A settembre, Patchstack ha rilasciato il suo rapporto semestrale sulle vulnerabilità riscontrate con WordPress e le sue estensioni. All’epoca, elencava oltre 1.000 problemi: la società ha condiviso i numeri aggiornati con WP Tavern. Presto è stato seguito da un plug-in gratuito per la segnalazione delle vulnerabilità.
Sotto la bandiera di WebARX, l’azienda ha lanciato la prima versione della sua piattaforma di sicurezza nel 2018. Dopo essere cresciuta oltre la sua offerta SaaS originale con servizi come PlugBounty e l’acquisizione di ThreatPress, l’azienda rinominato in Patchstack nel marzo di quest’anno.
Nel suo Libro bianco 2020, la società di sicurezza ha rilevato 582 vulnerabilità per l’anno. Questo rapporto copre i problemi sia di Patchstack che di fornitori di terze parti.
Tuttavia, i problemi riscontrati nel 2021 si sono moltiplicati rispetto all’anno precedente. Patchstack squadra rossa, un programma di ricerca di bug della comunità che paga premi mensili, ha segnalato 1.182 vulnerabilità da marzo a ottobre. Finora i pagamenti delle taglie hanno raggiunto $ 9.150.
Questi sono semplicemente i problemi riscontrati tramite Patchstack Red Team. Se combinato con problemi di sicurezza segnalati tramite altri fornitori di cui l’azienda tiene traccia, il conteggio delle vulnerabilità sale a oltre 2.000.
“Non credo che dobbiamo essere preoccupati”, ha detto Oliver Sild, fondatore e CEO di Patchstack, quando gli è stato chiesto quanto siano un problema questi numeri. “Penso che dovremmo essere grati e contenti di avere hacker e ricercatori etici che hanno investito più del loro tempo aiutando gli sviluppatori di plugin a migliorare il loro codice. Da un certo punto di vista, potresti vedere un anno record in termini di nuove vulnerabilità trovate, ma quello che vediamo è un anno record di problemi di sicurezza risolti nell’ecosistema WordPress. La maggior parte di questi problemi è rimasta lì per anni”.
Diversi fornitori di plug-in di sicurezza e società di hosting, tra cui Pagely e Cloudways, stanno supportando l’iniziativa Patchstack. In cambio, hanno accesso al Feed di informazioni sulle minacce, un’API per avvisare i propri clienti di nuove vulnerabilità.
“Patchstack è estremamente focalizzato sulle vulnerabilità dei plug-in”, ha affermato Sild. “Questo è ciò su cui ci concentriamo e ci impegniamo per fare meglio. Il nostro vantaggio competitivo è il fatto che abbiamo meno funzionalità, il che significa meno ingombro e nessun impatto sulle prestazioni del sito. Nel frattempo, risolviamo probabilmente il problema di sicurezza numero 1 nell’ecosistema di WordPress.
Si riferisce a plugin e temi di terze parti come il problema di sicurezza principale. Oltre il 96% delle vulnerabilità nel whitepaper 2020 dell’azienda proveniva da estensioni di WordPress.
Ad ottobre, Patchstack portato in Robert Rowley, ex capo della sicurezza presso DreamHost e Pagely, in un nuovo ruolo di “avvocato della sicurezza”. Sild ha detto che la sua conoscenza avrebbe portato molta esperienza al tavolo.
“Ci aiuterà a migliorare Patchstack sia per le società di hosting che per gli sviluppatori di plug-in”, ha affermato il CEO. “Allo stesso tempo, ci aiuterà a ridurre il divario tra sviluppatori di plug-in e hacker etici diffondendo consapevolezza e aiutando entrambe le parti a capirsi meglio (e le sfide)”.
La scorsa settimana, la società ha rilasciato il suo Plugin Patchstack alla directory di WordPress. La versione gratuita è essenzialmente un sistema di avviso per i proprietari di siti di problemi di sicurezza.
“Puoi pensare alla versione Community (gratuita) come un’opzione per chiunque nell’ecosistema WordPress per essere avvisato delle nuove vulnerabilità trovate nei plugin, nei temi e nel core di WordPress”, ha affermato Sild. “Viene fornito con una dashboard centrale in cui puoi aggiungere gratuitamente fino a 99 siti Web, così avrai tutte le analisi e gli avvisi sui problemi di sicurezza su tutti i tuoi siti in un unico posto.”
La versione gratuita non include hotfix o patch. Il suo obiettivo è rilevare problemi e fornire avvisi. Patchstack ha funzionalità aggiornate nel suo Piani Pro e Business.
“Pro viene fornito con patch virtuali automatiche per quelle vulnerabilità che forniscono protezione attiva contro le vulnerabilità che vengono scoperte”, ha affermato Sild. “Il piano aziendale è ottimo per le agenzie che hanno più di 100 siti e vogliono avere una protezione completa contro le vulnerabilità dei plug-in su tutti i loro siti web.”
Sild ha anche suggerito “qualcosa di molto interessante” per gli sviluppatori e gli hacker etici in cantiere per creare un ecosistema di plug-in più sicuro. Tuttavia, si è astenuto dal fornire dettagli.