Contact Form 7のスパム対策｜Cloudflare Turnstile設定をステップバイステップ

ブラウザで以下のURLを開いてください。

https://dash.cloudflare.com/sign-up

• メールアドレス
  会社用の長く使うもの（個人Gmail等は引き継ぎで困るので避けたい）
• パスワード
  8文字以上（記号・数字含む推奨）
• Cloudflare認証にチェック

「Sign Up」ボタンをクリック。

入力したメールアドレスにCloudflareから認証メールが届きます。「Verify email」ボタンをクリックして認証完了。

認証が済むと、まず「Welcome! How do you plan to use Cloudflare?」というようこそ画面が出てきます。

「Personal」「Professional」「Personal & Professional」の3つから用途を選ぶ画面ですが、Turnstileの利用そのものには影響しません。
迷ったら右下の「Skip →」でスキップしてもOKです。

• Personal
  個人ブログ・自分のポートフォリオサイト用
• Professional
  クライアントの企業サイト・お仕事サイト用
• Personal & Professional
  両方の用途で使う方
• Skip
  後で決めたい方（あとからでも変更可能）

後からでも変更できるので、深く考えなくて大丈夫です。

Skipすると、もう1段「How would you like to get started?」というオンボーディング画面が続きます。

• Build and scale apps globally
  アプリ開発・コンピュート/AI/ストレージ用
• Protect your apps and users
  セキュリティ系（WAF・Bot対策など）。Turnstileに一番近いカテゴリ
• Connect and accelerate traffic
  CDN・DNSなどネットワーク系
• Skip
  何も選ばずに進む（OK）

こちらもTurnstileの利用そのものには影響しないので、Skipで問題ありません。
強いて選ぶならTurnstileはセキュリティ系なので「Protect your apps and users」が近いですが、迷ったらSkipでサクッと進みましょう！

用途を選ぶ（またはSkip）と、ダッシュボードに入れます。

これでアカウント作成は完了です！

左サイドバー「Protect & Connect」グループの中にある「Application security」をクリックして展開すると、メニュー内に「Turnstile」があります。

Turnstileの「Overview」画面が開きます。中央の「Get started」カードにある「Add widget」ボタンをクリック。

以下の情報を入力します。

Widget modeの違い

迷ったら Managed (Recommended) が最も安全で実績があります。

「Create」をクリックすると、「Successfully created Turnstile widget!」 という緑のメッセージとともに Site key と Secret key が発行されます。

各キーボックスの「Click to copy」をクリックすればコピーできます。
後でWordPress側に貼り付けるので、メモ帳やパスワード管理ツールに控えておきましょう。

WordPress管理画面の 「設定」 → 「Simple CAPTCHA Alternative with Cloudflare Turnstile」 から設定画面を開きます。

• Site Key：STEP 2で取得したSite Key
• Secret Key：STEP 2で取得したSecret Key

「APIキーの設定」セクションの「サイトキー」「シークレットキー」欄にそれぞれ貼り付けます。まだ「変更を保存」は押さずに次のSTEPへ進んでください。

同じ設定画面の下のほうに「フォームでTurnstileを有効化する」セクションがあります。「Contact Form 7」項目の「すべてのCF7のフォームで有効化」チェックボックスをON にします。

必要に応じて他のフォーム（WordPressログイン・コメント・WooCommerceチェックアウト等）も同時に有効化できます。設定が終わったら「変更を保存」をクリック。

「変更を保存」を押すと、画面に 「もうすぐ完了です…」 ボックスが現れて、「APIキーが更新されました。Turnstileの応答を以下よりテストしてください。」 というメッセージが表示されます。

1. 表示された Turnstile ウィジェットのチェックマークを操作（多くは自動完了）
2. ウィジェット内に緑の 「成功しました！」 が出る
3. 下の緑ボタン 「応答テスト →」 をクリックして確定
4. 画面上部に緑文字で 「✅ 成功 ! Turnstile はこれらの API キーで正しく動作します。」 と表示されたらテスト完了

このメッセージが出れば STEP 4 完了 です。お疲れさまでした！

お問い合わせページなど、CF7フォームを設置してあるページを公開ビューで開いてください。
送信ボタンの近くにTurnstileのウィジェット（緑のチェックマーク）が表示されていればOKです。

「全CF7フォーム自動」がデフォルトですが、表示位置を細かく制御したい 場合はショートコード

<label> お名前
    [text* your-name] </label>

<label> メールアドレス
    [email* your-email] </label>

<label> 件名
    [text* your-subject] </label>

<label> メッセージ本文（任意）
    [textarea your-message] </label>

[cf7-simple-turnstile] ←←←ここに挿入

[submit "送信"]

通常はSTEP 4 の設定だけで完結するので、こだわりがなければ ショートコードは不要 です。

人間には見えない「罠フィールド」を設置して、ボットだけが入力してしまうものを弾く仕組みです。Turnstileと違って完全にバックグラウンドで動作するので、ユーザーには何の影響もありません。

「CF7 Apps – Honeypot, Database, Redirection, Webhook, and Addons for Contact Form 7」（作者: Saad Iqbal / WPExperts、30万サイト以上で稼働）をインストール＆有効化。

※ 旧称「Contact Form 7 Honeypot」 がリブランドされて、現在はhoneypot以外にもデータベース保存・リダイレクト・Webhook等のApp集合体になっています。検索する時は「CF7 Apps」または「Contact Form 7 Honeypot」どちらでもOK。

有効化したら、WordPress管理画面 → CF7 Apps ダッシュボードで 「Honeypot App」を有効化 してください。

フォーム本文に以下を追加。

[honeypot website-honeypot]

ボット側からはただのフィールドに見えるので、入力してしまう＝スパム判定でブロックされます。

1. 公開ページのフォームを開く
2. Turnstileのウィジェットが表示されているか確認
3. 全項目入力して「送信」
4. メールが届くか確認

開発者ツール（F12キー）でTurnstileのHTMLを削除してから送信してみる → エラーになればOK。

導入後、数日〜1週間ほど運用してからスパム到達数を確認します。劇的に減っていれば成功です！