WordPress security explained
WordPress security explained

Perché reCAPTCHA non protegge WordPress contro i bot e gli attacchi di forza bruta

L'utilizzo di reCAPTCHA per il modulo di accesso di WordPress è una cattiva pratica e non protegge WordPress dall'essere hackerato da bot e hacker


English version: Why does reCAPTCHA not protect WordPress against bots and brute-force attacks


Che cos'è reCAPTCHA, comunque?

reCAPTCHA è un meccanismo di verifica umana creato e gestito da Google come servizio Web gratuito. WP Cerber supporta reCAPTCHA per i moduli WooCommerce e WordPress come funzionalità antispam .

Perché reCAPTCHA non protegge WordPress da bot e attacchi a forza bruta?

Perché WordPress ha tre metodi di autorizzazione abilitati per impostazione predefinita. Ciò significa che gli hacker hanno accesso a tre ingressi su qualsiasi sito Web alimentato da WordPress. Il primo viene utilizzato quando si utilizza il normale modulo di accesso di WordPress. Altri due metodi sono invisibili per te, ma noti per gli hacker e i software specializzati utilizzati dagli hacker. Gli hacker li utilizzano per sondare un sito Web e ottenere la password utente corretta o accedere alla dashboard di WordPress con privilegi di amministratore.

Qualsiasi meccanismo basato su captcha, incluso reCAPTCHA, può proteggere WordPress da attacchi brute-force solo a un normale modulo di login. Altri due metodi di autenticazione di WordPress non sono ancora protetti. Inoltre, reCAPTCHA ha lo scopo di proteggere i siti Web dai robot perché è un meccanismo di verifica umana. Robot, non hacker.

Non devi utilizzare alcun plug-in che aggiunge reCAPTCHA al modulo di accesso di WordPress per proteggere il sito web dagli attacchi di forza bruta [/ ecko_alert]

Vedo un sacco di plugin che offrono l'utilizzo di reCAPTCHA per proteggere il modulo di accesso. Ho una domanda per te: questi plugin proteggono completamente il tuo sito web compresi i seguenti due metodi? Il plugin WP Cerber fa.

  1. Autorizzazione basata sui cookie
  2. Autorizzazione XML-RPC

Significa reCAPTCHA inutile?

No. reCAPTCHA può essere utilizzato con successo come meccanismo di prevenzione dello spam per moduli di registrazione e moduli di reimpostazione della password. Le parti vitali di WordPress devono essere protette solo con soluzioni di sicurezza specializzate. Basta installare WP Cerber Security.

Come proteggi il mio sito web dallo spam?

Per proteggere i moduli WooCommerce e WordPress, Cerber Security offre due opzioni

  1. Motore di rilevamento bot antispam e bot, seguire le istruzioni: Protezione antispam per moduli WordPress
  2. Utilizzando reCAPTCHA, seguire le istruzioni: Come configurare reCAPTCHA .

Come bypassare reCAPTCHA

È possibile che i bot possano risolvere reCAPTCHA senza un essere umano? Sembra incredibile ma possono in qualche modo. Il metodo si basa sull'utilizzo di voice captcha denominato Audio Challenge e uno di quei servizi di riconoscimento vocale online come Google Speech Recognition API . Un hacker prende un file audio con captcha vocale generato da reCAPTCHA e quindi lo riconosce con un servizio di riconoscimento vocale. Non è geniale?

Questo metodo è stato scoperto nel 2012 . Fortunatamente, questo metodo non è sfruttabile in circostanze reali: quando il servizio di Google identifica più tentativi di risolvere il captcha dallo stesso indirizzo IP, il captcha vocale viene trasformato in una voce più complessa che non può essere identificata con questo approccio. Quindi, per usare con successo questo metodo, gli hacker devono utilizzare molti indirizzi IP. Per ottenere che gli hacker possano infettare una quantità significativa di dispositivi mobili con software dannoso. Ma c'è una domanda. La capacità di pubblicare commenti spam o registrarsi con un nome falso su un sito web è peggiore? È più facile assumere ragazzi di qualche paese povero per farlo manualmente in modalità bulk.

Voglio sapere di più? Iscriviti alla newsletter di Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments