Destaque do recurso iThemes Security Pro - reCAPTCHA

Nas postagens do Feature Spotlight, destacamos um recurso no iThemes Security Pro e compartilhamos um pouco sobre por que desenvolvemos o recurso, para quem se destina e como usá-lo.

Hoje vamos abordar o reCAPTCHA, uma ferramenta poderosa que o ajudará a vencer a batalha do seu site contra bots ruins.

O que é um bot?

Um bot é um software programado para realizar uma lista específica de tarefas. Os desenvolvedores criam um conjunto de instruções que um bot seguirá automaticamente, sem que o desenvolvedor precise dizer a eles para começar. Os bots realizarão tarefas repetitivas e mundanas muito mais rápido do que nós.

Vários bots estão continuamente rastreando seu site. Alguns desses bots são bons e fornecem um serviço valioso. Outros bots têm motivos mais nefastos. Vamos conversar um pouco sobre o que é um bot e os diferentes tipos de bots.

Os bons bots

Monitorando bots - iThemes Sync Pro Uptime Monitoring usa um bot para monitorar o tempo de atividade do seu site. O bot verifica seu site a cada 5 minutos para verificar se ele ainda está online. Se o seu site estiver fora do ar, o bot enviará um alerta para que você possa colocar o seu site online novamente.

Bots de auditoria - O site de auditoria do iThemes Sync Pro usa um bot do Google Lighthouse para verificar a qualidade de suas páginas da web. Outro excelente exemplo de um bot de auditoria é um verificador de linker quebrado que rastreará seu site à procura de links que o enviam para um local que não existe.

Feeder Bots - Um excelente exemplo de feeder bot é o reprodutor de podcast. O reprodutor de podcast usa um bot para monitorar os feeds RSS dos podcasts que você assina e avisa quando o seu podcast favorito lança um novo episódio.

Bots de mecanismo de pesquisa - um rastreador da web do Google é um exemplo de bot de mecanismo de pesquisa. Este tipo de bot rastreará seu site à procura de páginas novas ou modificadas e criará um índice do seu site. Assim que o Google ou outro mecanismo de pesquisa tiver um índice do seu site, eles poderão compartilhar suas páginas com as pessoas que usam o mecanismo de pesquisa.

Bots de segurança - O iThemes Security Pro Site Scan usa um bot para comparar a lista de seus plug-ins e temas instalados com nosso banco de dados de vulnerabilidades. Se você tiver um plugin ou tema instalado com uma vulnerabilidade conhecida, o bot aplicará automaticamente um patch, se houver um disponível.

Os Bad Bots

Content Scraping Bots - Esses bots são programados para baixar o conteúdo do seu site sem sua permissão. O bot pode duplicar o conteúdo para usar no site do invasor para melhorar seu SEO e roubar o tráfego do site.

Spambots - Spambots são irritantes. Eles vão bagunçar seus comentários com promessas de se tornar um milionário enquanto trabalha em casa na esperança de enviar seus visitantes a sites maliciosos.

Bots de força bruta - os bots de força bruta vasculham a internet em busca de logins do WordPress para atacar. Assim que esses bots chegarem a uma página de login, eles tentarão a forma mais simples de obter acesso a um site: tentando adivinhar nomes de usuário e senhas, repetidamente, até que tenham sucesso.

Como bloquear bots ruins sem bloquear bots bons: reCAPTCHA

O reCAPTCHA do Google ajuda a evitar que bots mal-intencionados se envolvam em atividades abusivas no seu site, como tentativa de invadir o seu site usando senhas comprometidas, postar spam ou até mesmo copiar o seu conteúdo.

Usuários legítimos, no entanto, serão capazes de fazer login, fazer compras, visualizar páginas ou criar contas. O reCAPTCHA usa técnicas avançadas de análise de risco para diferenciar humanos de bots.

Como usar o reCAPTCHA no iThemes Security Pro

Para começar a usar o Google reCAPTCHA, ative a opção na guia Bloqueios do menu Recursos. Depois de ativar o reCAPTCHA, clique na engrenagem de configurações.

A próxima etapa é selecionar qual versão do reCAPTCHA você deseja usar e gerar suas chaves a partir do administrador do Google.

Agora ative o reCAPTCHA em seu registro de usuário do WordPress, redefina a senha, o login e os comentários.

Por fim, defina o número de reCAPTCHAs com falha necessários para acionar um bloqueio com o Limite de erro de bloqueio.

Compreender as diferentes versões do reCAPTCHA

O iThemes Security Pro tem três versões diferentes do reCAPTCHA. Vamos conversar um pouco sobre como cada um deles protege seu site de bots ruins.

Versão 2

A caixa de seleção reCAPTCHA “Não sou um robô” exige que os usuários cliquem em uma caixa de seleção indicando que o usuário não é um robô. Isso irá passar o usuário imediatamente (sem CAPTCHA) ou desafiá-lo a validar se ele é humano ou não.

Você provavelmente já está familiarizado com a visão desse tipo de reCAPTCHA nos sites que usa. O desafio CAPTCHA normalmente será algo como selecionar todas as imagens de uma faixa de pedestres em uma grade de fotos.

Invisível

O emblema invisível do reCAPTCHA não exige que o usuário clique em uma caixa de seleção. Em vez disso, ele é chamado diretamente quando o usuário clica em um botão existente em seu site ou pode ser chamado por meio de uma chamada de API JavaScript.

O emblema reCAPTCHA é exibido no canto inferior direito de cada página usando o reCAPTCHA invisível.

Por padrão, apenas o tráfego mais suspeito será solicitado a resolver um CAPTCHA.

Versão 3 - Método preferido

O que é ótimo sobre o reCAPTCHA versão 3 é que ele ajuda a detectar o tráfego abusivo de bots em seu site sem qualquer interação do usuário. Em vez de mostrar um desafio CAPTCHA, o reCAPTCHA v3 monitora as diferentes solicitações feitas e retorna uma pontuação.

O emblema reCAPTCHA é exibido no canto inferior direito de cada página usando o reCAPTCHA v3.

A pontuação varia de 0,01 a 1. Quanto mais alta a pontuação retornada pelo reCAPTCHA, mais confiança ele terá de que a solicitação foi feita por humanos. Quanto mais baixa for a pontuação retornada pelo reCAPTCHA, mais confiante será de que um bot fez a solicitação.

O iThemes Security Pro permite definir um limite de bloqueio usando a pontuação reCAPTCHA. O Google recomenda usar 0,5 como padrão. Lembre-se de que você pode bloquear inadvertidamente usuários legítimos se definir o limite muito alto.

Digamos que você defina o limite de bloqueio como 1, o que significa que você deseja que o Google bloqueie qualquer coisa que não tenha 100% de certeza de que é humano. Agora, um de seus clientes envia uma solicitação de login ao seu site. E esse cliente usa um gerenciador de senhas para preencher automaticamente suas senhas e o reCAPTCHA atribui à solicitação de login uma pontuação de 0,7.

Portanto, mesmo que seu cliente não tenha usado o teclado para digitar suas credenciais, o Google tem certeza de que seu cliente é humano. Porém, seu cliente ainda ficará bloqueado porque você definiu um limite de 1.

Como integrar o seu plug-in com a segurança do iThemes reCAPTCHA

A integração do seu plugin com o iThemes Security é um processo simples. Veja como exibir e validar o reCAPTCHA.

O iThemes Security dispara o gancho itsec_recaptcha_api_ready quando é hora de os plug-ins configurarem suas integrações Recaptcha. Neste ponto, a iThemes Security já verificou se o administrador do site configurou seus tokens de acesso. Você também pode verificar se a API está disponível chamando ITSEC_Recaptcha_API::is_available() .

Confira nossa Central de Ajuda para obter instruções detalhadas sobre como integrar seu plug-in com o iThemes Security reCAPTCHA.

Empacotando

Existem bots bons e bots ruins. O reCAPTCHA bloqueia bots ruins do seu site sem atrapalhar os bots bons que fornecem valor.

Michael Moore

A cada semana, Michael elabora o Relatório de vulnerabilidade do WordPress para ajudar a manter seus sites seguros. Como Gerente de Produto da iThemes, ele nos ajuda a continuar melhorando a linha de produtos da iThemes. Ele é um nerd gigante e adora aprender sobre todas as coisas de tecnologia, antigas e novas. Você pode encontrar Michael saindo com sua esposa e filha, lendo ou ouvindo música quando não está trabalhando.