WordPress security explained
WordPress security explained
Posted By Gregory

Waarom reCAPTCHA WordPress niet beschermt tegen bots en brute-force aanvallen

Het gebruik van reCAPTCHA voor het aanmeldingsformulier van WordPress is een slechte gewoonte en beschermt WordPress niet tegen hackers van bots en hackers


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Wat is reCAPTCHA eigenlijk?

Google's reCAPTCHA is een menselijk verificatiemechanisme dat door Google is gemaakt en onderhouden als een gratis webservice. WP Cerber ondersteunt reCAPTCHA voor WooCommerce- en WordPress-formulieren als een antispamfunctie .

Waarom beschermt reCAPTCHA WordPress niet tegen bots en brute-force-aanvallen?

Het is mogelijk omdat WordPress drie autorisatiemethoden heeft die standaard zijn ingeschakeld. Dat betekent dat hackers drie ingangen op elke WordPress-website kunnen exploiteren. De eerste maakt gebruik van het standaard WordPress-inlogformulier. Twee andere methoden zijn voor u onzichtbaar, maar staan bekend om hackers en gespecialiseerde software die hackers gebruiken. Cybercriminelen gebruiken ze om wachtwoorden van gebruikers te verkrijgen en bijgevolg om met beheerdersrechten toegang te krijgen tot het WordPress Dashboard.

Elk captcha-gebaseerd mechanisme, inclusief reCAPTCHA, kan WordPress alleen beschermen tegen een brute-force aanval op een gewoon inlogformulier. De andere twee WordPress-verificatiemethoden zijn nog steeds onbeschermd. Waarom? Omdat reCAPTCHA is ontwikkeld om websites te beschermen tegen robots via een menselijk verificatiemechanisme. Hackers zijn geen robots, ook al gebruiken ze botnets. Daarom beschermt reCAPTCHA websites niet tegen hacking.

U mag geen plug-in gebruiken die reCAPTCHA toevoegt aan het aanmeldingsformulier van WordPress om uw website te beschermen tegen brute force-aanvallen [/ ecko_alert]

Ik zie veel plug-ins die het gebruik van reCAPTCHA aanbieden om het aanmeldingsformulier te beschermen. Ik heb een vraag voor je: beschermen die plug-ins je website volledig, inclusief de volgende twee methoden, zoals WP Cerber doet.

  1. Autorisatie op basis van cookies
  2. XML-RPC-autorisatie

Betekent dit dat reCAPTCHA nutteloos is?

Nee. reCAPTCHA kan met succes worden gebruikt als een spampreventiemechanisme voor registratie-, contact- en wachtwoordherstelformulieren. Essentiële onderdelen van WordPress moeten alleen worden beschermd met een gespecialiseerde beveiligingsoplossing.

Hoe bescherm ik mijn website tegen spam?

Om WooCommerce- en WordPress-formulieren te beschermen, biedt WP Cerber Security twee opties

  1. Cerber antispam- en botdetectie-engine, volg de instructies: Antispambeveiliging voor WordPress-formulieren
  2. Gebruik reCAPTCHA en volg de instructies: Hoe reCAPTCHA te installeren .

Hoe reCAPTCHA te omzeilen

Is het mogelijk dat bots reCAPTCHA kunnen oplossen zonder een mens? Klinkt ongelooflijk, maar ze kunnen dat doen door een interessante methode te gebruiken. De methode is gebaseerd op het gebruik van spraak-captcha genaamd Audio Challenge en een van die online spraakherkenningsservices zoals Google Speech Recognition API . Een hacker neemt een audiobestand met voice captcha gegenereerd door reCAPTCHA en herkent het vervolgens met een spraakherkenningsservice. Is het niet briljant?

Deze methode is al in 2012 ontdekt. Gelukkig kan deze methode in de praktijk niet worden misbruikt – wanneer de Google-service meerdere pogingen identificeert om de captcha met hetzelfde IP-adres op te lossen, wordt de spraak-captcha veranderd in een complexere stem die niet met deze benadering kan worden geïdentificeerd. Om deze methode succesvol te kunnen gebruiken, moeten hackers dus veel IP-adressen gebruiken. Om dat te bereiken, kunnen hackers een aanzienlijk aantal mobiele apparaten infecteren met kwaadaardige software. Maar er is een vraag. Is het de moeite waard om spamcommentaar te plaatsen of je met een valse naam te registreren op een website? Het is gemakkelijker om een stel jongens uit een arm land in te huren om dat handmatig in bulk te doen.

Wil meer weten? Abonneer u op de nieuwsbrief van Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply