যখন খুচরা বিক্রেতা এবং ব্র্যান্ডের ক্ষমতায়নের কথা আসে, তখন Magento হল সর্বাধিক ব্যবহৃত ই-কমার্স প্ল্যাটফর্মগুলির মধ্যে একটি৷ যাইহোক, নিরাপদ ই-কমার্স ব্যবসার জন্য নিরাপত্তা অনুশীলনগুলি মেনে চলার বৃহত্তর দায়িত্ব আসে। বিপরীতে, Magento হল ক্রেডিট কার্ড জালিয়াতি এবং ব্যবহারকারীর শংসাপত্র চুরির জন্য সর্বোচ্চ টার্গেট করা ই-কমার্স প্ল্যাটফর্মগুলির মধ্যে একটি, যেখানে একটি বিস্ময়কর 62% স্টোরে অন্তত একটি নিরাপত্তা ত্রুটি রয়েছে।

স্টোরের মালিকদের জন্য Magento নিরাপত্তা শীর্ষ অগ্রাধিকার হওয়া উচিত, কিন্তু এটি এমন নয়। যদিও প্রচুর সংখ্যক স্টোর মালিক আপডেট করা সুরক্ষা প্যাচ সহ সাম্প্রতিক সংস্করণগুলিতে সময়মতো আপডেট করতে ব্যর্থ হন, তাদের বেশিরভাগই একটি সুরক্ষা প্যাচ ইনস্টল করার গুরুত্বকে উপেক্ষা করেন। ফলস্বরূপ, Magento-এর নিরাপত্তা অনুশীলনগুলি সুস্পষ্ট কারণেই কুখ্যাতভাবে খবরে রয়েছে, নতুন নতুন প্রযুক্তির সাহায্যে দোকানগুলিকে হ্যাক করা হচ্ছে।

নিচে কিছু ঝুঁকিপূর্ণ Magento এক্সটেনশন রয়েছে যা অতীতে আপনার অনলাইন স্টোরকে সাইবার-অপরাধের ঝুঁকিতে রেন্ডার করেছে:

1. পিডিএফ ইনভয়েস প্লাস এক্সটেনশন

পিডিএফ ইনভয়েস এক্সটেনশন হল গ্রাহকদের জন্য চালান তৈরি করতে শত শত Magento স্টোরের বহুল ব্যবহৃত একটি এক্সটেনশন। এর মধ্যে সাধারণত শেষ গ্রাহকের ঠিকানা এবং কখনও কখনও এমনকি তাদের ব্যক্তিগত তথ্যও থাকে। দুর্বল এক্সটেনশনটি ব্যবহারকারীর গোপনীয়তার জন্য হুমকি সৃষ্টি করেছে যা Google ডর্ক ব্যবহার করে ব্যবহারকারীর চালান ফাঁসের মাধ্যমে শেষ ব্যবহারকারীর ডেটা হারানোর ইঙ্গিত দেয়। আমাদের নিরাপত্তা দল যখন Magento-এর গ্রাহক স্টোরের একটিতে নিরাপত্তা নিরীক্ষা করছিল তখন সমস্যাটি প্রকাশ্যে আসে।

একটি google dork inurl:pdfinvoiceplus/ এর মাধ্যমে নিয়মিত অনুসন্ধান করার সময় , পিডিএফ চালান ব্যবহার করে সমস্ত ওয়েবসাইট প্লাস পপ আপ

এক্সটেনশনের দুর্বলতা অবিলম্বে PDF ইনভয়েস প্লাস টিম দ্বারা সংশোধন করা হয়েছে, সমস্যাটির Astra টিমের সময়মত প্রতিবেদনের জন্য ধন্যবাদ। আরও তথ্যের জন্য, এখানে দুর্বলতার একটি বিশদ প্রতিবেদন খুঁজুন।

2. অ্যাফিলিয়েট প্লাস ম্যাজেন্টো এক্সটেনশন

ম্যাজেন্টো অ্যাফিলিয়েট প্লাস এক্সটেনশনে একটি ক্রস সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা প্রকাশ পেয়েছে যা ব্যবহারকারীর ডেটা/অ্যাকাউন্ট তথ্য আপস, শংসাপত্রের ক্ষতি এবং উন্মুক্ত অভ্যন্তরীণ ডিরেক্টরি কাঠামোর জন্য 7000+ এরও বেশি স্টোরকে ঝুঁকিপূর্ণ করে তুলেছে। XSS সবচেয়ে ব্যাপকভাবে ঘটছে এমন একটি দুর্বলতা নিজের সাথে কিছু গুরুতর পরিণতি নিয়ে আসে, যার প্রধানটি লক্ষ্য করা হলে প্রশাসক ডেটার ক্ষতি হয়৷

একটি ক্লায়েন্টের Magento স্টোরে একটি ছোট জাভাস্ক্রিপ্ট কোড যোগ করার ফলে এসকিউএল ত্রুটি এবং ডাটাবেস কাঠামো প্রকাশ করে এসকিউএল প্রশ্নগুলিও প্রকাশ করে

অ্যাস্ট্রার টিম দ্বারা আবিষ্কৃত দুর্বলতা অ্যাফিলিয়েট প্লাস টিমকে জানানোর সাথে সাথে সংশোধন করা হয়েছিল। এখানে দুর্বলতার একটি বিশদ প্রতিবেদন খুঁজুন।

3. জাল SUPEE-5344 প্যাচ

SUPEE-5344 হল কুখ্যাত Magento শপলিফ্ট বাগের একটি অফিসিয়াল নিরাপত্তা প্যাচ, একটি বাগ যা সাইবার অপরাধীদের দুর্বল খুচরা সাইটগুলিতে অ্যাডমিন অ্যাক্সেস পেতে দেয়৷ শপলিফ্ট বাগ হ্যাকারদের ক্রেডিট কার্ডের অর্থপ্রদানের তথ্য ব্যবহার করার অনুমতি দেয় সরাসরি অর্ডার ফর্ম থেকে অর্থপ্রদানের তথ্য ছিনিয়ে নিয়ে বা একগুচ্ছ PHP ফাইল সংশোধন করে যা প্রক্রিয়াকরণের সময় অর্থপ্রদানের তথ্য ছড়িয়ে দেয়।

এই দুর্বলতা রোধ করার জন্য একটি প্যাচ প্রকাশ করা হয়েছিল, কিন্তু দুর্ভাগ্যবশত, অনেক সাইট অবিলম্বে আপডেট হয়নি। ফিক্সের গুরুত্ব মূল্যায়ন করে, হ্যাকাররা ম্যালওয়্যার ধারণকারী একটি বৈধ দেখতে কিন্তু জাল প্যাচ তৈরি করার সুযোগ খুঁজে পেয়েছে। এটি পরিবর্তে প্রয়োজনীয় ব্যবহারকারীর অর্থপ্রদানের শংসাপত্রের ডেটাবেস চুরি করবে

জাল SUPEE-5344 প্যাচটি ছিল প্রায় 160 লাইনের কোড সহ একটি পরিশীলিত প্যাচ (ছবি সৌজন্যে:সুকুরি)

4. Magento এক্সটেনশনে SQL ইনজেকশন দুর্বলতা

বিভিন্ন Magento থার্ড পার্টি থিম এবং এক্সটেনশন যেমন EM (Extreme Magento) Ajaxcart, EM (Extreme Magento) Quickshop, MD Quickview, SmartWave QuickView এ SQL ইনজেকশন দুর্বলতা রয়েছে। এগুলি সর্বাধিক ব্যবহৃত কিছু এক্সটেনশন এবং স্মার্টওয়েভ থেকে পোর্তো, ট্রেগো এবং ক্যালিয়াস সহ বিভিন্ন থিমে ব্যবহৃত হয়৷

একটি এসকিউএল ইনজেকশন অ্যাটাক হল এমন একটি কৌশল যার মাধ্যমে একজন আক্রমণকারী ব্যবহারকারীদের ইনপুটের মাধ্যমে দূষিত SQL স্টেটমেন্ট সন্নিবেশ করে। ফলস্বরূপ, আক্রমণকারী ব্যাকহ্যান্ড প্রযুক্তি তথ্য প্রকাশ করে বা এই দূষিত SQL স্টেটমেন্টের মাধ্যমে ম্যানিপুলেশনের মাধ্যমে সীমাবদ্ধ এলাকায় অ্যাক্সেস প্রদান করে বিস্তারিত ত্রুটি বিজ্ঞপ্তি পেতে পারে।

এই ধরনের আক্রমণের শিকার হওয়া এড়াতে Magento ব্যবহারকারীদের শংসাপত্রগুলি পুনঃমূল্যায়ন করতে হবে এবং এক্সটেনশনগুলি কেনা সংশ্লিষ্ট কোম্পানিগুলির কাছ থেকে একটি নিরাপত্তা আপডেট পেতে হবে৷ Magento নিরাপত্তার সর্বোত্তম অনুশীলনের সম্পূর্ণ তালিকার মধ্য দিয়ে যাওয়া ভবিষ্যতে এই ধরনের যেকোনো দুর্বলতার বিরুদ্ধে সুরক্ষা নিশ্চিত করতে অনেক দূর এগিয়ে যেতে পারে

5. অ্যামাস্টি আরএমএ প্লাগইন দুর্বলতা

Amasty RMA এক্সটেনশন দুর্বলতা একজন হ্যাকারকে Magento সার্ভারে দূষিত ফাইল আপলোড করার অনুমতি দেয়। অধিকন্তু, RMA একজন হ্যাকারকে সার্ভার থেকে যেকোনো ডিরেক্টরি এবং সমালোচনামূলক ফাইল ডাউনলোড করতে দেয়। ফলাফলগুলি একটি গুরুতর সার্ভার আপস থেকে ব্যবহারকারী/প্রশাসকের উপর লক্ষ্যবস্তু আক্রমণ পর্যন্ত হতে পারে৷

একজন Magento ব্যবহারকারীর সাথে একটি নিরাপত্তা নিরীক্ষার সময়, Astra-এর দল একটি php শেল আপলোড করার চেষ্টা করে দুর্বলতাকে উড়িয়ে দিয়েছে

এই দুর্বলতা থেকে আপনার ওয়েবসাইটকে সুরক্ষিত করার জন্য তাৎক্ষণিক সমাধান হল সংস্করণ 1.3.11

আপনার Magento দোকান সুরক্ষিত করতে সাহায্য প্রয়োজন? আরও সহায়তার জন্য Astra-এর সাথে যোগাযোগ করুন।