দিনের পর দিন, ওয়ার্ডপ্রেস সিএমএসে একটি দুর্বলতা বা আক্রমণ প্রকাশ্যে আসে। স্পষ্টতই, এখানেই শেষ নয়। পূর্ববর্তী দুর্বলতা যোগ করে, আরেকটি বেশ গুরুতর ক্রস-সাইট স্ক্রিপ্টিং দুর্বলতা ওয়ার্ডপ্রেস প্লাগইন wp-live-chat-support-এ উন্মোচিত হয়েছে। এই XSS wp লাইভ চ্যাট সমর্থন প্লাগইন 8.0.27 এর আগের সংস্করণে রয়েছে।
WP-লাইভ চ্যাট সাপোর্ট প্লাগইনের অফিসিয়াল ওয়ার্ডপ্রেস প্লাগইন ডিরেক্টরি অনুযায়ী 60,000 এর বেশি ইনস্টলেশন রয়েছে এবং মাত্র 15 ঘন্টা আগে আপডেট করা হয়েছিল।
ঝুঁকির স্থিতি
দুর্বলতার তীব্রতা এই সত্য থেকে অনুমান করা যেতে পারে যে কোনও অননুমোদিত ব্যবহারকারী (এমনকি একটি অ্যাকাউন্ট ছাড়াই) দুর্বল ওয়েবসাইটগুলিতে দূষিত স্ক্রিপ্টগুলি ইনজেকশনের মাধ্যমে দূর থেকে এই দুর্বলতাকে কাজে লাগাতে পারে৷
একটি অরক্ষিত admin_init এর কারণে এই দুর্বলতা দেখা দিয়েছে হুক।
যেটিকে /wp-admin/admin-post.php এ গিয়ে কল করা যেতে পারে অথবা /wp-admin/admin-ajax.php কোনো অননুমোদিত আক্রমণকারী দ্বারা ইচ্ছামত বিকল্প “wplc_custom_js আপডেট করতে ”।
আরও, wplc_custom_js এর বিষয়বস্তু যে পৃষ্ঠায় লাইভ চ্যাট প্রদর্শিত হয় তা লোড করা হয় যার অর্থ দূষিত জাভাস্ক্রিপ্ট একই পৃষ্ঠাগুলিতে লোড হবে এবং সাধারণত দূষিত জাভাস্ক্রিপ্ট লোড করা আক্রমণকারীদের সহজেই XSS অর্জন করতে সহায়তা করবে৷
ঝুঁকি কমানো
সর্বশেষ সংস্করণে আপডেট করুন
এর জন্য সর্বোত্তম সম্ভাব্য সমাধান হল wp-লাইভ চ্যাট সমর্থন সর্বশেষ সংস্করণে আপডেট করা, যেমন সংস্করণ 8.0.27 এবং পরবর্তী সংস্করণ। দুর্বলতা রিপোর্ট করার পরে বিকাশকারীরা দুর্বল সংস্করণটি প্যাচ করতে প্রায় অর্ধ মাস সময় নিয়েছিল। তারপর থেকে, WP লাইভ চ্যাট সমর্থন প্লাগইন দুবার প্যাচ করা হয়েছে। ডাউনলোডের জন্য উপলব্ধ বর্তমান সংস্করণ হল 8.0.29৷
৷ওয়ার্ডপ্রেস নিরাপত্তা স্যুট
আপনার ওয়েবসাইটে একটি নিরাপত্তা প্রহরী থাকা সবসময় সাহায্য করে। অস্ট্রা ওয়ার্ডপ্রেস সিকিউরিটি স্যুট এটি ওয়ার্ডপ্রেসের জন্য তৈরি করা হয়েছে এবং এর ক্রমাগত এবং ব্যাপক ফায়ারওয়ালের সাথে সম্পূর্ণ সুরক্ষা প্রদান করে। এগুলি ছাড়াও, Astra-এর অন-ডিমান্ড ম্যালওয়্যার স্ক্যানার শুধুমাত্র একটি ক্লিকে ক্ষতিকারক ফাইলগুলিকে স্ক্যান করে এবং ফ্ল্যাগ করে। তাছাড়া, প্রথম স্ক্যানের জন্য 10 মিনিটেরও কম সময় লাগে এবং পরবর্তী স্ক্যানের জন্য আরও কম সময় লাগে।
এখন একটি Astra ডেমো পান!
