Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора
Использование reCAPTCHA для формы входа в WordPress является плохой практикой и не защищает WordPress от взлома ботами и хакерами.
English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks
Что такое reCAPTCHA?
Google reCAPTCHA — это механизм проверки человеком, созданный и поддерживаемый Google как бесплатный веб-сервис. WP Cerber поддерживает reCAPTCHA для форм WooCommerce и WordPress в качестве функции защиты от спама .
Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора?
Это возможно, потому что WordPress имеет три метода авторизации, которые включены по умолчанию. Это означает, что хакеры могут использовать три входа на любом веб-сайте, работающем на WordPress. Первый использует стандартную форму входа в WordPress. Два других метода невидимы для вас, но известны хакерам и специализированному ПО, которое используют хакеры. Киберпреступники используют их для получения паролей пользователей и, следовательно, для доступа к панели управления WordPress с правами администратора.
Любой механизм на основе капчи, в том числе reCAPTCHA, может защитить WordPress от атаки грубой силы только на обычную форму входа. Два других метода аутентификации WordPress по-прежнему не защищены. Почему? Потому что reCAPTCHA разработана для защиты веб-сайтов от роботов с помощью механизма проверки человеком. Хакеры — не роботы, даже если они используют ботнеты. Вот почему reCAPTCHA не защищает веб-сайты от взлома.
Я вижу множество плагинов, которые предлагают использовать reCAPTCHA для защиты формы входа. У меня к вам вопрос: эти плагины полностью защищают ваш сайт, включая следующие два метода, как это делает WP Cerber.
- Авторизация на основе файлов cookie
- XML-RPC авторизация
Значит ли это, что reCAPTCHA бесполезна?
Неа. reCAPTCHA можно успешно использовать в качестве механизма защиты от спама для форм регистрации, контактов и сброса пароля. Жизненно важные части WordPress должны быть защищены только специализированным решением безопасности.
Как защитить свой сайт от спама?
Для защиты форм WooCommerce и WordPress WP Cerber Security предлагает два варианта.
- Механизм обнаружения спама и ботов Cerber, следуйте инструкции: Защита от спама для форм WordPress
- Используя reCAPTCHA, следуйте инструкции: Как настроить reCAPTCHA .
Как обойти reCAPTCHA
Возможно ли, чтобы боты могли решать reCAPTCHA без участия человека? Звучит невероятно, но они могут сделать это, используя интересный метод. Метод основан на использовании голосовой капчи под названием Audio Challenge и одного из таких онлайн-сервисов распознавания речи, как Google Speech Recognition API . Хакер берет аудиофайл с голосовой капчей, сгенерированный reCAPTCHA, и затем распознает его с помощью службы распознавания речи. Разве это не блестяще?
Этот метод был открыт еще в 2012 году . К счастью, в реальных условиях этот метод нельзя использовать — когда сервис Google фиксирует несколько попыток решения капчи с одного и того же IP-адреса, голосовая капча меняется на более сложный голос, который невозможно идентифицировать при таком подходе. Таким образом, чтобы успешно использовать этот метод, хакерам приходится использовать множество IP-адресов. Для этого хакеры могут заразить значительное количество мобильных устройств вредоносным ПО. Но есть вопрос. Стоит ли размещать спам-комментарии или регистрироваться на сайте под вымышленным именем? Легче нанять кучку парней из бедной страны, чтобы они делали это вручную в массовом режиме.
Хотите знать больше? Подпишитесь на рассылку Cerber .
Yea because recaptcha was designed to be an antivirus or antimalware for your website. As far as I can understand recaptcha is to stop bots from abusing contact forms, login pages, etc etc. I don’t understand why someone would think recaptcha is for actually keeping the whole wordpress site safe. Fail article…
reCAPTCHA has not been designed to be an antivirus or antimalware tool. reCAPTCHA works fine with ordinary HTML forms that intended for being used by humans. It doesn’t protect APIs or other computer to computer interfaces.