Por que o reCAPTCHA não protege o WordPress contra bots e ataques de força bruta

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Afinal, o que é reCAPTCHA?

O reCAPTCHA do Google é um mecanismo de verificação humana criado e mantido pelo Google como um serviço web gratuito. O WP Cerber oferece suporte ao reCAPTCHA para formulários WooCommerce e WordPress como um recurso antispam .

Por que o reCAPTCHA não protege o WordPress de bots e ataques de força bruta?

É possível porque o WordPress tem três métodos de autorização que são habilitados por padrão. Isso significa que os hackers podem explorar três entradas em qualquer site com WordPress. O primeiro é usar o formulário de login padrão do WordPress. Dois outros métodos são invisíveis para você, mas conhecidos por hackers e softwares especializados que os hackers usam. Os criminosos cibernéticos os usam para obter as senhas dos usuários e, consequentemente, para obter acesso ao Painel do WordPress com privilégios de administrador.

Qualquer mecanismo baseado em captcha, incluindo reCAPTCHA, pode proteger o WordPress contra um ataque de força bruta a um formulário de login comum apenas. Os outros dois métodos de autenticação do WordPress ainda estão desprotegidos. Por quê? Porque o reCAPTCHA é desenvolvido para proteger sites de robôs por meio de um mecanismo de verificação humana. Hackers não são robôs, mesmo que usem botnets. É por isso que o reCAPTCHA não protege sites de serem hackeados.

Vejo muitos plugins que oferecem o uso do reCAPTCHA para proteger o formulário de login. Tenho uma pergunta para você: esses plugins protegem seu site completamente, incluindo os dois métodos a seguir, como o WP Cerber faz?

1. Autorização baseada em cookies
2. Autorização XML-RPC

Isso significa que o reCAPTCHA é inútil?

Não. O reCAPTCHA pode ser usado com sucesso como um mecanismo de prevenção de spam para formulários de registro, contato e redefinição de senha. Partes vitais do WordPress devem ser protegidas apenas com uma solução de segurança especializada.

Como posso proteger meu site contra spam?

Para proteger os formulários WooCommerce e WordPress, o WP Cerber Security oferece duas opções

1. Mecanismo de detecção de antispam e bot Cerber, siga as instruções: Proteção antispam para formulários WordPress
2. Usando o reCAPTCHA, siga as instruções: Como configurar o reCAPTCHA .

Como ignorar o reCAPTCHA

É possível que bots consigam resolver o reCAPTCHA sem um humano? Parece inacreditável, mas eles conseguem fazer isso usando um método interessante. O método é baseado no uso de captcha de voz chamado Audio Challenge e um desses serviços de reconhecimento de fala online como o Google Speech Recognition API . Um hacker pega um arquivo de áudio com captcha de voz gerado pelo reCAPTCHA e então o reconhece com um serviço de reconhecimento de fala. Não é brilhante?

Este método foi descoberto em 2012. Felizmente, este método não é explorável em circunstâncias reais – quando o serviço do Google identifica múltiplas tentativas de resolver o captcha do mesmo endereço IP, o captcha de voz é alterado para uma voz mais complexa que não pode ser identificada usando esta abordagem. Então, para usar este método com sucesso, os hackers têm que usar muitos endereços IP. Para conseguir isso, os hackers podem infectar uma quantidade significativa de dispositivos móveis com software malicioso. Mas há uma questão. A capacidade de postar comentários de spam ou registrar-se com um nome falso em um site vale a pena? É mais fácil contratar um bando de caras de um país pobre para fazer isso manualmente em um modo em massa.

Quer saber mais? Assine a newsletter do Cerber .