ওয়ার্ডপ্রেস ব্যাক-আপ এবং স্টেজিংয়ের ক্ষেত্রে WP টাইম ক্যাপসুল বেশ জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন। এটি একটি ক্লিকের ব্যাপার ব্যাক আপ এবং স্টেজ করার জটিল প্রক্রিয়াগুলিকে পরিণত করেছে৷
৷যাইহোক, ওয়ার্ডপ্রেস প্লাগইনগুলিতে সুরক্ষার ভঙ্গুর প্রকৃতির কারণে, দুর্বলতার প্রকাশগুলি বেশ অপ্রত্যাশিত নয়। অবশ্যই, WP টাইম ক্যাপসুল প্লাগইন কোন ব্যতিক্রম নয়। প্রকৃতপক্ষে, 8ই জানুয়ারী, এই জনপ্রিয় প্লাগইনে একটি গুরুতর প্রমাণীকরণ বাইপাস দুর্বলতা আবিষ্কৃত হয়েছিল৷
এই প্রকাশটি প্লাগইনটির 20,000 এরও বেশি সক্রিয় ব্যবহারকারীদের ঝুঁকিতে ফেলেছে। যদিও প্লাগইন ডেভেলপমেন্ট টিম দুর্বলতা সংশোধন করেছে এবং একই দিনে প্যাচ করা সংস্করণ 1.21.16 প্রকাশ করেছে, পুরানো সংস্করণে যে কেউ হুমকির সম্মুখীন হবে।
আপনি যদি 1.21.16-এর আগে কোনো সংস্করণে থাকেন তাহলে দ্রুত আপডেট করুন।
এখন পর্যন্ত কোনো শোষণের খবর নেই। কিন্তু, আপনি যদি দুর্বল সংস্করণে অবিরত থাকেন, তাহলে অনেক কিছু ভুল হতে পারে।
এই ব্লগ পোস্টের সাহায্যে, আমরা আপনাকে ওয়ার্ডপ্রেসে প্রমাণীকরণ বাইপাসের মূল বিষয়গুলির মধ্যে নিয়ে যাব এবং প্রশ্নের উত্তর দেব যেমন – প্রমাণীকরণ বাইপাস কী এবং কীভাবে এটি আপনার ওয়েবসাইটকে প্রভাবিত করে৷ হুমকি চেক করার জন্য আপনি যে নিরাপত্তা সংশোধনগুলি প্রয়োগ করতে পারেন সেগুলিও আমরা আপনাকে জানাব৷
এখানে আমরা শুরু করি।
ওয়ার্ডপ্রেস এ প্রমাণীকরণ বাইপাস কি?
লগইন পৃষ্ঠাটি পূরণ করা সম্ভবত একটি সাইটের অভ্যন্তরীণ তথ্য বা সেই বিষয়ে অন্য কোনও সফ্টওয়্যারে অ্যাক্সেস পেতে প্রথম পদক্ষেপ। যখন কেউ সঠিক প্রমাণীকরণ ছাড়াই আপনার সাইট, অ্যাডমিন প্যানেল, ব্যবহারকারীর অ্যাকাউন্ট ইত্যাদিতে অ্যাক্সেস পায়, তখন এটি "প্রমাণিকরণ বাইপাস" নামে পরিচিত।
OWASP প্রমাণীকরণ বাইপাসকে নিম্নরূপ সংজ্ঞায়িত করে,
এটি কীভাবে আপনার ওয়েবসাইটকে প্রভাবিত করে?
অবশ্যই, আপনার ওয়েবসাইটের অভ্যন্তরীণ বিষয়বস্তুতে অবৈধ অ্যাক্সেস পাওয়া যে কেউ খারাপ। যাইহোক, একটি প্রমাণীকরণ বাইপাসের পরিণতি অনেক প্রতিকূল হতে পারে। আমি নিম্নলিখিত বিভাগে কিছু পরিচিত ফলাফল তালিকাভুক্ত করছি:
- প্রশাসক অ্যাক্সেস সহ একজন আক্রমণকারী আপনার ওয়েবসাইটের সেটিংস ম্যানিপুলেট করতে পারে
- আক্রমণকারী সাইটের বিষয়বস্তু ব্যবহার করতে পারে বা গোপন তথ্যের অপব্যবহার করতে পারে
- হ্যাকাররা আপনার ওয়েবসাইটে একটি ওয়েব শেল আপলোড করতে পারে
অন্যান্য প্রযুক্তিগত ফলাফল রয়েছে, যা এই ব্লগ পোস্টের সুযোগের বাইরে থেকে যায়।
আপনার কি করা উচিত?
আপডেট করুন।
আমরা ইতিমধ্যেই উল্লেখ করেছি, WP টাইম ক্যাপসুল ডেভেলপমেন্ট টিম আপডেটেড সংস্করণ 1.21.16-এ দুর্বলতা প্যাচ করেছে।
এই সংস্করণে আপডেট করা হল সবচেয়ে বিচক্ষণ এবং যৌক্তিক পদক্ষেপ যা আপনি নিতে পারেন৷
৷আপডেট করার পাশাপাশি, নিম্নলিখিত প্রতিরোধমূলক ব্যবস্থাগুলি প্রয়োগ করা শুধুমাত্র আপনার ওয়ার্ডপ্রেস সাইটকে আরও সুরক্ষিত করতে সাহায্য করবে:
- ক্লায়েন্ট-সাইড ওয়েব ব্রাউজার স্ক্রিপ্টে আপনার প্রমাণীকরণ স্কিমা প্রকাশ করবেন না
- সার্ভার-সাইডে সমস্ত ব্যবহারকারীর ইনপুট যাচাই করুন
- আপনার ব্রাউজার এবং সার্ভারের মধ্যে একটি এনক্রিপ্ট করা ডেটা স্থানান্তর প্রক্রিয়া সেট আপ করুন৷
- পর্যায়ক্রমিক পুনরায় প্রমাণীকরণ এবং সেশনের সময় শেষ করার সুবিধার্থে একটি প্লাগইন ইনস্টল করুন৷
- একটি এনক্রিপ্ট করা চ্যানেলে সমস্ত কুকি এবং সেশন ডেটা পাঠান৷ ৷
শেষে…
জেনে রাখুন যে আপনার ওয়েবসাইটে একটি দুর্বল প্লাগইন ব্যবহার করা হ্যাক হওয়ার সবচেয়ে সাধারণ কারণ। আমরা WP টাইম ক্যাপসুল এর সমস্ত ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব নিরাপদ সংস্করণে যেতে অনুরোধ করি৷
উপরন্তু, একটি নিবেদিত নিরাপত্তা সমাধান দিয়ে আপনার ওয়েবসাইট সুরক্ষিত করা সবসময় একটি সুপারিশ।
আপনার যদি জিজ্ঞাসা করার কোন প্রশ্ন থাকে তবে নীচে মন্তব্য করুন এবং আমাদের দলের কেউ যোগাযোগ করবে৷
