डेवलपर्स प्लग इन अपडेट नहीं करते: वर्डप्रेस साइट मालिकों को हमेशा वर्डप्रेस कोर और ऐड-ऑन (थीम और प्लगइन्स) को अपडेट रखने के लिए आगाह किया जाता है। जब अप्राप्य रखा जाता है, तो ऐडऑन भेद्यता विकसित करते हैं जो हैकर एक साइट में सेंध लगाने के लिए शोषण करते हैं। लेकिन क्या होगा अगर कुछ समय पहले एक भेद्यता का पता चला था और प्लगइन के डेवलपर ने अभी तक इस मुद्दे को हल करने के लिए एक अपडेट जारी नहीं किया है? तब आपके जैसे वेबसाइट के मालिक क्या करते हैं? इस पोस्ट का लक्ष्य उस कार्रवाई के बारे में चर्चा करना है जो साइट को तब तक सुरक्षित रखेगी जब तक कि डेवलपर्स अपडेट जारी न करें।
2016 में वापस, एक सुरक्षा ब्लॉग ने W3 टोटल कैश, एक लोकप्रिय कैशिंग प्लगइन में क्रॉस-साइट स्क्रिप्टिंग भेद्यता की सूचना दी। W3 टोटल कैश 1 मिलियन से अधिक सक्रिय इंस्टॉल के साथ सबसे लोकप्रिय कैशिंग प्लगइन्स में से एक था और नाशपाती.com और mashable.com जैसी वेबसाइटों और यहां तक कि एटी एंड टी की कंपनी की वेबसाइट पर भरोसा किया गया था। यह पहली बार नहीं था जब W3 Total Cache प्लगइन ने भेद्यता विकसित की थी। वास्तव में, अतीत में टोटल कैश में कमजोरियों का अच्छा हिस्सा था और उनमें से कुछ का शोषण भी किया गया था।
रिपोर्ट के समय, समर्थन संबंधी मुद्दों पर शिकायतें चल रही थीं, जहां उपयोगकर्ता महीनों से डेवलपर्स के साथ संवाद करने की कोशिश कर रहे थे, लेकिन बहुत सफलता के बिना। एक असंतुष्ट उपयोगकर्ता ने फेसबुक ग्रुप पर यह कहते हुए पोस्ट किया कि प्लगइन को 7 महीने से अधिक समय से अपडेट नहीं किया गया था। इस बिंदु पर, W3 टोटल कैश का उपयोग करने वाली वेबसाइटों पर क्रॉस-साइट स्क्रिप्टिंग भेद्यता के संभावित नुकसान के बारे में चिंता समझ में आती है।
भेद्यता का खुलासा होने के लगभग एक सप्ताह बाद, W3 टोटल कैश ने एक अपडेट जारी किया और शोषक खामियों को दूर किया। इसके अलावा, उन्होंने उत्पाद में नई सुविधाएँ पेश कीं। लेकिन पैच जारी होने के ठीक बाद, कई वेबसाइट मालिकों ने बताया कि अपडेट ने उनकी साइट को तोड़ दिया। नए अपडेट के लिए वेबसाइटों को तोड़ना असामान्य नहीं है, यही कारण है कि एक मंचन वातावरण का उपयोग करने की सिफारिश की जाती है। यह आपको लाइव साइट में परिवर्तन करने से पहले एक स्टेजिंग साइट पर अपडेट का परीक्षण करने का अवसर देता है। यदि अपडेट करते समय स्टेजिंग साइट टूट जाती है, तो आप अपनी लाइव साइट को नुकसान पहुंचाए बिना प्लगइन डेवलपर्स के साथ समस्या उठा सकते हैं। और जबकि W3 टोटल कैश के डेवलपर्स को पैच जारी करने में कुछ समय लगा, लेकिन चीजें कुल तबाही का कारण नहीं बनीं।
क्या करें जब डेवलपर्स प्लगइन को अपडेट न करें?
वर्डप्रेस दुनिया का सबसे लोकप्रिय वेबसाइट निर्माण मंच है, और इसकी लोकप्रियता के पीछे सबसे बड़े कारणों में से एक प्लगइन्स का उपयोग है जो उपयोगकर्ताओं को अपनी साइट डिजाइन करने और आसानी से कार्यक्षमता जोड़ने में सक्षम बनाता है। कई वर्डप्रेस प्लगइन्स डेवलपर्स द्वारा एक के रूप में बनाए जाते हैं। पार्श्व परियोजना। जब कोई भेद्यता सामने आती है, तो न केवल समस्या की पहचान करने में बल्कि एक पैच विकसित करने में भी बहुत समय और प्रयास लगता है। कभी-कभी, वे तुरंत प्लगइन भेद्यता की ओर नहीं जा सकते क्योंकि उनके पास उपस्थित होने के लिए एक नियमित नौकरी होती है। एक साइड-प्रोजेक्ट प्राथमिकता नहीं है। इससे पैच जारी करने में विलंब होता है।
वर्डप्रेस एक इंटरनेट समुदाय है जो दुनिया भर में फैला हुआ है और कोर या इसके किसी भी ऐड-ऑन (यानी थीम और प्लगइन्स) में पाए जाने वाले किसी भी भेद्यता के बारे में खबर तेजी से फैलती है। जिसका अर्थ है कि हैकर्स जो हमेशा कमजोर वेबसाइटों की तलाश में रहते हैं, वे कुछ ही घंटों में वेबसाइटों पर बड़े पैमाने पर हैक करने के प्रयास शुरू कर देंगे। इस प्रकार जब एक प्लगइन भेद्यता पाई जाती है, लेकिन डेवलपर्स ने अभी तक एक अपडेट जारी नहीं किया है, तो साइट को नुकसान के रास्ते से रखने के लिए कुछ कार्रवाई करना महत्वपूर्ण है। यहां बताया गया है कि जब आप खुद को इस तरह की स्थिति में पाते हैं तो क्या करना चाहिए:
- प्लगइन अक्षम करें जब तक डेवलपर्स द्वारा भेद्यता को ठीक करने के लिए एक अपडेट जारी नहीं किया जाता है।
- यदि यह प्रीमियम प्लगइन या प्लगइन का प्रीमियम संस्करण नहीं है, तो wordpress.org पर सहायता फ़ोरम पर जाएं और शिकायत दर्ज करें वहां। उम्मीद है, पर्याप्त शिकायतें डेवलपर्स को जल्दी से पैच जारी करने के लिए प्रेरित करेंगी।
- आमतौर पर, एक भेद्यता की खोज के बाद अपडेट आने में 48 घंटे से अधिक समय लगता है। लेकिन अगर इसमें अधिक समय लगता है, तो डेवलपर्स से संपर्क करें और उन्हें इस मुद्दे के बारे में सूचित करें। अपने स्रोत को उद्धृत करें, यानी आपने भेद्यता के बारे में कहां से सुना। प्लगइन की आधिकारिक वेबसाइट में साइट पर कहीं 'हमसे संपर्क करें' पृष्ठ या एक ईमेल पता होना चाहिए। उन्हें एक मेल शूट करें।
- इस बीच, एक वैकल्पिक प्लगइन का उपयोग करें जो आपकी साइट को पूरी तरह कार्यात्मक रखने में आपकी सहायता करेगा। जब प्लग इन काम करना बंद कर देता है तो हमेशा यह अनुशंसा की जाती है कि आपके पास एक योजना हो।
जैसा कि हमने पहले बताया, वर्डप्रेस प्लगइन रिपॉजिटरी में बहुत सारे प्लगइन्स हैं जो एक हॉबी या साइड प्रोजेक्ट के रूप में विकसित किए गए हैं। Tउसका मतलब है कि एक डेवलपर जो मुफ़्त उत्पाद बनाने के लिए काम कर रहा है, वह उत्पाद को कभी भी छोड़ सकता है। और इसीलिए कई सुरक्षा विशेषज्ञ केवल उन डेवलपर्स द्वारा बनाए गए प्रीमियम प्लगइन का उपयोग करने की सलाह देते हैं जो समुदाय में प्रसिद्ध और सम्मानित हैं। जिन डेवलपर्स को प्लगइन या थीम के लिए भुगतान नहीं मिल रहा है, वे प्लगइन/थीम को बढ़ाने या बनाए रखने के लिए कम समय समर्पित कर सकते हैं। उनके पास एक पूर्णकालिक नौकरी हो सकती है जो उन्हें व्यस्त रखती है और उनके बिलों का भुगतान करती है जिससे ऐसे उत्पाद में निवेश करने में समय लगता है जिससे कोई मौद्रिक लाभ अव्यवहारिक नहीं होता है।
वर्डप्रेस प्लगइन्स में कमजोरियां विकसित होंगी चाहे वे किसी विशेषज्ञ या शौकिया द्वारा बनाई गई हों। यदि आप परित्यक्त थीम/प्लगइन का उपयोग करना जारी रखते हैं, तो कोई रखरखाव नहीं होगा, इसलिए कोई अपडेट नहीं होगा। जब कोई त्रुटि होती है, तो आप प्लगइन डेवलपर्स तक पहुंचना चाहते हैं, लेकिन चूंकि प्लगइन को डेवलपर्स की टीम द्वारा छोड़ दिया गया है, इसलिए आपको कोई समर्थन भी नहीं मिलेगा। यह आपको, उपयोगकर्ता को, एक तंग जगह पर छोड़ देता है क्योंकि एक वैकल्पिक प्लगइन या थीम पर स्विच करने के लिए फिर से निवेश करने के लिए समय और प्रयास की आवश्यकता होती है, लेकिन यह एकमात्र व्यवहार्य विकल्प है। अच्छे वेबसाइट सुरक्षा अभ्यास उपयोगकर्ता को प्लगइन चुनने के बारे में कुछ प्रोटोकॉल का पालन करने का आग्रह करते हैं। हमने उन्हें यहां नीचे सूचीबद्ध किया है:
- एक प्लगइन चुनें जो एक प्रसिद्ध डेवलपर द्वारा विकसित किया गया हो ऐसी स्थिति से बचने के लिए जहां आप एक प्लगइन का उपयोग कर रहे हैं जिसे निर्माता द्वारा छोड़ दिया गया है।
- सुनिश्चित करें कि प्लगइन को नियमित रूप से अपडेट किया जा रहा है जिसका अर्थ यह होगा कि डेवलपर्स उन कमजोरियों को ठीक कर रहे हैं जिनका उपयोग हैकर्स द्वारा आपकी साइट में सेंध लगाने के लिए किया जा सकता था। वर्डप्रेस रिपॉजिटरी में जाकर देखें कि आखिरी अपडेट कब किया गया था।
- प्रीमियम प्लग इन का उपयोग करें एक मुक्त के बजाय। यदि कोई प्लगइन का मुफ्त संस्करण है, तो इसका उपयोग बुनियादी कार्यक्षमता का परीक्षण करने के लिए करें, लेकिन हमारा सुझाव है कि आप प्रीमियम संस्करण में अपग्रेड करें। जैसा कि हमने पहले चर्चा की, मुफ्त प्लगइन्स को छोड़ दिया जा सकता है, या महत्वपूर्ण अपडेट को रोल आउट होने में बहुत अधिक समय लग सकता है।
हमें उम्मीद है कि जब कोई डेवलपर अपने प्लगइन को अपडेट नहीं कर रहा है, तो यह पोस्ट कार्रवाई करने में मदद करती है। पढ़ने के लिए धन्यवाद और यदि आपका कोई प्रश्न है, तो कृपया हमें लिखें।