WordPress es una de las plataformas que a menudo caen víctimas de ataques maliciosos. Afortunadamente, la compañía ha decidido unirse la iniciativa de recompensas de errores, ahora abrazado por múltiples organizaciones en su intento de hacer frente a los delitos informáticos. Los investigadores de seguridad que se encuentran con especial vulnerabilidad en WordPress se otorgarán.
WordPress programa de recompensas de errores en los detalles
Insectos deben ser marcados en las siguientes categorías:
- WordPress (sistema de gestión de contenidos)
- BuddyPress (conjunto de plugins de redes sociales)
- bbPress (software del foro)
- GlotPress (herramienta de traducción colaborativa)
- WP-CLI (interfaz de línea de comandos para WordPress)
WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, y api.wordpress.org. En una palabra, todos * .WordPress.org están incluidos en el programa de recompensas de errores, así.
El equipo de seguridad detrás del programa de recompensas de errores de WordPress está interesado en:
- Cross Site Scripting (XSS)
- Cross Site Request Falsificación (CSRF)
- Solicitud del Servidor lateral Falsificación (FRSS)
- Ejecución remota de código (RCE)
- Inyección SQL (Sqlık)
Los investigadores que planean participar en el programa deben atenerse a unas reglas simples, tales como:
- Todos los detalles de la vulnerabilidad, como la información necesaria para reproducir y validar la vulnerabilidad y una prueba de concepto;
- Evitar violaciónes de privacidad, destrucción y modificación de datos en sitios en vivo;
- WordPress dará una cantidad razonable de tiempo para corregir el defecto antes de hacerlo público.
Por otra parte, fallas encontradas en plugins de WordPress no se tolerarán, así como los informes sobre los blogs de WordPress hackeado, divulgación de los ID de los usuarios, abiertos los puntos finales de API que sirven de datos pública, número de versión de WordPress divulgación, fuerza bruta, DDoS, phishing, la inyección de texto, y una serie de otras cuestiones similares. Vulnerabilidades con un CVSS 3 puntuación inferior a 4.0 no será tolerado demasiado, a menos que puedan ser combinados con otras deficiencias que para lograr una mayor puntuación, el equipo de WordPress de recompensas de errores explica.
A principios de este año, WordPress parcheado tres principales vulnerabilidades de seguridad. Las fallas podrían permitir cross-site scripting y las inyecciones SQL, y una serie de otros problemas posteriores. Las correcciones de versiones de WordPress afectadas 4.7.1 y anterior.
Más tarde se supo que, aparte de los problemas de seguridad que acabamos de mencionar la plataforma fija una vulnerabilidad peligrosa y secreta de día cero que le permita un acceso remoto y en la eliminación de páginas en WordPress. La razón por la que no anunciaron públicamente el día cero es que no quieren atraer a los piratas informáticos en su explotación.
El error permitido todas las páginas de los sitios web vulnerables a ser modificado. También, visitantes podrían haber sido redirigidos a sitios maliciosos que conducen a más complicaciones relacionadas con la seguridad. WordPress pospuso el anuncio público durante una semana y ahora está instando a todos los involucrados para actualizar.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: