Waarom reCAPTCHA WordPress niet beschermt tegen bots en brute-force-aanvallen

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Wat is reCAPTCHA eigenlijk?

reCAPTCHA van Google is een mechanisme voor menselijke verificatie dat door Google is ontwikkeld en als gratis webdienst wordt aangeboden. WP Cerber ondersteunt reCAPTCHA voor WooCommerce- en WordPress-formulieren als antispamfunctie .

Waarom beschermt reCAPTCHA WordPress niet tegen bots en brute-force-aanvallen?

Dat is mogelijk omdat WordPress standaard drie authenticatiemethoden heeft ingeschakeld. Dat betekent dat hackers op elke WordPress-website via drie ingangen kunnen binnendringen. De eerste is het standaard inlogformulier van WordPress. De andere twee methoden zijn voor u onzichtbaar, maar wel bekend bij hackers en gespecialiseerde software die ze gebruiken. Cybercriminelen gebruiken deze methoden om wachtwoorden van gebruikers te bemachtigen en zo toegang te krijgen tot het WordPress-dashboard met beheerdersrechten.

Elk op captcha gebaseerd mechanisme, inclusief reCAPTCHA, kan WordPress alleen beschermen tegen een brute-force-aanval op een gewoon inlogformulier. De andere twee authenticatiemethoden van WordPress blijven onbeschermd. Waarom? Omdat reCAPTCHA is ontwikkeld om websites te beschermen tegen robots via een menselijke verificatie. Hackers zijn geen robots, zelfs niet als ze botnets gebruiken. Daarom beschermt reCAPTCHA websites niet tegen hacking.

Ik zie veel plugins die reCAPTCHA gebruiken om inlogformulieren te beveiligen. Ik heb een vraag voor jullie: bieden die plugins, net als WP Cerber, volledige bescherming tegen de volgende twee methoden?

1. Autorisatie op basis van cookies
2. XML-RPC-autorisatie

Betekent dit dat reCAPTCHA nutteloos is?

Nee. reCAPTCHA kan wel degelijk succesvol worden gebruikt als spampreventiemechanisme voor registratie-, contactformulieren en formulieren voor het opnieuw instellen van wachtwoorden. Essentiële onderdelen van WordPress moeten echter uitsluitend met een gespecialiseerde beveiligingsoplossing worden beschermd.

Hoe bescherm ik mijn website tegen spam?

Om WooCommerce- en WordPress-formulieren te beschermen, biedt WP Cerber Security twee opties.

1. Gebruik de Cerber antispam- en botdetectie-engine en volg de instructies: Antispambescherming voor WordPress-formulieren
2. Volg de instructies voor het instellen van reCAPTCHA: Hoe stel ik reCAPTCHA in ?

Hoe omzeil je reCAPTCHA?

Is het mogelijk dat bots reCAPTCHA kunnen oplossen zonder menselijke tussenkomst? Het klinkt ongelooflijk, maar het kan wel degelijk met een interessante methode. Deze methode is gebaseerd op een spraakcaptcha genaamd Audio Challenge en een online spraakherkenningsservice zoals de Google Speech Recognition API . Een hacker neemt een audiobestand met een spraakcaptcha gegenereerd door reCAPTCHA en herkent deze vervolgens met een spraakherkenningsservice. Geniaal, toch?

Deze methode werd al in 2012 ontdekt. Gelukkig is deze methode in de praktijk niet te misbruiken. Wanneer Google meerdere pogingen detecteert om de captcha vanaf hetzelfde IP-adres op te lossen, wordt de spraakcaptcha vervangen door een complexere stem die met deze methode niet te herkennen is. Om deze methode succesvol te gebruiken, moeten hackers dus een groot aantal IP-adressen gebruiken. Hiervoor kunnen ze een aanzienlijk aantal mobiele apparaten infecteren met schadelijke software. Maar de vraag blijft: is de mogelijkheid om spamreacties te plaatsen of je met een valse naam op een website te registreren het waard? Het is veel gemakkelijker om een groep mensen uit een arm land in te huren om dat handmatig en in bulk te doen.

Wil je meer weten? Abonneer je dan op de nieuwsbrief van Cerber .