২০ এপ্রি, ২০২৩·1 মিনিট পড়তে

পুরানো ওয়ার্ডপ্রেস প্লাগইন হ্যাকাররা ওয়েবসাইটগুলিকে আপস করার জন্য ব্যবহার করে

GoDaddy-এর মালিকানাধীন ফার্ম Sucuri-এর নিরাপত্তা গবেষকরা দেখেছেন যে একটি নিষ্ক্রিয় ওয়ার্ডপ্রেস প্লাগইন, Eval PHP, হ্যাকারদের দ্বারা ওয়েবসাইটগুলিকে আপস করার জন্য ব্যবহার করা হচ্ছে৷ তারা wp-admin প্যানেল সুরক্ষিত এবং একটি চার-পদক্ষেপ নিরাপত্তা পরিকল্পনা বাস্তবায়নের উপর জোর দিয়েছে।

GoDaddy-এর মালিকানাধীন ওয়েব সিকিউরিটি কোম্পানি Sucuri-এর সাইবারসিকিউরিটি গবেষকরা আবিষ্কার করেছেন যে একটি নিষ্ক্রিয় কিন্তু বৈধ WordPress প্লাগইন, Eval PHP, ওয়েবসাইটগুলিকে আপস করার জন্য ব্যবহার করা হচ্ছে৷ ইভাল পিএইচপি মূলত ব্যবহারকারীদের নিবন্ধ এবং ব্লগ ডেটাতে পিএইচপি কোড যোগ করার অনুমতি দেওয়ার জন্য তৈরি করা হয়েছিল, যার সাম্প্রতিক আপডেটটি প্রায় এক দশক আগে ঘটেছিল। তারপর থেকে, এটি একটি বর্ধিত সময়ের জন্য নগণ্য ডাউনলোডের অভিজ্ঞতা লাভ করেছে যা গত মাসে ডাউনলোডের আকস্মিক বৃদ্ধির সাক্ষী হওয়ার আগে, প্রতিদিন 7,000 ডাউনলোডের সর্বোচ্চ সহ 100,000 এরও বেশি ডাউনলোডগুলি জমা করে৷

সুকুরি নোটিশটি ইভাল পিএইচপি ব্যবহার করে হ্যাকারদের দ্বারা নিযুক্ত কৌশল সম্পর্কে বিশদভাবে বর্ণনা করে। কোডটি ওয়েবসাইটের docroot-এ একটি PHP স্ক্রিপ্ট তৈরি করে যেটিতে file_put_contents ফাংশন ব্যবহার করে একটি নির্দিষ্ট রিমোট কোড এক্সিকিউশন ব্যাকডোর রয়েছে। ব্যাকডোর এক্সিকিউটেবল PHP কোড অর্জন করতে $_REQUEST[id] ব্যবহার করে, এটি $_GET, $_POST, এবং $_COOKIE-এর বিষয়বস্তু পেতে পারে, কুকি হিসাবে উপস্থিত হয়ে কার্যকরভাবে এর পরামিতিগুলি লুকিয়ে রাখে। Sucuri হাইলাইট করে যে POST এর চেয়ে কম সনাক্তযোগ্য হওয়া সত্ত্বেও, GET সমানভাবে বিপজ্জনক।

উপরন্তু, Sucuri সনাক্ত করে যে হ্যাকাররা বিভিন্ন খসড়া পোস্ট জুড়ে পিছনের দরজা তৈরি করে, সেগুলিকে জনসাধারণের কাছে অদৃশ্য করে এবং প্রকাশিত পৃষ্ঠাগুলির তুলনায় উন্মোচন করা আরও চ্যালেঞ্জিং। টেকরাডার প্রো-এর অনুসন্ধানের জবাবে WordPress এখনও পরিত্যক্ত প্লাগইনগুলির বিষয়ে তাদের নীতির বিষয়ে মন্তব্য করেনি। ততক্ষণ পর্যন্ত, সুকুরি WordPress ব্যবহারকারীদের তাদের wp-অ্যাডমিন প্যানেলকে শক্তিশালী করার এবং ক্রিয়াকলাপ নিরীক্ষণ করার পরামর্শ দেয়। সংস্থাটি নিরাপত্তা উন্নত করার জন্য একটি চার-পদক্ষেপ পরিকল্পনা অফার করে:

সর্বশেষ নিরাপত্তা রিলিজ অনুযায়ী আপনার ওয়েবসাইট আপডেট এবং প্যাচ করা আছে তা নিশ্চিত করুন
আপনার অ্যাডমিন প্যানেলের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) বা অনুরূপ অ্যাক্সেস সীমাবদ্ধতা পরিমাপ প্রয়োগ করুন
অপ্রত্যাশিত ঘটনা থেকে রক্ষা পেতে নিয়মিত ওয়েবসাইট ব্যাকআপ রাখুন
দূষিত বট থেকে রক্ষা করতে একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল ব্যবহার করুন এবং কার্যত পরিচিত দুর্বলতাগুলি প্যাচ করুন

no-code এবং low-code প্ল্যাটফর্মের ক্রমবর্ধমান গ্রহণের সাথে, বিকাশকারী এবং ব্যবসায়িক নেতারা পুরানো প্লাগইনগুলির জটিলতাগুলিকে উপেক্ষা করে সহজেই ওয়েব এবং মোবাইল অ্যাপ্লিকেশনগুলি তৈরি করতে পারে৷ এরকম একটি সমাধান হল AppMaster প্ল্যাটফর্ম, ব্যাকএন্ড, ওয়েব এবং মোবাইল অ্যাপ্লিকেশন তৈরির জন্য একটি অ্যাক্সেসযোগ্য এবং স্কেলযোগ্য no-code টুল। AppMaster streamlines app development by negating technical debt and offering up-to-date solutions for businesses of all sizes.

no-code এবং low-code অ্যাপ ডেভেলপমেন্ট সম্পর্কে আরও বিস্তারিত তথ্যের জন্য, আমাদের বিস্তৃত নির্দেশিকা দেখুন: 2022-এর জন্য No-Code, লো-কোড অ্যাপ ডেভেলপমেন্টের সম্পূর্ণ গাইড ।

২৩ সেপ, ২০২৪

10 min

FFDC 2024 Wrap-Up: NYC-তে FlutterFlow ডেভেলপারস কনফারেন্সের মূল অন্তর্দৃষ্টি

FFDC 2024 নিউ ইয়র্ক সিটিকে আলোকিত করেছে, ফ্লুটারফ্লো-এর মাধ্যমে ডেভেলপারদের অ্যাপ ডেভেলপমেন্টে অত্যাধুনিক অন্তর্দৃষ্টি এনেছে। বিশেষজ্ঞ-নেতৃত্বাধীন সেশন, একচেটিয়া আপডেট, এবং অতুলনীয় নেটওয়ার্কিং সহ, এটি এমন একটি ইভেন্ট ছিল যা মিস করা যাবে না!

সম্পর্কিত খবর