WordPress security explained
WordPress security explained
Posted By Gregory

Perché reCAPTCHA non protegge WordPress da bot e attacchi di forza bruta

L'utilizzo di reCAPTCHA per il modulo di accesso di WordPress è una cattiva pratica e non protegge WordPress dall'essere violato da bot e hacker


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Che cos'è reCAPTCHA, comunque?

Il reCAPTCHA di Google è un meccanismo di verifica umana creato e gestito da Google come servizio Web gratuito. WP Cerber supporta reCAPTCHA per i moduli WooCommerce e WordPress come funzionalità anti-spam .

Perché reCAPTCHA non protegge WordPress da bot e attacchi di forza bruta?

È possibile perché WordPress ha tre metodi di autorizzazione abilitati per impostazione predefinita. Ciò significa che gli hacker possono sfruttare tre ingressi su qualsiasi sito Web basato su WordPress. Il primo utilizza il modulo di accesso predefinito di WordPress. Altri due metodi sono invisibili per te ma noti agli hacker e al software specializzato utilizzato dagli hacker. I criminali informatici li utilizzano per ottenere le password degli utenti e di conseguenza per accedere alla dashboard di WordPress con privilegi di amministratore.

Qualsiasi meccanismo basato su captcha, incluso reCAPTCHA, può proteggere WordPress da un attacco di forza bruta solo a un normale modulo di accesso. Gli altri due metodi di autenticazione di WordPress sono ancora non protetti. Perché? Perché reCAPTCHA è sviluppato per proteggere i siti Web dai robot tramite un meccanismo di verifica umana. Gli hacker non sono robot anche se usano le botnet. Ecco perché reCAPTCHA non protegge i siti web dall'hacking.

Non devi utilizzare alcun plug-in che aggiunga reCAPTCHA al modulo di accesso di WordPress per proteggere il tuo sito Web da attacchi di forza bruta

Vedo molti plugin che offrono l'utilizzo di reCAPTCHA per proteggere il modulo di accesso. Ho una domanda per te: quei plugin proteggono completamente il tuo sito web, inclusi i seguenti due metodi come fa WP Cerber.

  1. Autorizzazione basata sui cookie
  2. Autorizzazione XML-RPC

Significa reCAPTCHA inutile?

No. reCAPTCHA può essere utilizzato con successo come meccanismo di prevenzione dello spam per i moduli di registrazione, contatto e reimpostazione della password. Le parti vitali di WordPress devono essere protette solo con una soluzione di sicurezza specializzata.

Come proteggo il mio sito web dallo spam?

Per proteggere i moduli WooCommerce e WordPress, WP Cerber Security offre due opzioni

  1. Antispam Cerber e motore di rilevamento bot, segui le istruzioni: Protezione antispam per moduli WordPress
  2. Utilizzando reCAPTCHA, segui le istruzioni: How to set up reCAPTCHA .

Come bypassare reCAPTCHA

È possibile che i bot riescano a risolvere reCAPTCHA senza un essere umano? Sembra incredibile ma possono farlo usando un metodo interessante. Il metodo si basa sull'utilizzo di un captcha vocale chiamato Audio Challenge e uno di quei servizi di riconoscimento vocale online come Google Speech Recognition API . Un hacker prende un file audio con captcha vocale generato da reCAPTCHA e poi lo riconosce con un servizio di riconoscimento vocale. Non è geniale?

Questo metodo è stato scoperto nel 2012 . Fortunatamente, questo metodo non è sfruttabile in circostanze reali: quando il servizio Google identifica più tentativi di risolvere il captcha dallo stesso indirizzo IP, il captcha vocale viene modificato in una voce più complessa che non può essere identificata utilizzando questo approccio. Quindi, per utilizzare con successo questo metodo, gli hacker devono utilizzare molti indirizzi IP. Per ottenere ciò, gli hacker possono infettare una quantità significativa di dispositivi mobili con software dannoso. Ma c'è una domanda. Ne vale la pena la possibilità di pubblicare commenti spam o registrarsi con un nome falso su un sito web? È più facile assumere un gruppo di ragazzi di un paese povero per farlo manualmente in modalità di massa.

Voglio sapere di più? Iscriviti alla newsletter di Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments