WP Staging, als bedeutendes Backup Plugin in der WordPress-Umgebung, legt größten Wert auf Sicherheit. Da wir uns bewusst sind, dass eine vollständige Abdeckung aller Sicherheitsaspekte eine Herausforderung darstellt, ermutigen wir unsere Nutzer und die Sicherheits-Community, uns sicherheitsrelevante Entdeckungen direkt mitzuteilen. Dieser Artikel erklärt Dir, wie Du Deine Berichte einreichst, welche Richtlinien gelten und welche Belohnungen Du für Deine Beiträge erwarten kannst.
Contents
Belohnungen (Bug Bounty)
Wir zahlen für Sicherheitsberichte folgende Beträge:
| Schweregrad | Belohnung |
|---|---|
| Kritisch | $800 |
| Hoch | $400 |
| Mittel | $200 |
| Niedrig | $100 |
| Informativ | – |
Der Schweregrad basiert auf dem CVSS (Common Vulnerability Scoring System). Wenn Du Deinen Sicherheitsbericht einreichst, stelle sicher, dass Du eine Berechnung des CVSS beifügst. Die Belohnungstabelle dient als allgemeine Richtlinie, und alle endgültigen Entscheidungen liegen im Ermessen von WP Staging.
Voraussetzungen / Umfang dieses Programms
Der Umfang dieses Belohnungsprogramms erstreckt sich auf die neueste Version unserer Plugins. Konkret:
- WP Staging kostenlose Version
- WP Staging Pro Version
Der Umfang dieses Programms erstreckt sich nicht auf andere Produkte oder Dienste im Zusammenhang mit WP Staging, einschließlich der WP Staging Website und des Kundenportals. Solltest Du jedoch auf ein bedeutendes Sicherheitsproblem in diesen Bereichen stoßen, bitten wir Dich ausdrücklich, uns darüber zu informieren.
Themen außerhalb des Geltungsbereichs
- Offenlegung der WP Staging Versionsnummer.
- Comma Separated Values (CSV) Injection ohne Nachweis einer Sicherheitslücke.
- Fehlende Best Practices in der SSL/TLS-Konfiguration.
- Content Spoofing und Textinjektionsprobleme ohne Angriffsvektor bzw. ohne die Möglichkeit, HTML/CSS zu verändern.
- Theoretische Sicherheitslücken, bei denen Du keine signifikante Sicherheitsauswirkung mit einem Proof of Concept nachweisen kannst.
- Nutzer mit Administrator- oder Editor-Rechten können beliebiges JavaScript posten.
- Ergebnisse automatisierter Scans – bitte überprüfe die Probleme manuell und füge einen gültigen Proof of Concept bei.
- Nichteinhaltung von Sicherheits-Best-Practices – ohne funktionierenden Proof of Concept.
So erhältst Du eine Kopie unserer Plugins zum Testen
Du kannst die kostenlose Version von WP Staging auf wordpress.org herunterladen unter
https://wordpress.org/plugins/wp-staging/
Wenn Du WP Staging Pro für Sicherheitstests erhalten möchtest, kontaktiere uns bitte unter support [at] wp-staging.com und beschreibe, was Du vorhast.
Bedingungen und Regeln
- Stelle sicher, dass Deine Berichte detailliert sind und Schritt-für-Schritt-Anleitungen enthalten, die leicht nachvollzogen werden können. Berichte ohne ausreichende Details zur Reproduktion des Problems qualifizieren sich nicht für eine Belohnung.
- Jeder Bericht sollte sich auf eine einzelne Sicherheitslücke konzentrieren, es sei denn, die Demonstration der Auswirkung erfordert die Verkettung mehrerer Sicherheitslücken.
- Bei doppelten Einreichungen wird nur für den zuerst eingegangenen Bericht, der vollständig reproduziert werden kann, eine Belohnung vergeben.
- Wenn mehrere Sicherheitslücken auf eine einzelne Grundursache zurückzuführen sind, können sie für die Belohnung als eine betrachtet werden.
- Bei der Durchführung von Tests, die Systeme oder Dienste betreffen könnten, die Dir nicht gehören, ist es wichtig, Privatsphäre, Datenintegrität und Dienstkontinuität zu priorisieren. Vermeide alle Aktionen, die diese Aspekte gefährden könnten. Interaktionen sollten auf Konten beschränkt sein, die Dir gehören oder für die Du die ausdrückliche Zustimmung des Kontoinhabers erhalten hast.
Offenlegungsrichtlinie
Bitte diskutiere keine Sicherheitslücken (auch nicht behobene) ohne ausdrückliche Zustimmung.
Deinen Bericht einreichen
Wenn Du ein Sicherheitsproblem identifizierst, das den Richtlinien und dem Umfang dieses Projekts entspricht, sende Deine Ergebnisse bitte an support @ wp-staging.com. Stelle in Deiner E-Mail sicher, dass Du folgende Punkte abdeckst:
- Deine Einschätzung des CVSS-Scores unter Verwendung des bereitgestellten Rechners.
- Eine Erklärung der potenziellen Auswirkungen des Problems.
- Eine umfassende Beschreibung der Schritte zur Reproduktion des Problems.
- Die E-Mail-Adresse, die mit Deinem WP Staging Konto verknüpft ist und die Du bei der Registrierung verwendet hast.
Nach Deinem Bericht
Unser Team ist bestrebt, Sicherheitsberichte mit größter Sorgfalt zu bearbeiten, und wird die folgenden Reaktionszeiten anstreben:
- Erste Antwortzeit (nach Erhalt des Berichts) – innerhalb von 3 Werktagen
- Zeit zur Bewertung und Kategorisierung des Berichts (ab Einreichung) – innerhalb von 10 Werktagen
- Zeit zur Festlegung und Auszahlung der Belohnung (nach der Bewertungsphase) – innerhalb von 10 Werktagen
Während dieses gesamten Prozesses werden wir Dich regelmäßig über unseren Fortschritt informieren.