কম্পিউটার

রিভস্লাইডার এক্সপ্লয়েট:কীভাবে রিভস্লাইডার দুর্বলতা ঠিক করবেন এবং আপনার ওয়েবসাইট রক্ষা করবেন

আপনি কি RevSlider (Slider Revolution) প্লাগইন ব্যবহার করেন? এই প্লাগইন কি আপনার থিম দ্বারা আপনার WordPress ড্যাশবোর্ডে যোগ করা হয়েছিল? এই প্লাগইনে পাওয়া গুরুতর দুর্বলতা আপনার ওয়ার্ডপ্রেস সাইটে আক্রমণের কারণ হতে পারে!

যখন একজন হ্যাকার আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের নিয়ন্ত্রণ নেয়, তখন তারা সব ধরনের দূষিত কাজ করে। তারা আপনার গ্রাহকের ডেটা এবং অর্থপ্রদানের তথ্য চুরি করে বা আপনার সাইটে ওষুধ এবং অবৈধ পণ্য বিক্রি করে। এমনকি তারা গ্রাহকদের তাদের নিজস্ব দূষিত সাইটগুলিতে পুনর্নির্দেশ করে৷

আপনি দর্শক এবং রাজস্ব হারাবেন. আপনার সাইটের অ্যাডওয়ার্ড অ্যাকাউন্ট স্থগিত করা হবে। এছাড়াও, Google আপনার ওয়েবসাইটকে কালো তালিকাভুক্ত করবে এবং আপনার ওয়েব হোস্ট যদি ম্যালওয়্যার উপস্থিত খুঁজে পায় তাহলে আপনার অ্যাকাউন্ট স্থগিত করবে৷

তবে আপনাকে রেভস্লাইডার এক্সপ্লয়েট সম্পর্কে চিন্তা করতে হবে না কারণ একটি ফিক্স রয়েছে। আপনি এই নির্দেশিকা অনুসরণ করলে আপনার ওয়েবসাইট হ্যাকারদের থেকে নিরাপদ তা নিশ্চিত করতে পারেন৷

আজ, আমরা ওয়ার্ডপ্রেস রেভস্লাইডার এক্সপ্লয়েট নিয়ে বিস্তারিত আলোচনা করব। হ্যাকারদের বিরুদ্ধে আপনার সাইটকে সুরক্ষিত রাখতে আপনি কী করতে পারেন তা আমরা আপনাকে দেখাব। আপনি কীভাবে একটি হ্যাক করা ওয়েবসাইট ঠিক করবেন তাও শিখবেন।

TL;DR: রেভল্যুশন স্লাইডার প্লাগইনের কারণে আপনার যদি হ্যাকড ওয়ার্ডপ্রেস ওয়েবসাইট থাকে, তাহলে অবিলম্বে MalCare ইন্সটল করুন। এটি হ্যাক বা কোনো ম্যালওয়্যার উপস্থিত খুঁজে পেতে আপনার ওয়েবসাইট স্ক্যান করবে। একবার MalCare হ্যাক শনাক্ত করে, আপনি কয়েক মিনিটের মধ্যে আপনার সাইট পরিষ্কার করতে পারেন৷

স্লাইডার বিপ্লব কি?

রিভস্লাইডার এক্সপ্লয়েট:কীভাবে রিভস্লাইডার দুর্বলতা ঠিক করবেন এবং আপনার ওয়েবসাইট রক্ষা করবেন
স্লাইডার বিপ্লব ড্যাশবোর্ড

স্লাইডার বিপ্লব, কখনও কখনও RevSlider হিসাবে উল্লেখ করা হয়, এটি ThemePunch দ্বারা তৈরি একটি বিপ্লবী ওয়ার্ডপ্রেস প্লাগইন। এটি আপনাকে আপনার সাইটে স্লাইডার এবং ক্যারোসেল, হিরো হেডার, বিশেষ প্রভাব এবং সামগ্রী মডিউল যোগ করতে সক্ষম করে৷

এটি আপনাকে কোনো কোডিং অভিজ্ঞতা ছাড়াই এই সব করতে সক্ষম করে। একটি সাধারণ গ্যালারি বা একটি অত্যাশ্চর্য প্রতিক্রিয়াশীল ওয়ার্ডপ্রেস ওয়েবসাইট তৈরি করা সহজ। তাই, বিশ্বব্যাপী 7 মিলিয়ন ব্যবহারকারী এই প্লাগইনকে বিশ্বাস করে!

The RevSlider Exploit:What Happend?

RevSlider একটি XSS দুর্বলতা (ক্রস-সাইট স্ক্রিপ্টিং) এবং একটি ভর শেল আপলোড শোষণ সহ সময়ের সাথে সাথে তিনটি দুর্বলতা বিকাশ করতে দেখেছে। এখানে, আমরা 2014 সালে আবিষ্কৃত RevSlider প্লাগইনের সবচেয়ে গুরুতর দুর্বলতার উপর ফোকাস করি – WordPress SoakSoak Compromise।

তাই RevSlider শোষণ কতটা গুরুতর ছিল? হ্যাকাররা একটি ওয়েবসাইটে সম্পূর্ণ অ্যাক্সেস পেতে পারে, ডাটাবেস ব্যবহার করতে পারে এবং অপূরণীয় ক্ষতি করতে পারে। তারা গোপন তথ্য চুরি করতে, গ্রাহকদের প্রতারণা করতে, অবৈধ পণ্য বিক্রি করতে, দূষিত কাজের একটি দীর্ঘ তালিকার মধ্যে সাইটটি ব্যবহার করে!

এই দুর্বলতার ধরন (সোকসোক) স্থানীয় ফাইল অন্তর্ভুক্তি (LFI) নামেও পরিচিত। এটি দূরবর্তী নির্বিচারে ফাইল ডাউনলোড এবং নির্বিচারে ফাইল আপলোডের অনুমতি দেয়। এর মানে, একজন আক্রমণকারী সার্ভারে একটি স্থানীয় ফাইল অ্যাক্সেস, পর্যালোচনা এবং ডাউনলোড/আপলোড করতে পারে৷

দূরবর্তী আক্রমণকারীরা কীভাবে একটি ফাইল ডাউনলোড করতে পারে তা আপনাকে দেখানোর জন্য, আমরা একটি উদাহরণ তুলে ধরেছি৷

example.com নামের একটি ওয়েবসাইটে যদি স্লাইডার রেভোলিউশন ইনস্টল করা থাকে (প্লাগইন সংস্করণ 4.2 এবং নীচে), একজন হ্যাকার কনফিগার ফাইলটি ডাউনলোড করতে পারে। তারা কমান্ড হিসাবে নিম্নলিখিত URL ব্যবহার করে তা করবে:

https://example.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

এটি হ্যাকারকে আপনার wp-config ফাইলটি দেখাবে যাতে আপনার ডাটাবেস শংসাপত্রগুলি প্লেইন টেক্সটে রয়েছে। এই ফাইলটির কোনো এনক্রিপশন নেই তাই আপনি যেভাবে এই নিবন্ধটি পড়ছেন যে কেউ এটি পড়তে পারে।

এইভাবে, হ্যাকার ওয়েবসাইটটির সার্ভার থেকে যে কোনও ফাইল দূর থেকে ডাউনলোড করতে পারে। তারা একটি php ফাইলও আপলোড করতে পারে এবং এটি লেখকের সুবিধাগুলিকে কাজে লাগাতে এবং অ্যাডমিন অ্যাক্সেস পেতে ব্যবহার করতে পারে৷

দুর্বলতাকে সর্বজনীন করা এড়াতে এবং হ্যাকারদের লক্ষ লক্ষ সাইট লক্ষ্য করার অনুমতি দেওয়ার জন্য, ThemePunch নীরবে RevSlider Exploit প্যাচ করেছে। কিন্তু এর ফলে আরও সমস্যা হয়েছে৷

The RevSlider Exploit:জিনিসগুলি কোথায় ভুল হয়েছে?

দুর্বলতা আবিষ্কার করার পরে, ThemePunch অবিলম্বে কিন্তু নীরবে একটি প্যাচ প্রকাশ করেছে। তাদের প্রাপ্ত নির্দেশনার উপর ভিত্তি করে কোন পাবলিক ঘোষণা করা হয়নি।

আপনি যদি তাদের কাছ থেকে স্লাইডার প্লাগইন কিনে থাকেন তবে এতে একটি স্বয়ংক্রিয়-আপডেটার রয়েছে। সুতরাং প্যাচ সহ সংস্করণ 4.2 প্রকাশের সাথে সাথে, আপনার প্লাগইন স্বয়ংক্রিয়ভাবে আপডেট হয়ে যাবে আপনার কোনো হস্তক্ষেপ ছাড়াই।

যাইহোক, প্লাগইনটিতে 7 মিলিয়নেরও বেশি ইনস্টল রয়েছে। অনেক ওয়ার্ডপ্রেস থিম তাদের প্যাকেজের অংশ হিসেবে এটি অফার করে। এটি CodeCanyon-এর মতো বাজারেও পাওয়া যায়। আপনি যদি এই প্রিমিয়াম প্লাগইনটি এই মার্কেটপ্লেসগুলির একটি থেকে কিনে থাকেন বা এটি আপনার ওয়ার্ডপ্রেস থিমগুলির একটিতে এমবেড করা থাকে, তাহলে আপনি আপডেটটি পেতেন না। আপনি কোন নোটিশ পাবেন না যে আপনাকে আপডেট করতে হবে।

এই যেখানে জিনিস ভুল হয়েছে. দুর্বলতা শেষ পর্যন্ত সর্বজনীন করা হয়েছিল এবং সক্রিয়ভাবে শোষণ করা হচ্ছে। কিন্তু অনেক সাইটের মালিক Revslider Exploit সম্পর্কে কোনো সতর্কতা বা বিজ্ঞপ্তি পাননি।

যদি RevSlider Exploit একটি হ্যাকড ওয়েবসাইট হয়ে থাকে, তাহলে আপনি কীভাবে এটি ঠিক করতে পারেন তা এখানে।

স্লাইডার রেভোলিউশন এক্সপ্লয়েট এর মাধ্যমে হ্যাক হওয়া একটি ওয়েবসাইট কিভাবে ঠিক করবেন

আমরা আগেই ব্যাখ্যা করেছি যে, ওয়ার্ডপ্রেস রেভস্লাইডার আক্রমণে হ্যাকাররা আপনার সার্ভারে অ্যাক্সেস পেতে সক্ষম হয়। তারা ডাটাবেস শংসাপত্র ধারণকারী wp-config.php ফাইল দেখতে পারে। তারা নির্বিচারে ফাইল ডাউনলোড করতে পারে এবং আপনার ওয়েবসাইট থেকে ডেটা চুরি করতে পারে। তাছাড়া, তারা জাল অ্যাডমিন অ্যাকাউন্ট তৈরি করতে পারে এবং আপনার ওয়েবসাইটে ব্যাকডোর ইনস্টল করতে পারে।

হ্যাক করা সাইটকে নিজেরাই ঠিক করার চেষ্টা করা অকার্যকর প্রমাণিত হবে। হ্যাকাররা বুদ্ধিমত্তার সাথে তাদের ম্যালওয়্যার ছদ্মবেশ ধারণ করে বা আপনার কাছ থেকে লুকিয়ে রাখে। এটি কেবল চিহ্নিত করাই কঠিন নয়, সংক্রমণও ব্যাপক হবে। বিনামূল্যে হওয়া ছাড়া, আমরা দেখতে পাই যে ম্যানুয়াল পদ্ধতির অন্য কোন সুবিধা নেই। আপনি যদি এটি অনুসরণ করতে চান, আপনি কীভাবে হ্যাক হওয়া ওয়ার্ডপ্রেস সাইট ঠিক করবেন সে সম্পর্কে আমাদের গাইড দেখতে পারেন।

আমরা যা সুপারিশ করি তা হল আপনার সাইট পরিষ্কার করার জন্য একটি ওয়ার্ডপ্রেস নিরাপত্তা প্লাগইন ব্যবহার করা। আজ, কিভাবে হ্যাক থেকে পরিত্রাণ পেতে হয় তা দেখানোর জন্য আমরা ম্যালকয়ার সিকিউরিটি প্লাগইন নির্বাচন করেছি। এখানে কেন:

  1. এটি যে কোনো ধরনের ম্যালওয়্যার খুঁজে পেতে পারে , তা লুকানো বা ছদ্মবেশে হোক। MalCare কোডের আচরণ পরীক্ষা করে এবং এটি এটিকে দূষিত কিনা তা নির্ধারণ করতে সাহায্য করে।
  2. MalCare একটি আপনার WordPress সাইটের গভীর স্ক্যান করে . এর মধ্যে সমস্ত ফাইল এবং ডাটাবেস রয়েছে৷
  3. যদি ম্যালওয়্যার উপস্থিত থাকে তবে এটি কতগুলি সংক্রামিত ফাইল পাওয়া গেছে তার একটি প্রতিবেদন প্রদর্শন করবে৷
  4. যদিও অন্যান্য ওয়ার্ডপ্রেস প্লাগইনগুলি একটি সাইট পরিষ্কার করতে ঘন্টা বা দিন সময় নিতে পারে, ম্যালকেয়ারের কাছে আপনার ওয়েবসাইট অটো-ক্লিন করার বিকল্প রয়েছে . এটি কয়েক মিনিট সময় নেয়৷

কিভাবে ম্যালকেয়ার সিকিউরিটি প্লাগইন ব্যবহার করবেন

আপনার ওয়ার্ডপ্রেস সাইটে MalCare সেট আপ করা সহজ এবং মাত্র কয়েকটি সহজ পদক্ষেপ নেয়:

দ্রষ্টব্য:আপনি যদি আপনার ওয়ার্ডপ্রেস সাইট অ্যাক্সেস করতে না পারেন এবং প্লাগইন ইনস্টল করতে না পারেন, আমাদের দলের সাথে যোগাযোগ করুন অথবা আমাদের ব্যবহার করুন জরুরী ক্লিন আপ পরিষেবাগুলি

1. আপনার সাইটে MalCare ইনস্টল করুন।

2. ড্যাশবোর্ডে আপনার সাইট যুক্ত করুন৷

রিভস্লাইডার এক্সপ্লয়েট:কীভাবে রিভস্লাইডার দুর্বলতা ঠিক করবেন এবং আপনার ওয়েবসাইট রক্ষা করবেন

3. একবার সম্পন্ন হলে, গভীর স্ক্যান স্বয়ংক্রিয়ভাবে চালানো হবে। আপনি যদি ইতিমধ্যেই একজন MalCare ব্যবহারকারী হন, ড্যাশবোর্ডে, নিরাপত্তা> স্ক্যান সাইট অ্যাক্সেস করুন।

রিভস্লাইডার এক্সপ্লয়েট:কীভাবে রিভস্লাইডার দুর্বলতা ঠিক করবেন এবং আপনার ওয়েবসাইট রক্ষা করবেন

4. একবার ম্যালওয়্যার পাওয়া গেলে, আপনি এরকম একটি প্রম্পট দেখতে পাবেন:

রিভস্লাইডার এক্সপ্লয়েট:কীভাবে রিভস্লাইডার দুর্বলতা ঠিক করবেন এবং আপনার ওয়েবসাইট রক্ষা করবেন

5. পরিষ্কার করার প্রক্রিয়া শুরু করতে আপনি 'অটো-ক্লিন' নির্বাচন করতে পারেন।

6. এটি কয়েক মিনিট সময় নেবে এবং এটি সম্পূর্ণ হলে আপনি একটি বিজ্ঞপ্তি পাবেন৷ সবকিছু স্বাভাবিক আছে তা দেখতে আমরা আপনার ওয়েবসাইট দেখার পরামর্শ দিই৷

আপনি যদি একাধিক ওয়েবসাইট পরিচালনা করতে চান তবে ম্যালকেয়ার অত্যন্ত সহজ কারণ আপনি একটি একক ড্যাশবোর্ডে তাদের সমস্ত যোগ করতে পারেন৷

এই ধরনের লোকাল ফাইল ইনট্রুশন (LFI) আক্রমণ আপনার ডাটাবেস শংসাপত্রের মতো সংবেদনশীল তথ্যের সাথে আপস করে। সুতরাং, আমরা আপনার সাইট পরিষ্কার করার পরে আরও কয়েকটি পদক্ষেপের পরামর্শ দিই৷

যদি আপনি সন্দেহ করেন যে একটি দুর্বল প্লাগইন আপনার সাইটে আক্রমণের কারণ হতে পারে, তাহলে আপনার ওয়েবসাইট স্ক্যান করতে MalCare ব্যবহার করুন। টুইট করতে ক্লিক করুন

আফটার কেয়ার ফর রেভস্লাইডার এক্সপ্লয়েট অ্যাটাক

আপনার স্লাইডার রেভোলিউশন প্রতিক্রিয়াশীল ওয়েবসাইট ভবিষ্যতের আক্রমণ থেকে নিরাপদ কিনা তা নিশ্চিত করতে আমরা আপনাকে এই পদক্ষেপগুলি গ্রহণ করার পরামর্শ দিই:

  1. সাম্প্রতিক সংস্করণে স্লাইডার বিপ্লব প্লাগইন আপডেট করুন।
  2. যদি আপনি একটি ওয়ার্ডপ্রেস থিম প্যাকেজ ব্যবহার করেন যাতে স্লাইডার বিপ্লব আছে, আপনার থিম বিকাশকারীদের সাথে যোগাযোগ করুন এবং নিশ্চিত করুন যে তারা আপনার জন্য প্লাগইন আপডেট করেছে৷
  3. আপনার wp-config ফাইল অ্যাক্সেস করুন এবং আপনার ডাটাবেস পাসওয়ার্ড পরিবর্তন করুন। আপনাকে cPanel বা FTP এর মাধ্যমে ম্যানুয়ালি এটি করতে হবে।
  4. আপনার সাইটে ইনস্টল করা ওয়ার্ডপ্রেস প্লাগইন এবং থিমগুলির তালিকা দেখুন। আপনি চিনতে পারেন না বা আর ব্যবহার করেন না এমন যেকোনো একটি মুছুন। এছাড়াও নিয়মিত আপনার সাইটের থিম এবং প্লাগইন স্ক্যান করুন।
  5. আপনার ওয়ার্ডপ্রেস ড্যাশবোর্ডে ব্যবহারকারীর অ্যাকাউন্ট চেক করুন। আপনি চিনতে পারছেন না এমন যেকোনো একটি মুছুন।
  6. সব ব্যবহারকারীর অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করুন।
  7. প্রস্তাবিত ওয়ার্ডপ্রেস কঠিনীকরণ ব্যবস্থা প্রয়োগ করুন।
  8. আপনার ওয়ার্ডপ্রেস সাইটে নিয়মিত অনুপ্রবেশ পরীক্ষা চালান। আপনি এর জন্য কালি লিনাক্স ব্যবহার করতে পারেন।

RevSlider-এর দুর্বলতার শোষণ প্রতিরোধ করা

আপনি যদি RevSlider প্লাগইন ব্যবহার করেন, আপনার সাইটকে শোষণ করা থেকে রোধ করতে, আপনাকে অবিলম্বে আপনার প্লাগইন আপডেট করতে হবে! নিশ্চিত করুন যে আপনার ওয়ার্ডপ্রেস সাইটটি স্লাইডার বিপ্লবের সর্বশেষ সংস্করণ চালাচ্ছে।

আপনি যদি আপনার ওয়ার্ডপ্রেস ড্যাশবোর্ড থেকে আপডেট করার বিকল্প দেখতে না পান তবে আপনাকে দুর্বল সংস্করণগুলি আনইনস্টল করতে হবে এবং নতুন সংস্করণটি পুনরায় ইনস্টল করতে হবে। বিকল্পভাবে, কিভাবে প্লাগইন আপডেট করতে হয় সে বিষয়ে নির্দেশিকা পেতে বিকাশকারীদের সাথে যোগাযোগ করুন।

আপনি যদি একটি ওয়ার্ডপ্রেস থিম প্যাকেজ ব্যবহার করেন, তাহলে প্যাকেজে রেভল্যুশন স্লাইডার বান্ডিল করা আছে কিনা তা পরীক্ষা করে দেখুন। Most WordPress theme packages have auto-updaters. Contact your theme’s support team if you need help updating.

We’re confident that your WordPress website has protection from any future hack attempts if you’ve taken the above measures.

If you use the Slider Revolution plugin on your WordPress site, check out this guide to keep your website safe against vulnerabilities! টুইট করতে ক্লিক করুন

উপসংহার

The RevSlider Exploit caused thousands of attacks on WordPress websites. As the developers released a patch silently, many websites were blissfully unaware that their sites were vulnerable and being targeted.

Situations like this bring to light how important it is to take your own offensive security measures. With the MalCare security plugin installed on your site, you can rest assured that your site has protection against malicious activity. Its robust firewall and login page protection measures protects websites against brute force attacks, phishing hacks, etc. It will scan your website regularly and protect it at all times.

Keep your WordPress Site Protected with MalCare


  1. কিভাবে আপনার হাই প্রোফাইল ওয়ার্ডপ্রেস ওয়েবসাইটকে আক্রমণ থেকে রক্ষা করবেন

  2. আপনার ওয়েবসাইটে 502 খারাপ গেটওয়ে ত্রুটি কীভাবে ঠিক করবেন?

  3. আমার ওয়েবসাইট কি হ্যাক হয়েছে? কিভাবে চেক করবেন আপনার ওয়েবসাইট হ্যাক হয়েছে কিনা

  4. কিভাবে আপনার ওয়েবসাইটকে ওয়ার্ডপ্রেস ব্রুট ফোর্স অ্যাটাক থেকে রক্ষা করবেন?