Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора паролей

English version: Why reCAPTCHA does not protect WordPress against bots and brute-force attacks

Что такое reCAPTCHA?

reCAPTCHA от Google — это механизм проверки личности, созданный и поддерживаемый Google как бесплатный веб-сервис. WP Cerber поддерживает reCAPTCHA для форм WooCommerce и WordPress в качестве функции защиты от спама .

Почему reCAPTCHA не защищает WordPress от ботов и атак методом перебора паролей?

Это возможно, потому что WordPress по умолчанию использует три метода авторизации. Это означает, что хакеры могут использовать три способа доступа к любому веб-сайту, работающему на WordPress. Первый — использование стандартной формы входа в WordPress. Два других метода невидимы для вас, но известны хакерам и специализированному программному обеспечению, которое они используют. Киберпреступники используют их для получения паролей пользователей и, следовательно, для получения доступа к панели управления WordPress с правами администратора.

Любой механизм на основе капчи, включая reCAPTCHA, может защитить WordPress от атаки методом перебора паролей только на обычную форму входа. Два других метода аутентификации WordPress остаются незащищенными. Почему? Потому что reCAPTCHA разработана для защиты веб-сайтов от роботов с помощью механизма проверки на человека. Хакеры — не роботы, даже если они используют ботнеты. Именно поэтому reCAPTCHA не защищает веб-сайты от взлома.

Я вижу множество плагинов, предлагающих использовать reCAPTCHA для защиты формы входа. У меня к вам вопрос: обеспечивают ли эти плагины полную защиту вашего сайта, включая следующие два метода, как это делает WP Cerber?

1. Авторизация на основе файлов cookie
2. Авторизация XML-RPC

Значит ли это, что reCAPTCHA бесполезна?

Нет. reCAPTCHA может успешно использоваться в качестве механизма защиты от спама для форм регистрации, обратной связи и сброса пароля. Важные части WordPress должны быть защищены только с помощью специализированного решения для обеспечения безопасности.

Как защитить свой сайт от спама?

Для защиты форм WooCommerce и WordPress компания WP Cerber Security предлагает два варианта.

1. Антиспамовый и бот-детектор Cerber, следуйте инструкциям: Защита от спама для форм WordPress
2. Чтобы настроить reCAPTCHA, следуйте инструкциям: Как это сделать .

Как обойти reCAPTCHA

Возможно ли, что боты смогут решить reCAPTCHA без участия человека? Звучит невероятно, но они могут это сделать, используя интересный метод. Метод основан на использовании голосовой капчи под названием Audio Challenge и одного из онлайн-сервисов распознавания речи, таких как Google Speech Recognition API . Хакер берет аудиофайл с голосовой капчей, сгенерированной reCAPTCHA, а затем распознает его с помощью сервиса распознавания речи. Разве это не гениально?

Этот метод был обнаружен ещё в 2012 году . К счастью, в реальных условиях его невозможно использовать в своих целях — когда сервис Google обнаруживает несколько попыток решения капчи с одного и того же IP-адреса, голосовая капча заменяется на более сложную, которую невозможно распознать таким способом. Таким образом, для успешного использования этого метода хакерам приходится использовать множество IP-адресов. Для этого они могут заразить значительное количество мобильных устройств вредоносным ПО. Но возникает вопрос: стоит ли это того, чтобы размещать спам-комментарии или регистрироваться на сайте под вымышленным именем? Проще нанять группу парней из бедной страны, чтобы они делали это вручную в массовом режиме.

Хотите узнать больше? Подпишитесь на новостную рассылку Cerber .