WordPress security explained
WordPress security explained

Waarom heeft reCAPTCHA niet WordPress tegen bots en brute-force aanvallen te beschermen

Het gebruik van reCAPTCHA voor het aanmeldingsformulier van WordPress is een slechte gewoonte en beschermt WordPress niet tegen hackers van bots en hackers


English version: Why does reCAPTCHA not protect WordPress against bots and brute-force attacks


Wat is reCAPTCHA eigenlijk?

reCAPTCHA is een menselijk verificatiemechanisme dat door Google is aangemaakt en wordt onderhouden als een gratis webservice. WP Cerber ondersteunt reCAPTCHA voor WooCommerce- en WordPress-formulieren als antispamfunctie .

Waarom beschermt reCAPTCHA WordPress niet tegen bots en brute-force attacks?

Omdat WordPress drie autorisatiemethoden heeft die standaard zijn ingeschakeld. Dat betekent dat hackers toegang hebben tot drie ingangen op elke WordPress-website. De eerste wordt gebruikt wanneer u het gewone WordPress-aanmeldingsformulier gebruikt. Twee andere methoden zijn onzichtbaar voor u, maar staan bekend om hackers en gespecialiseerde software die hackers gebruiken. Hackers gebruiken ze om een website te onderzoeken en om een correct gebruikerswachtwoord te verkrijgen of om toegang te krijgen tot het WordPress Dashboard met beheerdersbevoegdheden.

Elk captcha-mechanisme, inclusief reCAPTCHA, kan WordPress tegen brute force aanvallen alleen beschermen tegen een gewoon inlogformulier. Andere twee WordPress-authenticatiemethoden zijn nog steeds onbeschermd. Bovendien is reCAPTCHA bedoeld om websites te beschermen tegen robots, omdat het een menselijk verificatiemechanisme is. Robots, geen hackers.

U moet geen plug-in gebruiken die reCAPTCHA toevoegt aan het aanmeldingsformulier van WordPress om de website te beschermen tegen brute force-aanvallen [/ ecko_alert]

Ik zie een overvloed aan plug-ins die aanbieden met behulp van reCAPTCHA om login-formulier te beschermen. Ik heb een vraag voor je: beschermen die plug-ins je website volledig, inclusief de volgende twee methoden? De WP Cerber-plugin doet dat.

  1. Op cookies gebaseerde autorisatie
  2. XML-RPC-autorisatie

Betekent dit dat reCAPTCHA nutteloos is?

Nee. reCAPTCHA kan met succes worden gebruikt als een mechanisme voor spampreventie voor registratieformulieren en formulieren voor wachtwoordherstel. Essentiële delen van WordPress moeten alleen worden beschermd met gespecialiseerde beveiligingsoplossingen. Installeer gewoon WP Cerber Security.

Hoe bescherm ik mijn website tegen spam?

Om WooCommerce- en WordPress-formulieren te beschermen, biedt Cerber Security twee opties

  1. Cerber antispam en botdetectiemotor, volg de instructie: Antispambescherming voor WordPress-formulieren
  2. Gebruik reCAPTCHA, volg de instructie: Hoe reCAPTCHA in te stellen .

Hoe reCAPTCHA te omzeilen

Is het mogelijk dat bots reCAPTCHA zonder mens kunnen oplossen? Klinkt ongelooflijk, maar op de een of andere manier. De methode is gebaseerd op het gebruik van voice captcha genaamd Audio Challenge en een van die online spraakherkenningsservices zoals Google Speech Recognition API . Een hacker neemt een audiobestand met spraak captcha gegenereerd door reCAPTCHA en herkent het vervolgens met een spraakherkenningsservice. Is het niet briljant?

Deze methode is al in 2012 ontdekt. Gelukkig is deze methode in reële omstandigheden niet bruikbaar – wanneer de Google-service meerdere pogingen identificeert om de captcha van hetzelfde IP-adres op te lossen, wordt de spraakinvoer veranderd in een complexere stem die niet kan worden geïdentificeerd met deze aanpak. Om deze methode met succes te gebruiken, moeten hackers dus veel IP-adressen gebruiken. Om te bereiken dat hackers een aanzienlijke hoeveelheid mobiele apparaten kunnen infecteren met kwaadaardige software. Maar er is een vraag. Is de mogelijkheid om spamcommentaar te posten of te registreren met een valse naam op een website het ergst? Het is gemakkelijker om mensen uit een arm land te huren om dat handmatig in bulk-modus te doen.

Wil meer weten? Abonneer u op Cerber's nieuwsbrief .

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments