जब वर्डप्रेस बैक-अप और स्टेजिंग की बात आती है तो WP Time Capsule काफी लोकप्रिय वर्डप्रेस प्लगइन है। इसने एक क्लिक के मामले का बैकअप लेने और मंचन करने की जटिल प्रक्रियाओं को बदल दिया है।
हालाँकि, वर्डप्रेस प्लगइन्स में सुरक्षा की नाजुक प्रकृति को देखते हुए, भेद्यता प्रकटीकरण काफी अप्रत्याशित नहीं है। निश्चित रूप से, WP Time Capsule प्लगइन कोई अपवाद नहीं है। वास्तव में, 8 जनवरी को, इस लोकप्रिय प्लगइन में एक गंभीर प्रमाणीकरण बाईपास भेद्यता की खोज की गई थी।
इस रहस्योद्घाटन ने प्लगइन के 20,000 से अधिक सक्रिय उपयोगकर्ताओं को जोखिम में डाल दिया है। भले ही प्लगइन विकास टीम ने भेद्यता को ठीक किया और उसी दिन पैच संस्करण 1.21.16 जारी किया, पुराने संस्करणों पर किसी को भी खतरे का सामना करना पड़ता है।
यदि आप 1.21.16 से पहले किसी भी संस्करण पर हैं, तो जल्दी से अपडेट करें।
अभी तक किसी तरह के शोषण की कोई खबर नहीं है। लेकिन, यदि आप असुरक्षित संस्करण पर बने रहते हैं, तो बहुत सी चीजें गलत हो सकती हैं।
इस ब्लॉग पोस्ट के साथ, हम आपको वर्डप्रेस में ऑथेंटिकेशन बायपास की मूल बातें बताएंगे और सवालों के जवाब देंगे जैसे – ऑथेंटिकेशन बायपास क्या है और यह आपकी वेबसाइट को कैसे प्रभावित करता है। हम आपको उन सुरक्षा सुधारों के बारे में भी बताएंगे जिन्हें आप खतरे की जांच के लिए लागू कर सकते हैं।
यहां हम शुरू करते हैं।
वर्डप्रेस में ऑथेंटिकेशन बायपास क्या है?
किसी साइट या उस मामले के लिए किसी अन्य सॉफ़्टवेयर में आंतरिक जानकारी तक पहुंच प्राप्त करने के लिए लॉगिन पृष्ठ भरना शायद पहला कदम है। जब कोई आपकी साइट, व्यवस्थापक पैनल, उपयोगकर्ता खाते आदि तक बिना उचित प्रमाणीकरण के पहुँच प्राप्त करता है, तो इसे "प्रमाणीकरण बाईपास" के रूप में जाना जाता है।
OWASP प्रमाणीकरण बाईपास को निम्नानुसार परिभाषित करता है,
यह आपकी वेबसाइट को कैसे प्रभावित करता है?
बेशक, किसी को भी आपकी वेबसाइट की आंतरिक सामग्री तक अवैध पहुंच प्राप्त करना बुरा है। हालांकि, प्रमाणीकरण बाईपास के परिणाम बहुत प्रतिकूल हो सकते हैं। मैं कुछ ज्ञात परिणामों को निम्नलिखित खंड में सूचीबद्ध कर रहा हूँ:
- व्यवस्थापक पहुंच वाला एक हमलावर आपकी वेबसाइट की सेटिंग में हेरफेर कर सकता है
- हमलावर साइट की सामग्री का फायदा उठा सकता है या गोपनीय जानकारी का दुरुपयोग कर सकता है
- हैकर्स आपकी वेबसाइट पर एक वेब शेल अपलोड कर सकते हैं
अन्य तकनीकी परिणाम हैं, जो इस ब्लॉग पोस्ट के दायरे से बाहर हैं।
आपको क्या करना चाहिए?
अपडेट करें।
जैसा कि हमने पहले ही उल्लेख किया है, WP Time Capsule विकास टीम ने अद्यतन संस्करण 1.21.16.
इस संस्करण में अपडेट करना सबसे विवेकपूर्ण और तार्किक कदम है जो आप उठा सकते हैं।
अद्यतन करने के अलावा, निम्नलिखित निवारक उपायों को लागू करने से आपको अपनी वर्डप्रेस साइट को और सुरक्षित रखने में मदद मिलेगी:
- क्लाइंट-साइड वेब ब्राउज़र स्क्रिप्ट में अपने प्रमाणीकरण स्कीमा को उजागर न करें
- सर्वर-साइड पर सभी उपयोगकर्ता इनपुट मान्य करें
- अपने ब्राउज़र और सर्वर के बीच एक एन्क्रिप्टेड डेटा ट्रांसफर मैकेनिज्म सेट करें।
- समय-समय पर पुन:प्रमाणीकरण और सत्र का समय समाप्त करने की सुविधा के लिए एक प्लगइन स्थापित करें।
- एक एन्क्रिप्टेड चैनल पर सभी कुकीज़ और सत्र डेटा भेजें।
आखिरकार...
जान लें कि आपकी वेबसाइट पर एक कमजोर प्लगइन का उपयोग हैक होने का सबसे आम कारण है। हम WP Time Capsule के सभी उपयोगकर्ताओं को जल्द से जल्द सुरक्षित संस्करण में जाने के लिए कहते हैं।
इसके अतिरिक्त, एक समर्पित सुरक्षा समाधान के साथ अपनी वेबसाइट को सुरक्षित रखना हमेशा एक अनुशंसा होती है।
अगर आपके पास पूछने के लिए कोई सवाल है तो नीचे कमेंट करें और हमारी टीम का कोई व्यक्ति संपर्क करेगा।