WordPress nu op HackerOne

Het WordPress Security Team heeft afgelopen week aangekondigd dat het nu officieel op HackerOne zit. HackerOne is een platform waarop hackers op een discrete manier kwetsbaarheden kunnen rapporteren aan het WordPress-team.

Nu meer dan 28 procent van het internet op WordPress draait is dit geen overbodige luxe; ieder lek moet natuurlijk zo snel mogelijk gedicht worden. Wanneer zo’n lek ontdekt wordt kan dat nu via HackerOne op een discrete manier aan Automattic worden teruggekoppeld.

HackerOne

HackerOne werd in 2012 opgericht door security researchers van Facebook, Microsoft en Google. Het hoofdkantoor van HackerOne zit in San Francisco, net als dat van Automattic, het bedrijf achter WordPress.

Niet alleen Automattic maakt gebruik van HackerOne, ook het Pentagon en bedrijven als Uber maken er gebruik van.

Bug bounties

Door een bug of lek te rapporteren via HackerOne kun je een geldbedrag verdienen. Dit heet ook wel een bug bounty. Ieder bedrijf op HackerOne mag zelf weten óf ze een reward uitkeren en ook hoe hoog dit bedrag is. Bedrijven als Uber betalen soms duizenden euro’s aan hackers die een kwetsbaarheid rapporteren. Automattic heeft tot nu toe 3700 dollar uitgekeerd aan bug bounties aan 7 verschillende hackers die bugs in WordPress hebben gerapporteerd.

Niet alleen voor WordPress kunnen er bounties worden verdiend. Ook projecten als BuddyPress, bbPress, GlotPress en WP-CLI doen mee. Daarnaast kun je bugs rapporteren over alle websites van het WordPress-project, zoals WordPress.org, bbPress.org, WordCamp.org, BuddyPress.org en GlotPress.org.

WordPress-plugins

Waar HackerOne nadrukkelijk niet voor bedoeld is, is het rapporteren van bugs in plugins. Deze ‘security issues’ dien je nog altijd te rapporteren via WordPress.org. Dat is jammer, want de meeste lekken in WordPress worden veroorzaakt door plugins en themes. Deze worden vaak echter niet door Automattic of WordPress zelf gemaakt, dus heel raar is het niet dat deze niet via HackerOne gerapporteerd kunnen worden.