প্লাগইনের নাম	ওয়ার্ডপ্রেস এমস্টোর এপিআই প্লাগইন
দুর্বলতার ধরণ	অনিরাপদ সরাসরি বস্তু রেফারেন্স (IDOR)
সিভিই নম্বর	সিভিই-২০২৬-৩৫৬৮
জরুরি অবস্থা	কম
সিভিই প্রকাশের তারিখ	2026-04-09
উৎস URL	সিভিই-২০২৬-৩৫৬৮

এমস্টোর এপিআই প্লাগইনে (<= ৪.১৮.৩) অরক্ষিত সরাসরি অবজেক্ট রেফারেন্স (আইডিওআর) — ওয়ার্ডপ্রেস সাইটের মালিকদের যা জানা উচিত এবং কিভাবে তাদের সাইটগুলি রক্ষা করতে হবে

লেখক: WP-ফায়ারওয়াল সিকিউরিটি টিম
তারিখ: 2026-04-10
ট্যাগ: ওয়ার্ডপ্রেস, নিরাপত্তা, দুর্বলতা, আইডিওআর, এমস্টোর এপিআই, ওয়াফ, ঘটনা প্রতিক্রিয়া

সারাংশ: এমস্টোর এপিআই প্লাগইনে (৪.১৮.৩ সংস্করণ পর্যন্ত) একটি অরক্ষিত সরাসরি অবজেক্ট রেফারেন্স (আইডিওআর) দুর্বলতা একটি প্রমাণীকৃত নিম্ন-অধিকারযুক্ত ব্যবহারকারী (সাবস্ক্রাইবার বা অনুরূপ) কে একটি ওয়ার্ডপ্রেস সাইটে অযাচিত ব্যবহারকারী মেটা আপডেট করতে দেয়। দুর্বলতাটি সিভিই-২০২৬-৩৫৬৮ হিসাবে বরাদ্দ করা হয়েছে এবং এর সিভিএসএস স্কোর ৪.৩ (নিম্ন)। যদিও এটি নিম্ন তীব্রতার হিসাবে শ্রেণীবদ্ধ করা হয়েছে, বাস্তবিক প্রভাব নির্ভর করে কোন ব্যবহারকারী মেটা কী পরিবর্তন করা যায় — কিছু ক্ষেত্রে শোষণ অধিকার বৃদ্ধি, অ্যাকাউন্ট манিপুলেশন, বা সেশন পরিবর্তনের অনুমতি দিতে পারে। এই পোস্টটি ব্যাখ্যা করে কিভাবে ত্রুটিটি কাজ করে, বাস্তব বিশ্বের ঝুঁকি, সনাক্তকরণ পদক্ষেপ, প্রশমন, এবং সুপারিশকৃত শক্তিশালীকরণ অনুশীলন — অবিলম্বে গ্রহণ করার জন্য পদক্ষেপ এবং কিভাবে WP-Firewall আপনার সাইট রক্ষা করতে সাহায্য করতে পারে।.

সুচিপত্র

আইডিওআর কি এবং কেন এটি ওয়ার্ডপ্রেসে গুরুত্বপূর্ণ
এমস্টোর এপিআই আইডিওআর: কি ঘটেছিল (উচ্চ স্তরের)
প্রযুক্তিগত বিশ্লেষণ: কিভাবে দুর্বলতাটি শোষণযোগ্য
বাস্তবিক প্রভাব এবং বাস্তবসম্মত আক্রমণ দৃশ্যপট
শোষণ সনাক্তকরণ এবং আপসের সূচকগুলি কিভাবে
স্বল্পমেয়াদী প্রশমন (যখন আপনি অবিলম্বে আপডেট করতে পারেন না)
দীর্ঘমেয়াদী সমাধান এবং নিরাপদ কোডিং অনুশীলন
ভবিষ্যতের ঝুঁকি কমাতে আপনার ওয়ার্ডপ্রেস সাইটকে শক্তিশালী করা
ঘটনার প্রতিক্রিয়া চেকলিস্ট (ধাপে ধাপে)
কিভাবে WP-Firewall এখন আপনার সাইটকে সুরক্ষিত করতে সাহায্য করতে পারে
WP-Firewall বেসিক (ফ্রি) দিয়ে আপনার সাইট সুরক্ষিত করুন
পরিশিষ্ট: সুপারিশকৃত ওয়াফ নিয়মের উদাহরণ এবং নিরাপদ কোড স্নিপেট

আইডিওআর কি এবং কেন এটি ওয়ার্ডপ্রেসে গুরুত্বপূর্ণ

একটি অরক্ষিত সরাসরি অবজেক্ট রেফারেন্স (আইডিওআর) ঘটে যখন একটি ওয়েব অ্যাপ্লিকেশন অভ্যন্তরীণ অবজেক্ট (আইডি, ফাইল নাম, ডেটাবেস কী) এর রেফারেন্স প্রকাশ করে এবং সেই অবজেক্টগুলির উপর অপারেশন করার আগে যথেষ্ট অ্যাক্সেস নিয়ন্ত্রণ পরীক্ষা প্রয়োগ করতে ব্যর্থ হয়। ওয়ার্ডপ্রেসে, “অবজেক্ট” প্রায়শই ব্যবহারকারী, পোস্ট, সংযুক্তি, এবং ব্যবহারকারী মেটা সারি অন্তর্ভুক্ত করে। যদি একটি প্লাগইন একটি REST এন্ডপয়েন্ট, AJAX হ্যান্ডলার, বা একটি ফর্ম প্রকাশ করে যা একটি ব্যবহারকারী শনাক্তকারী গ্রহণ করে এবং সেই শনাক্তকারী ব্যবহার করে আপডেট করে তবে নিশ্চিত না করে যে অনুরোধকারী লক্ষ্য ব্যবহারকারীর উপর কাজ করার জন্য অনুমোদিত, একজন আক্রমণকারী শনাক্তকারীটি পরিবর্তন করতে পারে এবং অন্যান্য ব্যবহারকারীর ডেটাকে প্রভাবিত করতে পারে।.

কেন এটি ওয়ার্ডপ্রেস সাইটের নিরাপত্তার জন্য গুরুত্বপূর্ণ:

ওয়ার্ডপ্রেস ব্যবহারকারী মেটাতে গুরুত্বপূর্ণ অ্যাকাউন্ট ডেটা সংরক্ষণ করে (যেমন, সেশন টোকেন, ভূমিকা/ক্ষমতা সংরক্ষিত wp_capabilities।, এবং প্লাগইন-নির্দিষ্ট ফ্ল্যাগ)। যদি এগুলোর মধ্যে কোনটি আক্রমণকারী দ্বারা পরিবর্তন করা যায়, তবে সাইটের অখণ্ডতা ক্ষতিগ্রস্ত হতে পারে।.
প্লাগইনগুলি প্রায়ই কাস্টম REST রুট বা AJAX হ্যান্ডলার যোগ করে। যদি সেই হ্যান্ডলারগুলি WordPress সক্ষমতা পরীক্ষা এবং ননস সঠিকভাবে ব্যবহার না করে, তবে সেগুলি IDOR-এর জন্য একটি সাধারণ ভেক্টর হয়ে ওঠে।.
এমনকি “নিম্ন” রেটিংযুক্ত একটি দুর্বলতা একটি বৃহত্তর আপসের জন্য একটি পিভট পয়েন্ট হয়ে উঠতে পারে (যেমন, প্রশাসনিক অ্যাক্সেস পেতে একটি ভূমিকা পরিবর্তন করা)।.

এমস্টোর এপিআই আইডিওআর: কি ঘটেছিল (উচ্চ স্তরের)

MStore API প্লাগইনে একটি দুর্বলতা আবিষ্কৃত হয়েছে যা সংস্করণ <= 4.18.3-কে প্রভাবিত করে যা নিম্ন অধিকারযুক্ত প্রমাণীকৃত ব্যবহারকারীদের — যেমন সাবস্ক্রাইবারদের — একটি প্রকাশিত প্লাগইন এন্ডপয়েন্টের মাধ্যমে অযাচিত ব্যবহারকারী মেটা রেকর্ড আপডেট করতে দেয়। এই সমস্যাটির জন্য CVE-2026-3568 বরাদ্দ করা হয়েছে এবং সংস্করণ 4.18.4-এ প্যাচ করা হয়েছে।.

মূল তথ্য:

দুর্বলতা শ্রেণী: অরক্ষিত সরাসরি অবজেক্ট রেফারেন্স (IDOR) — ভাঙা অ্যাক্সেস নিয়ন্ত্রণ।.
প্রভাবিত প্লাগইন: MStore API (<= 4.18.3)।.
CVE: CVE-2026-3568।.
প্যাচ করা হয়েছে: 4.18.4 (সাইটের মালিকদের অবিলম্বে আপডেট করা উচিত)।.
CVSS: 4.3 (নিম্ন), তবে বাস্তবিক প্রভাব লেখনীয় মেটা কীগুলির উপর নির্ভর করে বেশি হতে পারে।.

এক নজরে: প্লাগইনে একটি এন্ডপয়েন্ট একটি ব্যবহারকারী শনাক্তকারী এবং ব্যবহারকারী মেটা কী/মান গ্রহণ করেছিল শক্তিশালী অনুমতি পরীক্ষা প্রয়োগ না করে, যা একটি নিম্ন-অধিকারযুক্ত অ্যাকাউন্টকে অযাচিত ব্যবহারকারীদের জন্য মেটা পরিবর্তন করতে দেয়।.

প্রযুক্তিগত বিশ্লেষণ: কিভাবে দুর্বলতাটি শোষণযোগ্য

এই বিভাগটি দুর্বলতার সাধারণ মেকানিক্সকে একটি সহজবোধ্য উপায়ে ব্যাখ্যা করে। মূল প্লাগইনের বাস্তবায়ন বিবরণ নির্দিষ্ট, তবে সাধারণ প্যাটার্নটি সাধারণ:

প্লাগইনটি একটি REST এন্ডপয়েন্ট (অথবা AJAX হ্যান্ডলার) নিবন্ধন করে যেমন:
- POST /wp-json/mstore-api/v1/update_user_meta
- অথবা একটি প্রশাসনিক-এজ্যাক্স এন্ডপয়েন্ট যা কল করা হয় admin-ajax.php?action=mstore_update_meta
হ্যান্ডলারটি নিম্নলিখিত প্যারামিটারগুলি গ্রহণ করে যেমন:
- ব্যবহারকারীর আইডি (লক্ষ্য ব্যবহারকারী)
- মেটা_কী (কোন মেটা আপডেট করতে হবে)
- মেটা_মান (লিখার জন্য নতুন মান)
হ্যান্ডলারটি কল করে update_user_meta($user_id, $meta_key, $meta_value) 1. ছাড়া:
- 2. বর্তমান ব্যবহারকারীকে লক্ষ্য ব্যবহারকারীকে আপডেট করার অনুমতি দেওয়া হয়েছে কিনা তা যাচাই করা (যেমন, 3. current_user_can('edit_user', $user_id)).
- 3. কোন মেটা কী পরিবর্তন করার অনুমতি দেওয়া হয়েছে তা সীমাবদ্ধ করা।.
- 4. ইনপুট যথাযথভাবে যাচাই বা স্যানিটাইজ করা।.
- 5. একটি ননস বা REST রুটের জন্য সঠিক অনুমতি কলব্যাক ব্যবহার করা।.
6. এই অনুপস্থিত চেকগুলির কারণে, একটি নিম্ন-অধিকারযুক্ত অ্যাকাউন্টের আক্রমণকারী অন্য ব্যবহারকারীর আইডি এবং পরিবর্তন করার জন্য অযাচিত মেটা কী এবং মান উল্লেখ করে একটি অনুরোধ তৈরি করতে পারে।.

কেন এটি বিপজ্জনক?

7. ওয়ার্ডপ্রেস ব্যবহারকারী মেটাতে ভূমিকা তথ্য সংরক্ষণ করে (wp_capabilities।8. )। যদি মেটা কী পরিবর্তন করা যায়, তবে একটি আক্রমণকারী নিজেকে (অথবা অন্য একটি অ্যাকাউন্ট) উচ্চতর অধিকার দিতে পারে।.
9. সেশন বা প্রমাণীকরণ-সংক্রান্ত মেটা কিছু সেটআপে সেশনগুলি বিঘ্নিত বা হাইজ্যাক করতে ব্যবহার করা যেতে পারে।.
10. প্লাগইন বা থিম-নির্দিষ্ট মেটাডেটা বৈশিষ্ট্যগুলিতে অ্যাক্সেস নিয়ন্ত্রণ করতে পারে — তা আপডেট করা সীমাবদ্ধতা বাইপাস করতে পারে।.
11. স্কেলে, স্বয়ংক্রিয় আক্রমণকারীরা ব্যবহারকারী আইডি সংখ্যা করতে পারে এবং অনেক সাইটে মূল মানগুলি পরিবর্তন করার চেষ্টা করতে পারে।.

গুরুত্বপূর্ণ সতর্কতা: 12. একটি আক্রমণকারী সম্পূর্ণরূপে অধিকার বাড়াতে পারে কিনা তা নির্ভর করে কোন মেটা কী দুর্বল এন্ডপয়েন্টের মাধ্যমে লেখনীয়। অনেক সাইটে, সিরিয়ালাইজড সক্ষমতা অ্যারে সরাসরি পরিবর্তন (wp_capabilities।13. ) ব্যবহারকারীকে স্বয়ংক্রিয়ভাবে লগ ইন করবে না বা ক্যাশ করা সক্ষমতাগুলি রিফ্রেশ করবে না যতক্ষণ না সেশনগুলি একটি অনুমোদনমূলক উপায়ে পরিচালিত হয় — তবে ঝুঁকি বাস্তব এবং এটি গুরুতরভাবে নেওয়া উচিত।.

বাস্তবিক প্রভাব এবং বাস্তবসম্মত আক্রমণ দৃশ্যপট

14. এখানে কিছু কংক্রিট উদাহরণ রয়েছে যা একটি ক্ষতিকারক অভিনেতা এই IDOR ব্যবহার করার পরে চেষ্টা করতে পারে:

বিশেষাধিকার বৃদ্ধি:
- 15. একটি ব্যবহারকারীর জন্য মেটা পরিবর্তন করা যাতে উচ্চতর সক্ষমতা অন্তর্ভুক্ত থাকে (যেমন, একটি সাবস্ক্রাইবারকে প্রশাসক বানানো)। wp_capabilities। 16. যদি সাইট সক্ষমতাগুলি ক্যাশ করে বা সার্ভার-সাইড সেশন ডেটা ব্যবহার করে যা পরবর্তী অনুরোধে পুনরায় লোড হয়, তবে উত্থান তাত্ক্ষণিকভাবে কার্যকর হতে পারে।.
- 17. অ্যাকাউন্ট দখল বা ব্যাকডোর তৈরি:.
18. একটি কাস্টম প্লাগইন বা থিম ব্যবহার করে গোপন প্রশাসনিক বৈশিষ্ট্যগুলিতে অ্যাক্সেস দেওয়ার জন্য মেটা ইনজেক্ট করা।
- 19. দূরবর্তী বৈশিষ্ট্যগুলি সক্ষম করতে বা ওয়েবহুক ইউআরএল পরিবর্তন করতে প্লাগইন-নির্দিষ্ট মেটা পরিবর্তন করা।.
- রিমোট ফিচার সক্ষম করতে বা ওয়েবহুক URL পরিবর্তন করতে প্লাগইন-নির্দিষ্ট মেটা সংশোধন করুন।.
স্থায়িত্ব এবং গোপনীয়তা:
- আক্রমণকারী আইপিগুলিকে হোয়াইটলিস্ট করার জন্য প্লাগইন মেটা ফ্ল্যাগ সেট করুন অথবা নির্দিষ্ট নিরাপত্তা চেক অক্ষম করুন।.
- benign-looking মেটাডেটা যোগ করুন যা পরে একটি ব্যাকডোর ট্রিগার হিসাবে ব্যবহৃত হয়।.
ব্যাপক শোষণ:
- একটি নিম্ন-অধিকারযুক্ত অ্যাকাউন্ট স্বয়ংক্রিয় অনুরোধের সাথে একাধিক ব্যবহারকারী আইডির বিরুদ্ধে একাধিক সাইটে দ্রুত আক্রমণ করার চেষ্টা করতে পারে।.

একটি উদাহরণ পরিস্থিতি:

আক্রমণকারী একটি সাইট অ্যাকাউন্ট নিবন্ধন করে (অথবা ক্রয় করা সাবস্ক্রাইবার অ্যাকাউন্ট ব্যবহার করে)।.
তারা দুর্বল এন্ডপয়েন্টে HTTP অনুরোধগুলি জারি করে user_id=1 (মুখ্য প্রশাসক) এবং meta_key=wp_capabilities, meta_value={"administrator":true}.
সাইটের ক্যাশিং এবং সেশন পরিচালনার উপর নির্ভর করে, সাইটটি এখন একটি অ্যাকাউন্টকে প্রশাসক হিসাবে বিবেচনা করতে পারে — অথবা একটি আক্রমণকারী সেই ভূমিকা সক্রিয় করতে একটি দ্বিতীয় কৌশল ব্যবহার করে।.
প্রশাসক অ্যাক্সেসের সাথে, আক্রমণকারী ব্যাকডোর তৈরি করতে, নতুন প্রশাসক ব্যবহারকারী তৈরি করতে, ক্ষতিকারক প্লাগইন ইনস্টল করতে বা ডেটা এক্সফিলট্রেট করতে পারে।.

প্রতিটি শোষণ প্রচেষ্টা প্রশাসক অ্যাক্সেস দেয় না, তবে কম মেটা পরিবর্তন করাও সাইটের কনফিগারেশনের উপর নির্ভর করে কোড কার্যকরী বা ডেটা প্রকাশের দিকে নিয়ে যেতে পারে।.

শোষণ এবং আপসের সূচক (IoCs) সনাক্ত করার উপায়

যদি আপনি এই দুর্বলতার প্রতিক্রিয়া জানাচ্ছেন বা আপনার সাইট প্রভাবিত হয়েছে কিনা তা পরীক্ষা করছেন, তবে এখানে ব্যবহারিক সনাক্তকরণ পদক্ষেপ এবং IoCs রয়েছে:

সার্ভার লগ এবং অনুরোধের প্যাটার্ন:

প্লাগইনের সাথে সম্পর্কিত REST এন্ডপয়েন্ট বা admin-ajax URLs-এ POST অনুরোধগুলি খুঁজুন (অ্যাক্সেস লগে “mstore” বা সন্দেহজনক প্যারামিটারগুলি ধারণকারী অনুরোধগুলি অনুসন্ধান করুন যেমন ব্যবহারকারীর আইডি এবং মেটা_কী).
একই নিম্ন-অধিকারযুক্ত অ্যাকাউন্ট থেকে usermeta-update এন্ডপয়েন্টগুলিতে পুনরাবৃত্ত অনুরোধ।.
প্রমাণীকৃত সাবস্ক্রাইবার অ্যাকাউন্ট থেকে অপ্রত্যাশিত POST অনুরোধ।.

ডেটাবেস সূচক:

usermeta এন্ট্রিগুলিতে অপ্রত্যাশিত পরিবর্তন (বিশেষ করে wp_capabilities।, wp_user_level, প্লাগইন-নির্দিষ্ট কীসমূহ)।.
নতুন বা পরিবর্তিত প্রশাসক-স্তরের মেটা মান যা সন্দেহজনক অনুরোধের সাথে সম্পর্কিত সময়ে তারিখযুক্ত।.

ওয়ার্ডপ্রেস-স্তরের সূচক:

নতুন প্রশাসক অ্যাকাউন্ট যা আপনি তৈরি করেননি।.
বিদ্যমান ব্যবহারকারীর ভূমিকা পরিবর্তন (অপ্রত্যাশিত প্রশাসকদের জন্য ব্যবহারকারী তালিকা পরীক্ষা করুন)।.
অজানা প্লাগইন সেটিং পরিবর্তন।.

সাম্প্রতিক পরিবর্তনগুলি খুঁজে বের করার জন্য উদাহরণ MySQL প্রশ্ন wp_usermeta সম্পর্কে (যদি আপনি একটি লেনদেন লগ ব্যবহার করেন তবে আপনার টেবিলের প্রিফিক্স এবং টাইমস্ট্যাম্প কলাম অনুযায়ী সামঞ্জস্য করুন):

SELECT user_id, meta_key, meta_value;

(যদি আপনার ডেটাবেস ব্যাকআপ থাকে, তবে দুর্বলতার পূর্বে একটি ব্যাকআপের সাথে বর্তমান অবস্থার তুলনা করুন যে কী পরিবর্তিত হয়েছে তা দেখতে।)

ফাইলসিস্টেম সূচকসমূহ:

wp-content/uploads বা প্লাগইন ডিরেক্টরিতে নতুন ফাইল যা প্রশাসক-স্তরের ক্রিয়াকলাপ দ্বারা তৈরি হয়েছে।.
সন্দেহজনক শোষণের সময়ের চারপাশে পরিবর্তিত প্লাগইন বা থিম ফাইল।.

পর্যবেক্ষণ এবং লগিং টিপস:

সম্ভব হলে প্রশাসক/API পাথের জন্য বিস্তারিত অনুরোধ লগিং সক্ষম করুন একটি সংক্ষিপ্ত সময়ের জন্য।.
অডিট লগিং চালু করুন (এই উদ্দেশ্যে প্লাগইন রয়েছে) দেখতে কে কী পরিবর্তন করেছে এবং কখন।.
যদি আপনি কেন্দ্রীভূত লগিং (ELK, Splunk) ব্যবহার করেন, তবে “update_user_meta” এর মতো দূরবর্তীভাবে আহ্বান করা প্যাটার্নগুলি অনুসন্ধান করুন।.

তাত্ক্ষণিক পদক্ষেপ (স্বল্পমেয়াদী প্রশমন)

যদি আপনি আবিষ্কার করেন যে আপনার সাইট একটি প্রভাবিত সংস্করণ MStore API (<=4.18.3) চালায়, তবে এই তাত্ক্ষণিক পদক্ষেপগুলি অনুসরণ করুন, ক্রমে:

প্লাগইনটি 4.18.4 বা তার পরের সংস্করণে আপডেট করুন (প্রকাশিত প্যাচ)। এটি চূড়ান্ত সমাধান।.
যদি আপনি তাৎক্ষণিকভাবে আপডেট করতে না পারেন:
- প্যাচ করা রিলিজ প্রয়োগ করার সময় পর্যন্ত প্লাগইনটি অস্থায়ীভাবে নিষ্ক্রিয় করুন।.
- যদি নিষ্ক্রিয় করা সম্ভব না হয়, তবে ওয়েব সার্ভার স্তরে (nginx/Apache) বা WAF-এ দুর্বল এন্ডপয়েন্টগুলিতে অ্যাক্সেস ব্লক করুন।.
শংসাপত্র এবং সেশন পুনরায় সেট করুন:
- প্রশাসক অ্যাকাউন্টের জন্য (অথবা যদি আপনি ব্যাপক অপব্যবহারের সন্দেহ করেন তবে সমস্ত অ্যাকাউন্টের জন্য) পাসওয়ার্ড পুনরায় সেট করতে বলুন।.
- ব্যবহারকারীদের জন্য সেশন অবৈধ করুন (যেমন, প্রমাণীকরণ লবণ পরিবর্তন করুন বা একটি প্লাগইন ব্যবহার করুন যা সমস্ত সেশন থেকে লগআউট করতে বাধ্য করে)।.
ব্যবহারকারীর ভূমিকা এবং ইউজারমেটা নিরীক্ষণ করুন:
- নিশ্চিত করুন যে wp_capabilities। এবং wp_user_level এন্ট্রিগুলি সঠিক।.
- আপনি অনুমোদন না করা নতুন তৈরি করা প্রশাসক অ্যাকাউন্টগুলি বাতিল করুন।.
ওয়েবশেল এবং ক্ষতিকারক ফাইলগুলির জন্য স্ক্যান করুন:
- একটি সম্পূর্ণ সাইট ম্যালওয়্যার স্ক্যান চালান এবং ফাইলের অখণ্ডতা পরীক্ষা করুন।
সন্দেহজনক কার্যকলাপের জন্য লগ পর্যালোচনা করুন এবং ফরেনসিক পর্যালোচনার জন্য সেগুলি সংগ্রহ করুন।.
যদি আপনি একটি অনুপ্রবেশ নিশ্চিত করেন এবং সম্পূর্ণভাবে মেরামত করতে না পারেন তবে একটি পরিষ্কার ব্যাকআপ থেকে পুনরুদ্ধার করার কথা বিবেচনা করুন।.

স্বল্পমেয়াদী WAF উপশম (যদি আপডেট তাত্ক্ষণিকভাবে সম্ভব না হয়):

প্লাগইনের REST রুট বা প্রশাসক-অ্যাজ্যাক্স ক্রিয়ায় POST/PUT অনুরোধ ব্লক করুন।.
সেই এন্ডপয়েন্টগুলিতে বিশ্বাসযোগ্য IPs-এ অনুরোধগুলি সীমাবদ্ধ করুন (সার্বজনীন APIs-এর জন্য আদর্শ নয়, তবে অস্থায়ী উপশম হিসাবে উপকারী)।.
নিম্ন-অধিকারযুক্ত অ্যাকাউন্টগুলি থেকে মেটা-সম্পর্কিত প্যারামিটার সেট বা অন্তর্ভুক্ত করে এমন অনুরোধগুলি প্রত্যাখ্যান করুন।.

দীর্ঘমেয়াদী সমাধান এবং নিরাপদ কোডিং অনুশীলন

প্লাগইন লেখক এবং ডেভেলপারদের জন্য, এই নিয়মগুলি অনুসরণ করে IDOR সমস্যাগুলি এড়িয়ে চলুন:

সর্বদা অনুমতি পরীক্ষা প্রয়োগ করুন:
```
register_rest_route( 'mstore-api/v1', '/update_user_meta', array(;
```
পরিবর্তে, কলব্যাক চেক করুন:
```
if ( ! current_user_can( 'edit_user', $user_id ) ) {
```
কোন মেটা কী লেখা যেতে পারে তা সীমাবদ্ধ করুন:
```
$allowed_meta_keys = array( 'phone_number', 'shipping_address' );
```
ইনপুট স্যানিটাইজ এবং বৈধতা যাচাই করুন:
- ব্যবহার করুন sanitize_text_field(), wp_verify_nonce(), এবং টাইপ-উপযুক্ত স্যানিটাইজেশন।.
- ক্লায়েন্ট থেকে প্রাপ্ত সিরিয়ালাইজড অ্যারে সরাসরি লেখার এড়িয়ে চলুন।.
চেক ছাড়া ব্যবহারকারী সরবরাহিত ব্যবহারকারী আইডি ব্যবহার করা এড়িয়ে চলুন:
- যদি একটি ক্রিয়া শুধুমাত্র বর্তমানে প্রমাণীকৃত ব্যবহারকারীকে প্রভাবিত করে, তবে একটি ব্যবহারকারীর আইডি প্যারামিটার একেবারেই গ্রহণ করবেন না।.
AJAX এন্ডপয়েন্ট এবং অনুমতি_কলব্যাক REST এর জন্য ননস বা অন্যান্য অ্যান্টি-CSRF টোকেন ব্যবহার করুন।.
প্রশাসনিক ক্রিয়াকলাপ লগ করুন:
- ব্যবহারকারী ভূমিকা এবং মূল মেটা ক্ষেত্রগুলিতে সমস্ত পরিবর্তনের জন্য একটি অডিট ট্রেইল রাখুন।.

যদি আপনি একটি প্লাগইন বজায় রাখেন, তবে অ্যাক্সেস নিয়ন্ত্রণকে কেন্দ্র করে কোড পর্যালোচনা চালান এবং বিপজ্জনক প্যাটার্নগুলির জন্য স্বয়ংক্রিয় স্ক্যানিং চালান (অবৈধ আপডেট_ইউজার_মেটা কল, অনুপস্থিত সক্ষমতা চেক, ইত্যাদি)।.

ভবিষ্যতের ঝুঁকি কমাতে আপনার ওয়ার্ডপ্রেস সাইটকে শক্তিশালী করা

এই নির্দিষ্ট প্লাগইনটি প্যাচ করার বাইরে, আপনার ওয়ার্ডপ্রেস স্ট্যাক জুড়ে এক্সপোজার কমানোর জন্য এই পদক্ষেপগুলি প্রয়োগ করুন:

নিয়মিত সময়সূচীতে ওয়ার্ডপ্রেস কোর, থিম এবং প্লাগইন আপডেট রাখুন।.
প্রশাসনিক অ্যাকাউন্ট সীমিত করুন এবং ডিফল্ট “অ্যাডমিন” ব্যবহারকারীর নাম ব্যবহার করা এড়িয়ে চলুন।.
উঁচু অধিকার সহ যেকোনো অ্যাকাউন্টের জন্য দুই-ফ্যাক্টর প্রমাণীকরণ (2FA) বাস্তবায়ন করুন।.
শক্তিশালী পাসওয়ার্ড নীতিগুলি প্রয়োগ করুন এবং প্রশাসকদের জন্য পাসওয়ার্ড মেয়াদ শেষ হওয়ার বিষয়টি বিবেচনা করুন।.
একটি পরিচালিত WAF ব্যবহার করুন যা ভার্চুয়াল প্যাচ / নিয়ম সেট প্রয়োগ করতে পারে যাতে আপডেট প্রয়োগের আগেই শোষণের প্রচেষ্টা ব্লক করা যায়।.
পাবলিক অ্যাক্সেসের জন্য প্রয়োজনীয় নয় এমন REST এবং admin-ajax এন্ডপয়েন্টগুলি নিষ্ক্রিয় করুন বা সুরক্ষিত করুন।.
নিয়মিত প্লাগইন অনুমতিগুলি পর্যালোচনা করুন এবং অপ্রয়োজনীয় প্লাগইনগুলি মুছে ফেলুন।.
ভূমিকা এবং সক্ষমতা সীমাবদ্ধতা বাস্তবায়ন করুন: কাস্টম ভূমিকা সাবধানে ব্যবহার করুন এবং যেখানে প্রয়োজন নেই সেখানে প্রতি-ব্যবহারকারী উঁচু সক্ষমতা এড়িয়ে চলুন।.
লগিং সক্ষম করুন এবং সন্দেহজনক প্রশাসক ইভেন্টের জন্য সতর্কতা সেট আপ করুন (নতুন প্রশাসক ব্যবহারকারী, ক্ষমতা পরিবর্তন, প্লাগইন সক্রিয়করণ)।.

ঘটনার প্রতিক্রিয়া চেকলিস্ট (ধাপে ধাপে)

যদি আপনি সন্দেহ করেন যে আপনার সাইটটি এই দুর্বলতার মাধ্যমে লক্ষ্যবস্তু হয়েছে:

চলমান পরিবর্তন বন্ধ করতে সাইটটিকে রক্ষণাবেক্ষণ মোডে রাখুন (যদি প্রয়োজন হয়)।.
MStore API প্লাগইনটি 4.18.4-এ আপডেট করুন (অথবা এটি নিষ্ক্রিয় করুন) তাত্ক্ষণিকভাবে।.
একটি ফরেনসিক স্ন্যাপশট তৈরি করুন:
- বিশ্লেষণের জন্য লগ, ডেটাবেস ডাম্প এবং ফাইল তালিকা রপ্তানি করুন।.
গোপনীয়তা ঘোরান:
- সমস্ত প্রশাসক ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করুন।.
- প্লাগইন দ্বারা ব্যবহৃত API কী, OAuth টোকেন এবং ওয়েবহুক পুনরায় সেট করুন।.
সেশনগুলি জোরপূর্বক লগআউট করুন:
- সমস্ত ব্যবহারকারীর জন্য বিদ্যমান সেশনগুলি অবৈধ করতে একটি প্লাগইন বা প্রোগ্রাম্যাটিক পদ্ধতি ব্যবহার করুন, অথবা অন্তত প্রশাসক অ্যাকাউন্টগুলির জন্য।.
ম্যালওয়্যার এবং ওয়েবশেল স্ক্যান করুন, wp-content, wp-includes, এবং uploads ডিরেক্টরিতে ফোকাস করুন।.
নিরীক্ষা wp_usermeta সম্পর্কে সন্দেহজনক পরিবর্তনের জন্য।.
অনুমোদিত প্রশাসক ব্যবহারকারীদের সরান এবং পরিবর্তিত অ্যাকাউন্টগুলির জন্য সঠিক ভূমিকা পুনরুদ্ধার করুন।.
যদি প্রশাসনিক অ্যাক্সেস অর্জিত হয়, তবে অনুমোদিত প্লাগইন/থিম ইনস্টলেশন এবং ব্যাকডোরগুলি পরীক্ষা করুন।.
যদি সম্পূর্ণ পুনরুদ্ধার প্রয়োজন হয় এবং আপনি অন্যথায় সিস্টেমের অখণ্ডতা নিশ্চিত করতে না পারেন তবে একটি পরিষ্কার ব্যাকআপ থেকে পুনরুদ্ধার করুন।.
শক্তিশালী পাসওয়ার্ড, 2FA, আপডেট করা প্লাগইন এবং WAF নিয়ম সহ শক্তিশালীকরণের সাথে পুনরায় স্থাপন করুন।.
ঘটনাটি যেকোনো অংশীদার/স্টেকহোল্ডারকে রিপোর্ট করুন এবং মেরামতের পদক্ষেপগুলি নথিভুক্ত করুন।.

কিভাবে WP-Firewall এখন আপনার সাইটকে সুরক্ষিত করতে সাহায্য করতে পারে

WP-Firewall-এ আমরা গভীর প্রতিরক্ষার পদ্ধতির সুপারিশ করি। আমাদের প্ল্যাটফর্মটি WordPress সাইটের মালিকদের জন্য ডিজাইন করা হয়েছে যারা MStore API IDOR-এর মতো প্লাগইন দুর্বলতার বিরুদ্ধে দ্রুত, কার্যকর সুরক্ষা প্রয়োজন।.

WP-Firewall এই পরিস্থিতিতে যা প্রদান করে:

পরিচালিত WAF: নিয়মগুলি দ্রুত স্থাপন করা যেতে পারে যা পরিচিত শোষণ প্যাটার্ন এবং দুর্বল প্লাগইন এন্ডপয়েন্টগুলিকে লক্ষ্য করে REST/AJAX অনুরোধগুলি ব্লক করতে।.
ভার্চুয়াল প্যাচিং: অস্থায়ী উপশম যা প্লাগইন আপডেট করার আগেই প্রান্তে এক্সপ্লয়ট প্যাটার্ন ব্লক করে (যখন তাত্ক্ষণিক আপডেট বা পরীক্ষার সুযোগ নেই তখন উপকারী)।.
ম্যালওয়্যার স্ক্যানার: সন্দেহজনক ফাইল এবং আপসের সূচকগুলি দ্রুত খুঁজে বের করে যাতে আপনি নির্ধারণ করতে পারেন যে একজন আক্রমণকারী বৃদ্ধি পেয়েছে কিনা।.
ভূমিকা এবং কার্যকলাপ পর্যবেক্ষণ: ব্যবহারকারীর ভূমিকা পরিবর্তন এবং সন্দেহজনক মেটা আপডেটের জন্য লগ এবং সতর্কতা।.
OWASP শীর্ষ 10 ঝুঁকির জন্য স্বয়ংক্রিয় স্ক্যানিং: অরক্ষিত প্লাগইন এন্ডপয়েন্ট মিস করার সম্ভাবনা কমায়।.
সাধারণ এক্সপ্লয়ট প্যাটার্নের জন্য স্বয়ংক্রিয় উপশম কর্মপ্রবাহ — আপনাকে কম প্রযুক্তিগত পদক্ষেপের সাথে দ্রুত প্রতিক্রিয়া জানাতে দেয়।.

আমরা আমাদের সুরক্ষা বাস্তব জীবনের ঘটনার কথা মাথায় রেখে তৈরি করি। যদি আপনি একাধিক সাইট পরিচালনা করেন, WP-Firewall-এর পরিচালিত নিয়ম এবং ভার্চুয়াল প্যাচিং আপনাকে দ্রুত সবগুলো সুরক্ষিত করতে দেয় যখন আপনি প্লাগইন আপডেট পরীক্ষা এবং রোলআউট করেন।.

WP-Firewall বেসিক (ফ্রি) দিয়ে আপনার সাইট সুরক্ষিত করুন

আপনার সাইটকে এখনই সুরক্ষিত করুন — WP-Firewall বেসিক (ফ্রি) দিয়ে শুরু করুন

যদি আপনি প্লাগইনগুলি মূল্যায়ন এবং প্যাচ করার সময় তাত্ক্ষণিক বেসলাইন সুরক্ষা চান, WP-Firewall বেসিক একটি চমৎকার প্রথম পদক্ষেপ। বেসিক (ফ্রি) পরিকল্পনাটি প্রদান করে:

অপরিহার্য সুরক্ষা: পরিচালিত ফায়ারওয়াল, সীমাহীন ব্যান্ডউইথ, WAF, ম্যালওয়্যার স্ক্যানার এবং OWASP শীর্ষ ১০ ঝুঁকি হ্রাস।

এটি আপনাকে সাধারণ ওয়ার্ডপ্রেস হুমকির জন্য তাত্ক্ষণিক, অবিরাম সুরক্ষা দিতে ডিজাইন করা হয়েছে — ভার্চুয়াল প্যাচিং সহ যা প্রকাশিত প্লাগইন এন্ডপয়েন্টগুলির বিরুদ্ধে এক্সপ্লয়ট প্রচেষ্টা ব্লক করতে পারে। যদি আপনার স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ, আইপি ব্ল্যাকলিস্ট/হোয়াইটলিস্ট নিয়ন্ত্রণ, বা মাসিক সুরক্ষা রিপোর্টের মতো অতিরিক্ত বৈশিষ্ট্যগুলির প্রয়োজন হয়, আমাদের পেইড পরিকল্পনাগুলি ব্যথাহীন আপগ্রেডের অনুমতি দেয়।.

WP-Firewall বেসিক (ফ্রি) এর জন্য সাইন আপ করে দ্রুত শুরু করুন: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(আমরা সুপারিশ করি যে ফ্রি পরিকল্পনাটি তাত্ক্ষণিকভাবে সক্ষম করুন এবং তারপর প্লাগইন আপডেট প্রয়োগ করুন। ভার্চুয়াল প্যাচিং + মূল কারণের প্যাচিংয়ের সংমিশ্রণ আপনাকে সেরা স্বল্প- এবং দীর্ঘমেয়াদী সুরক্ষা দেয়।)

পরিশিষ্ট: সুপারিশকৃত ওয়াফ নিয়মের উদাহরণ এবং নিরাপদ কোড স্নিপেট

A. উদাহরণ WAF ব্লকিং নিয়ম (ধারণাগত; আপনার WAF ইঞ্জিনে অভিযোজিত করুন)

নিম্ন-অধিকারযুক্ত প্রমাণীকৃত ব্যবহারকারীদের থেকে একটি দুর্বল REST রুটে অনুরোধ ব্লক করুন:
নিয়ম: যদি অনুরোধের পথ মেলে ^/wp-json/mstore-api/v1/update_user_meta এবং অনুরোধের পদ্ধতি POST এবং অনুরোধে একটি বৈধ, সাইট-জারি করা হেডার বা টোকেন অন্তর্ভুক্ত না থাকে অথবা প্রমাণীকৃত ভূমিকা সাবস্ক্রাইবার => ব্লক করুন।.
প্রশাসনিক-অ্যাজ এক্সপ্লয়ট প্যাটার্ন ব্লক করুন:
নিয়ম: যদি POST হয় /wp-admin/admin-ajax.php সঙ্গে action=mstore_update_meta এবং মেটা_কী প্যারামিটার উপস্থিত এবং ব্যবহারকারীর ভূমিকা সাবস্ক্রাইবার => ব্লক করুন।.
নোট: সঠিক WAF নিয়মগুলি আপনার WAF সিনট্যাক্সের উপর নির্ভর করে এবং আপনি কি হেডারে প্রমাণীকৃত ভূমিকা পরিদর্শন করতে পারেন। যদি ভূমিকা WAF-এর জন্য উপলব্ধ না হয়, তবে সন্দেহজনক প্যারামিটার সংমিশ্রণগুলি ব্লক বা থ্রোটল করুন এবং reCAPTCHA / চ্যালেঞ্জ জোর করুন।.

বি. উদাহরণ: ওয়ার্ডপ্রেসে REST রুটের জন্য নিরাপদ অনুমতি পরীক্ষা

function mstore_register_routes() {

সি. উদাহরণ: একটি নির্দিষ্ট প্লাগইন REST রুট অক্ষম করতে দ্রুত mu-plugin যতক্ষণ না আপনি আপডেট করতে পারেন

<?php;

এটি একটি অস্থায়ী প্রশমন — নিরাপদ প্লাগইন সংস্করণে আপডেট করার পরে mu-plugin সরান।.

WP-Firewall সুরক্ষা দলের শেষ কথা

IDOR-এর মতো দুর্বলতাগুলি সাধারণ যখন প্লাগইনগুলি অবজেক্ট শনাক্তকারী প্রকাশ করে এবং কঠোর অনুমতি প্রয়োগ করে না। MStore API IDOR (CVE-2026-3568) একটি স্মারক যে এমনকি নিম্ন-গুরুত্বপূর্ণ শ্রেণীবিভাগগুলি নির্দিষ্ট পরিবেশে উল্লেখযোগ্য ঝুঁকিতে রূপান্তরিত হতে পারে। সবচেয়ে নিরাপদ, দ্রুত সমাধান হল যত তাড়াতাড়ি সম্ভব প্যাচ করা সংস্করণে (4.18.4) আপডেট করা।.

যদি আপনি একাধিক ওয়ার্ডপ্রেস সাইট পরিচালনা করেন বা ক্লায়েন্টদের জন্য সাইট হোস্ট করেন, তবে একটি স্তরযুক্ত পদ্ধতির কথা বিবেচনা করুন: সফ্টওয়্যার প্যাচ করা রাখুন, সেশন এবং ভূমিকা শক্তিশালী করুন, এবং একটি প্রান্ত-স্তরের WAF রাখুন যা ভার্চুয়াল প্যাচ প্রয়োগ করতে পারে এবং শোষণ প্যাটার্ন ব্লক করতে পারে। WP-Firewall-এর বেসিক (ফ্রি) পরিকল্পনা আপনাকে দ্রুত সেই মৌলিক সুরক্ষা দিতে ডিজাইন করা হয়েছে যখন আপনি দীর্ঘমেয়াদী সমাধান পরিকল্পনা এবং প্রয়োগ করেন।.

তাত্ক্ষণিক পদক্ষেপ নিন: আপনার প্লাগইন সংস্করণগুলি যাচাই করুন, MStore API-কে 4.18.4 বা তার পরে আপডেট করুন, এবং সুরক্ষা সক্ষম করুন যা অডিট এবং পুনরুদ্ধার করার সময় শোষণ প্রচেষ্টাগুলি ব্লক করবে। যদি আপনি একটি সহজ শুরু পয়েন্ট চান, WP-Firewall Basic কয়েক মিনিটের মধ্যে সক্রিয় হতে পারে: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

যদি আপনি লগ পর্যালোচনা করতে, আপনার পরিবেশের জন্য WAF নিয়ম তৈরি করতে, বা সন্দেহজনক কার্যকলাপের পরে একটি সম্পূর্ণ ফরেনসিক পর্যালোচনা চালাতে সহায়তা প্রয়োজন, আমাদের নিরাপত্তা দল সহায়তা করতে উপলব্ধ।.

নিরাপদে থাকো,
WP-ফায়ারওয়াল সিকিউরিটি টিম

রেফারেন্স এবং সম্পদ (প্রশাসকদের জন্য)

CVE-2026-3568 (MStore API IDOR) — বিস্তারিত জানার জন্য CVE তালিকায় যাচাই করুন।.
ওয়ার্ডপ্রেস ডেভেলপার ডক্স: রেজিস্টার_রেস্ট_রুট(), বর্তমান_ব্যবহারকারী_ক্যান(), nonces, সক্ষমতা পরীক্ষা।.
WP-Firewall ডকুমেন্টেশন এবং দ্রুত শুরু গাইডগুলি সাইনআপের পরে উপলব্ধ।.

MStore API প্লাগইনে IDOR দুর্বলতা // প্রকাশিত হয়েছে 2026-04-09 // CVE-2026-3568

সুচিপত্র

আইডিওআর কি এবং কেন এটি ওয়ার্ডপ্রেসে গুরুত্বপূর্ণ

এমস্টোর এপিআই আইডিওআর: কি ঘটেছিল (উচ্চ স্তরের)

প্রযুক্তিগত বিশ্লেষণ: কিভাবে দুর্বলতাটি শোষণযোগ্য

বাস্তবিক প্রভাব এবং বাস্তবসম্মত আক্রমণ দৃশ্যপট

শোষণ এবং আপসের সূচক (IoCs) সনাক্ত করার উপায়

সার্ভার লগ এবং অনুরোধের প্যাটার্ন:

ডেটাবেস সূচক:

ওয়ার্ডপ্রেস-স্তরের সূচক:

ফাইলসিস্টেম সূচকসমূহ:

পর্যবেক্ষণ এবং লগিং টিপস:

তাত্ক্ষণিক পদক্ষেপ (স্বল্পমেয়াদী প্রশমন)

দীর্ঘমেয়াদী সমাধান এবং নিরাপদ কোডিং অনুশীলন

ভবিষ্যতের ঝুঁকি কমাতে আপনার ওয়ার্ডপ্রেস সাইটকে শক্তিশালী করা

ঘটনার প্রতিক্রিয়া চেকলিস্ট (ধাপে ধাপে)

কিভাবে WP-Firewall এখন আপনার সাইটকে সুরক্ষিত করতে সাহায্য করতে পারে

WP-Firewall বেসিক (ফ্রি) দিয়ে আপনার সাইট সুরক্ষিত করুন

আপনার সাইটকে এখনই সুরক্ষিত করুন — WP-Firewall বেসিক (ফ্রি) দিয়ে শুরু করুন

পরিশিষ্ট: সুপারিশকৃত ওয়াফ নিয়মের উদাহরণ এবং নিরাপদ কোড স্নিপেট

A. উদাহরণ WAF ব্লকিং নিয়ম (ধারণাগত; আপনার WAF ইঞ্জিনে অভিযোজিত করুন)

বি. উদাহরণ: ওয়ার্ডপ্রেসে REST রুটের জন্য নিরাপদ অনুমতি পরীক্ষা

সি. উদাহরণ: একটি নির্দিষ্ট প্লাগইন REST রুট অক্ষম করতে দ্রুত mu-plugin যতক্ষণ না আপনি আপডেট করতে পারেন

WP-Firewall সুরক্ষা দলের শেষ কথা

রেফারেন্স এবং সম্পদ (প্রশাসকদের জন্য)

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন!!

একটি প্রশংসামূলক ওয়ার্ডপ্রেস নিরাপত্তা পরামর্শ নির্ধারণ করতে আমাদের সাথে যোগাযোগ করুন

MStore API প্লাগইনে IDOR দুর্বলতা // প্রকাশিত হয়েছে 2026-04-09 // CVE-2026-3568

সুচিপত্র

আইডিওআর কি এবং কেন এটি ওয়ার্ডপ্রেসে গুরুত্বপূর্ণ

এমস্টোর এপিআই আইডিওআর: কি ঘটেছিল (উচ্চ স্তরের)

প্রযুক্তিগত বিশ্লেষণ: কিভাবে দুর্বলতাটি শোষণযোগ্য

বাস্তবিক প্রভাব এবং বাস্তবসম্মত আক্রমণ দৃশ্যপট

শোষণ এবং আপসের সূচক (IoCs) সনাক্ত করার উপায়

সার্ভার লগ এবং অনুরোধের প্যাটার্ন:

ডেটাবেস সূচক:

ওয়ার্ডপ্রেস-স্তরের সূচক:

ফাইলসিস্টেম সূচকসমূহ:

পর্যবেক্ষণ এবং লগিং টিপস:

তাত্ক্ষণিক পদক্ষেপ (স্বল্পমেয়াদী প্রশমন)

দীর্ঘমেয়াদী সমাধান এবং নিরাপদ কোডিং অনুশীলন

ভবিষ্যতের ঝুঁকি কমাতে আপনার ওয়ার্ডপ্রেস সাইটকে শক্তিশালী করা

ঘটনার প্রতিক্রিয়া চেকলিস্ট (ধাপে ধাপে)

কিভাবে WP-Firewall এখন আপনার সাইটকে সুরক্ষিত করতে সাহায্য করতে পারে

WP-Firewall বেসিক (ফ্রি) দিয়ে আপনার সাইট সুরক্ষিত করুন

আপনার সাইটকে এখনই সুরক্ষিত করুন — WP-Firewall বেসিক (ফ্রি) দিয়ে শুরু করুন

পরিশিষ্ট: সুপারিশকৃত ওয়াফ নিয়মের উদাহরণ এবং নিরাপদ কোড স্নিপেট

A. উদাহরণ WAF ব্লকিং নিয়ম (ধারণাগত; আপনার WAF ইঞ্জিনে অভিযোজিত করুন)

বি. উদাহরণ: ওয়ার্ডপ্রেসে REST রুটের জন্য নিরাপদ অনুমতি পরীক্ষা

সি. উদাহরণ: একটি নির্দিষ্ট প্লাগইন REST রুট অক্ষম করতে দ্রুত mu-plugin যতক্ষণ না আপনি আপডেট করতে পারেন

WP-Firewall সুরক্ষা দলের শেষ কথা

রেফারেন্স এবং সম্পদ (প্রশাসকদের জন্য)

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋এখন সাইন আপ করুন!!

একটি প্রশংসামূলক ওয়ার্ডপ্রেস নিরাপত্তা পরামর্শ নির্ধারণ করতে আমাদের সাথে যোগাযোগ করুন

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন!!