WordPress security explained
WordPress security explained
Posted By Gregory

Por que o reCAPTCHA não protege o WordPress contra bots e ataques de força bruta

Usar o formulário de login do reCAPTCHA para WordPress é uma prática inadequada e não protege o WordPress de ser invadido por bots e hackers


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Afinal, o que é reCAPTCHA?

O reCAPTCHA do Google é um mecanismo de verificação humana criado e mantido pelo Google como um serviço da web gratuito. WP Cerber oferece suporte a formulários reCAPTCHA para WooCommerce e WordPress como um recurso anti-spam .

Por que o reCAPTCHA não protege o WordPress contra bots e ataques de força bruta?

É possível porque o WordPress possui três métodos de autorização habilitados por padrão. Isso significa que os hackers podem explorar três entradas em qualquer site com WordPress. A primeira é usar o formulário de login padrão do WordPress. Dois outros métodos são invisíveis para você, mas conhecidos por hackers e software especializado que os hackers usam. Os cibercriminosos os utilizam para obter senhas de usuários e, consequentemente, para obter acesso ao Painel do WordPress com privilégios de administrador.

Qualquer mecanismo baseado em captcha, incluindo o reCAPTCHA, pode proteger o WordPress contra ataques de força bruta apenas em um formulário de login comum. Os outros dois métodos de autenticação do WordPress ainda estão desprotegidos. Por que? Porque o reCAPTCHA foi desenvolvido para proteger sites de robôs por meio de um mecanismo de verificação humano. Os hackers não são robôs, mesmo que usem botnets. É por isso que o reCAPTCHA não protege sites contra hackers.

Você não deve usar nenhum plugin que adicione reCAPTCHA ao formulário de login do WordPress para proteger seu site contra ataques de força bruta

Vejo muitos plug-ins que oferecem o uso do reCAPTCHA para proteger o formulário de login. Tenho uma pergunta para você: esses plug-ins protegem completamente o seu site, incluindo os dois métodos a seguir, como o WP Cerber faz.

  1. Autorização baseada em cookies
  2. Autorização XML-RPC

Isso significa reCAPTCHA inútil?

Não. O reCAPTCHA pode ser usado com sucesso como um mecanismo de prevenção de spam para formulários de registro, contato e redefinição de senha. Partes vitais do WordPress devem ser protegidas apenas com uma solução de segurança especializada.

Como posso proteger meu site contra spam?

Para proteger os formulários WooCommerce e WordPress, WP Cerber Security oferece duas opções

  1. Mecanismo Cerber antispam e detecção de bot, siga as instruções: Proteção antispam para formulários WordPress
  2. Usando o reCAPTCHA, siga as instruções: Como configurar o reCAPTCHA .

Como ignorar o reCAPTCHA

É possível que os bots consigam resolver o reCAPTCHA sem um humano? Parece inacreditável, mas eles podem fazer isso usando um método interessante. O método é baseado no uso de captcha de voz chamado Audio Challenge e um daqueles serviços de reconhecimento de fala online como Google Speech Recognition API . Um hacker pega um arquivo de áudio com captcha de voz gerado pelo reCAPTCHA e o reconhece com um serviço de reconhecimento de fala. Não é brilhante?

Este método foi descoberto em 2012 . Felizmente, este método não pode ser explorado em circunstâncias reais – quando o serviço Google identifica múltiplas tentativas de resolver o captcha a partir do mesmo endereço IP, o captcha de voz é alterado para uma voz mais complexa que não pode ser identificada utilizando esta abordagem. Portanto, para usar esse método com sucesso, os hackers precisam usar muitos endereços IP. Para conseguir isso, os hackers podem infectar uma quantidade significativa de dispositivos móveis com software malicioso. Mas há uma questão. Vale a pena postar comentários de spam ou registrar-se com um nome falso em um site? É mais fácil contratar um grupo de caras de um país pobre para fazer isso manualmente em massa.

Quer saber mais? Assine a newsletter da Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments