Google reCAPTCHAのサービス移行通知が来た
この記事を書いているDigiLoogは勿論、ns-lab BBでもreCAPTCHAを利用している。
そんな中、ちょっち前に話題となったreCAPTCHAのAPI実行制限の本丸と思われる、
Google reCAPTCHAへのサービス移行通知連絡が筆者の元にも届いた。
 |
流石にreCAPTCHAが利用出来なくなるのは避ける必要があり、
WordPressとreCAPTCHAの組み合わせは多用もしているためサービス移行が必須になった
という事で、このままreCAPTCHAを利用しつつ新サービスに移行するか、
別のCAPTCHAサービスへ移行を行うか比較してみた。
reCAPTCHAもAIで突破出来ると言われたりしているが、
普通のスパムやスクリプトキディなどは防げるのも事実だったりする。
実際に筆者が運用する色々なサービスでスパムなどを防いでいる実績もあり役立っている
とは言っても、クエリ試行されたらお財布が破産しちゃうため同等の代替サービスを探してみた。
有名どころだとCloudflare Turnstileが良さそうで、
Google reCAPTCHA同等のセキュリティ対策が簡単に実装出来る模様。
Contact Form 7にも対応しているので妥当な移行先として真っ先に上がると思う。
- Cloudflare Turnstile
- WordPress > Simple Cloudflare Turnstile
他には、Google Authenticatorを用いた多要素認証も考えられるが、
仕組み的に登録ユーザが前提となりメール送信フォームやコメント欄などパブリックでの実装が難しく、
reCAPTCHAの代替にはなり切れないのが事実。
管理画面のログインフォームなどアカウントを前提にするなら現時点で考えられるベター案ではあるので、
使い処によっては十分検討の余地は残っている。
また、Google Authenticatorに限らずWordPressの多要素認証プラグインが豊富なため、
簡単に導入出来るメリットもあったりする。
- Google Authenticator
- WordPressプラグイン > Two-Factor
変わり種だと少し前のオンラインバンクで見かけたパズル認証もあったが、
2023年にCVE-2023-44997のCSRF脆弱性が見つかり危険と判断されプラグイン非公開になっていた。
そもそも、パズル認証は多要素認証として脆弱という研究報告も上がっていたり、
画像認識処理のプログラミング登竜門的な所もあるらしく今さらコレを新規実装する事も無いと言える。
- JVN > JVNDB-2023-014614
- WordPressプラグイン > wp-forms-puzzle-captcha (閉鎖済)
………
今回どれを選択するか先行き不透明だが、第一候補はCloudflare Turnstileになりそうだった。
使用感がreCAPTCHA同等なのと実装も他より簡単総なのが候補に挙がった理由の一つとなる。
Google reCAPTCHA完全移行まで時間もありそうなので情報収集を進めながら、
実装難易度の確認と選定を行いセキュリティ強化を図りたいと思う。
