Sicherheit
Wir nehmen die Sicherheit des WordPress-Projekts und des Ökosystems ernst. Mit unserer über 20-jährigen Geschichte und einem Marktanteil von mehr als 43% im Web haben wir uns verpflichtet, die Sicherheit für alle zu gewährleisten, vom Solo-Blogger bis zum Grossunternehmen.
WordPress ermutigt zur verantwortungsvollen Offenlegung von Sicherheitslücken im WordPress-Core, in Plugins und Themes, die über WordPress.org verfügbar sind, oder im umfassenderen WordPress-Ökosystem.
Wenn du glaubst, eine Schwachstelle in WordPress gefunden zu haben, behandle dies bitte vertraulich und melde sie an das WordPress-Security-Team (engl.).
Wenn du glaubst, eine Sicherheitslücke in einem WordPress-Plugin oder -Theme gefunden zu haben, das über WordPress.org verfügbar ist, behandele dies bitte vertraulich.
- Schwachstellen in Plugins solltest du dem Plugin-Entwickler und dem Plugin-Team (engl.) melden.
- Schwachstellen in Themes solltest du dem Theme-Entwickler und dem Theme-Review-Team (engl.) melden.
Unser Prozess
Das WordPress-Projekt hat es sich zur Aufgabe gemacht, eine stabile, sichere und vertrauenswürdige Plattform für mehr als 43% des Internets bereitzustellen. Der Core-WordPress-Softwareentwicklungszyklus beinhaltet eine Codeüberprüfung während des gesamten Prozesses, bei dem die Open-Source-Beiträge von vertrauenswürdigen Committern überprüft werden.
Das WordPress-Sicherheitsteam arbeitet daran, Sicherheitsprobleme in der WordPress-Core-Software zu identifizieren und zu beheben, die Software gegen Bedrohungen wie die OWASP Top Ten (engl.) zu härten und Leitfäden (engl.) für das gesamte Ökosystem bereitzustellen.
Zusätzlich zu den mehr als 50 vertrauenswürdigen Experten, darunter führende Entwickler, Sicherheitsforscher und wichtige Mitwirkende an jeder Komponente von WordPress, widmen gesponserte Mitglieder des Sicherheitsteams ihre Zeit der Identifizierung und Behebung von Problemen in der Software und im Ökosystem.
To address responsibly-disclosed security vulnerabilities, the Security Team works to develop fixes, create robust test cases, and release those fixes in bugfix releases. While only the latest version of WordPress is officially supported, the Security Team also backports fixes to older versions as a courtesy, to ensure older sites receive critical security fixes via auto-updates.
Das Sicherheitsteam arbeitet auch direkt mit wichtigen Webhosting-Betreibern und Anbietern von Sicherheitsökosystemen zusammen, um Bedrohungen für WordPress-basierte Websites zu erkennen und zu entschärfen, einschliesslich der Koordinierung von Release-Rollouts und der Entwicklung von Abhilfemassnahmen für Web Application Firewalls (WAF).
Weitere Informationen über die Sicherheit des WordPress-Projekts findest du in unserem Whitepaper (engl.).
Plugin-Entwickler
Der Sicherheitsleitfaden im Common-APIs-Handbuch (engl.) ist dein Leitfaden für sichere Entwicklungsprinzipien.
Wenn du glaubst, ein Sicherheitsproblem in deinem eigenen Plugin gefunden zu haben, steht dir das WordPress-Plugins-Team zur Seite.
Erfahre mehr darüber, wie du Sicherheitsprobleme in deinem Plugin angehen kannst (engl.).
Theme-Entwickler
Der Sicherheitsleitfaden im Common-APIs-Handbuch (engl.) ist dein Leitfaden für sichere Entwicklungsprinzipien.
Wenn du glaubst, ein Sicherheitsproblem in deinem eigenen Theme gefunden zu haben, steht dir das WordPress-Theme-Review-Team zur Seite.
Erfahre mehr darüber, wie du Sicherheitsprobleme in deinem Theme angehen kannst (engl.).
Webhoster
Der Sicherheitsleitfaden im Handbuch für erweiterte Administration (engl.) enthält wichtige Informationen darüber, wie du deine Hosting-Umgebung absichern kannst.
Wir empfehlen auch nachdrücklich, eine eigene verantwortungsvolle Offenlegungsrichtlinie zu veröffentlichen.
