Por qué reCAPTCHA no protege WordPress contra bots y ataques de fuerza bruta

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

¿Qué es reCAPTCHA, de todos modos?

reCAPTCHA de Google es un mecanismo de verificación humana creado y mantenido por Google como servicio web gratuito. WP Cerber admite reCAPTCHA para formularios de WooCommerce y WordPress como función antispam .

¿Por qué reCAPTCHA no protege a WordPress de bots y ataques de fuerza bruta?

Esto es posible porque WordPress tiene tres métodos de autorización habilitados por defecto. Esto significa que los hackers pueden explotar tres métodos de acceso en cualquier sitio web con WordPress. El primero es usar el formulario de inicio de sesión predeterminado de WordPress. Otros dos métodos son invisibles para ti, pero conocidos por los hackers y su software especializado. Los ciberdelincuentes los utilizan para obtener las contraseñas de los usuarios y, en consecuencia, acceder al panel de control de WordPress con privilegios de administrador.

Cualquier mecanismo basado en captcha, incluyendo reCAPTCHA, puede proteger WordPress contra un ataque de fuerza bruta a un formulario de inicio de sesión estándar. Los otros dos métodos de autenticación de WordPress siguen sin protección. ¿Por qué? Porque reCAPTCHA está desarrollado para proteger los sitios web de robots mediante un mecanismo de verificación humana. Los hackers no son robots, incluso si usan botnets. Por eso, reCAPTCHA no protege los sitios web de ser hackeados.

Veo muchos plugins que ofrecen el uso de reCAPTCHA para proteger el formulario de inicio de sesión. Tengo una pregunta: ¿estos plugins protegen tu sitio web por completo, incluyendo los dos métodos siguientes, como lo hace WP Cerber?

1. Autorización basada en cookies
2. Autorización XML-RPC

¿Significa que reCAPTCHA es inútil?

No. reCAPTCHA puede usarse con éxito como mecanismo de prevención de spam en formularios de registro, contacto y restablecimiento de contraseña. Las partes esenciales de WordPress deben protegerse únicamente con una solución de seguridad especializada.

¿Cómo protejo mi sitio web del spam?

Para proteger los formularios de WooCommerce y WordPress, WP Cerber Security ofrece dos opciones

1. Motor de detección de bots y antispam de Cerber, siga las instrucciones: Protección antispam para formularios de WordPress
2. Para usar reCAPTCHA, siga las instrucciones: Cómo configurar reCAPTCHA .

Cómo evitar reCAPTCHA

¿Es posible que los bots puedan resolver reCAPTCHA sin intervención humana? Parece increíble, pero pueden hacerlo con un método interesante. Este método se basa en el uso de un captcha de voz llamado Audio Challenge y un servicio de reconocimiento de voz en línea como la API de reconocimiento de voz de Google . Un hacker toma un archivo de audio con un captcha de voz generado por reCAPTCHA y lo reconoce con un servicio de reconocimiento de voz. ¿No es genial?

Este método se descubrió en 2012. Afortunadamente, no es explotable en circunstancias reales: cuando el servicio de Google identifica varios intentos de resolver el captcha desde la misma dirección IP, la voz del captcha se transforma en una voz más compleja que no se puede identificar con este enfoque. Por lo tanto, para usar este método con éxito, los hackers deben usar muchas direcciones IP. Para lograrlo, pueden infectar una cantidad significativa de dispositivos móviles con software malicioso. Pero surge una pregunta: ¿merece la pena publicar comentarios spam o registrarse con un nombre falso en un sitio web? Es más fácil contratar a un grupo de personas de un país pobre para que lo hagan manualmente en masa.

¿Quieres saber más? Suscríbete al boletín de Cerber .