আপনার WP লাইভ চ্যাট সাপোর্ট প্লাগইনের এই দুর্বলতা হ্যাকারদের আপনার সাইটকে আপস করতে দেয়!

একটি ওয়ার্ডপ্রেস ওয়েবসাইট থাকা চমৎকার, কিন্তু ডিজিটাল বিশ্বে, সবসময় ভাল ছেলে এবং খারাপ ছেলেদের মধ্যে একটি চলমান যুদ্ধ হয়...একটি সিনেমার প্লটের মতো শোনায়, তাই না? কিন্তু, এটাই বাস্তবতা! ভাল ছেলেরা - নিরাপত্তা গবেষক এবং বিকাশকারীরা, আপনার ওয়েবসাইট নিরাপদ রাখতে চান। এবং খারাপ লোকেরা - হ্যাকার এবং স্প্যামাররা এটিকে দূষিত উদ্দেশ্যে অবৈধভাবে ব্যবহার করতে চায়৷

আসুন আরও গভীরে খনন করি...

"প্রতি 39 সেকেন্ডে একটি ওয়েবসাইটে একটি আক্রমণ হয় এবং ওয়ার্ডপ্রেসের 98% দুর্বলতা প্লাগইনগুলির সাথে সম্পর্কিত ”

আপনি যখন এটি পড়ছেন, তখন একজন আক্রমণকারী কোথাও কিছু প্লাগইনের দুর্বলতাকে কাজে লাগিয়ে একটি WordPress ওয়েবসাইটকে অবৈধভাবে অ্যাক্সেস করার চেষ্টা করছে৷

এপ্রিল 2019-এ, ভাল ছেলেরা, ওরফে নিরাপত্তা গবেষকরা, WP লাইভ চ্যাট সাপোর্ট প্লাগইন-এ একটি স্থায়ী ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা আবিষ্কার করেছেন . এটি খারাপ লোকদের, ওরফে হ্যাকারদের, এই দুর্বলতাকে কাজে লাগাতে এবং একটি ওয়েবসাইটে দূষিত স্ক্রিপ্ট ইনজেকশন করার জন্য নির্দেশ দেয়, যার ফলে ওয়েবসাইটের নিয়ন্ত্রণ নেওয়া হয়৷ WP লাইভ চ্যাট সাপোর্ট প্লাগইন এটি একটি ওয়ার্ডপ্রেস প্লাগইন, যা সম্পূর্ণরূপে কার্যকরী লাইভ চ্যাট সমর্থন প্লাগইনগুলির একটি বিনামূল্যের বিকল্প যা ব্যস্ততা এবং রূপান্তরগুলির জন্য৷ প্লাগইনটিতে 60,000টির বেশি সক্রিয় ইনস্টল ছিল৷ , যা হাজার হাজার ব্যবহারকারীকে ঝুঁকির মধ্যে ফেলে।

এই দুর্বলতা কী ছিল এবং এটি আপনাকে কীভাবে প্রভাবিত করে?

WP লাইভ চ্যাট সাপোর্ট প্লাগইনের দুর্বলতা একজন আক্রমণকারীকে লক্ষ্যযুক্ত ওয়েবসাইটে ক্রস-সাইট স্ক্রিপ্টিং (XSS) আক্রমণ চালানোর অনুমতি দেয়।

একটি XSS আক্রমণে, হ্যাকার আপনার অজান্তেই আপনার ওয়েবসাইটে একটি দূষিত স্ক্রিপ্ট বা কোড ইনজেক্ট করে। এই কোডটি, তারপরে, সম্ভবত ব্যবহারকারীর ডেটা সংগ্রহ করে (উহ-ওহ!), আপনার ওয়েবসাইটের বিষয়বস্তু পরিবর্তন করে বা অন্য কোনো আপোস করা ওয়েবপেজে পাঠায়। যদি হ্যাকার আপনার ওয়েবসাইটের অংশে তার কোড ইনজেক্ট করতে পরিচালনা করে, যা সার্ভারে সংরক্ষিত থাকে (উদাহরণ:ব্যবহারকারীর মন্তব্য), এটি হয়ে যায় পারসিস্টেন্ট XSS .

'অস্থির' কারণ যখনই কোনো ব্যবহারকারী সংক্রামিত ওয়েবপৃষ্ঠা লোড করে, ব্রাউজার সেই ক্ষতিকারক কোডটি কার্যকর করে যার ফলে আক্রমণটি সম্পন্ন হয়'

আমরা সবাই সার্চ ইঞ্জিন জানি, বিশেষ করে গুগল সাইট সিকিউরিটি খুব গুরুত্ব সহকারে নেয়। এবং তাই, এই ধরনের কোনো দুর্বলতা আপনার এসইওতে খুব খারাপ প্রভাব ফেলবে। শুধু তাই নয়, এটি আপনার ব্যবহারকারীদের মধ্যে আস্থার সমস্যাও তৈরি করে। আরও খারাপ ক্ষেত্রে, আপনি এমনকি আপনার ওয়েবসাইটে অ্যাক্সেস হারাতে পারেন বা আপনার সাইটে স্প্যাম লিঙ্ক এবং ম্যালওয়্যার থাকার জন্য আপনার ওয়েব হোস্ট দ্বারা সাসপেন্ড হতে পারেন৷

এই দুর্বলতা একটি বড় চুক্তির কারণ হল যে এটির কোনো প্রমাণীকরণের প্রয়োজন নেই এবং এমন ব্যবহারকারীদের দ্বারা শোষিত হতে পারে যাদের এমনকি সংক্রামিত ওয়েবসাইটে একটি অ্যাকাউন্টও নেই৷ কোনো প্রমাণীকরণের প্রয়োজন ছাড়াই, প্রচুর সংখ্যক সাইটকে প্রভাবিত করার জন্য আক্রমণকে স্বয়ংক্রিয় করা সহজ হয়,এই ক্ষেত্রে 60,000 টিরও বেশি !

আক্রমণ

একটি অরক্ষিত ‘admin_init হুক এর কারণে আক্রমণটি সম্ভব হয়েছে ' এখানেই বেশিরভাগ আক্রমণকারীরা তাদের আক্রমণ শুরু করে এবং ওয়ার্ডপ্রেস প্লাগইন আক্রমণের ক্ষেত্রে এটি খুবই সাধারণ।

আসুন প্রথমে বুঝুন হুক মানে কি। একটি হুক হল কোডের একটি অংশের সাথে যোগাযোগ এবং অন্যটি পরিবর্তন করার একটি মাধ্যম। ওয়ার্ডপ্রেস সাধারণত এই হুকটিকে কল করে যখন কেউ সাইটের অ্যাডমিন পৃষ্ঠায় যান। এই হুক ডেভেলপাররা সেই সময়ে বিভিন্ন ফাংশন কল করতে ব্যবহার করতে পারে। সমস্যাটি হল যে হুকের কোন প্রমাণীকরণের প্রয়োজন নেই এবং যে কেউ অ্যাডমিন ইউআরএলে যান তারা কোড চালানোর জন্য এটি ব্যবহার করতে পারেন। WP লাইভ চ্যাটের অ্যাডমিন হুক wplc_head_basic নামক একটি অ্যাকশনকে কল করে যা ব্যবহারকারীর বিশেষাধিকারগুলি পরীক্ষা করে না এবং কেবল প্লাগইন সেটিংস আপডেট করে।

একজন হ্যাকার wplc_custom_js নামে একটি জাভাস্ক্রিপ্ট বিকল্প আপডেট করতে এই ত্রুটিটি ব্যবহার করতে পারে যা লাইভ চ্যাট উইন্ডো প্রদর্শিত হলে প্লাগইন যে বিষয়বস্তু প্রদর্শন করে তা নিয়ন্ত্রণ করে। এখন, এটির কথা চিন্তা করুন – লাইভ চ্যাট উইজেট ব্যবহারকারীকে অনুসরণ করে প্রায় প্রতিটি পৃষ্ঠায় যা সে আপনার ওয়েবসাইটে ভিজিট করে, এবং তাই, এই পদ্ধতিটি ব্যবহার করে একাধিক পৃষ্ঠাকে লক্ষ্য করে হ্যাকারদের জন্য এটি একটি কেকের টুকরো!

তাহলে, কিভাবে আপনি আপনার সাইটকে এর থেকে নিরাপদ রাখবেন?

WP লাইভ চ্যাট সাপোর্ট প্লাগইনের পিছনের বিকাশকারীরা একটি প্যাচ প্রকাশ করেছে যা এই দুর্বলতার যত্ন নেয় . অতএব, আপনার ওয়েবসাইট হ্যাক হওয়া এড়াতে সর্বোত্তম সমাধান হল এটিকে সর্বশেষ সংস্করণে আপডেট করা।

8.0.27 এর পরের যেকোনো সংস্করণ নিরাপদ , কিন্তু তারপরও আমরা আপনাকে সবচেয়ে সাম্প্রতিক সংস্করণে ঘন ঘন আপডেট করার সুপারিশ করব৷ নতুন সংস্করণ হল 8.0.33 এবং এখানে উপলব্ধ .

ভবিষ্যতে আপনি কীভাবে আপনার সাইটকে সুরক্ষিত রাখবেন?

ধাপ 1:শুধুমাত্র বিশ্বস্ত উৎস থেকে প্লাগইন এবং থিম পান!

একটি ওয়েবসাইট বা টরেন্ট ফাইল থেকে সেই প্রিমিয়াম প্লাগইনটি বিনামূল্যে পেতে বেশ লোভনীয়, তাই না? আপনি হয়ত প্রিমিয়াম বৈশিষ্ট্য এবং আপনি সম্ভবত কত টাকা সাশ্রয় করবেন তা নিয়ে ভাবছেন… ভুল… নাকি সত্যিই করবেন?

যখনই আপনি অনির্ভরযোগ্য উৎস থেকে প্লাগইন ডাউনলোড করেন, তখন আপনি তাদের ম্যালওয়্যার বা ভাইরাসে আক্রান্ত হওয়ার ঝুঁকিও স্বীকার করেন। যদিও আপনি সেই প্রিমিয়াম প্লাগইনে কিছু টাকা সঞ্চয় করতে পারেন, আপনি আপনার ওয়েবসাইট পুনরুদ্ধার করার চেষ্টা করতে হাজার হাজার খরচ করতে পারেন, যদি তা সম্ভব হয়। অতএব, সর্বদা বিশ্বস্ত উত্স থেকে প্লাগইনগুলি ইনস্টল করুন, বিশেষত প্রমাণীকৃত কোম্পানি, এবং তারা ক্ষতিকারক কোডগুলির জন্য বিশেষজ্ঞ এবং সম্প্রদায়ের সদস্যদের দ্বারা যাচাই করা হয়েছে কিনা তা পরীক্ষা করুন৷

বিশ্বস্ত ওয়ার্ডপ্রেস মার্কেট প্লেস প্লাগইন:

• ওয়ার্ডপ্রেস
• CodeCanyon
• PickPlug-ins
• মোজো মার্কেটপ্লেস
• MyThemeshop
• Themeisle
• থিমফরেস্ট

ধাপ 2:একটি নির্ভরযোগ্য নিরাপত্তা প্লাগইন পান

ওয়ার্ডপ্রেস এর সমস্ত ওয়েবসাইটের জন্য একটি সুন্দর কার্যকর নিরাপত্তা ব্যবস্থা রয়েছে। যাইহোক, উপরে উল্লিখিত একটির মতো একটি দুর্বলতা সমস্ত নিরাপত্তা পরীক্ষাকে বাইপাস করতে পারে এবং আপনার সাইটের জন্য হুমকি তৈরি করতে পারে। তাই একটি নিরাপত্তা প্লাগইন গুরুত্বপূর্ণ।

যখন এটি নিরাপত্তা প্লাগইনগুলির ক্ষেত্রে আসে, তখন এমন একটি প্লাগইন পাওয়া বাঞ্ছনীয় যা সন্দেহভাজন আক্রমণের পরে দুর্বলতার জন্য আপনার ওয়েবসাইটটিকে কেবল স্ক্যান করে না, তবে একটি প্লাগইন যা সক্রিয়ভাবে নিশ্চিত করে যে আপনার সাইটটি সর্বদা নিরাপদ। আপনার এমন একটি প্লাগইন দরকার যা ম্যালওয়্যার স্ক্যানিং, ম্যালওয়্যার অপসারণের পাশাপাশি ওয়ার্ডপ্রেস ফায়ারওয়াল এবং ওয়েবসাইট পরিচালনার সাথে 24/7 সুরক্ষা প্রদান করে… সব মিলিয়ে, একটি সাশ্রয়ী মূল্যে!

MalCare হল একটি প্লাগইন যা ঠিক এই বিষয়গুলিকে মাথায় রেখে তৈরি করা হয়েছে এবং এটি নিশ্চিত করে যে আপনার ওয়েবসাইটের প্রতিরক্ষা সর্বদা আপ থাকে৷

এখানে MalCare কি অফার করে...

ম্যালওয়্যার স্ক্যান:

MalCare 100+ সংকেত সহ আপনার ওয়েবসাইট স্ক্যান করে এবং স্বাক্ষর যাচাইকরণের বাইরে চলে যায়। এটি বাজারে উপলব্ধ অন্যান্য প্লাগইনের চেয়ে ভাল ম্যালওয়্যার সনাক্ত করতে সক্ষম করে৷ এটি এমনকি অজানা ম্যালওয়্যার সনাক্ত করতে পারে যার স্বাক্ষর কোন ডাটাবেসে উপস্থিত নেই৷

MalCare আপনার সম্পূর্ণ সাইটের সাথে সিঙ্ক করে এবং কোনও পরিবর্তন 24/7 ট্র্যাক করে . যেকোনো অননুমোদিত পরিবর্তন তার সুনির্দিষ্ট অবস্থানে ট্র্যাক করা হয় এবং এটি ম্যালওয়্যারের উত্স সনাক্ত করতে সহায়তা করে। আপনার সাইট 24/7 ট্র্যাক করার পরেও, আপনার সার্ভারে শূন্য লোড আছে যেমন MalCare তার নিজস্ব সার্ভারে সমস্ত ফাইল স্ক্যান করে। আপনার ওয়েবসাইট আমাদের সাথে কখনই ধীর হবে না!

আপনি সেটিংসে একটি সময়সূচী নির্দিষ্ট করে দৈনিক স্বয়ংক্রিয় স্ক্যান সম্পাদন করতে MalCare সেটআপ করতে পারেন। আপনার কাছে সীমাহীন অন-ডিমান্ড স্ক্যান করার বিকল্পও রয়েছে আপনি যখনই চান এবং ম্যালওয়্যার পাওয়া গেলে তাৎক্ষণিকভাবে বিজ্ঞপ্তি পান।

আমরা এটাও বুঝতে পারি যে আপনার ওয়েবসাইট সংক্রমিত হয়েছে এমন একটি বিজ্ঞপ্তি পাওয়া কতটা ভীতিকর এবং বিরক্তিকর তা শুধুমাত্র এটি সত্য নয় তা খুঁজে বের করার জন্য। ম্যালকেয়ার এটিরও যত্ন নেয়। এটির শিল্পের সর্বনিম্ন মিথ্যা ইতিবাচক আছে … যার মানে আমরা শুধুমাত্র একটি পুঙ্খানুপুঙ্খ পরীক্ষা করার পরেই আপনাকে অবহিত করব৷৷

ম্যালওয়্যার অপসারণ:

MalCare-এর এক-ক্লিক ম্যালওয়্যার অপসারণ সহ , আপনার সাইট 60 সেকেন্ডের কম সময়ে ম্যালওয়্যার-মুক্ত হবে !

MalCare আপনার ওয়েবসাইটকে প্রভাবিত করে না যখন এটি ম্যালওয়্যার থেকে পরিষ্কার করে। যদি একটি ফাইল সংক্রামিত হয়, ম্যালকেয়ার বুদ্ধিমত্তার সাথে শুধুমাত্র সংক্রামিত অংশটি সরিয়ে দেয় এবং আপনার ডেটা অক্ষত রাখে . ম্যালওয়্যার অপসারণের জন্য ম্যালকেয়ার ব্যাকএন্ডে প্রচণ্ডভাবে কাজ করলেও আপনার ওয়েবসাইট কখনই ভেঙে পড়বে না৷

একবার MalCare একটি নির্দিষ্ট ম্যালওয়্যার শনাক্ত করে এবং সরিয়ে দেয়, এটি আর কখনও আপনার সাইটকে সংক্রমিত করতে পারে না৷ কখনো। আমরা গ্যারান্টি দিচ্ছি। আপনার শরীর যেমন চিকেন পক্স ধরলে কীভাবে এড়াতে হয় তা যেমন জানে, তেমনি MalCare জানে কীভাবে আপনার ওয়েবসাইটকে একই ধরনের আক্রমণ এবং ম্যালওয়্যার থেকে রক্ষা করতে হয় যদি এটি ফিরে আসার চেষ্টা করে। ভবিষ্যতের আক্রমণ থেকে আপনার প্রতিরোধ ক্ষমতা আছে।

ওয়ার্ডপ্রেস ফায়ারওয়াল:

আপনি যদি খারাপ লোকদের বাইরে রাখতে পারেন এবং কেবলমাত্র ভাল ইন্টারনেট ট্র্যাফিক আসতে দিতে পারেন তবে এটি কি দুর্দান্ত হবে না? MalCare ফায়ারওয়াল সঠিকভাবে এটি করে, এবং আরও অনেক কিছু!

এই ফায়ারওয়াল আপনার আগত ওয়েব ট্র্যাফিক 24/7 এর নেটওয়ার্কে পরিচিত দূষিত IP ঠিকানাগুলির একটি তালিকার বিরুদ্ধে ট্র্যাক করে এবং আপনার সাইট অ্যাক্সেস করা থেকে বিপজ্জনক IPগুলিকে ব্লক করে . যদি একজন আক্রমণকারী আপনার ওয়েবসাইট অ্যাক্সেস করতে না পারে, তবে এটি আক্রমণ করা তার পক্ষে কঠিন হয়ে পড়ে। এমনকি এটি জিও-ব্লকিং সমর্থন করে অতিরিক্ত সুরক্ষার জন্য। MalCare-এর সাথে, আপনি CAPTCHA-ভিত্তিক লগইন সুরক্ষাও পান৷ যা আপনার ওয়েবসাইটকে নৃশংস শক্তির আক্রমণ থেকে রক্ষা করে। MalCare কোনো সন্দেহজনক লগইন শনাক্ত করলে, আপনাকে অবিলম্বে অবহিত করা হবে যাতে আপনি যথাযথ ব্যবস্থা নিতে পারেন।

এছাড়াও, আমাদের টু-ফ্যাক্টর প্রমাণীকরণ আছে এটি নিশ্চিত করে যে সঠিক পাসওয়ার্ড এবং কোড ছাড়া কেউ আপনার ওয়েবসাইটে অ্যাক্সেস পাবে না।

ওয়েবসাইট ব্যবস্থাপনা:

সর্বশেষ সংস্করণে আপনার সমস্ত প্লাগইন থাকা অপরিহার্য। যেমনটি আমরা দেখেছি, ওয়ার্ডপ্রেস লাইভ চ্যাট সাপোর্ট প্লাগইন দুর্বলতা থেকে নিরাপদ থাকার সবচেয়ে সহজ সমাধান ছিল বিকাশকারীরা প্যাচটি প্রকাশ করার সাথে সাথে এটি আপডেট করা। MalCare-এর পরিচালনার সরঞ্জামগুলি আপনার সমস্ত ওয়েবসাইট জুড়ে আপনার সমস্ত থিম এবং প্লাগইন আপডেট করবে . এর ওয়ার্ডপ্রেস কোর ম্যানেজার ব্যবহার করে , আপনি মূল পরিবর্তনগুলি আপডেট করতে পারেন, ওয়ার্ডপ্রেস আপগ্রেড করতে পারেন এবং আপনার ওয়েবসাইটগুলিতে PHP সংস্করণ পরীক্ষা করতে পারেন৷

এছাড়াও, এমন একটি পরিস্থিতিতে যখন আপনি কোনও ক্লায়েন্টকে অ্যাক্সেস দিতে চান কিন্তু চান না যে তারা সাইটের কোনও কার্যকারিতার সাথে হস্তক্ষেপ করুক, ম্যালকেয়ারের ম্যানেজমেন্ট টুল আপনাকে নির্দিষ্ট ব্যবহারকারীর ভূমিকা এবং অ্যাক্সেসের অনুমতি প্রদান করতে দেয় যাতে কেউ কোনো অনিচ্ছাকৃত পরিবর্তন করতে না পারে। আপনি সহজেই টিমের সদস্য এবং ক্লায়েন্ট যোগ করতে পারেন আপনার সমস্ত ওয়েবসাইটে।

এছাড়াও, আপনি MalCare এর মাধ্যমে সীমাহীন ওয়েবসাইট পরিচালনা করতে পারেন।

আরো কি, আপনি আপনার সাইট আপটাইম নিরীক্ষণ করতে পারেন , স্ল্যাকে ডাউনটাইম সতর্কতা পান এবং একটি কর্মক্ষমতা পরীক্ষাও করুন৷ আপনার ওয়েবসাইটের জন্য। উচ্চতর, চাহিদা অনুযায়ী, এবং নির্ধারিত ক্লায়েন্ট রিপোর্টিংয়ের মাধ্যমে, আপনি সময় বাঁচাতে পারেন সমস্ত ডেটা কম্পাইল করে এবং অন্তর্দৃষ্টি কেন্দ্রীভূত করে।

এবং আপনি একটি কেন্দ্রীভূত ড্যাশবোর্ড থেকে এটি সমস্ত নিয়ন্ত্রণ করতে পারেন!

যখন এটি ওয়েব নিরাপত্তা আসে, কোন আপস করা উচিত নয়. সর্বোপরি, ডিজিটাল জগতে আপনার ওয়েবসাইটই আপনার পরিচয়। ম্যালওয়্যার, ভাইরাস বা হ্যাক যেকোন কিছুর দ্বারা এটি যাতে ক্ষতিগ্রস্থ না হয় সেদিকে খেয়াল রাখতে হবে। MalCare আপনার ওয়েবসাইটকে সমস্ত বর্তমান এবং ভবিষ্যতের হুমকির বিরুদ্ধে রক্ষা করবে। যত কম বিশ্বমানের নিরাপত্তা পান প্রতি মাসে $8.25 ! উপরে উল্লিখিত সমস্ত বৈশিষ্ট্যগুলি কোনও অতিরিক্ত খরচ ছাড়াই যে কোনও প্ল্যানের সাথে বিনামূল্যে পাওয়া যায়৷

MalCare আপনাকে 24/7 সমস্ত হুমকি থেকে আপনার সাইটকে সুরক্ষিত রাখতে সাহায্য করে৷