今朝、Wordfenceのブログに興味深い記事が載っていたのでご紹介します。
Wordfenceは2025年1月6日までの期間、特別イベント「End of Year Holiday Extravaganza」、「High-Risk Bonus Blitz Challenge」、「Superhero Challenge」というイベントを開催しています。
この期間中、1,000以上のアクティブインストールを持つプラグインやテーマ、または一定条件を満たす50~999インストールのものが対象となり、有効な報告には最低$5、15件以上の高リスク脆弱性には$150のボーナスが支給されます。高影響度の脆弱性では最大$31,200の報酬が得られる可能性もあるとのことです。
この中で、2024年10月にWPForms(アクティブインストール数600万以上)で「認証不足による支払い返金とサブスクリプションキャンセル」の脆弱性が発見されました。この問題は、認証済みの攻撃者がStripeの支払いを不正に操作できるという重大なリスクを伴うとのことで、この脆弱性を報告した研究者villu164氏は、WordfenceのBug Bounty Programを通じて$2,376の報酬を獲得し、初の「WordPress Superheroバッジ」も授与されました。2024年12月10日現在の為替で計算すると約360万円という高額報酬となります。アクティブインストール数600万以上のプラグインの脆弱性ともなると、それだけの価値があるのも納得ですね。
ちなみに、Wordfenceの有料ユーザーには2024年11月15日に保護用のファイアウォールルールが適用されていますが、無料版ユーザーには30日遅れた12月15日に提供されるとのことです。
WPFormsの開発元のAwesome Motiveは迅速に対応し、11月18日に修正パッチをリリースしています。万が一、最新版にアップデートしていない人は今すぐアップデートしましょう。
WordfenceのWordPressエコシステム全体のセキュリティ向上に対するこの取り組みは本当に素晴らしいですね。
