সম্প্রতি WordPress Render করেছে একটি unpatched দুর্বলতা। যেখানে বিশ্বে সবচেয়ে জনপ্রিয় CMS দিয়ে ব্যবহারকারীর Certificate of exposure ঝুঁকিতে থাকে। হ্যাকারদের লক্ষ্যবস্তু CMS কে দুর্বল করা। যেন তা WordPress admin password reset করার অনুমতি দিতে পারে। আরও চিন্তার বিষয় হল এটি Render করে ওয়ার্ডপ্রেসের সমস্ত সংস্করণকে আর তাদের দুর্বল করে তুলে৷
Dawid Golunsky একজন পোলিশ সিকিউরিটি রিসার্চার। যিনি জুলাই 2016-এ ওয়ার্ডপ্রেস টিমের কাছে সমস্যার কথা জানিয়েছিলেন। কিন্তু পরবর্তীতে ওয়ার্ডপ্রেস টিম WordPress admin password reset করার দুর্বলতাকে উপেক্ষা করেছিল। এখন পর্যন্ত, ওয়ার্ডপ্রেস এর সর্বশেষ ৪.৭.৪ সংস্করণটি Unpatch করায় সমস্যাটি অনির্দিষ্ট রয়ে গেছে।তাই ব্যবহারকারীদের আরও আলোচনা করে প্রতিরোধমূলক ব্যবস্থা গ্রহণ করার পরামর্শ দেওয়া হচ্ছে।
WordPress admin password reset এর কারন কি?
David বিশ্বাস করেন যে “WordPress-এর একটি Password reset বৈশিষ্ট্য রয়েছে যেটিতে একটি দুর্বলতা রয়েছে । যা কিছু ক্ষেত্রে আক্রমণকারীদের পূর্বের প্রমাণ ছাড়াই Password reset link-টি ধরে রাখতে দেয়। এই ধরনের আক্রমণের ফলে একজন আক্রমণকারী WordPress account-এ এক্সেস লাভ করতে পারে।”
Dawid খুজে বের করে যে, এই দুর্বলতা দেখা দেয়, কারণ Password Reset Function-টি মালিকের একাউন্ট-এ বিতরণ করে। যা একটি ইমেল তৈরি করার সময় ডিফল্ট-রূপে অবিশ্বস্ত ডাটা ব্যবহার করে৷
ওয়ার্ডপ্রেস একটি Variables SERVER_NAME ব্যবহার করে।যেখানে সার্ভার-এর Hostname পেতে ইমেইল এবং রিটার্ণ হেডার তৈরি করে।
কিছু প্রধান সার্ভার সরবরাহকারি হোস্ট নেইম ব্যবহার করে ক্লায়েন্ট-কে SERVER_NAME Variablles-এর মান ম্যানুপুলেট করার অনুমতি দেয়। যেহেতু Variable SERVER_NAME সংশোধন করা যেতে পারে, তাই এটি আক্রমণকারীকে তাদের পছন্দের যেকোনো ডোমেইনে বেছে নিতে সক্ষম করে। এটি আক্রমণকারীর ওয়েভ সার্ভার-কে Password Reset Email path হিসেবে সেট করে দেয়।
এটি যেকোন আক্রমণকারীকে ক্ষতিকারক From/Return-path সহ একটি ইমেইল পাঠাতে সক্ষম করে। নীচে একটি উদাহরণ দেয়া হলো যা আক্রমণকারীর দ্বারা করা একটি উদাহরণ।
Golumsky বলেছেন যে “একটি সফল Exploitation-এর পরে আক্রমণকারী, ব্যবহারকারীর পাসওয়ার্ড পুনরায় সেট করতে এবং তাদের ওয়ার্ডপ্রেস একাউন্ট-এ অনুমোদনহীন এক্সেস পেতে সক্ষম হতে পারে।”
কিভাবে আক্রমণকারী ক্ষতিকর From/Return path Injection করতে সক্ষম হয়েছিল, ভিক্টিম-কে পাঠানো ইমেইল-এর একটি উদাহরণ নিচে।
গবেষক David উল্লেখ করেন যে, এই সমস্যাটি WordPress টিম-কে জানানো হয়েছে। কিন্তু এর জন্য তারা কোন সমাধান করার উদ্যোগ নেয়নি। স্থির SERVER_NAME প্রয়োগ করতে UseCanonicalName সক্ষম করা প্রস্তাবিত অস্থায়ী সমাধান।
https://httpd.apache.org/docs/2.4/mod/core.html#usecanonicalname
এছাড়াও, Astra আপনাকে কিছু সময় নিতে এবং এই বিস্তারিত নির্দেশনাটির মাধ্যমে যাওয়ার পরামর্শ দেয়। কিভাবে WordPress Site নিরাপদ রাখা যায়।