Patchstack выпускает бесплатный плагин безопасности, его красная команда обнаружила 1182 уязвимости с марта

В сентябре Patchstack опубликовал шестимесячный отчет об уязвимостях, обнаруженных в WordPress и его расширениях. На тот момент в нем было перечислено более 1000 проблем – компания поделилась обновленными цифрами с WP Tavern. Вскоре за этим последовал бесплатный плагин для сообщения об уязвимостях.

Под флагом WebARX компания запустила первую версию своей платформы безопасности в 2018 году. После расширения своего первоначального предложения SaaS за счет таких услуг, как PlugBounty и приобретения ThreatPress, в марте этого года компания переименовалась в Patchstack .

В своем техническом документе за 2020 год компания по безопасности обнаружила 582 уязвимости за год. В этом отчете рассматриваются проблемы как от Patchstack, так и от сторонних поставщиков.

Однако количество проблем, обнаруженных в 2021 году, увеличилось по сравнению с предыдущим годом. Patchstack Red Team , программа сообщества по поиску ошибок, которая выплачивает ежемесячные вознаграждения, сообщила о 1182 уязвимостях с марта по октябрь. На данный момент выплаты за вознаграждение достигли 9 150 долларов.

Это просто проблемы, обнаруженные с помощью Patchstack Red Team. В сочетании с проблемами безопасности, о которых сообщают другие поставщики, которые отслеживает компания, количество уязвимостей возрастает до более 2000.

«Я не думаю, что нам следует беспокоиться», – сказал Оливер Силд, основатель и генеральный директор Patchstack, когда его спросили, насколько серьезной проблемой являются эти цифры. «Я думаю, мы должны быть благодарны и рады, что у нас есть этичные хакеры и исследователи, которые вкладывают больше времени, помогая разработчикам плагинов улучшать свой код. С одной стороны, вы можете увидеть рекордный год с точки зрения обнаруженных новых уязвимостей, но мы видим рекордный год исправлений проблем безопасности в экосистеме WordPress. Большинство этих вопросов лежало там годами ».

Несколько поставщиков плагинов безопасности и хостинговые компании, включая Pagely и Cloudways, поддерживают инициативу Patchstack. Взамен у них есть доступ к Threat Intelligence Feed , API, чтобы предупреждать своих клиентов о вновь обнаруженных уязвимостях.

«Patchstack уделяет особое внимание уязвимостям плагинов, – сказал Силд. «Это то, на чем мы сосредоточены и стремимся делать все возможное. Нашим конкурентным преимуществом является тот факт, что у нас меньше функций, что означает меньшее раздувание и не влияет на производительность сайта. Тем временем мы решаем, вероятно, проблему безопасности №1 в экосистеме WordPress ».

Он ссылается на сторонние плагины и темы как на главную проблему безопасности. Более 96% уязвимостей в официальном документе компании за 2020 год были связаны с расширениями WordPress.

В октябре Patchstack назначил Роберта Роули , бывшего руководителя службы безопасности DreamHost и Pagely, на новую роль «защитника безопасности». Силд сказал, что его знания принесут много опыта.

«Он поможет нам сделать Patchstack лучше как для хостинговых компаний, так и для разработчиков плагинов», – сказал генеральный директор. «В то же время он поможет нам сократить разрыв между разработчиками плагинов и этическими хакерами, распространяя информацию и помогая обеим сторонам лучше понимать друг друга (и проблемы)».

На прошлой неделе компания выпустила свой плагин Patchstack в каталог WordPress. Бесплатная версия – это, по сути, система предупреждения владельцев сайтов о проблемах с безопасностью.

«Вы можете думать о версии Community (Free) как о возможности для любого участника экосистемы WordPress быть предупрежденным о новых уязвимостях, обнаруженных в плагинах, темах и ядре WordPress», – сказал Силд. «Он поставляется с центральной панелью управления, на которую вы можете бесплатно добавить до 99 веб-сайтов, так что вы будете иметь всю аналитику и предупреждения о проблемах безопасности на всех ваших сайтах в одном месте».

Бесплатная версия не включает исправлений и патчей. Его цель – обнаруживать проблемы и предоставлять предупреждения. Patchstack обновил функции в планах Pro и Business .

«Pro ​​поставляется с автоматическим виртуальным исправлением тех уязвимостей, которые обеспечивают активную защиту от обнаруживаемых уязвимостей», – сказал Силд. «Бизнес-план отлично подходит для агентств, у которых более 100 сайтов и которые хотят иметь полную защиту от уязвимостей плагинов на всех своих сайтах».

Sild также дразнил «кое-что очень крутое» для разработчиков и этичных хакеров, которые собираются создать более безопасную экосистему плагинов. Однако он воздержался от каких-либо подробностей.