WordPress : vers la chasse aux bugs avec HackerOne

WordPress

Enfin, WordPress se lance dans le bug bounty. Comme de nombreuses autres plateformes, le célèbre gestionnaire de contenu rejoint HackerOne.


Sur HackerOne, il y a une foule d'experts en sécurité informatique et en piratage. Rassurez-vous, c'est pour la bonne cause. En effet, toutes les applications inscrites sur cette plateforme bénéficient d'un très grand avantage : le fait d'être fouillé par des hackers éthiques, dans le seul but de trouver des failles de sécurité.

Comme beaucoup le savent aujourd'hui, WordPress représente 28% des sites Internet du monde, une véritable carte maîtresse. Mais, à quoi servirait une carte maîtresse qui laisse des portes ouvertes aux mauvaises personnes ?

Sur HackerOne, c'est l'armée blanche des hackers. Des chercheurs du monde entier s'échangent des déclarations de vulnérabilité avec les auteurs d'un quelconque projet. Ainsi, ils sont récompensés selon l'entreprise par de l'argent.

De ce fait, les équipes en charge du développement de WordPress vont pouvoir se consacrer à autre chose, au lieu de chasser les bugs. Avant que les hackers n'y mettent la main dessus, ils vont développer des nouveautés inédites.

Rappelons que ce type de fonctionnement s'est déjà fait en privé depuis à peu près un an, ce qui totalise une somme de 3 700 dollars et 7 personnes.

WordPress se met sur la bonne voie

En effet, cette décision technique est plus qu'excellente. « Avec l’annonce du programme WordPress HackerOne, nous introduisons également des primes pour la découverte de bugs. Bug Bounty nous permet de récompenser les personnes révélant des problèmes, et nous aide à sécuriser nos produits et nos infrastructures. Nous avons déjà accordé plus de 3 700 dollars en primes ! Nous sommes reconnaissants à Automattic pour payer les primes au nom du projet WordPress », explique Aaron Campbell.

Bien sûr, ce programme inclut tous les projets liés comme BuddyPress, bbPress, WP-CLI, GlotPress, ... D'ailleurs, toute forme de vulnérabilité est dans la portée du programme, incluant injection SQL, cross-site scripting (XSS), ...

Et, étant donné les importantes failles de sécurité découvertes sur WordPress ces dernières années, aucune aide n'est de refus.

En attendant que les membres de HackerOne dévoilent des nouvelles "terrifiantes", il serait peut-être plus prudent de refaire une vérification sur les 5 plus grandes vulnérabilités de WordPress.

Actuellement sur Lean.fr


Tutoriel Wordpress série « Leanéaire » : avoir les bons réflexes en cas de panne !

Un jour, c’est le drame, votre site est hors service. Que faire ? Vous trouverez ici tous les bons réflexes afin de tout remettre en place rapidement.

Tutoriel Wordpress série « Leanéaire » : mettre en avant du contenu multimédia dans son blog !

Le texte c’est bien, l’agrémenter de différents contenus multimédias c’est mieux ! Quelques propositions pour mettre en avant vos documents et autres contenus..

Astuce : ne laissez pas Chrome marquer votre site comme « non sécurisé »

Google Chrome va bientôt marquer des millions de sites web comme non sécurisés. Voici ce qu’il faut faire pour éviter d’être concerné.

Voir plus d'actualités