একটি নতুন প্রতিবেদনে ওয়ার্ডপ্রেস সাইটগুলিতে হ্যাকিং এর বর্ধিত সংখ্যার কথা প্রকাশিত হয়েছে। আর এই সবই জনপ্রিয় প্লাগিনগুলিতে সিকিউরিটি বাগ বা সুরক্ষা ত্রুটি ব্যবহার করে।

৮টি জনপ্রিয় ওয়ার্ডপ্রেস প্লাগইন বর্তমানে হ্যাকার দ্বারা শোষিত হচ্ছে
ছবি: সংগৃহীত

সাম্প্রতিক ত্রুটিযুক্ত প্লাগিন টার্গেট করে সাইটগুলি হাইজ্যাক করার চেষ্টা করে হ্যাকররা।

অন্যান্য ক্ষেত্রে আক্রমণকারীরা বিভিন্ন প্লাগিনের জিরো-ডেস এক্সপ্লইটস আনকভার করতে সক্ষম হয়েছিল। এটি সেই ভালনেরাবিলিটিজকে বোঝায় যা প্লাগইন ডেভেলপারদের অজানা, যার অর্থ কোনও ত্রুটি উপলব্ধ নেই।

আক্রমণের এই সাম্প্রতিক স্ট্রিংয়ের অংশ হিসাবে চিহ্নিত সমস্ত প্লাগইনগুলির একটি তালিকা এখানে রয়েছে।

আপনি যদি আপনার সাইটে এই প্লাগইনগুলির কোনও একটি বর্তমানে ব্যবহার করে থাকেন তবে আপনাকে সুপারিশ করা হচ্ছে যে আপনি তাৎক্ষণিকভাবে ডিলিট করুণ অথবা আপডেট চাইলে আপডেট করুণ এবং সারা বছর এগুলি আপডেট করার বিষয়ে সজাগ থাকুন।

Duplicator (1 million+ installs)

Duplicator একটি প্লাগইন যা সাইটের মালিকদের তাদের সাইটের কন্টেন্ট অন্য সাইটে এক্সপার্ট করতে সহায়তা করে। ১.৩.২৮ ভার্সনে একটি বাগ ছিল যা আক্রমণকারীদের ডাটাবেস ক্রেডেনসিয়ালস সহ সাইটের কন্টেন্ট অন্য সাইটে এক্সপার্ট করার অনুমতি দেয়।

ThemeGrill Demo Importer (200,000 installs)

ThemeGrill বিক্রি হওয়া থিমগুলির সাথে থাকা এই প্লাগইনটিতে একটি ত্রুটি আক্রমণকারীদের সাইট রিস্টার্ট এবং অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টে প্রবেশ করার অনুমতি দেয়। প্লাগিনটির ১.৬.৩ ভার্সনে এই বাগটি আছে।

Profile Builder Plugin (65,000 installs)

এই প্লাগিনের ফ্রি ও পেইড দুই ভার্সনেই একটি বাগ হ্যাকরদেরকে অ্যাডমিনিস্ট্রেটর একাউন্ট আন অথরাইজড করার অনুমতি দেয়। এই বাগটি ১০ ফেব্রুয়ারি থেকে শুরু হয়েছিল।

Flexible Checkout Fields for WooCommerce (20,000 installs)

এই প্লাগিন একটি জিরো-ডেস এক্সপ্লইট, যা হ্যাকারদের এক্সএসএস পে-লোডা ইনজেক্ট করার অনুমতি দেয়। যার ফলে লগ-ইন অ্যাডমিনিস্ট্রেটরের ড্যাশবোর্ডে ট্রিগার করা যেতে পারে।

আক্রমণকারীরা রউগ অ্যাডমিন (Rogue Admin) অ্যাকাউন্ট তৈরি করতে এক্সএসএস পে-লোড ব্যবহার করেছিল। এই প্লাগিনটির ত্রুটি ২৬ ফেব্রুয়ারি শুরু হয়।

ThemeREX Addons

এই প্লাগিন একটি জিরো-ডেস এক্সপ্লইট, যা সমস্ত ThemeREX বিজনেস থিমের সাথে আসে, আক্রমণকারীদের রউগ অ্যাডমিন অ্যাকাউন্ট তৈরি করার অনুমতি দেয়।

আক্রমণগুলি ১৮ ফেব্রুয়ারি থেকে শুরু হয়েছিল। তাই সাইট মালিকদের যত তাড়াতাড়ি সম্ভব প্লাগইনটি সরিয়ে ফেলার পরামর্শ দেওয়া হচ্ছে।

Async JavaScript (100K installs)
10Web Map Builder for Google Maps (20k installs)
Modern Events Calendar Lite (40k installs)

এই প্লাগইনগুলিতে তিনটি জিরো-ডেস এক্সপ্লইট আবিষ্কৃত হয়েছিল। প্যাচগুলি প্রত্যেকটির জন্য উপলব্ধ।

Source: ZDNet