Et la demande. Malgré mes qualifications, on mamp;rsquoa damp;rsquoabord refusé le cours, mais jamp;rsquoai réussi à trouver lamp;rsquoadresse e mail de mon professeur et à lui écrire une longue histoire sur ce que je pensais que le cours était la seule chose que jamp;rsquoavais envie de faire dans ma vie. Enfin, jamp;rsquoai été accepté! Quatre ans plus tard, jamp;rsquoai terminé le cours avec les meilleures notes.
Par la suite, jamp;rsquoa i obtenu un emploi damp;rsquoingénieur de la sécurité des applications Web dans une entreprise damp;rsquoessais approfondis, où jamp;rsquoai testé les problèmes de sécurité de nombreuses des meilleures entreprises du Royaume Uni. Jamp;rsquoai quitté mon emploi, jamp;rsquoai fondé ma société de tests de pénétration, et finalement wpscan, et je suis ici maintenant. 2. Vous êtes actif dans le domaine de la sécurité des applications Web depuis de nombreuses années. Qu’est ce qui intéresse particulièrement chez WordPress? J’ai commencé à bloguer sur mes expériences et ce que j’ai appris en matière de sécurité et j’ai utilisé WordPress comme plateforme de blogging préférée. Un jour, j’ai rencontré une vulnérabilité de sécurité publiée par d’autres personnes qui a affecté WordPress. Comme je travaille dans l’industrie de la sécurité et que j’utilise WordPress personnellement, j’ai écrit un test de vulnérabilité sur mon site Web. Ensuite, j’ai créé un trou de lapin pour d’autres failles de sécurité qui ont touché WordPress et j’ai fini par mettre toutes ces connaissances dans un outil que j’appelle wpscan.
De nombreux experts en sécurité d’applications Web méprisent WordPress. J’ai parlé à beaucoup de gens qui ont affirmé qu’ils n’utiliseraient jamais WordPress ou que son fonctionnement n’était pas parfait (par exemple, le plugin a un accès complet à tous les crochets, etc.). Quamp;rsquoen penses tu? Comme WordPress est si largement utilisé sur le Web, c’est une cible intéressante pour les attaquants. Cela a conduit de nombreux chercheurs en sécurité et hackers Black hat à vérifier WordPress pendant qu’il était encore en ligne
Izzy. Comme WordPress n’est pas aussi mature qu’aujourd’hui, de nombreux problèmes de sécurité ont été détectés. Mais aujourd’hui, au cœur de WordPress se trouve un système de gestion de contenu (CMS) très sécurisé. Le problème est maintenant avec son plug in tiers. Avec tant de plugins, cela attire damp;rsquoabord les utilisateurs, mais chaque plugin que installez présente des risques supplémentaires pour votre site.
Mais d’après mon expérience, cela s’améliore avec la création d’entreprises innovantes et au fil du temps, nous avons vu les plugins WordPress devenir plus sûrs. Uniquement pour le niveau de recherche et les entreprises qui se consacrent maintenant à ce domaine. 4. Pour wpscan, il existe un scanner open source, un plug in, une base de données de vulnérabilité, etc. Pouvez expliquer comment ces éléments sont liés, ce que les utilisateurs devraient utiliser et pourquoi? Wpscan WordPress Vulnerability Database est une Fédération de tous nos services. Tous nos autres produits et services sont basés sur des bases de données et sont des clients qui utilisent les données et les rendent utiles aux utilisateurs.
L’outil wpscan CLI, notre premier produit disponible gratuitement pour les utilisateurs non commerciaux, scanne le site WordPress d’un point de vue externe pour fournir une vue hacker du site WordPress. Cependant, cet outil exige que lamp;rsquoutilisateur se familiarise avec lamp;rsquoutilisation de la ligne de commande et peut parfois ne pas être facile à installer, selon le niveau technique de lamp;rsquoutilisateur. Cet outil est conçu pour les testeurs de pénétration et les développeurs. Notre dernière gamme de produits est notre plugin de sécurité WordPress wpscan spécialement conçu pour vos utilisateurs quotidiens de WordPress. Il suffit d’installer le plugin à partir du dépôt WordPress officiel, de configurer le jeton API, de lancer exeg
Uire scanne et commence à recevoir des notifications de sécurité. Le but de ce plug in est de faire comprendre les problèmes de sécurité avant quamp;rsquoun hacker namp;rsquoait lamp;rsquooccasion de les exploiter.
Que faut il pour maintenir les plugins WordPress, les thèmes et les bases de données de vulnérabilité? Comment trouver de nouveaux problèmes et comment les entretenir? Ça demande beaucoup de travail. Chaque vulnérabilité que nous mettons en place dans la base de données est exécutée par un ingénieur de sécurité WordPress expérimenté, de sorte que pouvez avoir un haut niveau de sécurité, en fait, il s’agit d’une vulnérabilité réelle et non d’un faux positif. Nous avons trouvé des failles dans un large éventail de sources. Nous avons une équipe indépendante de chercheurs de base en sécurité qui découvrent des vulnérabilités dans WordPress, plugins ou thèmes et nous les envoient directement. Nous surveillons également constamment les médias sociaux, les forums, les blogs, les sites Web et les moteurs de recherche pour trouver des mots clés qui pourraient être des vulnérabilités de sécurité dont quelqu’un parle dans WordPress.
Parfois, nous effectuons nous mêmes des recherches indépendantes sur la sécurité. Par exemple, un membre de notre équipe a récemment découvert une vulnérabilité de falsification de requêtes inter sites (csrf) dans le noyau WordPress, qui a été corrigée. Nous avons également beaucoup de pots de miel sur le Web pour surveiller les attaques, ce qui nous a permis de découvrir une vulnérabilité de 0 jour. 6. Pouvez expliquer au lecteur le processus de vérification des vulnérabilités avant de les publier? Ou Suivez des processus pour assurer que les données déclarées sont valides et correctes? Dans la plupart des cas, il est évident que les rapports de vulnérabilité sont faux. Notre équipe damp;rsquoexperts namp;rsquoa souvent quamp;rsquoà lire lamp;rsquoavis pour déterminer samp;rsquoil est techniquement correct. Damp;rsquoautres fois, ce namp;rsquoest pas facile et nous devons vérifier manuellement la vulnérabilité en installant une version vulnérable et en essayant de lamp;rsquoexploiter.
Ce qui nous prend le plus de temps
Wpscan Official Directory.
Entretien avec Ryan dewhurst, fondateur de wpscan
