Por que o reCAPTCHA não protege o WordPress contra bots e ataques de força bruta?

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Afinal, o que é o reCAPTCHA?

O reCAPTCHA do Google é um mecanismo de verificação humana criado e mantido pelo Google como um serviço web gratuito. O WP Cerber oferece suporte ao reCAPTCHA para formulários do WooCommerce e WordPress como um recurso anti-spam .

Por que o reCAPTCHA não protege o WordPress contra bots e ataques de força bruta?

Isso é possível porque o WordPress possui três métodos de autenticação habilitados por padrão. Isso significa que hackers podem explorar três brechas em qualquer site WordPress. A primeira é o formulário de login padrão do WordPress. Os outros dois métodos são invisíveis para você, mas conhecidos pelos hackers e pelos softwares especializados que eles utilizam. Criminosos cibernéticos os usam para obter senhas de usuários e, consequentemente, acessar o painel do WordPress com privilégios de administrador.

Qualquer mecanismo baseado em captcha, incluindo o reCAPTCHA, pode proteger o WordPress contra um ataque de força bruta apenas em um formulário de login comum. Os outros dois métodos de autenticação do WordPress permanecem desprotegidos. Por quê? Porque o reCAPTCHA foi desenvolvido para proteger sites de robôs por meio de um mecanismo de verificação humana. Hackers não são robôs, mesmo que usem botnets. É por isso que o reCAPTCHA não protege sites contra ataques.

Vejo muitos plugins que oferecem o uso do reCAPTCHA para proteger formulários de login. Tenho uma pergunta: esses plugins protegem completamente o site, incluindo os dois métodos a seguir, como faz o WP Cerber?

1. Autorização baseada em cookies
2. Autorização XML-RPC

Isso significa que o reCAPTCHA é inútil?

Não. O reCAPTCHA pode ser usado com sucesso como mecanismo de prevenção de spam em formulários de cadastro, contato e redefinição de senha. Somente partes vitais do WordPress devem ser protegidas com uma solução de segurança especializada.

Como posso proteger meu site contra spam?

Para proteger os formulários do WooCommerce e do WordPress, o WP Cerber Security oferece duas opções.

1. O Cerber é um mecanismo antispam e de detecção de bots. Siga as instruções: Proteção antispam para formulários do WordPress.
2. Para usar o reCAPTCHA, siga as instruções em: Como configurar o reCAPTCHA .

Como contornar o reCAPTCHA

Será possível que bots consigam resolver o reCAPTCHA sem a intervenção de um humano? Parece inacreditável, mas eles conseguem usando um método interessante. O método se baseia no uso de um CAPTCHA de voz chamado Desafio de Áudio e um serviço online de reconhecimento de fala, como a API de Reconhecimento de Fala do Google . Um hacker pega um arquivo de áudio com o CAPTCHA de voz gerado pelo reCAPTCHA e o reconhece com um serviço de reconhecimento de fala. Genial, não é?

Este método foi descoberto em 2012. Felizmente, ele não é explorável em situações reais – quando o serviço do Google identifica múltiplas tentativas de resolver o captcha a partir do mesmo endereço IP, o captcha de voz é alterado para uma voz mais complexa, impossível de ser identificada por essa abordagem. Portanto, para usar esse método com sucesso, os hackers precisam de muitos endereços IP. Para isso, eles podem infectar uma quantidade significativa de dispositivos móveis com software malicioso. Mas surge uma questão: vale a pena ter a capacidade de postar comentários de spam ou se cadastrar com um nome falso em um site? É mais fácil contratar um grupo de pessoas de um país pobre para fazer isso manualmente em massa.

Quer saber mais? Assine a newsletter da Cerber .