Perché reCAPTCHA non protegge WordPress da bot e attacchi brute-force

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Cos'è reCAPTCHA?

reCAPTCHA di Google è un meccanismo di verifica umana creato e gestito da Google come servizio web gratuito. WP Cerber supporta reCAPTCHA per WooCommerce e i moduli WordPress come funzione anti-spam .

Perché reCAPTCHA non protegge WordPress dai bot e dagli attacchi brute-force?

Ciò è possibile perché WordPress ha tre metodi di autorizzazione abilitati di default. Ciò significa che gli hacker possono sfruttare tre accessi a qualsiasi sito web basato su WordPress. Il primo è l'utilizzo del modulo di accesso predefinito di WordPress. Altri due metodi sono invisibili all'utente, ma noti agli hacker e ai software specializzati che utilizzano. I criminali informatici li utilizzano per ottenere le password degli utenti e, di conseguenza, accedere alla dashboard di WordPress con privilegi di amministratore.

Qualsiasi meccanismo basato su captcha, incluso reCAPTCHA, può proteggere WordPress da un attacco brute-force solo su un normale modulo di accesso. Gli altri due metodi di autenticazione di WordPress non sono ancora protetti. Perché? Perché reCAPTCHA è sviluppato per proteggere i siti web dai robot tramite un meccanismo di verifica umana. Gli hacker non sono robot, anche se utilizzano botnet. Ecco perché reCAPTCHA non protegge i siti web dagli attacchi informatici.

Vedo molti plugin che offrono l'utilizzo di reCAPTCHA per proteggere il modulo di login. Ho una domanda per te: questi plugin proteggono completamente il tuo sito web, inclusi i due metodi seguenti, come fa WP Cerber.

1. Autorizzazione basata sui cookie
2. Autorizzazione XML-RPC

Ciò significa che reCAPTCHA è inutile?

No. reCAPTCHA può essere utilizzato con successo come meccanismo di prevenzione dello spam per i moduli di registrazione, contatto e reimpostazione della password. Le parti vitali di WordPress devono essere protette solo con una soluzione di sicurezza specializzata.

Come posso proteggere il mio sito web dallo spam?

Per proteggere i moduli WooCommerce e WordPress, WP Cerber Security offre due opzioni

1. Motore antispam e di rilevamento bot Cerber, segui le istruzioni: Protezione antispam per i moduli WordPress
2. Se utilizzi reCAPTCHA, segui le istruzioni: Come impostare reCAPTCHA .

Come bypassare reCAPTCHA

È possibile che i bot riescano a risolvere reCAPTCHA senza l'intervento di un essere umano? Sembra incredibile, ma possono farlo utilizzando un metodo interessante. Il metodo si basa sull'utilizzo di un captcha vocale chiamato Audio Challenge e di uno di quei servizi di riconoscimento vocale online come l'API di Google Speech Recognition . Un hacker prende un file audio con un captcha vocale generato da reCAPTCHA e lo riconosce con un servizio di riconoscimento vocale. Non è geniale?

Questo metodo è stato scoperto nel 2012. Fortunatamente, non è sfruttabile in circostanze reali: quando il servizio Google identifica più tentativi di risolvere il captcha dallo stesso indirizzo IP, la voce del captcha viene modificata in una voce più complessa, impossibile da identificare con questo approccio. Pertanto, per utilizzare con successo questo metodo, gli hacker devono utilizzare molti indirizzi IP. Per raggiungere questo obiettivo, gli hacker possono infettare un numero significativo di dispositivi mobili con software dannoso. Ma c'è una domanda: vale la pena pubblicare commenti spam o registrarsi con un nome falso su un sito web? È più facile assumere un gruppo di persone provenienti da un paese povero per farlo manualmente e in massa.

Vuoi saperne di più? Iscriviti alla newsletter di Cerber .