কেপি থিম ক্রস সাইট স্ক্রিপ্টিং দুর্বলতা//প্রকাশিত হয়েছে ২০২৬-০৪-২৫//CVE-২০২৬-৪১৫৫৭

WP-ফায়ারওয়াল সিকিউরিটি টিম

Kapee Theme Vulnerability

প্লাগইনের নাম কেপি
দুর্বলতার ধরণ ক্রস সাইট স্ক্রিপ্টিং
সিভিই নম্বর CVE-2026-41557
জরুরি অবস্থা মধ্যম
সিভিই প্রকাশের তারিখ 2026-04-25
উৎস URL CVE-2026-41557

কেপি থিম (< 1.7.1) — ক্রস‑সাইট স্ক্রিপ্টিং (XSS, CVE‑2026‑41557): ওয়ার্ডপ্রেস সাইট মালিক ও ডেভেলপারদের এখন কী করতে হবে

২৩ এপ্রিল ২০২৬ তারিখে কেপি ওয়ার্ডপ্রেস থিম (CVE‑2026‑41557) এর একটি দুর্বলতা প্রকাশিত হয়। এই সমস্যাটি একটি মধ্যম-গুরুতর ক্রস‑সাইট স্ক্রিপ্টিং (XSS) ত্রুটি হিসেবে মূল্যায়ন করা হয়েছে যার CVSS বেস স্কোর ৭.১। এটি কেপি সংস্করণ ১.৭.১ এর পূর্ববর্তী সংস্করণগুলিকে প্রভাবিত করে এবং ১.৭.১ এ প্যাচ করা হয়েছে।.

যদি আপনার সাইট কেপি চালায় এবং এখনও আপডেট না হয়, তবে এটি জরুরি হিসেবে বিবেচনা করুন — XSS দুর্বলতাগুলি প্রায়শই গণ প্রচারণায় শোষণ করা হয় কারণ এগুলি দর্শকদের কাছে ক্ষতিকারক জাভাস্ক্রিপ্ট বিতরণ করতে, সেশন হাইজ্যাক করতে, স্প্যাম বা রিডাইরেক্ট ইনজেক্ট করতে, বা প্রশাসক ব্যবহারকারীদের বিরুদ্ধে আক্রমণ বাড়াতে ব্যবহার করা যেতে পারে। নিচে আমি ব্যাখ্যা করছি, একটি ওয়ার্ডপ্রেস নিরাপত্তা এবং ফায়ারওয়াল পেশাদারের দৃষ্টিকোণ থেকে, এই দুর্বলতা কী বোঝায়, আক্রমণকারীরা কীভাবে এটি অস্ত্র হিসেবে ব্যবহার করতে পারে, কীভাবে আপনি পরীক্ষা করবেন যে আপনার সাইট প্রভাবিত হয়েছে কিনা, এবং আজ আপনাকে কী কার্যকর প্রতিকার এবং পুনরুদ্ধার পদক্ষেপ নিতে হবে।.

বিঃদ্রঃ: এই পোস্টটি WP‑Firewall এর সাথে কাজ করা একটি ওয়ার্ডপ্রেস নিরাপত্তা বিশেষজ্ঞ দ্বারা লেখা হয়েছে। নির্দেশনাগুলি প্রতিরক্ষামূলক অপারেশন, ডেভেলপার পরামর্শ এবং উৎপাদন সিস্টেমে অনুসরণ করার জন্য নিরাপদ পুনরুদ্ধার কর্মপ্রবাহ মিশ্রিত করে।.

নির্বাহী সারসংক্ষেপ

  • দুর্বলতা: কেপি থিমে ক্রস‑সাইট স্ক্রিপ্টিং (XSS)
  • প্রভাবিত সংস্করণ: কেপি < 1.7.1
  • প্যাচ করা হয়েছে: 1.7.1
  • CVE: CVE‑2026‑41557
  • সিভিএসএস: ৭.১ (মধ্যম)
  • প্রয়োজনীয় অনুমতি: অপ্রমাণিত (একজন আক্রমণকারী লগ ইন না করেই আক্রমণ শুরু করতে পারে), তবে সফল শোষণের জন্য ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজন (যেমন, একটি ক্লিক বা একটি তৈরি পৃষ্ঠায় যাওয়া)
  • প্রভাব: সাইট দর্শকদের (এবং সম্ভবত প্রশাসকদের) প্রসঙ্গে ক্ষতিকারক স্ক্রিপ্ট কার্যকর করা, যার ফলে কুকি চুরি, অ্যাকাউন্ট দখল, স্প্যাম ইনজেকশন, ড্রাইভ-বাই রিডাইরেক্ট, বা আরও স্থায়ী যন্ত্রণা সৃষ্টি হয়
  • তাত্ক্ষণিক সুপারিশ: যত দ্রুত সম্ভব থিমটি ১.৭.১ (অথবা পরবর্তী) এ আপডেট করুন। যদি আপনি তাত্ক্ষণিকভাবে আপডেট করতে না পারেন, তবে অস্থায়ী প্রতিকারগুলি বাস্তবায়ন করুন (WAF নিয়ম, সন্দেহজনক ইনপুটগুলি সরান, প্রশাসনিক অ্যাক্সেস সীমিত করুন, স্ক্যান এবং মনিটর করুন)।.

ক্রস‑সাইট স্ক্রিপ্টিং (XSS) কী এবং এটি কেন ওয়ার্ডপ্রেস সাইটগুলির জন্য গুরুত্বপূর্ণ

ক্রস‑সাইট স্ক্রিপ্টিং (XSS) হল একটি দুর্বলতার শ্রেণী যেখানে একটি অ্যাপ্লিকেশন নির্বোধভাবে আক্রমণকারী-নিয়ন্ত্রিত ডেটা ওয়েব পৃষ্ঠায় সঠিক যাচাইকরণ বা escaping ছাড়াই আউটপুট করে। যখন ক্ষতিকারক জাভাস্ক্রিপ্ট একটি দর্শকের ব্রাউজারে চলে, এটি সেই উত্স থেকে অন্য যে কোনও স্ক্রিপ্টের মতো একই অনুমতি অর্জন করে — এটি কুকি পড়তে পারে, প্রমাণীকৃত ব্রাউজার সেশনের মাধ্যমে ক্রিয়াকলাপ করতে পারে, DOM বিষয়বস্তু পরিবর্তন করতে পারে, প্রতারণামূলক ফর্ম তৈরি করতে পারে, বিজ্ঞাপন ইনজেক্ট করতে পারে, বা বাহ্যিক ম্যালওয়্যার লোড করতে পারে।.

তিনটি সাধারণ XSS প্রকার রয়েছে:

  • প্রতিফলিত XSS: আক্রমণকারী একটি URL তৈরি করে যা পে লোড ডেটা অন্তর্ভুক্ত করে; সার্ভার সেই ডেটা প্রতিক্রিয়াতে প্রতিফলিত করে, এবং যখন একটি শিকারী URL খোলে তখন স্ক্রিপ্টটি কার্যকর হয়।.
  • সংরক্ষিত (স্থায়ী) XSS: আক্রমণকারী একটি বিষয়বস্তু (যেমন, একটি মন্তব্য বা উইজেট) জমা দেয় যা ডেটাবেসে সংরক্ষিত হয় এবং পরে যে কোনও দর্শকের কাছে পরিবেশন করা হয়।.
  • DOM-ভিত্তিক XSS: দুর্বলতা ক্লায়েন্ট-সাইড জাভাস্ক্রিপ্টে বিদ্যমান যা URL বা অন্যান্য উৎস থেকে ডেটা ব্যাখ্যা করে এবং সঠিক স্যানিটাইজেশন ছাড়াই এটি পৃষ্ঠায় ইনজেক্ট করে।.

WordPress সাইটগুলির জন্য, XSS বিশেষভাবে ঝুঁকিপূর্ণ কারণ প্ল্যাটফর্মের গতিশীল কনটেন্ট, ব্যবহারকারী ভূমিকা এবং প্রশাসনিক ইন্টারফেসের সংমিশ্রণ। যদি একটি XSS পেলোড প্রশাসকের ব্রাউজারে কার্যকর হয় তবে এটি সাইটে দূরবর্তী কোড কার্যকর করার জন্য রূপান্তরিত হতে পারে, যা সম্পূর্ণ সাইটের আপস ঘটায়।.

Kapee XSS সম্পর্কে আমাদের যা জানা আছে (নিরাপদ উচ্চ-স্তরের সারসংক্ষেপ)

  • এই দুর্বলতা Kapee থিমের সংস্করণ 1.7.1 এর পূর্ববর্তী সংস্করণগুলিকে প্রভাবিত করে।.
  • এটি একটি ক্রস-সাইট স্ক্রিপ্টিং (XSS) সমস্যা; জনসাধারণের পরামর্শে উল্লেখ করা হয়েছে যে শোষণ অপ্রমাণিত আক্রমণকারীদের দ্বারা শুরু করা যেতে পারে কিন্তু সফল আপসের জন্য একটি বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীর (যেমন, একটি তৈরি করা লিঙ্কে ক্লিক করা বা কিছু পদক্ষেপ নেওয়া) ব্যবহারকারী ইন্টারঅ্যাকশন প্রয়োজন।.
  • বিক্রেতা 1.7.1 এ একটি প্যাচ প্রকাশ করেছে — আপডেট করা হল চূড়ান্ত সমাধান।.
  • দুর্বলতাটি থিম রক্ষণাবেক্ষণকারীদের কাছে দায়িত্বশীলভাবে প্রকাশ করা হয়েছে এবং ট্র্যাকিংয়ের জন্য একটি CVE বরাদ্দ করা হয়েছে।.

কারণ পরামর্শটি ব্যাপক অপব্যবহারের উদ্দেশ্যে একটি জনসাধারণের প্রমাণ-অফ-ধারণা প্রকাশ করে না, এই পোস্টটি প্রতিরক্ষামূলক ব্যবস্থা, সনাক্তকরণ এবং নিরাপদ পরীক্ষার পদ্ধতিতে মনোযোগ কেন্দ্রীভূত করে।.

আক্রমণকারীরা কেন Kapee থিমকে লক্ষ্য করে

থিমগুলি টেমপ্লেট রেন্ডারিং, উইজেট, শর্টকোড এবং ব্যবহারকারীর ইনপুট (যেমন পণ্য ফিল্টার, মন্তব্য, বা উইজেট কনটেন্ট) HTML-এ কিভাবে স্থাপন করা হয় তা নিয়ন্ত্রণ করে। থিমগুলি লক্ষ্য করার সাধারণ কারণগুলি:

  • থিমগুলিতে প্রায়ই এমন কোড থাকে যা ব্যবহারকারী-নিয়ন্ত্রিত ডেটা আউটপুট করে (যেমন, অনুসন্ধান প্যারামিটার, উইজেট কনটেন্ট, কোয়েরি স্ট্রিং)।.
  • থিমগুলি ব্যাপকভাবে ইনস্টল করা হয় এবং পুরনো সংস্করণ খুঁজে বের করার জন্য স্বয়ংক্রিয় প্রচারণায় লক্ষ্য করা যেতে পারে।.
  • কিছু থিমের বৈশিষ্ট্য প্রশাসনিক প্যানেলে কনফিগারযোগ্য কনটেন্ট প্রকাশ করে (টেক্সট ফিল্ড, শর্টকোড) যা ডেটাবেসে সংরক্ষিত হয় — সেই প্রবাহে একটি সংরক্ষিত XSS একসাথে অনেক পৃষ্ঠাকে সংক্রমিত করতে পারে।.
  • থিমগুলি প্রায়শই সাইটের বাকি অংশের মতো একই ডোমেইন অনুমতিতে চলে, তাই একটি থিমে XSS সাইট-ব্যাপী প্রভাব ফেলতে পারে।.

এই বৈশিষ্ট্যগুলির কারণে, থিমের জন্য একটি প্যাচ সেরা সমাধান এবং সময়মতো আপডেটগুলি অত্যন্ত গুরুত্বপূর্ণ।.

তাত্ক্ষণিক পদক্ষেপ — পরবর্তী 60 মিনিটে কী করতে হবে

যদি আপনি Kapee চালানো WordPress সাইটগুলি পরিচালনা করেন বা হোস্ট করেন, তবে অবিলম্বে এই অগ্রাধিকারযুক্ত পদক্ষেপগুলি অনুসরণ করুন:

  1. Kapee থিমটি সংস্করণ 1.7.1 বা তার পরের সংস্করণে আপডেট করুন
    • বিক্রেতা এই দুর্বলতা সমাধান করে এমন একটি প্যাচ প্রকাশ করেছে। দ্রুত একটি ব্যাকআপ করার পরে উৎপাদনে আপডেটটি প্রয়োগ করুন।.
  2. যদি আপনি অবিলম্বে আপডেট করতে না পারেন, তবে একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) নিয়ম সক্ষম করুন
    • সাইটে একটি WAF স্থাপন করুন (অথবা হোস্ট-স্তরের বা অ্যাপ্লিকেশন-স্তরের) এবং পরিচিত XSS প্যাটার্ন এবং সন্দেহজনক অনুরোধ পেলোডগুলি ব্লক করার নিয়ম প্রয়োগ করুন। WP-Firewall ব্যবহারকারীরা আপডেট করার সময় আমাদের পরিচালিত নিয়ম সেট সক্ষম করতে পারেন।.
  3. সাইটটিকে সংক্ষিপ্তভাবে রক্ষণাবেক্ষণ মোডে রাখুন (যদি সম্ভব হয়)
    • যদি আপনি উচ্চ-মূল্যের সম্পদ হোস্ট করেন এবং সংক্ষিপ্ত ডাউনটাইম বহন করতে পারেন, তবে থিমটি নিরাপদে আপডেট করার জন্য একটি দ্রুত রক্ষণাবেক্ষণ উইন্ডো করুন।.
  4. প্রশাসক অ্যাক্সেস পর্যালোচনা করুন এবং প্রশাসকদের জন্য 2FA প্রয়োজন করুন
    • প্রশাসক অ্যাকাউন্টে 2FA বাধ্য করুন, প্রশাসক পাসওয়ার্ড পরিবর্তন করুন, এবং সক্রিয় প্রশাসক ব্যবহারকারীর সংখ্যা সাময়িকভাবে কমিয়ে দিন।.
  5. সন্দেহজনক বিষয়বস্তু জন্য সাইটটি স্ক্যান করুন
    • ট্যাগ, ইনলাইন ইভেন্ট হ্যান্ডলার (onclick), বা পোস্ট, উইজেট, অপশন এবং থিম টেমপ্লেটে অস্বাভাবিক ইনলাইন জাভাস্ক্রিপ্ট খুঁজে বের করতে একটি ম্যালওয়্যার এবং বিষয়বস্তু স্ক্যান চালান।.
  6. ক্ষতির নির্দেশকগুলি পরীক্ষা করুন
    • সাম্প্রতিক ফাইল পরিবর্তনের সময়, নির্ধারিত কাজ, অজানা ব্যবহারকারী এবং সাইট হোস্ট থেকে অস্বাভাবিক আউটগোয়িং নেটওয়ার্ক সংযোগ পর্যালোচনা করুন।.

এগুলি সংক্ষিপ্ত, উচ্চ-মূল্যের পদক্ষেপ যা আপনি এখনই গ্রহণ করতে পারেন এক্সপোজার কমানোর জন্য।.

কীভাবে পরীক্ষা করবেন যে আপনার সাইটটি শোষিত হয়েছে

নিম্নলিখিত পদক্ষেপগুলি সহায়তা করে যদি একটি সাইট শোষিত হয় বা XSS এর ফলস্বরূপ ক্ষতিকারক পে-লোড হোস্ট করছে:

  • সন্দেহজনক জাভাস্ক্রিপ্ট এবং ট্যাগের জন্য ডেটাবেস অনুসন্ধান করুন:
    • , document.write, eval(, setTimeout( স্ট্রিং আর্গুমেন্ট সহ, বা base64-এ এনকোড করা ব্লবের জন্য পোস্ট, পোস্টমেটা, অপশন, থিম_mods এবং উইজেট ইনস্ট্যান্সগুলি অনুসন্ধান করুন।.
  • আপনি যা চিনতে পারেন না তার জন্য সম্প্রতি পরিবর্তিত ফাইলগুলির জন্য থিম এবং আপলোড ফোল্ডারগুলি অনুসন্ধান করুন।.
  • ইনজেক্টেড স্ক্রিপ্ট বা আইফ্রেমের জন্য পাবলিক পৃষ্ঠাগুলি (বিশেষত গতিশীল পৃষ্ঠা, পণ্য ফিল্টার, মন্তব্য এবং উইজেট এলাকা) পরিদর্শন করুন।.
  • অস্বাভাবিক কোয়েরি স্ট্রিং (দীর্ঘ পে-লোড, এনকোড করা অক্ষর, বা বাইরের ডোমেইনে রেফারেন্স) এর জন্য সার্ভার অ্যাক্সেস লগ এবং ওয়েব অ্যাপ্লিকেশন লগ পরীক্ষা করুন।.
  • নতুন প্রশাসক ব্যবহারকারী বা উচ্চতর অনুমতি সহ অ্যাকাউন্টের জন্য দেখুন।.
  • অপরিচিত ক্রন কাজের জন্য নির্ধারিত কাজ (wp_options ক্রন এন্ট্রি, সার্ভার ক্রন) পর্যালোচনা করুন।.
  • পরিচিত ম্যালওয়্যার স্বাক্ষর এবং YARA প্যাটার্ন খুঁজে বের করতে একটি দ্বিতীয় স্ক্যানার ব্যবহার করুন।.
  • যদি আপনি ক্ষতিকারক কার্যকলাপের প্রমাণ পান, তবে সাইট এবং লগগুলির স্ন্যাপশট নিন, প্রয়োজন হলে এটি অফলাইনে নিয়ে যান, এবং ঘটনার প্রতিক্রিয়া পদক্ষেপে এগিয়ে যান (নিচে তালিকাভুক্ত)।.

গুরুত্বপূর্ণ: আপনি যদি ফরেনসিক তদন্ত করছেন তবে অবিলম্বে ফাইলগুলি মুছবেন না — প্রথমে প্রমাণ সংরক্ষণ করুন (ব্যাকআপ, লগ, ডেটাবেস ডাম্প), তারপর পরিষ্কারের দিকে এগিয়ে যান।.

যদি আপনার সাইটটি ক্ষতিগ্রস্ত হয় — পুনরুদ্ধারের পদক্ষেপ

  1. প্রমাণ বিচ্ছিন্ন করুন এবং সংরক্ষণ করুন।
    • সাইটটি দ্রুত অফলাইন করুন বা রক্ষণাবেক্ষণ মোডে রাখুন। বিশ্লেষণের জন্য ফাইল এবং ডাটাবেসের সম্পূর্ণ ব্যাকআপ তৈরি করুন।.
  2. শংসাপত্র পুনরায় সেট করুন
    • সমস্ত প্রশাসক ব্যবহারকারীদের, ডাটাবেসের শংসাপত্র, FTP/SFTP/হোস্টিং কন্ট্রোল প্যানেল ব্যবহারকারীদের এবং API কী-এর জন্য পাসওয়ার্ড পুনরায় সেট করুন। সেশনগুলি অবৈধ করুন।.
  3. পুনরুদ্ধার বা পরিষ্কার করুন
    • যদি আপনার কাছে ক্ষতির আগে একটি পরিচিত পরিষ্কার ব্যাকআপ থাকে, তবে সেই অবস্থায় পুনরুদ্ধার করুন এবং অবিলম্বে Kapee প্যাচ প্রয়োগ করুন।.
    • যদি পুনরুদ্ধার উপলব্ধ না হয়, তবে একটি নিয়ন্ত্রিত পরিষ্কারকরণ করুন: ক্ষতিকারক ফাইলগুলি মুছে ফেলুন, ডাটাবেস এন্ট্রিগুলি থেকে ইনজেক্ট করা স্ক্রিপ্টগুলি পরিষ্কার করুন এবং থিমটি প্যাচ করুন।.
  4. শক্ত করুন এবং পর্যবেক্ষণ করুন
    • থিম প্যাচ (1.7.1+) প্রয়োগ করুন, 2FA প্রয়োগ করুন, প্রাসঙ্গিক নিয়ম সহ একটি WAF ইনস্টল বা সক্ষম করুন এবং ফাইল অখণ্ডতা পর্যবেক্ষণ বাস্তবায়ন করুন।.
  5. পুনরায় স্ক্যান এবং যাচাই করুন
    • পরিষ্কারের পরে, একটি সম্পূর্ণ স্ক্যান চালান এবং স্থায়িত্বের যন্ত্রগুলির জন্য লগ পর্যালোচনা করুন। যদি সাইটে সংবেদনশীল তথ্য থাকে তবে তৃতীয় পক্ষের নিরাপত্তা পর্যালোচনা বিবেচনা করুন।.
  6. স্টেকহোল্ডারদের অবহিত করুন
    • যদি ব্যবহারকারীর তথ্য প্রকাশিত হয় বা অবৈধ সামগ্রী ইনজেক্ট করা হয়, তবে বিজ্ঞপ্তির জন্য আপনার আইনগত এবং চুক্তিগত বাধ্যবাধকতা অনুসরণ করুন।.

ডেভেলপার নির্দেশিকা — এই ধরনের XSS সাধারণত কীভাবে পরিচয় করানো হয় (এবং কীভাবে এটি ঠিক করবেন)

থিমগুলিতে XSS সাধারণত এই ভুলগুলির মধ্যে একটি থেকে উদ্ভূত হয়:

  • টেমপ্লেটে ব্যবহারকারী-নিয়ন্ত্রিত তথ্য রেন্ডারিং করা যা এড়ানো হয়নি।.
  • টেক্সটএরিয়া বা WYSIWYG ক্ষেত্রগুলি ব্যবহার করা যা স্যানিটাইজেশন ছাড়াই HTML অনুমোদন করে।.
  • ইনলাইন জাভাস্ক্রিপ্ট প্রসঙ্গে অবিশ্বাস্য তথ্য স্থাপন করা।.
  • ক্লায়েন্ট-সাইড স্ক্রিপ্টগুলি যা URL ফ্র্যাগমেন্ট বা কোয়েরি প্যারামিটার পড়ে এবং সেগুলি DOM-এ ইনজেক্ট করে।.

WordPress থিমগুলিতে XSS প্রতিরোধের জন্য সেরা অনুশীলন:

  • আউটপুটের আগে সর্বদা এড়িয়ে চলুন। প্রসঙ্গ অনুযায়ী WordPress এড়ানোর ফাংশন ব্যবহার করুন:
    • HTML শরীর/পাঠ্য: esc_html()
    • HTML অ্যাট্রিবিউট: এসএসসি_এটিআর()
    • জাভাস্ক্রিপ্ট প্রসঙ্গ: esc_js() এবং wp_json_encode() যদি JS-তে কাঠামোগত তথ্য এম্বেড করা হয়
    • 5. ইউআরএল: esc_url()
    • সীমিত HTML পোস্ট করা: wp_kses_post() এমন সামগ্রীর জন্য যা নিরাপদ ট্যাগের একটি সাবসেট অনুমোদন করা উচিত
  • প্রয়োজনে ইনপুটগুলিকে প্রবেশের সময় স্যানিটাইজ করুন (যেমন, sanitize_text_field() সাধারণ টেক্সটের জন্য, wp_kses() নিয়ন্ত্রিত HTML এর জন্য)।.
  • ক্লায়েন্ট-সাইড ভ্যালিডেশনকে একা বিশ্বাস করবেন না — সর্বদা সার্ভারে ভ্যালিডেট করুন।.
  • সার্ভার স্টেট পরিবর্তনকারী ক্রিয়াকলাপের জন্য ননস এবং সক্ষমতা পরীক্ষা ব্যবহার করুন।.
  • ব্ল্যাকলিস্টিং প্যাটার্নের তুলনায় আউটপুট-এনকোডিংকে অগ্রাধিকার দিন।.
  • ব্যবহারকারীর ভূমিকার জন্য সর্বনিম্ন অধিকার নীতিটি বজায় রাখুন: শুধুমাত্র উপযুক্ত সক্ষমতা সহ ব্যবহারকারীদের জন্য সম্পাদনা UI প্রকাশ করুন।.

উদাহরণ (নিরাপদ) ব্যবহার:

&lt;?php

আপনি যদি একটি থিম ডেভেলপার হন, তবে সমস্ত জায়গা পর্যালোচনা করুন যেখানে ব্যবহারকারীর ইনপুট আউটপুটে পালিয়ে যায়, এবং সঠিক পালানোর ফাংশনগুলি যোগ করুন। যদি ব্যবহারকারীর ইনপুট HTML ধারণ করতে দেওয়া হয় (যেমন, একটি সমৃদ্ধ টেক্সট ক্ষেত্র), ব্যবহার করুন wp_kses() একটি স্পষ্ট অনুমোদিত ট্যাগের তালিকার সাথে।.

একটি WAF (ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল) কীভাবে সাহায্য করে — ব্যবহারিক সুরক্ষা এবং ভার্চুয়াল প্যাচিং

একটি সঠিকভাবে কনফিগার করা WAF আপনার প্রতিরক্ষা-এ-গভীর কৌশলের একটি গুরুত্বপূর্ণ স্তর। অবিলম্বে উইন্ডোতে, অফিসিয়াল থিম আপডেট প্রয়োগের আগে বা চলাকালীন, একটি WAF করতে পারে:

  • সাধারণ XSS পে লোড প্যাটার্ন (স্ক্রিপ্ট ট্যাগ, ইভেন্ট হ্যান্ডলার, এনকোডেড পে লোড) ধারণকারী অনুরোধগুলি ব্লক করুন।.
  • স্বয়ংক্রিয় স্ক্যানার এবং এক্সপ্লয়ট বটগুলিকে দুর্বল এন্ডপয়েন্টে পৌঁছাতে বাধা দিন।.
  • ভর স্ক্যান ক্যাম্পেইনগুলি ধীর বা ব্লক করতে হার সীমাবদ্ধতা এবং IP খ্যাতি ব্লকিং বাস্তবায়ন করুন।.
  • ভার্চুয়াল প্যাচিং অফার করুন: অস্থায়ী, লক্ষ্যযুক্ত নিয়ম যা এই দুর্বলতার জন্য নির্দিষ্ট এক্সপ্লয়টেশন প্যাটার্নগুলি ব্লক করে যতক্ষণ না আপনি বিক্রেতার প্যাচ প্রয়োগ করতে পারেন।.

এই পরিস্থিতির জন্য একটি ব্যবহারিক WAF নিয়ম সেটে কী খুঁজতে হবে:

  • নিয়মগুলি এনকোডেড এবং অবফাস্কেটেড জাভাস্ক্রিপ্ট পে লোডগুলি সনাক্ত এবং ব্লক করে (স্ক্রিপ্ট, স্ক্রিপ্ট, অথবা base64/hex এনকোডেড পে লোড)।.
  • নিয়মগুলি সন্দেহজনক প্যারামিটার মানগুলি সনাক্ত করে (প্যারামিটারে সাধারণত সংক্ষিপ্ত, দীর্ঘ, স্ক্রিপ্ট-সদৃশ স্ট্রিং)।.
  • নিয়মগুলি POST বডি বা হেডার মানগুলিতে যেখানে প্রত্যাশিত নয় সেখানে ইনলাইন জাভাস্ক্রিপ্ট ব্লক করে।.
  • প্রশাসনিক এন্ডপয়েন্টগুলির সুরক্ষা (যেখানে সম্ভব wp‑admin/wp‑login এর অ্যাক্সেস পরিচিত IP পরিসীমায় সীমাবদ্ধ করুন)।.
  • OWASP শীর্ষ 10 প্রতিকারগুলির প্রয়োগ (XSS ফিল্টার, ইনপুট যাচাইকরণ, হেডার হার্ডেনিং)।.

বিঃদ্রঃ: একটি WAF দ্রুত ঝুঁকি কমাতে এবং সময় কিনতে পারে, তবে এটি বিক্রেতার প্যাচ প্রয়োগের পরিবর্তে নয়। এটি একটি তাত্ক্ষণিক প্রতিকার এবং পর্যবেক্ষণ সরঞ্জাম হিসাবে ব্যবহার করুন।.

নিরাপদ পরীক্ষা — আপনার সাইট আর দুর্বল নয় তা নিশ্চিত করার জন্য ক্ষতি না করে কিভাবে যাচাই করবেন

উৎপাদনে স্বয়ংক্রিয় এক্সপ্লয়েট পে-লোড চালানোর চেষ্টা করবেন না। এই নিরাপদ পদ্ধতিগুলি ব্যবহার করুন:

  • সাইটের একটি স্টেজিং কপি তৈরি করুন এবং সেখানে গভীর পরীক্ষা করুন।.
  • থিমের সংস্করণ চিহ্নিত করুন: থিমের হেডার বা অ্যাপিয়ারেন্স → থিমগুলি পরীক্ষা করুন। থিম আপডেট 1.7.1 এ নিশ্চিত করুন।.
  • স্টেজিং-এ, ক্ষতিকারক পে-লোডের পরিবর্তে সদয় ইনপুটগুলি সিমুলেট করে ম্যানুয়াল পরীক্ষা করুন, উদাহরণস্বরূপ, নিয়ন্ত্রিত ক্ষেত্রগুলিতে HTML ট্যাগ প্রবেশ করার চেষ্টা করুন এবং সঠিকভাবে এস্কেপিং যাচাই করুন।.
  • পরীক্ষার আগে অনুরোধের প্যাটার্ন ট্রেস করতে লগিং এবং পর্যবেক্ষণ ব্যবহার করুন। যদি একটি স্ক্যানার ইতিমধ্যেই আপনার সাইট পরীক্ষা করে, তবে সক্রিয় পরীক্ষার পরিবর্তে পর্যবেক্ষণ এবং ব্লকিংকে অগ্রাধিকার দিন।.
  • একটি স্ক্যানার ব্যবহার করুন যা শুধুমাত্র প্যাসিভ চেক করে বা লক্ষ্যযুক্ত কনটেন্ট অনুসন্ধান চালান (এস্কেপ না হওয়া আউটপুট খুঁজছেন) লাইভ এক্সপ্লয়টেশনের পরিবর্তে।.

হার্ডেনিং চেকলিস্ট (প্রস্তাবিত চলমান নিয়ন্ত্রণ)

এই চেকলিস্টটি ব্যবহার করুন ভবিষ্যতের এক্সপোজার কমাতে এই একটি সমস্যা সমাধানের বাইরে:

  • WordPress কোর, থিম এবং প্লাগইন আপডেট রাখুন; উৎপাদনের আগে একটি স্টেজিং পরিবেশে আপডেট চালান।.
  • প্রশাসকদের জন্য শক্তিশালী, অনন্য পাসওয়ার্ড এবং 2FA প্রয়োগ করুন।.
  • অপ্রয়োজনীয় থিম এবং প্লাগইনগুলি মুছে ফেলুন বা সীমাবদ্ধ করুন।.
  • বিল্ট-ইন থিম এবং প্লাগইন সম্পাদকগুলি নিষ্ক্রিয় করুন (সংজ্ঞায়িত করুন ('DISALLOW_FILE_EDIT', সত্য);).
  • লগইন প্রচেষ্টাগুলি সীমিত করুন এবং যেখানে সম্ভব wp‑login.php এবং wp‑admin সুরক্ষিত IP হোয়াইটলিস্টিংয়ের সাথে রক্ষা করুন।.
  • সর্বত্র SSL/TLS ব্যবহার করুন এবং নিরাপদ কুকি ফ্ল্যাগগুলি সক্ষম করুন (সুরক্ষিত, HttpOnly, SameSite).
  • নিয়মিত ব্যাকআপ সময়সূচী করুন এবং পুনরুদ্ধার পদ্ধতিগুলি পরীক্ষা করুন।.
  • চলমান আক্রমণ এবং পোস্ট-কম্প্রোমাইজ আর্টিফ্যাক্টগুলি ধরতে WAF এবং এন্ডপয়েন্ট স্ক্যানিং ব্যবহার করুন।.
  • অনুমোদিত পরিবর্তনগুলি দ্রুত সনাক্ত করতে ফাইল অখণ্ডতা পর্যবেক্ষণ বাস্তবায়ন করুন।.
  • হোস্টিং, ডেটাবেস এবং তৃতীয় পক্ষের ইন্টিগ্রেশনগুলির মধ্যে সর্বনিম্ন অধিকার নীতি প্রয়োগ করুন।.
  • একটি ঘটনা প্রতিক্রিয়া পরিকল্পনা এবং একটি সাম্প্রতিক, যাচাইকৃত পরিষ্কার ব্যাকআপ বজায় রাখুন।.

আপডেটের পরে যাচাইকরণের প্রস্তাবিত (প্যাচ করার পরে কী নিশ্চিত করতে হবে)

আপনি যখন Kapee 1.7.1 থিম আপডেট প্রয়োগ করবেন, তখন নিম্নলিখিতটি যাচাই করুন:

  • থিম সংস্করণটি Appearance → Themes এবং থিম হেডারে 1.7.1 দেখায়।.
  • সাইটের কার্যকারিতা (শপিং, অনুসন্ধান, উইজেট, ফর্ম) প্রত্যাশিতভাবে কাজ করে — একটি স্মোক টেস্ট চালান।.
  • অবশিষ্ট ইনজেক্টেড পে-লোডগুলি নিশ্চিত করতে অফলাইন/হোস্টেড স্ক্যানার দিয়ে সাইটটি পুনরায় স্ক্যান করুন।.
  • প্যাচ করার আগে এবং পরে কোনও সন্দেহজনক কার্যকলাপের জন্য লগগুলি পরীক্ষা করুন যাতে নিশ্চিত হয় যে কোনও স্থায়িত্ব নেই।.
  • ব্যাকআপগুলি আপ-টু-ডেট এবং অফসাইটে সংরক্ষিত আছে তা নিশ্চিত করুন।.

সচরাচর জিজ্ঞাস্য

প্রশ্ন: আমি কি লাইভ সাইটে 1.7.1 এ নিরাপদে আপডেট করতে পারি?
উত্তর: বেশিরভাগ ক্ষেত্রে হ্যাঁ — কিন্তু সর্বদা প্রথমে একটি ব্যাকআপ নিন। যদি Kapee থিমে আপনার কাস্টম সম্পাদনা থাকে (শিশু থিমের পরিবর্তে), আপডেটটি স্টেজিংয়ে পরীক্ষা করুন কারণ আপগ্রেডটি কাস্টম পরিবর্তনগুলি ওভাররাইট করতে পারে। সেরা অনুশীলন: কাস্টমাইজেশনের জন্য একটি শিশু থিম ব্যবহার করুন।.

প্রশ্ন: আমার সাইট একটি ব্যাপকভাবে কাস্টমাইজড Kapee শিশু থিম ব্যবহার করে — আমি কি এখনও আপডেট করতে হবে?
উত্তর: হ্যাঁ। সাধারণত সমস্যার সমাধান প্যারেন্ট থিম কোড পাথগুলিতে থাকে। প্যারেন্ট থিমটি 1.7.1 এ আপডেট করুন, এবং নিশ্চিত করুন যে আপনার শিশু থিম স্টেজিংয়ে এখনও সঠিকভাবে আচরণ করে। যদি আপনার কাস্টমাইজেশনগুলি টেম্পলেট আউটপুট পরিবর্তন করে যেখানে এস্কেপিং যোগ করা হয়েছিল বা সরানো হয়েছিল, তবে নিরাপদ এস্কেপিংয়ের জন্য সেই স্থানগুলি পর্যালোচনা করুন।.

প্রশ্ন: কি দুর্বলতা প্রকৃতিতে শোষণ করা হচ্ছে?
উত্তর: XSS বাগগুলি আক্রমণকারীদের জন্য আকর্ষণীয় এবং প্রায়শই অনেক সাইটকে লক্ষ্য করে। যদিও জনসাধারণের কাছে নিশ্চিতভাবে ব্যাপক শোষণের রিপোর্ট নেই, তবে ধরে নিন শোষণের প্রচেষ্টা ঘটবে এবং সেই অনুযায়ী প্রতিক্রিয়া জানান।.

ঘটনা প্রতিক্রিয়া টেমপ্লেট (দ্রুত প্লেবুক)

  1. Kapee < 1.7.1 চালানো প্রভাবিত সাইটগুলি চিহ্নিত করুন।.
  2. ব্যাকআপ ফাইল এবং ডেটাবেস তাত্ক্ষণিকভাবে করুন।.
  3. প্যাচ প্রয়োগ করুন (1.7.1 এ আপডেট করুন)। যদি অসম্ভব হয়, WAF নিয়মগুলি প্রয়োগ করুন এবং সন্দেহজনক শোষণ ভেক্টরগুলি ব্লক করুন।.
  4. প্রশাসক ক্রেডেনশিয়ালগুলি ঘুরিয়ে দিন, সমস্ত প্রশাসক অ্যাকাউন্টের জন্য 2FA সক্ষম করুন।.
  5. যে কোনও ইনজেক্ট করা কন্টেন্ট বা ব্যাকডোর স্ক্যান এবং পরিষ্কার করুন। বিশ্লেষণের জন্য প্রমাণ সংরক্ষণ করুন।.
  6. প্রশাসক পৃষ্ঠাগুলিতে প্রবেশাধিকার শক্তিশালী করুন এবং অপ্রয়োজনীয় অনুমতিগুলি কমান।.
  7. স্থায়িত্ব এবং তথ্য চুরি প্রচেষ্টার জন্য ট্রাফিক এবং লগগুলি পর্যবেক্ষণ করুন।.
  8. স্টেকহোল্ডারদের সাথে যোগাযোগ করুন এবং প্রয়োজন হলে, আইনগত বাধ্যবাধকতার অনুযায়ী প্রকাশ করুন।.

স্তরিত নিরাপত্তা কেন গুরুত্বপূর্ণ — একজন বিশেষজ্ঞের দৃষ্টিভঙ্গি

কোন একক নিয়ন্ত্রণ নিখুঁত নয়। থিমটি প্যাচ করা অপরিহার্য, তবে প্যাচ ব্যবস্থাপনা, একটি পরিচালিত WAF, শক্তিশালী অ্যাক্সেস নিয়ন্ত্রণ এবং দ্রুত সনাক্তকরণ কর্মপ্রবাহকে একত্রিত করা ঝুঁকি নাটকীয়ভাবে কমায়। আক্রমণকারীরা স্বয়ংক্রিয়তা ব্যবহার করে — ভর স্ক্যানারগুলি পুরানো থিম এবং প্লাগইনগুলি খুঁজে বের করতে অনুসন্ধান করে। পরামর্শ এবং আক্রমণকারীদের দুর্বল উদাহরণগুলির জন্য স্ক্যানিংয়ের মধ্যে সংক্ষিপ্ত সময় প্যাচগুলির দ্রুত প্রয়োগ এবং ভার্চুয়াল প্যাচগুলির (WAF নিয়ম) ব্যবহারের জন্য অত্যাবশ্যক।.

WP‑Firewall এ আমরা অগ্রাধিকার দিই:

  • গুরুত্বপূর্ণ পাবলিক পরামর্শের জন্য দ্রুত, পরিচালিত নিয়ম স্থাপন।.
  • অবরুদ্ধ পে লোডগুলি কভার করার জন্য ধারাবাহিক স্বাক্ষর আপডেট।.
  • প্রশাসক কর্মপ্রবাহের সুরক্ষা নিশ্চিত করার সময় ন্যূনতম মিথ্যা ইতিবাচক।.
  • শিক্ষা এবং সমর্থন যাতে সাইটের মালিকরা পরিবেশ আপগ্রেড এবং শক্তিশালী করতে পারেন।.

আজই WP‑Firewall এর সাথে আপনার সাইট সুরক্ষিত করতে শুরু করুন — ফ্রি ম্যানেজড প্রোটেকশন

যদি আপনি থিম আপডেট এবং পরিষ্কার করার সময় একটি পরিচালিত সুরক্ষামূলক স্তর অবিলম্বে যোগ করতে চান, WP‑Firewall একটি ফ্রি বেসিক পরিকল্পনা অফার করে যা মৌলিক সুরক্ষা প্রদান করে:

  • ক্ষতিকারক অনুরোধ এবং সাধারণ আক্রমণের প্যাটার্ন ব্লক করতে পরিচালিত ফায়ারওয়াল এবং WAF
  • আমাদের ফিল্টারিং স্তরের মাধ্যমে সীমাহীন ব্যান্ডউইথ
  • সন্দেহজনক ফাইল এবং ইনজেক্ট করা সাইটের কন্টেন্ট সনাক্ত করতে ম্যালওয়্যার স্ক্যানার
  • OWASP শীর্ষ 10 ঝুঁকির জন্য প্রশমন কভারেজ

বেশিরভাগ ছোট এবং মাঝারি সাইটের জন্য আমাদের ফ্রি বেসিক পরিকল্পনা একটি চমৎকার প্রথম পদক্ষেপ — এটি আপনাকে একটি পরিচালিত WAF এবং স্ক্যানিং প্রদান করে যাতে আপনি পরিকল্পনা এবং বিক্রেতার প্যাচগুলি প্রয়োগ করার সময় এক্সপোজার কমাতে পারেন। আরও জানুন বা এখানে সাইন আপ করুন: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(যদি আপনাকে আরও স্বয়ংক্রিয় প্রতিক্রিয়া এবং গভীর ক্ষমতা প্রয়োজন হয়, আমরা স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ, আইপি ব্ল্যাকলিস্ট/হোয়াইটলিস্ট নিয়ন্ত্রণ, মাসিক নিরাপত্তা রিপোর্টিং, স্বয়ংক্রিয় ভার্চুয়াল প্যাচিং এবং প্রিমিয়াম অ্যাড-অন সহ পেইড স্তরও অফার করি। তবে ফ্রি পরিকল্পনা দিয়ে শুরু করা আপনার আপডেট করার সময় একটি তাত্ক্ষণিক এবং কার্যকর প্রতিরক্ষা।)

ব্যবহারিক উদাহরণ — ডেটাবেস এবং ফাইল চেকগুলিতে কী খুঁজতে হবে

আপনার সাইট স্ক্যান করার সময়, এই নির্দিষ্ট এলাকাগুলি পরীক্ষা করুন (এটি একটি সনাক্তকরণ চেকলিস্ট যা আপনি ম্যানুয়ালি বা স্ক্রিপ্টের মাধ্যমে চালাতে পারেন):

  • ডাটাবেস:
    • wp_posts সম্পর্কে: পোস্ট কনটেন্টে অনুসন্ধান করুন <script, document.write(, ইভাল(, অথবা অদ্ভুত বেস64 স্ট্রিং।.
    • wp_options: ইনলাইন জাভাস্ক্রিপ্ট বা সাইডবার_উইজেটস অথবা থিম অপশনে অপ্রত্যাশিত কনটেন্ট পর্যালোচনা করুন।.
    • wp_postmeta সম্পর্কে: প্লাগইন বা থিম বৈশিষ্ট্য দ্বারা সংরক্ষিত সন্দেহজনক মানগুলির জন্য দেখুন।.
  • ফাইল:
    • /wp-content/themes/kapee/: পরিবর্তন সনাক্ত করতে 1.7.1 এর একটি পরিষ্কার কপির সাথে ফাইলগুলি তুলনা করুন (অথবা আপস্ট্রিম রিপোজিটরি)।.
    • /wp-content/uploads/: অনুসন্ধান করুন .php সম্পর্কে আপলোডে ফাইল (সাধারণত প্রত্যাশিত নয়)।.
    • wp-config.php এবং মিউ-প্লাগইন: অনুমোদিত সম্পাদনার জন্য পরীক্ষা করুন।.
  • অ্যাক্সেস লগ:
    • অস্বাভাবিক দীর্ঘ প্যারামিটার বা এনকোডেড পে লোড সহ পুনরাবৃত্ত POST অনুরোধ বা GET এর জন্য দেখুন।.
    • যখন সবচেয়ে পুরানো সন্দেহজনক পরিবর্তনগুলি ঘটেছিল সেই সময়ের জানালাটি চিহ্নিত করুন এবং সেই সময়ের চারপাশে অনুরোধগুলি পরিদর্শন করুন।.

যদি আপনি সন্দেহজনক আর্টিফ্যাক্টগুলি সনাক্ত করেন, তবে কিছু অপসারণের আগে ফরেনসিক স্ন্যাপশট (ফাইল এবং ডেটাবেসের কপি) তৈরি করুন এবং আপনার ঘটনা প্রতিক্রিয়া বা নিরাপত্তা প্রদানকারীর সাথে সমন্বয় করুন।.

সমাপনী ভাবনা

XSS দুর্বলতা কনটেন্ট ম্যানেজমেন্ট সিস্টেমগুলির জন্য একটি চিরন্তন ঝুঁকি কারণ এগুলি সাইটগুলিকে চালিত করার জন্য মৌলিক নমনীয়তাকে কাজে লাগায়: ব্যবহারকারীর কনটেন্ট গ্রহণ এবং প্রদর্শনের ক্ষমতা। কেপি থিম XSS (CVE‑2026‑41557) একটি মধ্যম-গুরুতর সমস্যা যা দ্রুত পদক্ষেপের প্রয়োজন — একক সবচেয়ে কার্যকর পদক্ষেপ হল অবিলম্বে কেপি 1.7.1 এ আপডেট করা। যদি আপনি তাত্ক্ষণিকভাবে আপডেট করতে না পারেন, তবে ক্ষতিপূরণ নিয়ন্ত্রণ প্রয়োগ করুন: একটি পরিচালিত WAF সক্ষম করুন, প্রশাসনিক অ্যাক্সেস শক্তিশালী করুন, এবং ইনজেক্টেড কনটেন্ট এবং স্থায়িত্বের জন্য স্ক্যান করুন।.

স্তরিত প্রতিরক্ষা — প্যাচিং, WAF, শক্তিশালী প্রমাণীকরণ, পর্যবেক্ষণ, এবং ব্যাকআপ — আপনার সাইটকে স্থিতিশীল রাখবে। যদি আপনি ত্রুটি নির্ধারণ এবং প্যাচ করার সময় একটি দ্রুত, পরিচালিত সুরক্ষামূলক স্তরের প্রয়োজন হয়, WP‑Firewall এর ফ্রি বেসিক পরিকল্পনা একটি পরিচালিত ফায়ারওয়াল, WAF, ম্যালওয়্যার স্ক্যানিং, এবং OWASP শীর্ষ 10 হ্রাস প্রদান করে যাতে আপনাকে সময় কিনতে এবং ঝুঁকি কমাতে সহায়তা করে।.

নিরাপদ থাকুন, স্টেজিংয়ে পরীক্ষা করুন, এবং মনে রাখবেন: সময়মতো প্যাচিং এবং স্তরিত সুরক্ষা আপসের সম্ভাবনা নাটকীয়ভাবে কমিয়ে দেয়।.

যদি আপনি এই পোস্ট থেকে নিয়ে যাওয়ার জন্য একটি সংক্ষিপ্ত চেকলিস্ট চান, তবে এটি এখানে:

  • এখন ব্যাকআপ নিন।.
  • Kapee কে 1.7.1 এ আপডেট করুন।.
  • অন্তর্বর্তীকালীন একটি পরিচালিত WAF নিয়ম প্রয়োগ করুন।.
  • ক্ষতিকারক স্ক্রিপ্ট এবং ফাইলের জন্য স্ক্যান করুন।.
  • 2FA প্রয়োগ করুন এবং প্রশাসনিক শংসাপত্র ঘুরিয়ে দিন।.
  • প্রশাসনিক এন্ডপয়েন্টগুলি শক্তিশালী করুন এবং অপ্রয়োজনীয় থিম/প্লাগিনগুলি মুছে ফেলুন।.
  • প্যাচ করার পর সন্দেহজনক কার্যকলাপের জন্য লগগুলি পর্যবেক্ষণ করুন।.

এবং আবার — যদি আপনি আপডেট এবং পরিষ্কার করার সময় তাত্ক্ষণিক পরিচালিত সুরক্ষা প্রয়োজন হয়, WP‑Firewall এর ফ্রি বেসিক পরিকল্পনার জন্য সাইন আপ করুন: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

wordpress security update banner

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন!!

প্রতি সপ্তাহে আপনার ইনবক্সে ওয়ার্ডপ্রেস সিকিউরিটি আপডেট পেতে সাইন আপ করুন।

আমরা স্প্যাম করি না! আমাদের পড়ুন গোপনীয়তা নীতি আরও তথ্যের জন্য।

একটি প্রশংসামূলক ওয়ার্ডপ্রেস নিরাপত্তা পরামর্শ নির্ধারণ করতে আমাদের সাথে যোগাযোগ করুন

যোগাযোগ করুন

WP-ফায়ারওয়াল
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kawloon, Hong Kong

বৈশিষ্ট্য মূল্য নির্ধারণ ব্লগ প্রবেশ করুন
গোপনীয়তা নীতি সেবা পাবার শর্ত ডক্স অধিভুক্ত

© ২০২৬ WP-Firewall™