WPvivid ডিরেক্টরি ট্রাভার্সাল ঝুঁকি সমাধান করা//প্রকাশিত হয়েছে 2026-06-08//CVE-2025-12656

WP-ফায়ারওয়াল সিকিউরিটি টিম

WPvivid Backup and Migration Vulnerability

প্লাগইনের নাম WPvivid ব্যাকআপ এবং মাইগ্রেশন প্লাগইন
দুর্বলতার ধরণ ডিরেক্টরি ট্রাভার্সাল
সিভিই নম্বর CVE-2025-12656
জরুরি অবস্থা কম
সিভিই প্রকাশের তারিখ 2026-06-08
উৎস URL CVE-2025-12656

WPvivid ব্যাকআপ ও মাইগ্রেশন (<= 0.9.128) — ডিরেক্টরি ট্রাভার্সাল / অযাচিত ডিরেক্টরি মুছে ফেলা (CVE-2025-12656): এখন কি করতে হবে ওয়ার্ডপ্রেস সাইট মালিকদের

লেখক: WP-ফায়ারওয়াল সিকিউরিটি টিম
তারিখ: 2026-06-06
ট্যাগ: ওয়ার্ডপ্রেস নিরাপত্তা, WAF, প্লাগইন দুর্বলতা, WPvivid, CVE-2025-12656

টিএল; ডিআর — সম্প্রতি প্রকাশিত একটি দুর্বলতা (CVE-2025-12656) WPvivid ব্যাকআপ ও মাইগ্রেশন প্লাগইন সংস্করণ 0.9.128 পর্যন্ত প্রভাবিত করে। প্লাগইনে একটি প্রমাণীকৃত প্রশাসক-স্তরের ক্রিয়া ফাইল পাথের অপ্রতুল যাচাইকরণের অনুমতি দেয়, যা ডিরেক্টরি ট্রাভার্সাল এবং সম্ভাব্য ডিরেক্টরি মুছে ফেলার সক্ষমতা প্রদান করে। এর একটি নিম্ন CVSS বেস স্কোর (3.8) রয়েছে কিন্তু এটি এখনও বিপজ্জনক কারণ এটি একটি প্রশাসক অ্যাকাউন্টের প্রয়োজন। তাত্ক্ষণিক পদক্ষেপ: প্লাগইনটি 0.9.129 (অথবা পরবর্তী) এ আপডেট করুন, ব্যাকআপ যাচাই করুন, প্রশাসক অ্যাকাউন্ট এবং কার্যকলাপ লগ পর্যালোচনা করুন, এবং যদি আপনি তাত্ক্ষণিকভাবে আপডেট করতে না পারেন তবে স্বল্পমেয়াদী WAF ভার্চুয়াল প্যাচ প্রয়োগ করুন। নিচে আমরা প্রযুক্তিগত বিস্তারিত, প্রভাবের দৃশ্যপট, সনাক্তকরণ এবং শক্তিশালীকরণ কৌশল, এবং WP‑Firewall-এর নিরাপত্তা দলের একটি সুপারিশকৃত ঘটনা-প্রতিক্রিয়া চেকলিস্ট ব্যাখ্যা করছি।.

আমরা এটি কেন লিখেছি

WP‑Firewall (একটি পরিচালিত ওয়ার্ডপ্রেস ফায়ারওয়াল এবং নিরাপত্তা প্রদানকারী) এর পেছনের দলের সদস্য হিসেবে, আমরা জনসাধারণের পরামর্শগুলি পর্যবেক্ষণ করি এবং দুর্বলতাগুলি বিশ্লেষণ করি যাতে সাইট মালিকরা বাস্তব-জগতের ঝুঁকি কমানোর জন্য পদক্ষেপগুলিকে অগ্রাধিকার দিতে পারে। এই পরামর্শটি ব্যাখ্যা করে যে সমস্যা কী, এটি আপনার জন্য কেন গুরুত্বপূর্ণ, এবং কীভাবে দ্রুত এক্সপোজার মেরামত এবং হ্রাস করতে হয় — সাধারণ ভাষায় এবং নিরাপত্তা-সচেতন সাইট মালিক, ডেভেলপার এবং হোস্টদের জন্য প্রযুক্তিগত নির্দেশনার সাথে।.

দুর্বলতার দ্রুত সারসংক্ষেপ

  • প্রভাবিত সফ্টওয়্যার: WPvivid ব্যাকআপ ও মাইগ্রেশন প্লাগইন (ওয়ার্ডপ্রেস)
  • ঝুঁকিপূর্ণ সংস্করণ: সমস্ত সংস্করণ <= 0.9.128
  • প্যাচ করা হয়েছে: 0.9.129
  • সিভিই: CVE-2025-12656
  • CVSS (বেস): 3.8 (নিম্ন)
  • শ্রেণীবিভাগ: অযাচিত ডিরেক্টরি মুছে ফেলার সক্ষমতা সহ ডিরেক্টরি ট্রাভার্সাল
  • প্রয়োজনীয় সুযোগ-সুবিধা: প্রশাসক (প্রমাণিত)
  • প্রাথমিক ঝুঁকি: একটি প্রমাণীকৃত প্রশাসক প্লাগইন কার্যকারিতা ব্যবহার করে তৈরি করা ফাইল পাথ সরবরাহ করতে পারে যা উদ্দেশ্যপ্রণোদিত প্লাগইন ডিরেক্টরির বাইরে চলে যায় — সম্ভবত এমন ডিরেক্টরি মুছে ফেলতে পারে যা তারা মুছে ফেলতে সক্ষম হওয়া উচিত নয়।.

যদিও দুর্বলতার জন্য প্রশাসক অ্যাক্সেস প্রয়োজন (এটি লক্ষ্যগুলির বিরুদ্ধে ব্যাপক দূরবর্তী শোষণের ঝুঁকি কমায় যা সর্বনিম্ন অধিকার প্রয়োগ করে), এটি এখনও লক্ষ্যবস্তু আক্রমণে ব্যবহার করা যেতে পারে — অথবা ক্ষতিকারক অভ্যন্তরীণদের দ্বারা, আপসকৃত প্রশাসক অ্যাকাউন্ট, খারাপভাবে কনফিগার করা বহু-লেখক সাইট, বা প্রশাসক অ্যাক্সেস সহ তৃতীয় পক্ষের দলের দ্বারা।.

কি ঘটেছিল (প্রযুক্তিগত পর্যালোচনা)

প্লাগইনটি ফাইল/ডিরেক্টরি পাথ ইনপুট হিসাবে গ্রহণ করে এমন কার্যকারিতা প্রকাশ করে (যেমন, ক্যাশে বা অস্থায়ী ফোল্ডার মুছে ফেলা, বা ব্যাকআপ ফোল্ডার অপসারণ করা)। প্রভাবিত সংস্করণগুলিতে প্লাগইনটি ফাইল সিস্টেম অপারেশনগুলি সম্পাদন করার আগে সরবরাহিত পাথটি সঠিকভাবে স্যানিটাইজ বা ক্যানোনিকালাইজ করতে ব্যর্থ হয়। একটি প্রশাসক যদি ডিরেক্টরি ট্রাভার্সাল টোকেন (../, ..\\ উইন্ডোজে, অথবা এনকোড করা সমতুল্য যেমন %2e%2e বা %2e/%2e) ধারণকারী পাথ স্ট্রিং সরবরাহ করে তবে এটি প্লাগইনটিকে উদ্দেশ্যপ্রণোদিত স্যান্ডবক্সের বাইরে ডিরেক্টরিগুলিতে কাজ করতে বাধ্য করতে পারে — ওয়ার্ডপ্রেস ইনস্টলেশনের মধ্যে পিতামাতার ডিরেক্টরিগুলি সহ।.

একটি সফল শোষণ ঘটলে:

  • প্লাগইনের নিজস্ব ফোল্ডারের বাইরে ডিরেক্টরি মুছে ফেলতে পারে (যেমন, wp-কন্টেন্ট/আপলোড অথবা এমনকি প্লাগইন/থিম ফোল্ডার) PHP প্রক্রিয়ার অনুমতির উপর নির্ভর করে।.
  • সম্পদ, প্লাগইন/থিম কোড, বা ব্যবহারকারীর আপলোড মুছে ফেলে সাইটের কার্যকারিতা ভেঙে দিন।.
  • এটি অন্যান্য দুর্বলতার সাথে মিলিত হতে পারে যাতে আপস গভীর হয় (যেমন, যদি একজন আক্রমণকারী ফাইল লিখতে পারে তবে তারা ওয়েব শেল স্থাপন করতে পারে)।.

গুরুত্বপূর্ণ বিষয়:

  • এটি একটি প্রমাণীকৃত প্রশাসনিক স্তরের দুর্বলতা — একজন আক্রমণকারীকে ইতিমধ্যে প্রশাসক শংসাপত্র থাকতে হবে অথবা প্রশাসক অ্যাকাউন্টটি আপসিত হতে হবে।.
  • প্লাগইন লেখক পরবর্তী সংস্করণে (0.9.129) সমস্যাটি সমাধান করেছেন; আপডেট করা প্রধান প্রতিকার।.

বাস্তব-বিশ্বের প্রভাবের দৃশ্যপট

  1. ক্ষতিকারক অভ্যন্তরীণ বা আপসিত প্রশাসক: একজন কর্মচারী বা ঠিকাদার যিনি প্রশাসক অধিকার সহ ইচ্ছাকৃতভাবে বা দুর্ঘটনাক্রমে একটি তৈরি করা পথের সাথে দুর্বল ক্রিয়াটি চালান যা গুরুত্বপূর্ণ ডিরেক্টরি (প্লাগইন/থিম ফোল্ডার, আপলোড) মুছে ফেলে। সাইটটি ভেঙে যায়, ডেটা এবং কাস্টমাইজেশন হারিয়ে যায়।.
  2. অ্যাকাউন্ট দখল: যদি একজন আক্রমণকারী প্রশাসক অ্যাকাউন্ট ফিশিং বা ব্রুট-ফোর্স করে, তবে তারা সাইটের সামগ্রী মুছে ফেলার জন্য এই দুর্বলতা ব্যবহার করতে পারে, নির্দিষ্ট ফোল্ডারে সংরক্ষিত ব্যাকআপ মুছে ফেলতে পারে, বা নিরাপত্তা প্লাগইনগুলি সরিয়ে ফেলতে পারে, যা প্রতিকার এবং পুনরুদ্ধারকে উল্লেখযোগ্যভাবে কঠিন করে তোলে।.
  3. চেইনড শোষণ: যদিও এই দুর্বলতা একা প্রশাসকের বাইরে অনুমতি বাড়ায় না, একটি দূরবর্তী বা স্থানীয় আক্রমণকারী এটি অন্যান্য প্লাগইন দুর্বলতা বা সার্ভার কনফিগারেশনের সাথে মিলিত করে ক্ষতি বাড়াতে পারে (যেমন, ব্যাকআপ মুছে ফেলা বা লগ এবং অনুপ্রবেশের প্রমাণ ধারণকারী ডিরেক্টরি)। wp-config.php ব্যাকআপ বা লগ এবং অনুপ্রবেশের প্রমাণ ধারণকারী ডিরেক্টরি মুছে ফেলা।.
  4. মাল্টি-সাইট ব্যবস্থাপনার ঝুঁকি: সংস্থাগুলি এবং হোস্টগুলি যারা শেয়ার করা প্রশাসক অ্যাকাউন্ট বা শেয়ার করা নিয়ন্ত্রণ প্যানেলের মাধ্যমে একাধিক সাইট পরিচালনা করে তারা বিশেষভাবে ঝুঁকির মধ্যে রয়েছে কারণ একটি আপসিত প্রশাসক অ্যাকাউন্ট একাধিক সাইটকে প্রভাবিত করতে পারে।.

এটি কি আমার সাইটের জন্য গুরুত্বপূর্ণ?

সংক্ষিপ্ত উত্তর: এটি নির্ভর করে।.

  • যদি আপনি অবিশ্বাস্য ব্যবহারকারীদের প্রশাসক অ্যাক্সেস দেন — হ্যাঁ, এটি মেরামতের জন্য উচ্চ অগ্রাধিকার।.
  • যদি আপনি প্রশাসক অ্যাকাউন্টগুলির উপর কঠোর নিয়ন্ত্রণ রাখেন এবং অ্যাক্সেস পর্যবেক্ষণ করেন, তবে ঝুঁকি কম কিন্তু এখনও বাস্তব কারণ অ্যাকাউন্ট আপসিত হওয়া সাধারণ।.
  • যদি আপনার সাইট ব্যাকআপ বা গুরুত্বপূর্ণ সামগ্রী সঞ্চয় করে এমন স্থানে থাকে যেখানে প্লাগইন পৌঁছাতে পারে, তবে একজন আক্রমণকারী আপনার নির্ভরশীল ডেটা মুছে ফেলতে পারে।.

আপেক্ষিকভাবে নিম্ন CVSS কিন্তু বাস্তব ধ্বংসাত্মক সম্ভাবনার কথা বিবেচনা করে, আমরা সুপারিশ করছি যে এটি একাধিক প্রশাসক ব্যবহারকারী, তৃতীয় পক্ষের ঠিকাদার বা যেখানে ডাউনটাইম/ডেটা ক্ষতি অগ্রহণযোগ্য সাইটগুলির জন্য একটি উচ্চ-অগ্রাধিকার প্যাচ হিসাবে বিবেচনা করা হোক।.

তাত্ক্ষণিক পদক্ষেপ (ক্রিয়াকলাপ চেকলিস্ট)

যদি আপনি ওয়ার্ডপ্রেস সাইট পরিচালনা করেন, তবে অবিলম্বে এই পদক্ষেপগুলি অনুসরণ করুন:

  1. প্লাগইনটি আপডেট করুন
    • WPvivid ব্যাকআপ এবং মাইগ্রেশন 0.9.129 বা তার পরের সংস্করণে আপডেট করুন। এটি প্রধান এবং চূড়ান্ত সমাধান।.
  2. যদি আপনি তাত্ক্ষণিকভাবে আপডেট করতে না পারেন
    • আপডেট করার সময় পর্যন্ত প্লাগিনটি অস্থায়ীভাবে নিষ্ক্রিয় করুন।.
    • একটি স্বল্পমেয়াদী WAF নিয়ম প্রয়োগ করুন (নীচে “স্বল্পমেয়াদী উপশম / ভার্চুয়াল প্যাচিং” দেখুন)।.
  3. প্রশাসক অ্যাকাউন্টগুলি পরীক্ষা করুন
    • প্রশাসক ব্যবহারকারীদের নিরীক্ষণ করুন। অপ্রয়োজনীয় বা পুরনো অ্যাকাউন্টগুলি মুছে ফেলুন, পাসওয়ার্ড পুনরায় সেট করতে বলুন, এবং শক্তিশালী অনন্য পাসওয়ার্ড সক্ষম করুন।.
    • যদি আর প্রয়োজন না হয় তবে তৃতীয় পক্ষের ঠিকাদারদের জন্য প্রবেশাধিকার বাতিল করুন।.
  4. ব্যাকআপ এবং ব্যাকআপের অখণ্ডতা যাচাই করুন
    • নিশ্চিত করুন যে আপনার কাছে পরিষ্কার ব্যাকআপগুলি অফ-সাইটে সংরক্ষিত আছে (যা আক্রমণকারী মুছে ফেলতে পারে এমন প্লাগইন ফোল্ডারে নয়)।.
    • পরিবর্তন করার আগে বর্তমান ব্যাকআপগুলির একটি কপি সংরক্ষণ করুন; অন্তত একটি অফ-সার্ভার কপি রাখুন।.
  5. লগ এবং ফাইল সিস্টেম পরিদর্শন করুন
    • প্রশাসনিক কার্যক্রমের চারপাশে সন্দেহজনক কার্যকলাপের জন্য অ্যাক্সেস লগ, প্লাগইন লগ এবং সার্ভার লগ পর্যালোচনা করুন।.
    • লগগুলিতে অপ্রত্যাশিত ডিরেক্টরি মুছে ফেলা, ত্রুটি, বা প্লাগইন কলের জন্য দেখুন।.
  6. আপসের চিহ্নগুলির জন্য স্ক্যান করুন
    • নিশ্চিত করতে একটি ম্যালওয়্যার/স্ক্যান টুল চালান যে সাইটে কোনও ওয়েব শেল বা অন্যান্য আর্টিফ্যাক্ট নেই।.
  7. গোপনীয়তা ঘোরান
    • প্রশাসক পাসওয়ার্ড, API কী, FTP/SFTP শংসাপত্র এবং যে কোনও অন্যান্য শংসাপত্র পরিবর্তন করুন যা সম্ভবত প্রকাশিত হয়েছে।.
  8. প্রশাসক অ্যাক্সেস শক্তিশালী করুন
    • প্রশাসনিক অ্যাকাউন্টের জন্য দুই-ফ্যাক্টর প্রমাণীকরণ সক্ষম করুন।.
    • সম্ভব হলে IP দ্বারা প্রশাসক অ্যাক্সেস সীমিত করুন, অথবা শক্তিশালী ভূমিকা বিভাজন ব্যবহার করুন।.
  9. স্টেকহোল্ডারদের অবহিত করুন
    • সাইটের মালিক এবং হোস্টিং প্রদানকারীদের প্লাগইনের স্থিতি এবং কোনও সন্দেহজনক আবিষ্কার সম্পর্কে জানান।.

একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) সহ স্বল্পমেয়াদী উপশম / ভার্চুয়াল প্যাচিং

যদি আপনি তাত্ক্ষণিকভাবে আপডেট করতে অক্ষম হন — উদাহরণস্বরূপ, পরীক্ষার প্রয়োজনীয়তা বা স্টেজিং প্রক্রিয়ার কারণে — একটি WAF শোষণ প্রচেষ্টাগুলি ব্লক করতে ভার্চুয়াল প্যাচিং প্রদান করতে পারে। যেহেতু দুর্বলতা ডিরেক্টরি ট্রাভার্সাল সিকোয়েন্স এবং মুছে ফেলার ক্রিয়াকলাপ জড়িত, কার্যকর WAF নিয়মগুলি ক্ষতিকারক পাথ টোকেনগুলি ব্লক করা এবং মুছে ফেলার কার্য সম্পাদনকারী নির্দিষ্ট প্রশাসক এন্ডপয়েন্ট প্যাটার্নগুলি ব্লক করার উপর ফোকাস করে।.

অনুরোধের শরীর/URI/প্যারামিটারে ট্রাভার্সাল টোকেনগুলি ব্লক করার জন্য উদাহরণ মডসিকিউরিটি (সাধারণ) নিয়ম:

SecRule ARGS|ARGS_NAMES|REQUEST_URI "(?i)(\.\./|\%2e\%2e|\.\.\\|\%2e\%2e\\)" "id:1009001,phase:2,deny,status:403,log,msg:'Blocked potential directory traversal attempt - CVE-2025-12656'"

নোট:

  • এই নিয়মটি অনুরোধগুলি ব্লক করে যা ../ বা এনকোড করা সমতুল্যগুলি যুক্তি বা URI-তে যেকোনো স্থানে রয়েছে। সাবধানতার সাথে ব্যবহার করুন: কিছু বৈধ ফাইল ম্যানেজার বা আপলোড এনকোড করা অক্ষর ব্যবহার করতে পারে।.
  • আপনি নিয়ন্ত্রণ করেন এমন বিশ্বস্ত স্বয়ংক্রিয়তার জন্য ব্যতিক্রমের তালিকা যোগ করুন।.

মুছে ফেলার জন্য নির্দিষ্ট প্রশাসনিক ক্রিয়াকলাপগুলি ব্লক করুন (REST বা admin-ajax এন্ডপয়েন্ট):

  • প্লাগইনের প্রশাসনিক এন্ডপয়েন্টগুলি চিহ্নিত করুন (যেমন, অনুরোধগুলি অ্যাডমিন-ajax.php মুছে ফেলার জন্য ট্রিগার করা অ্যাকশন প্যারামিটার সহ, বা নির্দিষ্ট REST পাথ)। WAF নিয়ম তৈরি করুন যা একটি ট্রাভার্সাল টোকেন উপস্থিত হলে ক্রিয়াটি ব্লক করে বা অ-বিশ্বস্ত IP-এর জন্য সম্পূর্ণরূপে এন্ডপয়েন্ট ব্লক করে।.

লক্ষ্যযুক্ত নিয়মের উদাহরণ (ছদ্ম):

SecRule REQUEST_URI|ARGS "@rx action=wpvivid_delete" "id:1009002,phase:2,chain,deny,log,msg:'Block WPvivid deletion action when traversal present'"
    SecRule ARGS|REQUEST_URI "@rx (\.\./|\%2e\%2e)"

বিকল্পভাবে, nginx-এ আপনি এনকোড করা ট্রাভার্সাল ধারণকারী অনুরোধগুলির জন্য 403 ফেরত দিতে পারেন:

if ($request_uri ~* "(?:\.\./|\%2e\%2e)") {
    return 403;
}

গুরুত্বপূর্ণ সতর্কতা:

  • WAF নিয়মগুলি কার্যকর স্টপগ্যাপ কিন্তু প্যাচিংয়ের বিকল্প নয়। এগুলি টিউনিংয়ের প্রয়োজন হতে পারে এবং মিথ্যা ইতিবাচক ফলাফল তৈরি করতে পারে।.
  • প্রথমে স্টেজিংয়ে নিয়মগুলি পরীক্ষা করুন।.
  • একটি WAF যাচাই করতে পারে না যে প্রশাসনিক অনুরোধটি WordPress অ্যাপ্লিকেশনের ভিতরে বৈধভাবে অনুমোদিত ছিল; এটি কেবল সন্দেহজনক ইনপুট প্যাটার্নগুলি ফিল্টার করে।.

WP‑Firewall-এ আমরা এই ধরনের দুর্বলতার জন্য প্রস্তুত তৈরি ভার্চুয়াল প্যাচ সরবরাহ করি যা ট্রাভার্সাল টোকেন এবং প্লাগইনের নির্দিষ্ট মুছে ফেলার এন্ডপয়েন্টগুলি ব্লক করে যতক্ষণ না প্লাগইন আপডেট প্রয়োগ করা হয়।.

শক্তিশালীকরণ সুপারিশ (দীর্ঘমেয়াদী)

  1. ন্যূনতম সুযোগ-সুবিধার নীতি
    • প্রশাসক শংসাপত্র শেয়ার করা এড়িয়ে চলুন। ন্যূনতম প্রয়োজনীয় ক্ষমতা সহ পৃথক, উদ্দেশ্য-নির্দিষ্ট অ্যাকাউন্ট ব্যবহার করুন।.
  2. প্রমাণীকরণ রক্ষা করুন
    • প্রতিটি প্রশাসনিক স্তরের অ্যাকাউন্টের জন্য শক্তিশালী পাসওয়ার্ড এবং মাল্টি-ফ্যাক্টর প্রমাণীকরণ (MFA) প্রয়োগ করুন।.
  3. প্লাগইনের অধিকার এবং ব্যবহার সীমিত করুন
    • শুধুমাত্র সেই প্লাগইনগুলি ইনস্টল করুন যা আপনার প্রয়োজন। যদি একটি প্লাগইন ব্যাকআপ বৈশিষ্ট্য সরবরাহ করে, তবে বিবেচনা করুন যে ব্যাকআপগুলি আপনার ওয়েবরুটের ভিতরে না থেকে অফ-সাইটে (ক্লাউড স্টোরেজ, বাইরের ব্যাকআপ পরিষেবা) সংরক্ষিত হয় কিনা।.
  4. ফাইল সিস্টেমের অনুমতি
    • নিশ্চিত করুন যে ওয়েব সার্ভারটি ন্যূনতম ফাইল সিস্টেমের অধিকার সহ চলে। সংবেদনশীল ডিরেক্টরিগুলিতে WordPress/PHP প্রক্রিয়াকে লেখার অ্যাক্সেস দেওয়া এড়িয়ে চলুন যেমন wp-config.php বা অন্যান্য প্লাগইন ডিরেক্টরিগুলি প্রয়োজন না হলে।.
  5. অখণ্ডতা পর্যবেক্ষণ করুন
    • অনুমোদিত মুছে ফেলা বা পরিবর্তন সনাক্ত করতে ফাইল অখণ্ডতা পর্যবেক্ষণ (FIM) ব্যবহার করুন।.
  6. লগিং এবং সতর্কতা
    • লগগুলি কেন্দ্রীভূত করুন (ওয়েব সার্ভার, PHP, প্লাগইন লগ) এবং অস্বাভাবিক প্রশাসক কার্যকলাপের জন্য সতর্কতা সেট করুন (যেমন, হঠাৎ মুছে ফেলার কার্যক্রম, নতুন IP থেকে পুনরাবৃত্ত প্রশাসক লগইন)।.
  7. স্টেজিং এবং পরীক্ষণ
    • উৎপাদন সিস্টেমে প্রয়োগ করার আগে একটি স্টেজিং পরিবেশে প্লাগইন আপডেট পরীক্ষা করুন। যেখানে সম্ভব স্বয়ংক্রিয় আপডেট পরীক্ষার ব্যবস্থা রাখুন।.
  8. ব্যাকআপ কৌশল
    • ব্যাকআপের একাধিক কপি রাখুন - অন্তত একটি অফ-সার্ভার এবং অমোচনীয় ব্যাকআপ যদি পাওয়া যায়। নিয়মিত পুনরুদ্ধার প্রক্রিয়া পরীক্ষা করুন।.
  9. ঠিকাদারদের জন্য নিরাপত্তা নীতি
    • ঠিকাদার বা তৃতীয় পক্ষের সংস্থার জন্য স্কোপড অ্যাকাউন্ট, সীমিত সময়ের অ্যাক্সেস এবং পর্যবেক্ষিত সেশন ব্যবহার করুন।.
  10. ঘটনা প্লেবুক
    • একটি নথিভুক্ত ঘটনা প্রতিক্রিয়া পরিকল্পনা বজায় রাখুন এবং নিশ্চিত করুন যে সমস্ত স্টেকহোল্ডাররা জানে কিভাবে উত্থাপন করতে হয়।.

সনাক্তকরণ: কী খুঁজতে হবে।

যদি আপনি শোষণের সন্দেহ করেন, তবে দেখুন:

  • অনুপস্থিত ডিরেক্টরি বা ফাইল wp-সামগ্রী, প্লাগইন, থিম, বা আপলোডের অধীনে।.
  • প্লাগইন দ্বারা রেকর্ড করা প্রশাসক-প্রবর্তিত মুছে ফেলার ঘটনা (যদি প্লাগইন মুছে ফেলার কার্যক্রম লগ করে)।.
  • ওয়েবসার্ভার লগে অস্বাভাবিক ত্রুটি বার্তা (“প্রশাসক কার্যক্রমের পরে এমন ফাইল বা ডিরেক্টরি নেই”)।.
  • অনুরোধ করে অ্যাডমিন-ajax.php বা সন্দেহজনক প্যারামিটার বা এনকোডেড ট্রাভার্সাল সিকোয়েন্স সহ REST এন্ডপয়েন্ট।.
  • প্লাগইন কার্যক্রমের পরে সাইটের আচরণে হঠাৎ পরিবর্তন (অনুপস্থিত ছবি, ভাঙা প্লাগইন কার্যকারিতা, 500 ত্রুটি)।.
  • সন্দেহজনক সময়ে অপরিচিত IP থেকে প্রশাসক অ্যাকাউন্টের জন্য লগইন ঘটনা।.
  • প্লাগইন ব্যাকআপ ফোল্ডারের মুছে ফেলা যা সাধারণত জিপ ফাইল বা আর্কাইভ ধারণ করে।.

হোস্ট এবং উন্নত ব্যবহারকারীদের জন্য উপকারী কমান্ড (শেল):

  • wp-content-এ সম্প্রতি পরিবর্তিত ডিরেক্টরি খুঁজুন:
    find /path/to/wordpress/wp-content -type d -mtime -7 -ls
  • অনুপস্থিত প্লাগইন ডিরেক্টরি তালিকাভুক্ত করুন (স্থাপন করা প্লাগইনগুলির সাথে প্রত্যাশিত তালিকার তুলনা করুন):
    wp plugin list --format=json | jq -r '.[].name'
  • ট্রাভার্সাল প্যাটার্নের জন্য লগ অনুসন্ধান করুন:
    grep -E "(\.\./|%2e%2e|%2e/%2e)" /var/log/apache2/* /var/log/nginx/*

সংশোধনমূলক পদক্ষেপ নেওয়ার আগে সর্বদা লগ সংগ্রহ এবং সংরক্ষণ করুন যা সেগুলি ওভাররাইট করতে পারে।.

ঘটনা প্রতিক্রিয়া এবং পুনরুদ্ধার চেকলিস্ট

  1. বিচ্ছিন্ন করুন
    • যদি আপনি সক্রিয় শোষণ সনাক্ত করেন, তবে অস্থায়ীভাবে প্রশাসনিক অ্যাক্সেস সীমাবদ্ধ করুন এবং সাইটটিকে রক্ষণাবেক্ষণ মোডে রাখুন।.
  2. প্রমাণ সংরক্ষণ করুন
    • পরিবর্তন করার আগে লগ (ওয়েবসার্ভার, PHP, প্লাগইন লগ, ডেটাবেস লেনদেন লগ) রপ্তানি এবং সংরক্ষণ করুন।.
  3. প্যাচ
    • সমস্ত প্রভাবিত সাইটে দুর্বল প্লাগইনটি 0.9.129 বা তার পরে অবিলম্বে আপডেট করুন।.
  4. পুনরুদ্ধার করুন (যদি প্রয়োজন হয়)
    • যদি ডিরেক্টরি মুছে ফেলা হয়, তবে একটি পরিচিত-ভাল ব্যাকআপ থেকে পুনরুদ্ধার করুন। অফ-সাইট অপরিবর্তনীয় ব্যাকআপ পছন্দ করুন; নিশ্চিত করুন যে ব্যাকআপগুলি ঘটনার পূর্বে।.
  5. পরিষ্কার এবং স্ক্যান
    • একটি সম্পূর্ণ ম্যালওয়্যার স্ক্যান চালান এবং থিম এবং প্লাগইনে ওয়েব শেল বা ইনজেক্ট করা কোড পরীক্ষা করুন।.
  6. গোপনীয়তা ঘোরান
    • প্রশাসনিক এবং সার্ভার শংসাপত্র পরিবর্তন করুন (FTP/SFTP, ডেটাবেস শংসাপত্র যদি বিশ্বাস করা হয় যে এটি ক্ষতিগ্রস্ত হয়েছে)।.
  7. ব্যবহারকারী এবং ভূমিকা নিরীক্ষণ করুন
    • অপ্রয়োজনীয় প্রশাসনিক অ্যাকাউন্টগুলি মুছে ফেলুন বা নিষ্ক্রিয় করুন এবং MFA প্রয়োগ করুন।.
  8. ঘটনা-পরবর্তী পর্যালোচনা
    • একটি মূল কারণ বিশ্লেষণ পরিচালনা করুন (কিভাবে প্রশাসনিক শংসাপত্রগুলি ক্ষতিগ্রস্ত হয়েছে, যদি হয়), নীতিগুলি আপডেট করুন এবং শেখার নথিভুক্ত করুন।.
  9. স্টেকহোল্ডারদের অবহিত করুন
    • যদি লঙ্ঘনটি ব্যবহারকারীদের বা নিয়ন্ত্রক প্রয়োজনীয়তাগুলিকে প্রভাবিত করে, তবে আপনার বিচারব্যবস্থায় প্রযোজ্য বিজ্ঞপ্তি নিয়ম অনুসরণ করুন।.
  10. ক্রমাগত পর্যবেক্ষণ
    • পুনরুদ্ধারের সময় FIM, নির্ধারিত স্ক্যান এবং WAF ভার্চুয়াল প্যাচ যোগ করুন।.

সুপারিশকৃত WAF নিয়ম — উদাহরণ এবং ব্যাখ্যা

নিচে উদাহরণ নিয়ম রয়েছে যা আপনি ModSecurity এবং nginx এর জন্য অভিযোজিত করতে পারেন। এগুলি স্পষ্ট ডিরেক্টরি ট্রাভার্সাল প্যাটার্ন এবং সন্দেহজনক মুছে ফেলার অনুরোধগুলি ব্লক করতে ব্যবহার করার জন্য প্যাটার্ন। IDs, লগিং ফরম্যাটগুলি টুইক করুন এবং আপনার WAF এর জন্য উপযুক্ত পর্যায়ে প্রয়োগ করুন।.

ModSecurity উদাহরণ (পর্যায়: অনুরোধের শরীর/যুক্তি):

SecRule REQUEST_HEADERS:Content-Type "multipart/form-data" "phase:1,t:none,pass"
SecRule ARGS|ARGS_NAMES|REQUEST_URI|REQUEST_BODY "(?:\.\./|\%2e\%2e|\.\.\\|\%2e\%2e\\)" \n     "id:1009001,phase:2,deny,log,status:403,msg:'Blocked directory traversal token - possible WPvivid exploit',severity:2"

ModSecurity: নির্দিষ্ট মুছে ফেলার ক্রিয়া ব্লক করুন (উদাহরণ - শনাক্ত হলে ক্রিয়া প্যারামিটারটি প্রকৃত প্লাগইন ক্রিয়া নাম দিয়ে প্রতিস্থাপন করুন):

SecRule ARGS:action "@rx (?i)wpvivid_delete|delete_backup" "phase:2,deny,log,id:1009002,msg:'Blocked WPvivid deletion action (virtual patch)'" \n    chain
    SecRule ARGS|REQUEST_BODY "@rx (\.\./|\%2e\%2e)" "t:none"

nginx URL তে এনকোডেড ট্রাভার্সাল ব্লক করার সহজ পদ্ধতি:

location / {
    if ($request_uri ~* "(?:\.\./|\%2e\%2e)") {
        return 403;
    }
    try_files $uri $uri/ /index.php?$args;
}

বিঃদ্রঃ:

  • এই নিয়মগুলি মূঢ় যন্ত্র — এগুলিকে পরিশোধন করতে হবে যাতে বৈধ তথ্য (যেমন, এনকোডেড অক্ষরের বৈধ রেফারেন্স) ব্লক না হয়।.
  • WAFs অ-স্পষ্ট এনকোডিং বা বিভিন্ন বিতরণ চ্যানেলের মাধ্যমে বাইপাস করা যেতে পারে; একটি WAF-কে সম্পূরক করা উচিত, প্রতিস্থাপন নয়, প্যাচিং এবং হার্ডেনিং।.
  • সর্বদা নিয়মগুলি স্টেজিংয়ে বা অভ্যন্তরীণ পরিষেবাগুলির জন্য একটি অনুমতিপত্রের সাথে পরীক্ষা করুন যা অনুরূপ টোকেন ব্যবহার করতে পারে।.

হোস্ট, এজেন্সি এবং পরিচালিত ওয়ার্ডপ্রেস প্রদানকারীদের জন্য

যদি আপনি হোস্টিং পরিচালনা করেন বা একাধিক গ্রাহক সাইট পরিচালনা করেন:

  • আপনার ফ্লিটটি প্লাগইন সংস্করণ <= 0.9.128 এর জন্য স্ক্যান করুন এবং স্বয়ংক্রিয় আপগ্রেডকে অগ্রাধিকার দিন।.
  • যদি স্বয়ংক্রিয়-আপগ্রেড সম্ভব না হয়, তবে একটি ফ্লিট-স্তরের WAF ভার্চুয়াল প্যাচ প্রয়োগ করুন যা প্রশাসনিক এন্ডপয়েন্টে ট্রাভার্সাল টোকেন ব্লক করে।.
  • গ্রাহক সাইট জুড়ে সমস্ত প্রশাসনিক স্তরের অ্যাকাউন্ট অডিট করুন যাতে সাধারণ শংসাপত্র বা পুনরায় ব্যবহৃত লগইন খুঁজে পাওয়া যায়।.
  • ক্লায়েন্টদের জন্য 2FA অফার করুন বা প্রয়োজন এবং প্রশাসনিক অ্যাক্সেস সহ পাসওয়ার্ড স্বাস্থ্য বজায় রাখুন।.
  • নিশ্চিত করুন যে ব্যাকআপগুলি অফ-সাইটে সংরক্ষিত এবং অন্তত একটি কপি সাইট-স্তরের অপারেশন দ্বারা দুর্ঘটনাজনিত মুছে ফেলা থেকে সুরক্ষিত।.

প্যাচ করার পরে পরীক্ষা এবং বৈধতা

প্যাচ করা সংস্করণে আপডেট করার পরে:

  1. সর্বত্র প্লাগইন সংস্করণ যাচাই করুন: wp প্লাগইন তালিকা, অথবা আপনার ব্যবস্থাপনা ড্যাশবোর্ড।.
  2. স্বাভাবিক কাজের প্রবাহ পুনরুত্পাদন করুন যাতে নিশ্চিত হয় যে কোনও রিগ্রেশন নেই (ব্যাকআপ তৈরি, পুনরুদ্ধার, প্লাগইন-পরিচালিত অস্থায়ী ফোল্ডার মুছে ফেলা)।.
  3. WAF নিয়মগুলি পুনরায় পরীক্ষা করুন: আপডেট যাচাই করা না হওয়া পর্যন্ত প্লাগইনকে লক্ষ্য করে ভার্চুয়াল প্যাচগুলি সরান। যদি আপনি বিস্তৃত ট্রাভার্সাল ফিল্টারগুলি বজায় রাখেন, তবে মিথ্যা ইতিবাচকগুলির জন্য পর্যবেক্ষণ চালিয়ে যান।.
  4. ব্যাকআপগুলি নিশ্চিত করুন: নিশ্চিত করুন যে ব্যাকআপগুলি সাম্প্রতিক এবং পুনরুদ্ধারযোগ্য। স্টেজিংয়ে একটি পরীক্ষামূলক পুনরুদ্ধার চালান।.
  5. ঘটনার পরে অন্তত 30 দিন অস্বাভাবিক কার্যকলাপের জন্য লগগুলি পর্যবেক্ষণ করুন।.

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী (FAQ)

প্রশ্ন — কি আমাকে প্যানিক করতে হবে?
উত্তর — না। কারণ দুর্বলতাটি একটি প্রমাণীকৃত প্রশাসকের প্রয়োজন, সুতরাং সর্বনিম্ন অধিকার অনুসরণ করা সাইটগুলির জন্য ঝুঁকি কম, MFA ব্যবহার করে এবং প্রশাসনিক অ্যাকাউন্টগুলি লকডাউন রাখে। তবে, মুছে ফেলা ধ্বংসাত্মক হতে পারে, তাই প্যাচিং গুরুত্বপূর্ণ এবং এটি অগ্রাধিকার দেওয়া উচিত।.

প্রশ্ন — কি একজন দর্শক এই দুর্বলতাটি দূর থেকে লগইন ছাড়াই শোষণ করতে পারে?
A — না। দুর্বলতার জন্য প্রশাসক অনুমতি প্রয়োজন। কিন্তু আক্রমণকারীরা সাধারণত ফিশিং, পুনঃব্যবহৃত পাসওয়ার্ড, বা অন্যান্য প্লাগইন দুর্বলতার মাধ্যমে প্রশাসক শংসাপত্র অর্জন করে, তাই আক্রমণের পৃষ্ঠতল কমানো অত্যন্ত গুরুত্বপূর্ণ।.

Q — যদি আমার সাইট সময়সূচী বা স্বয়ংক্রিয় কাজ ব্যবহার করে যা প্লাগইন এন্ডপয়েন্ট কল করে, তাহলে কি একটি WAF সেগুলো ভেঙে দেবে?
A — সম্ভবত। প্রথমে লগিং-শুধু মোডে যেকোন WAF নিয়ম পরীক্ষা করুন এবং বিশ্বস্ত অভ্যন্তরীণ পরিষেবাগুলির জন্য অনুমতি নিয়ম তৈরি করুন।.

Q — ব্যাকআপ কোথায় সংরক্ষণ করা উচিত?
A — অফ-সার্ভার সেরা। ক্লাউড স্টোরেজ (S3, গুগল ক্লাউড স্টোরেজ), একটি বাহ্যিক ব্যাকআপ পরিষেবা, বা ওয়েবরুট এবং প্লাগইন ফোল্ডারের বাইরে একটি অবস্থান ব্যবহার করুন। সম্ভব হলে একটি অপরিবর্তনীয় কপি রাখুন।.

Q — পুনঃমেডিয়েশনের পরে আমি কতদিন পর্যবেক্ষণ করা উচিত?
A — আমরা অন্তত 30–90 দিনের উচ্চতর পর্যবেক্ষণের সুপারিশ করি যা অখণ্ডতা পরীক্ষা এবং লগ পর্যালোচনা অন্তর্ভুক্ত করে।.

কেন WP‑Firewall এই পদক্ষেপগুলি সুপারিশ করে

আমরা প্রতিদিন সাইটের মালিকদের সাথে কাজ করি যারা অ্যাকাউন্টের আপসের পরে ধ্বংসাত্মক কার্যক্রমের কারণে সময় এবং রাজস্ব হারিয়েছে। একটি দুর্বলতা যা মুছে ফেলার অনুমতি দেয় তা বিশেষভাবে বিঘ্নিত কারণ এটি ব্যাকআপ বা প্রমাণ মুছে ফেলার মাধ্যমে পুনরুদ্ধারকে undermine করতে পারে। সাউন্ড অ্যাক্সেস কন্ট্রোল, তাত্ক্ষণিক প্যাচিং এবং WAF-ভিত্তিক ভার্চুয়াল প্যাচিংকে একত্রিত করা বাস্তবিক প্রতিরক্ষা-এ-গভীরতা প্রদান করে: তাত্ক্ষণিক নিরাপত্তার জন্য দ্রুত ব্লকিং, তারপরে সম্পূর্ণ পুনঃমেডিয়েশন এবং দীর্ঘমেয়াদী শক্তিশালীকরণ।.

আমাদের পরিচালিত পরিবেশে পদ্ধতি হল:

  • সন্দেহজনক ইনপুট প্যাটার্নের দ্রুত সনাক্তকরণ এবং স্বয়ংক্রিয় ব্লকিং।.
  • পরিচিত শোষণযোগ্য সংস্করণের জন্য অগ্রাধিকারযুক্ত প্যাচিং পাইপলাইন।.
  • নিরাপত্তা জীবনচক্রের সাথে সংহত ব্যাকআপ যাচাইকরণ ওয়ার্কফ্লো।.
  • শিক্ষা এবং নীতি প্রয়োগ (MFA, সর্বনিম্ন অনুমতি, ঠিকাদার অ্যাক্সেস)।.

এখন কি করতে হবে — সংক্ষিপ্ত চেকলিস্ট

  • WPvivid প্লাগইন 0.9.129 বা তার পরের সংস্করণে আপডেট করুন (প্রথম অগ্রাধিকার)।.
  • যদি আপনি আপডেট করতে না পারেন: প্লাগইন নিষ্ক্রিয় করুন বা প্রশাসক এন্ডপয়েন্টে ট্রাভার্সাল টোকেন ব্লক করার জন্য একটি WAF নিয়ম প্রয়োগ করুন।.
  • প্রশাসক অ্যাকাউন্টগুলি নিরীক্ষণ এবং সুরক্ষিত করুন (MFA, পাসওয়ার্ড ঘূর্ণন, পুরনো ব্যবহারকারী মুছে ফেলুন)।.
  • ব্যাকআপগুলি যাচাই করুন এবং সুরক্ষিত করুন (অফ-সাইট কপি)।.
  • মুছে ফেলার বা আপসের লক্ষণগুলির জন্য স্ক্যান করুন; লগ সংরক্ষণ করুন।.
  • যদি আপনি মুছে ফেলা কিছু পান, ব্যাকআপ থেকে পুনরুদ্ধার করুন এবং একটি পূর্ণ নিরাপত্তা অডিট চালান।.

এর থেকে শিখুন: দীর্ঘমেয়াদী নিরাপত্তা অবস্থান সুপারিশ।

  1. স্বয়ংক্রিয়ভাবে প্লাগইন এবং সংস্করণগুলির ইনভেন্টরি করুন।.
  2. জরুরি নিরাপত্তা প্যাচগুলি দ্রুত প্রয়োগ করুন; যেখানে সম্ভব স্বয়ংক্রিয় করুন।.
  3. বহু-স্তরের নিরাপত্তা ব্যবহার করুন: হোস্ট-স্তরের নিয়ন্ত্রণ, অ্যাপ্লিকেশন-স্তরের শক্তিশালীকরণ, এবং একটি অ্যাপ্লিকেশন ফায়ারওয়াল।.
  4. প্রতি সাইট বা প্রতি ক্লায়েন্টের জন্য অন্তত একটি অফসাইট অমোচনীয় ব্যাকআপ রাখুন।.
  5. তৃতীয় পক্ষের অ্যাক্সেস অডিট করুন এবং মেয়াদ শেষ হওয়া স্কোপড অ্যাকাউন্ট ব্যবহার করুন।.

WP‑Firewall ফ্রি প্ল্যানে সাইন আপ করুন এবং আজই আপনার WordPress সাইট সুরক্ষিত করুন।

একটি WordPress সাইট সুরক্ষিত করা একটি স্তরযুক্ত সমস্যা: আপডেট এবং স্বাস্থ্যবিধি ঝুঁকি কমায়, যখন একটি ভাল কনফিগার করা ফায়ারওয়াল আক্রমণ থামাতে সাহায্য করে এবং আপনি আপডেট করার সময় ভার্চুয়াল প্যাচিং প্রদান করে। WP‑Firewall এর বেসিক (ফ্রি) পরিকল্পনা আপনাকে তাত্ক্ষণিকভাবে মৌলিক সুরক্ষা দেয় — একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) সহ পরিচালিত ফায়ারওয়াল, অসীম ব্যান্ডউইথ, ম্যালওয়্যার স্ক্যানিং, এবং OWASP শীর্ষ 10 ঝুঁকির জন্য প্রশমন। যদি আপনি একাধিক সাইট পরিচালনা করেন বা স্বয়ংক্রিয় অপসারণ এবং অতিরিক্ত নিয়ন্ত্রণের প্রয়োজন হয়, আমাদের পেইড পরিকল্পনাগুলি সেই বৈশিষ্ট্যগুলি যোগ করে।.

WP‑Firewall বেসিক (ফ্রি) দিয়ে শুরু করুন — এটি সক্ষম করা সহজ, এবং এটি আপনাকে উপরের সংশোধনগুলি প্রয়োগ করার সময় তাত্ক্ষণিক, অবিরাম সুরক্ষা দেয়:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

প্ল্যানের হাইলাইটস:

  • মৌলিক (ফ্রি): পরিচালিত ফায়ারওয়াল, অসীম ব্যান্ডউইথ, WAF, ম্যালওয়্যার স্ক্যানার, OWASP শীর্ষ 10 প্রশমন।.
  • স্ট্যান্ডার্ড ($50/বছর): স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ, ২০টি আইপির জন্য ব্ল্যাকলিস্ট/হোয়াইটলিস্ট।.
  • প্রো ($299/বছর): মাসিক নিরাপত্তা রিপোর্ট, স্বয়ংক্রিয় ভার্চুয়াল প্যাচিং, প্রিমিয়াম অ্যাড-অন (নির্দিষ্ট অ্যাকাউন্ট ম্যানেজার, নিরাপত্তা অপ্টিমাইজেশন, পরিচালিত পরিষেবা)।.

আমরা ফ্রি টিয়ারটি সমস্ত WordPress সাইটের জন্য একটি কার্যকর প্রথম প্রতিরক্ষা লাইন হিসাবে ডিজাইন করেছি — বিশেষ করে যখন আপনাকে পরিবেশ জুড়ে প্লাগইন আপডেট পরীক্ষা করার জন্য সময় প্রয়োজন।.

সমাপনী ভাবনা

এই WPvivid সমস্যা (CVE‑2025‑12656) একটি স্মারক যে এমনকি উপকারী প্রশাসক-স্তরের বৈশিষ্ট্যগুলি — ব্যাকআপ এবং মুছে ফেলার এন্ডপয়েন্টগুলি — যদি ইনপুট কঠোরভাবে যাচাই না করা হয় তবে বিপজ্জনক হয়ে উঠতে পারে। ভাল খবর হল যে ফিক্সটি উপলব্ধ; সেরা প্রতিরক্ষা হল তাত্ক্ষণিক প্যাচিং, প্রয়োজনে স্বল্পমেয়াদী WAF ভার্চুয়াল প্যাচিং, এবং দীর্ঘমেয়াদী শক্তিশালীকরণ (MFA, সর্বনিম্ন অধিকার, অফসাইট ব্যাকআপ, লগিং এবং মনিটরিং) এর সংমিশ্রণ।.

যদি আপনি উপরের যেকোনো প্রশমন পদক্ষেপ বাস্তবায়নে সহায়তা প্রয়োজন — WAF ভার্চুয়াল প্যাচ থেকে অ্যাকাউন্ট অডিট এবং পুনরুদ্ধার পরিকল্পনা পর্যন্ত — WP‑Firewall টিম সহায়তা করতে পারে। আমরা আপনাকে দ্রুত ফ্রি বেসিক পরিকল্পনা বাস্তবায়ন করতে সাহায্য করতে পারি যাতে আপনি পুনরুদ্ধার করার সময় একটি সুরক্ষামূলক স্তর পেতে পারেন।.

নিরাপদ থাকুন, এবং দ্রুত আপডেট করুন।.
— WP-ফায়ারওয়াল সিকিউরিটি টিম

wordpress security update banner

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন!!

প্রতি সপ্তাহে আপনার ইনবক্সে ওয়ার্ডপ্রেস সিকিউরিটি আপডেট পেতে সাইন আপ করুন।

আমরা স্প্যাম করি না! আমাদের পড়ুন গোপনীয়তা নীতি আরও তথ্যের জন্য।

একটি প্রশংসামূলক ওয়ার্ডপ্রেস নিরাপত্তা পরামর্শ নির্ধারণ করতে আমাদের সাথে যোগাযোগ করুন

যোগাযোগ করুন

WP-ফায়ারওয়াল
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kawloon, Hong Kong

বৈশিষ্ট্য মূল্য নির্ধারণ ব্লগ প্রবেশ করুন
গোপনীয়তা নীতি সেবা পাবার শর্ত ডক্স অধিভুক্ত

© ২০২৬ WP-Firewall™