Waarom reCAPTCHA WordPress niet beschermt tegen bots en brute-force-aanvallen

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Wat is reCAPTCHA eigenlijk?

Google's reCAPTCHA is een menselijk verificatiemechanisme dat is gemaakt en onderhouden door Google als een gratis webservice. WP Cerber ondersteunt reCAPTCHA voor WooCommerce en WordPress-formulieren als een anti-spamfunctie .

Waarom beschermt reCAPTCHA WordPress niet tegen bots en brute-force-aanvallen?

Het is mogelijk omdat WordPress drie autorisatiemethoden heeft die standaard zijn ingeschakeld. Dat betekent dat hackers drie ingangen op elke WordPress-website kunnen misbruiken. De eerste is het standaard WordPress-inlogformulier. Twee andere methoden zijn voor u onzichtbaar, maar bekend bij hackers en gespecialiseerde software die hackers gebruiken. Cybercriminelen gebruiken ze om wachtwoorden van gebruikers te verkrijgen en vervolgens om toegang te krijgen tot het WordPress-dashboard met beheerdersrechten.

Elk captcha-gebaseerd mechanisme, inclusief reCAPTCHA, kan WordPress alleen beschermen tegen een brute-force-aanval op een gewoon inlogformulier. De andere twee WordPress-authenticatiemethoden zijn nog steeds onbeschermd. Waarom? Omdat reCAPTCHA is ontwikkeld om websites te beschermen tegen robots via een menselijk verificatiemechanisme. Hackers zijn geen robots, zelfs niet als ze botnets gebruiken. Daarom beschermt reCAPTCHA websites niet tegen hackers.

Ik zie genoeg plugins die reCAPTCHA aanbieden om het inlogformulier te beschermen. Ik heb een vraag voor je: beschermen die plugins je website volledig, inclusief de volgende twee methoden zoals WP Cerber dat doet.

1. Cookie-gebaseerde autorisatie
2. XML-RPC-autorisatie

Betekent dit dat reCAPTCHA nutteloos is?

Nee. reCAPTCHA kan succesvol worden gebruikt als spampreventiemechanisme voor registratie-, contact- en wachtwoordherstelformulieren. Essentiële onderdelen van WordPress moeten alleen worden beschermd met een gespecialiseerde beveiligingsoplossing.

Hoe bescherm ik mijn website tegen spam?

Om WooCommerce- en WordPress-formulieren te beschermen, biedt WP Cerber Security twee opties

1. Cerber antispam- en botdetectie-engine, volg de instructies: Antispambeveiliging voor WordPress-formulieren
2. Volg de instructies voor het gebruik van reCAPTCHA: Hoe stel ik reCAPTCHA in ?

Hoe reCAPTCHA te omzeilen

Is het mogelijk dat bots reCAPTCHA kunnen oplossen zonder een mens? Het klinkt ongeloofwaardig, maar ze kunnen dat doen met een interessante methode. De methode is gebaseerd op het gebruik van voice captcha genaamd Audio Challenge en een van die online spraakherkenningsservices zoals Google Speech Recognition API . Een hacker neemt een audiobestand met voice captcha gegenereerd door reCAPTCHA en herkent het vervolgens met een spraakherkenningsservice. Is het niet briljant?

Deze methode is in 2012 ontdekt. Gelukkig is deze methode in de praktijk niet te misbruiken: wanneer de Google-service meerdere pogingen identificeert om de captcha op te lossen vanaf hetzelfde IP-adres, wordt de stemcaptcha veranderd in een complexere stem die niet kan worden geïdentificeerd met deze aanpak. Om deze methode succesvol te gebruiken, moeten hackers dus veel IP-adressen gebruiken. Om dat te bereiken, kunnen hackers een aanzienlijk aantal mobiele apparaten infecteren met schadelijke software. Maar er is een vraag. Is het de moeite waard om spamcommentaren te plaatsen of je te registreren met een valse naam op een website? Het is gemakkelijker om een stel jongens uit een arm land in te huren om dat handmatig in bulk te doen.

Meer weten? Abonneer u op de Cerber-nieuwsbrief .