13 Novembre 2023

Wordfence ha recentemente lanciato un nuovo programma di bug bounty.

Wordfence lancia programma bug bounty per incentivare ricerca di vulnerabilità in WordPress, premiando ogni segnalazione valida con vari livelli di compensazione.

WordFence

Wordfence, una nota azienda nel campo della sicurezza informatica, ha recentemente lanciato un nuovo programma di bug bounty. Questa iniziativa ha lo scopo di offrire incentivi finanziari ai ricercatori di sicurezza che segnalano vulnerabilità ad alto rischio alla società.

Una volta che i ricercatori rivelano le vulnerabilità a Wordfence, l’azienda le gestisce e le comunica in modo confidenziale ai fornitori per la correzione. Quando la soluzione viene rilasciata, la vulnerabilità viene inclusa nel database pubblico di Wordfence, liberamente accessibile, seguendo una politica di divulgazione responsabile.

Chloe Chamberland, analista della sicurezza di Wordfence, ha affermato: “Non vi è un limite ai premi che un singolo ricercatore può guadagnare, e ogni vulnerabilità rilevante ricevuta tramite il nostro processo di invio garantisce un premio.”

Chloe Chamberland

Wordfence premierà i ricercatori che scoprono vulnerabilità in plugin e temi con oltre 50.000 installazioni attive. Alcuni esempi di pagamento includono:

  • $1.600 per Caricamento di File Arbitrario non Autenticato, Esecuzione di Codice Remoto, Escalation di Privilegi a Admin, o Aggiornamento Arbitrario delle Opzioni in un plugin o tema con oltre un milione di installazioni attive.
  • $1.060 per la Cancellazione di File Arbitrario non Autenticata in un plugin o tema con oltre un milione di installazioni attive, assumendo che wp-config.php possa essere facilmente cancellato.
  • $800 per un’iniezione SQL non Autenticata in un plugin o tema con oltre un milione di installazioni attive.
  • $320 per una vulnerabilità di Cross-Site Scripting non Autenticata in un plugin o tema con oltre un milione di installazioni attive.
  • $80 per una vulnerabilità di Cross-Site Request Forgery in un plugin o tema con oltre un milione di installazioni attive e un impatto significativo.

I premi del nostro Programma Bug Bounty sono stati progettati per avere il massimo impatto positivo sulla sicurezza dell’ecosistema WordPress. I premi non sono guadagnati cercando in massa vulnerabilità di impatto minimo per guadagnare un posto in una classifica, ma sono basati sul numero di installazioni attive, sulla criticità della vulnerabilità, sulla facilità di sfruttamento e sulla prevalenza del tipo di vulnerabilità.

ha detto Chamberland.

WordFence Intelligence

Il lancio del programma bug bounty di Wordfence mira chiaramente a posizionarsi competitivamente, indirettamente mettendo in discussione Patchstack, che opera il suo programma su un sistema a classifica dove solo i migliori ricercatori vengono pagati. Ci sono alcune differenze notevoli, dove alcuni premi vengono assegnati a discrezione, ma la maggior parte dei premi individuali sono per il punteggio più alto in varie categorie:

Patchstack garantisce un montepremi mensile di almeno $2425 (il montepremi più basso possibile). Il membro dell’Alleanza Patchstack che raccoglierà più punti per un particolare mese dai suoi report inviati riceverà un premio di $650, il secondo classificato riceverà $350 e il terzo $250.

Ci sono premi extra (singoli premi) per segnalare la vulnerabilità con il punteggio base più alto secondo CVSS ver. 3.1; il conteggio di installazioni attive più alto; e per segnalare un gruppo di componenti colpiti dalla stessa vulnerabilità.

Patchstack può premiare singoli membri dell’Alleanza Patchstack a propria discrezione in base all’impatto complessivo delle vulnerabilità da loro scoperte.

Wordfence adotta un approccio diverso nel pagare per ogni vulnerabilità segnalata entro l’ambito identificato dal programma.

I ricercatori nell’ecosistema WordPress dovrebbero familiarizzare con i vari programmi di bug bounty e determinare la migliore via per le loro segnalazioni. Alcuni plugin e aziende, come Elementor, Brainstorm Force, Automattic, Castos e WP Engine, hanno i propri programmi di bug bounty, con una gamma di diversi pagamenti.

Paghiamo di più per vulnerabilità e paghiamo per ogni vulnerabilità valida inviata, riteniamo che questo sia l’unico modo giusto di procedere, poiché la gamification di un programma di vulnerabilità è come avere dipendenti che lavorano tutti, ma solo quelli in cima alla classifica vengono pagati. Se invii una vulnerabilità valida, dovresti essere pagato per il tuo lavoro.

ha detto Mark Maunder, CEO di Wordfence.

Mark Maunder - CEO WordFence

Maunder sostiene che gli incentivi sbagliati stanno abbassando la qualità della ricerca inviata.

Vi è un numero estremamente alto di vulnerabilità a basso rischio e di bassa qualità che vengono inviate a database come Patchstack, Vulnerabilità che coinvolgono un Cross-Site Request Forgery ne sono un esempio. Gli incentivi che stiamo vedendo là fuori incoraggiano i ricercatori a generare un alto volume di vulnerabilità a basso rischio per essere premiati. Questi alti numeri vengono poi utilizzati per commercializzare prodotti di sicurezza.

Maunder ha affermato che Wordfence ha strutturato il suo programma per spostare gli incentivi verso la ricerca di vulnerabilità ad alto rischio, anziché aumentare le metriche di marketing per un particolare database di vulnerabilità.

Un alto volume di vulnerabilità a basso rischio in qualsiasi database particolare danneggia l’industria perché crea lavoro per altre organizzazioni che devono integrare questi dati, ma per la maggior parte si tratta solo di rumore inutile che siamo costretti a vagliare, piuttosto che rappresentare un rischio reale per la comunità degli utenti

ha detto Maunder.

Come nuova entrata nel gruppo di aziende WordPress che offrono bug bounty, Wordfence entra nel mercato con l’intenzione di attrarre più segnalazioni attraverso bonus aggiuntivi (10% per i primi 6 mesi) e una struttura di bonus che premia il concatenamento di più vulnerabilità insieme, una documentazione approfondita e altri sforzi extra.

Non ogni autore di un plugin o tema popolare può permettersi di offrire il proprio programma di bug bounty, ed è qui che le aziende di sicurezza intervengono per colmare le lacune. Una maggiore concorrenza tra le aziende per la ricerca di alta qualità può solo essere positiva per gli utenti di WordPress, poiché fornisce più incentivi per la sicurezza dell’ecosistema e attirerà potenzialmente più ricercatori qualificati. I programmi di bug bounty probabilmente evolveranno nel tempo man mano che le aziende li perfezionano per fornire il miglior valore per la ricerca originale.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Hetzner Online GmbH detiene i diritti su Hetzner®; OVHcloud è un marchio registrato di OVH Groupe SAS; cPanel®, L.L.C. detiene i diritti su cPanel®; Plesk® è un marchio registrato di Plesk International GmbH; Facebook, Inc. detiene i diritti su Facebook®. Questo sito non è affiliato, sponsorizzato o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello europeo da MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italia.

SOLO UN ATTIMO !

Vorresti vedere come gira il tuo WooCommerce sui nostri sistemi senza dover migrare nulla ? 

Inserisci l'indirizzo del tuo sito WooCommerce e otterrai una dimostrazione navigabile, senza dover fare assolutamente nulla e completamente gratis.

No grazie, i miei clienti preferiscono il sito lento.
Torna in alto