কম্পিউটার

ডেভেলপাররা প্লাগইন আপডেট না করলে কি হয়?

ডেভেলপাররা প্লাগইন আপডেট করে না: ওয়ার্ডপ্রেস সাইটের মালিকদের সবসময় ওয়ার্ডপ্রেস কোর এবং অ্যাড-অন (থিম এবং প্লাগইন) আপডেট রাখতে সতর্ক করা হয়। যখন অযৌক্তিক রাখা হয়, অ্যাডঅনগুলি দুর্বলতা তৈরি করে যা হ্যাকার একটি সাইটে ভাঙার জন্য শোষণ করে। কিন্তু যদি কিছু সময় আগে একটি দুর্বলতা আবিষ্কৃত হয় এবং প্লাগইনটির বিকাশকারী এখনও সমস্যাটির সমাধান করার জন্য একটি আপডেট প্রকাশ না করে তবে কী হবে? তাহলে আপনার মত ওয়েবসাইট মালিকরা কি করবেন? এই পোস্টের লক্ষ্য হল এমন একটি পদক্ষেপ নিয়ে আলোচনা করা যা বিকাশকারীরা একটি আপডেট প্রকাশ না করা পর্যন্ত সাইটটিকে নিরাপদ রাখবে।

2016 সালে, একটি নিরাপত্তা ব্লগ W3 টোটাল ক্যাশে, একটি জনপ্রিয় ক্যাশিং প্লাগইন-এ পাওয়া ক্রস-সাইট স্ক্রিপ্টিং দুর্বলতার রিপোর্ট করেছে। W3 টোটাল ক্যাশে 1 মিলিয়নের বেশি সক্রিয় ইনস্টল সহ সবচেয়ে জনপ্রিয় ক্যাশিং প্লাগইনগুলির মধ্যে একটি ছিল এবং pearsonified.com এবং mashable.com এর মতো ওয়েবসাইট এবং এমনকি AT&T-এর কোম্পানির ওয়েবসাইট দ্বারা বিশ্বস্ত ছিল। W3 টোটাল ক্যাশে প্লাগইনটি একটি দুর্বলতা তৈরি করার প্রথমবার ছিল না। প্রকৃতপক্ষে, অতীতে টোটাল ক্যাশে দুর্বলতার একটি ভাল অংশ ছিল এবং তাদের মধ্যে কিছু এমনকি শোষিত হয়েছিল।

প্রতিবেদনের সময়, সমর্থন সম্পর্কিত সমস্যাগুলির চারপাশে অভিযোগ ছিল যেখানে ব্যবহারকারীরা কয়েক মাস ধরে ডেভেলপারদের সাথে যোগাযোগ করার চেষ্টা করছেন কিন্তু খুব বেশি সাফল্য ছাড়াই। একজন অসন্তুষ্ট ব্যবহারকারী একটি ফেসবুক গ্রুপে পোস্ট করেছেন যে প্লাগইনটি 7 মাসেরও বেশি সময় ধরে আপডেট করা হয়নি। এই মুহুর্তে, W3 টোটাল ক্যাশে ব্যবহার করে ওয়েবসাইটগুলিতে ক্রস-সাইট স্ক্রিপ্টিং দুর্বলতার সম্ভাব্য ক্ষতির বিষয়ে উদ্বেগ বোধগম্য৷

দুর্বলতা প্রকাশের প্রায় এক সপ্তাহ পরে, W3 টোটাল ক্যাশে একটি আপডেট প্রকাশ করেছে এবং শোষণযোগ্য ত্রুটিগুলি প্যাচ করেছে। উপরন্তু, তারা পণ্যের নতুন বৈশিষ্ট্য চালু করেছে। কিন্তু প্যাচ প্রকাশের ঠিক পরে, অনেক ওয়েবসাইট মালিকরা রিপোর্ট করেছেন যে আপডেটটি তাদের সাইটটি ভেঙে দিয়েছে। নতুন আপডেটের জন্য ওয়েবসাইট ভাঙা অস্বাভাবিক নয়, এই কারণেই স্টেজিং পরিবেশ ব্যবহার করার পরামর্শ দেওয়া হয়। এটি আপনাকে লাইভ সাইটে পরিবর্তন করার আগে একটি স্টেজিং সাইটে আপডেট পরীক্ষা করার সুযোগ দেয়। আপডেট করার সময় স্টেজিং সাইট ব্রেক করলে, আপনি আপনার লাইভ সাইটের ক্ষতি না করে প্লাগইন ডেভেলপারদের সাথে সমস্যাটি উত্থাপন করতে পারেন। এবং যখন W3 টোটাল ক্যাশের বিকাশকারীদের একটি প্যাচ প্রকাশ করতে কিছু সময় লেগেছিল তবে জিনিসগুলি মোট বিপর্যয়ের দিকে নিয়ে যায় নি।

বিকাশকারীরা প্লাগইন আপডেট না করলে কী করবেন?

ওয়ার্ডপ্রেস হল বিশ্বের সবচেয়ে জনপ্রিয় ওয়েবসাইট বিল্ডিং প্ল্যাটফর্ম, এবং এর জনপ্রিয়তার পিছনে সবচেয়ে বড় কারণ হল প্লাগইনগুলির ব্যবহার যা ব্যবহারকারীদের তাদের সাইট ডিজাইন করতে এবং এতে কার্যকারিতা যোগ করতে সক্ষম করে। অনেকগুলি ওয়ার্ডপ্রেস প্লাগইন ডেভেলপারদের দ্বারা তৈরি করা হয় পার্শ্ব প্রকল্প. যখন একটি দুর্বলতা তৈরি হয়, তখন শুধুমাত্র সমস্যাটি চিহ্নিত করতে নয় বরং একটি প্যাচ তৈরি করতেও অনেক সময় এবং প্রচেষ্টা লাগে৷ কখনও কখনও, তারা অবিলম্বে প্লাগইন দুর্বলতার দিকে ঝুঁকতে পারে না কারণ তাদের নিয়মিত কাজ থাকে। একটি পার্শ্ব-প্রকল্প একটি অগ্রাধিকার নয়. এটি একটি প্যাচ প্রকাশে বিলম্বের দিকে পরিচালিত করে৷

ডেভেলপাররা প্লাগইন আপডেট না করলে কি হয়?

ওয়ার্ডপ্রেস হল বিশ্বজুড়ে ছড়িয়ে থাকা একটি ইন্টারনেট সম্প্রদায় এবং মূল বা এর যেকোনো অ্যাড-অন (যেমন থিম এবং প্লাগইন) পাওয়া যেকোনো দুর্বলতার খবর দ্রুত ছড়িয়ে পড়ে। এর মানে হ্যাকাররা যারা সর্বদা দুর্বল ওয়েবসাইটগুলির সন্ধানে থাকে তারা কয়েক ঘণ্টার মধ্যে ওয়েবসাইটগুলিতে ব্যাপক হ্যাক করার প্রচেষ্টা শুরু করবে৷ এইভাবে যখন একটি প্লাগইন দুর্বলতা পাওয়া যায়, কিন্তু ডেভেলপাররা এখনও একটি আপডেট প্রকাশ করেনি, তখন ক্ষতির পথ থেকে সাইটটিকে রাখতে কিছু পদক্ষেপ নেওয়া গুরুত্বপূর্ণ। আপনি যখন নিজেকে এইরকম পরিস্থিতিতে খুঁজে পান তখন কী করবেন তা এখানে রয়েছে:

  • প্লাগইন নিষ্ক্রিয় করুন দুর্বলতা ঠিক করার জন্য ডেভেলপারদের দ্বারা একটি আপডেট প্রকাশিত না হওয়া পর্যন্ত।
  • যদি এটি একটি প্রিমিয়াম প্লাগইন বা প্লাগইনের প্রিমিয়াম সংস্করণ না হয়, তাহলেwordpress.org-এর সমর্থন ফোরামে যান এবং একটি অভিযোগ জানান সেখানে আশা করি, পর্যাপ্ত অভিযোগ ডেভেলপারদের দ্রুত একটি প্যাচ প্রকাশ করতে বাধ্য করবে।
  • সাধারণত, একটি দুর্বলতা আবিষ্কারের পরে একটি আপডেট আসতে 48 ঘণ্টার বেশি সময় নেয়৷ কিন্তু যদি এটি বেশি সময় নেয়, তাহলে বিকাশকারীদের সাথে যোগাযোগ করুন এবং সমস্যাটি সম্পর্কে তাদের জানান৷ আপনার উত্স উদ্ধৃত করুন, অর্থাৎ, আপনি দুর্বলতার কথা কোথা থেকে শুনেছেন। প্লাগইনের অফিসিয়াল ওয়েবসাইটে অবশ্যই একটি 'আমাদের সাথে যোগাযোগ করুন' পৃষ্ঠা বা সাইটের কোথাও একটি ইমেল ঠিকানা থাকতে হবে। তাদের একটি মেইল ​​করুন।
  • এর মধ্যে, একটি বিকল্প প্লাগইন ব্যবহার করুন এটি আপনাকে আপনার সাইটকে সম্পূর্ণরূপে কার্যকরী রাখতে সাহায্য করবে। যখন একটি প্লাগইন কাজ করা বন্ধ করে দেয় তখন আপনার কাছে একটি পরিকল্পনা থাকার পরামর্শ দেওয়া হয়।

যেমনটি আমরা আগে উল্লেখ করেছি, ওয়ার্ডপ্রেস প্লাগইন সংগ্রহস্থলে প্রচুর প্লাগইন রয়েছে যা শখ বা পার্শ্ব প্রকল্প হিসাবে বিকাশ করা হয়েছে। Tতার মানে একজন বিকাশকারী যিনি একটি বিনামূল্যের পণ্য তৈরি করতে কাজ করছেন তিনি যে কোনো সময় পণ্যটি পরিত্যাগ করতে পারেন। আর সেই কারণেই অনেক নিরাপত্তা বিশেষজ্ঞ শুধুমাত্র ডেভেলপারদের তৈরি করা প্রিমিয়াম প্লাগইন ব্যবহার করার পরামর্শ দেন যারা সমাজে সুপরিচিত এবং সম্মানিত। যে সকল ডেভেলপাররা প্লাগইন বা থিমের জন্য অর্থপ্রদান করছেন না তারা প্লাগইন/থিম উন্নত বা বজায় রাখার জন্য কম সময় দিতে পারেন। তাদের একটি পূর্ণ-সময়ের চাকরি থাকতে পারে যা তাদের ব্যস্ত রাখে এবং তাদের বিল পরিশোধ করে যা এমন একটি পণ্যে সময় বিনিয়োগ করে যা কোনো আর্থিক সুবিধা অব্যবহার্য করে না।

ওয়ার্ডপ্রেস প্লাগইনগুলিতে দুর্বলতাগুলি বিকাশ করবে সেগুলি বিশেষজ্ঞ বা অপেশাদার দ্বারা তৈরি করা হোক না কেন। আপনি যদি পরিত্যক্ত থিম/প্লাগইন ব্যবহার করতে থাকেন, তাহলে কোনো রক্ষণাবেক্ষণ থাকবে না, তাই কোনো আপডেট নেই। যখন একটি ত্রুটি ঘটে, আপনি প্লাগইন ডেভেলপারদের সাথে যোগাযোগ করতে চান, কিন্তু যেহেতু প্লাগইনটি তার ডেভেলপারদের দল দ্বারা পরিত্যাগ করা হয়েছে, তাই আপনি কোন সমর্থনও পাবেন না। এটি আপনাকে, ব্যবহারকারীকে, একটি আঁটসাঁট জায়গায় ফেলে দেয় কারণ একটি বিকল্প প্লাগইন বা থিমে স্যুইচ করার জন্য আবার সময় এবং প্রচেষ্টা বিনিয়োগ করতে হয় তবে এটিই একমাত্র কার্যকর বিকল্প। ভাল ওয়েবসাইট নিরাপত্তা অনুশীলন ব্যবহারকারীকে একটি প্লাগইন কীভাবে চয়ন করতে হয় তার কয়েকটি প্রোটোকল অনুসরণ করতে অনুরোধ করে। আমরা তাদের এখানে তালিকাভুক্ত করেছি:

  • একটি প্লাগইন নির্বাচন করুন যা একজন বিখ্যাত বিকাশকারী দ্বারা তৈরি করা হয়েছে এমন একটি পরিস্থিতি এড়াতে যেখানে আপনি একটি প্লাগইন ব্যবহার করছেন যা নির্মাতার দ্বারা পরিত্যক্ত হয়েছে।
  • নিশ্চিত করুন যে প্লাগইনটি নিয়মিত আপডেট হচ্ছে যার অর্থ ডেভেলপাররা দুর্বলতা ঠিক করছে যা হ্যাকাররা আপনার সাইটে প্রবেশ করতে ব্যবহার করতে পারে। সর্বশেষ আপডেট কখন করা হয়েছিল তা দেখতে ওয়ার্ডপ্রেসের সংগ্রহস্থলে যান।
ডেভেলপাররা প্লাগইন আপডেট না করলে কি হয়?
এটি লেখার সময়, W3 মোট ক্যাশে সর্বশেষ আপডেট করা হয়েছিল 3 মাস আগে৷
  • একটি প্রিমিয়াম প্লাগইন ব্যবহার করুন একটি বিনামূল্যের পরিবর্তে। যদি একটি প্লাগইনের একটি বিনামূল্যের সংস্করণ থাকে, তাহলে মৌলিক কার্যকারিতা পরীক্ষা করতে এটি ব্যবহার করুন, তবে আমরা আপনাকে প্রিমিয়াম সংস্করণে আপগ্রেড করার পরামর্শ দিই। যেমন আমরা আগে আলোচনা করেছি, বিনামূল্যের প্লাগইনগুলি পরিত্যাগ করা যেতে পারে, অথবা গুরুত্বপূর্ণ আপডেটগুলি রোল আউট হতে অনেক বেশি সময় নিতে পারে৷

আমরা আশা করি যে যখন একজন বিকাশকারী তার প্লাগইন আপডেট করছে না তখন এই পোস্টটি পদক্ষেপ নিতে সাহায্য করবে৷ পড়ার জন্য আপনাকে ধন্যবাদ এবং যদি আপনার কোন প্রশ্ন থাকে, দয়া করে আমাদের লিখুন।


  1. আপনি যখন আইফোনে একটি নম্বর ব্লক করেন তখন কী হয়

  2. GiveWP প্লাগইনে প্রমাণীকরণ বাইপাস দুর্বলতা পাওয়া গেছে – অবিলম্বে আপডেট করুন

  3. WPForms Plugin 1.5.9-এ XSS দুর্বলতা পাওয়া গেছে - অবিলম্বে আপডেট করুন

  4. আপনি যখন Android এ ব্যক্তিগত ব্রাউজিং ব্যবহার করেন তখন কী ঘটে?