Wordfence, wereldwijd marktleider op het gebied van WordPress security en tevens het bedrijf achter de bekende Wordfence Security plugin, heeft vandaag een eigen bug bounty programma gelanceerd. Dit biedt ethische hackers en veiligheidsonderzoekers een financiële drijfveer om kwetsbaarheden in WordPress thema’s en plugins op verantwoorde wijze bij Wordfence te rapporteren. Op deze manier hoopt Wordfence dat meer mensen een bijdrage gaan leveren om het WordPress ecosysteem nog veiliger te maken.
Hoe werkt het Wordfence bug bounty programma?
Wanneer je een door jou aangetroffen kwetsbaarheid aan Wordfence rapporteert, voert Wordfence eerst een triage uit. Vervolgens wordt de kwetsbaarheid op vertrouwelijke wijze aan de betreffende ontwikkelaar doorgegeven. Zodra de ontwikkelaar een update met fix heeft uitgerold (of in elk geval voldoende tijd heeft gekregen om het probleem te verhelpen), wordt er de kwetsbaarheid opgenomen in de openbare Wordfence database. Dit proces wordt ook wel responsible disclosure genoemd.
Beloningen
Wordfence beloont mensen voor het ontdekken en rapporteren van kwetsbaarheden in plugins en thema’s met meer dan 50.000 actieve installaties. Hieronder enkele voorbeelden van uitbetalingen voor kwetsbaarheden in plugins of thema’s met meer dan 1 miljoen actieve installaties:
- Een Cross-Site Request Forgery kwetsbaarheid: $80.
- Een ongeautoriseerde Cross-Site Scripting kwetsbaarheid: $320 (Lees ook: Dit moet je weten over Cross-Site Scripting aanvallen in WordPress).
- Een ongeautoriseerde SQL injectie: $800.
- Ongeautoriseerde uploads van willekeurige bestanden, Remote Code executie of privilege escalatie naar admin: $1,600.
Wordfence onderscheidt zich op meerdere vlakken van andere bug bounty programma’s. In plaats van mensen te belonen die zoveel mogelijk kwetsbaarheden met een minimale impact rapporteren, worden de meest lucratieve beloningen verdiend op basis van het aantal actieve installaties, de ernst van de kwetsbaarheid, hoe makkelijk de kwetsbaarheid geëxploiteerd kan worden en hoe vaak dat type kwetsbaarheid voorkomt. Er zijn geen beperkingen met betrekking tot de beloningen die een individuele onderzoeker kan verdienen.
Meer weten?
Wil je meer weten over het bug bounty programma van Wordfence, lees dan de aankondiging op de Wordfence blog. Focus je je liever op het beveiligen van je eigen WordPress website? Dan zijn de onderstaande blogposts en kennisbank artikelen het lezen waard:
WordPress https instellen voor jouw website
Beveiligingsvragen toevoegen aan je WordPress login scherm
WordPress login pagina verplaatsen of verbergen
Een DDoS aanval op WordPress voorkomen
