WordPress security explained
WordPress security explained
Posted By Gregory

Waarom reCAPTCHA WordPress niet beschermt tegen bots en brute-force-aanvallen

Het gebruik van reCAPTCHA voor het WordPress-inlogformulier is een slechte gewoonte en beschermt WordPress niet tegen hacking door bots en hackers


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Wat is reCAPTCHA eigenlijk?

Google's reCAPTCHA is een menselijk verificatiemechanisme dat door Google is gemaakt en onderhouden als een gratis webservice. WP Cerber ondersteunt reCAPTCHA voor WooCommerce- en WordPress-formulieren als antispamfunctie .

Waarom beschermt reCAPTCHA WordPress niet tegen bots en brute-force-aanvallen?

Dit is mogelijk omdat WordPress drie autorisatiemethoden heeft die standaard zijn ingeschakeld. Dat betekent dat hackers drie ingangen op elke WordPress-website kunnen misbruiken. De eerste gebruikt het standaard WordPress-inlogformulier. Twee andere methoden zijn voor u onzichtbaar, maar wel bekend bij hackers en gespecialiseerde software die hackers gebruiken. Cybercriminelen gebruiken ze om wachtwoorden van gebruikers te achterhalen en zo toegang te krijgen tot het WordPress Dashboard met beheerdersrechten.

Elk captcha-gebaseerd mechanisme, inclusief reCAPTCHA, kan WordPress alleen beschermen tegen een brute-force aanval op een gewoon inlogformulier. De andere twee WordPress-authenticatiemethoden zijn nog steeds onbeschermd. Waarom? Omdat reCAPTCHA is ontwikkeld om websites te beschermen tegen robots via een menselijk verificatiemechanisme. Hackers zijn geen robots, ook al gebruiken ze botnets. Daarom beschermt reCAPTCHA websites niet tegen hacking.

U mag geen plug-ins gebruiken die reCAPTCHA toevoegen aan het WordPress-inlogformulier om uw website te beschermen tegen brute force-aanvallen

Ik zie veel plug-ins die het gebruik van reCAPTCHA aanbieden om het inlogformulier te beschermen. Ik heb een vraag voor je: beschermen deze plug-ins je website volledig, inclusief de volgende twee methoden, zoals WP Cerber dat doet.

  1. Autorisatie op basis van cookies
  2. XML-RPC-autorisatie

Betekent dit dat reCAPTCHA nutteloos is?

Nee. reCAPTCHA kan met succes worden gebruikt als spampreventiemechanisme voor registratie-, contact- en wachtwoordresetformulieren. Essentiële delen van WordPress mogen alleen worden beschermd met een gespecialiseerde beveiligingsoplossing.

Hoe bescherm ik mijn website tegen spam?

Om WooCommerce- en WordPress-formulieren te beschermen, biedt WP Cerber Security twee opties

  1. Cerber antispam- en botdetectie-engine, volg de instructie: Antispambescherming voor WordPress-formulieren
  2. Gebruik reCAPTCHA en volg de instructie: Hoe reCAPTCHA in te stellen .

Hoe reCAPTCHA te omzeilen

Is het mogelijk dat bots reCAPTCHA kunnen oplossen zonder een mens? Klinkt ongelooflijk, maar ze kunnen dat doen door een interessante methode te gebruiken. De methode is gebaseerd op het gebruik van voice captcha genaamd Audio Challenge en een van die online spraakherkenningsdiensten zoals Google Speech Recognition API . Een hacker neemt een audiobestand met spraakcaptcha gegenereerd door reCAPTCHA en herkent dit vervolgens met een spraakherkenningsservice. Is het niet briljant?

Deze methode is al in 2012 ontdekt. Gelukkig is deze methode in reële omstandigheden niet bruikbaar: wanneer de Google-service meerdere pogingen identificeert om de captcha vanaf hetzelfde IP-adres op te lossen, wordt de voice captcha veranderd in een complexere stem die met deze aanpak niet kan worden geïdentificeerd. Om deze methode succesvol te kunnen gebruiken, moeten hackers dus veel IP-adressen gebruiken. Om dat te bereiken kunnen hackers een aanzienlijk aantal mobiele apparaten infecteren met kwaadaardige software. Maar er is een vraag. Is de mogelijkheid om spamopmerkingen te plaatsen of zich met een valse naam op een website te registreren de moeite waard? Het is gemakkelijker om een stel jongens uit een arm land in te huren om dat handmatig in bulk te doen.

Wil meer weten? Abonneer u op de nieuwsbrief van Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply