Warum reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen schützt

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Was ist überhaupt reCAPTCHA?

Googles reCAPTCHA ist ein menschlicher Überprüfungsmechanismus, der von Google als kostenloser Webdienst erstellt und gepflegt wird. WP Cerber unterstützt reCAPTCHA für WooCommerce- und WordPress-Formulare als Anti-Spam-Funktion .

Warum schützt reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen?

Es ist möglich, weil WordPress drei Autorisierungsmethoden hat, die standardmäßig aktiviert sind. Das bedeutet, dass Hacker drei Eingänge auf jeder WordPress-basierten Website ausnutzen können. Der erste verwendet das standardmäßige WordPress-Anmeldeformular. Zwei weitere Methoden sind für Sie unsichtbar, aber bekannt für Hacker und spezialisierte Software, die Hacker verwenden. Cyberkriminelle verwenden sie, um an die Passwörter der Benutzer zu gelangen und sich damit Zugang zum WordPress-Dashboard mit Administratorrechten zu verschaffen.

Jeder Captcha-basierte Mechanismus, einschließlich reCAPTCHA, kann WordPress nur vor einem Brute-Force-Angriff auf ein gewöhnliches Anmeldeformular schützen. Die anderen beiden WordPress-Authentifizierungsmethoden sind noch ungeschützt. Warum? Denn reCAPTCHA wurde entwickelt, um Websites über einen menschlichen Verifizierungsmechanismus vor Robotern zu schützen. Hacker sind keine Roboter, auch wenn sie Botnets verwenden. Aus diesem Grund schützt reCAPTCHA Websites nicht vor Hackerangriffen.

Ich sehe viele Plugins, die die Verwendung von reCAPTCHA zum Schutz des Anmeldeformulars anbieten. Ich habe eine Frage an Sie: Schützen diese Plugins Ihre Website vollständig, einschließlich der folgenden zwei Methoden, wie es WP Cerber tut.

1. Cookie-basierte Autorisierung
2. XML-RPC-Autorisierung

Bedeutet es, dass reCAPTCHA nutzlos ist?

Nö. reCAPTCHA kann erfolgreich als Spam-Schutzmechanismus für Registrierungs-, Kontakt- und Passwortrücksetzungsformulare verwendet werden. Wichtige Teile von WordPress müssen nur mit einer spezialisierten Sicherheitslösung geschützt werden.

Wie schütze ich meine Website vor Spam?

Um WooCommerce- und WordPress-Formulare zu schützen, bietet WP Cerber Security zwei Optionen

1. Cerber Antispam- und Bot-Erkennungs-Engine folgen Sie der Anleitung: Antispam-Schutz für WordPress-Formulare
2. Befolgen Sie bei Verwendung von reCAPTCHA die Anweisungen: So richten Sie reCAPTCHA ein .

So umgehen Sie reCAPTCHA

Ist es möglich, dass Bots reCAPTCHA ohne Menschen lösen können? Klingt unglaublich, aber sie können das mit einer interessanten Methode tun. Die Methode basiert auf der Verwendung von Sprach-Captcha namens Audio Challenge und einem dieser Online-Spracherkennungsdienste wie Google Speech Recognition API . Ein Hacker nimmt eine von reCAPTCHA generierte Audiodatei mit Sprachcaptcha und erkennt sie dann mit einem Spracherkennungsdienst. Ist es nicht genial?

Diese Methode wurde bereits 2012 entdeckt. Glücklicherweise ist diese Methode unter realen Umständen nicht ausnutzbar – wenn der Google-Dienst mehrere Versuche identifiziert, das Captcha von derselben IP-Adresse zu lösen, wird das Sprach-Captcha in eine komplexere Stimme umgewandelt, die mit diesem Ansatz nicht identifiziert werden kann. Um diese Methode erfolgreich zu nutzen, müssen Hacker also viele IP-Adressen verwenden. Um dies zu erreichen, können Hacker eine beträchtliche Anzahl mobiler Geräte mit bösartiger Software infizieren. Aber es gibt eine Frage. Lohnt sich die Möglichkeit, Spam-Kommentare zu posten oder sich mit einem falschen Namen auf einer Website zu registrieren? Es ist einfacher, einen Haufen Leute aus einem armen Land einzustellen, um das manuell in einem Massenmodus zu tun.

Möchten Sie mehr wissen? Abonnieren Sie den Newsletter von Cerber .