WordPress security explained
WordPress security explained

Dlaczego reCAPTCHA nie chronią przed robotami WordPress i ataki brute-force

Używanie reCAPTCHA do formularza logowania WordPress to zła praktyka i nie chroni WordPress przed włamaniem przez boty i hakerów


English version: Why does reCAPTCHA not protect WordPress against bots and brute-force attacks


Co to jest reCAPTCHA?

reCAPTCHA to ludzki mechanizm weryfikacji, który został stworzony i utrzymywany przez Google jako bezpłatna usługa internetowa. WP Cerber obsługuje reCAPTCHA dla formularzy WooCommerce i WordPress jako funkcję antyspamową .

Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami brute-force?

Ponieważ WordPress ma trzy metody autoryzacji, które domyślnie są włączone. Oznacza to, że hakerzy mają dostęp do trzech wejść na dowolnej stronie opartej na WordPressie. Pierwszy z nich jest używany, gdy używasz zwykłego formularza logowania WordPress. Dwie inne metody są dla Ciebie niewidoczne, ale znane są hakerom i specjalistycznemu oprogramowaniu, którego używają hakerzy. Hakerzy wykorzystują je do sondowania strony internetowej i uzyskania prawidłowego hasła użytkownika lub uzyskania dostępu do pulpitu nawigacyjnego WordPress z uprawnieniami administratora.

Każdy mechanizm oparty na captcha, w tym reCAPTCHA, może chronić WordPress przed atakiem brute-force tylko na zwykły formularz logowania. Inne dwie metody uwierzytelniania WordPress są nadal niezabezpieczone. Ponadto reCAPTCHA ma na celu ochronę stron internetowych przed robotami, ponieważ jest to ludzki mechanizm weryfikacji. Roboty, nie hakerzy.

Nie możesz używać żadnej wtyczki, która dodaje reCAPTCHA do formularza logowania WordPress, aby chronić stronę przed atakami brute force [/ ecko_alert]

Widzę mnóstwo wtyczek, które oferują używanie reCAPTCHA do ochrony formularza logowania. Mam do ciebie pytanie: czy te wtyczki całkowicie chronią Twoją witrynę, w tym dwie następujące metody? Wtyczka WP Cerber tak.

  1. Autoryzacja oparta na plikach cookie
  2. Autoryzacja XML-RPC

Czy to oznacza, że reCAPTCHA jest bezużyteczny?

Nie. reCAPTCHA może być z powodzeniem wykorzystany jako mechanizm zapobiegania spamowi dla formularzy rejestracyjnych i formularzy resetowania hasła. Istotne części WordPress muszą być chronione tylko za pomocą specjalistycznych rozwiązań bezpieczeństwa. Wystarczy zainstalować WP Cerber Security.

Jak chronić moją stronę przed spamem?

Aby chronić formularze WooCommerce i WordPress, Cerber Security oferuje dwie opcje

  1. Cerber antyspam i silnik wykrywania botów, postępuj zgodnie z instrukcją: Ochrona antyspamowa formularzy WordPress
  2. Korzystając z reCAPTCHA, postępuj zgodnie z instrukcjami: Jak skonfigurować reCAPTCHA .

Jak ominąć reCAPTCHA

Czy to możliwe, że boty mogą rozwiązać reCAPTCHA bez człowieka? Brzmi niewiarygodnie, ale mogą w jakiś sposób. Metoda opiera się na użyciu funkcji captcha głosowej o nazwie Audio Challenge i jednej z usług rozpoznawania mowy online, takich jak Google Speech Recognition API . Haker pobiera plik audio z dźwiękiem captcha wygenerowanym przez reCAPTCHA, a następnie rozpoznaje go za pomocą usługi rozpoznawania mowy. Czy to nie jest genialne?

Ta metoda została odkryta w 2012 roku . Na szczęście ta metoda nie jest wykorzystywana w rzeczywistych okolicznościach – gdy usługa Google identyfikuje wiele prób rozwiązania captcha z tego samego adresu IP, captcha głosowa jest zmieniana na bardziej złożony głos, którego nie można zidentyfikować za pomocą tego podejścia. Aby z powodzeniem korzystać z tej metody, hakerzy muszą używać wielu adresów IP. Aby to osiągnąć, hakerzy mogą zainfekować znaczną liczbę urządzeń mobilnych złośliwym oprogramowaniem. Ale jest pytanie. Czy najgorsza jest możliwość wysyłania komentarzy spamowych lub rejestrowania fałszywej nazwy na stronie internetowej? Łatwiej jest zatrudnić facetów z jakiegoś biednego kraju, aby zrobić to ręcznie w trybie masowym.

Chcieć wiedzieć więcej? Zapisz się do newslettera Cerbera .

Last posts from WordPress security blog


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Lee
Cancel Reply