En 2018, WebARX a lancé la première version de sa plate-forme de sécurité et est passée à 3000 utilisateurs. Plus tôt ce mois-ci, l’entreprise a décidé de renommer Patchstack. En dehors du fait que les clients se trompent de nom, la société s’est développée au-delà de son produit SaaS d’origine, fournissant d’autres services comme PlugBounty, une plate-forme de recherche de bogues open source. Plus tôt cette année, ils ont également acquis ThreatPress, un fournisseur de services de sécurité WordPress. La combinaison des trois a créé une opportunité de relancer la marque.

Patchstack est une société de sécurité de site Web. Au lieu de se concentrer directement sur le logiciel WordPress de base, il plonge dans le monde des extensions tierces. Pour WordPress, cela signifie surveiller et corriger les vulnérabilités dans les plugins, les thèmes et tout autre composant que les utilisateurs peuvent installer. Le public principal du service comprend les développeurs et les agences numériques. Il les aide à identifier les problèmes et fournit des correctifs presque en temps réel pour éliminer les menaces.

Oliver Sild, fondateur et PDG de Patchstack, avait déjà l’idée de PlugBounty en 2018. «J’ai réalisé qu’il était impossible de s’attaquer aux problèmes de sécurité dans l’écosystème WordPress si nous n’avons pas une grande et forte communauté derrière la sécurité car il y a derrière plugin / développeurs de thèmes. J’ai créé une plate-forme sur laquelle les chercheurs en sécurité peuvent rapidement créer un rapport de sécurité détaillé pour n’importe quel plugin WordPress et qui sera ensuite livré au développeur du plugin. “

Le nouveau Équipe Rouge Patchstack était ce qui était auparavant le projet PlugBounty. Son entreprise et d’autres membres de l’écosystème WordPress contribuent au «prizepool», en espèces versées mensuellement aux meilleurs chercheurs en sécurité en fonction des scores de leurs contributions. Tous les résultats sont également rendus publics gratuitement via le Base de données Patchstack.

«Nous gérons le processus de triage en suivant une politique de divulgation réactive stricte et nous nous assurons que les informations parviennent à la bonne personne et que la vulnérabilité sera correctement corrigée», a déclaré Sild.

Patchstack avait déjà conservé une base de données interne pour comparer les versions des logiciels des clients. Après avoir ajouté PlugBounty au mélange, il lui fallait une base de données publique pour donner du crédit à la communauté des chercheurs en sécurité.

«Nous avons eu des discussions avec différents fournisseurs de bases de données dans l’écosystème, mais la vision a vraiment cliqué avec ThreatPress», a déclaré Sild. «Le fondateur de ThreatPress a également rejoint notre équipe et exécute désormais les opérations de la base de données Patchstack et de la Red Team Patchstack. Patchstack Database fournira des informations sur les vulnérabilités de sécurité dans l’écosystème WordPress et restera libre d’utilisation pour le public. Nous avons également une API que les sociétés d’hébergement peuvent utiliser pour informer leurs clients des vulnérabilités des sites Web. »

Sild a déclaré qu’environ 95% des vulnérabilités de sécurité dans l’écosystème WordPress proviennent de code tiers. «La meilleure chose que vous puissiez faire est de vous assurer que vos sites Web sont mis à jour», a-t-il déclaré lorsqu’on lui a posé des questions sur les fruits à portée de main dont tout propriétaire de site pourrait s’occuper.

Le fondateur et PDG de Patchstack, Oliver Sild, assis à un bureau avec un ordinateur portable et des moniteurs.
Oliver Sild, fondateur et PDG de Patchstack.

«Le deuxième gros problème concerne les plugins piratés et annulés – gardez à l’esprit que si vous trouvez un plugin / thème premium gratuitement, il y a une raison derrière cela», a-t-il déclaré. «C’est un piège dans lequel tombent de nombreuses personnes et, à leur insu, elles infectent leur propre site Web avec des logiciels malveillants et des portes dérobées. Et comment ne pas mentionner les mots de passe? Veuillez utiliser des outils de gestion des mots de passe tels que LastPass, KeePass et essayez d’activer l’authentification à deux facteurs sur tous vos comptes. »

Il est possible de trouver des versions gratuites de plugins commerciaux et de thèmes sécurisés et à jour. Cependant, l’utilisateur final moyen n’aurait aucun moyen de savoir si tel était le cas.

Patchstack est un produit SaaS. Une fois que les utilisateurs ont créé un compte via son système, il les guidera pour connecter leur site Web avec le plugin Patchstack WordPress.

«Une fois que le site Web est connecté, il envoie les détails de l’environnement (plug-in, thème, versions de base, PHP, etc.) à Patchstack», a déclaré Sild. “Patchstack compare ensuite toutes les versions avec des problèmes de sécurité connus et informe l’utilisateur si un code obsolète / vulnérable est détecté.”

Patchstack a différents modules de sécurité, qui peuvent être activés ou désactivés à partir de l’écran des paramètres. Celui qui est activé par défaut est WordPress Virtual Patches. Cette fonctionnalité détecte si un plugin vulnérable est en cours d’utilisation sur le site et envoie immédiatement des correctifs virtuels.

Le service dispose d’un tableau de bord basé sur le cloud, permettant aux utilisateurs d’accéder aux détails de tous leurs sites en un seul endroit.

Écran du tableau de bord Patchstack avec des détails sur la vulnérabilité et plus encore.
Tableau de bord Patchstack.

«Patchstack vous permet de créer des alertes de sécurité personnalisées et de les envoyer sur des e-mails et des canaux Slack lorsque des plugins vulnérables ou obsolètes sont détectés», a déclaré Sild. «Il fournit un aperçu central de tous les différents problèmes de sécurité sur un nombre illimité de sites, et vous pouvez exporter un rapport PDF mensuel pour chaque site Web si nécessaire. De plus, en ce qui concerne le nombre de vulnérabilités et de problèmes de sécurité que vous rencontrez sur vos sites Web, le tableau de bord Patchstack vous indique également quand l’un des plugins / thèmes vulnérables de vos sites Web a été attaqué et vous aurez des détails granulaires sur chaque menace qui a été bloqué.”


Source link