Warum reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen schützt

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Was ist reCAPTCHA überhaupt?

Googles reCAPTCHA ist ein menschlicher Verifizierungsmechanismus, der von Google als kostenloser Webdienst entwickelt und gepflegt wird. WP Cerber unterstützt reCAPTCHA für WooCommerce- und WordPress-Formulare als Anti-Spam-Funktion .

Warum schützt reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen?

Dies ist möglich, da WordPress standardmäßig über drei Autorisierungsmethoden verfügt. Das bedeutet, dass Hacker drei Eingänge auf jeder WordPress-Website nutzen können. Der erste ist die Verwendung des standardmäßigen WordPress-Anmeldeformulars. Zwei weitere Methoden sind für Sie unsichtbar, aber Hackern und der von Hackern verwendeten Spezialsoftware bekannt. Cyberkriminelle verwenden sie, um an die Passwörter der Benutzer zu gelangen und so mit Administratorrechten auf das WordPress-Dashboard zuzugreifen.

Jeder Captcha-basierte Mechanismus, einschließlich reCAPTCHA, kann WordPress nur vor einem Brute-Force-Angriff auf ein normales Anmeldeformular schützen. Die anderen beiden WordPress-Authentifizierungsmethoden sind weiterhin ungeschützt. Warum? Weil reCAPTCHA entwickelt wurde, um Websites über einen menschlichen Überprüfungsmechanismus vor Robotern zu schützen. Hacker sind keine Roboter, auch wenn sie Botnetze verwenden. Aus diesem Grund schützt reCAPTCHA Websites nicht vor Hackerangriffen.

Ich sehe viele Plugins, die die Verwendung von reCAPTCHA zum Schutz von Anmeldeformularen anbieten. Ich habe eine Frage an Sie: Schützen diese Plugins Ihre Website vollständig, einschließlich der folgenden beiden Methoden, wie es WP Cerber tut?

1. Cookie-basierte Autorisierung
2. XML-RPC-Autorisierung

Bedeutet das, dass reCAPTCHA nutzlos ist?

Nein. reCAPTCHA kann erfolgreich als Spam-Schutzmechanismus für Registrierungs-, Kontakt- und Passwort-Reset-Formulare verwendet werden. Wichtige Teile von WordPress dürfen nur mit einer speziellen Sicherheitslösung geschützt werden.

Wie schütze ich meine Website vor Spam?

Zum Schutz von WooCommerce- und WordPress-Formularen bietet WP Cerber Security zwei Optionen

1. Cerber Antispam- und Bot-Erkennungs-Engine, folgen Sie der Anleitung: Antispam-Schutz für WordPress-Formulare
2. Befolgen Sie bei der Verwendung von reCAPTCHA die Anweisungen: So richten Sie reCAPTCHA ein .

So umgehen Sie reCAPTCHA

Ist es möglich, dass Bots reCAPTCHA ohne menschliches Zutun lösen können? Es klingt unglaublich, aber sie können das mithilfe einer interessanten Methode. Die Methode basiert auf der Verwendung eines Sprach-Captchas namens Audio Challenge und einem dieser Online-Spracherkennungsdienste wie der Google Speech Recognition API . Ein Hacker nimmt eine Audiodatei mit einem von reCAPTCHA generierten Sprach-Captcha und erkennt sie dann mit einem Spracherkennungsdienst. Ist das nicht genial?

Diese Methode wurde bereits 2012 entdeckt. Glücklicherweise ist diese Methode in der Praxis nicht ausnutzbar – wenn der Google-Dienst mehrere Versuche erkennt, das Captcha von derselben IP-Adresse aus zu lösen, wird das Sprach-Captcha in eine komplexere Stimme geändert, die mit diesem Ansatz nicht identifiziert werden kann. Um diese Methode erfolgreich einzusetzen, müssen Hacker also viele IP-Adressen verwenden. Um dies zu erreichen, können Hacker eine beträchtliche Anzahl mobiler Geräte mit Schadsoftware infizieren. Es stellt sich jedoch die Frage: Lohnt sich die Möglichkeit, Spam-Kommentare zu posten oder sich unter einem falschen Namen auf einer Website anzumelden? Es ist einfacher, ein paar Leute aus einem armen Land anzuheuern, die das manuell im Massenmodus erledigen.

Möchten Sie mehr erfahren? Abonnieren Sie den Cerber-Newsletter .