Wordfence lance une base de données de vulnérabilités gratuite à usage commercial

Aujourd’hui, nous sommes extrêmement heureux d’annoncer que Wordfence lance une API et une interface Web de base de données de vulnérabilités entièrement gratuites, disponibles pour un usage commercial par les sociétés d’hébergement, les organisations de sécurité, les analystes des menaces, les chercheurs en sécurité et la communauté des utilisateurs de WordPress. Cela fait partie d’un projet plus vaste connu sous le nom de Wordfence Intelligence Community Editionque nous lançons aujourd’hui.

Cette année à Blackhat à Las Vegas, Wordfence lancé Wordfence Intelligence, un produit d’entreprise fournissant aux organisations des flux de données dérivés de la télémétrie d’attaque que nous recevons des utilisateurs de Wordfence. Nous l’avons fait avec un seul objectif en tête : sécuriser davantage le Web en permettant aux entreprises et aux défenseurs des réseaux de mettre en œuvre nos informations sur les menaces de manière à mieux sécuriser leur infrastructure et leurs clients. Wordfence Intelligence comprend des signatures de logiciels malveillants, des flux de menaces IP et un flux de hachage de logiciels malveillants pour permettre aux entreprises de déployer nos données au niveau du réseau et du serveur.

Wordfence Intelligence Community Edition est un ensemble de données disponibles gratuitement pour la communauté à utiliser, et il comprend un base de données de vulnérabilité de qualité d’entrepriseEt un API qui fournit un téléchargement complet à jour au format JSON, entièrement gratuit sans inscription requise. Nous investissons massivement dans cette base de données en élargissant l’équipe, en maintenant et en conservant les données existantes et en ajoutant de nouvelles vulnérabilités dès qu’elles sont découvertes.

Il n’y a aucun retard sur la rapidité avec laquelle nous ajoutons des vulnérabilités à cette base de données gratuite. Dès qu’une vulnérabilité est révélée, nous l’ajoutons. Il n’y a pas non plus de limitation à l’utilisation de ces données, autre qu’une exigence d’attribution pour les vulnérabilités provenant de MITRE, et une exigence d’attribution pour nos propres vulnérabilités. Chaque enregistrement de vulnérabilité inclut les données dont vous avez besoin pour fournir cette attribution sur votre interface utilisateur.

Notre espoir est que les sociétés d’hébergement, les développeurs de logiciels et les fournisseurs de sécurité transformeront ces données en produits de sécurité gratuits et commerciaux qui amélioreront la sécurité de la communauté WordPress. En donnant gratuitement les données et en autorisant une utilisation commerciale, nous agissons comme un catalyseur de l’innovation dans le domaine de l’analyse des vulnérabilités. Les développeurs individuels n’ont plus de barrière coûteuse à l’entrée s’ils souhaitent mettre en œuvre un nouveau type de logiciel d’analyse des vulnérabilités pour la communauté. Nous espérons que cette base de données favorisera l’innovation dans l’espace de sécurité WordPress et améliorera la sécurité de la communauté WordPress dans son ensemble.

Wordfence Intelligence Community Edition a pour objectif déclaré d’élever la communauté de la recherche et de rehausser le profil des chercheurs en sécurité talentueux qui apportent une contribution précieuse à notre communauté et qui nous rendent tous plus sûrs. À cette fin, nous lançons des pages de profil de chercheur en sécurité, un classement des chercheurs en sécurité, et chaque vulnérabilité sera liée au chercheur concerné qui a découvert la vulnérabilité. Nous ajouterons également la possibilité pour les chercheurs de modifier leur propre page de profil afin qu’ils puissent ajouter des liens vers leur CV ou leur site Web personnel. Attendez-vous à cela dans les semaines à venir.

Nous lancerons des crochets Web dans les semaines à venir qui alerteront de manière proactive et programmatique les utilisateurs et les applications de la publication d’une nouvelle vulnérabilité. Cela fournit une connaissance en temps réel d’une nouvelle vulnérabilité et réduit à zéro le temps entre l’annonce et l’atténuation d’une nouvelle approche de vulnérabilité.

Defiant Inc et l’équipe de Wordfence investissent massivement dans cette base de données de vulnérabilités. Nous recrutons activement des analystes de sécurité talentueux pour trier les vulnérabilités entrantes, et nous recrutons des chercheurs pour découvrir de nouvelles vulnérabilités dans le noyau, les plugins et les thèmes WordPress.

Hier soir, je me suis assis avec Chloe Chamberland, chef de produit pour Wordfence Intelligence, dans notre studio à Centennial, Colorado, pour discuter de ce produit passionnant qu’elle et son équipe lancent aujourd’hui. Voici la conversation.

Cela conclut la partie résumé de cet article. Le reste de cet article est écrit par Chloe Chamberland qui dirige le produit Wordfence Intelligence. Chloé décrit Wordfence Intelligence Community Edition ainsi que la base de données de vulnérabilités et l’API plus en détail. Je tiens à féliciter et à remercier Chloé et son équipe, nos analystes en sécurité qui ont travaillé si dur pour créer les données de cette base de données, et continuent de le faire, ainsi qu’à notre équipe d’ingénieurs pour ce lancement.

~Mark Maunder – Fondateur et PDG de Wordfence.

Présentation de Wordfence Intelligence Community Edition

Wordfence Intelligence Community Edition est une plate-forme de données de renseignements sur les menaces qui consiste actuellement en une base de données incroyablement complète des vulnérabilités de WordPress. Nous avons conçu cette plate-forme en pensant aux chercheurs de vulnérabilités, aux propriétaires de sites et aux analystes de sécurité. Chaque vulnérabilité a été sélectionnée manuellement par notre équipe d’analystes de vulnérabilité et a été remplie à l’aide de données historiques de la liste CVE, de Google fu’ing et de nombreuses autres sources de vulnérabilité. Chaque enregistrement de vulnérabilité contient des détails tels que le score CVSS, le type CWE, une description de la vulnérabilité, les composants logiciels concernés, le ou les chercheurs d’origine, etc.

Notre objectif est de fournir aux propriétaires de sites autant d’informations nécessaires pour sécuriser efficacement leurs sites Web WordPress tout en fournissant aux analystes et aux chercheurs en sécurité les informations nécessaires pour pouvoir surveiller le paysage des menaces WordPress afin qu’ils puissent répondre aux menaces en temps opportun et fournir leurs informations. retour à la communauté.

La base de données de vulnérabilités Wordfence Intelligence Community Edition contient actuellement plus de 8 000 enregistrements de vulnérabilités uniques couvrant près de 10 000 vulnérabilités sur le cœur, les thèmes et les plugins de WordPress. Au cours des prochains mois, nous continuerons à développer activement et à publier des fonctionnalités qui enrichiront l’expérience des utilisateurs accédant et utilisant la plateforme.

Nous continuerons à remplir les données de vulnérabilité historiques tout en nous assurant que nous disposons de la base de données de vulnérabilités la plus complète et la plus actuelle du marché pour que la communauté puisse l’utiliser.

Principales caractéristiques de Wordfence Intelligence Community Edition

Présentation des sites WordPress ciblant les données d’attaque

Sur le tableau de bord de Wordfence Intelligence Community Edition, les utilisateurs peuvent voir des informations sur les données liées au volume d’attaques ciblant les sites Web WordPress. Cela inclut le nombre total d’attaques de connexion et de tentatives d’exploitation que le pare-feu Wordfence a bloquées, le nombre total d’observations de logiciels malveillants que le scanner Wordfence et notre équipe de réponse aux incidents ont observées, ainsi que les 10 principales adresses IP attaquantes au cours des dernières 24 heures, le top 10 vulnérabilités WordPress uniques ciblées au cours des dernières 24 heures, et les 5 principaux types de vulnérabilités génériques ciblées au cours des dernières 24 heures en plus de leur volume d’attaque. Ces données peuvent être utilisées pour prendre des décisions plus éclairées sur les menaces auxquelles sont confrontés les propriétaires de sites WordPress pour une meilleure atténuation des risques. Ces données peuvent également être utilisées pour améliorer la recherche de sécurité dans l’espace WordPress.

Sélectionnez des vulnérabilités enrichies avec des données d’attaque

Certaines vulnérabilités de la base de données sont enrichies de données sur le volume d’attaques ciblant ces vulnérabilités particulières au cours des dernières 24 heures. Cela donne un aperçu inégalé du paysage des menaces pour WordPress, fournissant aux propriétaires de sites, aux analystes et aux chercheurs en sécurité des informations actuelles et à jour sur les vulnérabilités WordPress les plus attaquées.

Temple de la renommée et classement des chercheurs

Tous les chercheurs crédités de découvertes dans notre base de données sont dans notre Temple de la renommée des chercheurs avec leur nombre total de vulnérabilités pour les 30 derniers jours et pour toujours. Les chercheurs peuvent voir leur classement de tous les temps et sur 30 jours par rapport aux autres chercheurs dans le domaine. Les chercheurs qui souhaitent être plus haut dans le classement devront trouver et divulguer de manière responsable plus de vulnérabilités que leurs collègues chercheurs. Nous espérons que cela créera une compétition amicale pour encourager davantage de recherches sur les vulnérabilités qui, à leur tour, rendront l’écosystème WordPress plus sûr.

La vulnérabilité des chercheurs individuels trouve tout au même endroit

Chaque chercheur a sa propre page unique qui répertorie le nombre total de vulnérabilités qu’il a découvertes au cours des 30 derniers jours et de tous les temps, ainsi que la liste de toutes les découvertes de vulnérabilités qui ont été attribuées à ce chercheur. Cela peut être partagé avec n’importe qui, des employeurs potentiels qui souhaitent voir les recherches antérieures d’un individu, aux amis et aux chercheurs de la famille qui souhaitent montrer leur travail. Quel que soit le but, cela a été conçu pour que les chercheurs puissent conserver toutes leurs découvertes de vulnérabilité en un seul endroit central.

Si vous êtes un chercheur et qu’il manque à votre page certaines de vos découvertes de vulnérabilités, assurez-vous de remplir notre formulaire de soumission de vulnérabilité ici. Toute vulnérabilité qui nous est signalée recevra un identifiant CVE et nous nous ferons un plaisir d’attribuer des identifiants CVE à toutes les découvertes plus anciennes que vous pourriez avoir déjà dans notre base de données sur demande.

Amélioration des résultats de l’analyse Wordfence

Le scanner Wordfence fournira désormais un lien vers l’enregistrement applicable de la base de données de vulnérabilité Wordfence Intelligence Community Edition lorsqu’une vulnérabilité a été détectée sur un site. Cela peut être utilisé pour obtenir plus d’informations sur une vulnérabilité afin que les propriétaires de sites puissent prendre des décisions éclairées sur la manière de procéder pour remédier à une vulnérabilité donnée. Dans la plupart des cas, la solution consiste à mettre à jour vers une version corrigée plus récente, cependant, dans les cas où un plugin ou un thème a été fermé et qu’aucun correctif n’est disponible, ces informations aideront à guider la prise de décision lors de l’évaluation des risques d’un site.

Il faut une communauté.

C’est pourquoi nous appelons ce Wordfence Intelligence Edition communautaire. La grande majorité des vulnérabilités de notre base de données proviennent de chercheurs indépendants et d’autres organisations menant des recherches de sécurité sur les plugins, les thèmes et le noyau WordPress. Sans eux et leur travail dévoué pour trouver et divulguer de manière responsable les vulnérabilités, il n’y aurait pas de base de données de vulnérabilités WordPress à cataloguer et il n’y aurait pas autant de correctifs, ou d’opportunités pour sécuriser les sites Web WordPress, disponibles pour les propriétaires de sites. C’est pourquoi nous veillerons à ce que la recherche d’informations sur les vulnérabilités soit aussi simple que possible et que les chercheurs obtiennent le crédit qu’ils méritent avec Wordfence Intelligence Community Edition.

Au fur et à mesure que nous continuons à faire évoluer cette plate-forme, nous garderons cela à l’esprit et nous assurerons de continuer à fournir un produit qui contribuera à rendre l’écosystème WordPress plus sécurisé et aura un impact positif sur la communauté des chercheurs en sécurité qui travaillent pour rendre cela possible.

En retour, nous aimerions demander à la communauté de nous aider à faire en sorte que cela reste la meilleure ressource pour la communauté. Si vous souhaitez ajouter des détails supplémentaires à nos enregistrements de vulnérabilités ou si vous avez découvert des vulnérabilités qui devraient être ajoutées à la base de données, nous espérons que vous nous contacterez afin que nous puissions encore améliorer la base de données qui restera accessible à tous.

Un cadeau à la communauté.

Dans le cadre de ce lancement, nous avons rendu le flux de données de vulnérabilité de Wordfence Intelligence, complètement libre accéder. Le flux contient un vidage complet des vulnérabilités et des données associées dans notre base de données Vous pouvez trouver le documentation sur ce qui est inclus dans cette API et comment l’interroger ici. Vous êtes plus que bienvenu pour mettre en œuvre ces données de la manière que vous souhaitez commercialement et personnellement. Nous espérons qu’en rendant cela accessible à tous, nous pourrons créer un écosystème WordPress plus sécurisé et une meilleure plate-forme pour que les chercheurs obtiennent le crédit qu’ils méritent.

Ce n’est que le début. Restez à l’écoute et assurez-vous que vous êtes inscrit à notre liste de diffusionpour des choses plus excitantes à venir !

Découvrez Wordfence Intelligence Community Edition maintenant !

Je voudrais dire un grand bravo et un merci spécial à tous les membres de l’équipe de Wordfence qui ont donné vie à Wordfence Intelligence Community Edition. De notre équipe de renseignements sur les menaces traitant et créant manuellement des milliers d’enregistrements de vulnérabilité sur une période de plusieurs mois, à nos équipes d’ingénierie et d’assurance qualité qui ont développé et testé cette incroyable plateforme. Sans votre travail dévoué, nous ne serions pas en mesure de faire de la communauté WordPress en ligne un endroit plus sûr pour tous.

Source link

Cookie	Durée	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.