WordPress security explained
WordPress security explained
Posted By Gregory

Waarom reCAPTCHA WordPress niet beschermt tegen bots en brute force-aanvallen

Het gebruik van reCAPTCHA voor het inlogformulier van WordPress is een slechte gewoonte en beschermt WordPress niet tegen hacking door bots en hackers


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Wat is reCAPTCHA eigenlijk?

Google's reCAPTCHA is een menselijk verificatiemechanisme dat door Google is gemaakt en wordt onderhouden als een gratis webservice. WP Cerber ondersteunt reCAPTCHA voor WooCommerce en WordPress-formulieren als antispamfunctie .

Waarom beschermt reCAPTCHA WordPress niet tegen bots en brute force-aanvallen?

Het is mogelijk omdat WordPress drie autorisatiemethoden heeft die standaard zijn ingeschakeld. Dat betekent dat hackers drie ingangen kunnen misbruiken op elke door WordPress aangedreven website. De eerste gebruikt het standaard WordPress-inlogformulier. Twee andere methodes zijn voor jou onzichtbaar maar bekend bij hackers en gespecialiseerde software die hackers gebruiken. Cybercriminelen gebruiken ze om de wachtwoorden van gebruikers te achterhalen en daarmee toegang te krijgen tot het WordPress Dashboard met beheerdersrechten.

Elk op captcha gebaseerd mechanisme, inclusief reCAPTCHA, kan WordPress alleen beschermen tegen een brute-force-aanval op een gewoon inlogformulier. De andere twee WordPress-authenticatiemethoden zijn nog steeds onbeschermd. Waarom? Omdat reCAPTCHA is ontwikkeld om websites te beschermen tegen robots via een menselijk verificatiemechanisme. Hackers zijn geen robots, ook al gebruiken ze botnets. Daarom beschermt reCAPTCHA websites niet tegen hacking.

Je mag geen plug-in gebruiken die reCAPTCHA toevoegt aan het WordPress-inlogformulier om je website te beschermen tegen brute force-aanvallen

Ik zie veel plug-ins die aanbieden om reCAPTCHA te gebruiken om het inlogformulier te beschermen. Ik heb een vraag voor je: beschermen die plug-ins je website volledig, inclusief de volgende twee methoden zoals WP Cerber dat doet.

  1. Autorisatie op basis van cookies
  2. XML-RPC autorisatie

Betekent dit dat reCAPTCHA nutteloos is?

Nee. reCAPTCHA kan met succes worden gebruikt als spampreventiemechanisme voor registratie-, contact- en wachtwoordherstelformulieren. Vitale delen van WordPress mogen alleen worden beschermd met een gespecialiseerde beveiligingsoplossing.

Hoe bescherm ik mijn website tegen spam?

Om WooCommerce- en WordPress-formulieren te beschermen, biedt WP Cerber Security twee opties

  1. Cerber antispam- en botdetectie-engine, volg de instructie: Antispambeveiliging voor WordPress-formulieren
  2. Volg met behulp van reCAPTCHA de instructie: Hoe reCAPTCHA in te stellen .

Hoe reCAPTCHA te omzeilen

Is het mogelijk dat bots reCAPTCHA kunnen oplossen zonder een mens? Klinkt ongelooflijk, maar ze kunnen dat doen door een interessante methode te gebruiken. De methode is gebaseerd op het gebruik van spraakcaptcha genaamd Audio Challenge en een van die online spraakherkenningsservices zoals Google Speech Recognition API . Een hacker neemt een audiobestand met voice captcha gegenereerd door reCAPTCHA en herkent het vervolgens met een spraakherkenningsservice. Is het niet briljant?

Deze methode is in 2012 ontdekt. Gelukkig kan deze methode in reële omstandigheden niet worden misbruikt – wanneer de Google-service meerdere pogingen identificeert om de captcha van hetzelfde IP-adres op te lossen, wordt de stem-captcha gewijzigd in een complexere stem die met deze aanpak niet kan worden geïdentificeerd. Om deze methode met succes te gebruiken, moeten hackers dus veel IP-adressen gebruiken. Om te bereiken dat hackers een aanzienlijk aantal mobiele apparaten kunnen infecteren met kwaadaardige software. Maar er is een vraag. Is de mogelijkheid om spamcommentaar te plaatsen of zich te registreren met een valse naam op een website de moeite waard? Het is gemakkelijker om een stel jongens uit een arm land in te huren om dat handmatig in bulk te doen.

Wil meer weten? Abonneer u op de nieuwsbrief van Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments