WP রক্ষণাবেক্ষণ প্লাগইনে CSRF এবং XSS

  • Home
  • WordPress
  • WP রক্ষণাবেক্ষণ প্লাগইনে CSRF এবং XSS
Wp রক্ষণাবেক্ষণ প্লাগইনে .Csrf এবং .Xss

WP রক্ষণাবেক্ষণ প্লাগইনে CSRF এবং সংরক্ষিত XSS-এর জন্য ঝুঁকিপূর্ণ বলে পাওয়া গেছে। 15 ই নভেম্বর, WordFence WP রক্ষণাবেক্ষণ প্লাগইনের বিকাশকারীদের দুর্বলতার কথা জানিয়েছে। যা অনুসরণ করে প্লাগইন ডেভেলপাররা (ফ্লোরেন্ট ম্যালিফৌড) জরুরিভাবে মাত্র একদিনের মধ্যে দুর্বলতা প্যাচ করেছে।

সংস্করণ 5.0.6 দুর্বলতা মুক্ত। আমরা আপনাকে পূর্ববর্তী যেকোনো সংস্করণ থেকে তাই এটিতে প্লাগইন আপডেট করার পরামর্শ দিই।

WP রক্ষণাবেক্ষণ প্লাগইন সম্পর্কে

WP রক্ষণাবেক্ষণ প্লাগইন আপনাকে আপনার ওয়েবসাইটকে রক্ষণাবেক্ষণ মোডে রাখতে সক্ষম করে। আপনার ওয়েবসাইট রক্ষণাবেক্ষণ পৃষ্ঠাটি ব্যাপকভাবে কাস্টমাইজ করতে সক্ষম করে।

ওয়ার্ডপ্রেস রিপোজিটরিতে WP রক্ষণাবেক্ষণ প্লাগইনটি এভাবেই দেখায়।

Wp Maintenance
WP Maintenance

আপনি দেখতে পাচ্ছেন, এই প্লাগইনটির 30,000+ সক্রিয় ইনস্টলেশন রয়েছে। এর বৈশিষ্ট্যগুলির মধ্যে রয়েছে রক্ষণাবেক্ষণ পৃষ্ঠায় কাস্টম পাঠ্য, লোগো, ছবি, CSS ইত্যাদি। এমনকি আপনি আপনার সাইট রক্ষণাবেক্ষণ পৃষ্ঠায় একটি কাউন্টডাউন টাইমার সন্নিবেশ করতে পারেন।

দুর্বলতার বিবরণ

WordFence অনুসারে, এই দুর্বলতা আক্রমণকারীদের আপনার ওয়েবসাইটকে রক্ষণাবেক্ষণ মোডে রাখতে এবং আপনার ওয়েবসাইটগুলিতে দূষিত কোডগুলি ইনজেকশন করতে দেয়। প্রাথমিকভাবে, কাস্টমাইজেশন বৈশিষ্ট্য প্লাগইন একটি ত্রুটি আছে. কাস্টমাইজেশন সেটিংস সেটিংস আপডেট করার আগে ব্যবহারকারীদের Nonce কী চেক করে না। এটি একটি গুরুতর CSRF আক্রমণ হতে পারে।

এছাড়াও, সেটিংস ইনপুট ক্ষেত্রে সঠিক কোড স্যানিটেশনের অভাব রয়েছে, যা হ্যাকারদের আপনার ওয়েবসাইটে বিপজ্জনক কোড ইনজেক্ট করতে দেয়।

পরবর্তী বিভাগে আরো প্রযুক্তিগত বিষয় বিস্তারিত বর্ণনা করা হল।

প্রযুক্তিগত বিবরণ

ডব্লিওপি রক্ষণাবেক্ষণ বিপুল সংখ্যক কাস্টমাইজেশন বৈশিষ্ট্যের সুবিধা দেয়। এটি অত্যধিক কাস্টমাইজেশন বৈশিষ্ট্যতা হল সক্রিয়তা ও ভাল নজরদারি আউটপুট প্রয়োজন। WP রক্ষণাবেক্ষণ এর মধ্যে সীমিত Nonce সুরক্ষা এবং মানগুলিতে ইনপুট/আউটপুট স্যানিটেশনের অভাব রয়েছে। এই উপেক্ষিত এলাকাগুলি ক্রস-সাইট অনুরোধ এর মাধ্যমে জালিয়াতি (CSRF) করে। CSRF তখন WP রক্ষণাবেক্ষণে ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতার দিকে পরিচালিত করে।

এই কোড দেখুন:

/* Update des paramètres */
if( isset($_POST['action']) && $_POST['action'] == 'update_general' ) {

if( isset($_POST["wp_maintenance_social_options"]['reset']) && $_POST["wp_maintenance_social_options"]['reset'] ==1 ) {
unset($_POST["wp_maintenance_social"]);
$_POST["wp_maintenance_social"] = '';
}
update_option('wp_maintenance_social', $_POST["wp_maintenance_social"]);
update_option('wp_maintenance_social_options', $_POST["wp_maintenance_social_options"]);
update_option('wp_maintenance_active', $_POST["wp_maintenance_active"]);

$options_saved = wpm_update_settings($_POST["wp_maintenance_settings"]);

$messageUpdate = 1;
}

এখানে update_general AJAX ফাংশন Nonce টোকেন যাচাই করে না। বরং এটিকে CSRF-এর জন্য দুর্বল করে দেয়। এছাড়াও, update_option() এবং wpm_update_settings() ফাংশনে ইনপুট স্যানিটাইজেশন নেই। এটি একটি অননুমোদিত ব্যবহারকারী/আক্রমণকারীকে একটি সংরক্ষিত XSS হিসাবে দূষিত স্ক্রিপ্টগুলিকে ইনজেকশন করার অনুমতি দিতে পারে। যা সাধারনত কল করলে আপনার সাইটে পুনঃনির্দেশ, ক্রিপ্টো মাইনিং, ডেটা চুরি ইত্যাদি হতে পারে৷

সর্বোপরি, প্লাগইনের সমস্ত সেটিংস CSRF এবং XSS-এর জন্য ঝুঁকিপূর্ণ ছিল।

Wp রক্ষণাবেক্ষণ দুর্বলতা
ক্রেডিট: WordFence

WP রক্ষণাবেক্ষণের সাধারণ সেটিংস উইন্ডোতে দুটি ইনপুট ক্ষেত্র রয়েছে। যথাঃ শিরোনাম এবং পাঠ্য ক্ষেত্র। ত্রুটিপূর্ণ বৈধকরণ এবং স্যানিটাইজেশনের কারণে, দূষিত কোডগুলি এই পার্সিং এড়িয়ে যায়। আর একটি সঞ্চিত XSS দুর্বলতা হিসাবে সংরক্ষণ করা হয়। WP রক্ষণাবেক্ষণের “নিউজলেটার সক্ষম করুন” ক্ষেত্রে নিম্নলিখিত উদাহরণটি দেখুন:

Wp রক্ষণাবেক্ষণ দুর্বলতা
ক্রেডিট: WordFence

কোডগুলি স্যানিটাইজেশন পাস করে এবং এটি কার্যকর হয়।

Wordfece 3 -

ঝুঁকি কমাতে আপডেট করুন

ঝুঁকি কমাতে প্লাগইনটির সাম্প্রতিক সংস্করণে (5.0.6) আপডেট করুন।

এছাড়াও, প্রচুর ওয়ার্ডপ্রেস প্লাগইন গুলিতে অনুপযুক্ত নিরাপত্তা রক্ষণাবেক্ষণ কারনে একটি গুরুতর সমস্যা রয়ে গেছে। আপনার ওয়েবসাইটের নিরাপত্তা নিশ্চিত করার সর্বোত্তম উপায় হল পছন্দসই প্লাগইনকে সব সময় ডাউনলোড করে। যেখানে WP রক্ষণাবেক্ষণ দুর্বলতাগুলি প্যাচ করার জন্য দ্রুত ছিল, তবে অনেক প্লাগইন তা করে না। শুধুমাত্র সেই প্লাগইনগুলি ডাউনলোড করুন যেগুলির একটি সক্রিয় সমর্থন এবং বিকাশ দল রয়েছে৷ আপনি প্লাগইন পর্যালোচনা চেক করে বা ফোরামে তাদের সন্ধান করে এটি জানতে পারেন।

Astra নিরাপত্তা

একটি নিরাপদ প্লাগইন থাকা সাহায্য করে, কিন্তু আপনি কি জানেন যে প্লাগইনের নিরাপত্তার উপর নির্ভর করার চেয়ে আরও ভাল সাহায্য করে? আর তা হল আপনার নিজের ডেডিকেটেড নিরাপত্তা ব্যবস্থা থাকা।

অ্যাস্ট্রা নিরাপত্তা আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের জন্য একটি সম্পূর্ণ নিরাপত্তা স্যুট। যখন Astra আপনার ওয়েবসাইটের নিরাপত্তার যত্ন নিচ্ছে তখন আপনি শান্ত হয়ে বসে থাকতে পারেন। এটা অসংখ্য বৈশিষ্ট্য অফার করে। যেমন আপনার ওয়েবসাইটের জন্য একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল, ম্যালওয়্যার স্ক্যানার, ম্যালওয়্যার ক্লিনআপ, নিরাপত্তা অডিট এবং আরও অনেক কিছু। আপনি এখানে আমাদের পর্যালোচনা চেক করতে পারেন।

নীচের মন্তব্য বাক্সে আপনার নিরাপত্তা প্রশ্নগুলি শুট করুন, আমরা উত্তর দিতে নিশ্চিত করব 🙂৷

অথবা আপনিও পারেন নিরাপত্তা বিশেষজ্ঞদের সাথে যোগাযোগ করুন

Free Website Toolkit

Money Back Guarantee

If you’re unhappy for any reason, let us know why. Our friendly support guy is standing by.

If you do decide we’re not the right host for you though, we’ll give you a hassle-free refund. We may have to stock up on tissues if you cancel though because we hate break-ups, but we promise, no hard feelings. Just cancel your account within your first 30-days for a full refund, or receive a prorated refund of unused service after 30-days. It’s that easy.

Free Domain Registration

In order to qualify for (1) one free domain name registration, you must sign up for a 12, 24 or 36 month Bitbyhost Shared, Web hosting and WordPress plan. Offer only applies to domains available only .com at the time of hosting signup, and on their initial purchase term. This offer is NOT available under any other hosting plans, nor can it be combined with any other offers. After the first year, your domain will renew at the regular rate.
If your hosting plan includes a free domain and you cancel your hosting within the first year, a non-refundable $12.08 USD domain fee (+ any applicable taxes) for the domain name will apply. Please note that newly registered domains cannot be transferred to another registrar during the first 60 days of the registration period.

Discount will be automatically applied to your cart at checkout.