Warum reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen schützt
Die Verwendung von reCAPTCHA für das WordPress-Anmeldeformular ist eine schlechte Praxis und schützt WordPress nicht vor Hackerangriffen durch Bots und Hacker
English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks
Was ist reCAPTCHA überhaupt?
Googles reCAPTCHA ist ein menschlicher Verifizierungsmechanismus, der von Google als kostenloser Webdienst erstellt und verwaltet wird. WP Cerber unterstützt reCAPTCHA für WooCommerce- und WordPress-Formulare als Anti-Spam-Funktion .
Warum schützt reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen?
Dies ist möglich, da WordPress über drei Autorisierungsmethoden verfügt, die standardmäßig aktiviert sind. Das bedeutet, dass Hacker drei Eingänge zu jeder WordPress-basierten Website ausnutzen können. Die erste Möglichkeit besteht darin, das standardmäßige WordPress-Anmeldeformular zu verwenden. Zwei weitere Methoden sind für Sie unsichtbar, aber für Hacker und die von Hackern verwendete Spezialsoftware bekannt. Cyberkriminelle nutzen sie, um an die Passwörter der Benutzer zu gelangen und sich so Zugriff auf das WordPress-Dashboard mit Administratorrechten zu verschaffen.
Jeder Captcha-basierte Mechanismus, einschließlich reCAPTCHA, kann WordPress nur vor einem Brute-Force-Angriff auf ein gewöhnliches Anmeldeformular schützen. Die anderen beiden WordPress-Authentifizierungsmethoden sind noch ungeschützt. Warum? Denn reCAPTCHA wurde entwickelt, um Websites über einen menschlichen Verifizierungsmechanismus vor Robotern zu schützen. Hacker sind keine Roboter, auch wenn sie Botnetze nutzen. Aus diesem Grund schützt reCAPTCHA Websites nicht vor Hackerangriffen.
Ich sehe viele Plugins, die die Verwendung von reCAPTCHA zum Schutz des Anmeldeformulars anbieten. Ich habe eine Frage an Sie: Schützen diese Plugins Ihre Website vollständig, einschließlich der folgenden zwei Methoden, wie es WP Cerber tut?
- Cookie-basierte Autorisierung
- XML-RPC-Autorisierung
Bedeutet das, dass reCAPTCHA nutzlos ist?
Nein. reCAPTCHA kann erfolgreich als Spam-Schutzmechanismus für Registrierungs-, Kontakt- und Passwort-Reset-Formulare eingesetzt werden. Wichtige Teile von WordPress dürfen nur mit einer speziellen Sicherheitslösung geschützt werden.
Wie schütze ich meine Website vor Spam?
Um WooCommerce- und WordPress-Formulare zu schützen, bietet WP Cerber Security zwei Möglichkeiten
- Cerber Antispam- und Bot-Erkennungs-Engine, folgen Sie der Anleitung: Antispam-Schutz für WordPress-Formulare
- Befolgen Sie bei Verwendung von reCAPTCHA die Anleitung: So richten Sie reCAPTCHA ein .
So umgehen Sie reCAPTCHA
Ist es möglich, dass Bots reCAPTCHA ohne einen Menschen lösen können? Klingt unglaublich, aber mit einer interessanten Methode können sie das erreichen. Die Methode basiert auf der Verwendung eines Sprach-Captchas namens Audio Challenge und einem dieser Online-Spracherkennungsdienste wie der Google Speech Recognition API . Ein Hacker nimmt eine von reCAPTCHA generierte Audiodatei mit Sprach-Captcha und erkennt sie dann mit einem Spracherkennungsdienst. Ist es nicht brillant?
Diese Methode wurde bereits 2012 entdeckt. Glücklicherweise ist diese Methode unter realen Umständen nicht ausnutzbar – wenn der Google-Dienst mehrere Versuche erkennt, das Captcha von derselben IP-Adresse aus zu lösen, wird das Sprach-Captcha in eine komplexere Stimme umgewandelt, die mit diesem Ansatz nicht identifiziert werden kann. Um diese Methode erfolgreich einzusetzen, müssen Hacker also viele IP-Adressen verwenden. Um dies zu erreichen, können Hacker eine beträchtliche Anzahl mobiler Geräte mit Schadsoftware infizieren. Aber es gibt eine Frage. Lohnt sich die Möglichkeit, Spam-Kommentare zu posten oder sich mit einem falschen Namen auf einer Website zu registrieren? Es ist einfacher, ein paar Leute aus einem armen Land anzuheuern, die das manuell im Massenmodus erledigen.
Möchten Sie mehr wissen? Abonnieren Sie den Newsletter von Cerber .
Lee ( )
Yea because recaptcha was designed to be an antivirus or antimalware for your website. As far as I can understand recaptcha is to stop bots from abusing contact forms, login pages, etc etc. I don’t understand why someone would think recaptcha is for actually keeping the whole wordpress site safe. Fail article…
Gregory ( )
reCAPTCHA has not been designed to be an antivirus or antimalware tool. reCAPTCHA works fine with ordinary HTML forms that intended for being used by humans. It doesn’t protect APIs or other computer to computer interfaces.