WordPress is een van de platforms die vaak het slachtoffer zijn van kwaadaardige aanvallen. Gelukkig, het bedrijf heeft besloten om toetreden de bug bounty-initiatief, nu omarmd door meerdere organisaties in hun poging om cybercrime te confronteren. Beveiliging onderzoekers die tegenkomt bijzondere kwetsbaarheden in WordPress zal worden toegekend.
WordPress Bug Bounty Program in Details
Bugs moet worden gemarkeerd in de volgende categorieën:
- WordPress (Contentmanagement systeem)
- BuddyPress (social networking plugin suite)
- kunnen plaatsen (forum software)
- GlotPress (collaborative vertaaltool)
- WP-CLI (command line interface voor WordPress)
WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org, GlotPress.org, en api.wordpress.org. In een notendop, alle * .WordPress.org zijn opgenomen in het bug bounty programma en.
Het security team achter de WordPress bug bounty programma is geïnteresseerd in:
- Cross Site Scripting (XSS)
- Cross Site Request Valsheid in geschrifte (CSRF)
- Server Forgery Side Request (SSRF)
- Uitvoering van externe code (RCE)
- SQL injectie (Sqlık)
Onderzoekers die van plan zijn om deel te nemen aan het programma moeten houden aan enkele eenvoudige regels, zoals:
- Het verstrekken van informatie over de kwetsbaarheid, zoals informatie die nodig is om te reproduceren en valideren van de kwetsbaarheid en een Proof of Concept;
- Vermijd privacy schendingen, vernietiging en wijziging van gegevens op Live-sites;
- Geef WordPress een redelijke hoeveelheid tijd om de fout te corrigeren voordat de beursgang.
Anderzijds, gebreken gevonden in WordPress plugins zullen niet worden getolereerd, evenals verslagen over de gehackte WordPress blogs, openbaarmaking van de gebruikers-ID's, open API endpoints het presenteren van openbare data, WordPress versienummer openbaarmaking, brute kracht, DDoS, phishing, tekst injectie, en een aantal andere soortgelijke kwesties. Kwetsbaarheden met een CVSS 3 scoren lager dan 4.0 zal niet te worden getolereerd, tenzij zij kunnen worden gecombineerd met andere gebreken tot een hogere score behalen, de WordPress bug bounty team legt.
Eerder dit jaar, WordPress versteld drie grote beveiligingsproblemen. De gebreken kan leiden tot cross-site scripting en SQL-injecties, en een reeks andere latere problemen. De fixes getroffen WordPress versies 4.7.1 en eerder.
Later werd bekend dat, afgezien van de beveiligingsproblemen net hebben het een gevaarlijke en vervolgens geheime zero-day kwetsbaarheid vaste platform dat zou kunnen leiden tot toegang op afstand en de schrapping van WordPress pagina's. De reden dat ze niet publiekelijk aan te kondigen de zero-day is dat ze niet willen hackers te lokken in exploiteren.
De bug konden alle pagina's op kwetsbare websites worden aangepast. Ook, bezoekers had kunnen worden omgeleid naar kwaadaardige sites leidt tot meer veiligheid gerelateerde complicaties. WordPress uitgesteld het publieke aankondiging voor een week en is nu spoort alle betrokkenen bij te werken.