hiWeb মাইগ্রেশন প্লাগইনে গুরুতর XSS // প্রকাশিত হয়েছে 2026-06-02 // CVE-2026-2425

WP-ফায়ারওয়াল সিকিউরিটি টিম

hiWeb Migration Simple XSS Vulnerability

প্লাগইনের নাম hiWeb মাইগ্রেশন সিম্পল
দুর্বলতার ধরণ ক্রস-সাইট স্ক্রিপ্টিং (XSS)
সিভিই নম্বর CVE-2026-2425
জরুরি অবস্থা মধ্যম
সিভিই প্রকাশের তারিখ 2026-06-02
উৎস URL CVE-2026-2425

জরুরি: hiWeb মাইগ্রেশন সিম্পল (≤ 2.0.0.1) এ প্রতিফলিত XSS — এখন ওয়ার্ডপ্রেস সাইট মালিকদের কি করতে হবে

লেখক: WP-ফায়ারওয়াল সিকিউরিটি টিম
তারিখ: 2026-06-02
ট্যাগ: ওয়ার্ডপ্রেস, দুর্বলতা, XSS, WAF, নিরাপত্তা

সংক্ষিপ্ত সারাংশ: একটি প্রতিফলিত ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা (CVE-2026-2425) ওয়ার্ডপ্রেস প্লাগইন “hiWeb মাইগ্রেশন সিম্পল” সংস্করণ <= 2.0.0.1 এ রিপোর্ট করা হয়েছে। এটি অপ্রমাণিত আক্রমণকারীদের দ্বারা শোষণযোগ্য এবং এর গম্ভীরতা মাঝারি (CVSS 7.1)। যদিও শোষণের জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজন (একটি তৈরি করা লিঙ্কে ক্লিক করা বা একটি ক্ষতিকারক পৃষ্ঠায় যাওয়া), এর প্রভাব প্রশাসকদের জন্য সেশন চুরি, অনুমোদিত ক্রিয়াকলাপ এবং সাইট-স্তরের বিষয়বস্তু পরিবর্তন অন্তর্ভুক্ত করতে পারে। রিপোর্ট করার সময় একটি অফিসিয়াল বিক্রেতার প্যাচের অভাবে, তাত্ক্ষণিক প্রতিকার এবং WAF এর মাধ্যমে ভার্চুয়াল প্যাচিং অত্যন্ত সুপারিশ করা হয়।.


সুচিপত্র

  • সারসংক্ষেপ: কি ঘটেছে
  • প্রতিফলিত XSS কী এবং এটি কেন ওয়ার্ডপ্রেসের জন্য গুরুত্বপূর্ণ
  • এই দুর্বলতার প্রযুক্তিগত সারসংক্ষেপ (CVE-2026-2425)
  • হুমকি পরিস্থিতি এবং বাস্তব-জগতের প্রভাব
  • আপনি কীভাবে সনাক্ত করবেন যে আপনি প্রভাবিত বা আক্রমণের শিকার হচ্ছেন
  • 12. একটি অফিসিয়াল ফিক্সের জন্য অপেক্ষা করার সময় এক্সপোজার কমানোর জন্য এখনই এই পদক্ষেপগুলি নিন:
  • মধ্যবর্তী এবং দীর্ঘমেয়াদী সমাধান (ডেভেলপার নির্দেশিকা)
  • উদাহরণ WAF নিয়ম এবং ভার্চুয়াল প্যাচিং কৌশল
  • ঘটনা প্রতিক্রিয়া চেকলিস্ট: যদি আপনি আপসের সন্দেহ করেন
  • ওয়ার্ডপ্রেস সাইটগুলির জন্য শক্তিশালীকরণ চেকলিস্ট
  • WP-Firewall কীভাবে আপনার সাইট রক্ষা করে (ম্যানেজড WAF & ভার্চুয়াল প্যাচিং)
  • আজই আপনার সাইট রক্ষা করা শুরু করুন (WP-Firewall ফ্রি প্ল্যান)
  • চূড়ান্ত নোট এবং সম্পদ

সারসংক্ষেপ: কি ঘটেছে

2 জুন 2026 তারিখে ওয়ার্ডপ্রেস প্লাগইন “hiWeb মাইগ্রেশন সিম্পল” (সংস্করণ 2.0.0.1 পর্যন্ত) প্রভাবিত একটি প্রতিফলিত XSS দুর্বলতা জনসমক্ষে প্রকাশিত হয় এবং CVE-2026-2425 বরাদ্দ করা হয়। দুর্বলতাটি একটি আক্রমণকারীকে একটি URL তৈরি করতে দেয় যা ক্ষতিকারক স্ক্রিপ্ট পে লোড অন্তর্ভুক্ত করে যা প্লাগইন দ্বারা প্রতিফলিত হয় এবং একটি শিকারীর ব্রাউজারের প্রসঙ্গে কার্যকর হয়। দুর্বলতাটি অপ্রমাণিত আক্রমণকারীদের দ্বারা শোষণযোগ্য তবে ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজন — সাধারণত, একজন প্রশাসক বা অন্য কোনও বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীকে তৈরি করা লিঙ্কে ক্লিক করতে হবে বা আক্রমণকারী-নিয়ন্ত্রিত পৃষ্ঠায় যেতে হবে।.

যদিও প্রতিফলিত XSS একটি সরাসরি সার্ভার-সাইড কোড কার্যকর করার সমস্যা নয়, এটি ওয়ার্ডপ্রেসে অত্যন্ত বিপজ্জনক কারণ এটি অন্যান্য আক্রমণের সাথে যুক্ত হতে পারে (সেশন হাইজ্যাকিং, প্রশাসক হিসাবে ক্রিয়াকলাপ করা, ব্যাকডোর ইনজেকশন, বা ম্যালওয়্যার বিতরণ)। তুলনামূলকভাবে উচ্চ CVSS স্কোর এবং বিভিন্ন হোস্টিং পরিবেশে প্লাগইনের ব্যাপক ব্যবহারের কারণে, সাইট মালিকদের এটি একটি উচ্চ অগ্রাধিকার হিসাবে বিবেচনা করা উচিত যতক্ষণ না একটি অফিসিয়াল বিক্রেতার প্যাচ উপলব্ধ হয়।.


প্রতিফলিত XSS কী এবং এটি কেন ওয়ার্ডপ্রেসের জন্য গুরুত্বপূর্ণ

প্রতিফলিত XSS ঘটে যখন একটি ওয়েব অ্যাপ্লিকেশন (অথবা প্লাগইন) ব্যবহারকারী-সরবরাহিত ইনপুট গ্রহণ করে — সাধারণত URL কোয়েরি প্যারামিটার বা ফর্ম ইনপুট থেকে — এবং এটি একটি HTTP প্রতিক্রিয়াতে সঠিক এনকোডিং বা স্যানিটাইজেশন ছাড়াই অন্তর্ভুক্ত করে। যখন প্রতিক্রিয়াটি স্ক্রিপ্টযোগ্য বিষয়বস্তু ধারণ করে এবং শিকারীর ব্রাউজার এটি কার্যকর করে, তখন আক্রমণকারী প্রমাণীকৃত ব্যবহারকারীর সেশনের প্রসঙ্গে JavaScript চালাতে পারে।.

এটি ওয়ার্ডপ্রেসে কেন গুরুত্বপূর্ণ:

  • ওয়ার্ডপ্রেস প্রশাসক ভূমিকার শক্তিশালী ক্ষমতা রয়েছে। যদি একটি প্রতিফলিত XSS পে লোড প্রশাসকের প্রসঙ্গে চলে, তবে আক্রমণকারী সম্ভবত কুকি বা ননস চুরি করতে পারে, জাল অনুরোধের মাধ্যমে প্রশাসনিক কাজ করতে পারে, বা ক্ষতিকারক পোস্ট/প্লাগইন তৈরি করতে পারে।.
  • ওয়ার্ডপ্রেস সাইটগুলিতে প্রায়শই অনেক তৃতীয়-পক্ষের প্লাগইন এবং থিম ইনস্টল করা থাকে; একটি একক দুর্বল প্লাগইন ব্যাপক আপসের জন্য একটি আকর্ষণীয় ভেক্টর।.
  • প্রতিফলিত XSS স্থায়ী আপসের জন্য একটি পদক্ষেপ হিসাবে ব্যবহার করা যেতে পারে (যেমন, একটি আক্রমণকারী XSS ব্যবহার করে একটি ব্যাকডোর ইনস্টল করে)।.

যদিও দুর্বলতার জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজন, আক্রমণকারীরা নিয়মিতভাবে ফিশিং, সামাজিক প্রকৌশল, বা স্বয়ংক্রিয় ভর মেইল / মন্তব্য প্রচারণা তৈরি করা URL ব্যবহার করে সাইট প্রশাসকদের ক্লিক করতে প্রলুব্ধ করে। এই কারণে, প্রতিফলিত XSS দ্রুত প্রতিকার করা উচিত।.


এই দুর্বলতার প্রযুক্তিগত সারসংক্ষেপ (CVE-2026-2425)

  • দুর্বলতা শ্রেণী: প্রতিফলিত ক্রস-সাইট স্ক্রিপ্টিং (XSS)
  • প্রভাবিত সফটওয়্যার: ওয়ার্ডপ্রেস প্লাগইন “hiWeb Migration Simple”
  • দুর্বল সংস্করণ: <= 2.0.0.1
  • CVE: CVE‑২০২৬‑২৪২৫
  • প্রতিবেদক: নিরাপত্তা গবেষক যিনি “san6051 (COFFSec)” হিসেবে পরিচিত”
  • প্রয়োজনীয় অনুমতি: অপ্রমাণিত (ভিজিটর কাস্টম ইনপুট সরবরাহ করতে পারে)
  • ব্যবহারকারী ইন্টারঅ্যাকশন: প্রয়োজনীয় (শিকারীকে একটি ক্ষতিকারক লিঙ্কে ক্লিক করতে হবে বা একটি কাস্টম পৃষ্ঠায় যেতে হবে)
  • CVSS v3.1 বেস স্কোর: 7.1 (মধ্যম)
  • প্যাচের অবস্থা (প্রতিবেদন করার সময়): কোন অফিসিয়াল প্যাচ উপলব্ধ নেই
  • সাধারণ আক্রমণের ভেক্টর: কাস্টম URL বা ফর্ম ইনপুট যা জাভাস্ক্রিপ্ট ধারণ করে এবং প্লাগইনটি সঠিক এনকোডিং ছাড়াই পৃষ্ঠার আউটপুটে প্রতিফলিত করে

গুরুত্বপূর্ণ: দুর্বলতা প্রতিফলিত হয় বরং সংরক্ষিত হয়। এর মানে হল ক্ষতিকারক স্ক্রিপ্টটি কেবল কাস্টম অনুরোধ থেকে উদ্ভূত প্রতিক্রিয়াতে প্রদর্শিত হয়। কিন্তু তাতেও সেই আক্রমণগুলি সক্ষম হয় যা প্রমাণিত ব্যবহারকারীদের লক্ষ্য করে যারা সেই অনুরোধটি প্রক্রিয়া করে (যেমন, প্রশাসনিক কর্মচারীরা ইমেলে লিঙ্কে ক্লিক করে)।.


হুমকি পরিস্থিতি এবং বাস্তব-জগতের প্রভাব

এখানে সম্ভাব্য আক্রমণের দৃশ্যপট রয়েছে যা আক্রমণকারীরা ব্যবহার করতে পারে যদি দুর্বলতা প্রশমিত না হয়:

  1. সাইট প্রশাসকদের বিরুদ্ধে ফিশিং বা লক্ষ্যভিত্তিক সামাজিক প্রকৌশল
    আক্রমণকারী একটি পে লোড ধারণকারী URL তৈরি করে এবং এটি একটি সাইট প্রশাসকের কাছে পাঠায় (যেমন, ইমেল, চ্যাট, বা মন্তব্যের মাধ্যমে)। যদি প্রশাসক লগ ইন অবস্থায় লিঙ্কে ক্লিক করে, তবে ইনজেক্ট করা স্ক্রিপ্ট তাদের সেশন অনুমতিগুলির সাথে চলতে পারে।.
  2. ব্যাপক শোষণের প্রচেষ্টা
    স্বয়ংক্রিয় স্ক্যানাররা প্লাগইনের উপস্থিতির জন্য ওয়েব অনুসন্ধান করে এবং সাধারণ প্রতিফলিত XSS প্যাটার্নগুলি চেষ্টা করে। যে কোনও প্রশাসক যদি একটি ক্ষতিকারকভাবে গঠিত অনুসন্ধান ফলাফল বা লিঙ্কে ক্লিক করে তবে প্রভাবিত হতে পারে।.
  3. সেশন চুরি এবং অ্যাকাউন্ট দখল
    একজন আক্রমণকারী কুকি বা প্রমাণীকরণ টোকেন (যদি ভুলভাবে কনফিগার করা হয়) চুরি করতে পারে এবং প্রশাসক সেশনটি হাইজ্যাক করার চেষ্টা করতে পারে। HTTPOnly কুকি সরাসরি চুরি কমাতে সাহায্য করে কিন্তু XSS এখনও DOM-ভিত্তিক প্রবাহ ব্যবহার করে প্রশাসনিক ননস বা অনুরোধগুলি সম্পাদন করতে পারে।.
  4. ক্ষতিকারক প্রশাসনিক ক্রিয়াকলাপ ইনজেক্ট করা
    স্ক্রিপ্ট প্রশাসকের সেশন সক্রিয় থাকা অবস্থায় প্রমাণীকৃত অনুরোধ (AJAX বা ফর্ম POST এর মাধ্যমে) জারি করতে পারে। এটি সাইটের অপশন, প্লাগইন/থিম আপলোড, ব্যবহারকারী তৈরি করা, বা ব্যাকডোর ইনজেকশন পরিবর্তনের দিকে নিয়ে যেতে পারে।.
  5. খ্যাতি এবং SEO ক্ষতি
    আক্রমণকারীরা স্প্যাম, বিজ্ঞাপন, বা রিডাইরেক্ট ইনজেক্ট করতে পারে, যার ফলে SEO জরিমানা, ব্ল্যাকলিস্টিং, বা ভিজিটরের বিশ্বাস হারানো হতে পারে।.

এই সম্ভাব্য ফলাফলগুলি দেওয়া, প্রতিফলিত XSS দ্রুত সমাধান করা উচিত যদিও শোষণের জন্য একটি ক্লিক প্রয়োজন।.


আপনি কীভাবে নির্ধারণ করবেন যে আপনি প্রভাবিত বা লক্ষ্যবস্তু হয়েছেন

সনাক্তকরণ হল স্বয়ংক্রিয় স্ক্যানিং এবং ম্যানুয়াল পর্যালোচনার সংমিশ্রণ।.

  1. চিহ্নিত করুন যে প্লাগইনটি ইনস্টল করা হয়েছে এবং দুর্বল কিনা
    WordPress প্রশাসক প্লাগইন পৃষ্ঠায় “hiWeb Migration Simple” খুঁজুন এবং সংস্করণ নম্বর নিশ্চিত করুন। যদি এটি <= 2.0.0.1 হয়, তবে এটি দুর্বল মনে করুন।.
  2. ওয়েব সার্ভার এবং অ্যাক্সেস লগ
    Look for GET requests that include suspicious query strings with script-like content or unusual parameters. Examples: requests with encoded characters like script or high rates of unusual URLs targeting plugin endpoints.
    ফিশিং পৃষ্ঠা বা বাইরের রেফারারগুলির জন্য রেফারার হেডারগুলি পরীক্ষা করুন।.
  3. ব্রাউজার কনসোল লগ (যদি আপনি পুনরুত্পাদন করতে পারেন)
    একটি নিরাপদ পরীক্ষামূলক পরিবেশে সন্দেহজনক প্রতিফলিত পে লোড পুনরুত্পাদন করার চেষ্টা করার সময়, লক্ষ্য করুন যে পে লোডটি রেন্ডার এবং কার্যকর হয় কিনা। লাইভ ব্যবহারকারীদের সাথে একটি উৎপাদন সাইটে পরীক্ষা করবেন না।.
  4. সাইট স্ক্যানিং টুলস
    প্লাগইন এন্ডপয়েন্টগুলিতে XSS প্রতিফলন সনাক্ত করতে একটি বিশ্বস্ত স্ক্যানার ব্যবহার করুন। তা সত্ত্বেও, স্ক্যানারগুলি মিথ্যা ইতিবাচক তৈরি করতে পারে; সর্বদা একটি অ-উৎপাদন কপিতে ম্যানুয়ালি যাচাই করুন।.
  5. ফাইল সিস্টেম এবং ডেটাবেস চেক (স্থায়ী আপস বাদ দিতে)
    যদিও এটি একটি প্রতিফলিত (অ-স্থায়ী) সমস্যা, আক্রমণকারীরা প্রায়শই XSS কে ব্যাকডোর ইনস্টলেশনের সাথে যুক্ত করে। পরিবর্তিত কোর ফাইল, অজানা প্লাগইন/থিম, বা সন্দেহজনক প্রশাসক ব্যবহারকারীদের সন্ধানের জন্য একটি ম্যালওয়্যার স্ক্যানার ব্যবহার করুন।.
  6. প্রশাসক অ্যাকাউন্টের কার্যকলাপ
    ব্যবহারকারী লগ, সাম্প্রতিক পরিবর্তন এবং পোস্ট সম্পাদনা পরীক্ষা করুন যাতে নিশ্চিত হয় যে কোনও অনুমোদিত পরিবর্তন করা হয়নি।.

যদি আপনি শোষণের সূচকগুলি চিহ্নিত করেন (অপ্রত্যাশিত পরিবর্তন, সন্দেহজনক প্রশাসক ক্রিয়াকলাপ), তবে আপস ধরে নিন এবং নীচের ঘটনা প্রতিক্রিয়া বিভাগ অনুসরণ করুন।.


12. একটি অফিসিয়াল ফিক্সের জন্য অপেক্ষা করার সময় এক্সপোজার কমানোর জন্য এখনই এই পদক্ষেপগুলি নিন:

যদি আপনার সাইট দুর্বল প্লাগইন ব্যবহার করে এবং আপনি অবিলম্বে একটি অফিসিয়াল প্যাচ প্রয়োগ করতে না পারেন (অথবা একটি এখনও উপলব্ধ নয়), তবে দ্রুত প্রভাব থেকে আরও স্থায়ী সুরক্ষার জন্য এই তাত্ক্ষণিক পদক্ষেপগুলি নিন:

  1. প্লাগইনটি মুছে ফেলুন বা নিষ্ক্রিয় করুন (সবচেয়ে দ্রুত, সবচেয়ে নিরাপদ)
    যদি আপনি প্লাগইনটি কঠোরভাবে প্রয়োজন না করেন, তবে এটি অবিলম্বে নিষ্ক্রিয় এবং মুছে ফেলুন। আক্রমণের পৃষ্ঠটি মুছে ফেলা সবচেয়ে দ্রুত প্রশমন।.
  2. প্লাগইন এন্ডপয়েন্টগুলিতে প্রবেশাধিকার সীমাবদ্ধ করুন
    যদি আপনাকে প্লাগইনটি সক্রিয় রাখতে হয় (কার্যকারিতার জন্য), তবে IP অনুমোদন তালিকার মাধ্যমে বা অ্যাক্সেস নিয়ন্ত্রণ স্তরের পিছনে প্রমাণীকৃত প্রশাসক ভূমিকার জন্য অ্যাক্সেস সীমিত করে এর প্রশাসক পৃষ্ঠাগুলিতে প্রবেশাধিকার সীমিত করুন (যেমন, wp-admin বা প্লাগইন প্রশাসক পৃষ্ঠাগুলির জন্য HTTP প্রমাণীকরণ)।.
  3. একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) ভার্চুয়াল প্যাচ প্রয়োগ করুন
    স্ক্রিপ্ট ট্যাগ বা কোয়েরি প্যারামিটার এবং ফর্ম ইনপুটগুলিতে সন্দেহজনক ইনপুট প্যাটার্ন অন্তর্ভুক্ত করা অনুরোধগুলি ব্লক করার জন্য WAF নিয়মগুলি স্থাপন করুন। একটি পরিচালিত WAF দ্রুত লক্ষ্যযুক্ত নিয়মগুলি চাপিয়ে দিতে পারে এবং মিথ্যা ইতিবাচকগুলি কমাতে পারে।.
  4. প্রশাসক অ্যাক্সেস শক্তিশালী করুন
    কঠোর প্রশাসনিক নিয়ন্ত্রণ প্রয়োগ করুন: শক্তিশালী পাসওয়ার্ড ব্যবহার করুন, সমস্ত প্রশাসক অ্যাকাউন্টের জন্য দুই‑ফ্যাক্টর প্রমাণীকরণ (2FA) সক্ষম করুন, এবং প্রশাসক অধিকার সহ ব্যবহারকারীর সংখ্যা সীমিত করুন।.
  5. প্রশাসনিক স্ক্রীনে প্রস্থানকারী HTML পরিষ্কার করুন
    যদি আপনার ডেভেলপার সম্পদ থাকে, তবে প্লাগইন যে নির্দিষ্ট আউটপুট পাথগুলি ব্যবহার করে সেগুলি আটকান এবং পরিষ্কার করুন। আউটপুট এনকোড করুন এবং বিপজ্জনক অক্ষর ফিল্টার করুন।.
  6. বিষয়বস্তু নিরাপত্তা নীতি (CSP)
    ইনলাইন স্ক্রিপ্টগুলি কার্যকর হতে থেকে রোধ করতে এবং অনুমোদিত স্ক্রিপ্ট উৎসগুলি সীমাবদ্ধ করতে wp-admin রুটগুলিতে একটি সীমাবদ্ধ CSP ব্যবহার করুন। লক্ষ্য করুন যে CSP সাবধানতার সাথে বাস্তবায়ন করতে হবে যাতে বৈধ প্রশাসনিক কার্যকারিতা ভেঙে না যায়।.
  7. নজরদারি এবং সতর্কীকরণ
    প্রশাসনিক এন্ডপয়েন্টগুলিতে পর্যবেক্ষণ বাড়ান এবং অস্বাভাবিক অনুরোধ বা পরিবর্তনের জন্য সতর্কতা সেট আপ করুন।.
  8. আপনার দলের সদস্যদের জানিয়ে দিন
    প্রশাসক এবং কর্মচারীদের জানিয়ে দিন যে প্লাগইন উপস্থিত এবং দুর্বল থাকাকালীন লিঙ্ক এবং ইমেল সংযুক্তির প্রতি সতর্ক থাকতে হবে।.

মধ্যবর্তী এবং দীর্ঘমেয়াদী সমাধান (ডেভেলপার নির্দেশিকা)

যদি আপনি সাইটটি রক্ষণাবেক্ষণ করেন বা প্লাগইন/থিম তৈরি করেন, তবে XSS প্রতিরোধের জন্য নিরাপদ কোডিং সেরা অনুশীলনের দিকে লক্ষ্য করুন:

  1. আউটপুট এনকোডিং, ইনপুট ফিল্টারিং নয়
    প্রতিফলিত XSS-এর জন্য, সঠিক পদ্ধতি হল প্রসঙ্গ-সচেতন আউটপুট এনকোডিং প্রয়োগ করা। প্রসঙ্গ অনুযায়ী উপযুক্ত escaping ফাংশন ব্যবহার করুন:

    • HTML প্রসঙ্গ: ব্যবহার করে escaping esc_html()
    • অ্যাট্রিবিউট প্রসঙ্গ: ব্যবহার করে escaping এসএসসি_এটিআর()
    • জাভাস্ক্রিপ্ট প্রসঙ্গ: ব্যবহার করুন wp_json_encode() অথবা JSON এনকোডিং পদ্ধতি
    • URL প্রসঙ্গ: href/src-এ স্থাপন করার সময় ব্যবহার করুন esc_url()
  2. কাঁচা কোয়েরি স্ট্রিং ডেটা প্রতিধ্বনিত করা এড়িয়ে চলুন
    কখনও কাঁচা আউটপুট করবেন না $_GET/$_পোস্ট মানগুলি সরাসরি। কঠোর যাচাইকরণ এবং escaping ব্যবহার করুন।.
  3. CSRF এবং প্রমাণীকৃত XSS-ভিত্তিক ক্রিয়াকলাপ প্রতিরোধ করতে প্রশাসনিক ক্রিয়াকলাপের জন্য WordPress nonce এবং সক্ষমতা পরীক্ষা ব্যবহার করুন
    ক্ষমতাগুলি যাচাই করুন (বর্তমান_ব্যবহারকারী_ক্যান()) এবং nonces.
  4. সর্বনিম্ন সুবিধার নকশা
    প্লাগইন প্রশাসনিক পৃষ্ঠা এবং AJAX এন্ডপয়েন্টগুলি শুধুমাত্র উপযুক্ত সক্ষমতা সহ ব্যবহারকারীদের অনুমতি দেয় তা নিশ্চিত করুন।.
  5. সমৃদ্ধ সামগ্রী পরিষ্কার করুন
    যখন প্লাগইনগুলি সমৃদ্ধ টেক্সট গ্রহণ করে, বিপজ্জনক ট্যাগ বা অ্যাট্রিবিউটগুলি অপসারণ করতে KSES বা অনুরূপ লাইব্রেরির উপর নির্ভর করুন।.
  6. ইউনিট এবং ইন্টিগ্রেশন টেস্ট যোগ করুন
    স্বয়ংক্রিয় পরীক্ষাগুলি অন্তর্ভুক্ত করুন যা নিশ্চিত করে যে কোনও ব্যবহারকারী-সরবরাহিত HTML বা স্ক্রিপ্ট প্রতিক্রিয়াতে অস্বচ্ছ নয়।.
  7. দায়িত্বশীল প্রকাশ ও আপডেট মেকানিজম
    প্রশাসকদের সময়মতো ফিক্স পেতে প্লাগইনে স্পষ্ট আপডেট পথ এবং নিরাপত্তা বিজ্ঞপ্তি প্রদান করুন।.

যদি আপনি প্লাগইনের লেখক হন, তবে সঠিকভাবে আউটপুট এনকোড করে একটি সংশোধিত প্লাগইন সংস্করণ প্রকাশে অগ্রাধিকার দিন এবং আদর্শভাবে ব্যাপকভাবে ব্যবহৃত পুরানো শাখাগুলির জন্য ফিক্সগুলি ব্যাকপোর্ট করুন।.


উদাহরণ WAF নিয়ম এবং ভার্চুয়াল প্যাচিং কৌশল

যেখানে কোন বিক্রেতার প্যাচ এখনও নেই, সেখানে কার্যকারিতা সংরক্ষণ করে WAF বা পরিচালিত ফায়ারওয়ালের মাধ্যমে ভার্চুয়াল প্যাচিং সবচেয়ে নিরাপদ পথ। নীচে নমুনা ধারণাগত নিয়মের প্যাটার্ন রয়েছে — এগুলিকে সম্পূর্ণ বিবেচনা করবেন না। বৈধ ট্রাফিক ব্লক করতে এটির বাস্তবায়ন এবং পরীক্ষা সাবধানে করুন।.

গুরুত্বপূর্ণ নোট: অত্যধিক বিস্তৃত নিয়ম এড়িয়ে চলুন (যেমন, “” দিয়ে সমস্ত অনুরোধের প্যারামিটার ব্লক করা) কারণ অনেক বৈধ ক্লায়েন্ট বা ইন্টিগ্রেশন এনকোড করা কন্টেন্ট ব্যবহার করতে পারে। পরিচিত দুর্বল এন্ডপয়েন্টগুলির জন্য লক্ষ্যযুক্ত নিয়ম ব্যবহার করুন।.

  1. কোয়েরি স্ট্রিংয়ে সাধারণ প্রতিফলিত XSS প্যাটার্ন সনাক্ত করতে ধারণাগত ModSecurity নিয়ম
# উদাহরণ ModSecurity (ধারণাগত) - ব্যবহারের আগে টিউন এবং পরীক্ষা করুন"
  1. নির্দিষ্ট প্লাগইন এন্ডপয়েন্টে ক্ষতিকারক অক্ষর সীমাবদ্ধ করুন
# Only apply to plugin admin endpoint /wp-admin/admin.php?page=hiweb-migration
SecRule REQUEST_URI "@contains /wp-admin/admin.php" "phase:1,chain,id:100002,pass,ctl:ruleRemoveById=981176" 
 SecRule ARGS "page=hiweb-migration" "chain"
 SecRule ARGS "(script|<script|on\w+\s*=|document\.cookie|window\.location)" "deny,status:403,msg:'Reflected XSS pattern in hiWeb Migration Simple endpoint'"
  1. উচ্চ-এন্ট্রপি এনকোডেড পে লোড বা সন্দেহজনক এনকোডিং ব্লক করুন
  • অনেক আক্রমণ পে লোড অস্বাভাবিক এনকোডিং এবং পুনরাবৃত্ত শতাংশ-এনকোডিং বহন করে। অনেক এনকোড করা অক্ষর বা সন্দেহজনক সিকোয়েন্স সহ খুব দীর্ঘ কোয়েরি প্যারামিটার সনাক্ত করুন এবং ব্লক করুন।.
  1. প্রথমে ইতিবাচক নিয়ম ব্যবহার করুন (হোয়াইটলিস্টিং)
  • যদি প্লাগইন এন্ডপয়েন্টগুলি একটি ছোট সেট প্যারামিটার/মান প্রত্যাশা করে, তবে সেই প্যারামিটারগুলির জন্য গ্রহণযোগ্য প্যাটার্ন এবং প্রকারের একটি হোয়াইটলিস্ট প্রয়োগ করুন।.
  1. রেট লিমিটিং এবং IP খ্যাতি পরীক্ষা যোগ করুন
  • কনটেন্ট নিয়মের সাথে মিলিয়ে, রেট লিমিট (যেমন, প্লাগইন এন্ডপয়েন্টে প্রতি IP প্রতি মিনিটে 5টি প্রচেষ্টা) স্বয়ংক্রিয় ভর স্ক্যানিং কমাতে পারে।.
  1. লগিং এবং সতর্কতা
  • নিশ্চিত করুন যে ব্লক করা ইভেন্টগুলি যথেষ্ট প্রসঙ্গ (ক্লায়েন্ট IP, ব্যবহারকারী এজেন্ট, অনুরোধ URL) সহ লগ করা হয়েছে এবং আপনার SIEM/মonitoring এর সাথে একীভূত করুন।.

যদি আপনি একটি হোস্টেড/পরিচালিত WAF পরিষেবা চালান, তবে উৎপাদনে মোতায়েন করার আগে একটি স্টেজিং পরিবেশে ভার্চুয়াল প্যাচটি যাচাই করুন। মিথ্যা ইতিবাচক ঘটনার ক্ষেত্রে রোলব্যাক বিকল্প প্রদান করুন।.


ঘটনা প্রতিক্রিয়া চেকলিস্ট: যদি আপনি আপসের সন্দেহ করেন

যদি আপনি শোষণের লক্ষণ দেখেন, তবে একটি সংগঠিত প্রতিক্রিয়া অনুসরণ করুন:

  1. ধারণ করা
    দুর্বল প্লাগইনটি অস্থায়ীভাবে নিষ্ক্রিয় করুন বা রক্ষণাবেক্ষণ মোড সক্রিয় করুন।.
    যদি সম্ভব হয়, ফায়ারওয়ালের মাধ্যমে আক্রমণকারী IP এবং পরিচিত ক্ষতিকারক এজেন্টগুলি ব্লক করুন।.
  2. প্রমাণ সংরক্ষণ করুন
    ফরেনসিক পর্যালোচনার জন্য লগগুলির (ওয়েব সার্ভার, অ্যাপ্লিকেশন, WAF) একটি কপি তৈরি করুন।.
    পরিবর্তন করার আগে সাইটের ফাইল এবং ডেটাবেসের একটি স্ন্যাপশট নিন।.
  3. নির্মূল করা
    ক্ষতিকারক ব্যবহারকারী, ব্যাকডোর বা ইনজেক্ট করা কোড মুছে ফেলুন।.
    সংশোধিত কোর/প্লাগইন/থিম ফাইলগুলি অফিসিয়াল উৎস থেকে পরিষ্কার সংস্করণ দিয়ে প্রতিস্থাপন করুন।.
  4. পুনরুদ্ধার করুন
    যদি উপলব্ধ থাকে তবে একটি পরিষ্কার ব্যাকআপ থেকে পুনরুদ্ধার করুন।.
    সমস্ত প্রশাসক এবং FTP/হোস্টিং পাসওয়ার্ড, API কী এবং টোকেন পরিবর্তন করুন।.
  5. ঘটনা পরবর্তী পর্যালোচনা
    আক্রমণকারী কিভাবে প্রবেশাধিকার পেয়েছিল তা পর্যালোচনা করুন।.
    ভবিষ্যতে অনুরূপ শোষণ কঠিন করতে নিয়ন্ত্রণগুলি শক্তিশালী করুন।.
  6. স্টেকহোল্ডারদের অবহিত করুন
    দলের সদস্যদের এবং প্রয়োজনে, প্রভাবিত হতে পারে এমন গ্রাহকদের জানিয়ে দিন।.
  7. মনিটর
    সন্দেহজনক ট্রাফিক এবং ইনজেক্ট করা কন্টেন্টের পুনরায় উপস্থিতির জন্য উচ্চতর পর্যবেক্ষণ রাখুন।.

যদি আপনি লঙ্ঘনের গভীরতা সম্পর্কে নিশ্চিত না হন, তবে WordPress অভিজ্ঞতার সাথে একটি পেশাদার ঘটনা প্রতিক্রিয়া দলের সাথে যুক্ত হন।.


WordPress সাইটগুলির জন্য শক্তিশালীকরণ চেকলিস্ট (ব্যবহারিক পদক্ষেপ)

সাইটের নিরাপত্তা রক্ষণাবেক্ষণের অংশ হিসেবে এগুলি করুন:

  • ওয়ার্ডপ্রেসের মূল, থিম এবং প্লাগইনগুলি আপ টু ডেট রাখুন।
  • প্রশাসকদের সংখ্যা সীমিত করুন। সম্ভব হলে নির্দিষ্ট নিম্ন-অধিকার ভূমিকা ব্যবহার করুন।.
  • সমস্ত প্রশাসক অ্যাকাউন্টের জন্য দুই-ফ্যাক্টর প্রমাণীকরণ (2FA) ব্যবহার করুন।.
  • শক্তিশালী পাসওয়ার্ড প্রয়োগ করুন এবং সময়ে সময়ে সেগুলি পরিবর্তন করুন।.
  • নিয়মিত সাইটের ফাইল এবং ডেটাবেসের ব্যাকআপ নিন (ব্যাকআপগুলি অফসাইটে সংরক্ষণ করুন)।.
  • সময়সূচী অনুযায়ী ম্যালওয়্যার স্ক্যান এবং ফাইল অখণ্ডতা পরীক্ষা চালান।.
  • wp-config.php শক্তিশালী করুন (যেখানে সম্ভব সেখানে নন-ওয়েব-রুটে স্থানান্তর করুন, সঠিক ফাইল অনুমতি সেট করুন)।.
  • প্রয়োজন না হলে XML-RPC নিষ্ক্রিয় করুন।.
  • ফাইল অনুমতিতে সর্বনিম্ন অধিকার প্রয়োগ করুন (777 এড়িয়ে চলুন)।.
  • প্রশাসক পৃষ্ঠাগুলির জন্য নিরাপদ পরিবহন (TLS/HTTPS) HSTS হেডার সহ ব্যবহার করুন।.
  • সম্ভব হলে HTTPOnly এবং SameSite=strict এ কুকি সেট করুন।.
  • প্রশাসনিক পৃষ্ঠাগুলোর জন্য একটি কনটেন্ট সিকিউরিটি পলিসি (CSP) ব্যবহার করুন যাতে ইনলাইন স্ক্রিপ্ট কার্যকরী সীমাবদ্ধ থাকে।.
  • দ্রুত প্রতিকার জন্য ভার্চুয়াল প্যাচিং ক্ষমতা সহ একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল ব্যবহার করুন।.

কোন একক ব্যবস্থা একটি সিলভার বুলেট নয় — স্তরিত প্রতিরক্ষা সামগ্রিক ঝুঁকি কমায়।.


WP‑Firewall আপনার সাইটকে কীভাবে রক্ষা করে

WP‑Firewall এ আমরা ওয়ার্ডপ্রেসের জন্য বিশেষভাবে তৈরি একটি গভীর প্রতিরক্ষা পদ্ধতি গ্রহণ করি। যখন ডেভেলপার এবং সাইটের মালিকরা কোড ঠিক করার কঠিন কাজ করেন, আমাদের পরিচালিত ফায়ারওয়াল এবং পরিষেবাগুলি ঝুঁকি কমানোর জন্য দ্রুত, ব্যবহারিক সুরক্ষা প্রদান করে যখন আপনি দুর্বল উপাদানগুলি প্যাচ বা প্রতিস্থাপন করেন।.

প্রতিফলিত XSS পরিস্থিতির সাথে সরাসরি সম্পর্কিত মূল সুরক্ষা যা আমরা প্রয়োগ করি:

  • পরিচালিত ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF)
    আমরা পরিচিত দুর্বলতার জন্য লক্ষ্যযুক্ত ভার্চুয়াল প্যাচ মোতায়েন করি এবং আপনার সাইটে পৌঁছানোর আগে প্রান্তে পরিচিত শোষণ প্যাটার্নগুলি দ্রুত ব্লক করি।.
  • প্রসঙ্গ-সচেতন নিয়ম
    WAF নিয়মগুলি দুর্বল প্লাগইন এন্ডপয়েন্টগুলিতে নির্বাচনীভাবে প্রয়োগ করা হয় যাতে মিথ্যা ইতিবাচকতা কমানো যায় এবং বৈধ ট্রাফিকে বিঘ্নিত করা এড়ানো যায়।.
  • ম্যালওয়্যার স্ক্যানিং এবং বিষয়বস্তু পর্যবেক্ষণ
    সন্দেহজনক পরিবর্তন বা ইনজেক্ট করা কোড সনাক্ত করতে থিম, প্লাগইন এবং আপলোডগুলির ক্রমাগত স্ক্যানিং।.
  • আচরণ এবং হার-সীমা নিয়ন্ত্রণ
    ভর স্ক্যানিং এবং ব্রুট ফোর্স পদ্ধতিগুলি ব্লক করে যা প্রায়শই শোষণের প্রচেষ্টার আগে ঘটে।.
  • ঘটনা সতর্কতা এবং রিপোর্টিং
    ব্লক করা আক্রমণের জন্য তাত্ক্ষণিক সতর্কতা, পাশাপাশি ফরেনসিক বিশ্লেষণের জন্য লগ এবং প্রসঙ্গ।.
  • সুরক্ষা সেরা অনুশীলন নির্দেশিকা
    আমাদের দল গ্রাহকদের প্যাচিং, শক্তিশালীকরণ এবং পুনরুদ্ধারের পদক্ষেপগুলিকে অগ্রাধিকার দিতে সহায়তা করে।.

যদি আপনি একটি প্রয়োজনীয় প্লাগইন তাত্ক্ষণিকভাবে সরাতে না চান, তবে ভার্চুয়াল প্যাচিং সহ একটি পরিচালিত WAF আপনাকে আপনার সাইট অফলাইন না করে প্যাচ করার জন্য শ্বাস নেওয়ার জায়গা দেয়।.


আজই WP‑Firewall ফ্রি প্ল্যানের সাথে আপনার সাইট রক্ষা করা শুরু করুন

যদি আপনি প্যাচগুলি যাচাই করার সময় তাত্ক্ষণিক বেসলাইন সুরক্ষা চান বা দুর্বল প্লাগইনগুলি সরাতে চান, তবে আমাদের বেসিক ফ্রি প্ল্যান শুরু করার জন্য একটি চমৎকার উপায়। এটি সাধারণ আক্রমণ কৌশলগুলি ব্লক করে এবং hiWeb মাইগ্রেশন সিম্পল XSS প্রকাশের মতো ঘটনাগুলির সময় আপনার এক্সপোজার কমায়।.

  • মৌলিক (বিনামূল্যে): অত্যাবশ্যক সুরক্ষা — পরিচালিত ফায়ারওয়াল, অসীম ব্যান্ডউইথ, WAF, ম্যালওয়্যার স্ক্যানার, এবং OWASP টপ ১০ ঝুঁকির প্রশমন।.
  • স্ট্যান্ডার্ড ($50/বছর): সমস্ত বেসিক প্লাস স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ এবং 20 টি আইপিকে ব্ল্যাকলিস্ট/হোয়াইটলিস্ট করার ক্ষমতা।.
  • প্রো ($299/বছর): মাসিক নিরাপত্তা রিপোর্ট, স্বয়ংক্রিয় দুর্বলতা ভার্চুয়াল প্যাচিং এবং একটি নিবেদিত অ্যাকাউন্ট ম্যানেজার এবং পরিচালিত নিরাপত্তা পরিষেবার মতো প্রিমিয়াম অ্যাড-অনগুলিতে অ্যাক্সেস যোগ করে।.

এখন একটি ফ্রি WP-ফায়ারওয়াল পরিকল্পনা শুরু করুন এবং আপনার পুনরুদ্ধারের পরিকল্পনা করার সময় তাত্ক্ষণিক সুরক্ষা পান: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(যদি আপনি ভার্চুয়াল প্যাচ পরীক্ষা করতে বা hiWeb প্লাগইনের জন্য লক্ষ্যযুক্ত নিয়ম কনফিগার করতে সহায়তার প্রয়োজন হয়, আমাদের দল দ্রুত স্থাপন এবং টিউনিংয়ে সহায়তা করতে পারে যাতে ব্যবসায়িক বিঘ্ন কমানো যায়।)


ডেভেলপার চেকলিস্ট: দুর্বল প্লাগইন কোডে পরিবর্তন করতে হবে

যদি আপনি সেই প্লাগইনটি রক্ষণাবেক্ষণ করেন বা উন্নয়ন করেন যা দুর্বল হিসাবে রিপোর্ট করা হয়েছে, তবে এই কংক্রিট পদক্ষেপগুলি অনুসরণ করুন:

  1. দুর্বল সিঙ্ক পয়েন্টগুলি চিহ্নিত করুন
    স্থানগুলি খুঁজে বের করুন যেখানে আপনি ব্যবহারকারীর ইনপুট প্রতিক্রিয়াতে প্রতিধ্বনিত করেন (বিশেষত প্রশাসক পৃষ্ঠা এবং AJAX এন্ডপয়েন্ট)।.
  2. প্রসঙ্গের ভিত্তিতে আউটপুট এনকোডিং প্রয়োগ করুন
    HTML বডি কনটেন্টের জন্য: ব্যবহার করুন esc_html()
    অ্যাট্রিবিউট মানের জন্য: ব্যবহার করুন এসএসসি_এটিআর()
    URL-এর জন্য: ব্যবহার করুন esc_url_raw() / esc_url()
    জাভাস্ক্রিপ্ট ডেটার জন্য: ব্যবহার করুন wp_json_encode() এবং ইনলাইন JS নিরাপদে কাঠামোগত ডেটা হিসাবে পরিবেশন করা হয়
  3. ইনপুটগুলি যাচাই করুন এবং স্বাভাবিক করুন
    প্রত্যাশিত ডেটা প্রকার এবং মান সংজ্ঞায়িত করুন। একটি কঠোর স্কিমার সাথে মেলে না এমন ইনপুটগুলি প্রত্যাখ্যান বা স্যানিটাইজ করুন।.
  4. ক্ষমতা যাচাই এবং ননস ব্যবহার করুন
    নিশ্চিত করুন যে কল করা ব্যবহারকারী অনুরোধ করা ক্রিয়াকলাপগুলি সম্পাদন করতে পারে; ব্যবহার করুন চেক_অ্যাডমিন_রেফারার() বা wp_verify_nonce() যথাযথভাবে।.
  5. একটি নিরাপত্তা বিজ্ঞপ্তি এবং মুক্তির সময়সূচী প্রদান করুন
    ব্যবহারকারীদের সাথে সমস্যা, প্রভাবিত সংস্করণ এবং সুপারিশকৃত পুনরুদ্ধারের পদক্ষেপগুলি সম্পর্কে স্পষ্টভাবে যোগাযোগ করুন।.
  6. WordPress.org বা সরাসরি আপডেট চ্যানেলের মাধ্যমে দ্রুত আপডেটের জন্য উৎসাহিত করুন
    নিশ্চিত করুন যে সংশোধিত প্লাগইনটি মানক আপডেট চ্যানেলের মাধ্যমে বিতরণ করা হয় যাতে প্রশাসকরা স্বয়ংক্রিয়ভাবে আপডেট পান।.

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী (FAQ)

প্রশ্ন: যদি প্রতিফলিত XSS-এর জন্য ব্যবহারকারীর ক্লিক প্রয়োজন হয়, তবে কি এটি কম ঝুঁকি?
ক: প্রয়োজনীয় নয়। প্রশাসক বা সম্পাদকদের ফিশিংয়ের মাধ্যমে লক্ষ্যবস্তু করা যেতে পারে, এবং একটি একক ক্লিক করা আর্ক সেশন চুরি, সাইটের পরিবর্তন বা ম্যালওয়্যার ইনস্টলেশনের দিকে নিয়ে যেতে পারে। এটি একটি মধ্য-উচ্চ অপারেশনাল ঝুঁকি হিসাবে বিবেচনা করুন।.

প্রশ্ন: কন্টেন্ট সিকিউরিটি পলিসি কি সম্পূর্ণরূপে XSS প্রতিরোধ করতে পারে?
ক: CSP একটি শক্তিশালী প্রতিকার কিন্তু সঠিকভাবে কনফিগার করতে হবে। এটি XSS এর প্রভাব কমায় কিন্তু কোডে সঠিক আউটপুট এনকোডিং এবং এস্কেপিংয়ের জন্য একটি বিকল্প নয়।.

প্রশ্ন: আমি কি প্লাগইনটি রেখে ফায়ারওয়ালের উপর নির্ভর করতে পারি?
ক: হ্যাঁ, একটি পরিচালিত WAF ভার্চুয়াল প্যাচিং সহ একটি কার্যকর অস্থায়ী ব্যবস্থা হতে পারে। তবে, সেরা প্রতিকার হল একটি বিক্রেতার প্যাচ ইনস্টল করা বা একটি নিরাপদ বিকল্প পাওয়া গেলে প্লাগইনটি প্রতিস্থাপন করা।.

প্রশ্ন: আমি কত তাড়াতাড়ি কাজ করা উচিত?
ক: অবিলম্বে কাজ করুন। আক্রমণকারীদের জন্য সময়সীমা প্রশস্ত: স্বয়ংক্রিয় স্ক্যানার এবং সুযোগসন্ধানী আক্রমণকারীরা প্রায়শই প্রকাশের কয়েক ঘণ্টার মধ্যে পরিচিত প্লাগইন দুর্বলতাগুলি ব্যবহার করে।.


চূড়ান্ত নোট এবং সুপারিশকৃত পরবর্তী পদক্ষেপ

  1. আপনার সাইটে “hiWeb Migration Simple” এর উপস্থিতি পরীক্ষা করুন। যদি ইনস্টল করা থাকে এবং সংস্করণ <= 2.0.0.1 হয়, তবে অবিলম্বে পদক্ষেপ নিন।.
  2. যদি সম্ভব হয়, একটি নিরাপদ সংস্করণ উপলব্ধ না হওয়া পর্যন্ত প্লাগইনটি মুছে ফেলুন বা নিষ্ক্রিয় করুন। যদি আপনি না পারেন, তবে কঠোর অ্যাক্সেস নিয়ন্ত্রণ + WAF ভার্চুয়াল প্যাচিং প্রয়োগ করুন।.
  3. প্রশাসনিক সুরক্ষা শক্তিশালী করুন (2FA, শক্তিশালী পাসওয়ার্ড, সীমিত ব্যবহারকারী)।.
  4. পরিবর্তন করার আগে পর্যবেক্ষণ বাড়ান এবং ব্যাকআপ নিন।.
  5. বিকাশকারী মেরামতের প্রস্তুতির সময় দ্রুত ভার্চুয়াল প্যাচ প্রয়োগ করতে একটি পরিচালিত WAF পরিষেবা বিবেচনা করুন।.

সুরক্ষা একটি দলগত প্রচেষ্টা। বিকাশকারীদের কোড মেরামত করতে হবে; প্রশাসকদের এক্সপোজার পরিচালনা করতে হবে; এবং সুরক্ষা পরিষেবাগুলি (যেমন WP‑Firewall) ভার্চুয়াল প্যাচিং এবং পরিচালিত নিয়মের মাধ্যমে ঝুঁকির সময়সীমা কমাতে সহায়তা করতে পারে। যদি আপনি অবিলম্বে সুরক্ষা পেতে বা কাস্টমাইজড WAF নিয়মের সাথে সহায়তার প্রয়োজন হয়, তবে আমাদের WP‑Firewall টিম উপলব্ধ।.

নিরাপদ থাকুন — এবং দ্রুত কাজ করুন।.

— WP‑Firewall সুরক্ষা দল


wordpress security update banner

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন
!!

প্রতি সপ্তাহে আপনার ইনবক্সে ওয়ার্ডপ্রেস সিকিউরিটি আপডেট পেতে সাইন আপ করুন।

আমরা স্প্যাম করি না! আমাদের পড়ুন গোপনীয়তা নীতি আরও তথ্যের জন্য।