WordPressa Security Plugin - Un toque de seguridad extra para tu WordPress
¡Saludos comunidad de DragonJAR!
Primero que todo nos presentaremos, somos Juanma (@TheXC3LL) y Jorge (@JorgeWebsec), somos lectores frecuentes de la comunidad y por tanto queremos compartir con ustedes desde el caluroso sur de España el último proyecto en el que estábamos trabajando... el WordPressA.
WordPressA fue presentado en sociedad el pasado 19 de marzo de 2014 como un plugin de WordPress destinado a la seguridad de este CMS utilizando un enfoque preventivo. WordPressA Security Plugin implementa un sistema de alertas que le informará en tiempo real de qué plugins instalados en su WordPress poseen vulnerabilidades conocidas.
Somos consientes que uno de los vectores de ataques mas comunes cuando nos enfrentamos a un CMS como WordPress son los plugins de terceros que no tienen la misma conciencia de desarrollo seguro que si tienen los desarrolladores del staff de wordpress, por eso decidimos lanzar WordPressA y ayudar a los webmasters con la seguridad de sus sitios.
El proyecto WordPressA se compone a grandes rasgos en 3 partes diferenciadas, una API, una base de datos que se actualiza periódicamente cada hora y un plugin que interactúa con la API.
La base de datos se actualiza procesando el contenido de los principales repositorios de vulnerabilidades y extrae los reportes de plugins WP. De tal forma que detecta el nombre del plugin y la versión y las incluye en la base de datos. Además se introducen de forma manual las vulnerabilidades que nuestro equipo haya encontrado y por lo tanto obtenemos un conjunto de datos único.
La API se encarga de recibir por parte del plugin un listado de los instalados en el WordPress y comprueba con la base de datos si alguno es vulnerable. Por lo tanto WordPressA Security Plugin cumple con la función de enviar el listado a la API y mostrar la respuesta. De esta forma en nuestro menú de administración podemos ver esta información de una manera inmediata.
A parte de todo lo mencionado diariamente se envía un correo electrónico (futura configuración) con un informe con el listado de plugins vulnerables que tengas instalados.
La siguiente versión que estamos desarrollando va a incluir soporte para la detección de themes vulnerables y un sistema de “auto-parcheado” para facilitar a los usuarios la protección de sus plataformas.
Por último decir que existen 2 versiones una de demostración gratuita TOTALMENTE FUNCIONAL y una versión completa de pago que se diferencian, en que la primera, solo realiza un informe a través de las vías anteriormente mencionadas y la de pago es una licencia de 365 días con un sistema de alertas que prevengan de una forma instantánea al usuario de sus riesgos y debilidades en plugins (y en el futuro themes).
Sabemos de la calidad de lectores con las que cuenta la comunidad DragonJAR y por este motivo queremos obsequiar 3 licencias de WordPressA para que puedan probar el sistema y asegurar sus instalaciones de WordPress. Estas licencias serán entregadas a 3 personas (seleccionadas de forma aleatoria) que dejen su comentario en el FanPage de DragonJAR opinando sobre esta iniciativa.
PD. Para aquellos inquietos de las comillas que encuentren alguna vulnerabilidad tenemos pensado recompensarles si nos lo reportan. Subiremos más información en los próximos días.