Por qué reCAPTCHA no protege WordPress contra bots y ataques de fuerza bruta

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

¿Qué es reCAPTCHA, de todos modos?

El reCAPTCHA de Google es un mecanismo de verificación humana creado y mantenido por Google como un servicio web gratuito. WP Cerber admite el reCAPTCHA para formularios de WooCommerce y WordPress como función antispam .

¿Por qué reCAPTCHA no protege a WordPress de bots y ataques de fuerza bruta?

Esto es posible porque WordPress tiene tres métodos de autorización habilitados de forma predeterminada. Esto significa que los piratas informáticos pueden aprovechar tres métodos de acceso en cualquier sitio web que funcione con WordPress. El primero es mediante el formulario de inicio de sesión predeterminado de WordPress. Los otros dos métodos son invisibles para usted, pero los piratas informáticos y el software especializado que utilizan son conocidos por ellos. Los ciberdelincuentes los utilizan para obtener las contraseñas de los usuarios y, en consecuencia, para obtener acceso al panel de WordPress con privilegios de administrador.

Cualquier mecanismo basado en captcha, incluido reCAPTCHA, puede proteger WordPress contra un ataque de fuerza bruta a un formulario de inicio de sesión normal. Los otros dos métodos de autenticación de WordPress siguen sin protección. ¿Por qué? Porque reCAPTCHA está desarrollado para proteger los sitios web de los robots mediante un mecanismo de verificación humana. Los piratas informáticos no son robots incluso si utilizan botnets. Es por eso que reCAPTCHA no protege a los sitios web de ser pirateados.

Veo muchos complementos que ofrecen el uso de reCAPTCHA para proteger el formulario de inicio de sesión. Tengo una pregunta para ti: ¿Esos complementos protegen tu sitio web por completo, incluidos los dos métodos siguientes, como lo hace WP Cerber?

1. Autorización basada en cookies
2. Autorización XML-RPC

¿Significa que reCAPTCHA es inútil?

No. reCAPTCHA se puede utilizar con éxito como mecanismo de prevención de spam en formularios de registro, contacto y restablecimiento de contraseñas. Las partes vitales de WordPress deben protegerse únicamente con una solución de seguridad especializada.

¿Cómo protejo mi sitio web del spam?

Para proteger los formularios de WooCommerce y WordPress, WP Cerber Security ofrece dos opciones

1. Motor de detección de bots y antispam de Cerber, siga las instrucciones: Protección antispam para formularios de WordPress
2. Para usar reCAPTCHA, siga las instrucciones: Cómo configurar reCAPTCHA .

Cómo evitar reCAPTCHA

¿Es posible que los bots puedan resolver el reCAPTCHA sin la ayuda de un humano? Parece increíble, pero pueden hacerlo utilizando un método interesante. El método se basa en el uso de un captcha de voz llamado Audio Challenge y uno de esos servicios de reconocimiento de voz en línea como Google Speech Recognition API . Un hacker toma un archivo de audio con un captcha de voz generado por reCAPTCHA y luego lo reconoce con un servicio de reconocimiento de voz. ¿No es brillante?

Este método fue descubierto en 2012. Afortunadamente, este método no es explotable en circunstancias reales: cuando el servicio de Google identifica varios intentos de resolver el captcha desde la misma dirección IP, el captcha de voz se cambia a una voz más compleja que no se puede identificar utilizando este enfoque. Por lo tanto, para utilizar con éxito este método, los piratas informáticos tienen que utilizar muchas direcciones IP. Para lograrlo, los piratas informáticos pueden infectar una cantidad significativa de dispositivos móviles con software malicioso. Pero hay una pregunta. ¿Vale la pena la capacidad de publicar comentarios spam o registrarse con un nombre falso en un sitio web? Es más fácil contratar a un grupo de personas de un país pobre para que lo hagan manualmente en modo masivo.

¿Quieres saber más? Suscríbete al boletín de noticias de Cerber .