Bigfishgames Syndicate Plugin-এ CSRF দুর্বলতা//প্রকাশিত হয়েছে 2026-05-20//CVE-2026-6452

WP-ফায়ারওয়াল সিকিউরিটি টিম

Bigfishgames Syndicate Vulnerability

প্লাগইনের নাম বিগফিশগেমস সিন্ডিকেট
দুর্বলতার ধরণ সিএসআরএফ (ক্রস-সাইট অনুরোধ জালিয়াতি)
সিভিই নম্বর CVE-2026-6452
জরুরি অবস্থা কম
সিভিই প্রকাশের তারিখ 2026-05-20
উৎস URL CVE-2026-6452

বিগফিশগেমস সিন্ডিকেট প্লাগইনে ক্রস-সাইট রিকোয়েস্ট ফরজারি (CSRF) — ওয়ার্ডপ্রেস সাইট মালিকদের যা জানা উচিত

১৯ মে ২০২৬-এ একটি পাবলিক সিকিউরিটি পরামর্শ বিগফিশগেমস সিন্ডিকেট ওয়ার্ডপ্রেস প্লাগইনে (সংস্করণ <= ১.২) একটি ক্রস-সাইট রিকোয়েস্ট ফরজারি (CSRF) দুর্বলতা প্রকাশ করেছে। এটি CVE-2026-6452 এর অধীনে ট্র্যাক করা হয়েছে এবং ৪.৩ এর CVSS বেস গুরুতরতার স্কোর সহ শ্রেণীবদ্ধ করা হয়েছে — যা নিম্ন হিসাবে শ্রেণীবদ্ধ। যদিও স্কোরটি নিম্ন, CSRF বাগগুলি বৃহত্তর আক্রমণ চেইনের অংশ হিসাবে ব্যবহার করা যেতে পারে, এবং এগুলি তাত্ক্ষণিক মনোযোগ প্রাপ্য কারণ সফল শোষণ প্রায়শই কেবল সামাজিক প্রকৌশল (যেমন, একটি প্রমাণীকৃত প্রশাসককে একটি লিঙ্কে ক্লিক করতে প্রলুব্ধ করা) প্রয়োজন।.

এই পোস্টে আমরা:

  • এই দুর্বলতা ঠিক কি এবং কেন এটি গুরুত্বপূর্ণ তা ব্যাখ্যা করব।.
  • আক্রমণের শর্তাবলী এবং বাস্তবসম্মত প্রভাব বর্ণনা করব।.
  • সাইট মালিক এবং প্রশাসকদের জন্য যুক্তিসঙ্গত, অগ্রাধিকার ভিত্তিক প্রশমন পদক্ষেপগুলি নির্ধারণ করব।.
  • সনাক্তকরণ টিপস এবং ব্যবহারিক WAF এবং ভার্চুয়াল-প্যাচ কৌশল (কিভাবে WP-Firewall সাইটগুলি রক্ষা করে তা সহ) প্রদান করব।.
  • যদি আপনি শোষণের সন্দেহ করেন তবে একটি পরিষ্কার ঘটনা প্রতিক্রিয়া চেকলিস্ট অফার করব।.
  • ভবিষ্যতের CSRF এক্সপোজার কমানোর জন্য দীর্ঘমেয়াদী শক্তিশালীকরণ পদক্ষেপ ব্যাখ্যা করব।.

আমার সুপারিশগুলি বাস্তব-বিশ্বের ওয়ার্ডপ্রেস সিকিউরিটি অনুশীলন থেকে এসেছে — কোন মার্কেটিং ফ্লাফ নয়, কেবল ব্যবহারিক, অগ্রাধিকার ভিত্তিক পরামর্শ যা আপনি আজই প্রয়োগ করতে পারেন।.

নির্বাহী সারসংক্ষেপ (সাইট মালিকদের জন্য দ্রুত)

  • বিগফিশগেমস সিন্ডিকেট প্লাগইন সংস্করণ ১.২ পর্যন্ত একটি CSRF দুর্বলতা বিদ্যমান।.
  • দুর্বলতাটি একটি আক্রমণকারীকে একটি লগ ইন করা, বিশেষাধিকারপ্রাপ্ত ব্যবহারকারী (যেমন, একজন প্রশাসক) কে একটি তৈরি করা লিঙ্ক/পৃষ্ঠায় গিয়ে অপ্রয়োজনীয় ক্রিয়াকলাপ (বিশেষত সেটিংস রিসেট এবং আপডেট) করতে প্রলুব্ধ করতে দেয়।.
  • শোষণের জন্য ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন (বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীকে ক্ষতিকারক সামগ্রীতে যেতে বা ক্লিক করতে হবে)।.
  • প্রকাশের সময় কোন বিক্রেতার প্যাচ উপলব্ধ ছিল না; তাত্ক্ষণিক প্রশমনগুলির মধ্যে প্লাগইনটি নিষ্ক্রিয় করা অন্তর্ভুক্ত রয়েছে যদি এটি ব্যবহার না করা হয়, প্লাগইন সেটিংসে প্রবেশ সীমিত করা এবং একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) বা ভার্চুয়াল প্যাচিং ব্যবহার করা।.
  • WP-Firewall গ্রাহকরা একটি স্থায়ী সমাধান প্রয়োগের সময় শোষণের প্রচেষ্টা ব্লক করতে পরিচালিত নিয়ম এবং ভার্চুয়াল প্যাচ প্রয়োগ করতে পারেন।.

পটভূমি: CSRF কি এবং এটি এখানে কিভাবে প্রযোজ্য?

ক্রস-সাইট রিকোয়েস্ট ফরজারি (CSRF) হল একটি ওয়েব দুর্বলতার শ্রেণী যা একটি প্রমাণীকৃত ব্যবহারকারীর ব্রাউজারকে একটি অনুরোধ পাঠাতে প্রলুব্ধ করে যা ব্যবহারকারী ইচ্ছা করেনি এমন একটি ক্রিয়া সম্পাদন করে। ব্রাউজার স্বয়ংক্রিয়ভাবে ব্যবহারকারীর প্রমাণীকরণ সেশন (কুকিজ, বেসিক অথরাইজেশন, ইত্যাদি) অন্তর্ভুক্ত করে, তাই ক্রিয়াটি ব্যবহারকারীর বিশেষাধিকার সহ সম্পন্ন হয়।.

সাধারণ CSRF পূর্বশর্ত:

  • লক্ষ্য কর্মটি রাষ্ট্র পরিবর্তনকারী (POST, পার্শ্বপ্রতিক্রিয়া সহ GET, ইত্যাদি)।.
  • দুর্বল এন্ডপয়েন্ট একটি প্রতি-অনুরোধ টোকেন (ননস) যাচাই করে না বা একটি বৈধ উত্স/রেফারার/ক্ষমতা পরীক্ষা করে না।.
  • যথেষ্ট অধিকার সহ একজন ব্যবহারকারী অ্যাপ্লিকেশনে প্রমাণীকৃত এবং একটি আক্রমণকারী-নিয়ন্ত্রিত সম্পদ (পৃষ্ঠা, ইমেল, লিঙ্ক) এর সাথে যোগাযোগ করে।.

Bigfishgames Syndicate মামলায় প্লাগইন সেটিংস রিসেট/আপডেট এন্ডপয়েন্টগুলি যথাযথভাবে একটি WordPress ননস প্রয়োজন বা যাচাই করে না বা যথেষ্ট ক্ষমতা পরীক্ষা করে না। ফলস্বরূপ, একজন আক্রমণকারী একটি অনুরোধ তৈরি করতে পারে যা, যদি একটি প্রমাণীকৃত প্রশাসক দ্বারা পরিদর্শন বা জমা দেওয়া হয়, প্লাগইন সেটিংস পরিবর্তন করবে বা কনফিগারেশন রিসেট করবে — সম্ভাব্যভাবে আরও ভুল কনফিগারেশন বা পরবর্তী আক্রমণ সক্ষম করবে।.

দুর্বলতার বিশদ (উচ্চ স্তর)

  • প্রভাবিত সফটওয়্যার: Bigfishgames Syndicate WordPress প্লাগইন, সংস্করণ <= 1.2।.
  • শ্রেণী: ক্রস-সাইট রিকোয়েস্ট ফরজারি (CSRF)।.
  • CVE: CVE-2026-6452।.
  • প্রয়োজনীয় ব্যবহারকারী ইন্টারঅ্যাকশন: হ্যাঁ (একটি বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীকে একটি তৈরি পৃষ্ঠা পরিদর্শন করতে হবে বা একটি তৈরি লিঙ্কে ক্লিক করতে হবে)।.
  • প্রয়োজনীয় বিশেষাধিকার: একটি বিশেষাধিকারপ্রাপ্ত ব্যবহারকারী সেশন (প্রশাসক বা একটি ভূমিকা যা প্লাগইন সেটিংস পরিবর্তন করতে অনুমতি দেয়)।.
  • সরাসরি প্রভাব: আক্রমণকারী-নির্ধারিত কনফিগারেশন পরিবর্তন, সেটিংস রিসেট, বা প্রশাসকের উদ্দেশ্য ছাড়াই আপডেট।.
  • প্রকাশের সময় প্যাচের অবস্থা: পরামর্শ প্রকাশের সময় কোনও অফিসিয়াল বিক্রেতার প্যাচ উপলব্ধ নেই।.

বিঃদ্রঃ: যদিও এই সমস্যা নিজেই একটি দূরবর্তী কোড কার্যকরকরণ দুর্বলতা নয়, একটি সফল সেটিংস পরিবর্তন বা রিসেট আক্রমণকারীদের অন্যান্য কনফিগারেশন পরিবর্তন করতে সক্ষম করতে পারে যা ম্যালওয়্যার ইনস্টলেশন, বিশেষাধিকার বৃদ্ধি, বা সাইট স্থায়িত্বকে সহজতর করে।.

বাস্তবসম্মত শোষণের দৃশ্যকল্প

সম্ভাব্য আক্রমণ দৃশ্যগুলি বোঝা প্রতিরক্ষাকে অগ্রাধিকার দিতে সাহায্য করে। নীচে একটি আক্রমণকারী যে সম্ভাব্য পথগুলি নিতে পারে।.

  1. লক্ষ্যবস্তু প্রশাসক সামাজিক প্রকৌশল
    আক্রমণকারী একটি ই-মেইল বা ড্যাশবোর্ড বার্তা তৈরি করে যাতে একটি ক্ষতিকারক পৃষ্ঠায় একটি লিঙ্ক থাকে।.
    যখন একটি প্রমাণীকৃত প্রশাসক লিঙ্কে ক্লিক করে, পৃষ্ঠাটি প্লাগইনের সেটিংস এন্ডপয়েন্টে একটি POST ট্রিগার করে (প্রশাসকের সেশন ব্যবহার করে), বিকল্পগুলি রিসেট বা পরিবর্তন করে।.
  2. জনসাধারণের সামগ্রীর উপর ড্রাইভ-বাই শোষণ
    একজন আক্রমণকারী একটি ক্ষতিকারক পৃষ্ঠা হোস্ট করে যা লোড হওয়ার সময় দুর্বল এন্ডপয়েন্টে অনুরোধগুলি জারি করে। যদি একজন প্রশাসক একটি ক্ষতিগ্রস্ত তৃতীয় পক্ষের সাইট বা আক্রমণকারী সামগ্রীর সাথে একটি বৈধ সাইট ব্রাউজ করে, তবে অনুরোধটি কার্যকর হতে পারে।.
  3. স্থায়িত্ব সক্ষমকারী চেইনড আক্রমণ
    CSRF দ্বারা করা সেটিং পরিবর্তনগুলি পরবর্তী কার্যক্রমের জন্য দরজা খুলতে পারে: দূরবর্তী কোড গ্রহণকারী একটি বৈশিষ্ট্য সক্ষম করা, যোগাযোগের ইমেলগুলি আক্রমণকারী-নিয়ন্ত্রিত ঠিকানায় পরিবর্তন করা, বা সুরক্ষামূলক বৈশিষ্ট্যগুলি অক্ষম করা — তারপর একটি দ্বিতীয় পর্যায়ের আক্রমণ ম্যালওয়্যার যোগ করে।.

কারণ এই শোষণের জন্য শুধুমাত্র একটি বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীকে প্রমাণীকৃত হতে এবং সামগ্রীর সাথে যোগাযোগ করতে হবে, অনেক প্রশাসক, সম্পাদক, বা বিশেষাধিকারপ্রাপ্ত অবদানকারীদের সাথে সাইটগুলির উচ্চতর এক্সপোজার ঝুঁকি রয়েছে।.

প্রভাব মূল্যায়ন — একটি সাইটের মালিকের জন্য কী গুরুত্বপূর্ণ তা জানা উচিত

যদিও এই পরামর্শে CVSS তীব্রতা “নিম্ন”, প্রকৃত প্রভাব প্রেক্ষাপটের উপর নির্ভর করে:

  • যদি প্লাগইনটি সক্রিয় থাকে এবং এর সেটিংগুলি সাইটের আচরণ নিয়ন্ত্রণ করে (যেমন, দূরবর্তী সামগ্রী, কলব্যাক, বা ইন্টিগ্রেশন সক্ষম করা), বাধ্যতামূলক পরিবর্তনগুলি মাঝারি থেকে উচ্চ প্রভাব ফেলতে পারে।.
  • যদি প্লাগইনটি ব্যবহার না করা হয় বা নিষ্ক্রিয় থাকে, তবে বাস্তবিক প্রভাব কম — তবে প্লাগইন ফাইলের উপস্থিতি এখনও এক্সপোজার বাড়ায়।.
  • অনেক বিশেষাধিকারপ্রাপ্ত ব্যবহারকারী বা শেয়ার করা প্রশাসক অ্যাকাউন্ট সহ সংস্থাগুলি উচ্চতর ঝুঁকিতে রয়েছে।.
  • একক প্রশাসক অ্যাকাউন্ট সহ ছোট ব্যবসার সাইটগুলি এখনও সামাজিক-প্রকৌশলের মাধ্যমে ঝুঁকির সম্মুখীন হয়।.

সংক্ষেপে: এটি একটি গুরুত্বপূর্ণ রক্ষণাবেক্ষণ সমস্যা হিসাবে বিবেচনা করুন। দুর্বলতা সহজেই সাধারণ সামাজিক প্রকৌশল দিয়ে অস্ত্রায়িত করা যায়, এবং এটি একটি বড় শোষণ চেইনের অংশ হতে পারে।.

তাত্ক্ষণিক পদক্ষেপ (প্রথম 24 ঘণ্টা)

যদি আপনি এই প্লাগইনটি ইনস্টল করা WordPress চালান, তবে অবিলম্বে নিম্নলিখিতগুলি করুন — অগ্রাধিকারের ভিত্তিতে:

  1. মূল্যায়ন করুন: নির্ধারণ করুন যে প্লাগইনটি ইনস্টল করা হয়েছে এবং সক্রিয় আছে কিনা।.
    • ড্যাশবোর্ড: প্লাগইন -> ইনস্টল করা প্লাগইন -> “Bigfishgames Syndicate” অনুসন্ধান করুন।.
    • যদি ইনস্টল করা থাকে, তবে প্লাগইনের সংস্করণ চেক করুন। যদি <= 1.2 হয়, তবে প্লাগইনটি দুর্বল বলে মনে করুন।.
  2. যদি আপনাকে প্লাগইনটির প্রয়োজন না হয়: এটি নিষ্ক্রিয় করুন এবং মুছে ফেলুন।.
    • আপনি যে প্লাগইনগুলি ব্যবহার করেন না সেগুলি দায়িত্ব। সম্ভব হলে কেবল নিষ্ক্রিয় করার পরিবর্তে আনইনস্টল করুন।.
  3. যদি আপনাকে ব্যবসায়িক কারণে এটি সক্রিয় রাখতে হয়:
    • প্রশাসনিক অ্যাক্সেস অস্থায়ীভাবে সীমিত করুন। পূর্ণ প্রশাসক অধিকার সহ ব্যবহারকারীর সংখ্যা কমান।.
    • শক্তিশালী, অনন্য প্রশাসক পাসওয়ার্ড প্রয়োগ করুন এবং সমস্ত বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টের জন্য বহু-ফ্যাক্টর প্রমাণীকরণ (MFA) সক্ষম করুন।.
    • সন্দেহজনক পরিবর্তন বা লগইনগুলির জন্য সাম্প্রতিক প্রশাসক সেশন কার্যকলাপ এবং লগগুলি পর্যালোচনা করুন।.
  4. যদি আপনার কাছে একটি WAF বা নিরাপত্তা প্লাগইন থাকে যা ভার্চুয়াল প্যাচিং সমর্থন করে, তবে একটি অস্থায়ী নিয়ম প্রয়োগ করুন (নীচের WAF বিভাগ দেখুন)। যদি আপনি WP-Firewall ব্যবহার করেন, তবে আমরা দুর্বল এন্ডপয়েন্টগুলিতে আক্রমণগুলি অবিলম্বে ব্লক করার জন্য একটি পরিচালিত নিয়ম সেট প্রয়োগ করতে পারি।.
  5. আপনার অভ্যন্তরীণ দল বা হোস্টিং প্রদানকারীকে জানিয়ে দিন যাতে তারা সচেতন হয় এবং পর্যবেক্ষণ বা প্রশমনে সহায়তা করতে পারে।.
  6. যদি আপনি সন্দেহ করেন যে নিরাপত্তা লঙ্ঘন হয়েছে: প্রশাসক পাসওয়ার্ড পরিবর্তন করুন এবং প্রভাবিত গোপনীয়তাগুলি ঘুরিয়ে দিন, তারপর পরে অন্তর্ভুক্ত ঘটনা প্রতিক্রিয়া চেকলিস্ট অনুসরণ করুন।.

আজ আপনি প্রয়োগ করতে পারেন এমন স্বল্পমেয়াদী প্রশমন প্যাটার্ন

যখন একটি অফিসিয়াল প্যাচ এখনও উপলব্ধ নয়, এই স্বল্পমেয়াদী প্রশমনগুলি এক্সপোজার কমায়:

  • যদি প্রয়োজন না হয় তবে প্লাগইনটি মুছে ফেলুন বা নিষ্ক্রিয় করুন।.
  • প্রশাসক অ্যাক্সেস পরিচিত আইপিগুলিতে সীমাবদ্ধ করুন (যদি সম্ভব হয়) বা দলের প্রশাসক অ্যাক্সেস ভিপিএন-এর পিছনে রাখুন।.
  • প্রশাসক অ্যাকাউন্টের জন্য 2FA প্রয়োগ করুন এবং পুরনো প্রশাসক ব্যবহারকারীদের মুছে ফেলুন।.
  • প্রশাসক এলাকা শক্তিশালী করুন: /wp‑admin কে একটি আইপি হোয়াইটলিস্ট বা অতিরিক্ত প্রমাণীকরণের পিছনে সরান, প্লাগইন পৃষ্ঠাগুলিতে অ্যাক্সেস নির্দিষ্ট ভূমিকার জন্য সীমাবদ্ধ করুন।.
  • WAF/ভার্চুয়াল প্যাচ নিয়ম প্রয়োগ করুন যা:
    • বৈধ WordPress nonce প্যারামিটার (_wpnonce) অন্তর্ভুক্ত না করা প্লাগইন প্রশাসক এন্ডপয়েন্টগুলিতে POST অনুরোধগুলি ব্লক করুন।.
    • প্রযোজ্য হলে বাহ্যিক বা সন্দেহজনক রেফারার থেকে আসা প্লাগইন এন্ডপয়েন্টগুলিতে অনুরোধগুলি ব্লক করুন।.
  • দুর্বল প্লাগইন দ্বারা ব্যবহৃত নির্দিষ্ট admin.php?page=… এন্ডপয়েন্টগুলিতে অনুরোধগুলি ব্লক করতে সার্ভার-স্তরের নিয়ম (mod_security, nginx) ব্যবহার করুন।.

এই প্রশমনগুলি ব্যবহারিক এবং বিক্রেতার প্যাচের জন্য অপেক্ষা করার সময় দ্রুত বাস্তবায়িত হতে পারে।.

WP‑Firewall আপনাকে কীভাবে রক্ষা করে (ব্যবস্থাপিত ভার্চুয়াল প্যাচিং এবং WAF)

WP‑Firewall-এ আমরা বহু-স্তরের সুরক্ষা পদ্ধতি গ্রহণ করি:

  • ব্যবস্থাপিত WAF নিয়ম: আমাদের দল নির্দিষ্ট দুর্বলতার জন্য পরিচিত শোষণ প্যাটার্নগুলি ব্লক করার জন্য লক্ষ্যযুক্ত WAF নিয়ম তৈরি এবং স্থাপন করে। এই প্লাগইনের জন্য, একটি ব্যবস্থাপিত নিয়ম প্লাগইনের প্রশাসক পৃষ্ঠাগুলিকে লক্ষ্য করে এবং প্রত্যাশিত nonce টোকেন বা অন্যান্য বৈধ চিহ্নের অভাব রয়েছে এমন অনুরোধগুলি সনাক্ত এবং ব্লক করতে পারে।.
  • ভার্চুয়াল প্যাচিং: যখন একটি বিক্রেতার প্যাচ এখনও উপলব্ধ নয়, WAF স্তরে একটি ভার্চুয়াল প্যাচ শোষণের প্রচেষ্টা অ্যাপ্লিকেশনে পৌঁছাতে বাধা দেয়।.
  • ম্যালওয়্যার স্ক্যানিং এবং স্বয়ংক্রিয় সনাক্তকরণ: WP‑Firewall প্লাগইন এবং থিম ডিরেক্টরিগুলি সন্দেহজনক পরিবর্তনের জন্য স্ক্যান করে যা প্রায়শই শোষণের পরে ঘটে।.
  • রেট লিমিটিং এবং আইপি খ্যাতি: সন্দেহজনক আইপির কাছ থেকে অস্বাভাবিক অনুরোধের প্যাটার্ন বা পুনরাবৃত্ত প্রচেষ্টা ব্লক করা আক্রমণের পৃষ্ঠকে কমায়।.
  • বিজ্ঞপ্তি এবং লগ: বিস্তারিত সতর্কতা প্রশাসকদের দ্রুত পদক্ষেপ নিতে দেয় যদি শোষণের চেষ্টা করা হয়।.

যদি আপনি নিজে কাজ করতে চান, তবে নিচে নিরাপদ, সাধারণ WAF নিয়মের ধারণাগুলি রয়েছে যা আপনি বাস্তবায়ন করতে পারেন বা আপনার হোস্টিং প্রদানকারীর কাছে প্রয়োগ করতে বলতে পারেন।.

উদাহরণ WAF / সার্ভার নিয়ম (মার্গদর্শন)

নিচে প্রশাসক এন্ডপয়েন্টের বিরুদ্ধে CSRF-শৈলীর প্রচেষ্টা ব্লক করার জন্য ধারণাগত উদাহরণ রয়েছে। এগুলি কপি-পেস্ট সিলভার বুলেট নয় — আপনার পরিবেশের জন্য পথ, প্যারামিটার এবং পরীক্ষাগুলি সামঞ্জস্য করুন। সর্বদা উৎপাদনের আগে একটি স্টেজিং পরিবেশে নিয়মগুলি পরীক্ষা করুন।.

  1. ননস প্যারামিটার অনুপস্থিত প্লাগইন প্রশাসক এন্ডপয়েন্টে POST অনুরোধ ব্লক করুন
    • যুক্তি: বৈধ প্রশাসক ফর্মগুলিতে একটি _wpnonce প্যারামিটার অন্তর্ভুক্ত থাকে; বেশিরভাগ স্বয়ংক্রিয় শোষণ প্রচেষ্টা বা CSRF পে লোড একটি বৈধ ননস বাদ দেবে।.
    • সাধারণ যুক্তি (ছদ্ম):
      • যদি HTTP অনুরোধ পদ্ধতি POST হয়
      • এবং অনুরোধ URI /wp‑admin/admin.php* বা /wp‑admin/options‑general.php* এর সাথে মেলে এবং page=bigfishgames (অথবা প্লাগইনের প্রশাসক স্লাগ) অন্তর্ভুক্ত করে
      • এবং POST প্যারামিটার _wpnonce উপস্থিত নেই বা দৈর্ঘ্য অস্বাভাবিক
      • তাহলে অনুরোধ ব্লক করুন বা চ্যালেঞ্জ করুন।.
  2. প্লাগইনের পাবলিক অ্যাকশন এন্ডপয়েন্টে সরাসরি অজ্ঞাত GET বা POST প্রচেষ্টা ব্লক করুন
    • যুক্তি: কিছু প্লাগইন প্রশাসক-অ্যাজ.php বা কাস্টম এন্ডপয়েন্টের মাধ্যমে অ্যাকশন গ্রহণ করে; বৈধ ননস বা সক্ষমতা পরীক্ষার সাথে একই উত্সে সীমাবদ্ধ করুন।.
    • সাধারণ যুক্তি:
      • যদি অনুরোধ URI প্রশাসক-অ্যাজ.php অন্তর্ভুক্ত করে এবং অ্যাকশন প্যারামিটার প্লাগইন অ্যাকশন নামের সমান হয়
      • এবং রেফারার বাহ্যিক অথবা কোন _wpnonce উপস্থিত নেই
      • তাহলে ব্লক করুন বা ক্যাপচা প্রয়োজন।.
  3. হার নির্ধারণ এবং স্বাক্ষর মেলানো
    • প্লাগইনের এন্ডপয়েন্টগুলিতে অনুরোধের হার সীমাবদ্ধ করুন যাতে ব্যাপক শোষণ প্রচেষ্টার বিরুদ্ধে প্রতিরোধ করা যায়।.
    • পরিচিত শোষণ প্যাটার্ন ব্লক করুন (যেমন, নির্দিষ্ট প্যারামিটার নাম এবং সন্দেহজনক প্যারামিটার সংমিশ্রণ)।.

গুরুত্বপূর্ণ: ননসের উপস্থিতি একা প্রমাণিত সত্যতা নয়; তবে প্রশাসক POST এর জন্য একটি অনুপস্থিত ননস স্বয়ংক্রিয় বা CSRF আক্রমণের একটি শক্তিশালী সূচক। WAF নিয়মগুলি বিক্রেতার সমাধানগুলি রোল আউট হওয়ার সময় ঝুঁকি উল্লেখযোগ্যভাবে কমাতে পারে।.

যদি আপনি WP‑Firewall ব্যবহার করেন, আমাদের পরিচালিত দল স্বয়ংক্রিয়ভাবে আপনার জন্য এই ভার্চুয়াল প্যাচগুলি তৈরি, পরীক্ষা এবং স্থাপন করবে, মিথ্যা পজিটিভ কমিয়ে।.

সনাক্তকরণ এবং লগিং: লগগুলিতে কী খুঁজতে হবে

নিম্নলিখিত সূচকগুলির জন্য পর্যবেক্ষণ করুন:

  • প্রশাসক পৃষ্ঠাগুলিতে বা admin‑ajax.php তে POST অনুরোধগুলি প্লাগইন অ্যাকশন নাম বা প্লাগইন স্লাগ উল্লেখ করে, বিশেষ করে খালি বা অনুপস্থিত _wpnonce সহ।.
  • /wp‑admin/admin.php?page=… বা আপনার দলের অন্তর্ভুক্ত নয় এমন বাইরের রেফারার বা উৎস থেকে অনুরূপ প্লাগইন ব্যবস্থাপনা URI তে HTTP অনুরোধগুলি।.
  • ডাটাবেসে (wp_options) প্লাগইনের কী উল্লেখ করে প্লাগইন কনফিগারেশন অপশনের অপ্রত্যাশিত পরিবর্তন।.
  • অস্বাভাবিক প্রশাসক ব্যবহারকারীর কার্যকলাপ (অদ্ভুত সময়ে লগইন, অপরিচিত IP থেকে, বা সেটিংস পরিবর্তনের সাথে সাথে)।.
  • অস্বাভাবিক ব্যবহারকারী এজেন্ট সহ বাড়ানো অনুরোধ, বা একাধিক সাইট জুড়ে অনেক অনুরূপ অনুরোধ (মাস-স্ক্যান আচরণ)।.

লগগুলির (অ্যাক্সেস এবং অ্যাপ্লিকেশন) সংরক্ষণ অত্যন্ত গুরুত্বপূর্ণ। যদি আপনি ইতিমধ্যে না করে থাকেন, তবে সম্ভাব্য শোষণের তদন্তের সময় অন্তত 90 দিনের জন্য লগ সংরক্ষণ বাড়ান।.

ঘটনার প্রতিক্রিয়া চেকলিস্ট (যদি আপনার সন্দেহ হয় যে আপস করা হয়েছে)

যদি আপনি সম্ভাব্য শোষণ সনাক্ত করেন, তবে এই অগ্রাধিকার ভিত্তিক, ব্যবহারিক চেকলিস্ট অনুসরণ করুন:

  1. তাত্ক্ষণিক ধারণ
    • দুর্বল প্লাগইন নিষ্ক্রিয় বা অক্ষম করুন।.
    • আপাতত লক বা অবনমিত করুন সেই বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টগুলি যা আপস হতে পারে।.
    • প্রশাসক পাসওয়ার্ড পরিবর্তন করুন এবং MFA প্রয়োগ করুন।.
  2. ফরেনসিক ডেটা সংগ্রহ
    • ওয়েব সার্ভার লগ (অ্যাক্সেস এবং ত্রুটি), অ্যাপ্লিকেশন লগ এবং ডাটাবেস স্ন্যাপশট সংরক্ষণ করুন।.
    • ব্যবহারকারী এবং প্লাগইন পরিবর্তনের ইতিহাস রপ্তানি করুন।.
  3. তদন্ত করুন
    • অপ্রত্যাশিত পরিবর্তনের জন্য সাম্প্রতিক প্রশাসক কার্যক্রম পর্যালোচনা করুন (প্লাগইন সেটিংস রিসেট, অপশন আপডেট)।.
    • ওয়েব শেল, wp‑content/plugins বা আপলোড ডিরেক্টরিতে অজানা ফাইল এবং পরিবর্তিত সময়মত চিহ্নিত করুন।.
    • অদ্ভুত রিডাইরেক্টের জন্য নির্ধারিত কাজ (wp_cron এন্ট্রি) এবং .htaccess পরীক্ষা করুন।.
  4. নির্মূল করা
    • পাওয়া ম্যালিশিয়াস ফাইল বা ব্যাকডোরগুলি সরান।.
    • বিশ্বস্ত উৎস থেকে অখণ্ডতা পরীক্ষা করার পর কোর/প্লাগিন/থিম ফাইল পুনরায় ইনস্টল করুন।.
    • নিশ্চিত করুন যে সমস্ত প্রশাসক পরিচয়পত্র পরিবর্তিত হয়েছে এবং MFA প্রয়োগ করা হয়েছে।.
  5. পুনরুদ্ধার করুন
    • যদি অখণ্ডতা নিশ্চিত করা না যায় তবে একটি পরিষ্কার ব্যাকআপ থেকে পুনরুদ্ধার করুন।.
    • শুধুমাত্র একটি বিক্রেতার প্যাচ প্রয়োগ করার পর বা একটি ভার্চুয়াল প্যাচ স্থাপন এবং যাচাই করার পর প্লাগিনটি পুনরায় সক্ষম করুন।.
  6. ঘটনার পর শক্তিশালীকরণ এবং পর্যালোচনা
    • ঘটনার, মূল কারণ এবং প্রতিকার নথিভুক্ত করুন।.
    • আপনার ব্যবসা বা বিচারিক অঞ্চলের দ্বারা প্রয়োজনীয় যে কোনও ব্যবহারকারী বা তৃতীয় পক্ষের বিজ্ঞপ্তির উপর লুপটি বন্ধ করুন।.

যদি আপনার একটি পরিচালিত নিরাপত্তা পরিষেবা (যেমন WP‑Firewall Managed) থাকে, তবে অবিলম্বে দলের সাথে যোগাযোগ করুন — আমরা ধারণ, ভার্চুয়াল প্যাচিং, স্ক্যানিং এবং প্রতিকার সহায়তায় সহায়তা করতে পারি।.

দীর্ঘমেয়াদী প্রতিকার ও শক্তিশালীকরণের সুপারিশ

CSRF এবং অনুরূপ দুর্বলতার বিরুদ্ধে স্থিতিশীলতা উন্নত করতে:

  • বিক্রেতা এবং প্লাগিন স্বাস্থ্যবিধি
    • শুধুমাত্র বিশ্বস্ত লেখকদের থেকে প্লাগিন ইনস্টল করুন এবং সেগুলি আপডেট রাখুন।.
    • আপনি যে প্লাগিনগুলি ব্যবহার করেন না সেগুলি মুছে ফেলুন। সময়ে সময়ে ইনস্টল করা প্লাগিনগুলি নিরীক্ষণ করুন।.
  • উন্নয়ন সেরা অনুশীলন (প্লাগিন লেখক এবং ডেভেলপারদের জন্য)
    • সমস্ত রাষ্ট্র পরিবর্তনকারী এন্ডপয়েন্টে WordPress ননস (_wpnonce) এবং সক্ষমতা পরীক্ষা প্রয়োগ করুন।.
    • সম্ভব হলে অনুরোধের উত্স যাচাই করুন, কার্যক্রমের জন্য সর্বনিম্ন অনুমতি প্রয়োগ করুন।.
    • রাষ্ট্র পরিবর্তনকারী অপারেশনের জন্য GET অনুরোধ ব্যবহার করা এড়িয়ে চলুন।.
    • নিরাপদ ডিফল্ট প্রদান করুন; “বিপজ্জনক” বিকল্পগুলির জন্য অতিরিক্ত নিশ্চিতকরণের প্রয়োজন করুন।.
  • প্রশাসক দিকের শক্তিশালীকরণ
    • সর্বনিম্ন অনুমতি প্রয়োগ করুন: শুধুমাত্র প্রয়োজনীয় কর্মীদের প্রশাসক অধিকার দিন।.
    • শক্তিশালী পাসওয়ার্ড প্রয়োজন এবং সমস্ত বিশেষাধিকারযুক্ত অ্যাকাউন্টের জন্য 2FA সক্ষম করুন।.
    • আলাদা দায়িত্ব: রুটিন কনটেন্ট কাজের জন্য প্রশাসনিক অ্যাকাউন্ট ব্যবহার করবেন না।.
    • অত্যন্ত সংবেদনশীল পরিবেশের জন্য আইপি অনুমতিপত্র বা ড্যাশবোর্ড অ্যাক্সেস সীমাবদ্ধতা ব্যবহার করুন।.
  • মনিটরিং এবং ব্যাকআপ
    • নিয়মিত ফাইল অখণ্ডতা পর্যবেক্ষণ এবং স্ক্যানিংয়ের সময়সূচী তৈরি করুন।.
    • নিয়মিত, পরীক্ষিত ব্যাকআপগুলি অফ-সাইটে সংরক্ষণ করুন।.
    • প্লাগইনের সেটিংসে কনফিগারেশন পরিবর্তনের জন্য সতর্কতা সক্ষম করুন।.

কিভাবে অগ্রাধিকার দিতে হবে: একটি অপারেশনাল সিদ্ধান্ত প্রবাহ

পরবর্তী পদক্ষেপ নির্ধারণ করতে এই দ্রুত প্রবাহ ব্যবহার করুন:

  1. প্লাগইন কি ইনস্টল করা হয়েছে?
    • না: কিছু করার নেই।.
    • হ্যাঁ: এগিয়ে যান।.
  2. প্লাগইন কি সক্রিয় এবং ব্যবহৃত হচ্ছে?
    • না: আনইনস্টল করুন।.
    • হ্যাঁ: এগিয়ে যান।.
  3. আপনি কি অস্থায়ীভাবে কার্যকারিতা সরিয়ে ফেলতে পারেন বা প্লাগইন প্রতিস্থাপন করতে পারেন?
    • হ্যাঁ: সরান/প্রতিস্থাপন করুন এবং পর্যবেক্ষণ করুন।.
    • না: WAF ভার্চুয়াল প্যাচিং বাস্তবায়ন করুন, অ্যাক্সেস সীমাবদ্ধ করুন, MFA প্রয়োগ করুন এবং প্রশাসকদের সীমিত করুন।.
  4. আপনার হোস্টিং বা সিকিউরিটি প্রদানকারী কি পরিচালিত ভার্চুয়াল প্যাচিং অফার করে?
    • হ্যাঁ: দুর্বল এন্ডপয়েন্টগুলি ব্লক করার জন্য নিয়মের তাত্ক্ষণিক স্থাপনার অনুরোধ করুন।.
    • না: ম্যানুয়াল WAF/সার্ভার নিয়ম প্রয়োগ করুন বা আপনার হোস্টের সাথে যোগাযোগ করুন।.

এই সিদ্ধান্ত প্রবাহ অনুসরণ করলে ডাউনটাইম কমবে এবং এক্সপোজার কমানো নিশ্চিত হবে।.

যোগাযোগ — আপনার স্টেকহোল্ডারদের কী বলবেন

যদি আপনি একটি সাইট পরিচালনা করেন যা গ্রাহক বা অভ্যন্তরীণ দলের দ্বারা ব্যবহৃত হয়:

  • অভ্যন্তরীণভাবে স্বচ্ছ থাকুন: সিস্টেম মালিক এবং প্রশাসকদের দুর্বলতা এবং নেওয়া পদক্ষেপগুলি (নিষ্ক্রিয়তা, ভার্চুয়াল প্যাচিং, সংগৃহীত লগ) সম্পর্কে জানিয়ে দিন।.
  • যদি একটি আপস নিশ্চিত হয়, তাহলে আপনার ঘটনা প্রতিক্রিয়া পরিকল্পনা এবং প্রযোজ্য আইন অনুযায়ী প্রভাবিত স্টেকহোল্ডারদের (গ্রাহক, অংশীদার) জানিয়ে দিন।.
  • একটি সংক্ষিপ্ত সারসংক্ষেপ প্রদান করুন: কি ঘটেছে, কি প্রভাবিত হয়েছে, কি করা হয়েছে নিয়ন্ত্রণে রাখতে, এবং পরবর্তী পদক্ষেপগুলি।.

সময়মতো এবং স্পষ্ট যোগাযোগ বিভ্রান্তি কমায় এবং বিশ্বাস রক্ষা করে।.

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী (FAQ)

প্রশ্ন — আমি কি আতঙ্কিত হব?
উত্তর — না। দুর্বলতা স্বয়ংক্রিয়ভাবে বিপর্যয়কর নয়। এটি একটি প্রমাণিত বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীকে একটি পদক্ষেপ নিতে (একটি পৃষ্ঠা পরিদর্শন করতে) প্রয়োজন। তবে, এটি গুরুতরভাবে নেওয়া উচিত এবং দ্রুত সমাধান করা উচিত, বিশেষ করে একাধিক প্রশাসক সহ সাইটগুলিতে।.

প্রশ্ন — যদি আমি প্লাগইন আনইনস্টল করি, তাহলে কি আমার সাইট নিরাপদ?
উত্তর — প্লাগইনটি সরানো সেই আক্রমণের পৃষ্ঠতল সরিয়ে দেয়। নিশ্চিত করুন যে আপনি ক্ষতিকারক পরিবর্তনগুলি পরীক্ষা করেন এবং প্লাগইনের সাথে সম্পর্কিত যেকোনো অনাথ ফাইল বা ডেটাবেস এন্ট্রি পরিষ্কার করেন।.

প্রশ্ন — প্লাগইন ফাইল নিষ্ক্রিয় করা কি যথেষ্ট হবে?
উত্তর — নিষ্ক্রিয় করা সহায়ক, তবে সম্পূর্ণ আনইনস্টল করা পছন্দনীয়। এছাড়াও, শংসাপত্রগুলি পরিবর্তন করুন এবং নিরাপদ থাকতে আপসের চিহ্নগুলির জন্য স্ক্যান করুন।.

প্রশ্ন — আমি কিভাবে জানব যে আমি শোষিত হয়েছি?
উত্তর — প্লাগইন কনফিগারেশনে সাম্প্রতিক অপ্রত্যাশিত পরিবর্তন, অজানা সময়সূচী কাজ, নতুন প্রশাসক অ্যাকাউন্ট, বা অজানা ফাইলের জন্য দেখুন। লগ পর্যালোচনা করুন এবং ফাইল-অখণ্ডতা স্ক্যানিং ব্যবহার করুন।.

ব্যবহারিক চেকলিস্ট: ধাপে ধাপে

  1. “Bigfishgames Syndicate” এর জন্য প্লাগইন তালিকা অনুসন্ধান করুন।.
  2. যদি ইনস্টল করা থাকে এবং সংস্করণ <= 1.2 হয়, তাহলে অবিলম্বে:
    • প্লাগইন নিষ্ক্রিয় করুন (যদি সম্ভব হয়) অথবা WAF/ভার্চুয়াল প্যাচ প্রয়োগ করুন।.
    • প্রশাসক সেশন সীমিত করুন এবং MFA প্রয়োগ করুন।.
  3. প্রশাসক এন্ডপয়েন্ট অনুরোধগুলি ননস ছাড়া ব্লক করার জন্য WAF নিয়ম বাস্তবায়ন করুন।.
  4. লগ সংগ্রহ করুন এবং একটি ডেটাবেস স্ন্যাপশট নিন।.
  5. আপসের চিহ্নগুলির জন্য সাইট স্ক্যান করুন এবং যেকোনো ক্ষতিকারক ফাইল সরিয়ে ফেলুন।.
  6. বিক্রেতা একটি সংশোধিত সংস্করণ প্রকাশ করার পর প্লাগইনটি পুনরায় ইনস্টল করুন, অথবা একটি নিরাপদ বিকল্পের সাথে প্রতিস্থাপন করুন।.
  7. পরিষেবা পুনরায় সক্ষম করুন এবং পর্যবেক্ষণ চালিয়ে যান।.

WP‑Firewall ফ্রি প্ল্যানে সাইন আপ করুন — এখনই আপনার সাইট রক্ষা করা শুরু করুন

WP‑Firewall বেসিক (ফ্রি) প্ল্যানের সাথে আপনার ওয়ার্ডপ্রেসের মৌলিক বিষয়গুলি সুরক্ষিত করুন

যদি আপনি এই সমস্যাটি মূল্যায়ন বা সমাধান করার সময় তাত্ক্ষণিক, চলমান সুরক্ষা চান, WP‑Firewall একটি বেসিক ফ্রি প্ল্যান অফার করে যা ওয়ার্ডপ্রেস সাইটগুলির জন্য মৌলিক, সর্বদা-চালু সুরক্ষা প্রদান করে। বেসিক প্ল্যানে অন্তর্ভুক্ত:

  • পরিচালিত ফায়ারওয়াল এবং ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) নিয়ম যা সাধারণ শোষণ ভেক্টরগুলি ব্লক করে।.
  • আপনার সাইটের ট্রাফিকের জন্য সীমাহীন ব্যান্ডউইথ এবং অবিরাম সুরক্ষা।.
  • স্বয়ংক্রিয় ম্যালওয়্যার স্ক্যানিং এবং সনাক্তকরণ।.
  • সাধারণ ওয়েব হুমকির প্রতি এক্সপোজার কমাতে OWASP টপ 10 ঝুঁকির জন্য মিটিগেশন।.

বেসিক প্ল্যানটি উপরের পদক্ষেপগুলি নেওয়ার সময় একটি কার্যকর প্রথম স্তর। আপনি দ্রুত ফ্রি প্ল্যানে সাইন আপ করতে পারেন এবং প্রয়োজনে পরিচালিত ভার্চুয়াল প্যাচিং যোগ করতে পারেন: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(যদি আপনাকে স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ, আইপি ব্ল্যাকলিস্টিং, মাসিক সিকিউরিটি রিপোর্ট এবং দুর্বলতা ভার্চুয়াল প্যাচিং প্রয়োজন হয়, আমাদের পেইড প্ল্যানগুলি বিবেচনা করুন — এগুলি উন্নত বৈশিষ্ট্য এবং দ্রুত সমাধানের জন্য একটি পরিচালিত প্রতিক্রিয়া দলের অন্তর্ভুক্ত।)

চূড়ান্ত নোট — একজনের দৃষ্টিকোণ থেকে বাস্তবিক দৃষ্টিভঙ্গি যিনি ওয়ার্ডপ্রেস সুরক্ষা পরিচালনা করেন

এই ধরনের দুর্বলতা মনে করিয়ে দেয় যে প্লাগইনগুলি — এমনকি ছোট বা নিসের — সাইটগুলিকে বাস্তব ঝুঁকির সম্মুখীন করতে পারে। বিশেষ করে CSRF প্রায়শই সামাজিক প্রকৌশলের মাধ্যমে অস্ত্রায়িত করা সহজ। সেরা পদ্ধতি দ্রুত বাস্তব পদক্ষেপ (যদি প্রয়োজন না হয় তবে নিষ্ক্রিয় করুন, প্রশাসকদের লক করুন, WAF নিয়ম প্রয়োগ করুন) এবং দীর্ঘমেয়াদী উন্নতির (প্লাগইন স্বাস্থ্য, MFA, অডিটিং) সংমিশ্রণ।.

যদি আপনি একাধিক সাইট পরিচালনা করেন, স্ক্যানগুলি স্বয়ংক্রিয় করুন এবং পরিচালিত ভার্চুয়াল প্যাচিং প্রয়োগ করুন যাতে আপনাকে প্রতিটি প্রকাশনা আলাদাভাবে অনুসরণ করতে না হয়। যদি আপনি ইন-হাউসে মিটিগেশন পরিচালনা করতে পছন্দ করেন, তবে সার্ভার নিয়ম প্রয়োগ এবং পরিবর্তনগুলি যাচাই করার জন্য একটি পরীক্ষিত প্রক্রিয়া বজায় রাখুন। এবং অবশেষে, ব্যাকআপ এবং লগ রাখুন — এগুলি পুনরুদ্ধার এবং তদন্তকে অনেক সহজ করে তোলে।.

যদি আপনি এক্সপোজার মূল্যায়ন, ভার্চুয়াল প্যাচ স্থাপন, বা সম্ভাব্য শোষণের লক্ষণগুলি তদন্ত করতে সহায়তা চান, WP‑Firewall টিম সহায়তা করতে পারে। আমরা নিয়মিত শোষণ প্রচেষ্টা ব্লক করতে পরিচালিত নিয়ম স্থাপন করি যখন একটি বিক্রেতার প্যাচের জন্য অপেক্ষা করা হয়, এবং আমরা আপনাকে প্রশাসনিক অ্যাক্সেস শক্তিশালী করতে এবং সন্দেহজনক কার্যকলাপের ফরেনসিক তদন্ত করতে সহায়তা করতে পারি।.

নিরাপদ থাকুন, এবং প্রতিটি পাবলিক সিকিউরিটি পরামর্শকে আপনার অপারেশনাল সিকিউরিটি অবস্থান উন্নত করার একটি সুযোগ হিসেবে বিবেচনা করুন।.

রেফারেন্স এবং অতিরিক্ত পড়া

  • CVE‑2026‑6452 (পাবলিক পরামর্শ রেফারেন্স)
  • OWASP: ক্রস-সাইট রিকোয়েস্ট ফরগারি প্রতিরোধের চিট শিট
  • ওয়ার্ডপ্রেস ডেভেলপার হ্যান্ডবুক: ননস এবং সক্ষমতা পরীক্ষা

(যদি আপনাকে WAF নিয়ম প্রয়োগ করতে বা লগ পর্যালোচনা করতে সহায়তা প্রয়োজন হয়, আপনার সিকিউরিটি প্রদানকারী বা হোস্টিং টিমের সাথে যোগাযোগ করুন — সমন্বিত পদক্ষেপগুলি এই সমস্যাগুলিকে অনেক কম ঝুঁকিপূর্ণ করে তোলে।)

wordpress security update banner

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন!!

প্রতি সপ্তাহে আপনার ইনবক্সে ওয়ার্ডপ্রেস সিকিউরিটি আপডেট পেতে সাইন আপ করুন।

আমরা স্প্যাম করি না! আমাদের পড়ুন গোপনীয়তা নীতি আরও তথ্যের জন্য।

একটি প্রশংসামূলক ওয়ার্ডপ্রেস নিরাপত্তা পরামর্শ নির্ধারণ করতে আমাদের সাথে যোগাযোগ করুন

যোগাযোগ করুন

WP-ফায়ারওয়াল
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kawloon, Hong Kong

বৈশিষ্ট্য মূল্য নির্ধারণ ব্লগ প্রবেশ করুন
গোপনীয়তা নীতি সেবা পাবার শর্ত ডক্স অধিভুক্ত

© ২০২৬ WP-Firewall™