reCAPTCHAがWordPressをボットやブルートフォース攻撃から守れない理由

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

そもそも reCAPTCHA とは何でしょうか?

GoogleのreCAPTCHAは、Googleが無料のウェブサービスとして開発・保守している人間認証メカニズムです。WP Cerberは、スパム対策機能としてWooCommerceおよびWordPressフォームのreCAPTCHAをサポートしています。

reCAPTCHA が WordPress をボットやブルートフォース攻撃から保護しないのはなぜですか?

WordPressにはデフォルトで3つの認証方法が有効になっているため、このような攻撃が可能になります。つまり、ハッカーはWordPressで構築されたウェブサイトで3つの侵入口を利用できるということです。1つ目は、デフォルトのWordPressログインフォームを使用する方法です。もう2つの方法は、ユーザーには見えませんが、ハッカーやハッカーが使用する特殊なソフトウェアによって悪用されています。サイバー犯罪者はこれらの方法を利用してユーザーのパスワードを取得し、管理者権限でWordPressダッシュボードにアクセスします。

reCAPTCHAを含むあらゆるCAPTCHAベースのメカニズムは、通常のログインフォームへのブルートフォース攻撃からWordPressを保護することができます。他の2つのWordPress認証方法は、依然として保護されていません。なぜでしょうか？それは、reCAPTCHAが人間による検証メカニズムを介してロボットからウェブサイトを保護するために開発されているためです。ハッカーはボットネットを使用していてもロボットではありません。そのため、reCAPTCHAはウェブサイトをハッキングから保護できません。

ログインフォームを保護するためにreCAPTCHAを使用するプラグインはたくさんあります。質問があります。これらのプラグインは、WP Cerberのように、以下の2つの方法を含めてウェブサイトを完全に保護できるのでしょうか？

1. Cookieベースの認証
2. XML-RPC認証

reCAPTCHA は役に立たないということでしょうか?

いいえ。reCAPTCHAは、登録フォーム、お問い合わせフォーム、パスワードリセットフォームのスパム防止メカニズムとして効果的に使用できます。WordPressの重要な部分は、専用のセキュリティソリューションのみで保護する必要があります。

ウェブサイトをスパムから保護するにはどうすればよいですか?

WooCommerceとWordPressフォームを保護するために、WP Cerber Securityは2つのオプションを提供しています。

1. Cerberアンチスパムおよびボット検出エンジン、指示に従ってください： WordPressフォームのアンチスパム保護
2. reCAPTCHA を使用する場合は、 「reCAPTCHA の設定方法」の手順に従ってください。

reCAPTCHAを回避する方法

ボットが人間なしでreCAPTCHAを解読できる可能性はあるのでしょうか？信じられないかもしれませんが、興味深い方法を使うことでそれが可能になるのです。この方法は、 Audio Challengeと呼ばれる音声キャプチャと、 Google Speech Recognition APIのようなオンライン音声認識サービスの一つをベースとしています。ハッカーはreCAPTCHAで生成された音声キャプチャ付きの音声ファイルを取得し、音声認識サービスで認識します。実に素晴らしいと思いませんか？

この手法は2012年に発見されました。幸いなことに、この手法は実際には悪用できません。Googleサービスが同じIPアドレスからのCAPTCHA解読の試みを複数回検知すると、音声CAPTCHAは、この手法では識別できないより複雑な音声に変更されます。そのため、この手法を成功させるには、ハッカーは多数のIPアドレスを使用する必要があります。これを実現するために、ハッカーは大量のモバイルデバイスに悪意のあるソフトウェアを感染させることができます。しかし、疑問があります。スパムコメントを投稿したり、偽名でウェブサイトに登録したりする機能は、それだけの価値があるのでしょうか？貧しい国の人材を大量に雇って、それらを手作業で一括して実行させる方が簡単です。

もっと詳しく知りたいですか？ Cerber のニュースレターを購読してください。