Pourquoi reCAPTCHA ne protège pas WordPress contre les bots et les attaques par force brute
L'utilisation de reCAPTCHA pour le formulaire de connexion WordPress est une mauvaise pratique et ne protège pas WordPress contre le piratage par des robots et des pirates informatiques.
English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks
Qu'est-ce que reCAPTCHA, au juste ?
reCAPTCHA de Google est un mécanisme de vérification humaine créé et maintenu par Google en tant que service web gratuit. WP Cerber prend en charge reCAPTCHA pour les formulaires WooCommerce et WordPress comme mesure anti-spam .
Pourquoi reCAPTCHA ne protège-t-il pas WordPress contre les bots et les attaques par force brute ?
C'est possible car WordPress propose trois méthodes d'authentification activées par défaut. Cela signifie que les pirates peuvent exploiter trois points d'entrée sur n'importe quel site WordPress. La première consiste à utiliser le formulaire de connexion WordPress par défaut. Les deux autres méthodes sont invisibles pour l'utilisateur, mais connues des pirates et des logiciels spécialisés qu'ils utilisent. Les cybercriminels s'en servent pour obtenir les mots de passe des utilisateurs et ainsi accéder au tableau de bord WordPress avec des privilèges d'administrateur.
Tout mécanisme basé sur un captcha, y compris reCAPTCHA, ne protège WordPress que contre une attaque par force brute ciblant un formulaire de connexion classique. Les deux autres méthodes d'authentification WordPress restent vulnérables. Pourquoi ? Parce que reCAPTCHA est conçu pour protéger les sites web des robots grâce à un mécanisme de vérification humaine. Or, les pirates informatiques ne sont pas des robots, même s'ils utilisent des réseaux de robots. C'est pourquoi reCAPTCHA ne protège pas les sites web contre le piratage.
Je vois beaucoup d'extensions qui proposent d'utiliser reCAPTCHA pour protéger le formulaire de connexion. Ma question est la suivante : ces extensions protègent-elles intégralement le site web, notamment grâce aux deux méthodes suivantes, comme le fait WP Cerber ?
- Autorisation basée sur les cookies
- Autorisation XML-RPC
Cela signifie-t-il que reCAPTCHA est inutile ?
Non. reCAPTCHA peut être utilisé avec succès comme mécanisme de prévention du spam pour les formulaires d'inscription, de contact et de réinitialisation de mot de passe. Seules les parties essentielles de WordPress doivent être protégées par une solution de sécurité spécialisée.
Comment protéger mon site web contre le spam ?
Pour protéger les formulaires WooCommerce et WordPress, WP Cerber Security propose deux options
- Moteur antispam et de détection de bots Cerber, suivez les instructions : Protection antispam pour les formulaires WordPress
- Pour utiliser reCAPTCHA, suivez les instructions : Comment configurer reCAPTCHA .
Comment contourner reCAPTCHA
Est-il possible que des bots résolvent reCAPTCHA sans intervention humaine ? Cela paraît incroyable, mais c'est pourtant possible grâce à une méthode ingénieuse. Cette méthode repose sur l'utilisation d'un captcha vocal appelé Audio Challenge et d'un service de reconnaissance vocale en ligne comme l'API Google Speech Recognition . Un pirate informatique récupère un fichier audio contenant le captcha vocal généré par reCAPTCHA, puis le reconnaît à l'aide d'un service de reconnaissance vocale. Ingénieux, non ?
Cette méthode a été découverte en 2012. Heureusement, elle est inexploitable en conditions réelles : lorsque le service Google détecte plusieurs tentatives de résolution du captcha depuis la même adresse IP, le captcha vocal est remplacé par une voix plus complexe, indétectable par cette méthode. Ainsi, pour l'utiliser efficacement, les pirates doivent exploiter un grand nombre d'adresses IP. Ils peuvent alors infecter un nombre important d'appareils mobiles avec un logiciel malveillant. Mais la question se pose : la possibilité de publier des commentaires indésirables ou de s'inscrire sous un faux nom sur un site web en vaut-elle vraiment la peine ? Il est plus simple d'embaucher des personnes dans un pays pauvre pour effectuer ces actions manuellement et à grande échelle.
Vous souhaitez en savoir plus ? Abonnez-vous à la newsletter de Cerber .
WordPress 5.4.1. Une mise à jour de sécurité corrige sept vulnérabilités XSS.
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Yea because recaptcha was designed to be an antivirus or antimalware for your website. As far as I can understand recaptcha is to stop bots from abusing contact forms, login pages, etc etc. I don’t understand why someone would think recaptcha is for actually keeping the whole wordpress site safe. Fail article…
reCAPTCHA has not been designed to be an antivirus or antimalware tool. reCAPTCHA works fine with ordinary HTML forms that intended for being used by humans. It doesn’t protect APIs or other computer to computer interfaces.