
এই আর্টিকেলে ওয়ার্ডপ্রেস এএমপি প্লাগইন এর পুরানো সংস্করণে কোড ইনজেকশন দুর্বলতা নিয়ে আলোচনা করব। এএমপি কী এবং কীভাবে সে ওয়ার্ডপ্রেস এএমপি প্লাগইন একটি দুর্বলতা ধারণ করে ।
ওয়ার্ডপ্রেস এএমপি প্লাগইন (এএমপি)

AMPs হল অ্যাক্সিলারেটেড মোবাইল পেজ (Accelerated Mobile Pages বা এএমপি) একটি প্রযুক্তি যা মোবাইল ওয়েব পৃষ্ঠাগুলির দর্শনক্ষমতা ও ব্যবহারকারীর অভিজ্ঞতা উন্নত করার জন্য তৈরি করা হয়েছে। অ্যাক্সিলারেটেড মোবাইল পেজ (এএমপি) দ্বারা ওয়েব পৃষ্ঠাগুলি দ্রুত লোড হয় এবং স্বাভাবিকভাবে স্ক্রল করা যায়, এবং মোবাইল ব্যবহারকারীদের সুন্দর অভিজ্ঞতা প্রদান করে।
এএমপি পৃষ্ঠাগুলি তৈরি করার সময় একটি বিষয়ে ফোকাস রাখা হয়, যা হল দ্রুত লোড হওয়ার জন্য এটিকে অপটিমাইজড করা হয়ে থাকে । এছাড়াও, এএমপি মোবাইল ব্যবহারকারীদের জন্য অ্যানিমেশন এবং ট্রানজিশনের সার্পেোট করে, যাতে উচ্চগতি ও স্মুদতা সাধারণ ওয়েব পৃষ্ঠাগুলিতে অনুভব করা যায়।এএমপি পৃষ্ঠাগুলি এমন ওয়েব পৃষ্ঠাগুলির মতো কাজ করে যা আপনি লিঙ্ক করতে পারেন এবং যেগুলো আপনার দ্বারা নিয়ন্ত্রিত হয় ৷
অ্যাক্সিলারেটেড মোবাইল পেজ (এএমপি) পৃষ্ঠাগুলি 3টি উপাদান নিয়ে গঠিত:
- এএমপি HTML: এএমপি পৃষ্ঠাগুলির জন্য এইচটিএমএল বিধি-নিষেধের থেকে কিছুটা আলাদা যাতে একটি সাইট খোলার পরে সমস্ত বৈশিষ্ট্য লোড করার প্রয়োজন হয় না।
- AMP JS: এই মূল উপাদানটি সমস্ত ইনবাউন্ড বিষয়বস্তুকে অ্যাসিঙ্ক্রোনাস করে একটি সাইট খোলার সময় সমস্ত সংস্থান লোড করার জন্য দায়ী, যাতে পৃষ্ঠার কোনও সামগ্রী বাইরের সামগ্রীকে রেন্ডারিং থেকে ব্লক করতে না পারে৷
- AMP ক্যাশে: এই উপাদানটি সকল বৈধ এএমপি ডকুমেন্ট সরবরাহের জন্য একটি প্রক্সি-ভিত্তিক কন্টেন্ট ডেলিভারি নেটওয়ার্ক হিসাবে কাজ করে। সকল ডকুমেন্ট, জেএস ফাইল এবং ইমেজগুলি সর্বাধিক দক্ষতায় সম্ভবে HTTP 2.0 ব্যবহার করে একই সোর্স থেকে লোড হয়।
কোড ইনজেকশন দুর্বলতা সমাধানের ওয়ার্ডপ্রেস এএমপি প্লাগইন ব্যবহার করা
“WP-এর জন্য এএমপি – এক্সিলারেটেড মোবাইল পেজ” এই প্লাগইনটি মোবাইল প্ল্যাটফর্মে দ্রুত লোডিং সময়ের জন্য আমাদের পৃষ্ঠাগুলিকে দ্রুত মোবাইল পৃষ্ঠাগুলির ফরমেটে রেন্ডার করতে সহায়তা করে ৷ প্লাগইনের পুরোনো সংস্করণে মৌলিক দুর্বলতা (সংস্করণ 0.9.97.20) রয়েছে।
ফাইল ইনজেকশন এ ব্যাকডোর ফাইল ডাউনলোড করার মতো বিভিন্ন সুবিধা থাকায় এগুলি ঘটতে দেখা গেছে wp-config.php
, DDoS দুর্বলতা, ডাটাবেস আপগ্রেডিং, অপশন-এবং পোস্ট-মেটাডেটা ওভাররাইটিং, ব্যান্ডউইথ শোষণ (সম্পূর্ণ WP মিডিয়া-লাইব্রেরি ডাউনলোড), এবং অনফিল্টারড ওয়ার্ডপ্রেস পোস্ট ইনজেকশন যা দুর্বলতার সুবিধা নিতে দেখা গেছে। কোড ইনজেকশন দুর্বলতা কুকি এবং ব্রাউজার-সাইট স্ক্রিপ্টের মতো বিভিন্ন পদ্ধতির মাধ্যমে একটি ওয়েবসাইটে ক্ষতিকারক কোড ইনজেক্ট করে। এটি তাদের সংবেদনশীল তথ্য চুরি করতে বা ডেটা লঙ্ঘন করতে সক্ষম করে তুলে।
কেন এই রকম ঘটবে?
এটি ঘটার কারণ আমাদের সেশন ম্যানেজমেন্ট সম্পদগুলি সঠিকভাবে সুরক্ষিত নয়। এটি ঘটে যদি:
- হ্যাশিং বা এনক্রিপশন ব্যবহার করে ব্যবহারকারীর তথ্য সংরক্ষণ করার সময় তথ্য সংরক্ষণ না করে।
- দুর্বল অ্যাকাউন্ট ম্যানেজমেন্ট ফাংশনগুলির (যেমন: অ্যাকাউন্ট তৈরি, পাসওয়ার্ড পরিবর্তন, পুনরুদ্ধার এবং দুর্বল সেশন আইডি) মাধ্যমে ক্রেডেন্শিয়ালগুলি অনুমান করা বা ওভাররাইট করা যেতে পারে।
- সেশন আইডি URL-এ উন্মুক্ত করা হয় (যেমন, URL পুনর্লিখন)।
- সেশন আইডি এর জন্য ঝুঁকিপূর্ণ সেশন ফিক্সেশন আক্রমণ।
- সেশন আইডি বা ব্যবহারকারীর সেশন বা অথেনটিকেট টোকেন, বিশেষ করে একক সাইন ইন (এসএসও) টোকেন, লগআউটের সময় সঠিকভাবে মুছে ফেলা হচ্ছে না ।
- সফল লগইন করার পরে সেশন আইডি রোটেড হয় না।
- পাসওয়ার্ড, সেশন আইডি এবং অন্যান্য ক্রেডেন্শিয়ালগুলি এনক্রিপ্ট করা নয় এমন সংযোগের মাধ্যমে পাঠানো হয়।
এই দুর্বলতাকে সাধারণ দুর্বলতা গণনা তালিকায় CWE-287 হিসাবে শ্রেণীবদ্ধ করা হয়েছে।
এই ভুলগুলির সম্ভাব্য পরিণাম হল সংবেদনশীল সম্পদ বা কার্যক্ষমতা অপ্রত্যাশিত ব্যবহারকারীদের কাছে প্রদর্শিত হয়ে যাওয়ার। এতে হ্যাকাররা সংবেদনশীল তথ্যে অ্যাক্সেস পায় এবং আমাদের ওয়েবসাইটে এমনকি ক্ষতিকারক কোড ব্যবহার করতে পারেন।এছাড়াও, এই বিশেষ প্লাগইন দুর্বলতা এমন ওয়েবসাইটগুলির জন্য একটি গুরুত্বপূর্ণ সমস্যা যা ব্যবহারকারীর নিবন্ধনের অনুমতি দেয়৷
প্রতিরোধ কৌশল
দুর্বলতা থেকে নিরাপদ থাকার সহজতম প্রতিরোধ কৌশল হল:
- সর্বশেষ ওয়ার্ডপ্রেস এএমপি প্লাগইনে আপডেট করা।
- দুর্বলতা সমাধান না হওয়া পর্যন্ত বর্তমান প্লাগইন ব্যবহার না করা।
শেষ পর্যন্ত নয়, আপনি যদি চান যে আমরা আপনার এএমপি সক্ষম করা সাইটের দুর্বলতার দিকে নজর দিই, তাহলে আমাদের ওয়েবসাইট ভিজিট করে আমাদের জানান।
দ্রষ্টব্য: ক্ষতিগ্রস্ত প্লাগইনটি সম্প্রতি দুর্বল কোডের কারণে ওয়ার্ডপ্রেস প্লাগইন লাইব্রেরি থেকে সাময়িকভাবে সরানো হয়েছে, কিন্তু এর ডেভেলপার বা ওয়ার্ডপ্রেস টিম কেউই প্লাগইনের সঠিক সমস্যাটি প্রকাশ করেনি।
ট্যাগ: ওয়ার্ডপ্রেস প্লাগইন, ওয়ার্ডপ্রেস প্লাগইন শোষিত, ওয়ার্ডপ্রেস নিরাপত্তা