Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami siłowymi

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Czym właściwie jest reCAPTCHA?

reCAPTCHA firmy Google to ludzki mechanizm weryfikacji, który został stworzony i jest utrzymywany przez Google jako bezpłatna usługa internetowa. WP Cerber obsługuje reCAPTCHA dla formularzy WooCommerce i WordPress jako funkcję antyspamową .

Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami siłowymi?

Jest to możliwe, ponieważ WordPress ma trzy metody autoryzacji, które są domyślnie włączone. Oznacza to, że hakerzy mogą wykorzystać trzy wejścia na dowolnej stronie internetowej opartej na WordPressie. Pierwsza z nich to użycie domyślnego formularza logowania WordPress. Dwie inne metody są dla Ciebie niewidoczne, ale znane hakerom i specjalistycznemu oprogramowaniu, którego używają. Cyberprzestępcy wykorzystują je do uzyskania haseł użytkowników , a w konsekwencji do uzyskania dostępu do pulpitu WordPress z uprawnieniami administratora.

Każdy mechanizm oparty na captcha, w tym reCAPTCHA, może chronić WordPress przed atakiem brute-force tylko na zwykły formularz logowania. Pozostałe dwie metody uwierzytelniania WordPress są nadal niezabezpieczone. Dlaczego? Ponieważ reCAPTCHA została opracowana w celu ochrony witryn internetowych przed robotami za pomocą mechanizmu weryfikacji ludzkiej. Hakerzy nie są robotami, nawet jeśli używają botnetów. Dlatego reCAPTCHA nie chroni witryn internetowych przed hakowaniem.

Widzę mnóstwo wtyczek, które oferują użycie reCAPTCHA do ochrony formularza logowania. Mam do Ciebie pytanie: czy te wtyczki chronią Twoją stronę internetową całkowicie, w tym dwie poniższe metody, tak jak robi to WP Cerber.

1. Autoryzacja oparta na plikach cookie
2. Autoryzacja XML-RPC

Czy to oznacza, że reCAPTCHA jest bezużyteczna?

Nie. reCAPTCHA może być z powodzeniem używana jako mechanizm zapobiegający spamowi w formularzach rejestracyjnych, kontaktowych i resetowania hasła. Istotne części WordPressa muszą być chronione wyłącznie za pomocą specjalistycznego rozwiązania zabezpieczającego.

Jak chronić swoją witrynę przed spamem?

Aby chronić formularze WooCommerce i WordPress, WP Cerber Security oferuje dwie opcje

1. Silnik Cerber do wykrywania spamu i botów, postępuj zgodnie z instrukcją: Ochrona antyspamowa dla formularzy WordPress
2. Używając reCAPTCHA, postępuj zgodnie z instrukcją: Jak skonfigurować reCAPTCHA .

Jak ominąć reCAPTCHA

Czy możliwe jest, że boty mogą rozwiązać reCAPTCHA bez udziału człowieka? Brzmi niewiarygodnie, ale mogą to zrobić, korzystając z ciekawej metody. Metoda ta opiera się na użyciu captcha głosowego o nazwie Audio Challenge i jednej z tych internetowych usług rozpoznawania mowy, takich jak Google Speech Recognition API . Haker bierze plik audio z captcha głosowym wygenerowanym przez reCAPTCHA, a następnie rozpoznaje go za pomocą usługi rozpoznawania mowy. Czy to nie genialne?

Tę metodę odkryto już w 2012 roku . Na szczęście, ta metoda nie nadaje się do wykorzystania w rzeczywistych okolicznościach – gdy usługa Google identyfikuje wiele prób rozwiązania captcha z tego samego adresu IP, captcha głosowa jest zmieniana na bardziej złożony głos, którego nie można zidentyfikować za pomocą tego podejścia. Tak więc, aby skutecznie użyć tej metody, hakerzy muszą użyć wielu adresów IP. Aby to osiągnąć, hakerzy mogą zainfekować znaczną liczbę urządzeń mobilnych złośliwym oprogramowaniem. Ale jest pytanie. Czy możliwość publikowania komentarzy spamowych lub rejestrowania się pod fałszywym nazwiskiem na stronie internetowej jest tego warta? Łatwiej jest zatrudnić grupę facetów z biednego kraju, aby zrobili to ręcznie w trybie zbiorczym.

Chcesz wiedzieć więcej? Zapisz się do newslettera Cerbera .