পাঁচটি ওয়ার্ডপ্রেস প্লাগইন আপনার এখনই আপডেট করা উচিত

আপনি যদি ওয়ার্ডপ্রেস সাইটের মালিক হন তবে নিশ্চিত হন যে আপনি আপডেটের শীর্ষে রয়েছেন - কেবল মূল প্ল্যাটফর্মের জন্য নয়, সমস্ত থিম এবং প্লাগইনগুলির জন্যও।

ওয়ার্ডপ্রেস বিশ্বব্যাপী million০ মিলিয়নেরও বেশি ওয়েবসাইটকে ক্ষমতা দেয়, এটি সাইবার-অপরাধীদের জন্য একটি আকর্ষণীয় লক্ষ্য হিসাবে পরিণত করে making আক্রমণকারীরা প্রায়শই স্প্যাম পৃষ্ঠাগুলি এবং অন্যান্য দূষিত সামগ্রী হোস্ট করার জন্য দুর্বল ওয়ার্ডপ্রেস ইনস্টলেশন হাইজ্যাক করে।

গবেষকরা এই জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইনগুলিতে গত কয়েক সপ্তাহ ধরে বেশ কয়েকটি গুরুতর দুর্বলতা প্রকাশ করেছেন। আপনার প্রশাসক ড্যাশবোর্ড পরীক্ষা করে দেখুন এবং আপনার সর্বশেষতম সংস্করণ ইনস্টল করা আছে তা নিশ্চিত করুন।

1. মেলপোয়েট v2.6.7 উপলব্ধ

ওয়েব সুরক্ষা সংস্থা সুচুরির গবেষকরা মেলপোয়েটে একটি রিমোট ফাইল আপলোড ত্রুটি খুঁজে পেয়েছিলেন, এটি একটি প্লাগইন যা ওয়ার্ডপ্রেস ব্যবহারকারীদের নিউজলেটার তৈরি করতে, বিজ্ঞপ্তি পোস্ট করতে এবং স্বয়ংক্রিয় প্রতিক্রিয়াশীল তৈরি করতে দেয়। পূর্বে উইসিজা-নিউজলেটার হিসাবে পরিচিত, প্লাগইনটি 1.7 মিলিয়নেরও বেশি বার ডাউনলোড করা হয়েছে। বিকাশকারীরা সংস্করণ ২..7.। এ ত্রুটি টানলেন। পূর্ববর্তী সংস্করণগুলি সমস্ত দুর্বল।

"এই বাগটিকে গুরুত্ব সহকারে নেওয়া উচিত; এটি একজন সম্ভাব্য অনুপ্রবেশকারীকে তার ভুক্তভোগী ওয়েবসাইটে যে কোনও কিছু করার ইচ্ছা করার ক্ষমতা দেয়, " মঙ্গলবার একটি ব্লগ পোস্টে সুচুরির চিফ টেকনোলজি অফিসার ড্যানিয়েল সিড বলেছেন। "এটি কোনও পিএইচপি ফাইল আপলোড করার অনুমতি দেয় This এটি কোনও আক্রমণকারীকে আপনার ওয়েবসাইটটি ফিশিং লোরে, স্প্যাম প্রেরণ, ম্যালওয়্যার হোস্টিং, অন্যান্য গ্রাহকদের (একটি শেয়ার্ড সার্ভারে) সংক্রামিত করার জন্য ব্যবহার করার অনুমতি দিতে পারে!"

দুর্বলতাটি ধরে নিয়েছিল যে ফাইলটি আপলোড করার জন্য যে কেউ নির্দিষ্ট কল করেছেন তারা প্রশাসক ছিলেন, প্রকৃতপক্ষে ব্যবহারকারী যাচাই করা হয়েছে তা যাচাই না করে, সুচুরি খুঁজে পেয়েছিলেন। সিড বলেছিল, এটি করা সহজ ভুল is

2. টিমথম্ব v2.8.14 উপলব্ধ

গত সপ্তাহে, একজন গবেষক টিমথম্ব ভি ২.৮.১৩ একটি গুরুতর দুর্বলতার বিবরণ প্রকাশ করেছেন, এটি একটি প্লাগইন যা ব্যবহারকারীদের স্বয়ংক্রিয়ভাবে চিত্রগুলি ক্রপ, জুম এবং আকার পরিবর্তন করতে দেয়। টিমথম্বের পিছনে বিকাশকারী, বেন গিলবাঙ্কস, ২.৮.১৪ সংস্করণে ত্রুটিটি ঠিক করেছেন যা এখন গুগল কোডে উপলভ্য।

দুর্বলতা টিমথম্বের ওয়েবশট ফাংশনে ছিল এবং আক্রমণকারীদের (প্রমাণীকরণ ছাড়াই) দূরবর্তী পৃষ্ঠা থেকে মুছে ফেলার এবং দুর্বল সাইটগুলিতে দূষিত কোড ইনজেকশন দিয়ে সামগ্রী পরিবর্তন করার অনুমতি দেওয়া হয়েছিল, সুচুরির বিশ্লেষণ অনুসারে। ওয়েবশট ব্যবহারকারীদের দূরবর্তী ওয়েব পৃষ্ঠাগুলি ধরতে এবং সেগুলি স্ক্রিনশটে রূপান্তর করতে দেয়।

"একটি সহজ কমান্ডের সাহায্যে আক্রমণকারী আপনার সার্ভারে যে কোনও ফাইল তৈরি করতে, অপসারণ করতে এবং সংশোধন করতে পারে, " সিড লিখেছিল।

যেহেতু ওয়েবশট ডিফল্টরূপে সক্ষম নয়, তাই বেশিরভাগ টিমথম্ব ব্যবহারকারী প্রভাবিত হবে না। তবে, রিমোট কোড প্রয়োগের আক্রমণগুলির ঝুঁকি রয়ে গেছে কারণ ওয়ার্ডপ্রেস থিম, প্লাগইন এবং অন্যান্য তৃতীয় পক্ষের উপাদানগুলি টিমথম্ব ব্যবহার করে। প্রকৃতপক্ষে, পুরো প্রকাশের তালিকার ত্রুটিটি প্রকাশকারী গবেষক পিচায়া মরিমোটো বলেছেন, ওয়ার্ডথম্ব ১.০7, ওয়ার্ডপ্রেস গ্যালারী প্লাগইন এবং আইজিআইটি পোস্টস স্লাইডার উইজেট সম্ভবত দুর্বল ছিল, পাশাপাশি থাইফাই.এম সাইট থেকে থিমও রয়েছে।

আপনি যদি ওয়েবশট সক্ষম করে থাকেন তবে আপনার থিম বা প্লাগইনের টিমথামব ফাইলটি খুলতে এবং WEBSHOT_ENABLED এর মানটি মিথ্যাতে সেট করে এটি অক্ষম করা উচিত, সুচুরি সুপারিশ করেছিলেন।

প্রকৃতপক্ষে, আপনি যদি এখনও টিমথম্ব ব্যবহার করেন তবে এটিকে পর্যালোচনা করার বিষয়টি বিবেচনা করার সময়। ইনপাপসুলার সাম্প্রতিক বিশ্লেষণে দেখা গেছে যে ওয়ার্ডপ্রেস সাইটের বিরুদ্ধে সমস্ত রিমোট ফাইল অন্তর্ভুক্তির আক্রমণগুলির মধ্যে 58 শতাংশ টিমথম্ব জড়িত। মূল ওয়ার্ডপ্রেস প্ল্যাটফর্ম এখন পোস্ট থাম্বনেইস সমর্থন করে যেহেতু গিলব্যাঙ্কস ২০১১ সাল থেকে একটি শূন্য-দিন ঠিক করতে টিমথম্ব রক্ষণ করেননি।

গিলবাঙ্কস বলেছিলেন, "২০১১ সালে টিমথম্বরের আগের সুরক্ষা শোষণের আগে থেকে আমি ওয়ার্ডপ্রেস থিমটিতে টিমথম্ব ব্যবহার করিনি।"

৩. সবই ওয়ান এসইও প্যাক v2.1.6 উপলভ্য

জুনের প্রথম দিকে, সুচুরি গবেষকরা অল ইন ওয়ান এসইও প্যাকটিতে একটি বিশেষাধিকারের বৃদ্ধির দুর্বলতা প্রকাশ করেছিলেন। প্লাগইনটি সার্চ ইঞ্জিনের জন্য ওয়ার্ডপ্রেস সাইটগুলিকে অনুকূল করে এবং দুর্বলতা ব্যবহারকারীদের প্রশাসক সুবিধা ছাড়াই শিরোনাম, বিবরণ এবং মেটাট্যাগগুলি সংশোধন করতে দেয়। সুকুরি বলেছিলেন, এই পৃষ্ঠায় দূষিত জাভাস্ক্রিপ্ট কোডটি সাইটের পৃষ্ঠাগুলিতে ইনজেক্ট করার জন্য এবং "আপনার ওয়েবসাইটের ফাইলগুলিতে কিছুটা পিছনে রেখে অ্যাডমিনের অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করার মতো কাজগুলি করার জন্য" দ্বিতীয় সুবিধাযুক্তকরণ ত্রুটি (এটিও স্থির করা হয়েছে) দিয়ে বেঁধে রাখা যেতে পারে Suc

কিছু অনুমান অনুসারে, প্রায় 15 মিলিয়ন ওয়ার্ডপ্রেস সাইট অল ইন ওয়ান এসইও প্যাক ব্যবহার করে। প্লাগইন পরিচালিত সংস্থা সেম্পার ফাই গত মাসে ২.১..6 এ একটি স্থিরতা ফেলেছিল।

4. লগইন পুনর্নির্মাণ v1.2.3 উপলব্ধ

গত সপ্তাহে ইউএস-সিইআরটি সাইবার সিকিউরিটি বুলেটিনে ওয়ার্ডপ্রেস প্লাগইনগুলিকে প্রভাবিত করে দুটি দুর্বলতা অন্তর্ভুক্ত করা হয়েছে। প্রথমটি ছিল লগইন পুনর্নির্মাণকারী প্লাগইনে একটি ক্রস-সাইট অনুরোধ জালিয়াতির ত্রুটি যা আক্রমণকারীদের স্বেচ্ছাসেবীর ব্যবহারকারীর প্রমাণীকরণ হাইজ্যাক করতে দেয়। মূলত, যদি কোনও ওয়ার্ডপ্রেস সাইটে লগইন করার সময় কোনও ব্যবহারকারী দূষিত পৃষ্ঠাটি দেখে, আক্রমণকারীরা সেশনটি হাইজ্যাক করতে সক্ষম হবে। জাতীয় ক্ষতিগ্রস্থতা ডেটাবেসস অনুসারে, আক্রমণটি, যা প্রমাণীকরণের প্রয়োজন পড়েনি, তথ্যের অনধিকার প্রকাশ, সংশোধন এবং সাইটের ব্যত্যয় ঘটাতে পারে।

সংস্করণসমূহ 1.2 এবং তার আগের সংস্করণগুলি দুর্বল। বিকাশকারী 12 নেট গত সপ্তাহে 1.2.3 নতুন সংস্করণ প্রকাশ করেছে।

5. জেডাব্লু প্লেয়ার v2.1.4 উপলব্ধ

ইউএস-সিইআরটি বুলেটিনে অন্তর্ভুক্ত দ্বিতীয় ইস্যুটি ছিল জেডাব্লু প্লেয়ার প্লাগইনটিতে নকল দুর্বলতার ক্রস-সাইট অনুরোধ। প্লাগইন ব্যবহারকারীদের ওয়ার্ডপ্রেস সাইটে ফ্ল্যাশ এবং এইচটিএমএল 5 অডিও এবং ভিডিও ক্লিপগুলি, পাশাপাশি ইউটিউব সেশনগুলি এম্বেড করতে দেয়। আক্রমণকারীরা দূষিত সাইটটি দেখার জন্য প্রতারণাপূর্ণ প্রশাসকদের প্রমাণীকরণ দূরবর্তীভাবে হাইজ্যাক করতে সক্ষম হবে এবং সাইট থেকে ভিডিও প্লেয়ারগুলি সরিয়ে ফেলবে।

সংস্করণগুলি ২.১.৩ এবং তার আগের সংস্করণগুলি দুর্বল। বিকাশকারী গত সপ্তাহে ২.১.৪ সংস্করণে ত্রুটিটি ঠিক করেছিলেন।

নিয়মিত আপডেটগুলি গুরুত্বপূর্ণ

গত বছর, চেকমার্কস ওয়ার্ডপ্রেসের জন্য সবচেয়ে বেশি ডাউনলোড হওয়া 50 টি প্লাগইন এবং শীর্ষ 10 ই-কমার্স প্লাগইন বিশ্লেষণ করেছে এবং এসকিউএল ইঞ্জেকশন, ক্রস-সাইট স্ক্রিপ্টিং, এবং প্লাগইনের 20 শতাংশে ক্রস-সাইট অনুরোধ জালিয়াতির মতো সাধারণ সুরক্ষা সমস্যাগুলি পেয়েছে।

সুচুরি গত সপ্তাহে সতর্ক করেছিলেন যে "হাজার হাজার" ওয়ার্ডপ্রেস সাইট হ্যাক হয়ে গেছে এবং স্প্যামের পৃষ্ঠাগুলিতে সার্ভারের ডাব্লুপি-অন্তর্ভুক্ত রয়েছে directory সিড সতর্ক করে দিয়েছিল, "স্প্যাম পৃষ্ঠাগুলি ডাব্লুপি-অন্তর্ভুক্তের মধ্যে একটি এলোমেলো ডিরেক্টরিতে লুকানো থাকে"। উদাহরণস্বরূপ, পৃষ্ঠাগুলি / ডাব্লুপি-অন্তর্ভুক্ত / ফিনান্স / পেডাইলান এর অধীনে পাওয়া যেতে পারে।

সিড লিখেছিলেন, "প্রায় প্রতিটি ক্ষেত্রেই ওয়েবসাইটগুলি পুরানো ওয়ার্ডপ্রেস ইনস্টল করে বা সিপ্যানেল চালিয়ে যাচ্ছে" এই বিষয়ে কীভাবে আপোস করা হয়েছিল সে সম্পর্কে "যথাযথ প্রমাণ" ছিল না।

ওয়ার্ডপ্রেসটির প্লাগিনগুলির পাশাপাশি মূল ফাইলগুলির জন্য মোটামুটি বেদনাদায়ক আপডেট প্রক্রিয়া রয়েছে। সাইটের মালিকদের নিয়মিত সমস্ত আপডেটের জন্য আপডেটগুলি পরীক্ষা করা এবং ইনস্টল করা প্রয়োজন। অজানা ফাইলগুলি বাসস্থান গ্রহণ না করে তা নিশ্চিত করার জন্য ডাব্লুপি-অন্তর্ভুক্তের মতো সমস্ত ডিরেক্টরি পরীক্ষা করে দেখার মতো এটি।

সিড বলেছিলেন, "যে কোনও ওয়েবসাইটের মালিক সর্বশেষ জিনিসটি পরে জানতে চান যে তাদের ব্র্যান্ড এবং সিস্টেমের সংস্থানগুলি নীতিজনক কাজের জন্য ব্যবহৃত হয়েছে, " সিড বলেছেন।