reCAPTCHA がボットや総当り攻撃から WordPress を保護しない理由
WordPress ログインフォームに reCAPTCHA を使用することは悪い習慣であり、ボットやハッカーによるハッキングから WordPress を保護することはできません
English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks
とにかく、reCAPTCHAとは何ですか?
Google の reCAPTCHA は、Google が無料の Web サービスとして作成および管理する人による検証メカニズムです。 WP Cerber は、スパム対策機能として WooCommerce および WordPress フォームの reCAPTCHA をサポートしています。
reCAPTCHA が WordPress をボットや総当たり攻撃から保護しないのはなぜですか?
WordPress にはデフォルトで有効になっている 3 つの認証方法があるため、これが可能です。つまり、ハッカーは、WordPress を利用した Web サイトで 3 つの入り口を悪用できるということです。 1 つ目は、デフォルトの WordPress ログイン フォームを使用する方法です。他に 2 つの方法は目に見えませんが、ハッカーやハッカーが使用する特殊なソフトウェアで知られています。サイバー犯罪者はそれらを使用してユーザーのパスワードを取得し、その結果、管理者権限で WordPress ダッシュボードにアクセスできます。
reCAPTCHA を含むキャプチャ ベースのメカニズムは、通常のログイン フォームへのブルート フォース攻撃に対してのみ WordPress を保護できます。他の 2 つの WordPress 認証方法は、まだ保護されていません。なんで? reCAPTCHA は、人間の検証メカニズムを介してロボットから Web サイトを保護するために開発されているためです。ボットネットを使ったとしても、ハッカーはロボットではありません。そのため、reCAPTCHA は Web サイトがハッキングされるのを防ぎません。
ログインフォームを保護するために reCAPTCHA を使用することを提供するプラグインはたくさんあります。質問があります。これらのプラグインは、WP Cerber のように次の 2 つの方法を含め、Web サイトを完全に保護しますか。
- Cookie ベースの認証
- XML-RPC 承認
reCAPTCHAは役に立たないということですか?
いいえ。 reCAPTCHA は、登録フォーム、連絡先フォーム、およびパスワード リセット フォームのスパム防止メカニズムとしてうまく使用できます。 WordPress の重要な部分は、専用のセキュリティ ソリューションのみで保護する必要があります。
Web サイトをスパムから保護するにはどうすればよいですか?
WooCommerce と WordPress フォームを保護するために、WP Cerber Security は 2 つのオプションを提供します
- Cerber アンチスパムおよびボット検出エンジンについては、次の手順に従ってください: WordPress フォームのアンチスパム保護
- reCAPTCHA を使用して、指示に従ってください: reCAPTCHA のセットアップ方法。
reCAPTCHA をバイパスする方法
ボットが人間なしで reCAPTCHA を解決できる可能性はありますか?信じられないように聞こえますが、彼らは興味深い方法を使用してそれを行うことができます.この方法は、 Audio Challengeと呼ばれる音声キャプチャと、 Google Speech Recognition APIなどのオンライン音声認識サービスの 1 つを使用することに基づいています。ハッカーは、reCAPTCHA によって生成された音声キャプチャを含む音声ファイルを取得し、音声認識サービスで認識します。素晴らしいですよね?
この方法は2012 年に発見されました。幸いなことに、この方法は実際の状況では悪用できません。Google サービスが同じ IP アドレスからキャプチャを解決しようとする複数の試みを識別した場合、音声キャプチャは、このアプローチでは識別できないより複雑な音声に変更されます。したがって、この方法を成功させるには、ハッカーは多くの IP アドレスを使用する必要があります。これを実現するために、ハッカーは大量のモバイル デバイスに悪意のあるソフトウェアを感染させることができます。しかし、質問があります。 Web サイトにスパム コメントを投稿したり、偽名で登録したりする機能は、それだけの価値がありますか?貧しい国から大勢の人を雇って、一括モードで手動で行う方が簡単です。
もっと知りたい? Cerber のニュースレターを購読します。
ワードプレス 5.4.1. 7 つの XSS 脆弱性を修正するセキュリティ更新プログラム
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Yea because recaptcha was designed to be an antivirus or antimalware for your website. As far as I can understand recaptcha is to stop bots from abusing contact forms, login pages, etc etc. I don’t understand why someone would think recaptcha is for actually keeping the whole wordpress site safe. Fail article…
reCAPTCHA has not been designed to be an antivirus or antimalware tool. reCAPTCHA works fine with ordinary HTML forms that intended for being used by humans. It doesn’t protect APIs or other computer to computer interfaces.