WordPress security explained
WordPress security explained
Posted By Gregory

Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami typu brute-force

Używanie reCAPTCHA do formularza logowania do WordPressa jest złą praktyką i nie chroni WordPressa przed włamaniem przez boty i hakerów


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Czym w ogóle jest reCAPTCHA?

Usługa reCAPTCHA firmy Google to mechanizm weryfikacji dokonywany przez człowieka, stworzony i utrzymywany przez firmę Google jako bezpłatna usługa internetowa. WP Cerber obsługuje reCAPTCHA dla formularzy WooCommerce i WordPress jako funkcję antyspamową .

Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami typu brute-force?

Jest to możliwe, ponieważ WordPress ma domyślnie włączone trzy metody autoryzacji. Oznacza to, że hakerzy mogą wykorzystać trzy wejścia w dowolnej witrynie opartej na WordPressie. Pierwszy z nich wykorzystuje domyślny formularz logowania do WordPressa. Dwie inne metody są dla Ciebie niewidoczne, ale znane hakerom i specjalistycznemu oprogramowaniu, z którego korzystają hakerzy. Cyberprzestępcy wykorzystują je do zdobywania haseł użytkowników , a co za tym idzie, uzyskania dostępu do panelu WordPress z uprawnieniami administratora.

Każdy mechanizm oparty na captcha, w tym reCAPTCHA, może chronić WordPressa przed atakiem brute-force tylko na zwykły formularz logowania. Pozostałe dwie metody uwierzytelniania WordPress są nadal niezabezpieczone. Dlaczego? Ponieważ reCAPTCHA został opracowany w celu ochrony stron internetowych przed robotami poprzez mechanizm weryfikacji przez człowieka. Hakerzy nie są robotami, nawet jeśli korzystają z botnetów. Dlatego reCAPTCHA nie chroni stron internetowych przed włamaniami.

Nie wolno używać żadnej wtyczki dodającej reCAPTCHA do formularza logowania WordPress w celu ochrony Twojej witryny przed atakami typu brute-force

Widzę wiele wtyczek, które oferują użycie reCAPTCHA do ochrony formularza logowania. Mam do Ciebie pytanie: czy te wtyczki całkowicie chronią Twoją witrynę, włączając w to dwie poniższe metody, takie jak robi to WP Cerber.

  1. Autoryzacja oparta na plikach cookie
  2. Autoryzacja XML-RPC

Czy to oznacza, że reCAPTCHA jest bezużyteczny?

Nie. reCAPTCHA może być z powodzeniem stosowany jako mechanizm zapobiegania spamowi w formularzach rejestracyjnych, kontaktowych i resetowania hasła. Istotne części WordPressa należy chronić wyłącznie za pomocą specjalistycznego rozwiązania zabezpieczającego.

Jak chronić swoją witrynę przed spamem?

Aby chronić formularze WooCommerce i WordPress, WP Cerber Security oferuje dwie opcje

  1. Silnik antyspamowy Cerber i wykrywający boty, postępuj zgodnie z instrukcją: Ochrona antyspamowa dla formularzy WordPress
  2. Korzystając z reCAPTCHA postępuj zgodnie z instrukcją: Jak skonfigurować reCAPTCHA .

Jak ominąć reCAPTCHA

Czy to możliwe, że boty mogą rozwiązywać reCAPTCHA bez udziału człowieka? Brzmi niewiarygodnie, ale można to zrobić za pomocą ciekawej metody. Metoda opiera się na wykorzystaniu captcha głosowego o nazwie Audio Challenge i jednej z usług rozpoznawania mowy online, takich jak Google Speech Recognition API . Haker pobiera plik audio z funkcją captcha głosową wygenerowaną przez reCAPTCHA, a następnie rozpoznaje go za pomocą usługi rozpoznawania mowy. Czy to nie genialne?

Metodę tę odkryto w 2012 roku . Na szczęście tej metody nie da się zastosować w rzeczywistych okolicznościach – gdy usługa Google wykryje wielokrotne próby rozwiązania captcha z tego samego adresu IP, captcha głosowa zostaje zamieniona na bardziej złożony głos, którego nie można zidentyfikować przy użyciu tego podejścia. Aby więc skutecznie zastosować tę metodę, hakerzy muszą używać wielu adresów IP. Aby to osiągnąć, hakerzy mogą zainfekować znaczną liczbę urządzeń mobilnych złośliwym oprogramowaniem. Ale jest pytanie. Czy warto publikować spamowe komentarze lub rejestrować się na stronie internetowej pod fałszywym nazwiskiem? Łatwiej jest zatrudnić grupę facetów z biednego kraju, którzy zrobią to ręcznie w trybie masowym.

Chcieć wiedzieć więcej? Zapisz się na newsletter Cerbera .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Gregory
Cancel Reply