Por que o reCAPTCHA não protege o WordPress contra bots e ataques de força bruta
Usar o formulário de login do reCAPTCHA para WordPress é uma prática inadequada e não protege o WordPress de ser invadido por bots e hackers
English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks
Afinal, o que é reCAPTCHA?
O reCAPTCHA do Google é um mecanismo de verificação humana criado e mantido pelo Google como um serviço da web gratuito. WP Cerber oferece suporte a formulários reCAPTCHA para WooCommerce e WordPress como um recurso anti-spam .
Por que o reCAPTCHA não protege o WordPress contra bots e ataques de força bruta?
É possível porque o WordPress possui três métodos de autorização habilitados por padrão. Isso significa que os hackers podem explorar três entradas em qualquer site com WordPress. A primeira é usar o formulário de login padrão do WordPress. Dois outros métodos são invisíveis para você, mas conhecidos por hackers e software especializado que os hackers usam. Os cibercriminosos os utilizam para obter senhas de usuários e, consequentemente, para obter acesso ao Painel do WordPress com privilégios de administrador.
Qualquer mecanismo baseado em captcha, incluindo o reCAPTCHA, pode proteger o WordPress contra ataques de força bruta apenas em um formulário de login comum. Os outros dois métodos de autenticação do WordPress ainda estão desprotegidos. Por que? Porque o reCAPTCHA foi desenvolvido para proteger sites de robôs por meio de um mecanismo de verificação humano. Os hackers não são robôs, mesmo que usem botnets. É por isso que o reCAPTCHA não protege sites contra hackers.
Vejo muitos plug-ins que oferecem o uso do reCAPTCHA para proteger o formulário de login. Tenho uma pergunta para você: esses plug-ins protegem completamente o seu site, incluindo os dois métodos a seguir, como o WP Cerber faz.
- Autorização baseada em cookies
- Autorização XML-RPC
Isso significa reCAPTCHA inútil?
Não. O reCAPTCHA pode ser usado com sucesso como um mecanismo de prevenção de spam para formulários de registro, contato e redefinição de senha. Partes vitais do WordPress devem ser protegidas apenas com uma solução de segurança especializada.
Como posso proteger meu site contra spam?
Para proteger os formulários WooCommerce e WordPress, WP Cerber Security oferece duas opções
- Mecanismo Cerber antispam e detecção de bot, siga as instruções: Proteção antispam para formulários WordPress
- Usando o reCAPTCHA, siga as instruções: Como configurar o reCAPTCHA .
Como ignorar o reCAPTCHA
É possível que os bots consigam resolver o reCAPTCHA sem um humano? Parece inacreditável, mas eles podem fazer isso usando um método interessante. O método é baseado no uso de captcha de voz chamado Audio Challenge e um daqueles serviços de reconhecimento de fala online como Google Speech Recognition API . Um hacker pega um arquivo de áudio com captcha de voz gerado pelo reCAPTCHA e o reconhece com um serviço de reconhecimento de fala. Não é brilhante?
Este método foi descoberto em 2012 . Felizmente, este método não pode ser explorado em circunstâncias reais – quando o serviço Google identifica múltiplas tentativas de resolver o captcha a partir do mesmo endereço IP, o captcha de voz é alterado para uma voz mais complexa que não pode ser identificada utilizando esta abordagem. Portanto, para usar esse método com sucesso, os hackers precisam usar muitos endereços IP. Para conseguir isso, os hackers podem infectar uma quantidade significativa de dispositivos móveis com software malicioso. Mas há uma questão. Vale a pena postar comentários de spam ou registrar-se com um nome falso em um site? É mais fácil contratar um grupo de caras de um país pobre para fazer isso manualmente em massa.
Quer saber mais? Assine a newsletter da Cerber .
Lee ( )
Yea because recaptcha was designed to be an antivirus or antimalware for your website. As far as I can understand recaptcha is to stop bots from abusing contact forms, login pages, etc etc. I don’t understand why someone would think recaptcha is for actually keeping the whole wordpress site safe. Fail article…
Gregory ( )
reCAPTCHA has not been designed to be an antivirus or antimalware tool. reCAPTCHA works fine with ordinary HTML forms that intended for being used by humans. It doesn’t protect APIs or other computer to computer interfaces.