Security Pro 7.3 中新的 Turnstile 和 hCaptcha 支持

已發表: 2023-01-25

我們將 hCaptcha 和 Cloudflare 的 Turnstile 添加到 iThemes Security Pro 以及現有的 Google reCAPTCHA 選項。 (現在也可以在 Kadence 的 CAPTCHA 插件中使用 Turnstile。)我們為什麼要這樣做,為什麼要使用 CAPTCHA? 您應該使用所有選項中的哪一個? 它們有何不同? Turnstile 是一種隱形的 noCAPTCHA 系統,它有何獨特之處?

繼續閱讀以了解這些工具如何提高您網站的安全性並改善整體用戶體驗。

旋轉門和 hCaptcha
旋轉門和驗證碼

什麼是驗證碼?

任何 CAPTCHA 系統的目的都是識別真實的人類網站訪問者,而不是計算機程序。 這就是為什麼 CAPTCHA 代表“完全自動化的公共圖靈測試來區分計算機和人類”。 最初開發驗證碼是為了識別在早期網絡上出於惡意目的模仿人類活動的機器人。 如今,機器人比以往任何時候都更頻繁地用於發送垃圾郵件表單、測試被盜密碼以及通過分佈式拒絕服務 (DDoS) 攻擊關閉網站。 幸運的是,一旦識別出來,就可以阻止機器人流量。

您的 WordPress 網站需要知道它何時與真人打交道,而不是壞機器人。

大多數 CAPTCHA 系統結合使用視覺和聽覺挑戰,用戶必須完成這些挑戰才能證明他們是人類。 這可能包括識別圖像中的對象、解決難題或收聽錄音並輸入您聽到的內容等任務。 當您解決這些難題時,您也在訓練機器學習系統以更好地識別人類。

什麼是驗證碼?

hCaptcha 由 Intuition Machines 開發並註冊商標,是 Google 於 2009 年收購的專有 reCAPTCHA 系統的開源替代品。如今,許多人正在用 hCaptcha 替換 reCAPTCHA,因為它更快、更安全。 它也可以成為網站所有者的收入來源或他們選擇的慈善機構。 hCaptcha 服務為網站所有者提供經濟激勵,以在阻止機器人和其他形式的濫用行為的同時獲得獎勵。

在 hCaptcha 被動模式下,只有 0.1% 或更少的用戶會主動挑戰以通過執行特定​​操作來證明他們是人類。 在 hCaptcha 的隱形模式下,從來沒有任何直接、可見的挑戰。

為什麼 hCaptcha 比 reCAPTCHA 好?

與 reCAPTCHA 相比,hCaptcha 提供了更廣泛的自定義選項。 您可以將其配置為在不向用戶提出主動挑戰的情況下運行。 hCaptcha 提供可訪問性選項,例如針對視障人士的音頻挑戰,並且它適用於不同的語言。 此外,hCaptcha 使用分散式架構,這使得黑客更難以瞄準和破壞服務。

如果您在 iThemes Security Pro 中激活密碼或魔術鏈接以及 hCaptcha 或 Turnstile,您將不僅擁有一個非常安全的站點——您再也不需要輸入密碼或回答 CAPTCHA 挑戰! 這是向前邁出的一大步,也是在線安全的未來。

hCaptcha 和 reCAPTCHA 之間最重要的區別在於它們的數據隱私和安​​全方法。 hCaptcha 使用端到端加密來保護您的數據,並確保在未經您同意的情況下不會將其共享或出售給第三方。 相比之下,reCAPTCHA 因與穀歌共享用戶數據而受到批評。 當然,谷歌會將這些數據用於有針對性的廣告和其他目的。

與 reCAPTCHA 一樣,hCaptcha 通過您網站訪問者的交互來訓練其機器學習系統。 出於這個原因,解決 CAPTCHA 難題的人具有真正的價值。 然而,與穀歌不同的是,hCaptcha 將向您支付使用您的網站訪問者作為其機器學習工具培訓師的費用。 或者,您可以用這些收入支持您選擇的慈善機構。

如果您作為網站所有者重視數據隱私,則 hCaptcha 是比 reCAPTCHA 更好的選擇。 使用 hCaptcha 不會使您的站點訪問者受到跟踪以進行有針對性的營銷。 如果您想通過訪問者解決驗證碼挑戰來賺錢,hCaptcha 是最佳選擇。 如果您想自定義顯示給用戶的 CAPTCHA 挑戰,hCaptcha 提供了最多的選項。

什麼是旋轉門?

Cloudflare 在 2020 年停止使用 Google 的 reCAPTCHA,並採用了 hCaptcha。 他們將成本和隱私問題作為他們的動機,但 Cloudflare 還表示他們正在研究一種“noCAPTCHA”替代方案,以完全消除 CAPTCHA 帶來的不便。

Cloudflare Turnstile 是他們提出的一種隱形“noCAPTCHA”解決方案,類似於 hCaptcha 的被動和隱形模式。

Turnstile 允許網站所有者驗證人類用戶,而無需使用必須解決難題或必須檢查框的傳統 CAPTCHA 技術。

Cloudflare Turnstile 很像機械旋轉門——通過一次只允許一名授權人員通過來控制進入體育場或交通系統的大門——Cloudflare Turnstile 可以調節對您站點的請求流,而不會減慢人們的速度。

Cloudflare 的 Turnstile 服務是免費的,它結合了其他功能,如分析、DDoS 保護、防火牆和 SSL,它向使用它的網站提供。

為什麼 Turnstile 的“noCAPTCHA”系統優於其他驗證碼?

如果您在被動或隱身模式下使用 Turnstile 或 hCaptcha,請在您的 iThemes 安全設置中添加密碼或魔法鏈接。 無密碼登錄加上不可見的驗證碼為您的用戶提供一流的安全性,而不會出現任何令人沮喪的減速。

與使用 CAPTCHA 相比,使用 Cloudflare Turnstile 的主要優勢之一是它為合法的人類訪問者提供了最無縫的用戶體驗。 對於某些人來說,傳統的驗證碼挑戰很難完成,尤其是那些有視覺和/或聽覺障礙的人。

如果您像我一樣,就會討厭讓您停下來思考的驗證碼。 不得不緊張地聽取或視覺解釋挑戰是非常煩人的! 這讓 Turnstile 煥然一新。 它不會向您提供比複選框更複雜的東西,但即使那樣也不是必需的。

密鑰和私人訪問令牌

如果我們必須每天多次識別照片和解決其他難題來證明我們的人性,這很快就會變成一件乏味的苦差事。 這不是您希望訪客和客戶的感受,尤其是在您的在線商店結賬時! 通過使用 Turnstile,您可以在不增加銷售渠道障礙的情況下保護自己免受卡片攻擊。

Turnstile 與 Apple 合作使用私人訪問令牌。 如果您使用 macOS 或 iOS 設備,Turnstile 將識別您,而無需您完成驗證碼或洩露個人數據。 當您登錄設備時,Apple 會驗證您的身份,這對 Turnstile 來說已經足夠了。

準確檢測 - 而不是打擾 - 人類

使用 Turnstile 的另一個好處是它可以更準確地識別真實的人類訪客。 一些機器人可以使用圖像識別或其他方法繞過 CAPTCHA,但 Turnstile 的方法對於機器人來說更難繞過。 Turnstile 使用獨特的機器學習技術來檢查人與頁面交互的跡象。 就像一個人在酒吧或俱樂部門口檢查身份證以驗證年齡一樣,Turnstile 行使自由裁量權。 如果您顯然不是機器人並且看起來像人,它就不會挑戰您。 它能夠識別之前通過挑戰的訪客的共同特徵。 如果你有這些特徵,它就不會挑戰你。

保護您的隱私

Turnstile 查看瀏覽器會話數據(標頭、用戶代理和其他特徵)以靜默驗證人類用戶。 因此,Turnstile 永遠不需要尋找 cookie 或使用它們來收集或存儲任何數據。 Cloudflare 指出他們的收入並非來自廣告和有針對性的營銷,這會激勵他們使用 Turnstile 進行跟踪和廣告。 Cloudflare 從付費使用他們的安全服務和保護他們的隱私的人那裡賺錢,所以他們覺得他們有充分的動力去做這件事。 他們還指出,他們在支持隱私方面有著長期的記錄,並因此贏得了信任。

總之,與任何傳統的驗證碼相比,Cloudflare Turnstile 為合法人類訪問者提供了更加無縫和用戶友好的體驗。 同時,它在阻止機器人程序和其他自動流量方面非常有效。 它可以更準確地識別真實的人類訪客,並提供額外的分析來了解您的流量。 而且,如果您在 iThemes 安全設置中啟用密碼或魔術鏈接的情況下使用它,您和您的用戶將獲得一流的安全性,而不會出現任何令人沮喪的減速。

為什麼我們要將 hCaptcha 和 Turnstile 添加到 iThemes Security Pro

iThemes Security Pro 旨在讓您的 WordPress 網站成為黑客的硬目標,並為您和您網站的用戶提供良好的體驗,因此毫不費力地將 hCaptcha 和 Turnstile 添加為新的 CAPTCHA 選項。 僅僅提供 reCAPTCHA(我們仍然這樣做)是不夠的。 Turnstile 和 hCaptcha 提供了很大的安全優勢,如果您啟用其中之一,則可以改善用戶體驗。 為此,請安裝或更新 iThemes Security Pro,並在Security > Features > Lockouts 下激活 hCaptcha 或 Turnstile。 按照那裡的說明獲取 hCaptcha 或 Turnstile API 密鑰並將它們添加到您的設置中。

作為 iThemes Security Pro 用戶,您還可以選擇激活密鑰和無密碼登錄。 如果您這樣做並使用 Turnstile 或 hCaptcha,您的網站將非常安全且對您和您的用戶來說毫無摩擦。 無需輸入密碼,也無需回答驗證碼挑戰! 這是向前邁出的一大步,也是在線安全的未來。

設置新的 CAPTCHA 後,請考慮在Security > Features > Login Security下激活 Passkeys 和 Passwordless Login。 您的網站將比以往任何時候都更容易訪問——但對於不應該出現在那裡的人和機器人來說卻不是這樣。

刪除成績單

在 iThemes Security Pro 7.3 中,我們將刪除網站安全等級報告。 由於提供綜合評分系統增加了另一層評估,而在評估您網站的真實安全配置文件時不一定提供價值,因此我們確定它對用戶幾乎沒有價值。 相反,我們鼓勵您查看影響您網站安全的特定元素,例如易受攻擊的插件、過時的主題或弱密碼,以便您可以採取措施更好地保護您的網站。 在刪除此成績報告系統時,我們希望減少您在做出使您的網站更安全的決策時需要審查的指標數量。

保護和保護 WordPress 的最佳 WordPress 安全插件

WordPress 目前為超過 40% 的網站提供支持,因此它很容易成為懷有惡意的黑客的目標。 iThemes Security Pro 插件消除了 WordPress 安全性的猜測,使保護和保護您的 WordPress 網站變得容易。 這就像擁有一名全職安全專家,不斷為您監控和保護您的 WordPress 網站。

獲取 iThemes 安全專業版