Security Pro 7.3 中新的 Turnstile 和 hCaptcha 支持

已发表: 2023-01-25

我们将 hCaptcha 和 Cloudflare 的 Turnstile 添加到 iThemes Security Pro 以及现有的 Google reCAPTCHA 选项。 (现在也可以在 Kadence 的 CAPTCHA 插件中使用 Turnstile。)我们为什么要这样做,为什么要使用 CAPTCHA? 您应该使用所有选项中的哪一个? 它们有何不同? Turnstile 是一种隐形的 noCAPTCHA 系统,它有何独特之处?

继续阅读以了解这些工具如何提高您网站的安全性并改善整体用户体验。

旋转门和 hCaptcha
旋转门和验证码

什么是验证码?

任何 CAPTCHA 系统的目的都是识别真实的人类网站访问者,而不是计算机程序。 这就是为什么 CAPTCHA 代表“完全自动化的公共图灵测试来区分计算机和人类”。 最初开发验证码是为了识别在早期网络上出于恶意目的模仿人类活动的机器人。 如今,机器人比以往任何时候都更频繁地用于发送垃圾邮件表单、测试被盗密码以及通过分布式拒绝服务 (DDoS) 攻击关闭网站。 幸运的是,一旦识别出来,就可以阻止机器人流量。

您的 WordPress 网站需要知道它何时与真人打交道,而不是坏机器人。

大多数 CAPTCHA 系统结合使用视觉和听觉挑战,用户必须完成这些挑战才能证明他们是人类。 这可能包括识别图像中的对象、解决难题或收听录音并输入您听到的内容等任务。 当您解决这些难题时,您也在训练机器学习系统以更好地识别人类。

什么是验证码?

hCaptcha 由 Intuition Machines 开发并注册商标,是 Google 于 2009 年收购的专有 reCAPTCHA 系统的开源替代品。如今,许多人正在用 hCaptcha 替换 reCAPTCHA,因为它更快、更安全。 它也可以成为网站所有者的收入来源或他们选择的慈善机构。 hCaptcha 服务为网站所有者提供经济激励,以在阻止机器人和其他形式的滥用行为的同时获得奖励。

在 hCaptcha 被动模式下,只有 0.1% 或更少的用户会主动挑战以通过执行特定操作来证明他们是人类。 在 hCaptcha 的隐形模式下,从来没有任何直接、可见的挑战。

为什么 hCaptcha 比 reCAPTCHA 好?

与 reCAPTCHA 相比,hCaptcha 提供了更广泛的自定义选项。 您可以将其配置为在不向用户提出主动挑战的情况下运行。 hCaptcha 提供可访问性选项,例如针对视障人士的音频挑战,并且它适用于不同的语言。 此外,hCaptcha 使用分散式架构,这使得黑客更难以瞄准和破坏服务。

如果您在 iThemes Security Pro 中激活密码或魔术链接以及 hCaptcha 或 Turnstile,您将不仅拥有一个非常安全的站点——您再也不需要输入密码或回答 CAPTCHA 挑战! 这是向前迈出的一大步,也是在线安全的未来。

hCaptcha 和 reCAPTCHA 之间最重要的区别在于它们的数据隐私和安全方法。 hCaptcha 使用端到端加密来保护您的数据,并确保在未经您同意的情况下不会将其共享或出售给第三方。 相比之下,reCAPTCHA 因与谷歌共享用户数据而受到批评。 当然,谷歌会将这些数据用于有针对性的广告和其他目的。

与 reCAPTCHA 一样,hCaptcha 通过您网站访问者的交互来训练其机器学习系统。 出于这个原因,解决 CAPTCHA 难题的人具有真正的价值。 然而,与谷歌不同的是,hCaptcha 将向您支付使用您的网站访问者作为其机器学习工具培训师的费用。 或者,您可以用这些收入支持您选择的慈善机构。

如果您作为网站所有者重视数据隐私,则 hCaptcha 是比 reCAPTCHA 更好的选择。 使用 hCaptcha 不会使您的站点访问者受到跟踪以进行有针对性的营销。 如果您想通过访问者解决验证码挑战来赚钱,hCaptcha 是最佳选择。 如果您想自定义显示给用户的 CAPTCHA 挑战,hCaptcha 提供了最多的选项。

什么是旋转门?

Cloudflare 在 2020 年停止使用 Google 的 reCAPTCHA,并采用了 hCaptcha。 他们将成本和隐私问题作为他们的动机,但 Cloudflare 还表示他们正在研究一种“noCAPTCHA”替代方案,以完全消除 CAPTCHA 带来的不便。

Cloudflare Turnstile 是他们提出的一种隐形“noCAPTCHA”解决方案,类似于 hCaptcha 的被动和隐形模式。

Turnstile 允许网站所有者验证人类用户,而无需使用必须解决难题或必须检查框的传统 CAPTCHA 技术。

Cloudflare Turnstile 很像机械旋转门——通过一次只允许一名授权人员通过来控制进入体育场或交通系统的大门——Cloudflare Turnstile 可以调节对您站点的请求流,而不会减慢人们的速度。

Cloudflare 的 Turnstile 服务是免费的,它结合了其他功能,如分析、DDoS 保护、防火墙和 SSL,它向使用它的网站提供。

为什么 Turnstile 的“noCAPTCHA”系统优于其他验证码?

如果您在被动或隐身模式下使用 Turnstile 或 hCaptcha,请在您的 iThemes 安全设置中添加密码或魔法链接。 无密码登录加上不可见的验证码为您的用户提供一流的安全性,而不会出现任何令人沮丧的减速。

与使用 CAPTCHA 相比,使用 Cloudflare Turnstile 的主要优势之一是它为合法的人类访问者提供了最无缝的用户体验。 对于某些人来说,传统的验证码挑战很难完成,尤其是那些有视觉和/或听觉障碍的人。

如果您像我一样,就会讨厌让您停下来思考的验证码。 不得不紧张地听取或视觉解释挑战是非常烦人的! 这让 Turnstile 焕然一新。 它不会向您提供比复选框更复杂的东西,但即使那样也不是必需的。

密钥和私人访问令牌

如果我们必须每天多次识别照片和解决其他难题来证明我们的人性,这很快就会变成一件乏味的苦差事。 这不是您希望访客和客户的感受,尤其是在您的在线商店结账时! 通过使用 Turnstile,您可以在不增加销售渠道障碍的情况下保护自己免受卡片攻击。

Turnstile 与 Apple 合作使用私人访问令牌。 如果您使用 macOS 或 iOS 设备,Turnstile 将识别您,而无需您完成验证码或泄露个人数据。 当您登录设备时,Apple 会验证您的身份,这对 Turnstile 来说已经足够了。

准确检测 - 而不是打扰 - 人类

使用 Turnstile 的另一个好处是它可以更准确地识别真实的人类访客。 一些机器人可以使用图像识别或其他方法绕过 CAPTCHA,但 Turnstile 的方法对于机器人来说更难绕过。 Turnstile 使用独特的机器学习技术来检查人与页面交互的迹象。 就像一个人在酒吧或俱乐部门口检查身份证以验证年龄一样,Turnstile 行使自由裁量权。 如果您显然不是机器人并且看起来像人,它就不会挑战您。 它能够识别之前通过挑战的访客的共同特征。 如果你有这些特征,它就不会挑战你。

保护您的隐私

Turnstile 查看浏览器会话数据(标头、用户代理和其他特征)以静默验证人类用户。 因此,Turnstile 永远不需要寻找 cookie 或使用它们来收集或存储任何数据。 Cloudflare 指出他们的收入并非来自广告和有针对性的营销,这会激励他们使用 Turnstile 进行跟踪和广告。 Cloudflare 从付费使用他们的安全服务和保护他们的隐私的人那里赚钱,所以他们觉得他们有充分的动力去做这件事。 他们还指出,他们在支持隐私方面有着长期的记录,并因此赢得了信任。

总之,与任何传统的验证码相比,Cloudflare Turnstile 为合法人类访问者提供了更加无缝和用户友好的体验。 同时,它在阻止机器人程序和其他自动流量方面非常有效。 它可以更准确地识别真实的人类访客,并提供额外的分析来了解您的流量。 而且,如果您在 iThemes 安全设置中启用密码或魔术链接的情况下使用它,您和您的用户将获得一流的安全性,而不会出现任何令人沮丧的减速。

为什么我们要将 hCaptcha 和 Turnstile 添加到 iThemes Security Pro

iThemes Security Pro 旨在让您的 WordPress 网站成为黑客的硬目标,并为您和您网站的用户提供良好的体验,因此毫不费力地将 hCaptcha 和 Turnstile 添加为新的 CAPTCHA 选项。 仅仅提供 reCAPTCHA(我们仍然这样做)是不够的。 Turnstile 和 hCaptcha 提供了很大的安全优势,如果您启用其中之一,则可以改善用户体验。 为此,请安装或更新 iThemes Security Pro,并在Security > Features > Lockouts 下激活 hCaptcha 或 Turnstile。 按照那里的说明获取 hCaptcha 或 Turnstile API 密钥并将它们添加到您的设置中。

作为 iThemes Security Pro 用户,您还可以选择激活密钥和无密码登录。 如果您这样做并使用 Turnstile 或 hCaptcha,您的网站将非常安全且对您和您的用户来说毫无摩擦。 无需输入密码,也无需回答验证码挑战! 这是向前迈出的一大步,也是在线安全的未来。

设置新的 CAPTCHA 后,请考虑在Security > Features > Login Security下激活 Passkeys 和 Passwordless Login。 您的网站将比以往任何时候都更容易访问——但对于不应该出现在那里的人和机器人来说却不是这样。

删除成绩单

在 iThemes Security Pro 7.3 中,我们将删除网站安全等级报告。 由于提供综合评分系统增加了另一层评估,而在评估您网站的真实安全配置文件时不一定提供价值,因此我们确定它对用户几乎没有价值。 相反,我们鼓励您查看影响您网站安全的特定元素,例如易受攻击的插件、过时的主题或弱密码,以便您可以采取措施更好地保护您的网站。 在删除此成绩报告系统时,我们希望减少您在做出使您的网站更安全的决策时需要审查的指标数量。

保护和保护 WordPress 的最佳 WordPress 安全插件

WordPress 目前为超过 40% 的网站提供支持,因此它很容易成为怀有恶意的黑客的目标。 iThemes Security Pro 插件消除了 WordPress 安全性的猜测,使保护和保护您的 WordPress 网站变得容易。 这就像拥有一名全职安全专家,不断为您监控和保护您的 WordPress 网站。

获取 iThemes 安全专业版