Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami brute-force

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Czym w ogóle jest reCAPTCHA?

Google reCAPTCHA to mechanizm weryfikacji przez ludzi, który został stworzony i utrzymywany przez Google jako bezpłatna usługa internetowa. WP Cerber obsługuje reCAPTCHA dla formularzy WooCommerce i WordPress jako funkcję antyspamową .

Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami brute-force?

Jest to możliwe, ponieważ WordPress ma domyślnie włączone trzy metody autoryzacji. Oznacza to, że hakerzy mogą wykorzystać trzy wejścia na dowolnej stronie opartej na WordPressie. Pierwszym z nich jest użycie domyślnego formularza logowania WordPress. Dwie inne metody są dla Ciebie niewidoczne, ale znane hakerom i specjalistycznemu oprogramowaniu, z którego korzystają hakerzy. Cyberprzestępcy wykorzystują je do pozyskiwania haseł użytkowników, a co za tym idzie do uzyskiwania dostępu do pulpitu nawigacyjnego WordPress z uprawnieniami administratora.

Każdy mechanizm oparty na captcha, w tym reCAPTCHA, może chronić WordPress przed atakiem siłowym tylko na zwykły formularz logowania. Pozostałe dwie metody uwierzytelniania WordPress nadal nie są chronione. Dlaczego? Ponieważ reCAPTCHA została opracowana w celu ochrony stron internetowych przed robotami za pomocą mechanizmu weryfikacji przez człowieka. Hakerzy nie są robotami, nawet jeśli używają botnetów. Dlatego reCAPTCHA nie chroni stron internetowych przed włamaniem.

Widzę wiele wtyczek, które oferują używanie reCAPTCHA do ochrony formularza logowania. Mam do ciebie pytanie: czy te wtyczki całkowicie chronią twoją witrynę, w tym dwie następujące metody, takie jak robi to WP Cerber.

1. Autoryzacja oparta na plikach cookie
2. Autoryzacja XML-RPC

Czy to oznacza, że reCAPTCHA jest bezużyteczny?

Nie. ReCAPTCHA może być z powodzeniem wykorzystany jako mechanizm antyspamowy do formularzy rejestracyjnych, kontaktowych i resetowania hasła. Istotne części WordPressa muszą być chronione wyłącznie za pomocą specjalistycznego rozwiązania zabezpieczającego.

Jak chronić swoją stronę internetową przed spamem?

Aby chronić formularze WooCommerce i WordPress, WP Cerber Security oferuje dwie opcje

1. Cerber antyspam i silnik wykrywania botów, postępuj zgodnie z instrukcją: Ochrona antyspamowa dla formularzy WordPress
2. Korzystając z reCAPTCHA, postępuj zgodnie z instrukcją: Jak skonfigurować reCAPTCHA .

Jak ominąć reCAPTCHA

Czy to możliwe, że boty mogą rozwiązać reCAPTCHA bez człowieka? Brzmi niewiarygodnie, ale potrafią to zrobić za pomocą ciekawej metody. Metoda opiera się na użyciu captcha głosowego o nazwie Audio Challenge i jednej z internetowych usług rozpoznawania mowy, takich jak Google Speech Recognition API . Haker bierze plik audio z głosową captcha wygenerowaną przez reCAPTCHA, a następnie rozpoznaje go za pomocą usługi rozpoznawania mowy. Czy to nie jest genialne?

Ta metoda została odkryta w 2012 roku . Na szczęście tej metody nie da się wykorzystać w rzeczywistych okolicznościach – gdy usługa Google wykryje wielokrotne próby rozwiązania captcha z tego samego adresu IP, captcha głosowa jest zamieniana na bardziej złożony głos, którego nie można zidentyfikować za pomocą tego podejścia. Tak więc, aby z powodzeniem użyć tej metody, hakerzy muszą użyć wielu adresów IP. Aby to osiągnąć, hakerzy mogą zainfekować znaczną liczbę urządzeń mobilnych złośliwym oprogramowaniem. Ale jest pytanie. Czy warto publikować spamerskie komentarze lub rejestrować się pod fałszywym nazwiskiem na stronie internetowej? Łatwiej jest zatrudnić grupę facetów z biednego kraju, aby zrobili to ręcznie w trybie masowym.

Chcieć wiedzieć więcej? Zapisz się do newslettera Cerbera .