Por qué reCAPTCHA no protege WordPress contra bots y ataques de fuerza bruta

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

¿Qué es reCAPTCHA, de todos modos?

reCAPTCHA de Google es un mecanismo de verificación humana creado y mantenido por Google como un servicio web gratuito. WP Cerber admite reCAPTCHA para formularios de WooCommerce y WordPress como función antispam .

¿Por qué reCAPTCHA no protege WordPress de bots y ataques de fuerza bruta?

Es posible porque WordPress tiene tres métodos de autorización habilitados de forma predeterminada. Eso significa que los piratas informáticos pueden explotar tres entradas en cualquier sitio web con WordPress. El primero es usar el formulario de inicio de sesión predeterminado de WordPress. Otros dos métodos son invisibles para usted pero conocidos por los piratas informáticos y el software especializado que utilizan los piratas informáticos. Los ciberdelincuentes los utilizan para obtener las contraseñas de los usuarios y, en consecuencia, obtener acceso al panel de WordPress con privilegios de administrador.

Cualquier mecanismo basado en captcha, incluido reCAPTCHA, puede proteger WordPress contra un ataque de fuerza bruta solo a un formulario de inicio de sesión normal. Los otros dos métodos de autenticación de WordPress todavía están desprotegidos. ¿Por qué? Porque reCAPTCHA está desarrollado para proteger sitios web de robots a través de un mecanismo de verificación humana. Los hackers no son robots aunque utilicen botnets. Es por eso que reCAPTCHA no protege los sitios web para que no sean pirateados.

Veo muchos complementos que ofrecen el uso de reCAPTCHA para proteger el formulario de inicio de sesión. Tengo una pregunta para usted: esos complementos protegen su sitio web por completo, incluidos los siguientes dos métodos, como lo hace WP Cerber.

1. Autorización basada en cookies
2. Autorización XML-RPC

¿Significa que reCAPTCHA es inútil?

No. reCAPTCHA se puede utilizar con éxito como un mecanismo de prevención de spam para formularios de registro, contacto y restablecimiento de contraseña. Las partes vitales de WordPress deben protegerse únicamente con una solución de seguridad especializada.

¿Cómo protejo mi sitio web del spam?

Para proteger los formularios de WooCommerce y WordPress, WP Cerber Security ofrece dos opciones

1. Cerber antispam y motor de detección de bots, siga las instrucciones: Protección antispam para formularios de WordPress
2. Usando reCAPTCHA, siga las instrucciones: Cómo configurar reCAPTCHA .

Cómo omitir reCAPTCHA

¿Es posible que los bots puedan resolver reCAPTCHA sin un humano? Suena increíble, pero pueden hacerlo usando un método interesante. El método se basa en usar un captcha de voz llamado Audio Challenge y uno de esos servicios de reconocimiento de voz en línea como Google Speech Recognition API . Un hacker toma un archivo de audio con captcha de voz generado por reCAPTCHA y luego lo reconoce con un servicio de reconocimiento de voz. ¿No es brillante?

Este método se descubrió en 2012 . Afortunadamente, este método no se puede explotar en circunstancias reales: cuando el servicio de Google identifica varios intentos de resolver el captcha desde la misma dirección IP, el captcha de voz se cambia a una voz más compleja que no se puede identificar con este enfoque. Entonces, para usar con éxito este método, los piratas informáticos deben usar muchas direcciones IP. Para lograrlo, los piratas informáticos pueden infectar una cantidad importante de dispositivos móviles con software malicioso. Pero hay una pregunta. ¿Vale la pena la posibilidad de publicar comentarios de spam o registrarse con un nombre falso en un sitio web? Es más fácil contratar a un grupo de personas de un país pobre para que lo hagan manualmente en modo masivo.

¿Quiere saber más? Suscríbete a la newsletter de Cerber .