इस बात से चिंतित हैं कि वर्डप्रेस प्लगइन्स आपकी वेबसाइट को कैसे जोखिम में डाल रहे हैं?
क्या आप जानते हैं? वर्डप्रेस साइटों के हैक होने का सबसे बड़ा कारण कमजोर प्लगइन्स हैं। वास्तव में, वर्डप्रेस पर 55.9% हमले कमजोर प्लगइन्स के कारण होते हैं।
तो क्या आप प्लगइन्स का इस्तेमाल पूरी तरह से बंद कर देते हैं? वेबसाइट विकास में, प्लगइन्स के बिना वर्डप्रेस साइट बनाना और चलाना कठिन है क्योंकि वे आपकी साइट में कार्यक्षमता और अधिक सुविधाएँ जोड़ते हैं।
सौभाग्य से, प्लगइन्स का उपयोग करने और अपनी साइट को सुरक्षित रखने का एक तरीका है। जब प्लगइन्स के डेवलपर्स अपने सॉफ़्टवेयर में एक भेद्यता खोजते हैं, तो वे इसे ठीक करते हैं और तुरंत एक अद्यतन संस्करण जारी करते हैं। एक बार जब आप अपनी साइट पर प्लगइन अपडेट कर लेते हैं, तो यह आपकी साइट पर उपयोग करने के लिए सुरक्षित है। हालांकि, लाखों वर्डप्रेस उपयोगकर्ता अपडेट में देरी करते हैं जिससे उनकी साइट हैकर्स के लिए असुरक्षित हो जाती है।
यदि आपकी साइट हैक हो जाती है, तो हैकर्स इसका उपयोग सभी प्रकार की दुर्भावनापूर्ण गतिविधियों को चलाने के लिए कर सकते हैं जैसे संवेदनशील डेटा चोरी करना, अवांछित विज्ञापन चलाना और आपकी वेबसाइट को ख़राब करना। हैक के आपके व्यवसाय पर विनाशकारी परिणाम हो सकते हैं और इसके परिणामस्वरूप ऐडवर्ड्स खाता निलंबन, आगंतुकों, ग्राहकों और राजस्व की हानि हो सकती है।
यही कारण है कि कमजोर प्लगइन्स और उनके सुरक्षा मुद्दों के बारे में सीखना बहुत महत्वपूर्ण है। इस लेख में, हम आपको कुछ सबसे कमजोर वर्डप्रेस प्लगइन्स दिखाएंगे जिनका उपयोग वर्डप्रेस वेबसाइट के मालिक करते हैं।
टीएल; डॉ: वर्डप्रेस प्लगइन कमजोरियों के खिलाफ अपनी साइट को सुरक्षित रखने के लिए, यह जरूरी है कि जैसे ही आप नए संस्करण उपलब्ध हों, आप उन्हें अपडेट कर दें। केंद्रीकृत डैशबोर्ड से अपडेट का ट्रैक रखने के लिए हमारे MalCare सुरक्षा प्लगइन का उपयोग करें। आप अपनी वर्डप्रेस साइट पर बल्क अपडेट लागू कर सकते हैं जिससे अपडेट को मैनेज करना काफी आसान हो जाता है।
एक WordPress प्लगइन कैसे कमजोर हो सकता है?
यह जानना महत्वपूर्ण है कि तृतीय-पक्ष डेवलपर वर्डप्रेस प्लगइन्स बनाते हैं, न कि डेवलपर्स की वर्डप्रेस टीम। अधिकांश प्लगइन्स वर्डप्रेस रिपॉजिटरी में उपलब्ध हैं, हालांकि, आप लोकप्रिय मार्केटप्लेस जैसे कोडकैनियन या प्लगइन की वेबसाइट पर भी प्लगइन्स पा सकते हैं।
50,000 से अधिक वर्डप्रेस प्लगइन्स अस्तित्व में हैं और हर दिन अधिक बनाए जाते हैं। डेवलपर यह सुनिश्चित करने के लिए अपने प्लग इन का प्रबंधन और रखरखाव अच्छी तरह से करते हैं कि वे सुरक्षित हैं, विशेष रूप से प्रीमियम वाले।
ये प्लगइन्स कुछ दिशानिर्देशों का पालन करते हैं जो सुनिश्चित करते हैं कि यह उपयोगकर्ताओं के लिए सुरक्षित और सुरक्षित है। हालांकि, डेवलपर्स अपने उत्पादों को बढ़ाना जारी रखते हैं और कभी-कभी नई सुविधाओं को जारी करने के लिए समय की कमी का सामना करते हैं। कुछ मामलों में, प्लगइन के विकास के दौरान, आप कुछ सुरक्षा खामियों को नज़रअंदाज कर सकते हैं जो उत्पाद को कमजोर बना देती हैं।
एक बार हैकर्स को भेद्यता मिल जाने के बाद, वे इसका फायदा उठाकर कई हैक कर सकते हैं, जिनमें से कुछ में शामिल हैं:
- आगंतुकों को अन्य अज्ञात साइटों पर पुनर्निर्देशित करना।
- आपकी साइट पर स्पैम विज्ञापनों और सामग्री को इंजेक्ट करना।
- अपनी साइट पर wp-feed.php मैलवेयर जैसे मैलवेयर इंस्टॉल करना ताकि उनके हमले आगे बढ़ सकें.
- दुष्ट व्यवस्थापक खाते बनाना।
- डीडीओएस हमले शुरू करने और स्पैम ईमेल भेजने के लिए अपने सर्वर संसाधनों का उपयोग करना।
इस तरह के हैक हमले आपकी साइट को गंभीर रूप से धीमा कर देंगे, जिससे आपकी एसईओ रैंक कम हो जाएगी। वे आपके व्यवसाय, आपके राजस्व और आपकी प्रतिष्ठा को भी खतरे में डालते हैं।
चूंकि असुरक्षित प्लगइन्स अधिकांश वेबसाइट हैकर्स का सबसे बड़ा मूल कारण हैं, इसलिए यह जानना महत्वपूर्ण है कि कौन से प्लगइन्स सबसे कमजोर हैं और कौन से सुधार उपलब्ध हैं।
नोट:यदि आप अपनी वर्डप्रेस साइट पर इस प्लगइन में से किसी का उपयोग कर रहे हैं, तो हम आपको किसी भी हैक हमलों से बचने के लिए तुरंत उपलब्ध नवीनतम संस्करण में अपडेट करने की दृढ़ता से सलाह देते हैं।
कमजोर प्लगइन्स के कारण आपकी वेबसाइट हैक हो सकती है। हमलों से बचने और अपनी वर्डप्रेस साइट की सुरक्षा के लिए हमेशा अपने प्लगइन्स को नियमित रूप से अपडेट करें। ट्वीट करने के लिए क्लिक करें8 कमजोर वर्डप्रेस प्लगइन्स जिन पर हाल ही में हमला किया गया था
अतीत में नेक्स्टजेन गैलरी, योस्ट एसईओ और निंजा फॉर्म जैसे कई लोकप्रिय वर्डप्रेस प्लगइन्स पर हमला किया गया था। यहां, हम कमजोर वर्डप्रेस प्लगइन्स की सूची पर ध्यान केंद्रित करते हैं जिनका हाल ही में हैकर्स द्वारा शोषण किया गया था।
1. डुप्लीकेटर – वर्डप्रेस माइग्रेशन प्लगइन
डुप्लीकेटर प्लगइन मुख्य रूप से एक माइग्रेशन प्लगइन है जिसका उपयोग वर्डप्रेस बैकअप के लिए भी किया जाता है। उपयोगकर्ता अपनी वर्डप्रेस साइट का बैकअप बना सकते हैं और फिर उसकी एक प्रति डाउनलोड कर सकते हैं। वे अपनी साइटों को किसी भिन्न डोमेन या होस्ट पर क्लोन या माइग्रेट भी कर सकते हैं। यह 1 मिलियन से अधिक सक्रिय इंस्टॉल के साथ काफी लोकप्रिय प्लगइन है।
हाल ही में, प्लगइन ने एक भेद्यता विकसित की जिसे एक मनमाना फ़ाइल डाउनलोड के रूप में जाना जाता है। इस भेद्यता ने हमलावरों को उस वर्डप्रेस साइट की सामग्री को निर्यात करने की अनुमति दी जिसमें प्लगइन स्थापित था। हैकर्स गोपनीय फाइलें भी डाउनलोड कर सकते हैं और डेटाबेस क्रेडेंशियल्स चुरा सकते हैं। इसने उन्हें साइट में सेंध लगाने, उस पर नियंत्रण रखने और अपने हमले को आगे बढ़ाने की अनुमति दी।
डेवलपर्स ने भेद्यता का पता लगाया और डुप्लिकेटर संस्करण 1.3.28 और डुप्लीकेटर प्रो संस्करण 3.8.71 में एक महत्वपूर्ण वर्डप्रेस सुरक्षा अपडेट जारी करने के लिए तत्पर थे। फरवरी 2020 में।
वेबसाइट सुरक्षा विशेषज्ञों का कहना है कि 500,000 से अधिक उपयोगकर्ता प्लगइन के कमजोर संस्करण का उपयोग कर रहे हैं और अभी तक उन्हें नए संस्करण में अपडेट नहीं करना है।
2. थीमग्रिल डेमो आयातक
थीमग्रिल मुफ्त और प्रीमियम रिस्पॉन्सिव थीम प्रदान करता है जो आपको एक पेशेवर दिखने वाली साइट बनाने में सक्षम बनाता है।
थीमग्रिल डेमो इम्पोर्टर प्लगइन वर्डप्रेस उपयोगकर्ताओं को थीमग्रिल से सीधे अपने वर्डप्रेस डैशबोर्ड पर आधिकारिक थीम आयात करने में सक्षम बनाता है। उपयोगकर्ता सामग्री, विजेट और थीम सेटिंग भी आयात कर सकते हैं। इस प्लगइन के 200,000 से अधिक सक्रिय इंस्टॉल हैं।
हालाँकि, इस प्लगइन में एक भेद्यता हैकर्स को व्यवस्थापक खाते को नियंत्रित करने में सक्षम बनाती है। हैकर्स आपको आपकी खुद की वेबसाइट से लॉक कर सकते हैं और यहां तक कि आपकी साइट को पूरी तरह से मिटा भी सकते हैं।
ThemeGrill के डेवलपर्स ने तुरंत 1.6.3 संस्करण में एक पैच जारी किया फरवरी 2020 में।
3. प्रोफ़ाइल निर्माता प्लगइन
प्रोफाइल बिल्डर आपको अपने ग्राहकों को अपनी वेबसाइट पर एक खाता बनाने का विकल्प देने में सक्षम बनाता है। आप अपनी साइट पर फ़्रंट-एंड उपयोगकर्ता लॉगिन और पंजीकरण प्रपत्र बना सकते हैं। इसमें आपके ग्राहकों के लिए उनके खातों को वैयक्तिकृत करने के लिए प्रोफ़ाइल फ़ॉर्म भी हैं।
प्लगइन के तीन वेरिएंट हैं - फ्री, प्रो और हॉबीस्ट। प्रो और हॉबीस्ट संस्करण दोनों प्रीमियम संस्करण हैं। प्रो आपको असीमित वर्डप्रेस वेबसाइटों पर प्लगइन का उपयोग करने की अनुमति देता है जबकि हॉबीस्ट आपको इसे एक साइट पर उपयोग करने का लाइसेंस देता है।
प्लगइन के मुफ्त वर्डप्रेस संस्करण में 50,000 से अधिक सक्रिय इंस्टॉल हैं, जबकि इसके प्रो और हॉबीस्ट संस्करणों में सामूहिक रूप से लगभग 15,000 इंस्टॉलेशन हैं।
फरवरी 2020 में, एक गंभीर भेद्यता की खोज की गई जिसने प्लगइन के सभी प्रकारों को प्रभावित किया। प्लगइन में एक बग ने हैकर के लिए वर्डप्रेस साइटों पर अनधिकृत व्यवस्थापक खातों को पंजीकृत करना संभव बना दिया। इसने एक हैकर को एक दुष्ट व्यवस्थापक खाता बनाने और साइट पर पूर्ण नियंत्रण रखने की अनुमति दी।
यह भेद्यता 3.1.0 तक और प्लगइन के सभी संस्करणों को प्रभावित करती है। संस्करण 3.1.1. . में एक सुरक्षा पैच जारी किया गया था
4. WooCommerce के लिए सुविधाजनक चेकआउट फ़ील्ड
WooCommerce के लिए यह ऐड-ऑन प्लगइन उपयोगकर्ताओं को अपने चेकआउट फ़ील्ड को अनुकूलित करने में सक्षम बनाता है। इसका अर्थ है कि उपयोगकर्ता चेकआउट पृष्ठ पर डिफ़ॉल्ट फ़ील्ड संपादित कर सकते हैं और इसके बजाय अपने स्वयं के लेबल जोड़ सकते हैं। प्लगइन में 20,000 से अधिक सक्रिय इंस्टॉलेशन हैं।
फ्लेक्सिबल चेकआउट फील्ड्स प्लगइन को इसके डेवलपर्स द्वारा अच्छी तरह से बनाए रखा और नियमित रूप से अपडेट किया जाता है।
प्लगइन में एक भेद्यता है जिसका हैकर्स ने सक्रिय रूप से फायदा उठाना शुरू कर दिया है। भेद्यता ने हैकर्स को वर्डप्रेस साइटों में दुर्भावनापूर्ण कोड डालने की अनुमति दी। इसने उन्हें सभी प्रकार की गतिविधियों को करने में सक्षम बनाया जैसे कि दुष्ट WP व्यवस्थापक खाते बनाना, डेटा चोरी करना, और व्यवस्थापक उपयोगकर्ता को अपनी वेबसाइट से बाहर करना।
डेवलपर्स ने शीघ्र ही संस्करण 2.3.2 और 2.3.3 . में एक सुरक्षा पैच जारी किया 25 फरवरी 2020 को। तब से, प्लगइन को कई बार अपडेट किया गया है। हम उपलब्ध नवीनतम संस्करण में अपडेट करने की जोरदार सलाह देते हैं।
5. थीमरेक्स एडॉन्स
ThemeREX Addons प्लगइन को ThemeREX द्वारा बनाए गए विभिन्न विषयों के लिए एक साथी प्लगइन के रूप में डिज़ाइन किया गया है। इस ऐडऑन में कई विशेषताएं और विजेट हैं जो उनके विषयों की कार्यक्षमता का विस्तार करते हैं। प्लगइन लगभग 44,000 वर्डप्रेस साइटों पर स्थापित है।
हैकर्स ने प्लगइन में एक भेद्यता पाया और इस प्लगइन के साथ वेबसाइटों पर हमला करना शुरू कर दिया। यहां भी, हैकर्स नए व्यवस्थापक उपयोगकर्ता खाते बनाने के लिए प्लगइन में एक कमजोरी का फायदा उठा सकते हैं।
ThemeREX ने तुरंत एक अपडेट जारी किया लेकिन ThemeREX Addons को अपडेट करना थोड़ा अधिक जटिल है। चूंकि प्लगइन वर्डप्रेस रिपॉजिटरी में उपलब्ध नहीं है, आपको अपने वर्डप्रेस डैशबोर्ड पर प्लगइन के लिए कोई अपडेट उपलब्ध नहीं दिखाई देगा . इसके किसी भी प्लगइन्स और थीम के अपडेट के बारे में जानकारी प्राप्त करने के लिए आपको ThemeREX न्यूज़लेटर की सदस्यता लेने की आवश्यकता है।
साथ ही, ThemeREX Addon प्लगइन कई थीम के साथ बंडल किया गया है। हो सकता है कि कई साइट स्वामियों ने ThemeREX थीम से थीम इंस्टॉल की हो और उन्हें पता न हो कि यह प्लग इन पैकेज के हिस्से के रूप में उनकी साइट पर स्वचालित रूप से इंस्टॉल हो गया था।
यदि आप किसी थीमरेक्स थीम का उपयोग कर रहे हैं, तो हम दृढ़ता से अनुशंसा करते हैं कि आप इसे नवीनतम संस्करण में अपडेट करें। आप अपने थीमरेक्स खाते से प्लगइन को अपडेट कर सकते हैं। यदि आप ऐसा करने में असमर्थ हैं, तो आपको थीमरेक्स अपडेटर प्लगइन स्थापित करने की आवश्यकता हो सकती है। इस प्लगइन को अपडेट करने के बारे में अधिक जानकारी के लिए ThemeREX से संपर्क करें।
6. एसिंक्स जावास्क्रिप्ट
Async Javascript प्लगइन पृष्ठ लोडिंग समय को कम करने में मदद करता है, इस प्रकार पृष्ठ गति और उपयोगकर्ता अनुभव को बढ़ाता है। आपकी वर्डप्रेस साइट PHP, CSS और Javascript जैसी विभिन्न कोडिंग भाषाओं से बनी है। यह Async Javascript प्लगइन आपकी साइट पर जावास्क्रिप्ट लोड करने के तरीके को बढ़ाता है। प्लगइन में 100,000+ सक्रिय इंस्टॉलेशन हैं।
प्लगइन में एक भेद्यता ने हैकर्स को एक हमले को दूरस्थ रूप से निष्पादित करने की अनुमति दी। अनुशंसित पढ़ें: क्रॉस-साइट स्क्रिप्टिंग (XSS) हमले . इससे हैकर्स द्वारा संवेदनशील जानकारी चुराने, पीड़ित की साइट का स्वरूप बदलने, और साइट के विज़िटर को मैलवेयर डाउनलोड करने या व्यक्तिगत डेटा का खुलासा करने के लिए धोखा देने की संभावना खुल गई।
डेवलपर्स ने मौजूद सभी मुद्दों को ठीक किया और प्लगइन को सुरक्षित करने के लिए अतिरिक्त सुरक्षा उपाय भी किए। इस लेख को लिखने के समय उपलब्ध सबसे सुरक्षित संस्करण संस्करण 2.20.03.01 है।
कई मामलों में, वर्डप्रेस डेवलपर्स वेबसाइट बनाते समय इस प्लगइन को स्थापित करते हैं लेकिन उनके क्लाइंट को उनकी साइट पर प्लगइन के अस्तित्व के बारे में पता नहीं हो सकता है। लेकिन सौभाग्य से, यह प्लगइन वर्डप्रेस रिपॉजिटरी में उपलब्ध है, और अपडेट नोटिफिकेशन वर्डप्रेस डैशबोर्ड पर दिखाई देते हैं।
7. आधुनिक कार्यक्रम कैलेंडर लाइट
यह ईवेंट कैलेंडर प्लगइन वर्डप्रेस वेबसाइटों पर ईवेंट प्रबंधित करना आसान बनाता है! इसमें एक प्रतिक्रियाशील और मोबाइल-अनुकूल इंटरफ़ेस है जो साइट मालिकों को अपनी साइट पर अच्छी तरह से डिज़ाइन किए गए ईवेंट कैलेंडर आसानी से प्रदर्शित करने की अनुमति देता है। मॉडर्न इवेंट कैलेंडर लाइट उपयोग करने के लिए स्वतंत्र है और इसमें 40,000 से अधिक सक्रिय इंस्टॉलेशन हैं।
फरवरी 2020 में, प्लगइन ने एक भेद्यता का अनुभव किया जिसने हैकर्स को साइट की उपस्थिति को बदलने और संवेदनशील डेटा चोरी करने जैसे आगे के हमलों को चलाने के लिए वर्डप्रेस साइट में मैलवेयर इंजेक्ट करने की अनुमति दी।
5.1.6 तक के प्लगइन के सभी संस्करण असुरक्षित थे। डेवलपर्स ने तुरंत एक पैच जारी किया और तब से कई बार प्लगइन को अपडेट किया है।
यदि आप इस प्लग इन का उपयोग कर रहे हैं, तो हम पुरज़ोर अनुशंसा करते हैं कि जितनी जल्दी हो सके नवीनतम संस्करण में अपडेट करें।
8. Google मानचित्र के लिए 10वेब मानचित्र निर्माता
गूगल मैप्स प्लगइन के लिए 10वेब मैप बिल्डर वर्डप्रेस उपयोगकर्ताओं को अपनी वर्डप्रेस वेबसाइटों में मानचित्र जोड़ने का एक आसान तरीका प्रदान करता है। यह शक्तिशाली सुविधाएँ और अनुकूलन प्रदान करता है जो इसे 20,000 से अधिक सक्रिय स्थापनाओं के साथ काफी लोकप्रिय बनाता है।
हाल ही में, प्लगइन की सेटअप प्रक्रिया में एक भेद्यता दिखाई दी। इसने हैकर्स को एक वर्डप्रेस साइट में दुर्भावनापूर्ण स्क्रिप्ट डालने की अनुमति दी। वे स्क्रिप्ट का उपयोग व्यवस्थापकों के साथ-साथ साइट विज़िटर पर हमला करने के लिए कर सकते हैं।
डेवलपर्स ने फरवरी में एक अद्यतन संस्करण 1.0.64 जारी किया। यदि आपने अपनी साइट पर यह प्लग इन स्थापित किया है, तो एक बार जब आप नवीनतम संस्करण में अपडेट हो जाते हैं, तो इंजेक्शन भेद्यता पैच हो जाएगी।
यदि आपकी वेबसाइट किसी प्लग इन में भेद्यता के कारण हैक की गई थी, तो हम अनुशंसा करते हैं कि हैक की गई वर्डप्रेस साइट को कैसे साफ़ करें, इस पर हमारी मार्गदर्शिका पढ़ें।
यह हमें सबसे हाल ही में आक्रमण किए गए प्लगइन्स पर समाप्त करता है। यह सूची व्यापक नहीं है। एक दशक से अधिक समय तक वर्डप्रेस के साथ काम करने के हमारे अनुभव में, प्लगइन्स समय-समय पर वर्डप्रेस सुरक्षा कमजोरियों को विकसित करते हैं। कमजोर प्लगइन्स के कारण आपकी साइट पर होने वाले हमलों को कम करने का सबसे अच्छा तरीका है कि जैसे ही कोई नया संस्करण उपलब्ध हो, उन्हें अपडेट कर दें! अपने वर्डप्रेस कोर इंस्टॉलेशन और वर्डप्रेस थीम को भी अपडेट करना याद रखें।
कमजोर प्लगइन्स के कारण आपकी साइट पर होने वाले हमलों को कम करने का सबसे अच्छा तरीका है कि जैसे ही कोई नया संस्करण उपलब्ध हो, उन्हें अपडेट कर दें! ट्वीट करने के लिए क्लिक करेंअगर आपको यह लेख पसंद आया है, तो आप अपनी वर्डप्रेस साइट पर कमजोरियों के बारे में अधिक पढ़ना चाहेंगे। हम वेबसाइट सुरक्षा जोखिमों के बारे में अधिक चर्चा करते हैं जैसे क्रॉस-साइट स्क्रिप्टिंग, SQL इंजेक्शन, विशेषाधिकार वृद्धि दोष, अनुरोध जालसाजी, मनमानी फ़ाइल अपलोड, इसे देखना, और बहुत कुछ।
अंतिम विचार
कई वर्डप्रेस प्लगइन्स में भेद्यताएं सामने आती हैं लेकिन अधिकांश डेवलपर्स भी तेजी से कार्य करते हैं और उन्हें तुरंत ठीक करते हैं। वहां से, आपके प्लगइन को नवीनतम संस्करण में तुरंत अपडेट करने की जिम्मेदारी, साइट स्वामी की है।
इस प्रकार, आपकी साइट को नियमित रूप से अपडेट करने से हैकर्स बाहर रहेंगे और यह सुनिश्चित होगा कि आपकी साइट सुरक्षित है। लेकिन हम समझते हैं कि अपडेट को ट्रैक करना हमेशा आसान नहीं होता है और इसे प्रबंधित करना मुश्किल हो सकता है। हम आपकी वर्डप्रेस साइट को सुरक्षित रूप से अपडेट करने के तरीके पर हमारी मार्गदर्शिका पढ़ने की दृढ़ता से अनुशंसा करते हैं।
MalCare में, हम उन कठिनाइयों को समझते हैं जिनका आपको अपडेट के साथ सामना करना पड़ सकता है, खासकर यदि आप एक से अधिक वर्डप्रेस साइट चलाते हैं। इसलिए, चीजों को आसान बनाने के लिए, हमारा प्लगइन MalCare आपको सभी अपडेट को एक साथ प्रबंधित करने के लिए एक केंद्रीकृत डैशबोर्ड तक पहुंच प्रदान करता है। साथ ही, वर्डप्रेस सुरक्षा प्लगइन आपकी साइट को हैक के प्रयासों से बचाएगा।
हमारा प्रयास करें मैलकेयर सुरक्षा प्लगइन अभी!