WordPress : vers la chasse aux bugs avec HackerOne

  • ARTICLES
  • /
  • WORDPRESS : VERS LA CHASSE AUX BUGS AVEC HACKERONE

Sur HackerOne, il y a une foule d'experts en sécurité informatique et en piratage. Rassurez-vous, c'est pour la bonne cause. En effet, toutes les applications inscrites sur cette plateforme bénéficient d'un très grand avantage : le fait d'être fouillé par des hackers éthiques, dans le seul but de trouver des failles de sécurité.



Comme beaucoup le savent aujourd'hui, WordPress représente 28% des sites Internet du monde, une véritable carte maîtresse. Mais, à quoi servirait une carte maîtresse qui laisse des portes ouvertes aux mauvaises personnes ?



Sur HackerOne, c'est l'armée blanche des hackers. Des chercheurs du monde entier s'échangent des déclarations de vulnérabilité avec les auteurs d'un quelconque projet. Ainsi, ils sont récompensés selon l'entreprise par de l'argent.



De ce fait, les équipes en charge du développement de WordPress vont pouvoir se consacrer à autre chose, au lieu de chasser les bugs. Avant que les hackers n'y mettent la main dessus, ils vont développer des nouveautés inédites.



Rappelons que ce type de fonctionnement s'est déjà fait en privé depuis à peu près un an, ce qui totalise une somme de 3 700 dollars et 7 personnes.



WordPress se met sur la bonne voie



En effet, cette décision technique est plus qu'excellente. « Avec l’annonce du programme WordPress HackerOne, nous introduisons également des primes pour la découverte de bugs. Bug Bounty nous permet de récompenser les personnes révélant des problèmes, et nous aide à sécuriser nos produits et nos infrastructures. Nous avons déjà accordé plus de 3 700 dollars en primes ! Nous sommes reconnaissants à Automattic pour payer les primes au nom du projet WordPress », explique Aaron Campbell.



Bien sûr, ce programme inclut tous les projets liés comme BuddyPress, bbPress, WP-CLI, GlotPress, ... D'ailleurs, toute forme de vulnérabilité est dans la portée du programme, incluant injection SQL, cross-site scripting (XSS), ...



Et, étant donné les importantes failles de sécurité découvertes sur WordPress ces dernières années, aucune aide n'est de refus.



En attendant que les membres de HackerOne dévoilent des nouvelles "terrifiantes", il serait peut-être plus prudent de refaire une vérification sur les 5 plus grandes vulnérabilités de WordPress.