Jetpack, una división del brazo comercial de WordPress, Automattic, anunció que está adquiriendo la popular compañía de suite de seguridad WPScan WordPress. WPScan proporciona recursos que permiten que WordPress y el ecosistema de seguridad de WordPress se enfrenten rápidamente a los problemas de seguridad. Jetpack es un conjunto de herramientas de WordPress que también incluye un componente de seguridad.
La seguridad de WordPress es un área importante para WordPress porque es lo que los competidores citan como una debilidad en WordPress. Entonces, en ese nivel, tiene sentido que Jetpack adquiera una empresa con una postura proactiva en la seguridad de WordPress.
Jetpack prometió mantener los productos libres para uso no comercial y también señaló que parte de WPScan se absorberá en la oferta de seguridad dentro del conjunto de herramientas Jetpack.
Anuncio publicitario
Continuar leyendo a continuación
Por qué es importante WPScan
WPScan es una base de datos de vulnerabilidades.
WPScan también proporciona:
- Una API para consentir a la base de datos
- Escáner de seguridad WPScan, una interfaz de línea de comandos (CLI) escáner
- Un complemento de seguridad de WordPress
Base de datos WPScan
WPScan es, ante todo, una base de datos abiertamente disponible que registra las vulnerabilidades de WordPress y hace que la información esté disponible a través de una API.
La información sobre las vulnerabilidades de WordPress es curada a mano por WPScan y sus colaboradores.
WPScan también es una autoridad de numeración CVE (CNA) oficial, lo que significa que puede asignar los números a los que se hace referencia a las vulnerabilidades en la comunidad de seguridad.
Anuncio publicitario
Continuar leyendo a continuación
La base de datos es accesible para personas, empresas e investigadores de seguridad.
Dependiendo de cuántas llamadas API se realicen a la base de datos, la información está disponible de forma gratuita a través de una API y también a precios relativamente modestos para obtener más entrada a la base de datos y precios personalizados para los requisitos de nivel empresarial.
Escáner de seguridad WPScan WordPress
WPScan también proporciona Escáner de seguridad WPScan WordPress, que es un escáner de interfaz de línea de comandos que es gratuito para uso no comercial para escanear un sitio web en busca de vulnerabilidades registradas en la base de datos de WPScan.
Un ejemplo de cosas adicionales que comprueba el escáner de seguridad gratuito WPScan WordPress:
- «La versión de WordPress instalada y las vulnerabilidades asociadas
- Qué complementos están instalados y las vulnerabilidades asociadas
- Qué temas están instalados y las vulnerabilidades asociadas
- Enumeración de nombre de usuario
- Usuarios con contraseñas débiles a través de la fuerza bruta de contraseñas
- Archivos wp-config.php respaldados y accesibles públicamente
- Volcados de base de datos que pueden ser de acceso público
- Si los complementos exponen registros de errores «
Complemento de WordPress WPScan
Finalmente, WPScan ofrece un complemento gratuito que escanea un sitio web para determinar si la instalación de WordPress en sí y / o los temas y complementos instalados tienen vulnerabilidades. El complemento utiliza la API de la base de datos WPScan para buscar vulnerabilidades. Se dice que el escaneo diario cae dentro del nivel gratuito de uso de API.
El complemento también busca debilidades comunes que podrían hacer que un sitio web sea vulnerable:
- «Compruebe si hay archivos debug.log
- Verifique los archivos de respaldo wp-config.php
- Compruebe si XML-RPC está habilitado
- Verifique los archivos del repositorio de código
- Compruebe si se utilizan claves secretas predeterminadas
- Compruebe si hay archivos de base de datos exportados
- Contraseñas débiles
- HTTPS habilitado «
Anuncio publicitario
Continuar leyendo a continuación
La característica principal del complemento WPScan es ofrecer una alerta rápida si un complemento del sitio, un tema o WordPress en sí contiene una vulnerabilidad y si se emite un parche.
¿Por qué Jetpack adquirió WPScan?
La razón declarada de Jetpack para adquirir WPScan es abrir los datos aún más y continuarlos como un recurso para todo el ecosistema de WordPress.
Jetpack anunció:
“… Nuestro objetivo para esta adquisición es hacer que los datos de malware y las API sean más de código abierto. Queremos asegurarnos de que WPScan continúe siendo un recurso de seguridad de alta calidad para toda la comunidad de WordPress. A tal efecto, exploraremos formas de hacer que la API sea completamente gratuita para sitios no comerciales.
… WPScan seguirá funcionando de forma independiente a corto plazo y puede integrarse en Jetpack Scan en el futuro.
Los clientes actuales de WPScan no se verán afectados por la adquisición a corto plazo y recibirán el mismo servicio de seguridad de WordPress de alta calidad que esperan «.
Anuncio publicitario
Continuar leyendo a continuación
Citas
Lea el anuncio de Jetpack sobre la adquisición de WPScan:
Jetpack adquiere la base de datos de vulnerabilidades de WordPress WPScan
Visite la página oficial del complemento WPScan
Consultar el artículo en la publicación original
