WordPress security explained
WordPress security explained
Posted By Gregory

reCAPTCHAがWordPressをボットやブルートフォース攻撃から保護しない理由

WordPressログインフォームにreCAPTCHAを使用することは悪い習慣であり、ボットやハッカーによるハッキングからWordPressを保護するものではありません。


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


とにかく、reCAPTCHAとは何ですか?

GoogleのreCAPTCHAは、無料のWebサービスとしてGoogleによって作成および維持されている人間による検証メカニズムです。 WP Cerberは、スパム対策機能としてWooCommerceおよびWordPressフォームのreCAPTCHAをサポートしています

reCAPTCHAがWordPressをボットやブルートフォース攻撃から保護しないのはなぜですか?

WordPressにはデフォルトで有効になっている3つの認証方法があるため、これが可能です。つまり、ハッカーはWordPressを利用したWebサイトの3つの入り口を悪用する可能性があります。 1つ目は、デフォルトのWordPressログインフォームを使用することです。他の2つの方法はあなたには見えませんが、ハッカーとハッカーが使用する特殊なソフトウェアで知られています。サイバー犯罪者はそれらを使用してユーザーのパスワードを取得し、その結果、管理者権限でWordPressダッシュボードにアクセスします。

reCAPTCHAを含むキャプチャベースのメカニズムは、通常のログインフォームへのブルートフォース攻撃からのみWordPressを保護できます。他の2つのWordPress認証方法はまだ保護されていません。どうして? reCAPTCHAは、人間による検証メカニズムを介してロボットからWebサイトを保護するために開発されているためです。ハッカーは、ボットネットを使用していてもロボットではありません。そのため、reCAPTCHAはWebサイトがハッキングされるのを防ぎません。

ブルートフォース攻撃からWebサイトを保護するために、WordPressログインフォームにreCAPTCHAを追加するプラグインを使用しないでください[/ ecko_alert]

ログインフォームを保護するためにreCAPTCHAを使用することを提供するプラグインがたくさんあります。質問があります。これらのプラグインは、WP Cerberのように次の2つの方法を含めて、Webサイトを完全に保護しますか。

  1. Cookieベースの認証
  2. XML-RPC認証

reCAPTCHAが役に立たないという意味ですか?

いいえ。 reCAPTCHAは、登録、連絡、およびパスワードリセットフォームのスパム防止メカニズムとして正常に使用できます。 WordPressの重要な部分は、専用のセキュリティソリューションのみで保護する必要があります。

Webサイトをスパムから保護するにはどうすればよいですか?

WooCommerceフォームとWordPressフォームを保護するために、WP CerberSecurityには2つのオプションがあります

  1. Cerberのスパム対策およびボット検出エンジンについては、次の手順に従ってください: WordPressフォームのスパム対策保護
  2. reCAPTCHAを使用して、次の手順に従います: reCAPTCHAの設定方法

reCAPTCHAをバイパスする方法

ボットが人間なしでreCAPTCHAを解決できる可能性はありますか?信じられないように聞こえますが、彼らは興味深い方法を使用してそれを行うことができます。この方法は、Audio Challengeと呼ばれる音声キャプチャと、Google音声認識APIなどのオンライン音声認識サービスの1つを使用することに基づいています。ハッカーは、reCAPTCHAによって生成された音声キャプチャを含むオーディオファイルを取得し、音声認識サービスで認識します。見事ではないですか?

この方法は2012年に発見されました。幸い、この方法は実際の状況では利用できません。Googleサービスが同じIPアドレスからキャプチャを解決する複数の試みを識別すると、音声キャプチャはこのアプローチでは識別できないより複雑な音声に変更されます。したがって、この方法をうまく使用するには、ハッカーは多くのIPアドレスを使用する必要があります。これを実現するために、ハッカーは大量のモバイルデバイスを悪意のあるソフトウェアに感染させる可能性があります。しかし、疑問があります。スパムコメントを投稿したり、偽の名前でWebサイトに登録したりする機能は価値がありますか?バルクモードで手動でそれを行うには、貧しい国からたくさんの人を雇うほうが簡単です。

もっと知りたい? Cerberのニュースレターを購読します。


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments