Wordpress ist eine der Plattformen, die oft Opfer um böswillige Angriffe fallen. Zum Glück, das Unternehmen hat sich entschieden, beitreten der Bug Bounty Initiative, jetzt von mehreren Organisationen in ihrem Versuch, umarmte Cyber-Kriminalität zu konfrontieren. Sicherheitsexperten, die über bestimmte Schwachstellen in Wordpress kommen werden vergeben.
Wordpress Bug Bounty Programm in Einzelheiten
Bugs sollte in den folgenden Kategorien gekennzeichnet werden:
- Wordpress (Content-Management-System)
- Buddypress (Social-Networking-Plugin Suite)
- bbPress (Forum-Software)
- GlotPress (kollaborative Übersetzungstool)
- WP-CLI (Befehlszeilenschnittstelle für Wordpress)
WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, und api.wordpress.org. In einer Nussschale, alle * .WordPress.org sind im Bug Bounty Programm enthalten sowie.
Das Sicherheitsteam hinter der Wordpress-Bug Bounty Programm interessiert ich:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Server Side Request Forgery (SSRF)
- Remotecodeausführung (RCE)
- SQL-Injektion (Sqlık)
Forscher, die an dem Programm teilnehmen wollen sollten einige einfache Regeln halten wie:
- Bereitstellung von Einzelheiten der Verwundbarkeit, wie Informationen, die Verletzlichkeit und ein Proof of Concept zu reproduzieren und zu validieren;
- Vermeiden Sie Verletzungen der Privatsphäre, Zerstörung und Veränderung von Daten auf Live-Websites;
- Geben Sie Wordpress eine angemessene Menge an Zeit, um die Fehler zu korrigieren, bevor sie öffentlich.
Andererseits, in Wordpress-Plugins gefunden Fehler werden nicht toleriert, sowie Berichte über gehackt Wordpress-Blogs, Offenlegung von Benutzer-IDs, offene API Endpunkte öffentliche Daten dienen, Wordpress-Versionsnummer Offenlegung, Brute-Force, DDoS, Phishing, Text Injektion, und eine Reihe von anderen ähnlichen Problemen. Schwachstellen mit einem CVSS 3 Score niedriger als 4.0 wird nicht zu toleriert werden, es sei denn, sie mit anderen Fehlern kombiniert werden können, eine höhere Punktzahl zu erreichen, das Wordpress-Bug Bounty-Team erklärt.
Früher in diesem Jahr, Wordpress gepatcht drei große Sicherheitslücken. Die Mängel könnten für Cross-Site-Scripting und SQL-Injektionen erlauben, und eine Reihe von anderen nachfolgenden Fragen. Die Updates betroffen Wordpress-Versionen 4.7.1 und früher.
Später wurde bekannt, dass von den Sicherheitsfragen auseinander nur die Plattform erwähnte eine gefährliche und dann geheime Fest Zero-Day-Schwachstelle, die den Fernzugriff und zur Löschung von Wordpress-Seiten führen könnte. Der Grund, warum sie nicht öffentlich die Zero-Day bekannt geben, dass sie nicht Hacker in zu locken wollte es ausnutzen.
Der Fehler, alle Seiten auf anfällige Websites erlaubt werden geändert. Auch, Besucher haben könnte auf bösartige Websites umgeleitet, um mehr Sicherheit im Zusammenhang mit Komplikationen führen. Wordpress verschob die öffentliche Ankündigung für eine Woche und jetzt drängt alle Beteiligten zu aktualisieren.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: