reCAPTCHA が WordPress をボットやブルートフォース攻撃から保護しない理由
WordPressのログインフォームにreCAPTCHAを使用するのは悪い習慣であり、WordPressがボットやハッカーにハッキングされるのを防ぐことはできません。
English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks
そもそも reCAPTCHA とは何でしょうか?
Google の reCAPTCHA は、Google が無料の Web サービスとして作成および管理している人間による検証メカニズムです。WP Cerber は、スパム対策機能として WooCommerce および WordPress フォームの reCAPTCHA をサポートしています。
reCAPTCHA が WordPress をボットやブルートフォース攻撃から保護しないのはなぜですか?
WordPress にはデフォルトで有効になっている 3 つの認証方法があるため、これが可能になります。つまり、ハッカーは WordPress で稼働している Web サイトで 3 つの入り口を利用できるということです。1 つ目は、デフォルトの WordPress ログイン フォームを使用することです。他の 2 つの方法は、ユーザーには見えませんが、ハッカーやハッカーが使用する特殊なソフトウェアには知られています。サイバー犯罪者は、これらの方法を使用してユーザーのパスワードを取得し、管理者権限で WordPress ダッシュボードにアクセスします。
reCAPTCHA を含むすべてのキャプチャベースのメカニズムは、通常のログイン フォームに対するブルート フォース攻撃から WordPress を保護することができます。他の 2 つの WordPress 認証方法は、まだ保護されていません。なぜでしょうか。reCAPTCHA は、人間による検証メカニズムを介してロボットから Web サイトを保護するために開発されているためです。ハッカーはボットネットを使用していてもロボットではありません。そのため、reCAPTCHA では Web サイトがハッキングされるのを防げません。
ログイン フォームを保護するために reCAPTCHA を使用するプラグインはたくさんあります。質問があります。これらのプラグインは、WP Cerber のように次の 2 つの方法を含めて Web サイトを完全に保護しますか。
- Cookieベースの認証
- XML-RPC 認証
reCAPTCHA は役に立たないということでしょうか?
いいえ。reCAPTCHA は、登録、連絡先、パスワード リセット フォームのスパム防止メカニズムとして効果的に使用できます。WordPress の重要な部分は、専用のセキュリティ ソリューションのみで保護する必要があります。
ウェブサイトをスパムから保護するにはどうすればよいですか?
WooCommerceとWordPressフォームを保護するために、WP Cerber Securityは2つのオプションを提供しています。
- Cerber アンチスパムおよびボット検出エンジン、指示に従ってください: WordPress フォームのアンチスパム保護
- reCAPTCHA を使用する場合は、 reCAPTCHA の設定方法の手順に従ってください。
reCAPTCHA を回避する方法
ボットが人間なしで reCAPTCHA を解くことは可能でしょうか? 信じられないかもしれませんが、興味深い方法を使うことでそれが可能になります。この方法は、 Audio Challengeと呼ばれる音声キャプチャと、 Google Speech Recognition APIなどのオンライン音声認識サービスを使用することに基づいています。ハッカーは reCAPTCHA によって生成された音声キャプチャ付きのオーディオファイルを取得し、それを音声認識サービスで認識します。素晴らしいと思いませんか?
この方法は2012年に発見されました。幸いなことに、この方法は実際の状況では悪用できません。Googleサービスが同じIPアドレスからのキャプチャを解読しようとする複数の試みを識別すると、音声キャプチャは、このアプローチでは識別できないより複雑な音声に変更されます。したがって、この方法をうまく使用するには、ハッカーは多くのIPアドレスを使用する必要があります。それを実現するために、ハッカーは大量のモバイルデバイスを悪意のあるソフトウェアに感染させることができます。しかし、疑問があります。スパムコメントを投稿したり、偽名でWebサイトに登録したりする機能は、それだけの価値があるのでしょうか。貧しい国の人たちを雇って、一括で手動で行う方が簡単です。
さらに詳しく知りたいですか? Cerber のニュースレターを購読してください。
WordPress 5.4.1。セキュリティアップデートで7つのXSS脆弱性が修正されました
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Yea because recaptcha was designed to be an antivirus or antimalware for your website. As far as I can understand recaptcha is to stop bots from abusing contact forms, login pages, etc etc. I don’t understand why someone would think recaptcha is for actually keeping the whole wordpress site safe. Fail article…
reCAPTCHA has not been designed to be an antivirus or antimalware tool. reCAPTCHA works fine with ordinary HTML forms that intended for being used by humans. It doesn’t protect APIs or other computer to computer interfaces.