Почему рекапчи не защищает WordPress от ботов и грубой силы нападения

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Что такое reCAPTCHA?

reCAPTCHA – это механизм проверки личности, созданный и поддерживаемый Google как бесплатный веб-сервис. WP Cerber поддерживает функции reCAPTCHA для WooCommerce и WordPress как функцию защиты от спама .

Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора?

Потому что в WordPress есть три метода авторизации, которые включены по умолчанию. Это означает, что хакеры имеют доступ к трем входам на любом веб-сайте с поддержкой WordPress. Первый используется, когда вы используете обычную форму входа в WordPress. Два других метода невидимы для вас, но известны хакерами и специализированным программным обеспечением, которое используют хакеры. Хакеры используют их для исследования веб-сайта и получения правильного пароля пользователя или для доступа к панели управления WordPress с правами администратора.

Любой механизм на основе капчи, в том числе reCAPTCHA, может защитить WordPress от атаки методом перебора только с помощью обычной формы входа. Два других метода аутентификации WordPress по-прежнему не защищены. Кроме того, reCAPTCHA предназначена для защиты сайтов от роботов, потому что это механизм проверки человеком. Роботы, а не хакеры.

Я вижу множество плагинов, которые предлагают использовать reCAPTCHA для защиты формы входа. У меня вопрос к вам: эти плагины полностью защищают ваш сайт, включая следующие два метода? Плагин WP Cerber делает.

1. Авторизация на основе файлов cookie
2. XML-RPC авторизация

Значит ли это, что reCAPTCHA бесполезен?

Нету. reCAPTCHA может успешно использоваться как механизм предотвращения спама для регистрационных форм и форм сброса пароля. Жизненно важные части WordPress должны быть защищены только специализированными решениями безопасности. Просто установите WP Cerber Security.

Как мне защитить мой сайт от спама?

Для защиты форм WooCommerce и WordPress Cerber Security предлагает два варианта

1. Cerber антиспам и механизм обнаружения ботов, следуйте инструкциям: Защита от спама для форм WordPress
2. Используя reCAPTCHA, следуйте инструкциям: Как настроить reCAPTCHA .

Как обойти reCAPTCHA

Возможно ли, что боты могут решить reCAPTCHA без человека? Звучит невероятно, но они могут в некотором роде. Метод основан на использовании голосовой капчи, называемой Audio Challenge, и одной из таких онлайн-служб распознавания речи, как Google Speech Recognition API . Хакер берет аудиофайл с голосовой капчей, сгенерированной reCAPTCHA, а затем распознает его с помощью службы распознавания речи. Разве это не блестяще?

Этот метод был открыт еще в 2012 году . К счастью, этот метод не пригоден для использования в реальных условиях – когда служба Google выявляет несколько попыток решить капчу с одного и того же IP-адреса, голосовая капча изменяется на более сложный голос, который невозможно идентифицировать с помощью этого подхода. Итак, чтобы успешно использовать этот метод, хакеры должны использовать много IP-адресов. Для этого хакеры могут заразить вредоносное ПО значительное количество мобильных устройств. Но есть вопрос. Хуже ли способность публиковать спам-комментарии или регистрироваться с поддельным именем на веб-сайте? Проще нанять парней из бедной страны, чтобы сделать это вручную в массовом режиме.

Хотите узнать больше? Подпишитесь на рассылку Цербера .