WordPress security explained
WordPress security explained
Posted By Gregory

Por qué reCAPTCHA no protege WordPress contra bots y ataques de fuerza bruta

Usar reCAPTCHA para el formulario de inicio de sesión de WordPress es una mala práctica y no protege a WordPress de ser pirateado por bots y piratas informáticos.


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


¿Qué es reCAPTCHA?

ReCAPTCHA de Google es un mecanismo de verificación humana creado y mantenido por Google como un servicio web gratuito. WP Cerber admite reCAPTCHA para formularios de WooCommerce y WordPress como función antispam .

¿Por qué reCAPTCHA no protege WordPress de bots y ataques de fuerza bruta?

Es posible porque WordPress tiene tres métodos de autorización habilitados de forma predeterminada. Eso significa que los piratas informáticos pueden explotar tres entradas en cualquier sitio web con WordPress. El primero es utilizar el formulario de inicio de sesión predeterminado de WordPress. Otros dos métodos son invisibles para usted, pero conocidos por los piratas informáticos y el software especializado que utilizan los piratas informáticos. Los ciberdelincuentes los utilizan para obtener las contraseñas de los usuarios y, en consecuencia, para acceder al Panel de WordPress con privilegios de administrador.

Cualquier mecanismo basado en captcha, incluido reCAPTCHA, puede proteger WordPress contra un ataque de fuerza bruta únicamente a un formulario de inicio de sesión normal. Los otros dos métodos de autenticación de WordPress aún están desprotegidos. ¿Por qué? Porque reCAPTCHA está desarrollado para proteger sitios web de robots mediante un mecanismo de verificación humana. Los piratas informáticos no son robots incluso si utilizan botnets. Es por eso que reCAPTCHA no protege los sitios web contra ataques de piratería.

No debes utilizar ningún complemento que agregue reCAPTCHA al formulario de inicio de sesión de WordPress para proteger tu sitio web de ataques de fuerza bruta

Veo muchos complementos que ofrecen el uso de reCAPTCHA para proteger el formulario de inicio de sesión. Tengo una pregunta para usted: ¿esos complementos protegen su sitio web por completo, incluidos los dos métodos siguientes, como lo hace WP Cerber?

  1. Autorización basada en cookies
  2. Autorización XML-RPC

¿Significa que reCAPTCHA es inútil?

No. reCAPTCHA se puede utilizar con éxito como mecanismo de prevención de spam para formularios de registro, contacto y restablecimiento de contraseña. Las partes vitales de WordPress deben protegerse únicamente con una solución de seguridad especializada.

¿Cómo protejo mi sitio web del spam?

Para proteger los formularios de WooCommerce y WordPress, WP Cerber Security ofrece dos opciones

  1. Motor de detección de bots y antispam Cerber, sigue las instrucciones: Protección antispam para formularios de WordPress
  2. Usando reCAPTCHA, siga las instrucciones: Cómo configurar reCAPTCHA .

Cómo evitar reCAPTCHA

¿Es posible que los bots puedan resolver reCAPTCHA sin un humano? Suena increíble, pero pueden hacerlo utilizando un método interesante. El método se basa en el uso de captcha de voz llamado Audio Challenge y uno de esos servicios de reconocimiento de voz en línea como Google Speech Recognition API . Un hacker toma un archivo de audio con captcha de voz generado por reCAPTCHA y luego lo reconoce con un servicio de reconocimiento de voz. ¿No es brillante?

Este método se descubrió en 2012 . Afortunadamente, este método no se puede explotar en circunstancias reales: cuando el servicio de Google identifica múltiples intentos de resolver el captcha desde la misma dirección IP, el captcha de voz se cambia a una voz más compleja que no se puede identificar con este método. Por lo tanto, para utilizar este método con éxito, los piratas informáticos deben utilizar muchas direcciones IP. Para lograrlo los hackers pueden infectar una cantidad importante de dispositivos móviles con software malicioso. Pero hay una pregunta. ¿Vale la pena la posibilidad de publicar comentarios spam o registrarse con un nombre falso en un sitio web? Es más fácil contratar a un grupo de personas de un país pobre para que lo hagan manualmente en modo masivo.

¿Quiere saber más? Suscríbete a la newsletter de Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments