Sicherheit
Wir nehmen die Sicherheit des WordPress-Projekts und des Ökosystems ernst. Mit unserer über 20-jährigen Geschichte und einem Marktanteil von mehr als 43% im Web haben wir uns verpflichtet, die Sicherheit für alle zu gewährleisten, vom Solo-Blogger bis zum Großunternehmen.
WordPress ermutigt zur verantwortungsvollen Offenlegung von Sicherheitslücken im WordPress-Core, in Plugins und Themes, die über WordPress.org verfügbar sind, oder im umfassenderen WordPress-Ökosystem.
Wenn du glaubst, eine Schwachstelle in WordPress gefunden zu haben, behandle dies bitte vertraulich und melde sie an das WordPress-Security-Team (engl.).
Wenn du glaubst, eine Sicherheitslücke in einem WordPress-Plugin oder -Theme gefunden zu haben, das über WordPress.org verfügbar ist, behandele dies bitte vertraulich.
- Schwachstellen in Plugins solltest du dem Plugin-Entwickler und dem Plugin-Team (engl.) melden.
- Schwachstellen in Themes solltest du dem Theme-Entwickler und dem Theme-Review-Team (engl.) melden.
Unser Prozess
Das WordPress-Projekt hat es sich zur Aufgabe gemacht, eine stabile, sichere und vertrauenswürdige Plattform für mehr als 43% des Internets bereitzustellen. Der Core-WordPress-Softwareentwicklungszyklus beinhaltet eine Codeüberprüfung während des gesamten Prozesses, bei dem die Open-Source-Beiträge von vertrauenswürdigen Committern überprüft werden.
Das WordPress-Sicherheitsteam arbeitet daran, Sicherheitsprobleme in der WordPress-Core-Software zu identifizieren und zu beheben, die Software gegen Bedrohungen wie die OWASP Top Ten (engl.) zu härten und Leitfäden (engl.) für das gesamte Ökosystem bereitzustellen.
Zusätzlich zu den mehr als 50 vertrauenswürdigen Experten, darunter führende Entwickler, Sicherheitsforscher und wichtige Mitwirkende an jeder Komponente von WordPress, widmen gesponserte Mitglieder des Sicherheitsteams ihre Zeit der Identifizierung und Behebung von Problemen in der Software und im Ökosystem.
Um verantwortungsvoll gemeldete Sicherheitslücken zu schließen, arbeitet das Sicherheitsteam an der Entwicklung von Korrekturen, erstellt robuste Testfälle und veröffentlicht diese Korrekturen in Bugfix-Releases. Obwohl nur die neueste Version von WordPress offiziell unterstützt wird, portiert das Sicherheitsteam aus Kulanz auch Korrekturen für ältere Versionen, um sicherzustellen, dass auch ältere Websites über automatische Updates kritische Sicherheitskorrekturen erhalten.
Das Sicherheitsteam arbeitet auch direkt mit wichtigen Webhosting-Betreibern und Anbietern von Sicherheitsökosystemen zusammen, um Bedrohungen für WordPress-basierte Websites zu erkennen und zu entschärfen, einschließlich der Koordinierung von Release-Rollouts und der Entwicklung von Abhilfemaßnahmen für Web Application Firewalls (WAF).
Weitere Informationen über die Sicherheit des WordPress-Projekts findest du in unserem Whitepaper (engl.).
Plugin-Entwickler
Der Sicherheitsleitfaden im Common-APIs-Handbuch (engl.) ist dein Leitfaden für sichere Entwicklungsprinzipien.
Wenn du glaubst, ein Sicherheitsproblem in deinem eigenen Plugin gefunden zu haben, steht dir das WordPress-Plugins-Team zur Seite.
Erfahre mehr darüber, wie du Sicherheitsprobleme in deinem Plugin angehen kannst (engl.).
Theme-Entwickler
Der Sicherheitsleitfaden im Common-APIs-Handbuch (engl.) ist dein Leitfaden für sichere Entwicklungsprinzipien.
Wenn du glaubst, ein Sicherheitsproblem in deinem eigenen Theme gefunden zu haben, steht dir das WordPress-Theme-Review-Team zur Seite.
Erfahre mehr darüber, wie du Sicherheitsprobleme in deinem Theme angehen kannst (engl.).
Webhoster
Der Sicherheitsleitfaden im Handbuch für erweiterte Administration enthält wichtige Informationen darüber, wie du deine Hosting-Umgebung absichern kannst.
Wir empfehlen auch nachdrücklich, eine eigene verantwortungsvolle Offenlegungsrichtlinie zu veröffentlichen.