WordPress security explained
WordPress security explained

Pourquoi ne reCAPTCHA protège pas WordPress contre les robots et les attaques par force brute

L'utilisation du formulaire de connexion reCAPTCHA for WordPress est une mauvaise pratique et ne protège pas WordPress contre le piratage de bots et de pirates


English version: Why does reCAPTCHA not protect WordPress against bots and brute-force attacks


Qu'est-ce que reCAPTCHA?

reCAPTCHA est un mécanisme de vérification humaine créé et géré par Google en tant que service Web gratuit. WP Cerber prend en charge les formulaires reCAPTCHA for WooCommerce et WordPress en tant qu'antispam .

Pourquoi reCAPTCHA ne protège-t-il pas WordPress des attaques de bots et de force brute?

Car WordPress dispose de trois méthodes d'autorisation activées par défaut. Cela signifie que les pirates ont accès à trois entrées sur n’importe quel site Web utilisant WordPress. Le premier est utilisé lorsque vous utilisez un formulaire de connexion WordPress ordinaire. Deux autres méthodes sont invisibles pour vous mais connues pour les pirates et les logiciels spécialisés qu’ils utilisent. Les pirates les utilisent pour sonder un site Web et obtenir le mot de passe de l'utilisateur correct ou pour accéder au tableau de bord WordPress avec des privilèges d'administrateur.

Tout mécanisme basé sur captcha, y compris reCAPTCHA, peut protéger WordPress contre les attaques par force brute contre un formulaire de connexion ordinaire uniquement. Les deux autres méthodes d'authentification WordPress ne sont toujours pas protégées. De plus, reCAPTCHA est destiné à protéger les sites Web des robots car il s’agit d’un mécanisme de vérification humaine. Des robots, pas des pirates.

Vous ne devez utiliser aucun plug-in ajoutant reCAPTCHA au formulaire de connexion WordPress pour protéger le site Web contre les attaques par force brutale [/ ecko_alert]

Je vois beaucoup de plugins proposant d’utiliser reCAPTCHA pour protéger le formulaire de connexion. J'ai une question pour vous: ces plugins protègent-ils complètement votre site Web, y compris les deux méthodes suivantes? Le plugin WP Cerber fait.

  1. Autorisation basée sur les cookies
  2. Autorisation XML-RPC

Cela signifie-t-il reCAPTCHA inutile?

Nan. reCAPTCHA peut être utilisé avec succès comme mécanisme de prévention du courrier indésirable pour les formulaires d'inscription et les formulaires de réinitialisation de mot de passe. Les parties vitales de WordPress doivent être protégées uniquement avec des solutions de sécurité spécialisées. Il suffit d'installer WP Cerber Security.

Comment protéger mon site Web contre le spam?

Pour protéger les formulaires WooCommerce et WordPress, Cerber Security propose deux options

  1. Moteur de détection antispam et bot Cerber, suivez les instructions: Protection antispam pour les formulaires WordPress
  2. En utilisant reCAPTCHA, suivez les instructions: Comment configurer reCAPTCHA .

Comment contourner reCAPTCHA

Est-il possible que des robots résolvent reCAPTCHA sans être humain? Cela semble incroyable, mais ils peuvent en quelque sorte. Le procédé repose sur l'utilisation d'un captcha vocal appelé Audio Challenge et de l'un de ces services de reconnaissance vocale en ligne tels que l' API de reconnaissance vocale de Google . Un pirate informatique prend un fichier audio avec captcha vocal généré par reCAPTCHA et le reconnaît ensuite avec un service de reconnaissance vocale. N'est-ce pas brillant?

Cette méthode a été découverte en 2012 . Heureusement, cette méthode n'est pas exploitable dans des circonstances réelles: lorsque le service Google identifie plusieurs tentatives pour résoudre le captcha à partir de la même adresse IP, la voix captcha se transforme en une voix plus complexe qui ne peut pas être identifiée avec cette approche. Donc, pour utiliser cette méthode avec succès, les pirates informatiques doivent utiliser de nombreuses adresses IP. Pour y parvenir, les pirates informatiques peuvent infecter un nombre important de périphériques mobiles avec des logiciels malveillants. Mais il y a une question. Est-ce que le fait de pouvoir poster des commentaires de spam ou de s’enregistrer avec un faux nom sur un site Web est pire? Il est plus facile d'embaucher des gars de pays pauvres pour le faire manuellement en gros.

Veut en savoir plus? Abonnez-vous à la newsletter de Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments