WooCommerce-এ পরিত্যক্ত কার্ট প্লাগইন অপব্যবহার - অবিলম্বে আপডেট করুন

ওয়ার্ডপ্রেস-ভিত্তিক সাইটগুলি হ্যাকারদের দ্বারা আক্রমণের মুখে রয়েছে যেটি woocommerce-পরিত্যক্ত-কার্ট প্লাগইনের একটি XSS দুর্বলতাকে কাজে লাগিয়ে ব্যাকডোর প্লান্ট করে এবং দুর্বল সাইটগুলি দখল করে৷

woocommerce-albandoned-cart প্লাগইন, WooCommerce সাইটগুলির মালিকদের সেই বিক্রয়গুলি পুনরুদ্ধার করার জন্য পরিত্যক্ত শপিং কার্টগুলি ট্র্যাক করার অনুমতি দেয়৷

অতিথি ব্যবহারকারীর ইনপুট এবং আউটপুটে স্যানিটেশনের অভাব আক্রমণকারীদের অনেক ডেটা ফিল্ডে দূষিত জাভাস্ক্রিপ্ট ইনজেকশন করতে দেয়, যা প্রশাসক বিশেষাধিকার সহ লগ-ইন করা ব্যবহারকারী পরিত্যক্ত কার্টের তালিকা দেখে তখন কার্যকর হবে৷

বর্তমানে, ওয়ার্ডপ্রেস সাইটগুলি যেগুলি woocommerce-abandoned-cart বা woocommerce-albandoned-cart-pro ব্যবহার করে, অবিলম্বে সর্বশেষ উপলব্ধ সংস্করণে আপডেট করার পরামর্শ দেওয়া হয়৷ Astra WAF ব্যবহার করে ওয়ার্ডপ্রেস সাইটগুলি, ফায়ারওয়ালের অন্তর্নির্মিত XSS সুরক্ষার কারণে এই আক্রমণ থেকে সুরক্ষিত।

Astra ইনস্টল করা ছাড়া প্রভাবিত ব্যবহারকারীদের তাদের ওয়ার্ডপ্রেস সাইটের অখণ্ডতা নিশ্চিত করতে একটি সাইট নিরাপত্তা অডিট বিবেচনা করার পরামর্শ দেওয়া হয়।

পরিত্যক্ত কার্ট প্লাগইন ওয়ার্ডপ্রেসে XSS দুর্বলতার বিবরণ

যখন একজন অননুমোদিত ব্যবহারকারী তাদের শপিং কার্টে পণ্য যোগ করে এবং চেকআউট করতে যায়, woocommerce-abandoned-cart এর গেস্ট ইনপুট কার্যকর হয়৷

save_data AJAX অ্যাকশন গেস্ট দ্বারা প্রবেশ করা ডেটা প্লাগইনে ফেরত পাঠায়। উদ্দেশ্য হল চেকআউট প্রক্রিয়া কোনো কারণে সম্পন্ন না হলে, দোকানের মালিকদের প্লাগইন দ্বারা তাদের ড্যাশবোর্ডের মধ্যে সতর্ক করা হবে।

এই AJAX অনুরোধগুলির ইনপুট স্যানিটাইজেশন ($_POST ক্ষেত্র) ফাংশন দ্বারা সঞ্চালিত হয় না যা তাদের পরিচালনা করে। billing_first_name , billing_last_name এবং billing_company কিছু ক্রেতার ডেটা ক্ষেত্র যা সরাসরি ব্যবহারকারীর কাছ থেকে প্রাপ্ত হিসাবে সংরক্ষণ করা হয়। এই অনুরোধের ডেটা তারপর ডাটাবেসে সংরক্ষণ করা হয় এবং তাদের ওয়ার্ডপ্রেস ড্যাশবোর্ড থেকে প্রশাসকের কাছে অ্যাক্সেসযোগ্য। গ্রাহকের তথ্য, স্বতন্ত্র কার্ট, অর্ডারের মোট সংখ্যা এবং এই ধরনের তথ্য ড্যাশবোর্ড থেকে প্রশাসকের কাছে দৃশ্যমান।

অ্যাডমিনিস্ট্রেটরের ব্রাউজারে এই ডেটা রেন্ডার করার সময় কোনও আউটপুট স্যানিটাইজেশন করা হয় না। যেহেতু "গ্রাহক" ক্ষেত্র হল একটি একক ক্ষেত্র যা billing_first_name এর স্ট্রিংিংয়ের ফলে এবং billing_last_name আউটপুট টেবিলের ক্ষেত্রগুলি, এটি হ্যাকারদের লক্ষ্য এই প্রবাহকে কাজে লাগায়৷

ওয়ার্ডপ্রেস অ্যাডমিন প্যানেল পরিত্যক্ত কার্ট প্লাগইনের কারণে আপস করেছে? চ্যাট উইজেটে আমাদের একটি বার্তা দিন এবং আমরা আপনাকে এটি ঠিক করতে সাহায্য করতে পেরে খুশি হব। এখন আমার ওয়ার্ডপ্রেস ওয়েবসাইট ঠিক করুন।

কিভাবে হ্যাকাররা পরিত্যক্ত কার্ট প্লাগইনে এই দুর্বলতাকে কাজে লাগাচ্ছে

হ্যাকাররা ওয়ার্ডপ্রেস WooCommerce-এর উপর ভিত্তি করে দোকানে আক্রমণ করছে যাতে বিকৃত নামযুক্ত পণ্যের ভিড়ে শপিং কার্ট তৈরি করা হয়।

কার্টের যেকোনো ফিল্ডে এক্সপ্লয়েট কোড ঢোকানোর পরে সাইটটি ছেড়ে যাওয়ার ফলে স্টোরের ডাটাবেস সন্নিবেশিত এক্সপ্লয়েট কোড সংরক্ষণ করে।

হ্যাকার দ্বারা ঢোকানো এই শোষণ কোডটি পরিত্যক্ত কার্ট তালিকা দেখার জন্য অ্যাডমিনিস্ট্রেটর দ্বারা অ্যাক্সেস করার সাথে সাথে সংশ্লিষ্ট ব্যাকএন্ড পৃষ্ঠাটি লোড হওয়ার সাথে সাথে কার্যকর করা হয়৷

Wordfence দ্বারা চিহ্নিত আক্রমণগুলিতে, একটি bit.ly লিঙ্কটি এক্সপ্লোইট কোড দ্বারা একটি জাভাস্ক্রিপ্ট ফাইল লোড করতে ব্যবহৃত হয়েছিল। যেসব সাইটগুলিতে দুর্বল প্লাগইন সক্রিয় ছিল, কোডটি দুটি স্বতন্ত্র ব্যাকডোর তৈরি করার চেষ্টা করেছিল৷

যদিও প্রথম ব্যাকডোর হল একটি নতুন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট যা হ্যাকারদের দ্বারা তৈরি করা হয়েছে, যার ব্যবহারকারী নাম “wouser” এবং একটি ইমেল ঠিকানা Mailinator এ হোস্ট করা হয়েছে, একটি বরং চতুর কৌশলে দ্বিতীয় ব্যাকডোর। এটি ওয়েবসাইটে ইনস্টল করা সমস্ত প্লাগইন তালিকাভুক্ত করে এবং প্রথম নিষ্ক্রিয় প্লাগইন অনুসন্ধান করে। প্লাগইন পুনরায় সক্রিয় করার পরিবর্তে, এর মূল ফাইলের বিষয়বস্তু একটি স্ক্রিপ্টের সাথে প্রতিস্থাপিত হয় যা ভবিষ্যতে হ্যাকারদের আরও অ্যাক্সেস প্রদান করবে .

ক্ষতিকারক কমান্ড আক্রমণকারীদের দ্বারা এই ব্যাকডোরে পাঠানো যেতে পারে, এমনকি যদি "wouser" অ্যাকাউন্টটি সরানো হয়, যতক্ষণ না নিষ্ক্রিয় প্লাগইনের ফাইলগুলি ডিস্কে থাকে এবং ওয়েব অনুরোধ দ্বারা অ্যাক্সেসযোগ্য হয়৷

প্রভাব:

এই ত্রুটির প্রভাব এসইও স্প্যামের জন্য সাইটগুলি ব্যবহার করা থেকে শুরু করে হ্যাকাররা কার্ড স্কিমার লাগানো পর্যন্ত।

পরিত্যক্ত কার্ট প্লাগইন এক্সপ্লয়েট ঠিক করা

WooCommerce-এর জন্য পরিত্যক্ত কার্ট লাইটের সংস্করণ 5.2.0 যা 18 ফেব্রুয়ারি, 2019-এ প্রকাশিত হয়েছিল, এই কাজে হ্যাকারদের দ্বারা ব্যবহৃত XSS অ্যাটাক ভেক্টরের সাথে মোকাবিলা করা হয়েছে।

এটি অত্যন্ত সুপারিশ করা হয় যে সমস্ত স্টোর মালিকরা তাদের সাইটে এই ওয়ার্ডপ্রেস প্লাগইন ব্যবহার করে তাদের কন্ট্রোল প্যানেলে অ্যাডমিন অ্যাকাউন্টের তালিকায় যেকোন সন্দেহজনক এন্ট্রি পরীক্ষা করে দেখতে হবে এবং সেইসাথে তাদের সাইট আপডেট রাখতে হবে। এটা সম্পূর্ণভাবে সম্ভব যে হ্যাকাররা "wouser" থেকে অন্য কিছুতে নাম পরিবর্তন করতে পারে।

এটি উল্লেখ্য যে এই প্যাচটি এই ত্রুটির সম্পূর্ণ সমাধান নয় কারণ এটি দ্বিতীয় ব্যাকডোর বা পূর্ব-বিদ্যমান স্ক্রিপ্টগুলির সাথে মোকাবিলা করে না যা ইনজেকশন করা হয়েছিল। তাই, woocommerce-abandoned-cart ব্যবহার করে দোকানের মালিকদের জন্য সুপারিশ অথবা woocommerce-abandoned-cart-pro তাদের ডাটাবেসে কোনো স্ক্রিপ্ট ইনজেকশনের জন্য পরীক্ষা করা হয়. পর্যালোচনা করার জন্য টেবিলের নাম ভিন্ন হতে পারে, টেবিলের নাম ac_guest_abandoned_cart_history যেখানে অতিথি ক্রেতার ডেটা অবস্থিত হতে পারে। উপরন্তু, সমস্ত অননুমোদিত প্রশাসক অ্যাকাউন্ট পরিষ্কারের অংশ হিসাবে মুছে ফেলতে হবে৷

ওয়ার্ডপ্রেস অ্যাডমিন প্যানেল পরিত্যক্ত কার্ট প্লাগইনের কারণে আপস করেছে? চ্যাট উইজেটে আমাদের একটি বার্তা দিন এবং আমরা আপনাকে এটি ঠিক করতে সাহায্য করতে পেরে খুশি হব। এখন আমার ওয়ার্ডপ্রেস ওয়েবসাইট ঠিক করুন।