Cloudflare TurnstileをreCAPTCHAの代わりとしてWordPressに導入する

スパム対策として利用していた Google reCAPTCHA が従量制に変更されたため、Cloudflare Turnstile に移行することにしました。

従量制の中身は、1ヶ月10,000件までは無料なので、小規模のサイトや個人ブログではそうそう超えることはなさそうですが、ある日突然大量スパムの標的になる可能性も否めません。

Google Cloud の課金を無効にしている場合は、月間の無料枠に近づくか、上限を超えると、課金を有効にするよう通知されるそうです。10,000件を超えても無課金のままだとエラー判定になるとか。

詳しくは Google Cloud に関する下記ドキュメントにまとめられていました。

そもそも reCAPTCHA に限らず「従量制」というルールに警戒心があり、忘れた頃に請求がきて焦るという経験は身に覚えがあるので、ここは始めから無料としているサービスに移行した方が心の安寧を保てると思い、今回導入するにいたりました。

（以下の作業手順や画面は、2025年9月に行った内容です）

Cloudflareのアカウントをつくる

アカウントの作成は、Cloudflare のサイトにアクセスして「無料で始める」のボタンをクリックします。

方法はいくつかありますが、Googleアカウントと連携すればすぐに作成できました。

Cloudflare ダッシュボードを開き、左メニューから Turnstile を選択して、ウィジェットを追加 ボタンをクリックします。

ウィジェットを追加 ページに移るので、任意でウィジェット名 を入力し、 ホスト名の追加 ボタンを押下すると、ページ右側から入力画面がスライドして表示されます。

表示された ホスト名の追加 の項目に、ホスト名（ドメイン名）を入力して、追加ボタンを押します。

下部に追加したホスト名が表示されるので、チェックボックスをチェックして、追加ボタンを押します。

すると、元の ウィジェットの追加 ページに戻り、ホスト名がリストに追加されるので、右下の作成ボタンを押します。

「Turnstile ウィジェットの作成に成功しました。」の文言とともに、サイトキー と シークレットキー が表示されます。

次に Turnstile で取得した 2つのキーを、WordPressで使用するプラグインに設定していきます。

WordPress 左メニューの お問い合わせ から インテグレーション を選択します。Contact Form 7 をすでに利用していて、reCAPTCHA にキーを設定していた場合は、前もって削除しておきましょう。

Turnstile の設定は インテグレーションのセットアップ ボタンをクリックしてキーの入力画面を開きます。

取得したサイトキーとシークレットキーを入力して 変更を保存 します。

このままだと Turnstile のウィジェットがフォームの先頭に表示されます。

これではレイアウトとして少々見にくいので、フォームの編集画面をから [turnstile] タグを [submit “送信”] の手前に挿入して、表示位置を移動させました。

ウィジェットが下記のように、送信ボタンの手前に配置されると思います。

Simple Cloudflare Turnstile は、Turnstile を WordPress のログインフォームなどの入力画面に設定するためのプラグインで、プラグインを追加 からインストールして有効化します。

WordPress 左メニューの設定から、Simple Cloudflare Turnstile の設定画面を開き、API キーの設定 の項目に取得したサイトキーとシークレットキーを入力します。

Turnstile を有効にするフォームのチェックボックスをチェックして、変更を保存 をクリックします。Contact Form 7 はすでに設定済みで重複するためチェックはしていません。

保存したあと、「もうすぐ完了です…」の枠の中にある、ミドリ色の 応答テスト → ボタンを押します。

「成功！Turnstile はこれらの API キーで正しく動作します。」の文字がでたら完了となります。

最後の応答テストボタンを見落として押さなかったため、計測されなくて困惑した、ということがありました……。

Cloudflare ダッシュボードから Turnstile を開いて、先ほど設定したウィジェットの右端にある 分析を表示 のテキストリンクをクリックをすると、計測内容が確認できると思います。