Neue Turnstile- und hCaptcha-Unterstützung in Security Pro 7.3
Veröffentlicht: 2023-01-25Wir fügen hCaptcha und das Turnstile von Cloudflare zu iThemes Security Pro neben der bestehenden reCAPTCHA-Option von Google hinzu. (Turnstile ist jetzt auch für Kadence in seinem CAPTCHA-Plugin verfügbar.) Warum machen wir das und warum sollten Sie ein CAPTCHA verwenden? Welche von allen Optionen sollten Sie verwenden? Wie unterscheiden sie sich? Was ist einzigartig an Turnstile, einem unsichtbaren noCAPTCHA-System?
Lesen Sie weiter, um zu erfahren, wie diese Tools die Sicherheit Ihrer Website erhöhen und die allgemeine Benutzererfahrung verbessern.
Was ist ein CAPTCHA?
Der Zweck jedes CAPTCHA-Systems besteht darin, echte menschliche Website-Besucher im Gegensatz zu Computerprogrammen zu identifizieren. Deshalb steht CAPTCHA für „Completely Automated Public Turing test to tell Computers and Humans Apart“. CAPTCHAs wurden zuerst entwickelt, um Bots zu identifizieren, die menschliche Aktivitäten für schändliche Zwecke im frühen Web imitierten. Heute werden Bots mehr denn je eingesetzt, um Formulare zu spammen, gestohlene Passwörter zu testen und Websites mit DDoS-Angriffen (Distributed Denial of Service) lahmzulegen. Glücklicherweise kann Bot-Verkehr blockiert werden, sobald er identifiziert wurde.
Deine WordPress-Seite muss wissen, wann sie es mit einer echten Person und nicht mit einem bösartigen Bot zu tun hat.
Die meisten CAPTCHA-Systeme verwenden eine Kombination aus visuellen und auditiven Herausforderungen, die Benutzer erfüllen müssen, um zu beweisen, dass sie ein Mensch sind. Dies kann Aufgaben wie das Identifizieren von Objekten in Bildern, das Lösen von Rätseln oder das Anhören von Audioaufnahmen und das Eingeben des Gehörten umfassen. Wenn Sie diese Rätsel lösen, trainieren Sie auch maschinelle Lernsysteme, um Menschen besser zu identifizieren.
Was ist hCaptcha?
hCaptcha wurde von Intuition Machines entwickelt und ist eine Marke. Es ist ein Open-Source-Drop-in-Ersatz für das proprietäre reCAPTCHA-System, das Google 2009 erworben hat. Heute ersetzen viele Menschen reCAPTCHA durch hCaptcha, weil es schneller und sicherer ist. Es kann auch eine Einnahmequelle für Websitebesitzer oder eine Wohltätigkeitsorganisation ihrer Wahl sein. Der hCaptcha-Dienst bietet Website-Eigentümern finanzielle Anreize, Belohnungen zu verdienen, während Bots und andere Formen des Missbrauchs blockiert werden.
Im passiven hCaptcha-Modus werden nur 0,1 % oder weniger Benutzer aktiv aufgefordert, zu beweisen, dass sie ein Mensch sind, indem sie eine bestimmte Aktion ausführen. Im unsichtbaren Modus von hCaptcha gibt es niemals direkte, sichtbare Herausforderungen.
Warum ist hCaptcha besser als reCAPTCHA?
Im Vergleich zu reCAPTCHA bietet hCaptcha eine größere Auswahl an Anpassungsmöglichkeiten. Sie können es so konfigurieren, dass es funktioniert, ohne dass Benutzer aktiv herausgefordert werden. hCaptcha bietet Zugänglichkeitsoptionen wie Audio-Herausforderungen für sehbehinderte Menschen und funktioniert mit verschiedenen Sprachen. Darüber hinaus verwendet hCaptcha eine dezentrale Architektur, die es Hackern erschwert, den Dienst anzugreifen und zu stören.
Wenn Sie Passkeys oder Magic Links und hCaptcha oder Turnstile in iThemes Security Pro aktivieren, haben Sie nicht nur eine sehr sichere Website – Sie müssen nie wieder ein Passwort eingeben oder eine CAPTCHA-Aufforderung beantworten! Dies ist ein wunderbarer Schritt nach vorne und die Zukunft für die Online-Sicherheit.
Der wichtigste Unterschied zwischen hCaptcha und reCAPTCHA ist ihr Datenschutz- und Sicherheitsansatz. hCaptcha verwendet eine Ende-zu-Ende-Verschlüsselung, um Ihre Daten zu schützen und stellt sicher, dass sie niemals ohne Ihre Zustimmung an Dritte weitergegeben oder verkauft werden. Im Gegensatz dazu wurde reCAPTCHA dafür kritisiert, Benutzerdaten mit Google zu teilen. Natürlich verwendet Google diese Daten für gezielte Werbung und andere Zwecke.
Wie reCAPTCHA trainiert hCaptcha seine maschinellen Lernsysteme mit den Interaktionen Ihrer Website-Besucher. Menschen, die CAPTCHA-Rätsel lösen, haben aus diesem Grund einen echten Wert. Im Gegensatz zu Google bezahlt hCaptcha Sie jedoch für die Nutzung Ihrer Website-Besucher als Trainer für seine Tools für maschinelles Lernen. Oder Sie können mit diesen Einnahmen die Wohltätigkeitsorganisationen Ihrer Wahl unterstützen.
Wenn Sie als Websitebetreiber Wert auf Datenschutz legen, ist hCaptcha die bessere Wahl als reCAPTCHA. Die Verwendung von hCaptcha unterwirft Ihre Website-Besucher keinem Tracking für gezieltes Marketing. Wenn Sie Geld verdienen möchten, während Ihre Besucher CAPTCHA-Herausforderungen lösen, ist hCaptcha die bessere Wahl. Wenn Sie die Ihren Benutzern angezeigten CAPTCHA-Herausforderungen anpassen möchten, bietet hCaptcha die meisten Optionen.
Was ist Drehkreuz?
Cloudflare beendete 2020 die Verwendung von Googles reCAPTCHA und übernahm hCaptcha. Sie nannten Kosten- und Datenschutzbedenken als Motivation, aber Cloudflare gab auch an, an einer „noCAPTCHA“-Alternative zu arbeiten, um die Unannehmlichkeiten von CAPTCHAs vollständig zu beseitigen.
Cloudflare Turnstile ist das, was sie als unsichtbare „noCAPTCHA“-Lösung entwickelt haben, ähnlich den passiven und unsichtbaren Modi von hCaptcha.
Mit Turnstile können Website-Eigentümer menschliche Benutzer verifizieren, ohne eine herkömmliche CAPTCHA-Technik zu verwenden, bei der ein Rätsel gelöst oder ein Kästchen angekreuzt werden muss.
Ähnlich wie ein mechanisches Drehkreuz – ein Tor, das den Zugang zu einem Stadion oder Transitsystem kontrolliert, indem es jeweils nur eine autorisierte Person passieren lässt – regelt Cloudflare Turnstile den Fluss von Anfragen an Ihren Standort, ohne die Menschen zu verlangsamen.
Der Turnstile-Dienst von Cloudflare ist kostenlos und wird mit anderen Funktionen wie Analysen, DDoS-Schutz, Firewall und SSL kombiniert, die er den Websites zur Verfügung stellt, die ihn verwenden.
Warum ist das „noCAPTCHA“-System von Turnstile anderen CAPTCHAs überlegen?
Wenn Sie Turnstile oder hCaptcha im passiven oder unsichtbaren Modus verwenden, fügen Sie Passkeys oder magische Links in Ihren iThemes-Sicherheitseinstellungen hinzu. Die passwortlose Anmeldung plus unsichtbares CAPTCHA bietet Ihren Benutzern erstklassige Sicherheit ohne frustrierende Verlangsamung.
Einer der Hauptvorteile der Verwendung von Cloudflare Turnstile gegenüber der Verwendung eines CAPTCHA besteht darin, dass es legitimen menschlichen Besuchern die nahtloseste Benutzererfahrung bietet. Herkömmliche CAPTCHA-Herausforderungen sind für manche Menschen schwierig zu bewältigen, insbesondere für Menschen mit Seh- und/oder Hörbehinderungen.
Wenn Sie wie ich sind, hassen Sie CAPTCHAs, die Sie zum Nachdenken anregen. Sich anstrengen zu müssen, um eine Herausforderung zu hören oder visuell zu interpretieren, ist sehr irritierend! Das macht Turnstile zu einem Hauch frischer Luft. Es präsentiert Ihnen nichts Komplizierteres als ein Kontrollkästchen, aber selbst das ist nicht notwendig.
Passkeys und Private Access Tokens
Wenn wir mehrmals am Tag Fotos identifizieren und andere Rätsel lösen müssen, um unsere Menschlichkeit zu beweisen, wird das schnell zur lästigen Pflicht. So möchten Sie nicht, dass sich Ihre Besucher und Kunden fühlen, insbesondere an der Kasse in Ihrem Online-Shop! Durch die Verwendung von Turnstile können Sie sich vor Carding-Angriffen schützen, ohne Ihrem Verkaufstrichter Barrieren hinzuzufügen.
Turnstile arbeitet mit Apple zusammen, um Private Access Tokens zu verwenden. Wenn Sie ein macOS- oder iOS-Gerät verwenden, erkennt Turnstile Sie, ohne dass Sie ein CAPTCHA ausfüllen oder persönliche Daten preisgeben müssen. Apple hat Sie verifiziert, als Sie sich bei Ihrem Gerät angemeldet haben, und das ist gut genug für Turnstile.
Genauigkeit beim Erkennen – und Nicht-Stören – von Menschen
Ein weiterer Vorteil der Verwendung von Turnstile besteht darin, dass echte menschliche Besucher genauer identifiziert werden können. Einige Bots können CAPTCHAs mithilfe von Bilderkennung oder anderen Methoden umgehen, aber der Ansatz von Turnstile kann für Bots schwieriger zu umgehen sein. Turnstile verwendet einzigartige maschinelle Lerntechniken, um nach Anzeichen menschlicher Interaktion mit der Seite zu suchen. Wie eine Person, die Ausweise zur Altersüberprüfung an der Tür einer Bar oder eines Clubs überprüft, übt Turnstile Diskretion aus. Es wird Sie nicht herausfordern, wenn Sie nicht offensichtlich ein Bot sind und menschlich erscheinen. Es ist in der Lage, gemeinsame Merkmale von Besuchern zu erkennen, die zuvor eine Herausforderung bestanden haben. Wenn Sie diese Eigenschaften teilen, wird es Sie nicht herausfordern.
Schutz für Ihre Privatsphäre
Turnstile untersucht Browsersitzungsdaten (Header, Benutzeragenten und andere Merkmale), um menschliche Benutzer stillschweigend zu validieren. Aus diesem Grund muss Turnstile niemals nach Cookies suchen oder sie zum Sammeln oder Speichern von Daten verwenden. Cloudflare weist darauf hin, dass ihre Einnahmen nicht aus Anzeigen und gezieltem Marketing stammen, was sie dazu anregen würde, Turnstile für Tracking und Werbung zu verwenden. Cloudflare verdient Geld mit Leuten, die für die Nutzung ihrer Sicherheitsdienste und den Schutz ihrer Privatsphäre bezahlen, also haben sie das Gefühl, dass sie jeden Anreiz haben, genau das zu tun. Sie weisen auch darauf hin, dass sie seit langem die Privatsphäre unterstützen und sich aus diesem Grund Vertrauen erworben haben.
Zusammenfassend bietet Cloudflare Turnstile legitimen menschlichen Besuchern ein nahtloseres und benutzerfreundlicheres Erlebnis als jedes herkömmliche CAPTCHA. Gleichzeitig ist es sehr effektiv beim Blockieren von Bots und anderem automatisierten Datenverkehr. Es bietet eine genauere Identifizierung echter menschlicher Besucher und zusätzliche Analysen, um Ihren Datenverkehr zu verstehen. Und wenn Sie es mit Passkeys oder magischen Links verwenden, die in Ihren iThemes-Sicherheitseinstellungen aktiviert sind, erhalten Sie und Ihre Benutzer erstklassige Sicherheit ohne frustrierende Verlangsamung.
Warum wir hCaptcha und Turnstile zu iThemes Security Pro hinzufügen
Bei iThemes Security Pro geht es darum, Ihre WordPress-Site zu einem harten Ziel für Hacker und zu einer guten Erfahrung für Sie und die Benutzer Ihrer Site zu machen. Daher war es ein Kinderspiel, hCaptcha und Turnstile als neue CAPTCHA-Optionen hinzuzufügen. Nur reCAPTCHA anzubieten (wie wir es immer noch tun), war nicht genug. Turnstile und hCaptcha bieten große Sicherheitsvorteile und eine verbesserte Benutzererfahrung, wenn Sie eines davon aktivieren. Installieren oder aktualisieren Sie dazu iThemes Security Pro und aktivieren Sie hCaptcha oder Turnstile unter Security > Features > Lockouts . Befolgen Sie die Anweisungen dort, um hCaptcha- oder Turnstile-API-Schlüssel zu erhalten und sie Ihren Einstellungen hinzuzufügen.
Als Benutzer von iThemes Security Pro können Sie auch Passkeys und kennwortlose Anmeldungen aktivieren. Wenn Sie das tun und Turnstile oder hCaptcha verwenden, wird Ihre Website für Sie und Ihre Benutzer unglaublich sicher und reibungslos sein. Sie müssen kein Passwort eingeben und keine CAPTCHA-Aufforderung beantworten! Dies ist ein wunderbarer Schritt nach vorne und die Zukunft für die Online-Sicherheit.
Nachdem Sie Ihr neues CAPTCHA eingerichtet haben, sollten Sie erwägen, Passkeys und passwortlose Anmeldung unter Sicherheit > Funktionen > Anmeldesicherheit zu aktivieren. Ihre Website wird einfacher denn je zugänglich sein – aber nicht für Personen und Bots, die nicht dort sein sollten.
Entfernen des Notenberichts
In iThemes Security Pro 7.3 entfernen wir den Website Security Grade Report. Da die Bereitstellung eines aggregierten Bewertungssystems eine weitere Bewertungsebene hinzufügte, die bei der Bewertung des wahren Sicherheitsprofils Ihrer Website nicht unbedingt einen Mehrwert bot, stellten wir fest, dass es für die Benutzer wenig wertvoll war. Wir empfehlen Ihnen stattdessen, sich spezifische Elemente anzusehen, die die Sicherheit Ihrer Website beeinträchtigen, wie z. B. anfällige Plugins, veraltete Designs oder schwache Passwörter, insbesondere damit Sie Maßnahmen ergreifen können, um Ihre Website besser zu sichern. Durch die Entfernung dieses Bewertungssystems hoffen wir, die Anzahl der Metriken zu reduzieren, die Sie überprüfen müssen, um Entscheidungen zu treffen, die Ihre Website sicherer machen.
Das beste WordPress-Sicherheits-Plugin zum Sichern und Schützen von WordPress
WordPress betreibt derzeit über 40 % aller Websites, sodass es zu einem leichten Ziel für Hacker mit böswilligen Absichten geworden ist. Das iThemes Security Pro-Plug-in beseitigt das Rätselraten bei der WordPress-Sicherheit, um es einfach zu machen, Ihre WordPress-Website zu sichern und zu schützen. Es ist, als hätten Sie einen Vollzeit-Sicherheitsexperten im Team, der Ihre WordPress-Site ständig für Sie überwacht und schützt.
Dan Knauss ist StellarWPs Technical Content Generalist. Er ist Autor, Lehrer und Freiberufler, der seit Ende der 1990er Jahre mit Open Source und seit 2004 mit WordPress arbeitet.