Почему рекапчи не защищает WordPress от ботов и грубой силы нападения
Использование reCAPTCHA для WordPress формы входа в систему является плохой практикой и не защищает WordPress от взлома ботами и хакерами
English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks
Что такое reCAPTCHA?
reCAPTCHA – это механизм проверки личности, созданный и поддерживаемый Google как бесплатный веб-сервис. WP Cerber поддерживает функции reCAPTCHA для WooCommerce и WordPress как функцию защиты от спама .
Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора?
Потому что в WordPress есть три метода авторизации, которые включены по умолчанию. Это означает, что хакеры имеют доступ к трем входам на любом веб-сайте с поддержкой WordPress. Первый используется, когда вы используете обычную форму входа в WordPress. Два других метода невидимы для вас, но известны хакерами и специализированным программным обеспечением, которое используют хакеры. Хакеры используют их для исследования веб-сайта и получения правильного пароля пользователя или для доступа к панели управления WordPress с правами администратора.
Любой механизм на основе капчи, в том числе reCAPTCHA, может защитить WordPress от атаки методом перебора только с помощью обычной формы входа. Два других метода аутентификации WordPress по-прежнему не защищены. Кроме того, reCAPTCHA предназначена для защиты сайтов от роботов, потому что это механизм проверки человеком. Роботы, а не хакеры.
Вы не должны использовать плагин, который добавляет reCAPTCHA в форму входа в WordPress для защиты сайта от атак методом перебора [/ ecko_alert]
Я вижу множество плагинов, которые предлагают использовать reCAPTCHA для защиты формы входа. У меня вопрос к вам: эти плагины полностью защищают ваш сайт, включая следующие два метода? Плагин WP Cerber делает.
- Авторизация на основе файлов cookie
- XML-RPC авторизация
Значит ли это, что reCAPTCHA бесполезен?
Нету. reCAPTCHA может успешно использоваться как механизм предотвращения спама для регистрационных форм и форм сброса пароля. Жизненно важные части WordPress должны быть защищены только специализированными решениями безопасности. Просто установите WP Cerber Security.
Как мне защитить мой сайт от спама?
Для защиты форм WooCommerce и WordPress Cerber Security предлагает два варианта
- Cerber антиспам и механизм обнаружения ботов, следуйте инструкциям: Защита от спама для форм WordPress
- Используя reCAPTCHA, следуйте инструкциям: Как настроить reCAPTCHA .
Как обойти reCAPTCHA
Возможно ли, что боты могут решить reCAPTCHA без человека? Звучит невероятно, но они могут в некотором роде. Метод основан на использовании голосовой капчи, называемой Audio Challenge, и одной из таких онлайн-служб распознавания речи, как Google Speech Recognition API . Хакер берет аудиофайл с голосовой капчей, сгенерированной reCAPTCHA, а затем распознает его с помощью службы распознавания речи. Разве это не блестяще?
Этот метод был открыт еще в 2012 году . К счастью, этот метод не пригоден для использования в реальных условиях – когда служба Google выявляет несколько попыток решить капчу с одного и того же IP-адреса, голосовая капча изменяется на более сложный голос, который невозможно идентифицировать с помощью этого подхода. Итак, чтобы успешно использовать этот метод, хакеры должны использовать много IP-адресов. Для этого хакеры могут заразить вредоносное ПО значительное количество мобильных устройств. Но есть вопрос. Хуже ли способность публиковать спам-комментарии или регистрироваться с поддельным именем на веб-сайте? Проще нанять парней из бедной страны, чтобы сделать это вручную в массовом режиме.
Хотите узнать больше? Подпишитесь на рассылку Цербера .
Yea because recaptcha was designed to be an antivirus or antimalware for your website. As far as I can understand recaptcha is to stop bots from abusing contact forms, login pages, etc etc. I don’t understand why someone would think recaptcha is for actually keeping the whole wordpress site safe. Fail article…
reCAPTCHA has not been designed to be an antivirus or antimalware tool. reCAPTCHA works fine with ordinary HTML forms that intended for being used by humans. It doesn’t protect APIs or other computer to computer interfaces.