ভালনারেবল প্লাগইনস:
- এলিমেন্টরের জন্য চূড়ান্ত অ্যাডঅন
- বিভার বিল্ডারের জন্য চূড়ান্ত অ্যাডঅনস
তীব্রতা স্তর: 10
শোষণ স্তর: খুব সহজ
দুর্বলতা প্রকাশ করা হয়েছে: 11-12-2019
প্যাচ প্রকাশের তারিখ: 11-12-2019
প্যাচ করা সংস্করণ:
- বিভার বিল্ডারের জন্য চূড়ান্ত অ্যাডঅন - 1.2.4.1
- এলিমেন্টরের জন্য চূড়ান্ত অ্যাডঅনস – 1.20.1
আলটিমেট অ্যাডঅনস হল একটি জনপ্রিয় প্রিমিয়াম প্লাগইন যা ওয়ার্ডপ্রেস ওয়েবসাইটগুলিকে অ্যাড-অনগুলির বান্ডিলে অ্যাক্সেস দেয়। এটি ওয়েবসাইট তৈরি এবং ডিজাইনগুলিকে অনেক সহজ করে তোলে বিশেষ করে যারা প্রযুক্তি-সচেতন নন তাদের জন্য৷
৷প্লাগইনটি ব্রেনস্টর্ম ফোর্স দ্বারা নির্মিত যারা বিশেষজ্ঞ ডেভেলপার। তাদের কয়েক ডজন প্লাগইন রয়েছে যা হাজার হাজার ওয়েবসাইট দ্বারা ব্যবহৃত হচ্ছে The Ultimate Addons প্লাগইন Elementor এবং Beaver Builder-এর জন্য উপলব্ধ এবং কয়েক লক্ষ সক্রিয় ইনস্টল রয়েছে৷
গতকাল, আমাদের নিয়মিত নিরাপত্তা নিরীক্ষার সময়, আমাদের নিরাপত্তা গবেষকরা প্লাগইনগুলিতে একটি দুর্বলতা আবিষ্কার করে অবাক হয়েছিলেন৷ এটি একটি প্রধান দুর্বলতা যা হ্যাকারদের যেকোন WordPress ওয়েবসাইটে অ্যাডমিন অ্যাক্সেস পেতে দেয় যে প্লাগইন ইনস্টল ছিল. এর মানে হল হ্যাকাররা আপনার ওয়েবসাইটের সম্পূর্ণ নিয়ন্ত্রণ পেতে পারে আপনি যদি প্লাগইন ব্যবহার করেন এবং আপনার সাইটের ক্ষতি করার জন্য ক্ষতিকারক ফাইল (যেমন favicon.ico ম্যালওয়্যার) তৈরি করতে পারেন।
সর্বপ্রথম দুর্বলতা আবিষ্কার করার জন্য, আমরা আমাদের নিজস্ব যথাযথ পরিশ্রম করেছি এবং আমরা যে দুর্বলতা খুঁজে পেয়েছি সে সম্পর্কে তাদের জানাতে আলটিমেট অ্যাডঅনস দলের সাথে যোগাযোগ করেছি।
টিম ব্রেইনস্টর্ম দুর্বলতা ঠিক করতে দ্রুত ছিল। তারা 7 ঘন্টার মধ্যে একটি প্যাচ প্রকাশ করেছে এবং তাদের সমস্ত গ্রাহকদের জানিয়েছে৷
আপনি কি এই দুর্বলতা দ্বারা প্রভাবিত?
আপনি যদি Ultimate Addons প্লাগইন ব্যবহার করেন, আমরা আপনাকে অবিলম্বে সর্বশেষ সংস্করণে আপডেট করার জন্য অনুরোধ করছি! দুর্বল সংস্করণ হল 1.0। আপনাকে 11 ডিসেম্বর 2019-এ প্রকাশিত সর্বশেষ সংস্করণে আপডেট করতে হবে।
- বিভার বিল্ডারের জন্য আলটিমেট অ্যাডঅনগুলির জন্য, সুরক্ষিত সংস্করণ হল 1.2.4.1৷
- এলিমেন্টরের আলটিমেট অ্যাডঅনগুলির জন্য, সুরক্ষিত সংস্করণ হল 1.20.1৷
যদি আপনার ওয়েবসাইট একটি পুরানো সংস্করণ ব্যবহার করে, তাহলে এটি আপনার সাইটকে হ্যাকারদের জন্য ঝুঁকিপূর্ণ করে তুলবে৷
৷আমরা ইতিমধ্যে এই দুর্বলতা শোষণ করা হচ্ছে সনাক্ত করা হয়েছে. আপনি যদি আপনার ওয়েবসাইট শোষণ করা হয়েছে কিনা তা পরীক্ষা করতে চান, আমাদের MalCare নিরাপত্তা প্লাগইন ব্যবহার করুন. এটি আপনার সাইট স্ক্যান করবে এবং আপনার সাইটে সন্দেহজনক বা হ্যাকিং কার্যকলাপ সনাক্ত করবে৷
৷ভালনারেবিলিটি বিশদ
গতকাল, আমাদের দল ওয়েবসাইটগুলির মধ্যে অস্বাভাবিক কার্যকলাপ দেখেছে৷ এটি আমাদের দলকে দুর্বলতা খুঁজে বের করতে পরিচালিত করেছে যা কয়েকটি সাইটে শোষণ করা হচ্ছে।
আপনি আপনার ওয়েবসাইটে প্লাগইন ইনস্টল করার সাথে সাথে আমরা যে দুর্বলতা খুঁজে পেয়েছি তা ঘটে। যদি কোনো হ্যাকার কোনো ওয়ার্ডপ্রেস ওয়েবসাইটের কোনো ব্যবহারকারীর ইমেল আইডি জানে, তাহলে তারা একটি বিশেষ অনুরোধ তৈরি করতে পারে এবং অ্যাডমিন নিয়ন্ত্রণ লাভ করতে পারে।
দুর্বলতা কাজে লাগাতে, হ্যাকারকে সাইটের একজন অ্যাডমিন ব্যবহারকারীর ইমেল আইডি ব্যবহার করতে হবে। বেশিরভাগ ক্ষেত্রে, এই তথ্য মোটামুটি সহজে পুনরুদ্ধার করা যেতে পারে। কিছু হোস্টিং প্রদানকারী একটি ওয়েবসাইটের অ্যাডমিন ইমেল আইডি খুঁজে পাওয়া সহজ করে তোলে। তাই আমরা সম্ভাব্য ক্ষয়ক্ষতি কমানোর জন্য হোস্টিং প্রদানকারীদের কাছে আমাদের আবিষ্কার সম্পর্কে তাদের অবহিত করেছি৷
ভালনারেবিলিটি ইমপ্যাক্ট:রিস্ক কি?
যদি এই দুর্বলতা হ্যাকারদের দ্বারা পাওয়া যায়, তাহলে এটি সম্ভাব্যভাবে কয়েক হাজার ওয়ার্ডপ্রেস সাইট হ্যাক হওয়ার ঝুঁকিতে ফেলতে পারে!
যদি একজন হ্যাকার অ্যাডমিন অ্যাক্সেস লাভ করে, তাহলে তারা আপনার ওয়েবসাইটটি কীসের জন্য ব্যবহার করবে তা বলার অপেক্ষা রাখে না। সাধারণ ওয়ার্ডপ্রেস সাইট হ্যাকগুলির একটি দীর্ঘ তালিকা রয়েছে যা তারা চালাতে পারে যেমন
- ডেটা চুরি করা,
- স্প্যাম সাইটগুলিতে দর্শকদের পুনঃনির্দেশিত করা,
- অবৈধ ওষুধ এবং নকল পণ্য বিক্রি,
- বড় সাইটগুলিতে আক্রমণ শুরু করতে আপনার সাইট ব্যবহার করে,
- ব্ল্যাক হ্যাট এসইও কৌশল ব্যবহার করে তাদের নিজস্ব পণ্য র্যাঙ্ক করা (পঠন প্রস্তাবিত:জাপানি কীওয়ার্ড হ্যাক) ইত্যাদি।
- আপনার পৃষ্ঠাগুলি থেকে তাদের স্প্যামযুক্ত ওয়েবসাইটে স্প্যাম লিঙ্ক ঢোকানো
হ্যাক হওয়া আপনার সাইট এবং আপনার ব্যবসার জন্য অত্যন্ত ক্ষতিকর। উপরন্তু, পুনরুদ্ধারের খরচ খুব দ্রুত আকাশচুম্বী হতে পারে!
গুরুত্বপূর্ণ:অবিলম্বে প্লাগইন আপডেট করুন!
আপনি যদি আপনার ওয়ার্ডপ্রেস সাইটে Elementor Ultimate Addons বা Ultimate Beaver Builder প্লাগইন ব্যবহার করেন, তাহলে আপনাকে এখনই সেগুলি আপডেট করতে হবে। আপনি আপনার wp-admin ড্যাশবোর্ড থেকে এটি করতে পারেন।
যদি কোনো কারণে আপনি wp-admin ড্যাশবোর্ড থেকে সেগুলি আপডেট করতে না পারেন, আমরা দৃঢ়ভাবে ম্যালকয়ার সিকিউরিটি প্লাগইন ইনস্টল করার পরামর্শ দিই। স্বাধীন MalCare ড্যাশবোর্ড থেকে, আপনি আপনার ওয়েবসাইটে প্লাগইনগুলি আপডেট করতে পারেন বা সম্পূর্ণরূপে মুছে ফেলতে পারেন৷
আপনি যদি ম্যানুয়ালি প্লাগইন আপডেট করতে চান, তাহলে আপনি কীভাবে এটি করতে পারেন তা এখানে:
- Beaver Builder-এর জন্য Ultimate Addons-এর সর্বশেষ সংস্করণ ডাউনলোড করুন অথবা Elementor-এর জন্য Ultimate Addons-এ লগইন করুন এবং সর্বশেষ সংস্করণ ডাউনলোড করুন৷
- আপনার ওয়েবসাইট থেকে আগের সংস্করণটি আনইনস্টল করুন। এর মানে আপনাকে প্লাগইনটি নিষ্ক্রিয় এবং মুছে ফেলতে হবে। (আপনি কোনো ডেটা হারাবেন না।)
- এরপর, আপনি এইমাত্র ডাউনলোড করেছেন এমন আলটিমেট অ্যাডঅনগুলির সর্বশেষ সংস্করণ আপলোড এবং ইনস্টল করুন৷
আপনার ওয়ার্ডপ্রেস ওয়েবসাইট কি ইতিমধ্যে হ্যাক হয়েছে?
যদি আপনি ইতিমধ্যেই হ্যাক হয়ে থাকেন বা সন্দেহ করেন যে আপনি হ্যাক হয়েছেন, আমরা অবিলম্বে MalCare-এর ম্যালওয়্যার সনাক্তকরণ এবং অপসারণ পরিষেবাগুলি ব্যবহার করার পরামর্শ দিই। MalCare সিকিউরিটি প্লাগইন ইনস্টল করুন এবং এটি আপনার ওয়েবসাইটের একটি পুঙ্খানুপুঙ্খ স্ক্যান চালাবে। এটি কোনো ম্যালওয়্যার খুঁজে পেলে, আপনাকে সতর্ক করা হবে। আপনি আমাদের স্বয়ংক্রিয়-পরিষ্কার বৈশিষ্ট্যের সাথে সাথে সাথে হ্যাকটি পরিষ্কার করতে পারেন।
স্বয়ংক্রিয় প্রক্রিয়াটি কয়েক মিনিটের মধ্যে আপনার হ্যাক হওয়া সাইটটিকে পরিষ্কার করবে। এর পরে, MalCare ভবিষ্যতে এই ধরনের হ্যাক থেকে আপনাকে সুরক্ষা প্রদান করতে থাকবে।
সুপারিশকৃত পড়ুন:কিভাবে ওয়ার্ডপ্রেস থিম হ্যাক পরিষ্কার করবেন।
আরেকটি ম্যালওয়্যার যেটি খবর ছড়িয়েছে তা হল WP-VCD ম্যালওয়্যার। এখানে কিভাবে WP-VCD ম্যালওয়্যার অপসারণ করতে হয় তার একটি নির্দেশিকা।
নিরাপত্তা একটি ক্রমাগত প্রচেষ্টা এবং নিয়মিত পর্যবেক্ষণ করা প্রয়োজন। নিরাপত্তা সংক্রান্ত আরও আপডেটের জন্য MalCare অনুসরণ করুন।
