WordPress est l'une des plates-formes qui tombent souvent victimes d'attaques malveillantes. Heureusement, la société a décidé de joindre l'initiative bug bounty, maintenant adopté par plusieurs organisations dans leur tentative de faire face à la cybercriminalité. Les chercheurs en sécurité qui viennent à travers des vulnérabilités particulières dans WordPress seront attribués.
Programme Bug Bounty WordPress en Détails
Les bugs doivent être signalés dans les catégories suivantes:
- WordPress (système de gestion de contenu)
- BuddyPress (suite plugin réseaux sociaux)
- bbPress (logiciel forum)
- GlotPress (outil de traduction collaborative)
- WP-CLI (l'interface de ligne de commande pour WordPress)
WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, et api.wordpress.org. En un mot, tous * .WordPress.org sont inclus dans le programme de primes bug ainsi.
L'équipe de sécurité derrière le programme de primes de bug WordPress est intéressé par:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Server Side Request Forgery (SSRF)
- Exécution de code à distance (RCE)
- injection SQL (Sqlık)
Les chercheurs qui ont l'intention de participer au programme devraient en tenir à quelques règles simples telles que:
- Fournir des détails de la vulnérabilité, telles que les informations nécessaires pour reproduire et valider la vulnérabilité et une preuve de concept;
- Éviter les violations de la vie privée, la destruction et la modification des données sur les sites en direct;
- Donnez WordPress une quantité de temps raisonnable pour corriger la faille avant d'aller publique.
D'autre part, défauts trouvés dans les plugins WordPress ne seront pas tolérés, ainsi que des rapports sur les blogs WordPress piraté, Divulgation des ID utilisateurs, critères d'évaluation de l'API ouvertes au service des données publiques, la divulgation du numéro de version de WordPress, Force brute, DDoS, phishing, injection de texte, et un certain nombre d'autres questions similaires. Vulnérabilités avec un CVSS 3 score inférieur 4.0 ne seront pas tolérés trop, à moins qu'ils peuvent être combinés avec d'autres défauts pour obtenir un score plus élevé, l'équipe de primes de bug WordPress explique.
Plus tôt cette année, WordPress patché trois grandes failles de sécurité. Les failles pourraient permettre cross-site scripting et SQL injections, et un éventail d'autres questions suivantes. Les correctifs versions affectées WordPress 4.7.1 et plus tôt.
Plus tard, il est devenu connu que, à part les questions de sécurité vient de mentionner la plate-forme fixe un dangereux et secret vulnérabilité zero-day qui pourrait conduire à un accès à distance et à la suppression des pages WordPress. La raison pour laquelle ils n'ont pas annoncé publiquement le zero-day est qu'ils ne voulaient pas attirer les pirates dans l'exploiter.
Le bug a permis toutes les pages sur les sites vulnérables à modifier. Aussi, les visiteurs auraient pu être redirigés vers des sites malveillants menant à plus de complications liées à la sécurité. WordPress a reporté l'annonce publique pendant une semaine et est maintenant exhorte toutes les parties concernées à mettre à jour.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: