月)を超過して請求対象となる可能性があります。
- Wordfenceなど、間接的に保護している仕組みではGoogle CloudのAPIを直接呼び出していないため「課金対象外」です。
つまり、現時点で料金は発生しませんが、今後の仕様変更には注意が必要です。
| 状況 | 料金発生の可能性 | 補足説明 |
|---|---|---|
| ① reCAPTCHA v2/v3を通常利用(WordPressのContact Form 7など) | ✕ 現時点では無料 | 旧API(Classic)では課金なし。ただし将来的にEnterprise統合の可能性あり。 |
| ② reCAPTCHA Enterprise APIをGoogle Cloudで発行して使う | ⚠️ 発生する可能性あり | Cloudプロジェクトに課金口座を紐付けている場合、超過分は課金対象。 |
| ③ Wordfenceなど、間接的にログイン画面を保護する場合 | ✕ 発生しない | Wordfenceは自前のロジックで制御しており、Google Cloudキーを使用しない。 |
| ④ スパム攻撃などでフォームが大量送信される場合 | ⚠️ 注意が必要 | reCAPTCHAが大量に呼び出されると、無料枠(例:月10,000回)を超える可能性。 |
じゃあ、どうすればいいの?
✅ 2025年10月現在 reCAPTCHA を使っている人
- 今すぐ止める必要はありませんが、今後課金が発生する可能性がある ので注意。
- Google Cloud Consoleで利用状況を確認できるようにしておくと安心。
- 将来的には Cloudflare Turnstile に切り替える準備 をすると安全。
✅ これから導入する人
- 迷ったら Turnstile の導入をおすすめ します。
(Contact Form 7 の「インテグレーション」設定画面から設定可能)
実際に私がやった手順
① WordPress側でreCAPTCHAのキーを削除
私の様に、すでに今reCAPTCHAを導入しており、変更したい方は①の手順からスタートします。
今何も導入していない人は②の手順から参照してくださいね。
まず、WordPress管理画面の「お問い合わせ → インテグレーション」 を開く。
🔍 ポイント
この操作でフォーム側のreCAPTCHA機能は「無効」になります。
「reCAPTCHA」を開き、「インテグレーションのセットアップ」をクリック。
「キーの削除」をクリックして、設定済みの「サイトキー」と「シークレットキー」を削除します。
② CloudflareでTurnstileを設定
次にCloudflareアカウントを作成し、Turnstileの設定を行います。
まず、WordPress管理画面の「お問い合わせ → インテグレーション」 を開く。
「Turnstile」を探し、「Cloudflare Turnstile インテグレーション」をクリック。
「アカウントを作成」をクリックします。
「無料で始める」をクリック。
「私がボットではないことを確認します。」にチェック✔。
「Googleで続行」もしくは新規作成します。
左上にある「CLOUDFLARE」のアイコンをクリック→メニューの「回転式改札口(Turnstile)」→「ウィジェットを追加」をクリック
ウィジェット名を入力(例:wakawebshop)※名前は自由でOK。→「ホスト名を追加する」をクリック。
「カスタムホスト名を追加する」に 自分のブログのURL(私の場合だとwakawebshop.com )を「https://」は入れずに入力します。
「自分のURLを選択」→「追加」をクリック。
ウィジェットモードは「管理された(Managed)」を選択→「事前クリアランスを選択しますか?」は「いいえ」→「作成する」
| モード名 | 表示 | 動作の特徴 | Contact Form 7との相性 |
|---|---|---|---|
| 管理された(Managed) | 状況に応じて「I’m human」が出たり非表示になったり | Cloudflareが自動で最適化。初心者でも安定。 | ◎ 非常に良い |
| 非インタラクティブ(Non-interactive) | ほぼ非表示。裏で自動判定 | チェックボックスも出ない。軽いけど誤検知リスクあり | △(まれに送信失敗あり) |
| 見えない(Invisible) | 通常は見えないが、疑わしい時だけ表示 | Managedと似てるが少し不安定 | ○ |
これで「サイトキー」と「シークレットキー」が発行されます。
③ WordPressのContact Form 7と連携
再びWordPressの管理画面に戻り、「お問い合わせ → インテグレーション → 「Turnstile」へ。
先ほど開けたままにした「2つのキー」をコピー+貼り付け→「変更を保存」します。
「設定を保存しました」となれば、これでWordPress側との接続が完了です!
④ フォームの中身を修正
次に「コンタクトフォーム」を修正します。
これまでreCAPTCHAを使っていなかった方でも、お問い合わせフォームが公開されているなら、Cloudflare Turnstileの導入をおすすめします。
理由はシンプルで、最初のうちはスパムが来なくても、サイトが成長するにつれてボットの巡回対象になり、突然スパム送信が増えることがあるからです。
Turnstileは完全無料で、フォームに1行追加するだけ。
デザインも崩れず、サイト表示も重くなりません。
[turnstile your-turnstile]
この1行を送信ボタンの直前に追加しておけば、不正な自動送信をほぼ完全に防げます。
今のうちに設定しておくことで、「ある日突然スパムが100件届く」といったトラブルを防げます。
WordPress管理画面の「お問い合わせ」→「コンタクトフォーム」→自分が使用しているお問い合わせフォームを選び、開きます。
「フォーム」を選択→今までreCAPTCHAを使用していた人は「旧reCAPTCHAの文章を削除」し、以下のTurnstile用のタグを挿入します。
今までreCAPTCHAを使用していなかった人は、以下のコードを追加してください。
<label> お名前(必須)
[text* your-name autocomplete:name] </label>
<label> メールアドレス(必須)
[email* your-email autocomplete:email] </label>
<label> 件名(必須)
[text* your-subject] </label>
<label> メッセージ本文
[textarea your-message] </label>[turnstile your-turnstile]
[submit “送信”]
フォームの一番下にはこんな注意書きを追加しておくと安心です👇
<div style="font-size:.9em;color:#777;">
このフォームは Cloudflare Turnstile によって保護されています。<br>
スパム防止のために本人確認を行っています。
</div>| 状況 | やること |
|---|---|
| もともとreCAPTCHAを使っていた | → フォーム内のGoogle文を削除して、Turnstileタグを追加 |
| reCAPTCHAを使っていなかった Turnstileを新たに導入したい | → 送信ボタン直前に [turnstile your-turnstile] を1行追加 |
▽問い合わせフォームの作成方法詳細はこちらの記事で紹介しています
Cloudflare Turnstileのログイン画面
ログインするにはこちらからどうぞ。
https://www.cloudflare.com/ja-jp/application-services/products/turnstile/
Cloudflare Turnstileの管理画面の見方
Cloudflareの「回転式改札口(Turnstile)」画面では、登録したウィジェットの一覧が表示されます。
| 項目 | 説明 |
|---|---|
| ウィジェット名 | 登録時に自分で決めた名前(例:ワカウェブショップ) |
| ホスト名の数 | 登録されているドメインの数。通常は「1」。 |
| おそらく人間(Human %) | 訪問者のうち「人間」と判定された割合。高いほど安全。 |
| ウィジェットモード | Turnstileの動作形式。「管理された(Managed)」が推奨。 |
| 事前承認 | 「事前クリアランス」の設定。「なし」でOK。 |
| ︙メニュー | 編集・削除・キーの再確認などを行うメニュー。 |
TurnstileやreCAPTCHAの設定でスパム投稿を防ぐことはとても大切ですが、実はもう一つ、見落としがちなセキュリティ対策があります。
それは——「管理者本人のパソコンを守ること」です。
WordPressへの不正ログインの多くは、「パスワード漏洩」や「ウイルス感染」が原因で発生します。
もしあなたのPCがウイルスに感染していたら、いくらTurnstileでスパムを防いでも意味がありません。
ESETは、NTTコムオンライン実施の「NPSベンチマーク調査・セキュリティソフト部門」で8年連続 No.1 を獲得している信頼の総合セキュリティソフト。
特に下記の3点が、ブロガーや在宅ワーカーに選ばれている理由です👇
- 動作が軽い:WordPressや画像編集ソフトと併用してもサクサク動く
- 防御率が高い:フィッシングや不正アクセスをブロック
- 誤検出が少ない:作業中に邪魔されにくく、安定して使える
さらに、5台・3年使えて9,000円(税込)という驚きのコスパ。
1台あたり月50円ほどで、この安心感は正直コーヒー1杯より安いです。
ゲームモード機能もあるので、YouTube編集やデザイン作業中でも快適。
もちろん「決済保護」機能も搭載しており、クレジットカード情報の漏洩対策としても優秀です。
▽「ESET HOME セキュリティ エッセンシャル」詳細はこちら
お友達や同僚に勧めたいセキュリティソフト7年連続 No.1
2つ目のサイト(mihorinblog)の設定方法
たとえばMIHOの場合:
- 和花人ブログ →
wakawebshop.com - mihorinblog →
mihorinblog.com
この2つは独立したドメインなので、それぞれにTurnstileを設定します。
登録手順
- Cloudflareにログイン
- 左メニューから「回転式改札口(Turnstile)」を選択
- 「ウィジェットを追加」をクリック
- 次のように入力
| 項目 | 設定内容 |
|---|---|
| ウィジェット名 | 2つ目のサイトの名前。例)mihorinblog |
| ホスト名 | 2つ目のサイト名。例)mihorinblog.com |
| ウィジェットモード | 管理された(Managed) |
| 事前承認 | いいえ |
- 「作成」をクリックし、キーを発行
- mihorinblogのWordPress → 「お問い合わせ」→「インテグレーション」→「Turnstile」→ 新しいキーを入力して保存!
これで、2つ目のサイトにもスパム防止が導入されます。
実際に動作確認をします
フォームを保存したら、実際にテスト送信をしてみましょう。
Turnstileのアイコンが表示され、フォーム送信がスムーズにできれば成功です。
設定後すぐは読み込み中の場合もあるため、数分待ってからテスト送信をしてみてください。
Cloudflare Turnstile の 3つのモードと見た目の違い
| モード名 | 表示されるか? | 特徴 |
|---|---|---|
| 管理された(Managed) | ✅ 状況に応じて表示される(チェックボックスが出ることも) | Cloudflareが自動判断して「表示/非表示」を切り替える。人間には見えずに通ることもある。 |
| 非インタラクティブ(Non-interactive) | 🚫 表示されない | 完全に裏側で動く。デザイン的にはすっきりするけど、視覚的な確認はできない。 |
| 見えない(Invisible) | 🟡 通常は非表示/怪しい時だけ表示 | Bot判定があやしい時だけ☑が出る。 |
reCAPTCHAとTurnstileの違いまとめ
| 比較項目 | reCAPTCHA | Turnstile |
|---|---|---|
| 提供元 | Cloudflare | |
| 料金 | 無料(今後課金の可能性あり) | 完全無料 |
| プライバシー | トラッキングあり | トラッキングなし |
| 導入難易度 | 中級者向け | 初心者でも簡単 |
| 表示形式 | バッジ表示あり | 非表示にもできる |
| Contact Form 7対応 | あり | 公式サポート済み |
まとめ:早めの移行が安心!
reCAPTCHAの有料化が進む中、Cloudflare Turnstileは無料で・軽く・安全に使える救世主的な存在。
特にContact Form 7との相性が良く、「管理された(Managed)」モードなら初心者でも簡単に導入できます。
これからWordPressでお問い合わせフォームを使う方は、早めにTurnstileへ移行しておくのがベストです。
