Sicherheit

WP Staging nimmt Sicherheit sehr ernst. Wir tun alles in unserer Macht Stehende, um die Sicherheit unserer Nutzer zu gewährleisten.

Diese Seite informiert darüber, wie Du Sicherheitsprobleme an uns melden kannst und wie diese behandelt werden. Außerdem findest Du hier Details zu gemeldeten Sicherheitsproblemen, die wir in der Vergangenheit bearbeitet haben.

Eine Sicherheitslücke melden

Du hast eine Sicherheitslücke in WP Staging gefunden? Bitte stelle sicher, dass Du sie verantwortungsvoll offenlegst, indem Du eine Sicherheitslücke über GitHubs Security Advisory meldest.

ERSTELLE KEINE ÖFFENTLICHEN ISSUES FÜR SICHERHEITSLÜCKEN!

Wir sind hauptsächlich an Berichten von tatsächlichen WP Staging Nutzern interessiert, die mit der Software vertraut sind, aber alle hochwertigen Beiträge sind willkommen. Bitte beschreibe so gut wie möglich eine klare und realistische Auswirkung in Deinem Bericht.

Im Interesse der Sicherheit unserer Nutzer bitten wir Dich 🙏, Sicherheitslücken nicht öffentlich zu machen, ohne uns zu benachrichtigen und uns mindestens 90 Tage Zeit zu geben, eine korrigierte Version zu veröffentlichen. Wir werden unser Bestes tun, innerhalb von 7 Tagen auf Deinen Bericht zu antworten und Dich über den Fortschritt unserer Bemühungen zur Lösung des Problems auf dem Laufenden zu halten. Aufgrund anderer Verpflichtungen können wir möglicherweise nicht so schnell antworten, wie Du es Dir wünschst.

Wenn Du über die Sicherheit von WP Staging schreiben möchtest, kontaktiere uns bitte, damit wir sicherstellen können, dass alle Angaben korrekt sind.

NICHT QUALIFIZIERENDE SICHERHEITSLÜCKEN

Wir akzeptieren keine Berichte über Sicherheitslücken der folgenden Art:

  • Berichte von automatisierten Tools oder Scannern.
  • Theoretische Angriffe ohne Nachweis der Ausnutzbarkeit.
  • Angriffe, die das Ergebnis einer Drittanbieter-Anwendung oder -Bibliothek sind (diese sollten stattdessen den Bibliotheks-Maintainern gemeldet werden).
  • Social Engineering.
  • Angriffe, die erfordern, dass der Nutzer Zugang zum Host-System hat, auf dem WP Staging installiert ist.
  • Angriffe, die physischen Zugang zum Gerät eines Nutzers erfordern oder ein Gerät oder Netzwerk betreffen, das bereits ernsthaft kompromittiert ist (z. B. Man-in-the-Middle).
  • Angriffe, bei denen der Nutzer eine bösartige andere Software installieren muss, wie eine Drittanbieter-Integration, ein Add-on oder Plugin.
  • Angriffe, die der Nutzer nur gegen seine eigene Installation durchführen kann.
  • Privilege-Escalation-Angriffe für eingeloggte Nutzer. WP Staging geht davon aus, dass jeder Nutzer vertrauenswürdig ist, und erzwingt keine Nutzerrechte. Es wird angenommen, dass jeder eingeloggte Nutzer den gleichen Zugang wie ein Owner-Konto hat.

UNTERSTÜTZTE VERSIONEN

Wir akzeptieren nur Berichte gegen die neueste stabile und offizielle Version von WP Staging oder Versionen, die sich derzeit in Entwicklung oder im Betatest befinden. Die neueste Version findest Du auf unserer GitHub-Releases-Seite.

Wir akzeptieren keine Berichte gegen Forks von WP Staging.

SCHWEREGRAD-BEWERTUNG

Wenn Du mit CVSS3.1 vertraut bist, gib bitte den Schweregrad der Sicherheitslücke in Deinem Bericht in Form eines Vektorstrings an. Es gibt einen Rechner, der hilfreich sein kann. Wenn Du Dir unsicher bist oder den Schweregrad nicht bewerten kannst, gib dies in Deinem Bericht an, und wir werden uns darum kümmern.

Wenn Du eine Bewertung abgeben möchtest, mache Dich bitte zuerst mit CVSS vertraut (wir empfehlen dringend, die Spezifikation und den Bewertungsleitfaden zu lesen), da wir keine Berichte akzeptieren, die CVSS falsch verwenden.

ÖFFENTLICHE OFFENLEGUNG & CVE-ZUWEISUNG

Wir veröffentlichen GitHub Security Advisories und beantragen darüber auch CVEs für gültige Sicherheitslücken, die die folgenden Kriterien erfüllen:

  • Die Sicherheitslücke befindet sich in WP Staging selbst, nicht in einer Drittanbieter-Bibliothek.
  • Die Sicherheitslücke ist uns noch nicht bekannt.
  • Die Sicherheitslücke ist der Öffentlichkeit noch nicht bekannt.
  • CVEs werden nur für Sicherheitslücken mit einem Schweregrad von mittel oder höher beantragt.

BOUNTIES

Als Open-Source-Projekt kann WP Staging keine Bounties für Sicherheitslücken anbieten. Wenn gewünscht, werden wir jedoch selbstverständlich den Entdecker einer Sicherheitslücke namentlich erwähnen.