WordPress security explained
WordPress security explained

Warum schützen reCAPTCHA nicht WordPress gegen Bots und Brute-Force-Angriffe

Die Verwendung von reCAPTCHA für das WordPress-Anmeldeformular ist eine schlechte Praxis und schützt WordPress nicht vor dem Angriff durch Bots und Hacker


English version: Why does reCAPTCHA not protect WordPress against bots and brute-force attacks


Was ist überhaupt reCAPTCHA?

reCAPTCHA ist ein menschlicher Überprüfungsmechanismus, der von Google als kostenloser Webdienst erstellt und verwaltet wird. WP Cerber unterstützt reCAPTCHA für WooCommerce- und WordPress-Formulare als Antispam-Funktion .

Warum schützt reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen?

Weil WordPress drei Autorisierungsmethoden hat, die standardmäßig aktiviert sind. Das bedeutet, dass Hacker auf jeder von WordPress betriebenen Website auf drei Eingänge zugreifen können. Das erste wird verwendet, wenn Sie ein normales WordPress-Anmeldeformular verwenden. Zwei andere Methoden sind für Sie unsichtbar, aber für Hacker und spezielle Software, die von Hackern verwendet werden, bekannt. Hacker verwenden sie zum Ermitteln einer Website und zum Erhalten eines korrekten Benutzerpassworts oder zum Zugriff auf das WordPress-Dashboard mit Administratorrechten.

Jeder auf Captcha basierende Mechanismus, einschließlich reCAPTCHA, kann WordPress nur mit einem normalen Anmeldeformular vor Brute-Force-Angriffen schützen. Andere zwei WordPress-Authentifizierungsmethoden sind noch nicht geschützt. Darüber hinaus soll reCAPTCHA Websites vor Robotern schützen, da es sich um einen menschlichen Verifikationsmechanismus handelt. Roboter, keine Hacker.

Sie dürfen kein Plugin verwenden, das reCAPTCHA zum WordPress-Anmeldeformular hinzufügt, um die Website vor Brute-Force-Angriffen zu schützen. [/ ecko_alert]

Ich sehe viele Plugins, die reCAPTCHA zum Schutz des Anmeldeformulars anbieten. Ich habe eine Frage an Sie: Schützen diese Plugins Ihre Website vollständig, einschließlich der folgenden zwei Methoden? Das WP Cerber-Plugin tut dies.

  1. Cookie-basierte Autorisierung
  2. XML-RPC-Autorisierung

Bedeutet das, dass reCAPTCHA nutzlos ist?

Nee. reCAPTCHA kann erfolgreich als Spam-Schutzmechanismus für Registrierungsformulare und Kennwortrücksetzungsformulare verwendet werden. Wichtige Teile von WordPress dürfen nur mit speziellen Sicherheitslösungen geschützt werden. Installieren Sie einfach WP Cerber Security.

Wie schütze ich meine Website vor Spam?

Zum Schutz von WooCommerce- und WordPress-Formularen bietet Cerber Security zwei Optionen

  1. Cerber Antispam und Bot Detection Engine folgen Sie den Anweisungen: Antispam-Schutz für WordPress-Formulare
  2. Befolgen Sie die Anweisungen unter Verwendung von reCAPTCHA: So richten Sie reCAPTCHA ein .

So umgehen Sie reCAPTCHA

Ist es möglich, dass Bots reCAPTCHA ohne einen Menschen lösen können? Klingt unglaublich, aber sie können es irgendwie. Die Methode basiert auf der Verwendung des Sprach-Captcha " Audio Challenge" und eines dieser Online-Spracherkennungsdienste wie der Google Speech Recognition API . Ein Hacker nimmt eine Audiodatei mit Sprachcaptcha, die von reCAPTCHA generiert wurde, und erkennt sie dann mit einem Spracherkennungsdienst. Ist das nicht genial?

Diese Methode wurde bereits 2012 entdeckt . Glücklicherweise ist diese Methode unter realen Umständen nicht ausnutzbar. Wenn der Google-Dienst mehrere Versuche identifiziert, das Captcha von derselben IP-Adresse zu lösen, wird das Sprach-Captcha in eine komplexere Stimme umgewandelt, die mit diesem Ansatz nicht identifiziert werden kann. Um diese Methode erfolgreich einsetzen zu können, müssen Hacker viele IP-Adressen verwenden. Um zu erreichen, dass Hacker eine beträchtliche Anzahl mobiler Geräte mit bösartiger Software infizieren können. Aber es gibt eine Frage. Ist die Möglichkeit, Spam-Kommentare zu posten oder sich mit einem falschen Namen auf einer Website zu registrieren, am schlimmsten? Es ist einfacher, Leute aus einem armen Land einzustellen, um dies manuell in einem Massenmodus zu tun.

Möchten Sie mehr wissen? Abonnieren Sie den Cerber-Newsletter .

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments