कमजोर प्लगइन्स:
- एलिमेंट के लिए अल्टीमेट ऐडऑन
- बीवर बिल्डर के लिए अंतिम ऐडऑन
गंभीरता स्तर: 10
शोषण स्तर: बहुत आसान
भेद्यता प्रकट की गई: 11-12-2019
पैच रिलीज की तारीख: 11-12-2019
पैच किया गया संस्करण:
- बीवर बिल्डर के लिए अंतिम ऐडऑन - 1.2.4.1
- एलिमेंट के लिए अल्टीमेट एडॉन्स - 1.20.1
अल्टीमेट एडॉन्स एक लोकप्रिय प्रीमियम प्लगइन है जो वर्डप्रेस वेबसाइटों को ऐड ऑन के बंडल तक पहुंच प्रदान करता है। यह वेबसाइट निर्माण और डिज़ाइन को विशेष रूप से उन लोगों के लिए बहुत आसान बनाता है जो तकनीक-प्रेमी नहीं हैं।
प्लगइन ब्रेनस्टॉर्म फोर्स द्वारा बनाया गया है जो विशेषज्ञ डेवलपर्स है। उनके पास दर्जनों प्लगइन्स हैं जो हजारों वेबसाइटों द्वारा उपयोग किए जा रहे हैं अल्टीमेट एडॉन्स प्लगइन एलिमेंटर और बीवर बिल्डर के लिए उपलब्ध है और इसमें सैकड़ों हजारों सक्रिय इंस्टॉल हैं।
कल, हमारे नियमित सुरक्षा ऑडिट के दौरान, हमारे सुरक्षा शोधकर्ता प्लगइन्स में एक भेद्यता का पता लगाने के लिए हैरान थे। यह एक प्रमुख भेद्यता है जो हैकर्स को किसी भी वर्डप्रेस वेबसाइट पर व्यवस्थापक पहुंच प्राप्त करने की अनुमति दे सकता है जिसमें प्लगइन स्थापित था। इसका मतलब है कि हैकर्स आपकी वेबसाइट पर पूरा नियंत्रण हासिल कर सकते हैं यदि आप प्लगइन का उपयोग कर रहे हैं और आपकी साइट को नुकसान पहुंचाने के लिए दुर्भावनापूर्ण फ़ाइलें (जैसे favicon.ico मैलवेयर) बना सकते हैं।
भेद्यता की खोज करने वाले पहले व्यक्ति होने के नाते, हमने अपना उचित परिश्रम किया और हमें मिली भेद्यता के बारे में सूचित करने के लिए अल्टीमेट एडॉन्स टीम से संपर्क किया।
टीम ब्रेनस्टॉर्म भेद्यता को ठीक करने में तत्पर थी। उन्होंने 7 घंटे के भीतर एक पैच जारी किया है और अपने सभी ग्राहकों को सूचित किया है।
क्या आप इस भेद्यता से प्रभावित हैं?
यदि आप अल्टीमेट एडॉन्स प्लगइन का उपयोग कर रहे हैं, तो हम आपसे तुरंत नवीनतम संस्करण में अपडेट करने का आग्रह करते हैं! कमजोर संस्करण 1.0 है। आपको 11 दिसंबर 2019 को जारी नवीनतम संस्करण में अपडेट करने की आवश्यकता है।
- बीवर बिल्डर के लिए अल्टीमेट ऐडऑन के लिए, सुरक्षित संस्करण 1.2.4.1 है।
- एलिमेंट के लिए अल्टीमेट एडॉन्स के लिए, सुरक्षित संस्करण 1.20.1 है।
यदि आपकी वेबसाइट पुराने संस्करण का उपयोग कर रही है, तो यह आपकी साइट को हैकर्स के लिए असुरक्षित बना देगी।
हम पहले ही पता लगा चुके हैं कि इस भेद्यता का शोषण किया जा रहा है। यदि आप यह जांचना चाहते हैं कि आपकी वेबसाइट का शोषण तो नहीं किया गया है, तो हमारे MalCare Security Plugin का उपयोग करें। यह आपकी साइट को स्कैन करेगा और आपकी साइट पर किसी भी संदिग्ध या हैकिंग गतिविधियों का पता लगाएगा।
भेद्यता विवरण
कल, हमारी टीम ने वेबसाइटों के बीच असामान्य गतिविधि देखी। इसने हमारी टीम को उस भेद्यता का पता लगाने के लिए प्रेरित किया जिसका कुछ साइटों में शोषण किया जा रहा था।
जैसे ही आप अपनी वेबसाइट पर प्लगइन स्थापित करते हैं, हमें मिली भेद्यता होती है। यदि कोई हैकर किसी वर्डप्रेस वेबसाइट के किसी भी उपयोगकर्ता की ईमेल आईडी जानता है, तो वे एक विशेष अनुरोध तैयार कर सकते हैं और व्यवस्थापक नियंत्रण प्राप्त कर सकते हैं।
भेद्यता का फायदा उठाने के लिए, हैकर को साइट के व्यवस्थापक उपयोगकर्ता की ईमेल आईडी का उपयोग करने की आवश्यकता होती है। ज्यादातर मामलों में, यह जानकारी काफी आसानी से प्राप्त की जा सकती है। कुछ होस्टिंग प्रदाता किसी वेबसाइट की व्यवस्थापक ईमेल आईडी ढूंढना भी आसान बनाते हैं। इसलिए हमने संभावित नुकसान को कम करने के लिए होस्टिंग प्रदाताओं से हमारी खोज के बारे में उन्हें सूचित किया है।
भेद्यता प्रभाव:जोखिम क्या हैं?
यदि यह भेद्यता हैकर्स द्वारा पाई जाती है, तो यह संभावित रूप से सैकड़ों हजारों वर्डप्रेस साइटों को हैक होने के जोखिम में डाल सकती है!
यदि कोई हैकर व्यवस्थापक पहुंच प्राप्त करता है, तो यह नहीं बताया जा सकता है कि वे आपकी वेबसाइट का उपयोग किस लिए करेंगे। सामान्य वर्डप्रेस साइट हैक की एक लंबी सूची है जिसे वे चला सकते हैं जैसे
- डेटा चोरी करना,
- आगंतुकों को स्पैम साइटों पर पुनर्निर्देशित करना,
- अवैध दवाएं और नकली उत्पाद बेचना,
- बड़ी साइटों पर हमले शुरू करने के लिए अपनी साइट का उपयोग करना,
- अपने स्वयं के उत्पादों को रैंक करने के लिए ब्लैक हैट एसईओ तकनीकों का उपयोग करना (अनुशंसित पढ़ें:जापानी कीवर्ड हैक) आदि।
- अपने पृष्ठों के स्पैम लिंक को उनकी स्पैमयुक्त वेबसाइट में सम्मिलित करना
हैक होना आपकी साइट और आपके व्यवसाय के लिए बेहद हानिकारक है। इसके अलावा, पुनर्प्राप्ति लागत बहुत तेज़ी से बढ़ सकती है!
महत्वपूर्ण:प्लगइन को तुरंत अपडेट करें!
यदि आप अपनी वर्डप्रेस साइट पर एलिमेंट अल्टीमेट एडॉन्स या अल्टीमेट बीवर बिल्डर प्लगइन का उपयोग कर रहे हैं, तो आपको उन्हें अभी अपडेट करना होगा। आप इसे अपने wp-admin डैशबोर्ड से कर सकते हैं।
यदि किसी कारण से आप उन्हें wp-admin डैशबोर्ड से अपडेट करने में असमर्थ हैं, तो हम दृढ़ता से MalCare Security Plugin को स्थापित करने की सलाह देते हैं। स्वतंत्र MalCare डैशबोर्ड से, आप अपनी वेबसाइट पर प्लगइन्स को अपडेट कर सकते हैं या उन्हें पूरी तरह से हटा सकते हैं।
यदि आप प्लगइन को मैन्युअल रूप से अपडेट करना चाहते हैं, तो आप यह कैसे कर सकते हैं:
- बीवर बिल्डर के लिए अल्टीमेट एडॉन्स का नवीनतम संस्करण डाउनलोड करें या एलिमेंट के लिए अल्टीमेट एडॉन्स में लॉगिन करें और नवीनतम संस्करण डाउनलोड करें।
- अपनी वेबसाइट से पिछले संस्करण को अनइंस्टॉल करें। इसका मतलब है कि आपको प्लगइन को निष्क्रिय और हटाना होगा। (आप कोई डेटा नहीं खोएंगे।)
- अगला, आपके द्वारा अभी-अभी डाउनलोड किए गए अल्टीमेट एडॉन्स का नवीनतम संस्करण अपलोड और इंस्टॉल करें।
क्या आपकी वर्डप्रेस वेबसाइट पहले ही हैक हो चुकी है?
यदि आपको पहले ही हैक किया जा चुका है या आपको हैक होने का संदेह है, तो हम अनुशंसा करते हैं कि MalCare की मैलवेयर डिटेक्शन और रिमूवल सेवाओं का तुरंत लाभ उठाएं। MalCare Security प्लगइन स्थापित करें और यह आपकी वेबसाइट का संपूर्ण स्कैन चलाएगा। यदि उसे कोई मैलवेयर मिलता है, तो आपको सतर्क कर दिया जाएगा। आप हमारे ऑटो-क्लीन फीचर से हैक को तुरंत साफ कर सकते हैं।
स्वचालित प्रक्रिया आपकी हैक की गई साइट को कुछ ही मिनटों में साफ़ कर देगी। उसके बाद, MalCare आपको भविष्य में इस तरह के हैक्स से सुरक्षा प्रदान करना जारी रखेगा।
अनुशंसित पढ़ें:वर्डप्रेस थीम हैक को कैसे साफ करें।
WP-VCD मालवेयर एक और मालवेयर है जो इस खबर को हवा दे रहा है। WP-VCD मैलवेयर को निकालने के तरीके के बारे में यहां एक गाइड है।
सुरक्षा एक सतत प्रयास है और इसकी नियमित रूप से निगरानी किए जाने की आवश्यकता है। सुरक्षा पर अधिक अपडेट के लिए MalCare को फॉलो करें।