WordPress security explained
WordPress security explained
Posted By Gregory

Warum reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen schützt

Die Verwendung von reCAPTCHA für das WordPress-Anmeldeformular ist eine schlechte Praxis und schützt WordPress nicht vor Hackerangriffen durch Bots und Hacker


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Was ist reCAPTCHA überhaupt?

Googles reCAPTCHA ist ein menschlicher Verifizierungsmechanismus, der von Google als kostenloser Webdienst erstellt und verwaltet wird. WP Cerber unterstützt reCAPTCHA für WooCommerce- und WordPress-Formulare als Anti-Spam-Funktion .

Warum schützt reCAPTCHA WordPress nicht vor Bots und Brute-Force-Angriffen?

Dies ist möglich, da WordPress über drei Autorisierungsmethoden verfügt, die standardmäßig aktiviert sind. Das bedeutet, dass Hacker drei Eingänge zu jeder WordPress-basierten Website ausnutzen können. Die erste Möglichkeit besteht darin, das standardmäßige WordPress-Anmeldeformular zu verwenden. Zwei weitere Methoden sind für Sie unsichtbar, aber für Hacker und die von Hackern verwendete Spezialsoftware bekannt. Cyberkriminelle nutzen sie, um an die Passwörter der Benutzer zu gelangen und sich so Zugriff auf das WordPress-Dashboard mit Administratorrechten zu verschaffen.

Jeder Captcha-basierte Mechanismus, einschließlich reCAPTCHA, kann WordPress nur vor einem Brute-Force-Angriff auf ein gewöhnliches Anmeldeformular schützen. Die anderen beiden WordPress-Authentifizierungsmethoden sind noch ungeschützt. Warum? Denn reCAPTCHA wurde entwickelt, um Websites über einen menschlichen Verifizierungsmechanismus vor Robotern zu schützen. Hacker sind keine Roboter, auch wenn sie Botnetze nutzen. Aus diesem Grund schützt reCAPTCHA Websites nicht vor Hackerangriffen.

Sie dürfen kein Plugin verwenden, das reCAPTCHA zum WordPress-Anmeldeformular hinzufügt, um Ihre Website vor Brute-Force-Angriffen zu schützen

Ich sehe viele Plugins, die die Verwendung von reCAPTCHA zum Schutz des Anmeldeformulars anbieten. Ich habe eine Frage an Sie: Schützen diese Plugins Ihre Website vollständig, einschließlich der folgenden zwei Methoden, wie es WP Cerber tut?

  1. Cookie-basierte Autorisierung
  2. XML-RPC-Autorisierung

Bedeutet das, dass reCAPTCHA nutzlos ist?

Nein. reCAPTCHA kann erfolgreich als Spam-Schutzmechanismus für Registrierungs-, Kontakt- und Passwort-Reset-Formulare eingesetzt werden. Wichtige Teile von WordPress dürfen nur mit einer speziellen Sicherheitslösung geschützt werden.

Wie schütze ich meine Website vor Spam?

Um WooCommerce- und WordPress-Formulare zu schützen, bietet WP Cerber Security zwei Möglichkeiten

  1. Cerber Antispam- und Bot-Erkennungs-Engine, folgen Sie der Anleitung: Antispam-Schutz für WordPress-Formulare
  2. Befolgen Sie bei Verwendung von reCAPTCHA die Anleitung: So richten Sie reCAPTCHA ein .

So umgehen Sie reCAPTCHA

Ist es möglich, dass Bots reCAPTCHA ohne einen Menschen lösen können? Klingt unglaublich, aber mit einer interessanten Methode können sie das erreichen. Die Methode basiert auf der Verwendung eines Sprach-Captchas namens Audio Challenge und einem dieser Online-Spracherkennungsdienste wie der Google Speech Recognition API . Ein Hacker nimmt eine von reCAPTCHA generierte Audiodatei mit Sprach-Captcha und erkennt sie dann mit einem Spracherkennungsdienst. Ist es nicht brillant?

Diese Methode wurde bereits 2012 entdeckt. Glücklicherweise ist diese Methode unter realen Umständen nicht ausnutzbar – wenn der Google-Dienst mehrere Versuche erkennt, das Captcha von derselben IP-Adresse aus zu lösen, wird das Sprach-Captcha in eine komplexere Stimme umgewandelt, die mit diesem Ansatz nicht identifiziert werden kann. Um diese Methode erfolgreich einzusetzen, müssen Hacker also viele IP-Adressen verwenden. Um dies zu erreichen, können Hacker eine beträchtliche Anzahl mobiler Geräte mit Schadsoftware infizieren. Aber es gibt eine Frage. Lohnt sich die Möglichkeit, Spam-Kommentare zu posten oder sich mit einem falschen Namen auf einer Website zu registrieren? Es ist einfacher, ein paar Leute aus einem armen Land anzuheuern, die das manuell im Massenmodus erledigen.

Möchten Sie mehr wissen? Abonnieren Sie den Newsletter von Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply