WP রক্ষণাবেক্ষণ প্লাগইন CSRF এবং সংরক্ষিত XSS-এর জন্য দুর্বল বলে প্রমাণিত হয়েছে। 15ই নভেম্বর, WordFence WP রক্ষণাবেক্ষণ প্লাগইনের বিকাশকারীদের দুর্বলতার কথা জানিয়েছে। যা অনুসরণ করে প্লাগইন ডেভেলপাররা (ফ্লোরেন্ট ম্যালিফৌড) জরুরিভাবে মাত্র একদিনের মধ্যে দুর্বলতা প্যাচ করেছে৷
সংস্করণ 5.0.6 দুর্বলতা মুক্ত। আমরা আপনাকে পূর্ববর্তী যেকোনো সংস্করণ থেকে আপনার প্লাগইন আপডেট করার পরামর্শ দিই৷৷
WP রক্ষণাবেক্ষণ প্লাগইন সম্পর্কে
এর নাম অনুসারে, WP রক্ষণাবেক্ষণ প্লাগইন আপনাকে আপনার ওয়েবসাইটকে রক্ষণাবেক্ষণ মোডে রাখতে সক্ষম করে। এটি আপনাকে আপনার ওয়েবসাইট রক্ষণাবেক্ষণ পৃষ্ঠাটি ব্যাপকভাবে কাস্টমাইজ করতে সক্ষম করে৷
ওয়ার্ডপ্রেস রিপোজিটরিতে WP রক্ষণাবেক্ষণ প্লাগইনটি এভাবেই দেখায়।
আপনি দেখতে পাচ্ছেন, এই প্লাগইনটির 30,000+ সক্রিয় ইনস্টলেশন রয়েছে। এর বৈশিষ্ট্যগুলির মধ্যে রয়েছে রক্ষণাবেক্ষণ পৃষ্ঠায় কাস্টম পাঠ্য, লোগো, ছবি, CSS ইত্যাদি। এমনকি আপনি আপনার সাইট রক্ষণাবেক্ষণ পৃষ্ঠায় একটি কাউন্টডাউন টাইমার সন্নিবেশ করতে পারেন৷
৷দুর্বলতার বিবরণ
WordFence অনুসারে, এই দুর্বলতা আক্রমণকারীদের আপনার ওয়েবসাইটকে রক্ষণাবেক্ষণ মোডে রাখতে এবং আপনার ওয়েবসাইটগুলিতে দূষিত কোডগুলি ইনজেকশন করতে দেয়। প্রাথমিকভাবে কাস্টমাইজেশন বৈশিষ্ট্য প্লাগইন একটি ত্রুটি আছে. কাস্টমাইজেশন সেটিংস সেটিংস আপডেট করার আগে ব্যবহারকারীদের ননস কী চেক করে না। এটি একটি গুরুতর CSRF আক্রমণের দিকে নিয়ে যেতে পারে৷
এছাড়াও, সেটিংস ইনপুট ক্ষেত্রে সঠিক কোড স্যানিটেশনের অভাব রয়েছে, যা হ্যাকারদের আপনার ওয়েবসাইটে বিপজ্জনক কোড ইনজেক্ট করতে দেয়।
আরও প্রযুক্তিগত বিষয়গুলি পরবর্তী বিভাগে রয়েছে৷
৷প্রযুক্তিগত বিবরণ
ডব্লিউপি রক্ষণাবেক্ষণ বিপুল সংখ্যক কাস্টমাইজেশন বৈশিষ্ট্যের সুবিধা দেয়। এটি অত্যধিক কাস্টমাইজেশন বৈশিষ্ট্য সক্রিয় আউট ভাল নজরদারি প্রয়োজন. WP রক্ষণাবেক্ষণ এর মধ্যে সীমিত ননস সুরক্ষা এবং মানগুলিতে ইনপুট/আউটপুট স্যানিটেশনের অভাব রয়েছে। এই উপেক্ষিত এলাকাগুলি ক্রস-সাইট অনুরোধ জালিয়াতি (CSRF) এর ফলে। CSRF তখন WP রক্ষণাবেক্ষণে ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতার দিকে পরিচালিত করে।
এই কোডটি দেখুন:
এখানে update_general AJAX ফাংশন ননস টোকেন যাচাই করে না, এটিকে CSRF-এর জন্য দুর্বল করে দেয়। এছাড়াও, update_option() এবং wpm_update_settings() ফাংশনে ইনপুট স্যানিটাইজেশন নেই। এটি একটি অননুমোদিত ব্যবহারকারী/আক্রমণকারীকে একটি সংরক্ষিত XSS হিসাবে ক্ষতিকারক স্ক্রিপ্টগুলিকে ইনজেক্ট করার অনুমতি দিতে পারে, যা কল করলে আপনার সাইটে পুনঃনির্দেশ, ক্রিপ্টো মাইনিং, ডেটা চুরি ইত্যাদি হতে পারে৷
সর্বোপরি, প্লাগইনের সমস্ত সেটিংস CSRF এবং XSS-এর জন্য ঝুঁকিপূর্ণ ছিল৷
WP রক্ষণাবেক্ষণের সাধারণ সেটিংস উইন্ডোতে দুটি ইনপুট ক্ষেত্র রয়েছে। শিরোনাম এবং পাঠ্য ক্ষেত্র।
ত্রুটিপূর্ণ বৈধকরণ এবং স্যানিটাইজেশনের কারণে, দূষিত কোডগুলি পার্সিং এড়িয়ে যায় এবং একটি সঞ্চিত XSS দুর্বলতা হিসাবে সংরক্ষণ করা হয়। WP রক্ষণাবেক্ষণের "নিউজলেটার সক্ষম করুন" ক্ষেত্রে নিম্নলিখিত উদাহরণটি দেখুন:
কোডগুলি স্যানিটাইজেশন পাস করে এবং এটি কার্যকর হয়৷
ঝুঁকি কমাতে আপডেট করুন
ঝুঁকি কমাতে প্লাগইনটিকে সাম্প্রতিক সংস্করণে (5.0.6) আপডেট করুন৷
এছাড়াও, প্রচুর ওয়ার্ডপ্রেস প্লাগইনগুলিতে অনুপযুক্ত নিরাপত্তা রক্ষণাবেক্ষণ একটি গুরুতর সমস্যা রয়ে গেছে। আপনার ওয়েবসাইটের নিরাপত্তা নিশ্চিত করার সর্বোত্তম উপায় হল পছন্দসই হয়ে উঠছে। যেখানে WP রক্ষণাবেক্ষণ দুর্বলতাগুলি প্যাচ করার জন্য দ্রুত ছিল, অনেক প্লাগইন তা করে না৷
শুধুমাত্র সেই প্লাগইনগুলি ডাউনলোড করুন যেগুলির একটি সক্রিয় সমর্থন এবং বিকাশ দল রয়েছে৷ আপনি প্লাগইন পর্যালোচনা চেক করে বা ফোরামে তাদের সন্ধান করে এটি জানতে পারেন৷
৷Astra নিরাপত্তা সহায়তায়
একটি নিরাপদ প্লাগইন থাকা সাহায্য করে, কিন্তু আপনি কি জানেন যে প্লাগইনের নিরাপত্তার উপর নির্ভর করার চেয়ে আরও ভাল কী সাহায্য করে? আপনার নিজস্ব ডেডিকেটেড নিরাপত্তা ব্যবস্থা থাকা।
Astra নিরাপত্তা আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের জন্য একটি সম্পূর্ণ নিরাপত্তা স্যুট। যখন Astra আপনার ওয়েবসাইটের নিরাপত্তার যত্ন নিচ্ছে তখন আপনি বসে থাকতে পারেন এবং শান্ত হতে পারেন। এটি আপনার ওয়েবসাইটের জন্য ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল, ম্যালওয়্যার স্ক্যানার, ম্যালওয়্যার ক্লিনআপ, নিরাপত্তা অডিট এবং আরও অনেক কিছুর মতো অসংখ্য বৈশিষ্ট্য অফার করে। আপনি এখানে আমাদের রিভিউ চেক করতে পারেন।
Astra ডেমো নিন এবং নিজের জন্য জানুন।
নীচের মন্তব্য বাক্সে আপনার নিরাপত্তা প্রশ্নগুলি শুট করুন, আমরা উত্তর দিতে নিশ্চিত করব 🙂
অথবা আপনি এখানে চ্যাটে নিরাপত্তা বিশেষজ্ঞদের সাথে যোগাযোগ করতে পারেন।