Dokładnie w połowie maja lider teamu do spraw bezpieczeństwa WordPress, Aaron D. Campbell ogłosił publiczne otwarcie systemu Bug Bounty dla społeczności WordPressowej.
Bug Bounty to nic innego jak otrzymanie wynagrodzenia w zamian za zgłoszenie luki bezpieczeństwa (i utrzymanie jej w ścisłym gronie zainteresowanych!). Kasę może zgarnąć każdy, a praktyka pokazuje, że to nie tylko kwota na waciki. Dotychczas zostało obdarowanych już 7 osób, którzy dostali łącznie ponad 3700 USD.
Luk można szukać w wielu projektach działających pod skrzydłami WordPressa. Jest to oczywiście samo core, ale też systemy WordCampów, bbPress, BuddyPress, wordpress.org i inne.
Niestety (stety?) co jakiś czas w WordPress znajdywane są luki. Jest to sprawa naturalna przy tak wielkiej skali projektu. O ile te wykrywane są przez zespół WordPressa wszystko jest w porządku, ale jeśli lukę wykrywa osoba mająca złe intencje, to skutki są tragiczne. Wykrywanie ich jest więc warte te kilkaset baksów, nawet o wiele więcej kiedy na szali są miliony stron opartych o WP.
Błędy można zgłaszać przez serwis HackerOne.
Bardzo ciekawy pomysł aby zachęcić developerów do zgłoszenia luków. ;)