WordPress security explained
WordPress security explained
Posted By Gregory

reCAPTCHA が WordPress をボットやブルートフォース攻撃から保護しない理由

WordPress ログインフォームに reCAPTCHA を使用するのは悪い習慣であり、WordPress をボットやハッカーによるハッキングから保護することはできません


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


そもそも、reCAPTCHA とは何ですか?

Google の reCAPTCHA は、Google によって無料の Web サービスとして作成および維持されている人間による検証メカニズムです。 WP Cerber は、スパム対策機能として、WooCommerce および WordPress フォームの reCAPTCHA をサポートしています

reCAPTCHA が WordPress をボットやブルートフォース攻撃から保護しないのはなぜですか?

WordPress にはデフォルトで有効になっている 3 つの認証方法があるため、これが可能です。つまり、ハッカーは WordPress を利用した Web サイトの 3 つの入り口を悪用できるということです。 1 つ目は、デフォルトの WordPress ログイン フォームを使用する方法です。他の 2 つの方法は、ユーザーには見えませんが、ハッカーおよびハッカーが使用する特殊なソフトウェアには知られています。サイバー犯罪者はこれらを使用してユーザーのパスワードを取得し、結果として管理者権限で WordPress ダッシュボードにアクセスします。

reCAPTCHA を含むキャプチャベースのメカニズムは、通常のログイン フォームに対するブルート フォース攻撃のみから WordPress を保護できます。他の 2 つの WordPress 認証方法はまだ保護されていません。なぜ?なぜなら、reCAPTCHA は人間による検証メカニズムを介してロボットから Web サイトを保護するために開発されたものだからです。ボットネットを使用しているとしても、ハッカーはロボットではありません。そのため、reCAPTCHA は Web サイトをハッキングから保護できません。

Web サイトをブルート フォース攻撃から保護するために、WordPress ログイン フォームに reCAPTCHA を追加するプラグインを使用してはなりません

ログインフォームを保護するために reCAPTCHA の使用を提供するプラグインがたくさんあります。質問があります。これらのプラグインは、WP Cerber のように次の 2 つの方法を含めて Web サイトを完全に保護しますか。

  1. Cookie ベースの認証
  2. XML-RPC認可

reCAPTCHAは役に立たないということでしょうか?

いいえ。 reCAPTCHA は、登録フォーム、連絡フォーム、およびパスワード リセット フォームのスパム防止メカニズムとして正常に使用できます。 WordPress の重要な部分は、特殊なセキュリティ ソリューションのみで保護する必要があります。

Web サイトをスパムから保護するにはどうすればよいですか?

WooCommerce と WordPress フォームを保護するために、WP Cerber Security は 2 つのオプションを提供します

  1. Cerber のスパム対策およびボット検出エンジンは、「 WordPress フォームのスパム対策保護」の指示に従ってください。
  2. reCAPTCHA を使用して、 「 reCAPTCHA の設定方法」の指示に従います。

reCAPTCHAをバイパスする方法

ボットが人間なしで reCAPTCHA を解決できる可能性はありますか?信じられないかもしれないが、彼らは興味深い方法を使うことでそれを実現できるのだ。この方法は、 Audio Challengeと呼ばれる音声キャプチャと、 Google Speech Recognition APIなどのオンライン音声認識サービスの 1 つを使用することに基づいています。ハッカーは、reCAPTCHA によって生成された音声キャプチャを含む音声ファイルを取得し、音声認識サービスでそれを認識します。素晴らしいじゃないですか。

この方法は2012 年に発見されました。幸いなことに、この方法は実際の状況では悪用できません。Google サービスが同じ IP アドレスからのキャプチャを解決しようとする複数の試行を識別すると、音声キャプチャは、このアプローチでは識別できないより複雑な音声に変更されます。したがって、この方法を成功させるには、ハッカーは多くの IP アドレスを使用する必要があります。これを達成するために、ハッカーは大量のモバイル デバイスを悪意のあるソフトウェアに感染させることができます。しかし、疑問があります。スパムコメントを投稿したり、Web サイトに偽名で登録したりする機能には価値がありますか?それを一括モードで手動で行うには、貧しい国から大勢の人を雇うほうが簡単です。

もっと知りたい? Cerber のニュースレターを購読してください


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments