WordPress security explained
WordPress security explained

Por que reCAPTCHA não proteger WordPress contra bots e ataques de força bruta

Usar o reCAPTCHA para o formulário de login do WordPress é uma prática ruim e não protege o WordPress de ser invadido por bots e hackers


English version: Why does reCAPTCHA not protect WordPress against bots and brute-force attacks


O que é reCAPTCHA, afinal?

O reCAPTCHA é um mecanismo de verificação humana criado e mantido pelo Google como um serviço da Web gratuito. O WP Cerber suporta o reCAPTCHA para formulários WooCommerce e WordPress como recurso antispam .

Por que o reCAPTCHA não protege o WordPress de bots e ataques de força bruta?

Porque o WordPress possui três métodos de autorização que são habilitados por padrão. Isso significa que hackers têm acesso a três entradas em qualquer site com WordPress. O primeiro está sendo usado quando você está usando o formulário de login comum do WordPress. Dois outros métodos são invisíveis para você, mas conhecidos por hackers e softwares especializados que os hackers usam. Os hackers os usam para investigar um site e obter senha de usuário correta ou para obter acesso ao Painel do WordPress com privilégios de administrador.

Qualquer mecanismo baseado em captcha, incluindo o reCAPTCHA, pode proteger o WordPress contra ataques de força bruta apenas a um formulário de login comum. Outros dois métodos de autenticação do WordPress ainda estão desprotegidos. Além disso, o reCAPTCHA destina-se a proteger sites de robôs, pois é um mecanismo de verificação humana. Robôs, não hackers.

Você não deve usar nenhum plugin que adicione o reCAPTCHA ao formulário de login do WordPress para proteger o site de ataques de força bruta [/ ecko_alert]

Eu vejo muitos plugins que oferecem o uso de reCAPTCHA para proteger o formulário de login. Tenho uma pergunta para você: esses plug-ins protegem seu site completamente, incluindo os dois métodos a seguir? O plugin WP Cerber faz.

  1. Autorização baseada em cookies
  2. Autorização XML-RPC

Significa que o reCAPTCHA é inútil?

Não. O reCAPTCHA pode ser usado com sucesso como um mecanismo de prevenção de spam para formulários de registro e formulários de redefinição de senha. Partes vitais do WordPress devem ser protegidas apenas com soluções de segurança especializadas. Basta instalar o WP Cerber Security.

Como protejo meu site contra spam?

Para proteger os formulários WooCommerce e WordPress, a Cerber Security oferece duas opções

  1. Mecanismo de detecção de antispam e bot Cerber, siga as instruções: Proteção antispam para formulários WordPress
  2. Usando o reCAPTCHA, siga as instruções: Como configurar o reCAPTCHA .

Como ignorar o reCAPTCHA

É possível que os bots possam resolver o reCAPTCHA sem um humano? Soa inacreditável, mas eles podem de alguma forma. O método baseia-se no uso do captcha de voz chamado Audio Challenge e de um desses serviços de reconhecimento de fala on-line, como o Google Speech Recognition API . Um hacker pega um arquivo de áudio com captcha de voz gerado pelo reCAPTCHA e o reconhece com um serviço de reconhecimento de fala. Não é brilhante?

Este método foi descoberto em 2012 . Felizmente, esse método não é explorável em circunstâncias reais – quando o serviço do Google identifica várias tentativas de resolver o captcha a partir do mesmo endereço IP, o captcha de voz é transformado em uma voz mais complexa que não pode ser identificada com essa abordagem. Então, para usar esse método com sucesso, os hackers precisam usar muitos endereços IP. Para conseguir isso, os hackers podem infectar uma quantidade significativa de dispositivos móveis com software malicioso. Mas há uma pergunta. A capacidade de postar comentários de spam ou registrar com um nome falso em um site da web é pior? É mais fácil contratar caras de algum país pobre para fazer isso manualmente em um modo em massa.

Quer saber mais? Assine a newsletter da Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments