BLOG

13 novembre 2023

Wordfence a récemment lancé un nouveau programme de bug bounty.

Wordfence lance un programme de bug bounty pour encourager la recherche de vulnérabilités dans WordPress, récompensant chaque rapport valide par différents niveaux de compensation.

WordFence

Wordfence, une entreprise bien connue dans le domaine de la cybersécurité, a récemment lancé un nouveau programme de bug bounty. Cette initiative vise à offrir des incitations financières aux chercheurs en sécurité qui signalent des vulnérabilités à haut risque à l'entreprise.

Une fois que les chercheurs ont révélé des vulnérabilités dans Wordfence, l'entreprise les gère et les communique de manière confidentielle aux fournisseurs pour y remédier. Lorsque le correctif est publié, la vulnérabilité est incluse dans la base de données publique Wordfence, librement accessible, suivant une politique de divulgation responsable.

Chloé Chamberland, analyste en sécurité chez Wordfence, a déclaré : «Il n'y a pas de limite aux récompenses qu'un chercheur individuel peut gagner, et chaque vulnérabilité pertinente reçue via notre processus de soumission mérite une récompense. »

Chloé Chamberland

Wordfence récompensera les chercheurs qui découvrent des vulnérabilités dans les plugins et les thèmes avec plus de 50.000 XNUMX installations actives. Voici quelques exemples de paiement :

  • $1.600 pour le téléchargement arbitraire de fichiers non authentifiés, l'exécution de code à distance, l'augmentation des privilèges d'administrateur ou les options de mise à jour arbitraire dans un plugin ou un thème avec plus d'un million d'installations actives.
  • $1.060 pour la suppression arbitraire de fichiers non authentifiés dans un plugin ou un thème avec plus d'un million d'installations actives, en supposant que wp-config.php puisse être facilement supprimé.
  • $800 pour une injection SQL non authentifiée dans un plugin ou un thème avec plus d'un million d'installations actives.
  • $320 pour une vulnérabilité de script intersite non authentifié dans un plugin ou un thème avec plus d'un million d'installations actives.
  • $80 pour une vulnérabilité Cross-Site Request Forgery dans un plugin ou un thème avec plus d’un million d’installations actives et un impact significatif.

Les récompenses de notre programme Bug Bounty sont conçues pour avoir le plus grand impact positif sur la sécurité de l’écosystème WordPress. Les récompenses ne sont pas gagnées par la recherche massive de vulnérabilités à faible impact pour gagner une place dans un classement, mais sont basées sur le nombre d'installations actives, la criticité de la vulnérabilité, la facilité d'exploitation et la prévalence du type de vulnérabilité.

dit Chamberland.

Intelligence WordFence

Le lancement du programme de bug bounty de Wordfence vise clairement à se positionner de manière compétitive, en défiant indirectement Patchstack, qui exploite son programme sur un système de classement où seuls les meilleurs chercheurs sont payés. Il existe quelques différences notables, certaines récompenses étant attribuées à discrétion, mais la plupart des récompenses individuelles récompensent le score le plus élevé dans diverses catégories :

Patchstack garantit une cagnotte mensuelle d'au moins 2425 650 $ (la cagnotte la plus basse possible). Le membre de Patchstack Alliance qui collecte le plus de points pour un mois donné à partir de ses rapports soumis recevra une récompense de 350 $, la deuxième place recevra 250 $ et la troisième place recevra XNUMX $.

Il existe des récompenses supplémentaires (récompenses uniques) pour signaler la vulnérabilité avec le score de base le plus élevé selon CVSS ver. 3.1 ; le nombre d'installations actives le plus élevé ; et de signaler un groupe de composants affectés par la même vulnérabilité.

Patchstack peut récompenser des membres individuels de Patchstack Alliance à sa discrétion en fonction de l'impact global des vulnérabilités qu'ils découvrent.

Wordfence adopte une approche différente pour payer pour chaque vulnérabilité signalée dans le cadre identifié par le programme.

Les chercheurs de l’écosystème WordPress doivent se familiariser avec les différents programmes de bug bounty et déterminer la meilleure voie pour leurs rapports. Certains plugins et sociétés, tels que Elementor, Brainstorm Force, Automattic, Castos et WP Engine, disposent de leurs propres programmes de bug bounty, avec une gamme de paiements différents.

Nous payons plus par vulnérabilité et nous payons pour chaque vulnérabilité valide soumise. Nous pensons que c'est la seule bonne façon de procéder, car la gamification d'un programme de vulnérabilité, c'est comme si tous les employés travaillaient, mais seuls ceux au sommet étaient payés. Si vous soumettez une vulnérabilité valide, vous devriez être payé pour votre travail.

a déclaré Mark Maunder, PDG de Wordfence.

Mark Maunder - PDG WordFence

Maunder soutient que de mauvaises incitations diminuent la qualité des recherches soumises.

Il existe un nombre extrêmement élevé de vulnérabilités à faible risque et de mauvaise qualité soumises à des bases de données comme Patchstack, les vulnérabilités impliquant la falsification de requêtes intersites en sont un exemple. Les incitations que nous observons encouragent les chercheurs à générer un volume élevé de vulnérabilités à faible risque pour être récompensés. Ces chiffres élevés sont ensuite utilisés pour commercialiser des produits de sécurité.

Maunder a déclaré que Wordfence a structuré son programme pour déplacer les incitations vers la recherche de vulnérabilités à haut risque, plutôt que d'améliorer les mesures marketing pour une base de données de vulnérabilités particulière.

Un volume élevé de vulnérabilités à faible risque dans une base de données particulière nuit au secteur car cela crée du travail pour d'autres organisations qui doivent intégrer ces données, mais pour la plupart, il ne s'agit que d'un bruit inutile que nous sommes obligés de passer au crible, plutôt que de poser des questions. un risque réel pour la communauté des utilisateurs

» dit Maunder.

En tant que nouvelle entrée dans le groupe des sociétés WordPress proposant des bug bounties, Wordfence entre sur le marché avec l'intention d'attirer davantage de rapports grâce à des bonus supplémentaires (10 % pour les 6 premiers mois) et une structure de bonus qui récompense l'enchaînement de plusieurs vulnérabilités, une documentation complète. et d'autres efforts supplémentaires.

Tous les auteurs d’un plugin ou d’un thème populaire ne peuvent pas se permettre de proposer leur propre programme de bug bounty, et c’est là que les sociétés de sécurité interviennent pour combler les lacunes. Une concurrence accrue entre les entreprises pour une recherche de haute qualité ne peut être qu’une bonne chose pour les utilisateurs de WordPress, car elle incite davantage à la sécurité des écosystèmes et attirera potentiellement des chercheurs plus qualifiés. Les programmes de bug bounty évolueront probablement au fil du temps, à mesure que les entreprises les affinent pour offrir la meilleure valeur possible à la recherche originale.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

Red Hat, Inc. détient les droits de Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale d'AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de The FreeBSD Foundation ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt. Oracle Corporation détient les droits sur Oracle®, MySQL® et MyRocks® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; REDIS® est une marque déposée de Redis Labs Ltd. F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB. Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited. Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal®. Amazon Web Services, Inc. détient les droits sur AWS® ; Google LLC détient les droits sur Google Cloud™ et Chrome™ ; Microsoft Corporation détient les droits sur Microsoft®, Azure® et Internet Explorer® ; La Fondation Mozilla détient les droits sur Firefox®. Apache® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée du groupe PHP. CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV. Hetzner Online GmbH détient les droits sur Hetzner® ; OVHcloud est une marque déposée d'OVH Groupe SAS ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Facebook, Inc. détient les droits sur Facebook®. Ce site n'est affilié, sponsorisé ou autrement associé à aucune des entités mentionnées ci-dessus et ne représente en aucune manière aucune de ces entités. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées appartiennent à leurs titulaires. MANAGED SERVER® est une marque déposée au niveau européen par MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

JUSTE UN MOMENT !

Souhaitez-vous voir comment votre WooCommerce fonctionne sur nos systèmes sans avoir à migrer quoi que ce soit ? 

Entrez l'adresse de votre site WooCommerce et vous obtiendrez une démonstration navigable, sans avoir à faire absolument quoi que ce soit et entièrement gratuite.

Non merci, mes clients préfèrent le site lent.
Retour en haut de page