Warum reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen schützt

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Was ist reCAPTCHA überhaupt?

Googles reCAPTCHA ist ein Mechanismus zur menschlichen Authentifizierung, der von Google als kostenloser Webdienst entwickelt und gepflegt wird. WP Cerber unterstützt reCAPTCHA für WooCommerce- und WordPress-Formulare als Anti-Spam-Funktion .

Warum schützt reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen?

Das ist möglich, weil WordPress standardmäßig drei Authentifizierungsmethoden aktiviert hat. Hacker können dadurch drei Schwachstellen in jeder WordPress-Website ausnutzen. Die erste Möglichkeit ist die Verwendung des standardmäßigen WordPress-Anmeldeformulars. Zwei weitere Methoden sind für Sie unsichtbar, aber Hackern und der von ihnen verwendeten Spezialsoftware bekannt. Cyberkriminelle nutzen sie, um Benutzerpasswörter zu erlangen und so Zugriff auf das WordPress-Dashboard mit Administratorrechten zu erhalten.

Captcha-basierte Mechanismen, einschließlich reCAPTCHA, schützen WordPress lediglich vor Brute-Force-Angriffen auf normale Anmeldeformulare. Die beiden anderen WordPress-Authentifizierungsmethoden bleiben ungeschützt. Warum? reCAPTCHA wurde entwickelt, um Websites durch eine menschliche Verifizierung vor Bots zu schützen. Hacker sind keine Bots, selbst wenn sie Botnetze nutzen. Daher schützt reCAPTCHA Websites nicht vor Hackerangriffen.

Ich sehe viele Plugins, die die Verwendung von reCAPTCHA zum Schutz des Anmeldeformulars anbieten. Meine Frage an Sie: Schützen diese Plugins Ihre Website wirklich vollständig, einschließlich der folgenden beiden Methoden, wie es WP Cerber tut?

1. Cookiebasierte Autorisierung
2. XML-RPC-Autorisierung

Bedeutet das, dass reCAPTCHA nutzlos ist?

Nein. reCAPTCHA kann erfolgreich als Spamschutzmechanismus für Registrierungs-, Kontakt- und Passwortzurücksetzungsformulare eingesetzt werden. Kritische Teile von WordPress sollten ausschließlich mit einer spezialisierten Sicherheitslösung geschützt werden.

Wie schütze ich meine Website vor Spam?

Zum Schutz von WooCommerce- und WordPress-Formularen bietet WP Cerber Security zwei Optionen an.

1. Cerber Antispam- und Bot-Erkennungs-Engine, folgen Sie der Anleitung: Antispam-Schutz für WordPress-Formulare
2. Um reCAPTCHA zu verwenden, folgen Sie dieser Anleitung: So richten Sie reCAPTCHA ein .

So umgehen Sie reCAPTCHA

Können Bots reCAPTCHA ohne menschliche Hilfe lösen? Klingt unglaublich, ist aber mit einer interessanten Methode möglich. Diese Methode basiert auf einem Sprach-Captcha namens Audio Challenge und einem Online-Spracherkennungsdienst wie der Google Speech Recognition API . Ein Hacker nimmt eine Audiodatei mit dem von reCAPTCHA generierten Sprach-Captcha und erkennt diese anschließend mit einem Spracherkennungsdienst. Genial, oder?

Diese Methode wurde bereits 2012 entdeckt. Glücklicherweise ist sie in der Praxis nicht ausnutzbar: Sobald Google mehrere Versuche erkennt, das Captcha von derselben IP-Adresse aus zu lösen, wird das Sprach-Captcha durch eine komplexere Sprachausgabe ersetzt, die mit diesem Ansatz nicht mehr identifiziert werden kann. Um diese Methode erfolgreich anzuwenden, benötigen Hacker also eine große Anzahl von IP-Adressen. Dazu können sie eine beträchtliche Anzahl von Mobilgeräten mit Schadsoftware infizieren. Doch stellt sich die Frage: Ist es den Aufwand wert, Spam-Kommentare zu veröffentlichen oder sich mit einem falschen Namen auf einer Website zu registrieren? Es ist einfacher, ein paar Leute aus einem Entwicklungsland anzuheuern, die das manuell und in großen Mengen erledigen.

Möchten Sie mehr erfahren? Abonnieren Sie den Cerber-Newsletter .