HTML

৮টি জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন বর্তমানে হ্যাকার দ্বারা শোষিত হচ্ছে

Dream Money - March 04, 2020
একটি নতুন প্রতিবেদনে ওয়ার্ডপ্রেস সাইটগুলিতে হ্যাকিং এর বর্ধিত সংখ্যার কথা প্রকাশিত হয়েছে। আর এই সবই জনপ্রিয় প্লাগিনগুলিতে সিকিউরিটি বাগ বা সুরক্ষা ত্রুটি ব্যবহার করে।

ছবি: সংগৃহীত

সাম্প্রতিক ত্রুটিযুক্ত প্লাগিন টার্গেট করে সাইটগুলি হাইজ্যাক করার চেষ্টা করে হ্যাকররা।
অন্যান্য ক্ষেত্রে আক্রমণকারীরা বিভিন্ন প্লাগিনের জিরো-ডেস এক্সপ্লইটস আনকভার করতে সক্ষম হয়েছিল। এটি সেই ভালনেরাবিলিটিজকে বোঝায় যা প্লাগইন ডেভেলপারদের অজানা, যার অর্থ কোনও ত্রুটি উপলব্ধ নেই।
আক্রমণের এই সাম্প্রতিক স্ট্রিংয়ের অংশ হিসাবে চিহ্নিত সমস্ত প্লাগইনগুলির একটি তালিকা এখানে রয়েছে।
আপনি যদি আপনার সাইটে এই প্লাগইনগুলির কোনও একটি বর্তমানে ব্যবহার করে থাকেন তবে আপনাকে সুপারিশ করা হচ্ছে যে আপনি তাৎক্ষণিকভাবে ডিলিট করুণ অথবা আপডেট চাইলে আপডেট করুণ এবং সারা বছর এগুলি আপডেট করার বিষয়ে সজাগ থাকুন।

Duplicator (1 million+ installs)

Duplicator একটি প্লাগইন যা সাইটের মালিকদের তাদের সাইটের কন্টেন্ট অন্য সাইটে এক্সপার্ট করতে সহায়তা করে। ১.৩.২৮ ভার্সনে একটি বাগ ছিল যা আক্রমণকারীদের ডাটাবেস ক্রেডেনসিয়ালস সহ সাইটের কন্টেন্ট অন্য সাইটে এক্সপার্ট করার অনুমতি দেয়।

ThemeGrill Demo Importer (200,000 installs)

ThemeGrill বিক্রি হওয়া থিমগুলির সাথে থাকা এই প্লাগইনটিতে একটি ত্রুটি আক্রমণকারীদের সাইট রিস্টার্ট এবং অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টে প্রবেশ করার অনুমতি দেয়। প্লাগিনটির ১.৬.৩ ভার্সনে এই বাগটি আছে।

Profile Builder Plugin (65,000 installs)

এই প্লাগিনের ফ্রি ও পেইড দুই ভার্সনেই একটি বাগ হ্যাকরদেরকে অ্যাডমিনিস্ট্রেটর একাউন্ট আন অথরাইজড করার অনুমতি দেয়। এই বাগটি ১০ ফেব্রুয়ারি থেকে শুরু হয়েছিল।

Flexible Checkout Fields for WooCommerce (20,000 installs)

এই প্লাগিন একটি জিরো-ডেস এক্সপ্লইট, যা হ্যাকারদের এক্সএসএস পে-লোডা ইনজেক্ট করার অনুমতি দেয়। যার ফলে লগ-ইন অ্যাডমিনিস্ট্রেটরের ড্যাশবোর্ডে ট্রিগার করা যেতে পারে।
আক্রমণকারীরা রউগ অ্যাডমিন (Rogue Admin) অ্যাকাউন্ট তৈরি করতে এক্সএসএস পে-লোড ব্যবহার করেছিল। এই প্লাগিনটির ত্রুটি ২৬ ফেব্রুয়ারি শুরু হয়।

ThemeREX Addons

এই প্লাগিন একটি জিরো-ডেস এক্সপ্লইট, যা সমস্ত ThemeREX বিজনেস থিমের সাথে আসে, আক্রমণকারীদের রউগ অ্যাডমিন অ্যাকাউন্ট তৈরি করার অনুমতি দেয়।
আক্রমণগুলি ১৮ ফেব্রুয়ারি থেকে শুরু হয়েছিল। তাই সাইট মালিকদের যত তাড়াতাড়ি সম্ভব প্লাগইনটি সরিয়ে ফেলার পরামর্শ দেওয়া হচ্ছে।

Async JavaScript (100K installs)
10Web Map Builder for Google Maps (20k installs)
Modern Events Calendar Lite (40k installs)

এই প্লাগইনগুলিতে তিনটি জিরো-ডেস এক্সপ্লইট আবিষ্কৃত হয়েছিল। প্যাচগুলি প্রত্যেকটির জন্য উপলব্ধ।
Source: ZDNet



Tags:

Post a Comment

0 Comments