Nouvelle prise en charge de Turnstile et hCaptcha dans Security Pro 7.3
Publié: 2023-01-25Nous ajoutons hCaptcha et Turnstile de Cloudflare à iThemes Security Pro aux côtés de l'option Google reCAPTCHA existante. (Turnstile est également disponible pour Kadence dans son plugin CAPTCHA.) Pourquoi faisons-nous cela, et pourquoi devriez-vous utiliser un CAPTCHA ? Laquelle devriez-vous utiliser parmi toutes les options ? Comment diffèrent-ils? Quelle est la particularité de Turnstile, un système noCAPTCHA invisible ?
Lisez la suite pour savoir comment ces outils augmentent la sécurité de votre site et améliorent l'expérience utilisateur globale.
Qu'est-ce qu'un CAPTCHA ?
Le but de tout système CAPTCHA est d'identifier les vrais visiteurs humains du site par opposition aux programmes informatiques. C'est pourquoi CAPTCHA signifie "Test de Turing public entièrement automatisé pour distinguer les ordinateurs des humains". Les CAPTCHA ont d'abord été développés pour identifier les bots qui imitaient l'activité humaine à des fins néfastes sur le Web initial. Aujourd'hui, les bots sont plus que jamais utilisés pour spammer des formulaires, tester des mots de passe volés et faire tomber des sites Web avec des attaques par déni de service distribué (DDoS). Heureusement, une fois identifié, le trafic des bots peut être bloqué.
Votre site WordPress doit savoir quand il a affaire à une vraie personne plutôt qu'à un mauvais bot.
La plupart des systèmes CAPTCHA utilisent une combinaison de défis visuels et auditifs que les utilisateurs doivent relever pour prouver qu'ils sont humains. Cela peut inclure des tâches telles que l'identification d'objets dans des images, la résolution d'énigmes ou l'écoute d'enregistrements audio et la saisie de ce que vous entendez. Lorsque vous résolvez ces énigmes, vous formez également des systèmes d'apprentissage automatique pour mieux identifier les humains.
Qu'est-ce que le hCaptcha ?
Développé et déposé par Intuition Machines, hCaptcha est un remplacement direct et open source du système propriétaire reCAPTCHA acquis par Google en 2009. Aujourd'hui, de nombreuses personnes remplacent reCAPTCHA par hCaptcha car il est plus rapide et plus sécurisé. Il peut également être une source de revenus pour les propriétaires de sites ou un organisme de bienfaisance de leur choix. Le service hCaptcha offre des incitations financières aux propriétaires de sites Web pour gagner des récompenses tout en bloquant les bots et autres formes d'abus.
En mode passif hCaptcha, seuls 0,1 % ou moins d'utilisateurs sont activement mis au défi de prouver qu'ils sont humains en effectuant une certaine action. Dans le mode invisible de hCaptcha, il n'y a jamais de défis directs et visibles.
Pourquoi hCaptcha est-il meilleur que reCAPTCHA ?
Par rapport à reCAPTCHA, hCaptcha offre une plus large gamme d'options de personnalisation. Vous pouvez le configurer pour qu'il fonctionne sans présenter de défis actifs aux utilisateurs. hCaptcha offre des options d'accessibilité comme des défis audio pour les malvoyants, et il fonctionne avec différentes langues. De plus, hCaptcha utilise une architecture décentralisée, ce qui rend plus difficile pour les pirates de cibler et de perturber le service.
Si vous activez des clés de sécurité ou des liens magiques et hCaptcha ou Turnstile dans iThemes Security Pro, vous n'aurez pas seulement un site très sécurisé - vous n'aurez plus jamais besoin d'entrer un mot de passe ou de répondre à un défi CAPTCHA ! C'est un formidable pas en avant et l'avenir de la sécurité en ligne.
La différence la plus importante entre hCaptcha et reCAPTCHA est leur approche de la confidentialité et de la sécurité des données. hCaptcha utilise un cryptage de bout en bout pour protéger vos données et garantit qu'elles ne sont jamais partagées ou vendues à des tiers sans votre consentement. En revanche, reCAPTCHA a été critiqué pour avoir partagé des données utilisateur avec Google. Bien entendu, Google utilise ces données à des fins de publicité ciblée et à d'autres fins.
Comme reCAPTCHA, hCaptcha forme ses systèmes d'apprentissage automatique avec les interactions des visiteurs de votre site. Les personnes résolvant des puzzles CAPTCHA ont une réelle valeur pour cette raison. Contrairement à Google, cependant, hCaptcha vous paiera pour l'utilisation des visiteurs de votre site en tant que formateurs pour ses outils d'apprentissage automatique. Ou, vous pouvez soutenir les organismes de bienfaisance de votre choix avec ces revenus.
Si vous, en tant que propriétaire de site Web, appréciez la confidentialité des données, hCaptcha est un meilleur choix que reCAPTCHA. L'utilisation de hCaptcha ne soumettra pas les visiteurs de votre site à un suivi pour un marketing ciblé. Si vous voulez gagner de l'argent lorsque vos visiteurs résolvent des défis CAPTCHA, hCaptcha est le meilleur choix. Si vous souhaitez personnaliser les défis CAPTCHA affichés à vos utilisateurs, hCaptcha offre le plus d'options.
Qu'est-ce que le tourniquet ?
Cloudflare a cessé d'utiliser reCAPTCHA de Google en 2020 et a adopté hCaptcha. Ils ont cité les problèmes de coût et de confidentialité comme motivation, mais Cloudflare a également indiqué qu'ils travaillaient sur une alternative "noCAPTCHA" pour éliminer complètement les inconvénients des CAPTCHA.
Cloudflare Turnstile est ce qu'ils ont proposé comme solution invisible "noCAPTCHA" similaire aux modes passif et invisible de hCaptcha.
Turnstile permet aux propriétaires de sites Web de vérifier les utilisateurs humains sans utiliser une technique CAPTCHA traditionnelle où un puzzle doit être résolu ou une case doit être cochée.
Tout comme un tourniquet mécanique - une porte qui contrôle l'accès à un stade ou à un système de transport en ne laissant passer qu'une seule personne autorisée à la fois - Cloudflare Turnstile régule le flux de demandes vers votre site sans ralentir les gens.
Le service Turnstile de Cloudflare est gratuit et il est combiné à d'autres fonctionnalités telles que l'analyse, la protection DDoS, le pare-feu et SSL qu'il fournit aux sites Web qui l'utilisent.
Pourquoi le système « noCAPTCHA » de Turnstile est-il supérieur aux autres CAPTCHA ?
si vous utilisez Turnstile ou hCaptcha en mode passif ou invisible, ajoutez des clés de passe ou des liens magiques dans vos paramètres de sécurité iThemes. La connexion sans mot de passe et le CAPTCHA invisible offrent à vos utilisateurs une sécurité de premier ordre sans aucun ralentissement frustrant.
L'un des principaux avantages de l'utilisation de Cloudflare Turnstile par rapport à l'utilisation d'un CAPTCHA est qu'il offre l'expérience utilisateur la plus transparente pour les visiteurs humains légitimes. Les défis CAPTCHA traditionnels sont difficiles à relever pour certaines personnes, en particulier celles qui ont des déficiences visuelles et/ou auditives.
Si vous êtes comme moi, vous détestez les CAPTCHA qui vous font réfléchir. Devoir faire des efforts pour entendre ou interpréter visuellement un défi est très irritant ! Cela fait de Turnstile une bouffée d'air frais. Cela ne vous présente rien de plus compliqué qu'une case à cocher, mais même cela n'est pas nécessaire.
Passkeys et jetons d'accès privés
Si nous devons identifier des photos et résoudre d'autres énigmes pour prouver notre humanité plusieurs fois par jour, cela devient vite une corvée fastidieuse. Ce n'est pas ce que vous voulez que vos visiteurs et clients ressentent, en particulier lors du paiement dans votre boutique en ligne ! En utilisant Turnstile, vous pouvez vous protéger des attaques par cardage sans ajouter d'obstacles à votre entonnoir de vente.
Turnstile fonctionne avec Apple pour utiliser des jetons d'accès privés. Si vous utilisez un appareil macOS ou iOS, Turnstile vous reconnaîtra sans vous obliger à remplir un CAPTCHA ou à donner des données personnelles. Apple vous a vérifié lorsque vous vous êtes connecté à votre appareil, et c'est suffisant pour Turnstile.
Précision de détection - et non de dérangement - des humains
Un autre avantage de l'utilisation de Turnstile est qu'il peut identifier plus précisément les vrais visiteurs humains. Certains robots peuvent contourner les CAPTCHA en utilisant la reconnaissance d'image ou d'autres méthodes, mais l'approche de Turnstile peut être plus difficile à contourner pour les robots. Turnstile utilise des techniques uniques d'apprentissage automatique pour vérifier les signes d'interaction humaine avec la page. Comme une personne vérifiant les pièces d'identité pour la vérification de l'âge à la porte d'un bar ou d'un club, Turnstile fait preuve de discrétion. Cela ne vous mettra pas au défi si vous n'êtes pas manifestement un bot et que vous semblez humain. Il est capable de reconnaître les traits communs des visiteurs qui ont déjà réussi un défi. Si vous partagez ces traits, cela ne vous mettra pas au défi.
Protection de votre vie privée
Turnstile examine les données de session du navigateur (en-têtes, agents utilisateurs et autres caractéristiques) pour valider en silence les utilisateurs humains. Pour cette raison, Turnstile n'a jamais besoin de rechercher des cookies ou de les utiliser pour collecter ou stocker des données. Cloudflare souligne que ses revenus ne proviennent pas de publicités et de marketing ciblé, ce qui les inciterait à utiliser Turnstile pour le suivi et la publicité. Cloudflare gagne de l'argent grâce aux personnes qui paient pour utiliser leurs services de sécurité et protéger leur vie privée, ils ont donc le sentiment d'avoir tout intérêt à le faire. Ils soulignent également qu'ils soutiennent depuis longtemps la confidentialité et qu'ils ont gagné la confiance pour cette raison.
En résumé, Cloudflare Turnstile offre une expérience plus transparente et conviviale pour les visiteurs humains légitimes que n'importe quel CAPTCHA traditionnel. En même temps, il est très efficace pour bloquer les bots et autres trafics automatisés. Il fournit une identification plus précise des vrais visiteurs humains et des analyses supplémentaires pour comprendre votre trafic. Et si vous l'utilisez avec des mots de passe ou des liens magiques activés dans vos paramètres de sécurité iThemes, vous et vos utilisateurs bénéficiez d'une sécurité de premier ordre sans aucun ralentissement frustrant.
Pourquoi nous ajoutons hCaptcha et Turnstile à iThemes Security Pro
iThemes Security Pro consiste à faire de votre site WordPress une cible difficile pour les pirates et une bonne expérience pour vous et les utilisateurs de votre site, il était donc évident d'ajouter hCaptcha et Turnstile comme nouvelles options CAPTCHA. Le simple fait d'offrir reCAPTCHA (comme nous le faisons toujours) n'était pas suffisant. Turnstile et hCaptcha offrent de grands avantages en matière de sécurité et une expérience utilisateur améliorée si vous activez l'un d'entre eux. Pour ce faire, installez ou mettez à jour iThemes Security Pro et activez hCaptcha ou Turnstile sous Security > Features > Lockouts . Suivez les instructions pour obtenir les clés API hCaptcha ou Turnstile et les ajouter à vos paramètres.
En tant qu'utilisateur d'iThemes Security Pro, vous pouvez également choisir d'activer les clés d'accès et les connexions sans mot de passe. Si vous faites cela et utilisez Turnstile ou hCaptcha, votre site sera incroyablement sécurisé et sans friction pour vous et vos utilisateurs. Pas besoin de saisir de mot de passe et pas besoin de répondre à un challenge CAPTCHA ! C'est un formidable pas en avant et l'avenir de la sécurité en ligne.
Après avoir configuré votre nouveau CAPTCHA, envisagez d'activer les clés d'accès et la connexion sans mot de passe sous Sécurité > Fonctionnalités > Sécurité de connexion . Votre site sera plus facile d'accès que jamais, mais pas pour les personnes et les robots qui ne devraient pas s'y trouver.
Suppression du bulletin de notes
Dans iThemes Security Pro 7.3, nous supprimons le rapport de niveau de sécurité du site Web. Étant donné que la fourniture d'un système de notation agrégé ajoutait une autre couche d'évaluation qui n'apportait pas nécessairement de valeur lors de l'évaluation du véritable profil de sécurité de votre site Web, nous avons déterminé qu'il apportait peu de valeur aux utilisateurs. Nous vous encourageons plutôt à examiner les éléments spécifiques qui affectent la sécurité de votre site, tels que les plugins vulnérables, les thèmes obsolètes ou les mots de passe faibles, spécifiquement afin que vous puissiez prendre des mesures pour mieux sécuriser votre site. En supprimant ce système de rapport de notes, nous espérons réduire le nombre de mesures que vous devez examiner pour prendre des décisions qui rendent votre site plus sûr.
Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress
WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.
Dan Knauss est le généraliste du contenu technique de StellarWP. Il est écrivain, enseignant et pigiste travaillant en open source depuis la fin des années 1990 et avec WordPress depuis 2004.