【保存版】reCAPTCHA 2・3の始め方（v2/v3）｜違いとWordPress設定【CF7連携】

• Facebook
• X(旧:Twitter)
• はてブ
• LINE
• Pocket

【保存版】reCAPTCHA 2・3の始め方（v2/v3）｜違いとWordPress設定【CF7連携】

本記事ではreCAPTCHA 2・3（v2/v3）の違いと選び方、APIキーの取得からWordPress実装、Contact Form 7（CF7）連携までを、初心者でも迷わない手順で解説します。

reCAPTCHAとは？仕組みと種類の体系解説

reCAPTCHAの基本機能と選べるタイプ一覧

reCAPTCHAはGoogleが提供するスパム・不正送信対策の仕組みです。画像認証やスコア判定で、人間とbot（自動化攻撃）を区別し、フォーム送信やログインを保護します。

• v2（チェックボックス/画像認証）：可視のチャレンジで判定。確実性は高いが、ユーザー操作が増える。
• v2 Invisible（チェックボックスオフ）：ボタン押下時に裏側で判定。UI表示を最小化。
• v3：ユーザー操作なしでスコア（0.0〜1.0）を付与し、サイト側のルールで制御。
• Enterprise：大規模・高リスク向けの上位版（API/サポート/検知精度強化）。

v2・v3・Invisibleなど各バージョンの違いと特徴

bot・自動化攻撃への有効なスパム対策とは

reCAPTCHA単体に頼らず、多層防御が基本です。ハニーポット、送信頻度制限、NGワード/UA/IP制御、WAFなどを併用し、突破時はログから傾向を掴んでルールを強化しましょう。

reCAPTCHA v2・v3の違いを徹底比較

設置方法・ユーザー体験・画面表示の違い

v2は「私はロボットではありません」や画像タスクなど可視の防御。確実ですが離脱を招くことがあります。v3はUIを汚さないのが利点。Invisible v2はその中間で、ボタン押下時に裏でチェックします。

検出ロジックと誤判定リスクの比較分析

v2は人間らしい操作の有無で判定するため、誤判定は比較的少なめ。v3は行動特徴からスコアを付けるので、しきい値（例：0.5/0.7など）の調整と、低スコア時の例外フロー（再入力/メール確認等）が鍵です。

セキュリティ評価と不正行為防止の強度

「v3＋送信制御（低スコアは別フロー）」でUXと強度の両立が可能。高リスクならWAF/レート制限/サーバ側検証を併用し、悪性トラフィックの通過確率を下げます。

メリット・デメリットと選択ポイント

• まずはv3推奨（UXを守る）。
• 突破/誤判定が続く場合はInvisible v2 → v2チェックボックスへ段階的に切替。
• 攻撃が本格化する環境はEnterpriseや外部防御の導入も検討。

reCAPTCHA v2・v3の導入準備と必要なもの

Googleアカウント作成・管理の流れ

サイトオーナーのGoogleアカウントでreCAPTCHAコンソールにアクセス。共同運用なら管理者追加で権限を共有しておくと安心です。

APIキー（サイトキー／シークレットキー）の取得方法

まずは公式サイトへアクセス：

https://www.google.com/recaptcha/about

reCAPTCHAはプラグインではないため、サイト登録を行ってSite key / Secret keyを発行します。Googleアカウント未所持の場合は先に作成してください。

トップページからLearn Moreをクリック → 案内に沿ってサイト登録画面へ進みます。

「使ってみる」から新規登録へ。

コンソール画面での新規登録・設定手順

ラベル

任意でOK（サイト名やドメイン名の一部など識別しやすいもの）。

reCAPTCHAタイプ

• スコアベース（v3）
• チャレンジ（v2）

基本は最新版のv3で問題ありません。v3は自動判定のためユーザー負担が少なく、UXを損ねにくいのが利点です。一方、スコアが一定値を下回ると正規送信が弾かれる可能性もあるため、サイトの状況に応じて最適値を探りましょう。

ドメイン

あなたのサイトのドメインを入力（例：optimal-workout.com）。wwwの有無やhttpsの扱いに注意。サブドメインを使う場合は必要に応じて追加します。

reCAPTCHA Enterprise・SMS認証など上位プラン解説

大規模/高リスク環境ではEnterpriseの導入で検知精度・サポートを強化可能。アカウント作成やログインには2FA/SMS認証など別系統の本人確認を段階的に併用するのが効果的です。

reCAPTCHA v2・v3の導入手順ガイド｜WordPress・Contact Form 7連携

WordPressサイトへのreCAPTCHA実装方法

登録が完了したら、表示されたサイトキー/シークレットキーをWordPress側に設定します。ダッシュボードからテーマ/プラグインのreCAPTCHA設定画面に保存してください。

設定に移動すると、スコアの目安やリクエスト状況のログを確認できます。

Contact Form 7での設定手順と連携方法

WordPress管理画面 → お問い合わせ > インテグレーション に進みます。

インテグレーションのセットアップを選択。

reCAPTCHAのサイトキー/シークレットキーを入力して、変更を保存で完了です（v3はフォームへ自動適用）。

他フォーム・外部サービスとの統合・活用アイデア

• 会員登録/ログイン/コメントにも適用して送信導線を一貫保護。
• v3の低スコア送信は再確認フローへ分岐（メール確認・簡易質問など）。
• ログから時間帯/UA/IPの傾向を見て、レート制限/遮断を強化。

登録・設置時の注意点とよくあるトラブル対策

• キー種別の取り違え：v2キーでv3を使おうとして失敗。
• ドメイン不一致：www有無やhttps混在、サブドメイン漏れ。
• キャッシュ/最適化の競合：JS遅延/縮小でエラー → 一時停止で切り分け。
• 同意管理：EU圏向けCMPで同意前ブロック → 同意後読み込みに。

運用時に考慮すべきデメリットとリスク管理

誤判定・ユーザー離脱の防止策と調整法

v3のしきい値が厳しすぎると正規ユーザーも弾かれます。スコア分布を見ながら段階的に緩和し、低スコア時は別フロー（再入力/メール確認）へ誘導する多段階設計が有効です。

バッジ表示、プライバシー、クリックなどユーザー影響

バッジは非表示にしない（規約上NG）。位置と余白で目立ちにくく調整し、プライバシーポリシーにreCAPTCHA利用を明記しておきましょう。

不正アクセス・大規模攻撃への対応・対策強化

• WAF/レート制限/サーバー側バリデーションを併用。
• 異常なUA/IP帯を遮断、国別制限の活用。
• 攻撃ピーク時は一時的にv2へ切替え、可視のチャレンジで抑止。

reCAPTCHA機能拡張・運用最適化のコツ

複数バージョン併用の可否と注意点

同一ページ内にv2とv3を混在させると競合しやすいので非推奨。基本はページ単位でどちらか一方に統一します。

スコア分析と検証結果の活用事例

v3導入後はスコア分布を観測し、しきい値や例外ルールを調整。低スコアが特定時間帯に偏るなら、時間帯別ルールで抑止効果が上がります。

規模・サイト種別ごとの最適な選択と実装例

• 小規模ブログ：まずはv3。突破時のみInvisible v2→v2へ。
• 中規模サービス：v3＋閾値調整。低スコア送信は再認証へ分岐。
• 大規模・会員/金融：Enterprise＋WAF、行動分析の自動化で堅牢化。

reCAPTCHA導入のQ&A・よくある疑問とその解決法

料金・無料／有料プランの違い

v2/v3は基本無料（使用条件あり）。大規模・高セキュリティ要件ならEnterpriseを検討。

API制限、コンソール管理、キー紛失時の対処

• キーは複数管理者で共有管理し、退職/委託終了時は権限を棚卸し。
• ドメインの追加・削除はコンソールで随時更新。
• 漏えい疑いはキーをローテーション（新規発行→置換）。

導入後の運用・評価・トラブル相談先

導入直後は送信成功率/スパム率/スコア分布を確認。キャッシュや最適化プラグインとの競合はよくあるので、異常時は一時停止で切り分けてから段階的に再有効化しましょう。

まとめ｜reCAPTCHA v2・v3を活用したスパム対策最前線

まずはv3で導入し、スコア閾値と例外フローで調整。突破が目立つ場合はInvisible v2 → v2チェックボックスへ段階的に切替えましょう。CF7連携はインテグレーションでキー保存するだけでOK。最後に、実際のフォームから送信テストを行い、コンソールのログで反映を確認してください。

• Facebook
• X(旧:Twitter)
• はてブ
• LINE
• Pocket