Sicurezza
Trattiamo con serietà la sicurezza del progetto WordPress e del suo ecosistema. Con oltre 20 anni di storia e alimentando più del 43% del web, ci impegniamo a garantire la sicurezza per tutti, dal blog ai siti enterprise.
WordPress incoraggia la divulgazione responsabile delle vulnerabilità nel core di WordPress, nei plugin e nei temi disponibili su WordPress.org o nel vasto ecosistema WordPress.
Se pensi di aver trovato una vulnerabilità in WordPress, mantienilo confidenziale e segnalalo al team di sicurezza di WordPress.
Se pensi di aver trovato una vulnerabilità in un plugin o un tema per WordPress disponibile su WordPress.org, mantienilo confidenziale.
- Le vulnerabilità dei plugin vanno segnalate a chi ha sviluppato il plugin e al team dei plugin.
- Le vulnerabilità dei temi vanno segnalate a chi ha sviluppato il tema e al team di revisione dei temi.
Il nostro processo
Il progetto WordPress si impegna a fornire una piattaforma stabile, sicura e affidabile per più del 43% del web. Il ciclo di vita di sviluppo del core di WordPress include la revisione del codice durante l’intero processo, con contributi open source revisionati da committer con esperienza.
Il team di sicurezza di WordPress lavora per identificare e risolvere i problemi di sicurezza nel core di WordPress, rafforzare il software contro minacce come quelle presenti nella OWASP Top Ten e forniscono le indicazioni per tutto l’ecosistema.
L’identificazione e la risoluzione dei problemi relativi al software e all’ecosistema di WordPress sono svolte da più di 50 persone esperte e fidate, c’è chi sviluppa per il core, chi fa ricerca sulla sicurezza e chi collabora per ogni componente di WordPress in ruoli chiave, inoltre vi dedicano tempo anche membri sponsorizzati del team di sicurezza.
Per affrontare le vulnerabilità della sicurezza divulgate responsabilmente, il team della sicurezza lavora per sviluppare correzioni, creare robusti casi di test e rilasciare tali modifiche nelle versioni di correzione dei bug. Sebbene sia supportata ufficialmente solo l’ultima versione di WordPress, il team di sicurezza effettua il backport delle correzioni anche nelle versioni precedenti a titolo di cortesia, per garantire che i siti meno recenti ricevano correzioni di sicurezza critiche tramite aggiornamenti automatici.
Il team di sicurezza lavora anche direttamente con importanti operatori di hosting e fornitori di ecosistemi di sicurezza per rilevare e mitigare le minacce ai siti basati su WordPress, incluso il coordinamento dei rilasci e lo sviluppo di mitigazioni tramite firewall per applicazioni web (WAF).
Scopri di più sulla nostra posizione in merito alla sicurezza del progetto WordPress nel nostro whitepaper.
Sviluppo di plugin
Il manuale Security guide in the Common APIs è la tua guida di riferimento sui principi di sviluppo sicuro.
Se pensi di aver trovato un problema di vulnerabilità nel tuo plugin, il team dei plugin di WordPress è qui per supportarti.
Scopri di più su come gestire i problemi di sicurezza nel tuo plugin.
Sviluppo di temi
Il manuale Security guide in the Common APIs è la tua guida di riferimento sui principi di sviluppo sicuro.
Se pensi di aver trovato un problema di vulnerabilità nel tuo tema, il team di revisione dei temi di WordPress è qui per supportarti.
Scopri di più su come gestire i problemi di sicurezza nel tuo tema.
Fornitori di hosting
Il manuale Security guide in the Advanced Administration contiene informazioni chiave su come proteggere il tuo ambiente di hosting.
Consigliamo inoltre fortemente di pubblicare una propria politica di divulgazione responsabile.