Entrevista con Code Risk: un servicio gratuito de análisis de código de complemento de complemento de WordPress

Las vulnerabilidades en los complementos de WordPress fueron la causa de más hacks del sitio que vulnerabilidades en el núcleo de WordPress. Una de las razones por las cuales esto sucede es la falta de recursos. El software siempre tendrá vulnerabilidades, aunque miles de personas verifican el verificación básica de WordPress. La Fundación también tiene recursos asignados para garantizar que el código sea lo más seguro posible. Por otro lado, muchos desarrolladores de complementos no tienen los recursos disponibles para garantizar que el código de sus complementos sea seguro, especialmente si es un complemento pequeño. Aunque todo cambiará, como explica Hendrik Buchwald en esta entrevista. Hendrik es ingeniero de software, investigador de seguridad y cofundador de RIPS Technologies.
¿Qué hacen las tecnologías RIPS? Rips Technologies es una empresa de tecnología de alta base en Bochum, Alemania. Ofrecemos análisis de seguridad automáticos para aplicaciones PHP como instalación de software local o un servicio en la nube muy escalable. Nuestros algoritmos innovadores de análisis de código, que están especialmente dedicados al lenguaje PHP, pueden identificar vulnerabilidades de seguridad complejas en aplicaciones modernas como ninguna otra solución. Nuestra misión es ofrecer a los desarrolladores y profesionales en seguridad el análisis de seguridad más preciso y efectivo posible. ¿Cuál diría que es el error de seguridad más común que cometen los desarrolladores y cuáles son las primeras 3 vulnerabilidades que ve en los complementos de WordPress?
No es sorprendente que los problemas más comunes son las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) que aparecen cada vez que la entrada del usuario se imprime sin una desinfección adecuada de la página de respuesta HTML. En primer lugar, estos problemas ocurren con frecuencia, porque la producción de datos es la operación de aplicaciones PHP más comunes y, por lo tanto, se ve más afectada por las violaciones de seguridad que otras operaciones. Y en segundo lugar, dada la diversidad de los contextos HTML y sus trampas de higiene, estos problemas son fáciles de ingresar. Las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) son bastante graves en WordPress, ya que pueden usarse, por ejemplo, para inyectar el código PHP a través del editor de plantillas. Afortunadamente, sin embargo, requiere interacción con un administrador. Los segundos problemas más comunes son las vulnerabilidades de inyección SQL. Las inyecciones de SQL son más graves que las vulnerabilidades de secuencias de comandos entre los sitios, porque en el peor de los casos pueden usarse para extraer información confidencial de la base de datos, por ejemplo, las contraseñas sin ninguna interacción del usuario. Como resultado, se pueden usar para ataques maliciosos totalmente automatizados. ¿Qué tan bueno o estúpido diría que es la posición de seguridad general de los 1,000 complementos más populares/descargados? Es difícil de responder, porque no observé los 1,000 complementos más populares en detalle. Dichas operaciones tardarían muchos meses en completarse, y hasta que estemos listos debemos comenzar de nuevo, porque algunos complementos son muy frecuentes.
Por lo tanto, es importante utilizar un servicio de seguridad automatizado, como el riesgo de código. Aunque a partir del puntaje Coderisk, que se genera a partir de los escaneos automáticos y no verificados del código fuente que hacemos en el almacén, puedo decir que el código mayoritario no es malo, aunque hay complementos de puntaje malos. La mayoría de estos complementos siguen siendo muy grandes y tienen muchas características. Esto aumenta automáticamente las posibilidades de tener un error en alguna parte. A partir de nuestras pruebas manuales, también podemos decir que los complementos grandes a menudo tienen vulnerabilidades lógicas. ¿Puede contarnos un poco sobre lo que ofrece a los desarrolladores de complementos de WordPress? El último proyecto Codrisk ayuda a los desarrolladores y usuarios a evaluar el riesgo de su código de complemento de forma gratuita. Por ahora, esto se limita a los complementos de WordPress que están alojados en el almacén oficial de WordPress.
Asumimos automáticamente nuevos complementos del almacén de WordPress y los escaneamos con nuestro escáner de seguridad PHP RIPS. Los resultados detallados de RIP se combinan en un valor de riesgo fácil de entender. El valor tiene en cuenta la gravedad de la explotación exitosa, la cantidad de problemas encontrados en relación con el tamaño del código y la probabilidad de que un tercero pueda abusar de un problema.
Los desarrolladores de PLOW pueden solicitar resultados detallados completos para sus propios complementos a través de un sistema automático. Pueden usar la información para remediar las posibles vulnerabilidades y fortalecer su código, lo que hace que el ecosistema de WordPress sea más seguro. La idea detrás de Coderisk es permitir que los desarrolladores de arado encuentren problemas solo en su código, incluso si no tienen conocimiento. Aunque investigamos mucho sobre la seguridad de WordPress e informamos a muchas vulnerabilidades de los desarrolladores, hay demasiados complementos para analizarlos todos manuales. Muchos desarrolladores de complementos se suscriben y usan su servicio de análisis de código gratuito. ¿Cómo es la respuesta de la comunidad de WordPress? Actualmente, hay docenas de desarrolladores de complementos que usan Coderisk para reducir el riesgo de vulnerabilidades de seguridad en sus complementos. Hasta ahora he recibido muchos buenos comentarios y Coderisk ya ha ayudado a resolver cientos de problemas. Los escáneres automáticos tienden a informar casos positivos falsos y marginales que pueden no ser explotados. Dado que muchos desarrolladores no conocen la seguridad, ¿qué hace para ayudarlos y evitar falsas alarmas?

Nuestros usuarios deben tener en cuenta que destacamos el código que presenta un riesgo de seguridad. Entre las vulnerabilidades de seguridad involuntarias, esto incluye otros hallazgos, por ejemplo, una protección débil que puede convertirse en una amenaza más adelante. No tiene que saber si un problema es explotable para asegurarse de que no se convertirá en una amenaza de seguridad en el futuro. Por ejemplo, si imprime el valor devuelto de una función, asegúrese de codificarlo correctamente para evitar vulnerabilidades de secuencias de comandos entre los sitios. Incluso si el valor devuelto aún no contiene la entrada del usuario, este no podría ser el caso en el futuro. ¿Ves que este proyecto gratuito de WordPress va? ¿Tienes planes para eso? ¿Puede ofrecer un servicio premium a los desarrolladores, para ayudarlos a comprender los resultados y aprovecharlos al máximo? La próxima versión de Coderisk agregará soporte para los temas de WordPress, ya que son una parte integral de la mayoría de los blogs y a menudo contienen vulnerabilidades. En un momento, nos gustaría expandir Coderisk a otros sistemas de administración de contenido. Actualmente, no hay planes para un servicio premium, pero si hay suficiente solicitud para ello, esto podría cambiar.