Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami siłowymi

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Czym właściwie jest reCAPTCHA?

reCAPTCHA firmy Google to mechanizm weryfikacji oparty na doświadczeniu człowieka, stworzony i utrzymywany przez Google jako bezpłatna usługa internetowa. WP Cerber obsługuje reCAPTCHA w formularzach WooCommerce i WordPress jako funkcję antyspamową .

Dlaczego reCAPTCHA nie chroni WordPressa przed botami i atakami siłowymi?

Jest to możliwe, ponieważ WordPress ma trzy domyślnie włączone metody autoryzacji. Oznacza to, że hakerzy mogą wykorzystać trzy wejścia na dowolnej stronie opartej na WordPressie. Pierwsza z nich to użycie domyślnego formularza logowania WordPress. Dwie pozostałe metody są niewidoczne dla użytkownika, ale znane hakerom i specjalistycznemu oprogramowaniu, z którego korzystają. Cyberprzestępcy wykorzystują je do zdobywania haseł użytkowników , a tym samym do uzyskiwania dostępu do pulpitu WordPress z uprawnieniami administratora.

Każdy mechanizm oparty na captcha, w tym reCAPTCHA, może chronić WordPressa przed atakiem brute-force jedynie na zwykły formularz logowania. Pozostałe dwie metody uwierzytelniania WordPressa nadal nie są chronione. Dlaczego? Ponieważ reCAPTCHA została opracowana w celu ochrony stron internetowych przed robotami poprzez mechanizm weryfikacji ludzkiej. Hakerzy nie są robotami, nawet jeśli korzystają z botnetów. Dlatego reCAPTCHA nie chroni stron internetowych przed hakowaniem.

Widzę mnóstwo wtyczek oferujących reCAPTCHA do ochrony formularza logowania. Mam do Ciebie pytanie: czy te wtyczki chronią Twoją stronę całkowicie, w tym dwie poniższe metody, tak jak WP Cerber.

1. Autoryzacja oparta na plikach cookie
2. Autoryzacja XML-RPC

Czy to oznacza, że reCAPTCHA jest bezużyteczna?

Nie. reCAPTCHA może być skutecznie stosowana jako mechanizm zapobiegający spamowi w formularzach rejestracyjnych, kontaktowych i resetowania hasła. Kluczowe elementy WordPressa muszą być chronione wyłącznie za pomocą specjalistycznego rozwiązania zabezpieczającego.

Jak chronić swoją witrynę przed spamem?

Aby chronić formularze WooCommerce i WordPress, WP Cerber Security oferuje dwie opcje

1. Silnik Cerber do wykrywania spamu i botów, postępuj zgodnie z instrukcją: Ochrona antyspamowa dla formularzy WordPress
2. Używając reCAPTCHA, postępuj zgodnie z instrukcją: Jak skonfigurować reCAPTCHA .

Jak ominąć reCAPTCHA

Czy to możliwe, że boty potrafią rozwiązać reCAPTCHA bez udziału człowieka? Brzmi niewiarygodnie, ale potrafią to zrobić, stosując interesującą metodę. Metoda ta opiera się na wykorzystaniu captcha głosowego o nazwie Audio Challenge i jednej z internetowych usług rozpoznawania mowy, takiej jak Google Speech Recognition API . Haker pobiera plik audio z captcha głosowym wygenerowanym przez reCAPTCHA, a następnie rozpoznaje go za pomocą usługi rozpoznawania mowy. Czyż to nie genialne?

Tę metodę odkryto już w 2012 roku . Na szczęście, ta metoda nie nadaje się do wykorzystania w rzeczywistych okolicznościach – gdy usługa Google identyfikuje wiele prób rozwiązania captcha z tego samego adresu IP, captcha głosowa jest zmieniana na bardziej złożony głos, którego nie można zidentyfikować za pomocą tego podejścia. Tak więc, aby skutecznie użyć tej metody, hakerzy muszą użyć wielu adresów IP. Aby to osiągnąć, hakerzy mogą zainfekować znaczną liczbę urządzeń mobilnych złośliwym oprogramowaniem. Ale pojawia się pytanie. Czy możliwość publikowania spamu w komentarzach lub rejestrowania się pod fałszywym imieniem na stronie internetowej jest tego warta? Łatwiej jest zatrudnić grupę ludzi z biednego kraju, aby zrobili to ręcznie w trybie zbiorczym.

Chcesz wiedzieć więcej? Zapisz się do newslettera Cerbera .