W 2013 roku, Target stał się znany z kompromitacji danych dziesiątek milionów klientów w wydarzeniu, które obniżyło sprzedaż, spowodowało liczne pozwy, a nawet doprowadziło do rezygnacji dyrektora naczelnego.
Co się stało?
Hakerzy uzyskali dostęp do Target poprzez zewnętrznego dostawcę, który nie posiadał CAPTCHA ani żadnego rodzaju uwierzytelnienia, aby upewnić się, że to człowiek — a nie złośliwy bot — wprowadza dane do ich systemu.
Stąd nie zajęło dużo czasu, aby bot przeniknął do organizacji tego zewnętrznego dostawcy i przedostał się do sieci płatności dużego sprzedawcy detalicznego.
Jaka jest z tego nauka?
Jeśli złe podmioty chcą dostać się na Twoją stronę, CAPTCHA może być potężną pierwszą linią obrony i nawet przekonać ich, aby przejść do łatwiejszego celu (żart *wysoce* zamierzony).
Intryguje Cię ten koncept CAPTCHA?
W takim razie czytaj dalej, aby się dowiedzieć:
- Różnica między CAPTCHA a reCAPTCHA (i co oznaczają wszystkie te litery!)
- Podstawowe typy CAPTCHA stosowane obecnie
- Jak CAPTCHA może pomóc właścicielom stron internetowych unikać spamu i nadużyć
- Kilka wad, które warto rozważyć w przypadku CAPTCHA
- Dwa sposoby dodania Google reCAPTCHA do Twojej strony WordPress
Co to jest reCAPTCHA?
Przygotujcie się, ponieważ to będzie miało wiele warstw.
Zacznijmy od podstawowej definicji: „reCAPTCHA to usługa od Google, która pomaga chronić strony internetowe przed spamem i nadużyciami.”
reCAPTCHA od Google to popularna, markowa wersja CAPTCHA. Pierwotny pomysł CAPTCHA został wymyślony na Uniwersytecie Carnegie Mellon około roku 2000. reCAPTCHA także została stworzona przez programistów z tego samego uniwersytetu, a następnie zakupiona przez Google około roku 2009.
Teraz kolejna warstwa: Co tak naprawdę oznaczają wszystkie litery w słowie „CAPTCHA”?
Fraza CAPTCHA to skrót od „completely automated public Turing Test to tell computers and humans apart.”
A to wyjaśnienie prowadzi nas do ostatecznej, logicznej warstwy do odkrycia: Czym jest Test Turinga?
Jeśli jesteś jak my, Twoje główne źródło wiedzy o Teście Turinga pochodzi z filmu z 2014 roku The Imitation Game, w którym występuje matematyk i informatyk Alan Turing.
Alan Turing opracował Test Turinga (który pierwotnie nazwał grą imitacyjną — skromnie) aby odpowiedzieć na pytanie, „Czy maszyny mogą myśleć?”
Dzisiaj, Testy Turinga są głównie używane do rozróżnienia ludzi i botów poprzez testowanie zdolności bota do wykazywania takiego samego inteligentnego zachowania, jakie miałby człowiek. Boty, w tym przypadku, odnoszą się do zautomatyzowanych programów komputerowych, często napędzanych przez sztuczną inteligencję (AI).
Bot
Bot to program zaprojektowany do automatyzacji określonych zadań. Na przykład, wyszukiwarki używają botów do przeszukiwania sieci, podążając za linkami w celu mapowania i indeksowania nowych stron. Boty są również powszechne w złośliwym oprogramowaniu.
Czytaj więcejCAPTCHAs pomagają zapobiegać spamowi i nadużyciom na stronach internetowych, blokując boty za pomocą wyzwań, które dla nas ludzi są stosunkowo łatwe do rozwiązania i wykonania, ale często demaskują boty jako programy, którymi są.
Teraz, kiedy wiesz wystarczająco dużo, aby zdecydowanie napisać powieść na temat tła CAPTCHA, porozmawiajmy o wszystkich różnych sposobach, w jakie to pojęcie pojawia się w codziennym życiu.
Różne rodzaje CAPTCHA
CAPTCHAs rozwinęły się na przestrzeni lat w różne strony, aby lepiej rozróżniać ludzi od botów. Dzisiaj istnieje kilka popularnych typów CAPTCHAs, które wymagają różnych form rozumowania i wprowadzania danych.
CAPTCHA na bazie tekstu
CAPTCHA oparte na tekście pokazują znaki w dziwnych układach, używają nietypowych czcionek i kolorowych tła.
Te CAPTCHA wymagają rozumowania i tłumaczenia, aby rozszyfrować, czym ma być każda litera i cyfra — to inteligentne zadanie, z którym wiele zaprogramowanych botów nie może sobie poradzić.
CAPTCHA oparte na obrazach
Przy użyciu CAPTCHA opartej na obrazach, użytkownik witryny musi zidentyfikować, które wyświetlane zdjęcia odpowiadają podanemu poleceniu. Używając podobnie wyglądających zdjęć, które wymagają pewnego poziomu logiki do rozróżnienia, ta opcja może również przechytrzyć boty.
Testy reCAPTCHA Google korzystają z tej metody dość często — co ma sens, biorąc pod uwagę ich ogromne źródło zdjęć z Google Street View.
CAPTCHA oparte na audio
W CAPTCHA opartych na dźwięku, medium stanowi dźwięk. Ta metoda jest często łączona z innymi, takimi jak tekstowe i wizualne CAPTCHA.
Audio CAPTCHAs są nie tylko bardziej dostępne dla osób z zaburzeniami wzroku – są również skutecznym blokerem botów, ponieważ opierają się na tym, jak trudno jest odróżnić rzeczywiste słowa od szumów w tle.
CAPTCHA oparte na polach wyboru
Chociaż te CAPTCHA mogą wydawać się proste na pierwszy rzut oka, faktycznie oceniają one, jak użytkownicy witryny wchodzą w interakcję z polem wyboru.
Boty wypełniają formularze i zaznaczają pola wyboru natychmiastowo, podczas gdy ludzie przemierzają ten proces wolniej.
Ta metoda może być połączona z innymi CAPTCHAs, jeśli potrzebujesz jeszcze większej pewności, że użytkownik nie jest w rzeczywistości programem komputerowym przebiegle zamaskowanym jako człowiek w dresach, pijący Starbucks.
CAPTCHA oparte na zachowaniu
Rzecz w tym, że oprogramowanie stało się na tyle inteligentne, że wiele z powyższych CAPTCHA może być obecnie omijanych.
Dlatego najnowsza wersja reCAPTCHA — reCAPTCHA v3 od Google — zmieniła zasady gry dzięki metodzie CAPTCHA, która działa w tle.
reCAPTCHA v3 to przeważnie niewidoczna reCAPTCHA, która używa API JavaScript i silnika analizy ryzyka zasilanego uczeniem maszynowym, adaptującego się do oceny użytkowników na podstawie ich zachowania podczas interakcji ze stronami internetowymi.
Za kulisami, reCAPTCHA v3 przypisuje każdemu użytkownikowi wynik, który próbuje określić, czy jest on człowiekiem czy botem. Oczywiście w niektórych przypadkach, to monitorowanie może nie wystarczyć, aby powstrzymać naprawdę inteligentne boty.
Ponadto, w czasach kiedy wahadło przechodzi z powrotem w stronę prywatności w internecie, ta metoda może być kontrowersyjna, ponieważ monitoruje twoją aktywność na stronie, a jedynym ostrzeżeniem jest często mała odznaka reCAPTCHA.
To, o czym rozmawialiśmy tutaj, to tylko najczęściej spotykane CAPTCHAs. Inne rodzaje programów proszą użytkownika strony o przeciągnięcie obiektów w określone miejsce na ekranie, zagranie w „mikrogrę” i tak dalej. Sprawdź więcej przykładów CAPTCHA tutaj.
Przypadki użycia: Gdzie stosować CAPTCHA, aby zapobiec Spamowi
Oprogramowanie zautomatyzowane z wykorzystaniem SI ma wiele niezwykłych zastosowań, takich jak pomoc firmom w wykonywaniu monotonnych, powtarzalnych zadań, aby zaoszczędzić czas pracowników.
Jednakże wrogie podmioty z pewnością znalazły sposoby, aby wykorzystać tę technologię do atakowania stron internetowych.
Atak DDoS
DDoS oznacza Rozproszoną Odprawę Usługi. To atak, który próbuje uczynić system lub sieć niedostępnymi poprzez zalewanie ich ruchem z wielu źródeł.
Czytaj więcejOto kilka najlepszych przypadków użycia, gdzie stosowanie CAPTCHAs może chronić Twoją stronę przed spamem i nadużyciami.
Ankiety i Kwestionariusze
Firmy używają ankiet i kwestionariuszy z wielu powodów.
Zewnętrznie mogą pomóc w zbieraniu opinii i nowych pomysłów na produkty, usługi, marketing, branding, treści i wszystko inne związane z użytkownikiem.
Wewnętrznie, ankiety mogą pomóc zapewnić zadowolenie pracowników i zbierać informacje na temat nowych zasad i ofert.
Nie chciałbyś zniekształcić tych wyników zbyt dużą liczbą automatycznych, fałszywych odpowiedzi, prawda?
Cóż, boty na pewno mogą.
Logowania Użytkowników
Boty są często wykorzystywane, aby pomóc hakerom uzyskać dostęp do stron internetowych za pośrednictwem istniejących kont, które użytkownicy już założyli.
Zazwyczaj robią to za pomocą ataków siłowych, które używają oprogramowania do automatycznego zgadywania setek haseł w ciągu sekund.
Dlaczego chcieliby mieć dostęp do tych kont? Czasami dzieje się tak, że mogą kraść informacje z kont i używać ich do zhakowania innych właściwości w sieci. Hacking często zdarza się w sekwencyjnych wydarzeniach.
Inne razy, robią to, aby móc używać konta do publikowania materiałów promocyjnych lub innych informacji, za które wiedzą, że szybko zostaną zablokowani.
Sekcje Komentarzy
Prawdopodobnie widziałeś już wiele spamu pojawiającego się w sekcjach komentarzy na stronach internetowych i w mediach społecznościowych.
Boty są używane do masowego zostawiania komentarzy w celu rozpowszechniania reklam, określonego punktu widzenia (na przykład politycznego w okresie wyborczym) lub linków do podejrzanych źródeł, gdzie hakerzy czekają, aby ukraść informacje odwiedzających.
Formularze
Tak jak sekcje komentarzy, formularze, które nie są chronione za pomocą CAPTCHAs, mogą być zalewane fałszywymi zgłoszeniami od botów zaprogramowanych, aby próbować coś sprzedać, rozpowszechniać określoną narrację, a nawet wyłudzać wrażliwe dane.
Kasy
Istnieje kilka powodów, dla których hakerzy chcieliby skierować swoje boty na stronę płatności witryny.
Pierwszy jest oczywisty: kupowanie biletów lub innych zapasów w tempie, z którym ludzie nie mogą nadążyć. A potem prawdopodobnie odsprzedają je gdzie indziej za wyższe ceny. (Wcale nie jesteśmy zgorzkniali z powodu przegapienia biletów na Taylor Swift w ogóle…)
Po drugie, boty mogą wykorzystać niezabezpieczone procesy płatności do przeprowadzenia czegoś, co nazywa się testowaniem kart. Polega to na uruchamianiu automatycznych skryptów w systemie płatności w celu sprawdzenia, czy skradzione numery kart kredytowych są użyteczne, czy nie.
Wymagając rozwiązania CAPTCHA przed zakończeniem powyższych działań — twoja strona powinna być w stanie zidentyfikować i zablokować większość automatycznych nadużyć prowadzonych przez boty.
Atak Brute Force
Atak brute-force to cybernetyczny szturm, w którym napastnik używa metody prób i błędów, aby wedrzeć się na konto online. Zwykle jest przeprowadzany przez złośliwe Boty, które próbują zgadnąć hasła, ogólne dane logowania lub cyfrowe klucze.
Czytaj więcejPotencjalne wady używania CAPTCHA
Chociaż CAPTCHA ma swoje zalety, istnieją pewne wady, które należy wziąć pod uwagę podczas konfigurowania tego systemu na Twojej stronie:
- CAPTCHAs mogą uczynić Twoją stronę mniej dostępną dla osób z upośledzeniem słuchu i/lub wzroku lub dla tych, którzy nie znają języka, w którym są przedstawione CAPTCHA.
- CAPTCHAs mogą przerywać doświadczenia użytkownika, a jeśli są zbyt trudne, mogą nawet zapobiegać zaangażowaniu ludzkich użytkowników.
- CAPTCHAs nie są całkowicie niezawodne, więc właściciele stron internetowych nie powinni ulegać fałszywemu poczuciu bezpieczeństwa — wciąż musimy pozostać czujni na znaki Spam i ataków.
Ponadto, istnieją pewne elementy Google reCAPTCHA, o których właściciele stron internetowych powinni wiedzieć:
- reCAPTCHA v3 może być inwazyjne dla użytkowników, ponieważ monitoruje zachowanie na całej stronie, aby działać, co może sprawić, że osoby dbające o prywatność unikną korzystania z Twojej strony.
- Model biznesowy Google polega na używaniu lub sprzedaży danych do celów reklamowych, co może odstraszać właścicieli stron internetowych (i użytkowników), którzy nie chcą, aby ich zachowania lub dane były monetyzowane.
- reCAPTCHA wykorzystuje pracę użytkowników poprzez zbieranie danych z interakcji użytkowników do trenowania systemów identyfikacji wizualnej Google, co może być niewygodne dla niektórych osób.
- Google czasami jest blokowane w krajach takich jak Chiny, więc instalacja technologii Google może poważnie ograniczyć globalny zasięg strony internetowej.
Jak dodać reCAPTCHA do WordPressa za pomocą wtyczki (6 kroków)
Wstęp: CAPTCHA wszelkiego rodzaju może być dodana do stron internetowych wszelkiego typu.
Jednakże, ponieważ WordPress jest jedną z najpopularniejszych platform stron internetowych, a reCAPTCHA od Google jest potężna, bezpłatna (do miliona ocen) i bardzo popularna — skupimy się dzisiaj na ich integracji.
Teraz zabezpieczmy Twoją stronę.
Krok 1: Zarejestruj swoją stronę
Po pierwsze, zarejestruj swoją stronę WordPress w panelu administracyjnym reCAPTCHA Google. Aby zakończyć ten krok, musisz zalogować się lub utworzyć konto Google.
Podczas rejestracji wypełnisz informacje takie jak nazwa, którą chcesz nadać swojej stronie, który rodzaj weryfikacji reCAPTCHA chcesz użyć, itp.
Krok 2: Weź Swoje Klucze
Po złożeniu rejestracji, Google dostarczy zarówno klucz strony, jak i klucz tajny. Są one potrzebne, aby umożliwić komunikację między Google reCAPTCHA a Twoją stroną WordPress.
Skopiuj je, ponieważ wkrótce je wykorzystamy.
Krok 3: Zainstaluj plugin WordPress
Teraz zaloguj się do WordPress.
Jeśli jeszcze nie zainstalowałeś wtyczki reCAPTCHA, przejdź do Panel > Plugins > Dodaj Nową i wyszukaj „reCAPTCHA.” reCaptcha by BestWebSoft, CAPTCHA 4WP, oraz Formularz Kontaktowy 7 to wszystkie popularne opcje.
Po zainstalowaniu większość tych pluginów przeprowadzi Cię przez proces łączenia Twojej strony z Google reCAPTCHA. Kontynuujemy resztę tego samouczka, używając Contact Form 7 jako przykładu, jak łatwo można to zrobić.
Krok 4: Włącz reCAPTCHA
Z zainstalowanym Contact Form 7 przejdź do Kontakt > Integracja w WordPress. Znajdź pole integracji reCAPTCHA i rozpocznij proces konfiguracji.
Zostaniesz poproszony o wklejenie kluczy strony i tajnych kluczy, które właśnie otrzymałeś od Google. Po dodaniu tych kluczy i zapisaniu zmian, reCAPTCHA będzie aktywna na Twojej stronie.
Aby zapoznać się z instrukcjami konfiguracji Contact Form 7, zapoznaj się z naszym artykułem w Baza Wiedzy na temat rozwiązywania problemów z formularzami kontaktowymi WordPress.
Krok 5: Dodaj reCAPTCHA do formularza
Teraz, gdy funkcja reCAPTCHA jest włączona, musisz dodać ją do każdego formularza, który chcesz chronić przed zgłoszeniami przez boty.
Aby to zrobić, przejdź do Kontakt > Panel w WordPress i dodaj nowy formularz.
Tutaj, będziesz delikatnie edytować kod szablonu formularza, aby dodać reCAPTCHA.
Dodaj “[recaptcha]”
tuż przed linią “[submit “Submit”]”
. Po zapisaniu, powinieneś zobaczyć skrót pod tytułem formularza.
Krok 6: Opublikuj Swój Formularz reCAPTCHA na Swojej Stronie
Skopiuj ten shortcode, który właśnie utworzyłeś.
Teraz idź naprzód i wklej ten kod do postów, stron lub widżetów tekstowych, aby zainstalować nowy formularz wraz z reCAPTCHA!
Jak dodać reCAPTCHA do WordPressa ręcznie (4 kroki)
Jako alternatywa dla drogi przez plugin, możesz ręcznie dodać reCAPTCHA do dowolnego formularza na swojej stronie internetowej.
To wymaga nieco majsterkowania z kodem. Jeśli czujesz się nieswojo z takimi rzeczami jak tagi head i fragmenty JavaScript, to możesz czuć się najbardziej komfortowo, korzystając z opcji “od razu gotowej do użycia”.
Ale jeśli jesteś gotowy zabrać się do pracy, skonfigurowanie wszystkiego jest dość łatwe na skali od bardzo łatwego (uruchamianie nowej strony internetowej z DreamHost) do bardzo trudnego (rozwiązywanie problemu trzech ciał).
Zacznijmy.
Krok 1: Zarejestruj Swoją Stronę i Pobierz Swoje Klucze
Tak samo jak w przypadku ścieżki plugin, musisz zacząć od zarejestrowania się w reCAPTCHA na stronie Google.
Możesz to zrobić w dwóch szybkich krokach:
- Zarejestruj swoją stronę WordPress w panelu administracyjnym reCAPTCHA Google i wybierz typ reCAPTCHA.
- Skopiuj swój klucz strony i klucz tajny do przyszłego użytku.
Teraz wróćmy do omawianej strony. Istnieją trzy główne elementy, które sprawiają, że reCAPTCHA działa:
- Biblioteka JavaScript (API reCAPTCHA)
- Element formularza HTML
- Kod weryfikacji odpowiedzi
Rozpoczniemy od biblioteki JavaScript reCAPTCHA.
Krok 2: Dodaj bibliotekę JavaScript reCAPTCHA
Aby zacząć, musimy dodać bibliotekę JavaScript do Twojej strony internetowej. To mały fragment kodu, który musi zostać dodany do każdej strony, która będzie używać reCAPTCHA:
“<script src="https://www.google.com/recaptcha/api.js" async defer></script>”
Najłatwiejszym sposobem, aby upewnić się, że jest to dostępne na wszystkich potrzebnych stronach, jest dodanie tego do uniwersalnego nagłówka przed zamknięciem tagu “</head>”
.
Możesz to zrobić na dwa sposoby:
- Ręcznie, poprzez dostęp do header.php bezpośrednio w panelu administracyjnym WordPressa, lub menedżerze plików w twoim panelu hostingowym
- Korzystając z wtyczki, aby dodać kod do twojego nagłówka
Dodawanie kodu ręcznie
Jeśli wybierzesz pierwszą opcję, będziesz musiał użyć edytora plików motywu w WordPressie lub swojego menedżera plików, aby uzyskać bezpośredni dostęp do pliku header.php.
Ważna uwaga: Bezpośrednia edycja plików motywu może uszkodzić Twoją stronę, a wprowadzone zmiany mogą zostać nadpisane podczas aktualizacji motywu. Jeśli nie masz doświadczenia w bezpośredniej edycji plików motywu, przejdź do sekcji „Użycie wtyczki do dodania kodu” dla mniej ryzykownego rozwiązania.
Twój menedżer plików będzie wyglądał inaczej w zależności od hosta, ale jeśli korzystasz z DreamHost, przejdź do WordPress > Zarządzany WordPress w pasku bocznym. Znajdź domenę, do której chcesz dodać reCAPTCHA i wybierz Zarządzaj.
Następnie kliknij przycisk Zarządzaj Plikami w sekcji Szczegóły.
Otwórz folder, który ma nazwę Twojej domeny. Stamtąd przejdź do wp-content > themes i znajdź folder dla swojego obecnego motywu WordPress.
Znajdź plik o nazwie header.php, otwórz go i znajdź w kodzie zamykający tag <code>“</head>”</code>.
Skopiuj i wklej fragment kodu JavaScript reCAPTCHA tuż przed tą linią.
Używanie wtyczki do dodania kodu
Jeśli powyższe wydaje się zbyt skomplikowane, nie martw się. Mamy Cię w zasięgu ręki.
Zamiast tego możesz zainstalować wtyczkę WordPress, która automatycznie doda kod bezpośrednio do twojego nagłówka, bez potrzeby hakowania.
Korzystając z pluginu takiego jak WPCode, możesz łatwo dodać odpowiednie fragmenty kodu do kluczowych części motywu WordPress.
Ze swojego panelu administracyjnego WordPress, przejdź do Plugins > Add New i wyszukaj WPCode.
Klik Zainstaluj, a następnie Aktywuj.
Po aktywacji WPCode powinieneś zobaczyć nową sekcję w menu po lewej stronie o nazwie Code Snippets.
Przejdź do Fragmenty Kodu > Nagłówek & Stopka.
Wewnątrz strony Nagłówek & Stopka, wklej kod JavaScript do sekcji Nagłówek i zapisz zmiany.
Boom — kod dodany!
Krok 3: Dodaj reCAPTCHA do swojego formularza
Teraz dokonamy zmian w kodzie na właściwym formularzu, gdzie chcesz zobaczyć swoje reCAPTCHA.
Znowu, możesz użyć menedżera plików, edytora WordPress, lub nawet FTP. Powinien znajdować się wewnątrz folderu wp-content , który zawiera wszystkie twoje pluginy, motywy i media.
W kodzie formularza, wklej poniższy kod przed linią wysyłania, aby dodać reCAPTCHA:
“<div class="g-recaptcha" data-sitekey="your_site_key"></div>”
Oto przykład, jak to może wyglądać:
Zamień “your_site_key”
na klucz strony, który otrzymałeś od Google.
Krok 4: Obsługa Odpowiedzi
Być może najtrudniejszą częścią procesu jest dodanie kodu do obsługi odpowiedzi z reCAPTCHA. To w zasadzie informuje Twoją stronę, czy ma przetwarzać formularz, czy go zablokować.
Aby to skonfigurować, musisz dodać kolejny fragment kodu do formularza (funkcję zwrotną):
$secretKey = "your_secret_key";
$response = $_POST['g-recaptcha-response'];
$remoteIp = $_SERVER['REMOTE_ADDR'];
$url = "https://www.google.com/recaptcha/api/siteverify?secret=".$secretKey."&response=".$response."&remoteip=".$remoteIp;
$response = file_get_contents($url);
$responseKeys = json_decode($response,true);
if(intval($responseKeys["success"]) !== 1) {
// Obsługuj niepowodzenie walidacji reCAPTCHA
} else {
// Przetwarzaj przesłanie formularza
}”
W tym kodzie musisz zamienić “your_secret_key”
na sekretny klucz dostarczony przez Google.
To jest tylko jeden przykład implementacji, który pozwoliłby ci dostosować sposób obsługi zgłoszenia. Istnieje wiele innych metod obsługi walidacji po stronie serwera i funkcji zwrotnych.
Aby uzyskać więcej informacji na temat obsługi tej części procesu, zapoznaj się z oficjalną dokumentacją od Google.
Żegnaj Spam, Witaj Bezpieczeństwo
Chociaż musimy ponownie podkreślić, że reCAPTCHA i CAPTCHA to nie jest jedyny sposób na zabezpieczenie strony internetowej, są one kluczowym krokiem w pomaganiu Ci odpierać automatyczne boty i hakerów o złych zamiarach.
Aby uzyskać więcej wskazówek dotyczących zabezpieczania Twojej strony WordPress i nie tylko, śledź DreamHost blog. Zawsze publikujemy zasoby, które pomagają utrzymać Twoją stronę bezpieczną, szybką i online, dzięki czemu możesz zrobić wrażenie na odwiedzających stronę i wyszukiwarkach.
Ty Marzysz, My Kodujemy
Skorzystaj z ponad 20-letniego doświadczenia w kodowaniu, wybierając naszą usługę Rozwoju Stron Internetowych. Wystarczy, że powiesz nam, czego chcesz dla swojej strony — resztą zajmiemy się my.
Dowiedz się Więcej