WordPressは、悪意のある攻撃の犠牲になることが多いプラットフォームの1つです. 幸運, 会社は 加入 バグバウンティイニシアチブ, 現在、サイバー犯罪に立ち向かうために複数の組織に受け入れられています. WordPressの特定の脆弱性に遭遇したセキュリティ研究者が授与されます.
WordPressバグバウンティプログラムの詳細
バグは次のカテゴリでフラグを立てる必要があります:
- WordPress (コンテンツ管理システム)
- BuddyPress (ソーシャルネットワーキングプラグインスイート)
- bbPress (フォーラムソフトウェア)
- GlotPress (共同翻訳ツール)
- WP-CLI (WordPressのコマンドラインインターフェイス)
WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, およびapi.wordpress.org. 手短に, すべての*.WordPress.orgは、バグバウンティプログラムにも含まれています.
WordPressバグバウンティプログラムの背後にあるセキュリティチームは、:
- クロスサイトスクリプティング (XSS)
- クロスサイトリクエストフォージェリ (CSRF)
- サーバー側のリクエストフォージェリ (SSRF)
- リモートコード実行 (RCE)
- SQLインジェクション (SQLi)
プログラムへの参加を計画している研究者は、次のようないくつかの簡単なルールに従う必要があります。:
- 脆弱性の詳細を提供する, 脆弱性の再現と検証に必要な情報や概念実証など;
- プライバシー侵害を避ける, ライブサイトのデータの破壊と変更;
- 公開する前に、WordPressに欠陥を修正するための妥当な時間を与えてください.
一方で, WordPressプラグインで見つかった欠陥は許容されません, ハッキングされたWordPressブログのレポートと同様に, ユーザーIDの開示, 公開データを提供するオープンAPIエンドポイント, WordPressのバージョン番号の開示, 強引な, DDoS, フィッシング, テキストインジェクション, および他の多くの同様の問題. CVSSの脆弱性 3 スコアが 4.0 あまりにも容認されません, それらを他の欠陥と組み合わせてより高いスコアを達成できない限り, WordPressのバグバウンティチームが説明します.
今年の初め, WordPress パッチを当てる 3つの主要なセキュリティの脆弱性. この欠陥により、クロスサイトスクリプティングとSQLインジェクションが可能になる可能性があります, およびその他の一連の後続の問題. 修正はWordPressのバージョンに影響しました 4.7.1 およびそれ以前.
後で、セキュリティの問題とは別に、プラットフォームがリモートアクセスやWordPressページの削除につながる可能性のある危険で秘密のゼロデイ脆弱性を修正したことが判明しました. 彼らがゼロデイを公に発表しなかった理由は、ハッカーを誘惑してゼロデイを悪用させたくなかったからです。.
このバグにより、脆弱なWebサイトのすべてのページを変更できました. また, 訪問者が悪意のあるサイトにリダイレクトされ、セキュリティ関連の問題がさらに発生した可能性があります. WordPressは公開発表を1週間延期し、現在、関係者全員に更新を促しています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: