Perché reCAPTCHA non protegge WordPress dai bot e dagli attacchi di forza bruta

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Cos'è esattamente reCAPTCHA?

reCAPTCHA di Google è un meccanismo di verifica umana creato e gestito da Google come servizio web gratuito. WP Cerber supporta reCAPTCHA per i moduli WooCommerce e WordPress come funzionalità antispam .

Perché reCAPTCHA non protegge WordPress dai bot e dagli attacchi di forza bruta?

È possibile perché WordPress ha tre metodi di autorizzazione abilitati di default. Ciò significa che gli hacker possono sfruttare tre punti di accesso a qualsiasi sito web basato su WordPress. Il primo è tramite il modulo di accesso predefinito di WordPress. Gli altri due metodi sono invisibili all'utente, ma noti agli hacker e ai software specializzati che utilizzano. I criminali informatici li usano per ottenere le password degli utenti e, di conseguenza, per accedere alla bacheca di WordPress con privilegi di amministratore.

Qualsiasi meccanismo basato su captcha, incluso reCAPTCHA, può proteggere WordPress solo da un attacco di forza bruta a un normale modulo di accesso. Gli altri due metodi di autenticazione di WordPress rimangono vulnerabili. Perché? Perché reCAPTCHA è stato sviluppato per proteggere i siti web dai bot tramite un meccanismo di verifica umana. Gli hacker non sono robot, nemmeno se utilizzano botnet. Ecco perché reCAPTCHA non protegge i siti web dagli attacchi hacker.

Vedo molti plugin che offrono l'utilizzo di reCAPTCHA per proteggere il modulo di accesso. Ho una domanda per voi: questi plugin proteggono completamente il vostro sito web, includendo anche i due metodi seguenti, come fa WP Cerber?

1. autorizzazione basata sui cookie
2. autorizzazione XML-RPC

Significa forse che reCAPTCHA è inutile?

No. reCAPTCHA può essere utilizzato con successo come meccanismo di prevenzione dello spam per i moduli di registrazione, contatto e reimpostazione della password. Le parti vitali di WordPress devono essere protette esclusivamente con una soluzione di sicurezza specializzata.

Come posso proteggere il mio sito web dallo spam?

Per proteggere i moduli WooCommerce e WordPress, WP Cerber Security offre due opzioni

1. Motore antispam e di rilevamento bot Cerber, segui le istruzioni: Protezione antispam per i moduli WordPress
2. Per utilizzare reCAPTCHA, segui le istruzioni riportate qui: Come configurare reCAPTCHA .

Come aggirare il reCAPTCHA

È possibile che i bot riescano a risolvere reCAPTCHA senza l'intervento umano? Sembra incredibile, ma è possibile grazie a un metodo ingegnoso. Il metodo si basa sull'utilizzo di un captcha vocale, chiamato Audio Challenge , e di un servizio di riconoscimento vocale online, come l'API di riconoscimento vocale di Google . Un hacker prende un file audio contenente il captcha vocale generato da reCAPTCHA e lo elabora con un servizio di riconoscimento vocale. Geniale, vero?

Questo metodo è stato scoperto nel 2012. Fortunatamente, non è sfruttabile in situazioni reali: quando il servizio Google rileva tentativi multipli di risolvere il captcha dallo stesso indirizzo IP, il captcha vocale viene modificato in una voce più complessa che non può essere identificata con questo metodo. Pertanto, per utilizzare con successo questo metodo, gli hacker devono utilizzare un numero elevato di indirizzi IP. In questo modo, possono infettare un numero considerevole di dispositivi mobili con software dannoso. Ma sorge spontanea una domanda: vale la pena avere la possibilità di pubblicare commenti spam o registrarsi con un nome falso su un sito web? È più semplice assumere un gruppo di persone in un paese povero per farlo manualmente e in massa.

Vuoi saperne di più? Iscriviti alla newsletter di Cerber .