জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন এলিমেন্টরের আলটিমেট অ্যাডনস এবং বিভার বিল্ডারের আলটিমেট অ্যাডঅনগুলিতে দুর্বলতা পাওয়া যায়। যা মূলত সমালোচনা মূলক।এটি ব্রেনস্টর্ম ফোর্স টিম দ্বারা তৈরি। যা আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের জন্য সহজে অ্যাক্সেসযোগ্য প্লাগইনগুলির একটি সেট তৈরি করে৷ আলটিমেট অ্যাডনস দুর্বলতার প্যাচ সম্পর্কিত উভয় ওয়েবসাইটের একটি পরামর্শ প্রকাশ করেছে। যাইহোক, এটি অ্যাডভাইজরিতে দুর্বলতার বিশদ বিবরণ দেয় না। তবুও, আমরা অন্যান্য উৎস থেকে দুর্বলতার বিবরণ খুঁজে বের করেছি।
জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইনে, “এলিমেন্টরের জন্য আলটিমেট অ্যাডনস” এবং “বিভার বিল্ডারের জন্য আলটিমেট অ্যাডঅনস”-এ এই গুরুতর দুর্বলতা পাওয়া গেছে। ব্রেনস্টর্ম ফোর্স টিম, আলটিমেট অ্যাডঅন প্লাগইনগুলি ওয়ার্ডপ্রেস সাইট-এর মালিকদের এলিমেন্টর এবং বিভার বিল্ডারের মতো জনপ্রিয় পৃষ্ঠা নির্মাতাদের অতিরিক্ত উইজেট/কার্যকারিতা ব্যবহার করার অনুমতি দেয়।
আল্টিমেট অ্যাডঅনস তার ওয়েবসাইটগুলিতে দুর্বলতার প্যাচ সম্পর্কিত একটি পরামর্শ প্রকাশ করেছে। যেখানে তারা ব্যবহারকারীদের প্লাগইনগুলি আপডেট করতে বলেছে । এছাড়াও এই ইস্যুতে আরও আলোকপাত করার জন্য, আমরা দুর্বলতার বিবরণগুলো খুঁজে বের করেছি ।যা একে হ্যাক করার অনুমতি দিয়েছে।
ব্রেনস্টর্ম ফোর্স টিমকে 7 ঘন্টারও কম সময়ে দুর্বলতা প্যাচ ঠিক করে।এটি করার জন্য তাদের প্রশংসা করা উচিত!
প্যাচ করা সংস্করণগুলি হল:
উপরে উল্লিখিত কারন গুলোর ছাড়া যদি পুরানো সংস্করণে আপনার প্লাগইনগুলি ইনস্টল করা থাকে, অনুগ্রহ করে অবিলম্বে প্লাগইনগুলি আপডেট করুন৷
আলটিমেট অ্যাডঅন প্লাগইনগুলি হাজার হাজার সাইটে সক্রিয়ভাবে ইনস্টল করা আছে। তদুপরি, দুর্বলতার এই প্রকৃতির কারণে, হ্যাকার প্লাগইন ইনস্টল সহ যে কোনও ওয়ার্ডপ্রেস সাইট অ্যাক্সেস করতে পারে। তবে এর জন্য আগে তাদের ব্যবহারকারীর ইমেল আইডিতে অ্যাক্সেস নিজের করে নিতে হবে।
আমরা আপনাকে অবিলম্বে আপডেট করার জন্য অনুরোধ করছি।
মাইক্রোস্কোপের অধীনে দুর্বলতা
‘লগইন ফর্ম’ উইজেটের অধীনে Google এবং Facebook লগইন বৈশিষ্টে, ভাঙা প্রমাণীকরণ এবং সেশন পরিচালনার দুর্বলতা পেয়েছে। আর এই দুর্বলতা দিয়ে হ্যাকাররা কোনো ব্যবহারকারীর ওয়ার্ডপ্রেস অ্যাডমিন এলাকায় পাসওয়ার্ড ছাড়াই লগইন করতে দেয়। এইসব তারা করতে পারে যদি ব্যবহারকারীদের ইমেলের ঠিকানা তারা জানে। এই পদ্ধতি ব্যবহার করে, ওয়ার্ডপ্রেসে অ্যাডমিনিস্ট্রেটরদের অ্যাকাউন্টে লগইন করাও সম্ভব।
অন্যান্য তথ্য সংগ্রহের কৌশল হল, অ্যাডমিনিস্ট্রেটরের ইমেল ঠিকানা খুঁজে বের করা তবেই এই দুর্বলতাকে কাজে লাগানো সম্ভব।
সম্পর্কিত নির্দেশিকা – ওয়ার্ডপ্রেস হ্যাক অপসারণ
অ্যাডমিন অ্যাক্সেস পাওয়া গেলে, হ্যাকার ওয়েবসাইটটিকে আরও অনেক উপায়ে নিয়ন্ত্রণ করতে পারবে। যার মধ্যে সবচেয়ে খারাপটি হচ্ছে বিকৃতি করন, পুনর্নির্দেশ, স্প্যাম, ডেটা চুরি (পরিচয় চুরি + আর্থিক তথ্য চুরি), দূষিত পপ-আপ, ডেটাবেস অ্যাক্সেস ইত্যাদি।
হ্যাক এর প্রযুক্তিগত বিবরণ
Google এবং Facebook লগইন মডিউলে দুর্বল বৈধতার কারণে, হ্যাকাররা আল্টিমেট অ্যাডঅন প্লাগইন দ্বারা ব্যবহৃত wp-admin AJAX ফাংশনকে কাজে লাগাতে সক্ষম।
সামাজিক লগইন মডিউল ব্যবহার করা সাইটগুলির জন্য, হ্যাকার AJAX ফাংশনকে প্রতিক্রিয়া হিসাবে পাঠিয়ে ইমেল আইডিকে টেম্পার/পরিবর্তন করতে পারে৷ প্লাগইনটি ব্যবহারকারীর ইমেল আইডি ক্যাপচার করে এবং Google/Facebook দ্বারা প্রেরিত ডেটার সত্যতা যাচাই না করেই লগইন করে। কোডটি ওয়ার্ডপ্রেস দ্বারা সেট যার দ্বারা ননস টোকেন চেক করে AJAX কলটি যাচাই করে (একটি CSRF টোকেনের অনুরূপ) সম্ভব। দুর্ভাগ্যবশত Google এবং Facebook API একই ইমেল আইডি ফেরত দিয়েছে কিনা তা নির্ধারণ করার জন্য এটি যথেষ্ট নয়।
আপনি নীচের স্ক্রিনশটটিতে দেখতে পাচ্ছেন! যেখানে POST ডেটা সরাসরি ব্যবহারকারীকে বৈধতা ছাড়াই লগইন ব্যবহার করতে দেয়। Google এবং Facebook OAuth দ্বারা প্রদত্ত ডেটার সত্যতা যাচাই করার সুপারিশ করা হবে। আর তবেই তাদের পরিষেবাতে একটি যাচাইকরণ API কল করে।
আপনি যদি ব্যাকএন্ড সার্ভারের সাথে যোগাযোগ করে এমন একটি অ্যাপ বা সাইটের সাথে Google সাইন-ইন ব্যবহার করেন, তাহলে আপনাকে সার্ভারে বর্তমানে সাইন-ইন করা ব্যবহারকারীকে সনাক্ত করতে হতে পারে। নিরাপদে এটি করতে, ব্যবহারকারী সফলভাবে সাইন ইন করার পরে, HTTPS ব্যবহার করে আপনার সার্ভারে ব্যবহারকারীর আইডি টোকেন পাঠান। তারপর, সার্ভারে, আইডি টোকেনের অখণ্ডতা যাচাই করুন এবং একটি সেশন প্রতিষ্ঠা করতে বা একটি নতুন অ্যাকাউন্ট তৈরি করতে টোকেনে থাকা ব্যবহারকারীর তথ্য ব্যবহার করুন৷
আরো বিস্তারিত: https://developers.google.com/identity/sign-in/web/backend-auth
আপনার ওয়েবসাইট কি হ্যাক? অবিলম্বে সাহায্য পান
আপনি যদি ইতিমধ্যে হ্যাক হয়ে থাকেন, তবে দ্রুত আপনার সাইটটি পুনরুদ্ধার করতে পারেন। Astra দ্বারা অবিলম্বে ম্যালওয়্যার পরিষ্কার করুন। আপনি যদি ইতিমধ্যেই একজন Astra গ্রাহক হয়ে থাকেন, তাহলে আমাদের ভার্চুয়াল প্যাচিং প্রযুক্তি আপনাকে এই ধরনের দুর্বলতা থেকে রক্ষা করবে।
আমি কিভাবে নিশ্চিত করতে পারি যে আমি হ্যাক হয়েছি?
আপনি যদি নিম্নলিখিতগুলির লক্ষন গুলি দেখতে পান, তবে আপনি বলতে পারেন যে আপনি হ্যাক হয়েছেন:
- আপনার ওয়ার্ডপ্রেস অ্যাডমিন এলাকায় নতুন অ্যাডমিন ব্যবহারকারী তৈরি হয়েছে
- আপনার ওয়েবসাইটটি দূষিত সাইটগুলিতে পুনঃনির্দেশিত হচ্ছে৷
- আপনার সার্ভার থেকে স্প্যাম/ফিশিং ইমেল পাঠানো হচ্ছে
- দর্শকরা আপনার ওয়েবসাইট খুললে ক্ষতিকারক পপ-আপগুলি৷
- ওয়েবসাইট ভিজিটরদের Google দ্বারা একটি লাল সতর্কতা পৃষ্ঠা দেখানো হয়
আপনি যদি উপরে তালিকাভুক্ত নয় এমন কোনো উপসর্গ লক্ষ্য করেন, আপনি উল্লেখ করতে পারেন হ্যাকিং লক্ষণগুলির সম্পূর্ণ তালিকা।
আপনি কি করতে পারেন?
আপনি যদি আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের নিয়মিত রক্ষণাবেক্ষণকারী হন এবং হ্যাকটি ঠিক করার চেষ্টা করতে চান , যাতে এটি পুনরায় ঘটতে না পারে, তাহলে আপনার উচিত:
- দুর্বল প্লাগইন, ওয়ার্ডপ্রেস কোর, অন্যান্য প্লাগইন আপডেট করুন
- আপনার ওয়েবসাইট অ্যাডমিনদের অডিট করুন এবং দেখুন যে কোনো নতুন অ্যাডমিন অ্যাকাউন্ট যোগ করা হয়েছে কিনা। একবার হ্যাকাররা অ্যাডমিন অ্যাক্সেস পেয়ে গেলে, তারা দুর্বলতা সংশোধন করার পরে সাইটে অ্যাক্সেস বজায় রাখতে নতুন অ্যাডমিন ব্যবহারকারী তৈরি করতে পারে।
- FTP/SFTP বা cPanel-এ ফাইল ম্যানেজার মডিউলের মাধ্যমে আপনার সার্ভারে লগইন করুন এবং সাইটের মূলে অজানা ফাইলের নাম গুলি পরীক্ষা করুন৷ শোষিত ওয়েবসাইটগুলিতে নিম্নলিখিত ফাইলগুলি পাওয়া গেছে: tmp.zip, wp-xmlrpc.php, adminer.php
- আপনার ওয়ার্ডপ্রেস অ্যাডমিন এলাকার জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) সক্ষম করুন
- wp-admin এলাকায় আইপি সীমাবদ্ধতা সক্ষম করুনযাতে শুধুমাত্র সাদাতালিকাভুক্ত আইপি প্যানেল অ্যাক্সেস করতে পারে।
সম্পর্কিত: সম্পূর্ণ ওয়ার্ডপ্রেস ম্যালওয়্যার রিমুভাল গাইড
আপডেট করার সঠিক উপায়
কিভাবে এলিমেন্টরের জন্য আলটিমেট অ্যাডঅন আপডেট করবেন?
Elementor (বা UAE যেমন তারা বলে) জন্য আলটিমেট অ্যাডঅন আপডেট করতে, এই পদক্ষেপগুলি অনুসরণ করুন:
- এখান থেকে সর্বশেষ সংস্করণটি ডাউনলোড করুন।
- পূর্বে ইনস্টল করা সংস্করণ মুছুন। চিন্তা করবেন না কোন ডেটা নষ্ট হবে না।
- আপনার WP-এডমিনে একটি নতুন প্লাগইন হিসাবে আপনি উপরে থেকে ডাউনলোড করা জিপ ফাইলটি আপলোড করুন৷
- ইনস্টল করুন এবং সক্রিয় করুন।
এবং, আপনার সব প্রস্তুত, যদি উপরোক্ত নিয়মগুলো পালন করেন।
বিভার বিল্ডারের জন্য আলটিমেট অ্যাডঅনগুলি কীভাবে আপডেট করবেন?
বিভার বিল্ডার (বা ইউএবিবি যেমন তারা বলে) জন্য আলটিমেট অ্যাডঅন আপডেট করতে, এই পদক্ষেপগুলি অনুসরণ করুন:
- এখান থেকে সর্বশেষ সংস্করণটি ডাউনলোড করুন।
- পূর্বে ইনস্টল করা সংস্করণ মুছুন। চিন্তা করবেন না কোন ডেটা নষ্ট হবে না।
- আপনার WP-এডমিনে একটি নতুন প্লাগইন হিসাবে আপনি উপরে থেকে ডাউনলোড করা জিপ ফাইলটি আপলোড করুন৷
- ইনস্টল করুন এবং সক্রিয় করুন।
এবং, আপনি এখন সম্পূর্ণ প্রস্তুত।
Astra দিয়ে আপনার ওয়েবসাইট সুরক্ষিত করুন
আপনার ওয়েবসাইট আজও হ্যাক করা হয় নি। তাই বলে ভাগ্যের হাতে আপনার ওয়েবসাইটের নিরাপত্তা ছেড়ে দিবেন? আপনার ওয়েবসাইট যদি সুরক্ষিত করতে না পারেন , তবে আপনাকে দীর্ঘমেয়াদে অনেক খরচ করতে হবে। হ্যাকারদের দয়ায় থাকবেন না, আপনার ওয়েবসাইটের সুস্থতার লাগাম নিজেই ধরে রাখুন।
এর জন্য নির্বাচন করুন বিশ্বস্ত নিরাপত্তা সমাধান। এবং আপনার ওয়েবসাইটে যথাযথ নিরাপত্তা ও সুরক্ষা লাভ করুন আজই।
কোনো প্রশ্ন আছে কি? নীচে মন্তব্য করুন বা নিরাপত্তা বিশেষজ্ঞের সাথে যোগাযোগ করুনআমরা সাহায্য করতে পেরে খুশি হব 🙂
