WordPress security explained
WordPress security explained
Posted By Gregory

Perché reCAPTCHA non protegge WordPress da bot e attacchi di forza bruta

L'utilizzo di reCAPTCHA per il modulo di accesso di WordPress è una cattiva pratica e non protegge WordPress dall'attacco hacker da parte di bot e hacker


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Cos'è reCAPTCHA, comunque?

reCAPTCHA di Google è un meccanismo di verifica umana creato e gestito da Google come servizio web gratuito. WP Cerber supporta reCAPTCHA per moduli WooCommerce e WordPress come funzionalità anti-spam .

Perché reCAPTCHA non protegge WordPress da bot e attacchi di forza bruta?

È possibile perché WordPress ha tre metodi di autorizzazione abilitati per impostazione predefinita. Ciò significa che gli hacker possono sfruttare tre ingressi su qualsiasi sito Web basato su WordPress. Il primo utilizza il modulo di accesso WordPress predefinito. Altri due metodi sono invisibili per te ma noti agli hacker e al software specializzato utilizzato dagli hacker. I criminali informatici li utilizzano per ottenere le password degli utenti e di conseguenza per accedere alla dashboard di WordPress con privilegi di amministratore.

Qualsiasi meccanismo basato su captcha, incluso reCAPTCHA, può proteggere WordPress da un attacco di forza bruta solo a un normale modulo di accesso. Gli altri due metodi di autenticazione di WordPress non sono ancora protetti. Perché? Perché reCAPTCHA è sviluppato per proteggere i siti Web dai robot tramite un meccanismo di verifica umana. Gli hacker non sono robot anche se utilizzano botnet. Ecco perché reCAPTCHA non protegge i siti web dagli attacchi hacker.

Non devi utilizzare alcun plugin che aggiunga reCAPTCHA al modulo di accesso di WordPress per proteggere il tuo sito web da attacchi di forza bruta

Vedo molti plugin che offrono l'utilizzo di reCAPTCHA per proteggere il modulo di accesso. Ho una domanda per te: questi plugin proteggono completamente il tuo sito web includendo i seguenti due metodi come fa WP Cerber.

  1. Autorizzazione basata sui cookie
  2. Autorizzazione XML-RPC

Significa che reCAPTCHA è inutile?

No. reCAPTCHA può essere utilizzato con successo come meccanismo di prevenzione dello spam per i moduli di registrazione, contatto e reimpostazione della password. Le parti vitali di WordPress devono essere protette solo con una soluzione di sicurezza specializzata.

Come posso proteggere il mio sito web dallo spam?

Per proteggere i moduli WooCommerce e WordPress, WP Cerber Security offre due opzioni

  1. Motore di rilevamento antispam e bot Cerber, seguire le istruzioni: Protezione antispam per moduli WordPress
  2. Utilizzando reCAPTCHA, seguire le istruzioni: Come impostare reCAPTCHA .

Come bypassare reCAPTCHA

È possibile che i bot riescano a risolvere reCAPTCHA senza l'intervento umano? Sembra incredibile ma possono farlo utilizzando un metodo interessante. Il metodo si basa sull'utilizzo di un captcha vocale chiamato Audio Challenge e su uno di quei servizi di riconoscimento vocale online come l'API di riconoscimento vocale di Google . Un hacker prende un file audio con captcha vocale generato da reCAPTCHA e poi lo riconosce con un servizio di riconoscimento vocale. Non è geniale?

Questo metodo è stato scoperto nel 2012 . Fortunatamente, questo metodo non è sfruttabile in circostanze reali: quando il servizio Google identifica più tentativi di risolvere il captcha dallo stesso indirizzo IP, il captcha vocale viene modificato in una voce più complessa che non può essere identificata utilizzando questo approccio. Pertanto, per utilizzare con successo questo metodo, gli hacker devono utilizzare molti indirizzi IP. Per raggiungere questo obiettivo, gli hacker possono infettare una quantità significativa di dispositivi mobili con software dannoso. Ma c'è una domanda. Vale la pena pubblicare commenti spam o registrarsi con un nome falso su un sito web? È più semplice assumere un gruppo di ragazzi provenienti da un paese povero per farlo manualmente in modalità collettiva.

Voglio sapere di più? Iscriviti alla newsletter di Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply