WordPress security explained
WordPress security explained
Posted By Gregory

Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора

Использование reCAPTCHA для формы входа в WordPress является плохой практикой и не защищает WordPress от взлома ботами и хакерами.


English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks


Что такое reCAPTCHA?

ReCAPTCHA Google — это механизм проверки человеком, созданный и поддерживаемый Google как бесплатный веб-сервис. WP Cerber поддерживает reCAPTCHA для форм WooCommerce и WordPress в качестве функции защиты от спама .

Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора?

Это возможно, поскольку WordPress имеет три метода авторизации, которые включены по умолчанию. Это означает, что хакеры могут использовать три входа на любом веб-сайте на базе WordPress. Первый — использование формы входа в WordPress по умолчанию. Два других метода невидимы для вас, но известны хакерам и специализированному программному обеспечению, которое используют хакеры. Киберпреступники используют их для получения паролей пользователей и, как следствие, для получения доступа к панели управления WordPress с правами администратора.

Любой механизм на основе капчи, включая reCAPTCHA, может защитить WordPress от грубой атаки только на обычную форму входа. Два других метода аутентификации WordPress по-прежнему незащищены. Почему? Потому что reCAPTCHA разработана для защиты веб-сайтов от роботов с помощью механизма проверки человеком. Хакеры — не роботы, даже если они используют ботнеты. Вот почему reCAPTCHA не защищает веб-сайты от взлома.

Вы не должны использовать плагины, которые добавляют reCAPTCHA в форму входа в WordPress, чтобы защитить ваш сайт от атак методом перебора

Я вижу множество плагинов, которые предлагают использовать reCAPTCHA для защиты формы входа. У меня к вам вопрос: эти плагины полностью защищают ваш сайт, включая следующие два метода, как это делает WP Cerber.

  1. Авторизация на основе файлов cookie
  2. XML-RPC-авторизация

Означает ли это, что reCAPTCHA бесполезна?

Неа. reCAPTCHA можно успешно использовать в качестве механизма предотвращения спама для форм регистрации, контактов и сброса пароля. Жизненно важные части WordPress должны быть защищены только с помощью специализированного решения безопасности.

Как защитить свой сайт от спама?

Для защиты форм WooCommerce и WordPress WP Cerber Security предлагает два варианта.

  1. Механизм обнаружения спама и ботов Cerber, следуйте инструкциям: Защита от спама для форм WordPress.
  2. Используя reCAPTCHA, следуйте инструкции: Как настроить reCAPTCHA .

Как обойти reCAPTCHA

Возможно ли, что боты смогут решать reCAPTCHA без участия человека? Звучит невероятно, но они могут сделать это, используя интересный метод. Метод основан на использовании голосовой капчи под названием Audio Challenge и одного из онлайн-сервисов распознавания речи, например Google Speech Recognition API . Хакер берет аудиофайл с голосовой капчей, сгенерированный reCAPTCHA, и затем распознает его с помощью службы распознавания речи. Разве это не гениально?

Этот метод был открыт еще в 2012 году . К счастью, этот метод неприменим в реальных обстоятельствах — когда сервис Google обнаруживает несколько попыток разгадать капчу с одного и того же IP-адреса, голосовая капча меняется на более сложную голосовую, которую невозможно идентифицировать с помощью этого подхода. Таким образом, чтобы успешно использовать этот метод, хакерам приходится использовать множество IP-адресов. Для этого хакеры могут заразить значительное количество мобильных устройств вредоносным ПО. Но есть вопрос. Стоит ли оставлять спам-комментарии или регистрироваться на сайте под вымышленным именем? Проще нанять группу ребят из бедной страны, чтобы они делали это вручную в массовом режиме.

Хотите знать больше? Подпишитесь на рассылку новостей Cerber .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments