WordPress security explained
WordPress security explained
Posted By Gregory

reCAPTCHA がボットや総当り攻撃から WordPress を保護しない理由

WordPress ログインフォームに reCAPTCHA を使用することは悪い習慣であり、ボットやハッカーによるハッキングから WordPress を保護することはできません


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


とにかく、reCAPTCHAとは何ですか?

Google の reCAPTCHA は、Google が無料の Web サービスとして作成および管理する人による検証メカニズムです。 WP Cerber は、スパム対策機能として WooCommerce および WordPress フォームの reCAPTCHA をサポートしています

reCAPTCHA が WordPress をボットや総当たり攻撃から保護しないのはなぜですか?

WordPress にはデフォルトで有効になっている 3 つの認証方法があるため、これが可能です。つまり、ハッカーは、WordPress を利用した Web サイトで 3 つの入り口を悪用できるということです。 1 つ目は、デフォルトの WordPress ログイン フォームを使用する方法です。他に 2 つの方法は目に見えませんが、ハッカーやハッカーが使用する特殊なソフトウェアで知られています。サイバー犯罪者はそれらを使用してユーザーのパスワードを取得し、その結果、管理者権限で WordPress ダッシュボードにアクセスできます。

reCAPTCHA を含むキャプチャ ベースのメカニズムは、通常のログイン フォームへのブルート フォース攻撃に対してのみ WordPress を保護できます。他の 2 つの WordPress 認証方法は、まだ保護されていません。なんで? reCAPTCHA は、人間の検証メカニズムを介してロボットから Web サイトを保護するために開発されているためです。ボットネットを使ったとしても、ハッカーはロボットではありません。そのため、reCAPTCHA は Web サイトがハッキングされるのを防ぎません。

ブルート フォース攻撃からウェブサイトを保護するために、reCAPTCHA を WordPress ログイン フォームに追加するプラグインを使用しないでください

ログインフォームを保護するために reCAPTCHA を使用することを提供するプラグインはたくさんあります。質問があります。これらのプラグインは、WP Cerber のように次の 2 つの方法を含め、Web サイトを完全に保護しますか。

  1. Cookie ベースの認証
  2. XML-RPC 承認

reCAPTCHAは役に立たないということですか?

いいえ。 reCAPTCHA は、登録フォーム、連絡先フォーム、およびパスワード リセット フォームのスパム防止メカニズムとしてうまく使用できます。 WordPress の重要な部分は、専用のセキュリティ ソリューションのみで保護する必要があります。

Web サイトをスパムから保護するにはどうすればよいですか?

WooCommerce と WordPress フォームを保護するために、WP Cerber Security は 2 つのオプションを提供します

  1. Cerber アンチスパムおよびボット検出エンジンについては、次の手順に従ってください: WordPress フォームのアンチスパム保護
  2. reCAPTCHA を使用して、指示に従ってください: reCAPTCHA のセットアップ方法

reCAPTCHA をバイパスする方法

ボットが人間なしで reCAPTCHA を解決できる可能性はありますか?信じられないように聞こえますが、彼らは興味深い方法を使用してそれを行うことができます.この方法は、 Audio Challengeと呼ばれる音声キャプチャと、 Google Speech Recognition APIなどのオンライン音声認識サービスの 1 つを使用することに基づいています。ハッカーは、reCAPTCHA によって生成された音声キャプチャを含む音声ファイルを取得し、音声認識サービスで認識します。素晴らしいですよね?

この方法は2012 年に発見されました。幸いなことに、この方法は実際の状況では悪用できません。Google サービスが同じ IP アドレスからキャプチャを解決しようとする複数の試みを識別した場合、音声キャプチャは、このアプローチでは識別できないより複雑な音声に変更されます。したがって、この方法を成功させるには、ハッカーは多くの IP アドレスを使用する必要があります。これを実現するために、ハッカーは大量のモバイル デバイスに悪意のあるソフトウェアを感染させることができます。しかし、質問があります。 Web サイトにスパム コメントを投稿したり、偽名で登録したりする機能は、それだけの価値がありますか?貧しい国から大勢の人を雇って、一括モードで手動で行う方が簡単です。

もっと知りたい? Cerber のニュースレターを購読します。


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply