WordPress security explained
WordPress security explained

¿Por qué no protege reCAPTCHA WordPress de los robots y ataques de fuerza bruta

Utilizar reCAPTCHA para el formulario de inicio de sesión de WordPress es una mala práctica y no protege a WordPress de ser pirateado por robots y piratas informáticos


English version: Why does reCAPTCHA not protect WordPress against bots and brute-force attacks


¿Qué es reCAPTCHA, de todos modos?

reCAPTCHA es un mecanismo de verificación humana creado y mantenido por Google como un servicio web gratuito. WP Cerber admite reCAPTCHA para formularios WooCommerce y WordPress como característica antispam .

¿Por qué reCAPTCHA no protege WordPress de bots y ataques de fuerza bruta?

Porque WordPress tiene tres métodos de autorización que están habilitados por defecto. Eso significa que los piratas informáticos tienen acceso a tres entradas en cualquier sitio web impulsado por WordPress. El primero se usa cuando está utilizando el formulario de inicio de sesión de WordPress normal. Otros dos métodos son invisibles para usted, pero son conocidos por los piratas informáticos y el software especializado que utilizan. Los piratas informáticos los utilizan para explorar un sitio web y obtener la contraseña de usuario correcta o para obtener acceso al Panel de WordPress con privilegios de administrador.

Cualquier mecanismo basado en captcha, incluido reCAPTCHA, puede proteger WordPress contra ataques de fuerza bruta solo a un formulario de inicio de sesión normal. Otros dos métodos de autenticación de WordPress todavía están desprotegidos. Además, reCAPTCHA está destinado a proteger los sitios web de los robots porque es un mecanismo de verificación humana. Robots, no hackers.

No debe usar ningún complemento que agregue reCAPTCHA al formulario de inicio de sesión de WordPress para proteger el sitio web de ataques de fuerza bruta [/ ecko_alert]

Veo muchos complementos que ofrecen el uso de reCAPTCHA para proteger el formulario de inicio de sesión. Tengo una pregunta para usted: ¿estos complementos protegen su sitio web completamente, incluidos los dos métodos siguientes? El plugin WP Cerber lo hace.

  1. Autorización basada en cookies
  2. Autorización XML-RPC

¿Significa reCAPTCHA inútil?

No reCAPTCHA puede usarse con éxito como un mecanismo de prevención de spam para formularios de registro y formularios de restablecimiento de contraseñas. Las partes vitales de WordPress deben estar protegidas únicamente con soluciones de seguridad especializadas. Sólo tiene que instalar WP Cerber Security.

¿Cómo protejo mi sitio web de spam?

Para proteger los formularios de WooCommerce y WordPress, Cerber Security ofrece dos opciones

  1. Cerber antispam y el motor de detección de bot, siga las instrucciones: Protección antispam para formularios de WordPress
  2. Usando reCAPTCHA, siga las instrucciones: Cómo configurar reCAPTCHA .

Cómo evitar reCAPTCHA

¿Es posible que los bots puedan resolver reCAPTCHA sin un humano? Suena increíble pero pueden de alguna manera. El método se basa en el uso de captcha de voz llamada Audio Challenge y uno de esos servicios de reconocimiento de voz en línea como la API de reconocimiento de voz de Google . Un hacker toma un archivo de audio con captcha de voz generado por reCAPTCHA y luego lo reconoce con un servicio de reconocimiento de voz. ¿No es genial?

Este método ha sido descubierto en 2012 . Afortunadamente, este método no se puede explotar en circunstancias reales: cuando el servicio de Google identifica varios intentos de resolver el captcha desde la misma dirección IP, el captcha de voz se convierte en una voz más compleja que no se puede identificar con este enfoque. Por lo tanto, para utilizar con éxito este método, los piratas informáticos tienen que usar muchas direcciones IP. Para lograr que los hackers puedan infectar una cantidad significativa de dispositivos móviles con software malicioso. Pero hay una pregunta. ¿La capacidad de publicar comentarios de spam o de registrarse con un nombre falso en un sitio web es peor? Es más fácil contratar personas de algún país pobre para hacerlo manualmente en modo masivo.

¿Quiere saber más? Suscríbete al boletín de noticias de Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments