Por que o reCAPTCHA não protege o WordPress contra bots e ataques de força bruta

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

O que é reCAPTCHA, afinal?

O reCAPTCHA do Google é um mecanismo de verificação humana criado e mantido pelo Google como um serviço da Web gratuito. WP Cerber suporta reCAPTCHA para formulários WooCommerce e WordPress como um recurso anti-spam .

Por que o reCAPTCHA não protege o WordPress de bots e ataques de força bruta?

É possível porque o WordPress possui três métodos de autorização ativados por padrão. Isso significa que os hackers podem explorar três entradas em qualquer site WordPress. O primeiro é usar o formulário de login padrão do WordPress. Dois outros métodos são invisíveis para você, mas conhecidos por hackers e software especializado que os hackers usam. Os cibercriminosos os usam para obter as senhas dos usuários e, consequentemente, obter acesso ao painel do WordPress com privilégios de administrador.

Qualquer mecanismo baseado em captcha, incluindo reCAPTCHA, pode proteger o WordPress contra um ataque de força bruta apenas a um formulário de login comum. Os outros dois métodos de autenticação do WordPress ainda estão desprotegidos. Por que? Porque o reCAPTCHA foi desenvolvido para proteger sites de robôs por meio de um mecanismo de verificação humana. Os hackers não são robôs, mesmo que usem botnets. É por isso que o reCAPTCHA não protege os sites contra hackers.

Vejo muitos plugins que oferecem o uso do reCAPTCHA para proteger o formulário de login. Eu tenho uma pergunta para você: esses plugins protegem seu site completamente, incluindo os dois métodos a seguir, como o WP Cerber faz.

1. Autorização baseada em cookies
2. Autorização XML-RPC

Isso significa que o reCAPTCHA é inútil?

Não. O reCAPTCHA pode ser usado com sucesso como um mecanismo de prevenção de spam para formulários de registro, contato e redefinição de senha. Partes vitais do WordPress devem ser protegidas apenas com uma solução de segurança especializada.

Como proteger meu site contra spam?

Para proteger os formulários WooCommerce e WordPress, o WP Cerber Security oferece duas opções

1. Cerber antispam e mecanismo de detecção de bots, siga as instruções: Proteção antispam para formulários do WordPress
2. Usando o reCAPTCHA, siga as instruções: Como configurar o reCAPTCHA .

Como ignorar o reCAPTCHA

É possível que os bots resolvam o reCAPTCHA sem um humano? Parece inacreditável, mas eles podem fazer isso usando um método interessante. O método é baseado no uso de captcha de voz chamado Audio Challenge e um desses serviços de reconhecimento de fala online como o API de reconhecimento de fala do Google . Um hacker pega um arquivo de áudio com captcha de voz gerado pelo reCAPTCHA e o reconhece com um serviço de reconhecimento de fala. Não é brilhante?

Este método foi descoberto em 2012 . Felizmente, esse método não é explorável em circunstâncias reais – quando o serviço do Google identifica várias tentativas de resolver o captcha do mesmo endereço IP, o captcha de voz é alterado para uma voz mais complexa que não pode ser identificada usando essa abordagem. Portanto, para usar esse método com sucesso, os hackers precisam usar muitos endereços IP. Para conseguir isso, os hackers podem infectar uma quantidade significativa de dispositivos móveis com software malicioso. Mas há uma pergunta. Vale a pena postar comentários de spam ou se registrar com um nome falso em um site? É mais fácil contratar um bando de caras de um país pobre para fazer isso manualmente em massa.

Quer saber mais? Subscreva a newsletter da Cerber .