एक और प्लगइन ने कमजोर वर्डप्रेस प्लगइन्स की लगातार बढ़ती सूची में प्रवेश किया है। वर्डप्रेस फ्री प्लगइन एफवी फ्लोप्लेयर वीडियो प्लेयर जिसका इस्तेमाल एफएलवी या एमपी4 वीडियो को पोस्ट या पेज में एम्बेड करने के लिए किया जा रहा है, एक्सएसएस, एसक्यूएल इंजेक्शन और सीएसवी एक्सपोर्ट के लिए असुरक्षित पाया गया है। वर्तमान में 40,000+ वेबसाइटों पर स्थापित, कमजोरियों की सूचना के बाद इसे केवल 4 दिन पहले अपडेट किया गया है। 7.3.14.727 से पहले के संस्करण उल्लिखित हमलों की चपेट में हैं।
FV फ़्लोप्लेयर वीडियो प्लेयर SQLi भेद्यता
FV Flowplayer में यह बल्कि महत्वपूर्ण SQLi भेद्यता एक अनधिकृत हमलावर को दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने देती है।
यहां कमजोर कार्य `wp_ajax_nopriv_fv_wp_flowplayer_email_signup . है `अजाक्स हुक। 'email 'उपरोक्त स्क्रिप्ट में ईमेल फ़ील्ड में किसी भी इनपुट को स्वीकार करता है और डेटा संवेदनशील ईमेल डेटाबेस में प्रेषित हो जाता है।
वर्डप्रेस में SQLi भेद्यता के मामले में, निम्नलिखित संकेत आपकी मदद कर सकते हैं यदि आपकी वेबसाइट से समझौता किया जा रहा है या नहीं। यहाँ सूची है:
- नए व्यवस्थापक उपयोगकर्ता जोड़े गए
- व्यवस्थापक उपयोगकर्ता पासवर्ड काम नहीं कर रहा है
- हैकर ने डेटाबेस के स्क्रीनशॉट के साथ ईमेल किया है
- Authorize.net टोकन लीक हो गए हैं
- विकृत वेबसाइट
FV फ़्लोप्लेयर वीडियो प्लेयर XSS भेद्यता
उपरोक्त दुर्भावनापूर्ण कोड, बदले में, व्यवस्थापक के वेब ब्राउज़र में निष्पादित हो जाते हैं।
जैसा कि पहले चर्चा की गई थी कि दुर्भावनापूर्ण इनपुट ईमेल निर्यात स्क्रीन पर बिना सैनिटाइज किए ही पहुंच जाता है। इसके परिणाम विनाशकारी हो सकते हैं क्योंकि इसके परिणामस्वरूप लगातार क्रॉस-साइट स्क्रिप्टिंग हमले हो सकते हैं।
यह कुछ भी सहेजता है जो उपयोगकर्ता `ईमेल` पोस्ट पैरामीटर में प्रदान करता है।
XSS भेद्यता काफी गंभीर है क्योंकि इसका शोषण होने पर आपकी वर्डप्रेस वेबसाइट को गंभीर नुकसान हो सकता है। नीचे सूचीबद्ध केवल कुछ संभावित कारनामे हैं जो XSS भेद्यता से उभर सकते हैं। या आप इसे समझौता होने के लक्षण के रूप में भी मान सकते हैं:
- किसी अन्य साइट पर रीडायरेक्ट करना
- दुर्भावनापूर्ण पॉप-अप
- WooCommerce क्रेडिट कार्ड हैक
- वेबसाइट पर दुर्भावनापूर्ण Google विज्ञापन
- वेबसाइट के उपयोगकर्ता नाम/पासवर्ड से छेड़छाड़ की गई है
FV फ़्लोप्लेयर वीडियो प्लेयर CSV निर्यात भेद्यता
एक अन्य भेद्यता जिसे FV प्लेयर में उजागर किया गया है वह है CSV निर्यात भेद्यता . यह भेद्यता किसी भी अतिथि उपयोगकर्ता को ग्राहक की सूची डाउनलोड करने देती है, जो वास्तव में गोपनीयता का उल्लंघन है। और विशेष रूप से खतरनाक भी, इस डेटा का उपयोग आपकी वर्डप्रेस वेबसाइट का फायदा उठाने के लिए विभिन्न हानिकारक तरीकों से किया जा सकता है।
सुरक्षा के लिए समाधान
कमजोरियों, अगर अनुपचारित छोड़ दिया जाता है, तो एक क्रूर साइबर हमला हो सकता है। और आप हमारी वेबसाइटों के लिए ऐसा नहीं चाहते हैं। तो, इन अत्यधिक अप्रत्याशित समयों में आपके पास सबसे अच्छा दांव प्लगइन को अपडेट करना है। इसके अलावा,
नवीनतम संस्करणों में अपडेट करें
FV फ़्लोप्लेयर वीडियो प्लेयर ने अपने नवीनतम संस्करण 7.3.15.727 के रूप में पैच किए गए संस्करणों को बाहर कर दिया है। अपने प्लगइन को इस संस्करण में अपडेट करने से जोखिम बहुत कम हो जाएगा।
एस्ट्रा वर्डप्रेस सुरक्षा सूट
वर्डप्रेस के लिए बनाई गई एस्ट्रा वेबसाइट सुरक्षा वेब एप्लिकेशन फ़ायरवॉल प्रदान करती है जो आपकी वेबसाइट को XSS, SQLi, CSV, खराब बॉट्स और 100+ अन्य कारनामों से बचाती है। फ़ायरवॉल के अलावा, एस्ट्रा का मैलवेयर स्कैनर किसी वेबसाइट को 10 मिनट से भी कम समय में स्कैन करने के लिए जाना जाता है और बाद के स्कैन के लिए 3 मिनट से भी कम समय लेता है।
अभी एस्ट्रा डेमो प्राप्त करें, या हमारे साथ चैट करें और हमें आपकी मदद करने में खुशी होगी।