WordPress security explained
WordPress security explained

Почему рекапчи не защищает WordPress от ботов и грубой силы нападения

Использование reCAPTCHA для WordPress формы входа в систему является плохой практикой и не защищает WordPress от взлома ботами и хакерами


English version: Why does reCAPTCHA not protect WordPress against bots and brute-force attacks


Что такое reCAPTCHA?

reCAPTCHA – это механизм проверки личности, созданный и поддерживаемый Google как бесплатный веб-сервис. WP Cerber поддерживает функции reCAPTCHA для WooCommerce и WordPress как функцию защиты от спама .

Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора?

Потому что в WordPress есть три метода авторизации, которые включены по умолчанию. Это означает, что хакеры имеют доступ к трем входам на любом веб-сайте с поддержкой WordPress. Первый используется, когда вы используете обычную форму входа в WordPress. Два других метода невидимы для вас, но известны хакерами и специализированным программным обеспечением, которое используют хакеры. Хакеры используют их для исследования веб-сайта и получения правильного пароля пользователя или для доступа к панели управления WordPress с правами администратора.

Любой механизм на основе капчи, в том числе reCAPTCHA, может защитить WordPress от атаки методом перебора только с помощью обычной формы входа. Два других метода аутентификации WordPress по-прежнему не защищены. Кроме того, reCAPTCHA предназначена для защиты сайтов от роботов, потому что это механизм проверки человеком. Роботы, а не хакеры.

Вы не должны использовать плагин, который добавляет reCAPTCHA в форму входа в WordPress для защиты сайта от атак методом перебора [/ ecko_alert]

Я вижу множество плагинов, которые предлагают использовать reCAPTCHA для защиты формы входа. У меня вопрос к вам: эти плагины полностью защищают ваш сайт, включая следующие два метода? Плагин WP Cerber делает.

  1. Авторизация на основе файлов cookie
  2. XML-RPC авторизация

Значит ли это, что reCAPTCHA бесполезен?

Нету. reCAPTCHA может успешно использоваться как механизм предотвращения спама для регистрационных форм и форм сброса пароля. Жизненно важные части WordPress должны быть защищены только специализированными решениями безопасности. Просто установите WP Cerber Security.

Как мне защитить мой сайт от спама?

Для защиты форм WooCommerce и WordPress Cerber Security предлагает два варианта

  1. Cerber антиспам и механизм обнаружения ботов, следуйте инструкциям: Защита от спама для форм WordPress
  2. Используя reCAPTCHA, следуйте инструкциям: Как настроить reCAPTCHA .

Как обойти reCAPTCHA

Возможно ли, что боты могут решить reCAPTCHA без человека? Звучит невероятно, но они могут в некотором роде. Метод основан на использовании голосовой капчи, называемой Audio Challenge, и одной из таких онлайн-служб распознавания речи, как Google Speech Recognition API . Хакер берет аудиофайл с голосовой капчей, сгенерированной reCAPTCHA, а затем распознает его с помощью службы распознавания речи. Разве это не блестяще?

Этот метод был открыт еще в 2012 году . К счастью, этот метод не пригоден для использования в реальных условиях – когда служба Google выявляет несколько попыток решить капчу с одного и того же IP-адреса, голосовая капча изменяется на более сложный голос, который невозможно идентифицировать с помощью этого подхода. Итак, чтобы успешно использовать этот метод, хакеры должны использовать много IP-адресов. Для этого хакеры могут заразить вредоносное ПО значительное количество мобильных устройств. Но есть вопрос. Хуже ли способность публиковать спам-комментарии или регистрироваться с поддельным именем на веб-сайте? Проще нанять парней из бедной страны, чтобы сделать это вручную в массовом режиме.

Хотите узнать больше? Подпишитесь на рассылку Цербера .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments