Als einer der fuehrenden Plugin-Entwickler in der WordPress-Community nehmen wir Sicherheit sehr ernst. Wir sind uns jedoch bewusst, dass es Schwachstellen geben kann, die wir noch nicht entdeckt haben. Deshalb ermutigen wir unsere Benutzer und die Sicherheits-Community, alle gefundenen Sicherheitsprobleme direkt an uns zu melden. Dieser Artikel beschreibt unseren Meldeprozess, unsere Richtlinien und Belohnungen.
Belohnungen
Wir bieten Belohnungen basierend auf dem Schweregrad der Schwachstelle, wie durch das Common Vulnerability Scoring System (CVSS) bestimmt. Die folgende Tabelle zeigt unsere allgemeinen Richtlinien fuer Belohnungen, aber wir behalten uns das Recht vor, endgueltige Entscheidungen ueber Belohnungen zu treffen.
- Schweregrad Belohnung Kritisch $1.000
- Hoch $750
- Mittel $300
- Niedrig $100
- Informativ –
Geltungsbereich des Programms
Unser Sicherheitsmeldeprogramm umfasst die neuesten Versionen der folgenden Plugins:
- WP STAGING Free
- WP STAGING Pro (kostenpflichtig)
Bitte beachte, dass dieses Programm keine anderen WP STAGING-bezogenen Produkte oder Dienste abdeckt, einschliesslich der WP STAGING Website und des Kundenportals. Wenn du jedoch eine schwerwiegende Sicherheitsluecke auf diesen Plattformen entdeckst, informiere uns bitte.
Themen, die nicht im Geltungsbereich dieses Programms liegen, umfassen:
- Offenlegung der WP STAGING Versionsnummer,
- CSV-Injection ohne Nachweis einer Schwachstelle,
- fehlende Best Practices in der SSL/TLS-Konfiguration,
- Content-Spoofing und Textinjektionsprobleme ohne Darstellung eines Angriffsvektors,
- theoretische Schwachstellen, die keine signifikanten Sicherheitsauswirkungen mit einem Proof of Concept nachweisen, sowie Probleme im Zusammenhang mit Administrator- oder Editorrechten, die das Posten von beliebigem JavaScript ermoeglichen.
So reichst du einen Bericht ein
Um eine Kopie unseres kostenlosen Plugins zum Testen zu erhalten, kannst du es von WordPress.org herunterladen unter https://wordpress.org/plugins/wp-staging/. Wenn du eines unserer kostenpflichtigen Plugins zum Testen benoetigst, kontaktiere uns bitte unter support@wp-staging.com mit deinem Testplan.
Bitte stelle bei der Einreichung eines Berichts detaillierte Informationen ueber die Schwachstelle bereit, einschliesslich reproduzierbarer Schritte. Bitte reiche pro Bericht nur eine Schwachstelle ein, es sei denn, du musst Schwachstellen verketten, um die Auswirkungen zu demonstrieren. Wenn wir doppelte Berichte erhalten, belohnen wir den ersten, den wir erhalten und vollstaendig reproduzieren koennen. Mehrere Schwachstellen, die durch ein zugrundeliegendes Problem verursacht werden, sind nur fuer eine Belohnung berechtigt.
Wenn sich deine Tests mit Systemen oder Diensten ueberschneiden, die dir nicht gehoeren, unternimm bitte nach bestem Wissen und Gewissen alle Anstrengungen, um Datenschutzverletzungen, Datenvernichtung sowie Unterbrechung oder Beeintraechtigung dieser Dienste zu vermeiden. Interagiere nur mit Konten, die dir gehoeren, oder mit ausdruecklicher Genehmigung des Kontoinhabers.
Offenlegungsrichtlinie
Bitte bespreche keine Schwachstellen, auch keine behobenen, ohne unsere ausdrueckliche Zustimmung.
Deinen Bericht einreichen
Wenn du ein Sicherheitsproblem gefunden hast, das in den Geltungsbereich unseres Programms faellt und unsere Richtlinien erfuellt, reiche deinen Bericht bitte an support@wp-staging.com ein. Bitte fuege in deiner E-Mail Folgendes bei:
- Die Berechnung des CVSS mit dem Rechner
- Die Auswirkungen des Problems
- Eine detaillierte Anleitung zur Reproduktion des Problems
- Die E-Mail-Adresse, die du zur Erstellung eines WP STAGING Kontos verwendet hast
Nach der Einreichung
Wir werden uns bemuehen, umgehend auf deinen Bericht zu reagieren, mit dem Ziel, innerhalb von drei Werktagen nach Einreichung zu antworten. Nach der Sichtung deines Berichts streben wir eine Loesung innerhalb von 10 Werktagen an. Sobald eine Loesung erreicht wurde, bemuehen wir uns, etwaige Belohnungen innerhalb weiterer 10 Werktage auszuzahlen.
Wir halten dich waehrend des gesamten Prozesses ueber unseren Fortschritt auf dem Laufenden. Vielen Dank, dass du uns hilfst, unsere Plugins und die WordPress-Community sicher zu halten!