Entrevista com Code Risk – Um serviço gratuito de análise de código fonte para plugins WordPress

Vulnerabilidades em plugins WordPress têm sido a causa de mais hacks de sites do que vulnerabilidades no núcleo do WordPress. Uma das razões por que isso está acontecendo é a falta de recursos. O software sempre terá vulnerabilidades, embora o código base do WordPress seja verificado por milhares de pessoas. A fundação também atribuiu recursos para garantir que o código seja o mais seguro possível. Por outro lado, muitos desenvolvedores de plugin não têm os recursos disponíveis para garantir que seu código de plugin seja seguro, especialmente se for um plugin pequeno. Embora tudo mude, como explica Hendrik Buchwald nesta entrevista. Hendrik é engenheiro de software, pesquisador de segurança e cofundador da RIPS Technologies.
Como está a RIPS Technologies? A RIPS Technologies é uma empresa de alta tecnologia com sede em Bochum, Alemanha. Oferecemos análise automática de segurança para aplicações PHP como uma instalação de software local ou serviço de nuvem altamente escalável. Nossos inovadores algoritmos de análise de código, que são especificamente dedicados ao PHP, podem identificar vulnerabilidades de segurança complexas em aplicativos modernos como nenhum outro. Nossa missão é fornecer aos desenvolvedores e profissionais de segurança a análise de segurança mais precisa e eficaz possível. O que você diria que é o bug de segurança mais comum que os desenvolvedores fazem e quais são as 3 primeiras vulnerabilidades que você vê nos plugins do WordPress?
Não surpreendentemente, os problemas mais comuns são vulnerabilidades de cross-site scripting (XSS) que ocorrem sempre que a entrada do usuário é impressa sem desinfecção adequada da página de resposta HTML. Primeiro, esses problemas ocorrem com frequência, porque a produção de dados é a operação mais comum de aplicativos PHP e, portanto, é mais afetada por violações de segurança do que outras operações. E em segundo lugar, dado o mergulho