Почему reCAPTCHA не защищает WordPress от ботов и атак методом подбора паролей

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Что такое reCAPTCHA?

reCAPTCHA от Google — это механизм проверки человеком, созданный и поддерживаемый Google как бесплатный веб-сервис. WP Cerber поддерживает reCAPTCHA для форм WooCommerce и WordPress в качестве функции защиты от спама .

Почему reCAPTCHA не защищает WordPress от ботов и атак методом подбора паролей?

Это возможно, потому что WordPress имеет три метода авторизации, которые включены по умолчанию. Это означает, что хакеры могут использовать три входа на любом веб-сайте на базе WordPress. Первый из них — это использование формы входа WordPress по умолчанию. Два других метода невидимы для вас, но известны хакерам и специализированному программному обеспечению, которое они используют. Киберпреступники используют их для получения паролей пользователей и, следовательно, для получения доступа к панели инструментов WordPress с правами администратора.

Любой механизм на основе капчи, включая reCAPTCHA, может защитить WordPress от атаки методом подбора только на обычную форму входа. Два других метода аутентификации WordPress по-прежнему не защищены. Почему? Потому что reCAPTCHA разработан для защиты веб-сайтов от роботов с помощью механизма проверки человеком. Хакеры не роботы, даже если они используют ботнеты. Вот почему reCAPTCHA не защищает веб-сайты от взлома.

Я вижу много плагинов, которые предлагают использовать reCAPTCHA для защиты формы входа. У меня к вам вопрос: защищают ли эти плагины ваш сайт полностью, включая следующие два метода, как это делает WP Cerber.

1. Авторизация на основе cookie-файлов
2. XML-RPC авторизация

Означает ли это, что reCAPTCHA бесполезна?

Нет. reCAPTCHA можно успешно использовать как механизм предотвращения спама для форм регистрации, контактов и сброса пароля. Важнейшие части WordPress должны быть защищены только специализированным решением безопасности.

Как защитить свой сайт от спама?

Для защиты форм WooCommerce и WordPress WP Cerber Security предлагает два варианта

1. Антиспам и движок обнаружения ботов Cerber, следуйте инструкции: Защита от спама для форм WordPress
2. Используя reCAPTCHA, следуйте инструкции: Как настроить reCAPTCHA .

Как обойти reCAPTCHA

Возможно ли, что боты могут решить reCAPTCHA без человека? Звучит невероятно, но они могут сделать это, используя интересный метод. Метод основан на использовании голосовой капчи под названием Audio Challenge и одного из онлайн-сервисов распознавания речи, например, Google Speech Recognition API . Хакер берет аудиофайл с голосовой капчей, сгенерированной reCAPTCHA, а затем распознает его с помощью сервиса распознавания речи. Разве это не гениально?

Этот метод был обнаружен еще в 2012 году . К счастью, этот метод не может быть использован в реальных обстоятельствах — когда сервис Google идентифицирует несколько попыток решения капчи с одного и того же IP-адреса, голосовая капча изменяется на более сложный голос, который невозможно идентифицировать с помощью этого подхода. Таким образом, для успешного использования этого метода хакерам приходится использовать множество IP-адресов. Для этого хакеры могут заразить значительное количество мобильных устройств вредоносным ПО. Но есть вопрос. Стоит ли того возможность публиковать спам-комментарии или регистрироваться на сайте с поддельным именем? Проще нанять кучу ребят из бедной страны, чтобы они делали это вручную в массовом режиме.

Хотите узнать больше? Подпишитесь на рассылку новостей Cerber .