WordPress security explained
WordPress security explained
Posted By Gregory

Pourquoi reCAPTCHA ne protège pas WordPress contre les robots et les attaques par force brute

L'utilisation de reCAPTCHA pour le formulaire de connexion WordPress est une mauvaise pratique et ne protège pas WordPress contre le piratage par des robots et des pirates.


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Au fait, qu’est-ce que reCAPTCHA ?

Le reCAPTCHA de Google est un mécanisme de vérification humaine créé et maintenu par Google en tant que service Web gratuit. WP Cerber prend en charge reCAPTCHA pour les formulaires WooCommerce et WordPress en tant que fonctionnalité anti-spam .

Pourquoi reCAPTCHA ne protège-t-il pas WordPress des robots et des attaques par force brute ?

C’est possible car WordPress dispose de trois méthodes d’autorisation activées par défaut. Cela signifie que les pirates peuvent exploiter trois entrées sur n’importe quel site Web WordPress. Le premier utilise le formulaire de connexion WordPress par défaut. Deux autres méthodes sont invisibles pour vous mais connues des hackers et des logiciels spécialisés qu'utilisent les hackers. Les cybercriminels les utilisent pour obtenir les mots de passe des utilisateurs et par conséquent pour accéder au tableau de bord WordPress avec des privilèges d'administrateur.

Tout mécanisme basé sur le captcha, y compris reCAPTCHA, peut protéger WordPress contre une attaque par force brute sur un formulaire de connexion ordinaire uniquement. Les deux autres méthodes d’authentification WordPress ne sont toujours pas protégées. Pourquoi? Parce que reCAPTCHA est développé pour protéger les sites Web des robots via un mécanisme de vérification humaine. Les hackers ne sont pas des robots même s’ils utilisent des botnets. C'est pourquoi reCAPTCHA ne protège pas les sites Web contre le piratage.

Vous ne devez utiliser aucun plugin ajoutant reCAPTCHA au formulaire de connexion WordPress pour protéger votre site Web contre les attaques par force brute

Je vois de nombreux plugins proposant d'utiliser reCAPTCHA pour protéger le formulaire de connexion. J'ai une question pour vous : ces plugins protègent-ils complètement votre site Web, y compris les deux méthodes suivantes comme le fait WP Cerber.

  1. Autorisation basée sur les cookies
  2. Autorisation XML-RPC

Cela signifie-t-il que reCAPTCHA est inutile ?

Non. reCAPTCHA peut être utilisé avec succès comme mécanisme de prévention du spam pour les formulaires d'inscription, de contact et de réinitialisation de mot de passe. Les parties vitales de WordPress doivent être protégées uniquement avec une solution de sécurité spécialisée.

Comment protéger mon site Web du spam ?

Pour protéger les formulaires WooCommerce et WordPress, WP Cerber Security propose deux options

  1. Moteur de détection antispam et bot Cerber, suivez les instructions : Protection antispam pour les formulaires WordPress
  2. À l'aide de reCAPTCHA, suivez les instructions : Comment configurer reCAPTCHA .

Comment contourner reCAPTCHA

Est-il possible que des robots puissent résoudre reCAPTCHA sans un humain ? Cela semble incroyable, mais ils peuvent y parvenir en utilisant une méthode intéressante. La méthode est basée sur l'utilisation d'un captcha vocal appelé Audio Challenge et de l'un de ces services de reconnaissance vocale en ligne comme l'API Google Speech Recognition . Un pirate informatique prend un fichier audio avec le captcha vocal généré par reCAPTCHA puis le reconnaît grâce à un service de reconnaissance vocale. N'est-ce pas génial ?

Cette méthode a été découverte en 2012 . Heureusement, cette méthode n'est pas exploitable dans des circonstances réelles : lorsque le service Google identifie plusieurs tentatives de résolution du captcha à partir de la même adresse IP, le captcha vocal est transformé en une voix plus complexe qui ne peut pas être identifiée par cette approche. Ainsi, pour utiliser cette méthode avec succès, les pirates doivent utiliser de nombreuses adresses IP. Pour y parvenir, les pirates peuvent infecter un nombre important d’appareils mobiles avec des logiciels malveillants. Mais il y a une question. La possibilité de publier des commentaires indésirables ou de s'inscrire sous un faux nom sur un site Web en vaut-elle la peine ? Il est plus facile d'embaucher un groupe de personnes originaires d'un pays pauvre pour le faire manuellement et en masse.

Veulent en savoir plus? Abonnez-vous à la newsletter Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply