Nel 2013, Target ha compromesso in modo ormai famoso i dati di decine di milioni di acquirenti in un evento che ha ridotto le vendite, portato a cause legali, e persino causato le dimissioni del CEO.
Cosa è successo?
I hacker hanno ottenuto accesso a Target tramite un fornitore terzo che non disponeva di un CAPTCHA o di alcun tipo di autenticazione per assicurarsi che fosse un umano — e non un bot dannoso — a entrare nel loro sistema.
Da lì, non ci è voluto molto perché il bot infiltrasse l’organizzazione di questo fornitore terzo e si facesse strada nella rete di pagamento del grande rivenditore.
Qual è la lezione qui?
Se i malintenzionati cercano un modo per entrare nel tuo sito web, un CAPTCHA può essere una potente prima linea di difesa, e persino convincerli a passare ad un obiettivo più facile (gioco di parole *molto* intenzionale).
Intrigato dal concetto di CAPTCHA?
Continua a leggere per scoprire:
- La differenza tra CAPTCHA e reCAPTCHA (e cosa significano tutte quelle lettere!)
- I tipi principali di CAPTCHA utilizzati oggi
- Come i CAPTCHA possono aiutare i proprietari di siti web a evitare spam e abusi
- Alcuni svantaggi da considerare con i CAPTCHA
- Due modi per aggiungere un Google reCAPTCHA al tuo sito WordPress
Che Cos’è reCAPTCHA?
Preparatevi gente, perché questa ha dei livelli.
Iniziamo con una definizione di base: “reCAPTCHA è un servizio di Google che aiuta a proteggere i siti web da spam e abusi.”
reCAPTCHA di Google è una versione popolare e di marca del CAPTCHA. L’idea originale del CAPTCHA è stata concepita alla Carnegie Mellon University intorno al 2000. reCAPTCHA è stato anche creato dagli sviluppatori della stessa università, poi acquistato da Google intorno al 2009.
Ora per il prossimo strato: Cosa significano realmente tutte le lettere in “CAPTCHA”?
La frase CAPTCHA è l’abbreviazione di “completely automated public Turing Test to tell computers and humans apart.”
E questa spiegazione ci porta a svelare un ultimo, logico strato: cos’è un Test di Turing?
Se sei come noi, la tua principale conoscenza del Test di Turing deriva dal film del 2014 The Imitation Game, che ha come protagonista il matematico e informatico Alan Turing.
Alan Turing ha sviluppato il Test di Turing (che originariamente chiamò il gioco dell’imitazione — modesto) per rispondere alla domanda, “Possono pensare le macchine?”
Oggi, i test di Turing sono principalmente utilizzati per distinguere gli umani dai bot, testando la capacità di un bot di mostrare lo stesso comportamento intelligente di un essere umano. I bot, in questo caso, si riferiscono a programmi software automatizzati, spesso alimentati da intelligenza artificiale (IA).
Bot
Un bot è un programma progettato per automatizzare compiti specifici. Ad esempio, i motori di ricerca utilizzano i bot per navigare sul web seguendo i link per mappare e indicizzare nuove pagine. I bot sono anche comuni nei malware.
Leggi di piùI CAPTCHA aiutano a prevenire lo spam e gli abusi sui siti web bloccando i bot con sfide che per noi umani sono relativamente facili da capire e superare, ma che spesso smascherano i bot per i programmi che sono.
Ora che sai abbastanza per decisamente scrivere un romanzo sullo sfondo del CAPTCHA, parliamo di tutti i modi diversi in cui vediamo apparire questo concetto nella vita di tutti i giorni.
Diversi Tipi di CAPTCHA
I CAPTCHA si sono evoluti in varie direzioni nel corso degli anni nel tentativo di distinguere tra umani e bot. Oggi, esistono diversi tipi comuni di CAPTCHA che richiedono diverse forme di ragionamento e input.
CAPTCHA Basati Su Testo
I CAPTCHA basati su testo mostrano caratteri in disposizioni insolite, utilizzando font particolari e su sfondi colorati.
Questi CAPTCHA richiedono ragionamento e traduzione per capire cosa debba essere ogni lettera e numero — un compito intelligente che molti bot pre-programmati non possono fare.
CAPTCHA Basati Su Immagini
Con un CAPTCHA basato su immagini, l’utente del sito web deve identificare quali foto visualizzate corrispondono al prompt fornito. Utilizzando foto che si assomigliano e che richiedono un certo livello di logica per essere distinte, questa opzione può anche ingannare i bot.
I test di reCAPTCHA di Google utilizzano questo metodo abbastanza spesso — il che ha senso, considerando la vasta fonte di foto provenienti da Google Street View.
CAPTCHA Basati Sull’Audio
Con i CAPTCHA basati sull’audio, il suono è il mezzo. Questo metodo è spesso abbinato ad altri, come i CAPTCHA testuali e visivi.
I CAPTCHA audio non sono solo più accessibili alle persone con deficit visivi – sono anche un potente blocca-bot poiché si basano sulla difficoltà di distinguere le parole reali dai rumori di fondo.
CAPTCHA Basati Su Checkbox
Sebbene questi CAPTCHA possano sembrare semplici in superficie, in realtà valutano come gli utenti interagiscono con la casella di controllo stessa.
I bot compilano moduli e completano caselle di spunta all’istante, mentre gli umani navigano attraverso questo processo più lentamente.
Questo metodo può essere combinato con altri CAPTCHA se desideri ulteriori garanzie che un utente non sia in realtà un programma software mascherato abilmente da un essere umano in tuta e che beve Starbucks.
CAPTCHA Basati Sul Comportamento
Il fatto è che il software è diventato così intelligente che molti dei CAPTCHA sopra menzionati possono essere aggirati oggigiorno.
Ecco perché l’ultima versione di reCAPTCHA — il reCAPTCHA v3 di Google — ha cambiato le regole del gioco con un metodo CAPTCHA che funziona in background.
reCAPTCHA v3 è un reCAPTCHA per lo più invisibile, che utilizza un’API JavaScript e un motore di analisi del rischio adattivo alimentato da apprendimento automatico per valutare gli utenti in base al loro comportamento mentre interagiscono con le tue pagine web.
Dietro le quinte, reCAPTCHA v3 assegna a ciascun utente un punteggio che tenta di stabilire se sono umani o bot. Naturalmente, in alcuni casi, questo monitoraggio potrebbe non essere sufficiente per fermare i bot davvero intelligenti.
Inoltre, in un’epoca in cui il pendolo sta tornando a oscillare verso la privacy su internet, questo metodo può essere controverso poiché monitora la tua attività sul sito, con l’unico avviso spesso rappresentato dal piccolo badge di reCAPTCHA.
Quello di cui abbiamo parlato qui sono solo i CAPTCHA più comuni. Altri tipi di programmi richiedono all’utente del sito di trascinare oggetti in un punto specifico dello schermo, giocare a un “microgioco” e così via. Scopri altri esempi di CAPTCHA qui.
Casi d’Uso: Dove Applicare i CAPTCHA per Prevenire lo Spam
Il software automatizzato alimentato da IA ha molte applicazioni straordinarie, come aiutare le aziende a completare compiti noiosi e ripetitivi per risparmiare tempo ai lavoratori.
Tuttavia, gli attori ostili hanno certamente trovato modi per usare questa tecnologia per attaccare siti web.
Attacco DDoS
DDoS significa Distributed Denial of Service. È un attacco che tenta di rendere un sistema o una rete non disponibile sommergendolo di traffico proveniente da molteplici fonti.
Leggi di piùEcco alcuni dei migliori casi d’uso, dove l’applicazione di CAPTCHA può proteggere il tuo sito da spam e abusi.
Sondaggi E Questionari
Le aziende utilizzano sondaggi e questionari per svariati motivi.
Esternamente, possono aiutarti a raccogliere feedback e nuove idee per prodotti, servizi, marketing, branding, contenuti e tutto ciò che riguarda l’interazione con l’utente.
All’interno, sondaggi e questionari possono aiutare a garantire la felicità dei dipendenti e raccogliere intuizioni su nuove politiche e offerte.
Non vorresti falsare quei risultati con un numero eccessivo di risposte automatiche e false, vero?
Beh, i bot certamente potrebbero.
Accessi Utente
I Bot sono spesso utilizzati per aiutare gli hacker ad accedere ai siti web attraverso account esistenti che gli utenti hanno già configurato.
Di solito, lo fanno tramite attacchi brute force che utilizzano software per indovinare automaticamente centinaia di password in pochi secondi.
Perché vorrebbero accedere a questi account? A volte è perché vogliono rubare informazioni dagli account e usarle per violare altre proprietà online. Il hacking avviene spesso in eventi sequenziali.
Altre volte, è così che possono usare l’account per pubblicare materiale promozionale o altre informazioni per le quali sanno che verranno rapidamente bloccati.
Sezioni Dei Commenti
Probabilmente hai visto molto spam apparire nelle sezioni dei commenti su siti web e social media.
I Bot vengono utilizzati per lasciare commenti in massa per diffondere pubblicità, un particolare punto di vista (come uno politico in periodo elettorale) o collegamenti a fonti maligne dove gli hacker attendono di rubare le informazioni dei visitatori.
Moduli
Proprio come le sezioni di commenti, i moduli che non sono protetti con CAPTCHA possono essere invasi da invii falsi da parte di bot programmati per cercare di venderti qualcosa, diffondere una narrativa specifica, o addirittura pescare dati sensibili.
Casse
Ci sono diverse ragioni per cui gli hacker vorrebbero indirizzare i loro bot sulla pagina di checkout di un sito web.
Il primo è ovvio: acquistare biglietti o altre scorte a una velocità che gli umani non possono eguagliare. E poi, probabilmente, rivenderli altrove a prezzi più alti. (Non siamo affatto amareggiati per aver perso i biglietti di Taylor Swift per niente…)
In secondo luogo, i bot possono utilizzare flussi di pagamento non protetti per eseguire quello che si chiama test delle carte. Si tratta di eseguire script automatizzati nel tuo sistema di pagamento per verificare se i numeri di carte di credito rubate sono utilizzabili o meno.
Richiedendo che i CAPTCHA vengano risolti prima di completare le azioni sopra citate — il tuo sito web dovrebbe essere in grado di identificare e bloccare la maggior parte degli abusi automatizzati effettuati dai bot.
Attacco Brute Force
Un attacco brute force è un assalto informatico in cui l’attaccante utilizza tentativi ripetuti per violare un account online. Viene tipicamente eseguito da bot maligni che tentano di indovinare le password, le credenziali di accesso generali o le chiavi digitali.
Leggi Di PiùSvantaggi Potenziali dell’Uso dei CAPTCHA
Anche se i CAPTCHA hanno chiaramente i loro vantaggi, ci sono alcuni svantaggi da considerare quando configuri questo sistema sul tuo sito web:
- I CAPTCHA possono rendere il tuo sito web meno accessibile per le persone con problemi di udito e/o di vista, o per coloro che non conoscono la lingua utilizzata dal tuo CAPTCHA.
- I CAPTCHA possono interrompere l’esperienza utente, e se sono troppo difficili, possono impedire l’interazione anche agli utenti umani.
- I CAPTCHA non sono completamente infallibili, quindi i proprietari dei siti web non dovrebbero lasciarsi cullare in un falso senso di sicurezza — abbiamo ancora bisogno di rimanere vigili per segni di spam e attacchi.
Inoltre, ci sono alcuni elementi del reCAPTCHA di Google in particolare che i proprietari di siti web dovrebbero conoscere:
- reCAPTCHA v3 può sembrare invadente per gli utenti perché monitora il comportamento su tutto il sito per funzionare, il che può spingere le persone attente alla privacy a evitare di usare il tuo sito.
- Il modello di business di Google è l’uso o la vendita di dati per la pubblicità, il che può scoraggiare i proprietari di siti web (e gli utenti) che non vogliono che il loro comportamento o i loro dati siano monetizzati.
- reCAPTCHA sfrutta il lavoro degli utenti raccogliendo dati dalle interazioni degli utenti per addestrare i sistemi di identificazione visiva di Google, cosa che può rendere alcune persone scomode.
- Google è talvolta bloccato in paesi come la Cina, quindi installare tecnologia Google può limitare notevolmente la portata globale di un sito web.
Come Aggiungere reCAPTCHA a WordPress tramite Plugin (6 Passaggi)
Prefazione: CAPTCHAs di ogni tipo possono essere aggiunti a siti web di ogni genere.
Tuttavia, poiché WordPress è una delle piattaforme di siti web più popolari e reCAPTCHA di Google è potente, gratuito (fino a un milione di valutazioni) e molto popolare — concentrarci su come integrare questi due è l’obiettivo di oggi.
Ora, proteggiamo il tuo sito.
Passo 1: Registra Il Tuo Sito
Prima di tutto, registra il tuo sito WordPress nel pannello di amministrazione reCAPTCHA di Google. Per completare questo passaggio, devi accedere o creare un account Google.
Durante la registrazione, compili informazioni come il nome che desideri dare al tuo sito web, quale tipo di verifica reCAPTCHA vuoi utilizzare, ecc.
Passo 2: Prendi Le Tue Chiavi
Una volta inviata la registrazione, Google fornirà sia una chiave del sito sia una chiave segreta. Queste sono il modo in cui il tuo Google reCAPTCHA comunicherà con il tuo sito WordPress.
Copiali, perché li utilizzeremo presto.
Passo 3: Installa Plugin WordPress
Ora, accedi a WordPress.
Se non hai già installato un plugin reCAPTCHA, vai alla Dashboard > Plugins > Add New e cerca “reCAPTCHA.” reCaptcha di BestWebSoft, CAPTCHA 4WP e Contact Form 7 sono tutte opzioni popolari.
Una volta installati, la maggior parte di questi plugin ti guiderà nel collegare il tuo sito web al tuo Google reCAPTCHA. Noi proseguiremo con il resto di questo tutorial utilizzando Contact Form 7 come esempio di quanto possa essere accessibile.
Passo 4: Attiva reCAPTCHA
Con Contact Form 7 installato, vai su Contact > Integration in WordPress. Trova il box di integrazione reCAPTCHA e inizia il processo di configurazione.
Ti sarà chiesto di incollare nel sito le chiavi segrete che hai appena ricevuto da Google. Una volta aggiunte e salvate le modifiche, reCAPTCHA sarà attivo sul tuo sito.
Per una guida alla configurazione di Contact Form 7, consulta il nostro articolo della Base di conoscenza su Risoluzione dei problemi dei form di contatto di WordPress.
Passo 5: Aggiungi reCAPTCHA a un Modulo
Ora che la tua funzionalità reCAPTCHA è attivata, dovrai aggiungerla a tutti i moduli che vuoi proteggere dalle sottomissioni dei bot.
Per farlo, vai su Contatti > Dashboard in WordPress e aggiungi un nuovo modulo.
Qui, andrai a modificare leggermente il codice del template del modulo per inserire un reCAPTCHA.
Aggiungi “[recaptcha]” proprio prima della riga “[submit “Invia”]”. Una volta salvato, dovresti vedere comparire uno shortcode sotto il titolo del modulo.
Passo 6: Pubblica Il Tuo Form reCAPTCHA Sul Tuo Sito Web
Copia quel codice breve che hai appena creato.
Ora, vai avanti e incolla quel codice in post, pagine o widget di testo per installare un nuovo modulo completo di reCAPTCHA!
Come Aggiungere reCAPTCHA a WordPress Manualmente (4 Passaggi)
Come alternativa al percorso dei plugin, puoi aggiungere manualmente un reCAPTCHA a qualsiasi modulo sul tuo sito web.
Questo richiederà un po’ di manipolazione del codice. Se sei schizzinoso con cose come i tag head e gli snippet JavaScript, allora potresti sentirti più a tuo agio attenendoti a un’opzione standard.
Ma se sei pronto a rimboccarti le maniche, configurare tutto è abbastanza semplice su una scala da molto facile (lanciare un nuovo sito web con DreamHost) a molto difficile (risolvere il problema dei tre corpi).
Entriamo nel dettaglio.
Fase 1: Registra il Tuo Sito e Prendi le Tue Chiavi
Proprio come con il percorso dei plugin, dovrai iniziare registrandoti a reCAPTCHA dal sito web di Google.
Puoi farlo in due rapidi passi:
- Registra il tuo sito WordPress nel pannello di amministrazione reCAPTCHA di Google e seleziona il tipo di reCAPTCHA.
- Copia sia la tua chiave del sito che la chiave segreta per un utilizzo futuro.
Ora, torniamo al sito in questione. Ci sono tre elementi fondamentali che rendono reCAPTCHA funzionante:
- La libreria JavaScript (reCAPTCHA API)
- L’elemento del modulo HTML
- Il codice di verifica della risposta
Inizieremo con la libreria JavaScript reCAPTCHA.
Passo 2: Aggiungi la Libreria JavaScript reCAPTCHA
Per iniziare, dobbiamo aggiungere la libreria JavaScript al tuo sito web. Questo è un piccolo frammento di codice che deve essere aggiunto a ogni pagina che utilizzerà reCAPTCHA:
“<script src="https://www.google.com/recaptcha/api.js" async defer></script>”
Il modo più semplice per assicurarti che sia accessibile su tutte le pagine necessarie è aggiungerlo all’intestazione universale prima del tag di chiusura “</head>”.
Puoi farlo in due modi:
- Manualmente, accedendo direttamente al header.php tramite l’amministratore di WordPress, o il file manager all’interno della tua dashboard di hosting
- Utilizzando un plugin per aggiungere il codice al tuo header
Aggiunta Del Codice Manualmente
Se scegli la prima opzione, dovrai utilizzare l’editor di file del tema all’interno di WordPress o il tuo gestore di file per accedere direttamente al header.php.
Nota Importante: Modificare direttamente i file del tuo tema potrebbe danneggiare il tuo sito web e le tue modifiche potrebbero essere sovrascritte ogni volta che aggiorni il tema. Se non hai esperienza nella modifica diretta dei file del tema, passa alla sezione “Utilizzare un Plugin per Aggiungere il Codice” per una soluzione meno rischiosa.
Il tuo file manager apparirà diverso a seconda del tuo host, ma se stai usando DreamHost, naviga fino a WordPress > Hosting WordPress Gestito nella barra laterale. Trova il dominio al quale vuoi aggiungere un reCAPTCHA e seleziona Gestisci.
Poi, clicca sul pulsante Gestisci File nella sezione Dettagli.
Apri la cartella con il nome del tuo dominio. Da lì, naviga fino a wp-content > themes e trova la cartella del tuo attuale tema WordPress.
Trova il file chiamato header.php, aprilo e cerca il tag di chiusura <code>“</head>”</code> all’interno del codice.
Copia e incolla lo snippet JavaScript di reCAPTCHA proprio prima di quella riga.
Utilizzare Un Plugin Per Aggiungere Il Codice
Se quanto sopra ti sembra troppo, non preoccuparti. Noi ti copriamo.
Invece, puoi installare un plugin di WordPress che aggiungerà automaticamente il codice direttamente nell’intestazione senza bisogno di hacking.
Utilizzando un plugin come WPCode, puoi facilmente aggiungere snippet di codice rilevanti in parti chiave del tuo tema WordPress.
Dal tuo pannello di amministrazione di WordPress, vai su Plugins > Aggiungi Nuovo e cerca WPCode.
Clic Installa, poi Attiva.
Una volta attivato WPCode, dovresti vedere una nuova sezione nel menu laterale sinistro chiamata Code Snippets.
Vai a Code Snippets > Header & Footer.
All’interno della pagina Header & Footer, incolla il codice JavaScript nella sezione Header e salva le modifiche.
Boom — codice aggiunto!
Fase 3: Aggiungi reCAPTCHA al Tuo Modulo
Ora, andremo a modificare il codice nel modulo effettivo dove vuoi vedere il tuo reCAPTCHA.
Anche in questo caso, puoi utilizzare un file manager, l’editor di WordPress o anche FTP. Dovrebbe trovarsi all’interno della cartella wp-content, che contiene tutti i tuoi plugin, temi e file multimediali.
Nel codice del modulo, incolla il seguente codice prima della linea di invio per aggiungere il reCAPTCHA:
“<div class="g-recaptcha" data-sitekey="your_site_key"></div>”
Ecco un esempio di come potrebbe apparire:
Sostituisci “your_site_key” con la chiave del sito che hai ricevuto da Google.
Passaggio 4: Gestisci La Risposta
Forse la parte più complicata del processo è aggiungere il codice per gestire la risposta da reCAPTCHA. Questo fondamentalmente indica al tuo sito se elaborare il modulo o bloccarlo.
Per configurare questo, dovrai aggiungere un altro frammento di codice al modulo (la funzione di richiamata):
$secretKey = "your_secret_key";
$response = $_POST['g-recaptcha-response'];
$remoteIp = $_SERVER['REMOTE_ADDR'];
$url = "https://www.google.com/recaptcha/api/siteverify?secret=".$secretKey."&response=".$response."&remoteip=".$remoteIp;
$response = file_get_contents($url);
$responseKeys = json_decode($response,true);
if(intval($responseKeys["success"]) !== 1) {
// Gestisci il fallimento della validazione reCAPTCHA
} else {
// Elabora l'invio del modulo
}”
In questo codice, devi sostituire “your_secret_key” con la chiave segreta fornita da Google.
Questo è solo un esempio di un’implementazione che ti permetterebbe di personalizzare come viene gestita la sottomissione. Ci sono molti altri metodi per gestire la validazione lato server e le funzioni di richiamata.
Per maggiori informazioni su come gestire questa parte del processo, consulta la documentazione ufficiale di Google.
Addio Spam, Benvenuta Sicurezza
Anche se dobbiamo ribadire che reCAPTCHA e CAPTCHAs non sono la soluzione definitiva per la sicurezza dei siti web, rappresentano un passo cruciale per aiutarti a difenderti da Bot automatizzati e hacker malintenzionati.
Per ulteriori consigli su come proteggere il tuo sito WordPress e non solo, resta sintonizzato sul blog di DreamHost. Noi pubblichiamo sempre risorse per aiutarti a mantenere il tuo sito sicuro, veloce e online, così da impressionare i visitatori del sito e i motori di ricerca allo stesso modo.
Tu Lo Sogni, Noi Lo Programmiamo
Attingi a oltre 20 anni di esperienza nella programmazione quando scegli il nostro servizio di Sviluppo Web. Facci sapere cosa desideri per il tuo sito – noi ci occupiamo del resto.
Scopri di Più