In 2013 heeft Target nu berucht de gegevens van tientallen miljoenen winkelaars gecompromitteerd in een gebeurtenis die de verkoop deed kelderen, rechtszaken uitlokte, en zelfs de CEO tot ontslag dwong.
Wat is er gebeurd?
Hackers verkregen toegang tot Target via een externe leverancier die geen CAPTCHA of enige vorm van authenticatie had om te garanderen dat het een mens was — niet een kwaadaardige bot — die hun systeem betrad.
Van daaruit duurde het niet lang voordat de bot de organisatie van deze externe leverancier infiltreerde en zich een weg baande naar het betalingsnetwerk van de grote retailer.
Wat is de les hier?
Als kwaadwillende actoren een manier willen vinden om jouw website binnen te dringen, kan een CAPTCHA een krachtige eerste verdedigingslinie zijn, en ze zelfs overtuigen om door te gaan naar een makkelijker doelwit (woordspeling *zeer* bedoeld).
Geïntrigeerd door dit CAPTCHA-concept?
Lees dan verder om te leren:
- Het verschil tussen CAPTCHA en reCAPTCHA (en wat al die letters betekenen!)
- De belangrijkste soorten CAPTCHA’s die tegenwoordig worden gebruikt
- Hoe CAPTCHA’s website-eigenaren kunnen helpen spam en misbruik te vermijden
- Enkele nadelen om rekening mee te houden bij CAPTCHA’s
- Twee manieren om een Google reCAPTCHA aan je WordPress-site toe te voegen
Wat is reCAPTCHA?
Bereid je voor mensen, want deze heeft verschillende lagen.
Laten we beginnen met een basisdefinitie: “reCAPTCHA is een dienst van Google die helpt websites te beschermen tegen spam en misbruik.”
reCAPTCHA van Google is een populaire, merkgebonden versie van CAPTCHA. Het oorspronkelijke idee van CAPTCHA werd bedacht aan de Carnegie Mellon University rond 2000. reCAPTCHA werd ook gecreëerd door ontwikkelaars van dezelfde universiteit en vervolgens gekocht door Google rond 2009.
En nu de volgende laag: Wat betekenen alle letters in “CAPTCHA” eigenlijk?
De uitdrukking CAPTCHA is een verkorte vorm van “completely automated public Turing Test to tell computers and humans apart.”
En die uitleg brengt ons bij een laatste, logische laag om terug te pellen: Wat is een Turingtest?
Als je net als wij bent, komt je voornaamste kennismaking met de Turing Test uit de film The Imitation Game uit 2014, met wiskundige en computerwetenschapper Alan Turing.
Alan Turing ontwikkelde de Turingtest (die hij oorspronkelijk het imitatiespel noemde — bescheiden) om de vraag te beantwoorden: “Kunnen machines denken?”
Vandaag de dag worden Turing Tests voornamelijk gebruikt om mensen en bots uit elkaar te houden door de capaciteit van een bot te testen om hetzelfde intelligente gedrag te vertonen als een mens. Bots verwijzen in dit geval naar geautomatiseerde softwareprogramma’s, vaak aangedreven door kunstmatige intelligentie (AI).
Bot
Een bot is een programma ontworpen om specifieke taken te automatiseren. Zo gebruiken zoekmachines bots om het web te doorzoeken door links te volgen om nieuwe pagina’s in kaart te brengen en te indexeren. Bots komen ook vaak voor in malware.
Lees MeerCAPTCHAs helpen spam en misbruik op websites te voorkomen door bots te blokkeren met uitdagingen die voor ons mensen relatief eenvoudig zijn om te begrijpen en uit te voeren, maar vaak bots ontmaskeren als de programma’s die ze zijn.
Nu je genoeg weet om zeker een roman te schrijven over de achtergrond van de CAPTCHA, laten we praten over alle verschillende manieren waarop we dit concept zien verschijnen in het dagelijks leven.
Verschillende Soorten CAPTCHA’s
CAPTCHAs zijn in de loop der jaren op verschillende manieren ontwikkeld om het onderscheid tussen mensen en bots te maken. Tegenwoordig zijn er verschillende gangbare soorten CAPTCHAs die verschillende vormen van redeneren en invoer vereisen.
Tekstgebaseerde CAPTCHA’s
Tekstgebaseerde CAPTCHA’s tonen tekens in vreemde opstellingen, gebruikmakend van ongebruikelijke lettertypen en op kleurrijke achtergronden.
Deze CAPTCHA’s vereisen redenering en vertaling om uit te zoeken wat elk letter en cijfer moet zijn — een intelligente taak die veel vooraf geprogrammeerde bots niet kunnen uitvoeren.
Op Afbeeldingen Gebaseerde CAPTCHA’s
Bij een op afbeeldingen gebaseerde CAPTCHA moet de websitegebruiker identificeren welke weergegeven foto’s overeenkomen met de gegeven prompt. Door gebruik te maken van op elkaar lijkende foto’s die een bepaald niveau van logica vereisen om te onderscheiden, kan deze optie ook bots te slim af zijn.
Google’s reCAPTCHA-tests gebruiken deze methode vaak — wat logisch is gezien de enorme bron aan foto’s van Google Street View.
Audio-Gebaseerde CAPTCHA’s
Met op geluid gebaseerde CAPTCHAs is geluid het medium. Deze methode wordt vaak gecombineerd met andere, zoals tekst en visuele CAPTCHAs.
Audio CAPTCHAs zijn niet alleen toegankelijker voor mensen met een visuele beperking – ze zijn ook een krachtige bot-blokker omdat ze afhankelijk zijn van hoe lastig het kan zijn om echte woorden te onderscheiden van achtergrondgeluid.
Aankruisvakje-Gebaseerde CAPTCHA’s
Hoewel deze CAPTCHA’s op het eerste gezicht eenvoudig lijken, beoordelen ze eigenlijk hoe websitegebruikers omgaan met het selectievakje zelf.
Bots vullen formulieren in en voltooien selectievakjes onmiddellijk, terwijl mensen dit proces langzamer doorlopen.
Deze methode kan gecombineerd worden met andere CAPTCHAs als je nog meer zekerheid wilt dat een gebruiker niet stiekem een softwareprogramma is vermomd als een mens in een joggingbroek die Starbucks drinkt.
Op Gedrag Gebaseerde CAPTCHA’s
Het is zo dat software tegenwoordig zo slim is geworden dat veel van de bovengenoemde CAPTCHA’s tegenwoordig omzeild kunnen worden.
Daarom heeft de nieuwste versie van reCAPTCHA — Google’s reCAPTCHA v3 — het spel veranderd met een CAPTCHA-methode die op de achtergrond draait.
reCAPTCHA v3 is een grotendeels onzichtbare reCAPTCHA, die gebruikmaakt van een JavaScript API en op machine learning gebaseerde, adaptieve risicoanalysemotor om gebruikers te scoren op basis van hun gedrag terwijl ze interageren met uw webpagina’s.
Achter de schermen geeft reCAPTCHA v3 elke gebruiker een score die probeert te bepalen of ze mens of bot zijn. Natuurlijk kan deze monitoring in sommige gevallen niet voldoende zijn om de echt intelligente bots te stoppen.
Daarnaast, in een tijdperk waarin de slinger terugzwaait naar privacy op het internet, kan deze methode controversieel zijn omdat het je activiteit op de site monitort, waarbij de enige waarschuwing vaak het kleine reCAPTCHA-insigne is.
Wat we hier besproken hebben, zijn slechts de meest voorkomende CAPTCHA’s. Andere soorten programma’s vragen bijvoorbeeld aan de websitegebruiker om objecten naar een specifiek punt op het scherm te slepen, een “microgame” te spelen, en meer. Bekijk hier meer voorbeelden van CAPTCHA’s.
Gebruiksscenario’s: Waar CAPTCHA’s Toepassen om Spam te Voorkomen
AI-gestuurde geautomatiseerde software heeft veel buitengewone toepassingen, zoals het helpen van bedrijven bij het voltooien van alledaagse, repetitieve taken om werknemers tijd te besparen.
Echter, vijandige actoren hebben zeker manieren gevonden om deze technologie te gebruiken om websites aan te vallen.
DDoS-aanval
DDoS staat voor Distributed Denial of Service. Het is een aanval die probeert een systeem of netwerk onbeschikbaar te maken door het te overspoelen met verkeer vanuit meerdere bronnen.
Lees MeerHier zijn enkele van de beste gebruiksscenario’s waarbij het toepassen van CAPTCHAs je site kan beschermen tegen spam en misbruik.
Peilingen en Vragenlijsten
Bedrijven gebruiken peilingen en vragenlijsten om allerlei redenen.
Extern kunnen ze je helpen feedback en nieuwe ideeën te verzamelen voor producten, diensten, marketing, branding, inhoud en alles wat gebruikersgericht is.
Intern kunnen peilingen en vragenlijsten helpen om de tevredenheid van werknemers te garanderen en inzichten te verzamelen over nieuwe beleidsmaatregelen en aanbiedingen.
Je zou die resultaten toch niet willen vertekenen met een overweldigend aantal geautomatiseerde, valse reacties, of wel soms?
Nou, bots zouden dat zeker kunnen.
Gebruikerslogins
Bots worden vaak ingezet om hackers te helpen toegang te krijgen tot websites via bestaande accounts die gebruikers al hebben aangemaakt.
Meestal doen ze dit via brute force aanvallen die software gebruiken om automatisch honderden wachtwoorden per seconde te raden.
Waarom zouden ze toegang willen tot deze accounts? Soms is het zodat ze informatie kunnen stelen uit accounts en deze gebruiken om in te breken op andere online eigendommen. Hacken gebeurt vaak in opeenvolgende gebeurtenissen.
Soms is het zodat ze het account kunnen gebruiken om promotiemateriaal of andere informatie te plaatsen waarvan ze weten dat ze er snel voor geblokkeerd worden.
Reactie Secties
Je hebt waarschijnlijk al veel spam gezien die opduikt in reactiesecties op websites en sociale media.
Bots worden gebruikt om massaal reacties achter te laten om reclame te verspreiden, een bepaald standpunt (zoals een politiek standpunt rond verkiezingstijd) of links naar kwaadaardige bronnen waar hackers wachten om bezoekersinformatie te stelen.
Formulieren
Net als opmerkingensecties kunnen formulieren die niet beveiligd zijn met CAPTCHAs overspoeld worden met valse inzendingen van bots die geprogrammeerd zijn om je iets te verkopen, een specifiek verhaal te verspreiden, of zelfs te vissen naar gevoelige gegevens.
Kassa’s
Er zijn verschillende redenen waarom hackers hun bots op de afrekenpagina van een website willen richten.
Het eerste is duidelijk: tickets of andere voorraden opkopen met een snelheid die mensen niet kunnen bijhouden. En ze dan waarschijnlijk elders voor hogere prijzen doorverkopen. (We zijn helemaal niet verbitterd over het mislopen van Taylor Swift tickets…)
Secundair kunnen bots onbeveiligde afrekenprocessen gebruiken om iets te doen wat kaarttesten wordt genoemd. Dit is wanneer ze geautomatiseerde scripts in je afrekensysteem uitvoeren om te testen of gestolen creditcardnummers bruikbaar zijn of niet.
Door CAPTCHAs te vereisen die opgelost moeten worden voordat de bovenstaande acties voltooid zijn — moet je website in staat zijn de meeste geautomatiseerde misbruiken uitgevoerd door bots te identificeren en te stoppen.
Brute Force Aanval
Een brute-force aanval is een cyberaanval waarbij de aanvaller trial-and-error gebruikt om toegang te krijgen tot een online account. Het wordt doorgaans uitgevoerd door kwaadaardige bots die wachtwoorden, algemene inloggegevens of digitale sleutels proberen te raden.
Lees MeerMogelijke Nadelen Van Het Gebruik Van CAPTCHA’s
Hoewel CAPTCHAs duidelijk hun voordelen hebben, zijn er enkele nadelen om te overwegen wanneer je dit systeem op je website instelt:
- CAPTCHAs kunnen je website minder toegankelijk maken voor mensen met een gehoor- en/of gezichtsbeperking, of voor degenen die de taal van je CAPTCHA niet kennen.
- CAPTCHAs kunnen de gebruikerservaring onderbreken, en als ze te moeilijk zijn, kunnen ze de betrokkenheid zelfs van menselijke gebruikers verhinderen.
- CAPTCHAs zijn niet volledig waterdicht, dus website-eigenaren moeten niet in een vals gevoel van veiligheid gewiegd worden — we moeten nog steeds alert blijven op tekenen van spam en aanvallen.
Daarnaast zijn er enkele elementen van Google’s reCAPTCHA waarvan met name website-eigenaren op de hoogte moeten zijn:
- reCAPTCHA v3 Kan Als Invasief Voelen Voor Gebruikers omdat het sitebreed gedrag monitort om te kunnen functioneren, wat privacybewuste individuen kan ontmoedigen om je site te gebruiken.
- Het Bedrijfsmodel Van Google Is Het Gebruiken Of Verkopen Van Data Voor Reclame, wat website-eigenaren (en gebruikers) die niet willen dat hun gedrag of data gemonetiseerd worden, kan afschrikken.
- reCAPTCHA Profiteert Van Gebruikersarbeid door data te oogsten uit gebruikersinteracties om Google’s visuele identificatiesystemen te trainen, waarmee sommige mensen zich mogelijk ongemakkelijk voelen.
- Google Wordt Soms Geblokkeerd in landen zoals China, dus het installeren van Google-technologie kan het wereldwijde bereik van een website ernstig beperken.
Hoe Voeg Je reCAPTCHA Toe Aan WordPress Via Een Plugin (6 Stappen)
Voorwoord: CAPTCHA’s van allerlei soorten kunnen aan allerlei websites worden toegevoegd.
Echter, aangezien WordPress een van de populairste websiteplatformen is en reCAPTCHA van Google krachtig, gratis (tot een miljoen beoordelingen) en zeer populair is — integreren wij deze twee vandaag.
Laten we nu je site gaan beschermen.
Stap 1: Registreer Je Site
Allereerst, registreer je WordPress-site in het Google’s reCAPTCHA-beheerpaneel. Om deze stap te voltooien, moet je inloggen of een Google-account aanmaken.
Tijdens de registratie vul je informatie in zoals hoe je je website wilt noemen, welk type reCAPTCHA-verificatie je wilt gebruiken, enz.
Stap 2: Pak Je Sleutels
Na het indienen van de registratie zal Google zowel een site sleutel als een geheime sleutel verstrekken. Dit zijn de manieren waarop je jouw Google reCAPTCHA laat communiceren met je WordPress-website.
Kopieer ze, want we gaan ze binnenkort gebruiken.
Stap 3: Installeer WordPress Plugin
Log nu in op WordPress.
Als je nog geen reCAPTCHA plugin hebt geïnstalleerd, ga dan naar Dashboard > Plugins > Add New en zoek naar “reCAPTCHA.” reCaptcha by BestWebSoft, CAPTCHA 4WP, en Contact Form 7 zijn allemaal populaire opties.
Eenmaal geïnstalleerd, zullen de meeste van deze Plugins je door het proces leiden om je website te verbinden met je Google reCAPTCHA. We zullen de rest van deze handleiding doornemen met Contact Form 7 als voorbeeld van hoe toegankelijk het kan zijn.
Stap 4: Activeer reCAPTCHA
Met Contact Form 7 geïnstalleerd, ga je naar Contact > Integratie in WordPress. Zoek het reCAPTCHA-integratievak en begin met het instellen.
Je wordt gevraagd om de site- en geheime sleutels in te voegen die je net van Google hebt gekregen. Zodra deze zijn toegevoegd en de wijzigingen zijn opgeslagen, werkt reCAPTCHA op je site.
Voor een handleiding over het instellen van Contact Form 7, bekijk ons artikel in de Kennisbank over Probleemoplossing van WordPress contactformulieren.
Stap 5: Voeg reCAPTCHA Toe Aan Een Formulier
Nu je reCAPTCHA-functionaliteit is ingeschakeld, moet je deze toevoegen aan alle formulieren die je wilt beschermen tegen inzendingen van bots.
Om dit te doen, ga naar Contact > Dashboard in WordPress en voeg een nieuw formulier toe.
Hier ga je de code van het formuliersjabloon licht bewerken om een reCAPTCHA te injecteren.
Voeg “[recaptcha]” direct voor de “[submit “Indienen”]” regel toe. Als je opslaat, zou je een shortcode onder de formuliertitel moeten zien verschijnen.
Stap 6: Publiceer Je reCAPTCHA Formulier Op Je Website
Kopieer die shortcode die je zojuist hebt gemaakt.
Ga nu verder en plak die code in berichten, pagina’s of tekstwidgets om een nieuw formulier te installeren compleet met een reCAPTCHA!
Hoe Voeg Je reCAPTCHA Toe Aan WordPress Handmatig (4 Stappen)
Als alternatief voor de plugin-route, kun je handmatig een reCAPTCHA toevoegen aan elk formulier op je website.
Dit vereist wat geknutsel met code. Als je nerveus wordt van dingen zoals head tags en JavaScript-snippets, dan voel je je waarschijnlijk het prettigst bij een kant-en-klare optie.
Maar als je klaar bent om je mouwen op te stropen, is het vrij eenvoudig om alles in te stellen op een schaal van supergemakkelijk (een nieuwe website lanceren met DreamHost) tot supermoeilijk (het oplossen van het drielichamenprobleem).
Laten we beginnen.
Stap 1: Registreer Je Site En Pak Je Sleutels
Net als bij de plugin-route moet je beginnen met aanmelden voor reCAPTCHA op de Google-website.
Je kunt dat in twee snelle stappen doen:
- Registreer je WordPress-site in het reCAPTCHA-beheerpaneel van Google en selecteer het type reCAPTCHA.
- Kopieer zowel je site-sleutel als je geheime sleutel voor toekomstig gebruik.
Laten we nu teruggaan naar de website in kwestie. Er zijn drie kernonderdelen die reCAPTCHA laten werken:
- De JavaScript-bibliotheek (reCAPTCHA API)
- Het HTML-formulierelement
- De verificatiecode voor de reactie
We trappen af met de reCAPTCHA JavaScript-bibliotheek.
Stap 2: Voeg de reCAPTCHA JavaScript-bibliotheek toe
Om te beginnen moeten we de JavaScript-bibliotheek aan je website toevoegen. Dit is een klein stukje code dat aan elke pagina toegevoegd moet worden die reCAPTCHA zal gebruiken:
“<script src="https://www.google.com/recaptcha/api.js" async defer></script>”
De eenvoudigste manier om ervoor te zorgen dat dit toegankelijk is op alle benodigde pagina’s, is door het toe te voegen aan je universele header voor de sluitende “</head>” tag.
Je kunt dit op twee manieren doen:
- Handmatig, door direct toegang te krijgen tot de header.php binnen de WordPress admin, of de bestandsbeheerder binnen je hosting dashboard
- Door een plugin te gebruiken om de code aan je header toe te voegen
De Code Handmatig Toevoegen
Als je voor de eerste route kiest, moet je de themabestand-editor binnen WordPress of je bestandsbeheer gebruiken om direct toegang te krijgen tot de header.php.
Belangrijke Opmerking: Het direct bewerken van je themabestanden kan je website beschadigen, en je wijzigingen kunnen worden overschreven wanneer je je thema bijwerkt. Als je niet ervaren bent met het direct bewerken van de themabestanden, ga dan door naar “Het Gebruiken van een Plugin om de Code Toe te Voegen” voor een minder risicovolle oplossing.
Je bestandsbeheer ziet er anders uit afhankelijk van je host, maar als je DreamHost gebruikt, navigeer dan naar WordPress > Beheerde WordPress in de zijbalk. Zoek het domein waar je een reCAPTCHA aan wilt toevoegen en selecteer Beheren.
Klik dan op de Beheer Bestanden knop in de Details sectie.
Open de map die je domeinnaam bevat. Van daaruit navigeer je naar wp-content > themes en zoek je de map voor je huidige WordPress-thema.
Zoek het bestand genaamd header.php, open het en zoek de afsluitende <code>“</head>”</code> tag in de code.
Plak de reCAPTCHA JavaScript-snippet net voor die regel.
Een Plugin Gebruiken Om De Code Toe Te Voegen
Als het bovenstaande te veel lijkt, maak je geen zorgen. We hebben alles onder controle.
In plaats daarvan kun je een WordPress-plugin installeren die automatisch code rechtstreeks aan je header toevoegt zonder dat hacken nodig is.
Met een plugin zoals WPCode, kun je gemakkelijk relevante codefragmenten toevoegen aan belangrijke delen van je WordPress-thema.
Vanuit je WordPress beheerpaneel, ga naar Plugins > Add New en zoek naar WPCode.
Klik op Install, en vervolgens op Activate.
Zodra WPCode is geactiveerd, zie je een nieuw gedeelte in je linkermenu genaamd Codefragmenten.
Ga naar Code Snippets > Header & Footer.
Binnen de pagina Header & Footer, plak de JavaScript-code in de Header-sectie en sla je wijzigingen op.
Boem — code toegevoegd!
Stap 3: Voeg reCAPTCHA Toe Aan Je Formulier
Nu gaan we de code op het daadwerkelijke formulier aanpassen waar je jouw reCAPTCHA wilt zien.
Je kunt opnieuw een bestandsbeheerder gebruiken, de WordPress-editor of zelfs FTP. Het moet zich bevinden in de wp-content map, waar al je plugins, thema’s en media zijn ondergebracht.
Plak in de formuliercode de volgende code vóór de verzendregel om de reCAPTCHA toe te voegen:
“<div class="g-recaptcha" data-sitekey="your_site_key"></div>”
Hier is een voorbeeld van hoe het eruit zou kunnen zien:
Vervang “your_site_key” met de site sleutel die je van Google hebt ontvangen.
Stap 4: Verwerk De Reactie
Het lastigste onderdeel van het proces is misschien wel het toevoegen van code om de reactie van reCAPTCHA te verwerken. Dit vertelt in principe jouw site of het formulier verwerkt moet worden of geblokkeerd.
Om dit te configureren, moet je nog een stukje code toevoegen aan het formulier (de callbackfunctie):
$secretKey = "your_secret_key";
$response = $_POST['g-recaptcha-response'];
$remoteIp = $_SERVER['REMOTE_ADDR'];
$url = "https://www.google.com/recaptcha/api/siteverify?secret=".$secretKey."&response=".$response."&remoteip=".$remoteIp;
$response = file_get_contents($url);
$responseKeys = json_decode($response,true);
if(intval($responseKeys["success"]) !== 1) {
// Afhandeling van reCAPTCHA-validatiefout
} else {
// Verwerking van formulierinzending
}”
In deze code moet je “your_secret_key” vervangen door de geheime sleutel die door Google is verstrekt.
Dit is slechts één voorbeeld van een implementatie die je in staat stelt om aan te passen hoe de inzending wordt afgehandeld. Er zijn veel andere methoden voor het afhandelen van server-side validatie en callback-functies.
Voor meer informatie over hoe je dit onderdeel van het proces kunt afhandelen, zie de officiële documentatie van Google.
Vaarwel Spam, Hallo Beveiliging
Hoewel we moeten benadrukken dat reCAPTCHA en CAPTCHA’s niet de enige oplossing zijn als het gaat om websitebeveiliging, zijn ze een cruciale stap om je te helpen automatische bots en hackers met kwade bedoelingen af te weren.
Voor meer tips over het beveiligen van je WordPress-website en meer, blijf op de hoogte via de DreamHost blog. We plaatsen altijd bronnen die je helpen om je website veilig, snel en online te houden, zodat je indruk kunt maken op zowel sitebezoekers als zoekmachines.
Je Droomt Het, Wij Programmeren Het
Maak gebruik van meer dan 20 jaar programmeerervaring wanneer je kiest voor onze Web Ontwikkelingsdienst. Laat ons gewoon weten wat je wilt voor jouw site — wij nemen het vanaf daar over.
Meer Leren