ওয়ার্ডপ্রেসে SMS প্লাগইন ডেটা প্রকাশ কমানো//প্রকাশিত হয়েছে ২০২৬-০৪-২৫//CVE-২০২৬-৪০৭৯০

WP-ফায়ারওয়াল সিকিউরিটি টিম

WP SMS Vulnerability

প্লাগইনের নাম WP SMS
দুর্বলতার ধরণ তথ্য প্রকাশ
সিভিই নম্বর CVE-2026-40790
জরুরি অবস্থা মধ্যম
সিভিই প্রকাশের তারিখ 2026-04-25
উৎস URL CVE-2026-40790

জরুরি: WP SMS প্লাগইন সংবেদনশীল তথ্য প্রকাশ (CVE-2026-40790) — এখন ওয়ার্ডপ্রেস সাইট মালিকদের কি করতে হবে

লেখক: WP-ফায়ারওয়াল সিকিউরিটি টিম
তারিখ: 2026-04-24
ট্যাগ: ওয়ার্ডপ্রেস, নিরাপত্তা, দুর্বলতা, WAF, WP SMS, CVE-2026-40790

সারাংশ: WP SMS প্লাগইন সংস্করণ <= 7.2.1 (CVE-2026-40790) এর একটি সংবেদনশীল তথ্য প্রকাশ দুর্বলতা প্রকাশিত হয়েছে। এটি নিম্ন-অধিকারযুক্ত অ্যাকাউন্টগুলিকে এমন তথ্য অ্যাক্সেস করতে দেয় যা সীমাবদ্ধ হওয়া উচিত। যদি আপনি WP SMS প্লাগইন ব্যবহার করে সাইট চালান, তবে এখন এই গাইডটি পড়ুন — এটি ঝুঁকি, তাত্ক্ষণিক প্রশমন, সনাক্তকরণ কৌশল এবং আপনার সাইটকে 7.2.2 বা তার পরের সংস্করণে আপডেট করার আগ পর্যন্ত সুরক্ষিত রাখতে কংক্রিট পদক্ষেপ (WAF নিয়ম এবং শক্তিশালীকরণ সহ) ব্যাখ্যা করে।.

সুচিপত্র

  • TL;DR — এখন আপনাকে কি করতে হবে
  • কি প্রকাশিত হয়েছে (উচ্চ স্তর)
  • কে প্রভাবিত এবং কেন এটি গুরুত্বপূর্ণ
  • প্রযুক্তিগত বিশ্লেষণ (কী ভুল হয়েছে)
  • সম্ভাব্য আক্রমণকারী পরিস্থিতি এবং ঝুঁকি প্রোফাইল
  • শোষণ সনাক্তকরণ এবং আপসের সূচকগুলি কিভাবে
  • তাত্ক্ষণিক পদক্ষেপ — ধাপে ধাপে (আপডেট, ব্লক, পরিদর্শন)
  • সুপারিশকৃত WAF (ভার্চুয়াল প্যাচ) নিয়ম এবং উদাহরণ
  • শক্তিশালীকরণ, পর্যবেক্ষণ এবং দীর্ঘমেয়াদী মেরামত
  • যদি আপনার সাইট ইতিমধ্যে ক্ষতিগ্রস্ত হয় — ঘটনা প্রতিক্রিয়া প্লেবুক
  • WP-Firewall আপনাকে কিভাবে সুরক্ষিত করে এবং একটি দ্রুত বিনামূল্যে সুরক্ষা বিকল্প
  • চূড়ান্ত সুপারিশ এবং চেকলিস্ট

TL;DR — এখন আপনাকে কি করতে হবে

  • যদি আপনার WP SMS প্লাগইন ইনস্টল করা থাকে, তবে তা অবিলম্বে সংস্করণ 7.2.2 বা তার পরের সংস্করণে আপডেট করুন।.
  • যদি আপনি এখন আপডেট করতে না পারেন, তবে প্লাগইনটি অস্থায়ীভাবে নিষ্ক্রিয় করুন বা ভার্চুয়াল প্যাচিং (WAF নিয়ম) প্রয়োগ করুন যাতে প্লাগইন এন্ডপয়েন্ট এবং সংবেদনশীল সেটিংসে অ autorizado অ্যাক্সেস ব্লক করা যায়।.
  • প্লাগইনটি যে API কী, শংসাপত্র, বা ফোন-প্রদানকারী টোকেন সংরক্ষণ করতে পারে তা ঘুরিয়ে দিন এবং প্রশাসনিক অ্যাকাউন্টগুলির জন্য পাসওয়ার্ডগুলি সতর্কতার জন্য পুনরায় সেট করুন।.
  • আপনার সাইটটি আপসের সূচক (IOCs), ব্যাকডোর এবং সন্দেহজনক admin-ajax বা REST এন্ডপয়েন্ট কার্যকলাপের জন্য স্ক্যান করুন।.
  • যদি আপনি এটি নিজে করতে স্বাচ্ছন্দ্যবোধ না করেন, তবে একটি বিশ্বস্ত ডেভেলপারের সাথে যোগাযোগ করুন বা একটি পরিচালিত নিরাপত্তা পরিষেবা ব্যবহার করুন।.

কি প্রকাশিত হয়েছে (উচ্চ স্তর)

WP SMS (সংস্করণ <= 7.2.1) এ একটি দুর্বলতা জনসমক্ষে রিপোর্ট করা হয়েছে এবং CVE-2026-40790 বরাদ্দ করা হয়েছে। এটি সংবেদনশীল তথ্য প্রকাশ হিসাবে শ্রেণীবদ্ধ এবং এর মূল্যায়িত তীব্রতা CVSS 6.5 (মধ্যম) এর চারপাশে। প্রকাশনার মূল বিষয়গুলি:

  • দুর্বল সংস্করণ: 7.2.1 এবং পূর্ববর্তী।.
  • প্যাচ করা হয়েছে: 7.2.2।.
  • শোষণের জন্য প্রয়োজনীয় অধিকার: সাবস্ক্রাইবার (নিম্ন স্তরের ব্যবহারকারী)।.
  • প্রভাব: নিম্ন-অধিকারযুক্ত ব্যবহারকারীদের জন্য উপলব্ধ হওয়া উচিত নয় এমন সংবেদনশীল তথ্যের অনুমোদিত প্রকাশ।.

এর মানে হল যে একটি আক্রমণকারী যে আপনার সাইটে নিবন্ধন করতে পারে বা ইতিমধ্যে একটি নিম্ন স্তরের ব্যবহারকারী অ্যাকাউন্ট রয়েছে, সে প্লাগইন থেকে সংবেদনশীল কনফিগারেশন তথ্য বা গোপনীয়তা পুনরুদ্ধার করতে সক্ষম হতে পারে। এটি এমন ধরনের দুর্বলতা যা অন্যান্য দুর্বলতার সাথে যুক্ত হতে পারে - উদাহরণস্বরূপ, এখানে প্রকাশিত API কীগুলি বাহ্যিক পরিষেবাগুলিতে প্রবেশ করতে বা আরও আক্রমণের জন্য পিভট করতে ব্যবহার করা যেতে পারে।.

কে প্রভাবিত এবং কেন এটি গুরুত্বপূর্ণ

আক্রান্ত:

  • যে কোনও ওয়ার্ডপ্রেস সাইট যেখানে WP SMS প্লাগইন ইনস্টল এবং সক্রিয় রয়েছে সংস্করণ <= 7.2.1।.
  • সাইট যেখানে নিম্ন-অধিকারযুক্ত ব্যবহারকারীরা নিবন্ধন করতে পারে বা যেখানে অবদানকারী/সাবস্ক্রাইবার রয়েছে।.

কেন এটি গুরুত্বপূর্ণ:

  • সংবেদনশীল তথ্য প্রকাশের সমস্যা শুধুমাত্র তথ্য ফাঁসের বিষয়ে নয় - ফাঁস হওয়া শংসাপত্র, প্রদানকারী API কী, বা ফোন নম্বর প্রতারণা, অ্যাকাউন্ট দখল, তৃতীয় পক্ষের পরিষেবার অপব্যবহার (SMS গেটওয়ে), বা পার্শ্বীয় আন্দোলনের দিকে নিয়ে যেতে পারে।.
  • কারণ প্রয়োজনীয় অধিকার কম (সাবস্ক্রাইবার), আক্রমণের পৃষ্ঠটি প্রসারিত হয়: আক্রমণকারীদের সমস্যাটি শোষণ করতে প্রশাসক শংসাপত্রের প্রয়োজন নেই।.
  • দুর্বল প্লাগইন সংস্করণগুলির জন্য স্ক্যান করা গণ-শোষণ অভিযানগুলি দ্রুত হাজার হাজার সাইটকে প্রভাবিত করতে পারে, সময়মতো প্রশমন করা অত্যন্ত গুরুত্বপূর্ণ।.

প্রযুক্তিগত বিশ্লেষণ (কী ভুল হয়েছে)

জনসাধারণের পরামর্শ এটি “সংবেদনশীল তথ্য প্রকাশ” হিসাবে শ্রেণীবদ্ধ করে প্রয়োজনীয় অধিকার “সাবস্ক্রাইবার,” যা সাধারণত একটি অনুমোদন নিয়ন্ত্রণ সমস্যার সূচক: একটি অনুরোধ যা শুধুমাত্র প্রশাসকদের জন্য বা অভ্যন্তরীণ ব্যবহারের জন্য উদ্দেশ্যপ্রণোদিত সঠিক সক্ষমতা পরীক্ষা বা নিম্ন-অধিকারযুক্ত অ্যাকাউন্টগুলিতে খুব বেশি তথ্য ফেরত দেয়।.

এই ধরনের দুর্বলতার সাধারণ মূল কারণগুলির মধ্যে রয়েছে:

  • AJAX বা REST এন্ডপয়েন্টগুলিতে অনুপস্থিত বা ভুল সক্ষমতা পরীক্ষা (কোন current_user_can() বা সঠিক সক্ষমতা নেই)।.
  • এন্ডপয়েন্টগুলি যা সম্পূর্ণ প্লাগইন কনফিগারেশন বা বিকল্প ফেরত দেয় (যা API কী ধারণ করতে পারে) সংবেদনশীল ক্ষেত্রগুলি ফিল্টার না করে।.
  • উৎপাদনে সক্রিয় অবস্থায় ডিবাগ বা ডায়াগনস্টিক এন্ডপয়েন্টগুলি যা গোপনীয়তা প্রকাশ করে।.
  • সিরিয়ালাইজেশন/ডেসিরিয়ালাইজেশন লজিক বা সরাসরি ডেটাবেস কোয়েরি যা অনুরোধকারীর কাছে কাঁচা বিকল্প মান ফেরত দেয়।.

আমরা শোষণের বিস্তারিত প্রকাশ করব না। পরিবর্তে, বাস্তবসম্মত সনাক্তকরণ এবং প্রতিরক্ষামূলক নির্দেশনার উপর ফোকাস করুন। সংক্ষিপ্ত প্রযুক্তিগত গল্প হল: একটি এন্ডপয়েন্ট বা WP SMS দ্বারা প্রকাশিত একটি ক্রিয়া আক্রমণকারীদের কাছে সংবেদনশীল প্লাগইন সেটিংস ফিরিয়ে দিয়েছে যাদের ন্যূনতম সাইটের অধিকার ছিল। 7.2.2-এ সংশোধন সঠিক অ্যাক্সেস নিয়ন্ত্রণ প্রয়োগ করে এবং/অথবা প্রতিক্রিয়ায় গোপন ক্ষেত্রগুলি অন্তর্ভুক্ত করা এড়ায়।.

সম্ভাব্য আক্রমণকারী পরিস্থিতি এবং ঝুঁকি প্রোফাইল

  1. শংসাপত্র সংগ্রহ এবং অপব্যবহার:
    • একটি প্রকাশিত SMS গেটওয়ে API কী বা ফোন-প্রদানকারী টোকেন আক্রমণকারীদের আপনার খরচে বার্তা পাঠাতে বা SMS-এ নির্ভরশীল বহু-ফ্যাক্টর প্রবাহকে বাইপাস করতে দেয়।.
  2. অ্যাকাউন্ট দখল:
    • আক্রমণকারীরা ফাঁস হওয়া তথ্য (যেমন, ইমেল টেমপ্লেট, এককালীন কোড, বা প্রশাসক পরিবর্তন লগ) ব্যবহার করে সমর্থনকে সামাজিকভাবে প্রকৌশল করতে বা শংসাপত্র পুনরায় ব্যবহার করতে।.
  3. সরবরাহ-চেইন/তৃতীয়-পক্ষের অপব্যবহার:
    • যদি প্লাগইন তৃতীয়-পক্ষের পরিষেবা শংসাপত্র সংরক্ষণ করে, তাহলে আক্রমণকারীরা সেই পরিষেবাগুলিতে (এসএমএস প্রদানকারী পোর্টাল) প্রবেশ করতে পারে, যা আর্থিক এবং খ্যাতির ক্ষতির দিকে নিয়ে যেতে পারে।.
  4. চেইনড আক্রমণ:
    • নিম্ন ক্ষমতার তথ্য ফাঁস প্রায়ই পরবর্তী বাগগুলিকে সক্ষম করে (যেমন, সংরক্ষিত XSS, প্রশাসক-পক্ষের অনুরোধ, বা অধিকার বৃদ্ধি)। আক্রমণকারীরা সাইটে অন্যান্য দুর্বলতার সাথে এই দুর্বলতাকে সংযুক্ত করার চেষ্টা করবে।.

নিম্ন-অধিকারযুক্ত অ্যাকাউন্টগুলির জন্য শোষণের সহজতার কারণে, এটি জরুরি হিসাবে বিবেচনা করুন যেকোনো সাইটের জন্য যেখানে গ্রাহকরা নিবন্ধন করতে পারে বা যেখানে অবদানকারী অ্যাকাউন্ট রয়েছে।.

শোষণ সনাক্তকরণ এবং আপসের সূচকগুলি কিভাবে

আপনাকে WP প্লাগইন দ্বারা সাধারণত ব্যবহৃত এন্ডপয়েন্টগুলিতে মনোযোগ কেন্দ্রীভূত করে অস্বাভাবিক আচরণ খুঁজতে হবে (admin-ajax, REST এন্ডপয়েন্ট, বা প্লাগইন-নির্দিষ্ট ফাইল)। এখানে চেক করার জন্য একটি অগ্রাধিকার তালিকা রয়েছে:

লগ এবং অনুরোধের প্যাটার্ন

  • /wp-admin/admin-ajax.php তে পুনরাবৃত্ত অনুরোধগুলি প্লাগইনকে উল্লেখ করে এমন অ্যাকশন প্যারামিটার সহ বা বট দ্বারা ব্যবহৃত ইউজার-এজেন্ট স্ট্রিং সহ।.
  • অজানা আইপি থেকে /wp-json/ বা যেকোনো প্লাগইন-নির্দিষ্ট REST রুটে (যেমন, /wp-json/wp-sms/*) অস্বাভাবিক ফ্রিকোয়েন্সিতে অনুরোধ।.
  • কনফিগারেশন, অপশন, বা সেটিংসের জন্য অনুরোধ করা কুয়েরি স্ট্রিং বা বডি প্যারামিটার অন্তর্ভুক্ত করা অনুরোধ।.

অ্যাক্সেস প্যাটার্ন

  • নতুন গ্রাহক বা নিম্ন-অধিকারযুক্ত অ্যাকাউন্টগুলি সংক্ষিপ্ত সময়ে অনেক অনুরোধ করছে।.
  • আপনার প্রত্যাশিত দর্শকদের নয় এমন একটি ছোট সংখ্যক দূরবর্তী আইপি থেকে উদ্ভূত অনুরোধ।.

ওয়ার্ডপ্রেসের অবস্থা এবং ডেটা পরীক্ষা

  • প্লাগইন সেটিংসে অপ্রত্যাশিত পরিবর্তন বা সাইটের মালিকদের দ্বারা সেট করা না হওয়া API কী-এর উপস্থিতি।.
  • সন্দেহজনক মান ধারণকারী নতুন বা সংশোধিত wp_options এন্ট্রি।.

ফাইল সিস্টেম এবং ম্যালওয়্যার পরীক্ষা

  • আপলোড, প্লাগইন ডিরেক্টরি, বা wp-content-এ অব্যবহৃত কোড সহ নতুন PHP ফাইল।.
  • প্লাগইন বা কোর ফাইলগুলিতে পরিবর্তিত টাইমস্ট্যাম্প যা আপনি পরিবর্তন করেননি।.
  • ব্যাকডোর বা ওয়েব শেলের উপস্থিতি (eval/base64_decode প্যাটার্ন, অব্যবহৃত ফাংশন খুঁজুন)।.

প্রশাসনিক চিহ্ন

  • অপ্রত্যাশিত আউটগোয়িং বার্তা (এসএমএস) বা এসএমএস প্রদানকারী অ্যাকাউন্টে বিলিং স্পাইক।.
  • সন্দেহজনক অনুরোধের পরে অডিট লগে ব্যাখ্যা করা হয়নি এমন প্রশাসনিক কার্যক্রম।.

মৌলিক সনাক্তকরণ কমান্ড (উদাহরণ)

  • সন্দেহজনক অ্যাক্সেসের জন্য সার্ভার লগে (Apache/Nginx) grep ব্যবহার করুন: 
    grep -i "admin-ajax.php" /var/log/nginx/access.log | grep "wp-sms"
  • প্লাগইনের সংস্করণ পরীক্ষা করতে WordPress CLI: 
    wp প্লাগইন তালিকা --স্ট্যাটাস=সক্রিয় --ফরম্যাট=csv | grep wp-sms
  • সন্দেহজনক ফাইলগুলি অনুসন্ধান করুন: 
    wp-content খুঁজুন -প্রকার f -নাম "*.php" -mtime -7 -মুদ্রণ

যদি আপনি সন্দেহজনক কার্যকলাপের চিহ্ন পান, তাহলে নিচের ঘটনা প্রতিক্রিয়া বিভাগে যান।.

তাত্ক্ষণিক পদক্ষেপ — ধাপে ধাপে (আপডেট, ব্লক, পরিদর্শন)

অগ্রাধিকার A — এখন আপডেট করুন (সেরা বিকল্প)

  1. WP SMS প্লাগইন সংস্করণ 7.2.2 (অথবা পরে) আপডেট করুন:
    • প্রশাসক UI: ড্যাশবোর্ড → প্লাগইন → আপডেট
    • অথবা WP-CLI: 
      wp প্লাগইন আপডেট wp-sms
  2. প্লাগইন সংস্করণ নিশ্চিত করুন: 
    wp প্লাগইন পান wp-sms --ফিল্ড=সংস্করণ
  3. সাইটের কার্যকারিতা যাচাই করুন এবং সম্ভব হলে একটি স্টেজিং সার্ভারে SMS ওয়ার্কফ্লো পরীক্ষা করুন।.

অগ্রাধিকার B — যদি আপনি তাত্ক্ষণিকভাবে আপডেট করতে না পারেন

  1. প্লাগইনটি অস্থায়ীভাবে নিষ্ক্রিয় বা নিষ্ক্রিয় করুন:
    • ড্যাশবোর্ড → প্লাগইন → নিষ্ক্রিয় করুন (সবচেয়ে দ্রুত)
    • অথবা WP-CLI: wp প্লাগইন নিষ্ক্রিয় করুন wp-sms
  2. যদি প্লাগইনটি অপরিহার্য হয়, তবে আপডেট করতে পারা না পর্যন্ত দুর্বল আচরণ ব্লক করতে WAF / ভার্চুয়াল প্যাচিং নিয়ম প্রয়োগ করুন (নীচে দেখুন)।.

অগ্রাধিকার C — গোপনীয়তা এবং শংসাপত্র পরিবর্তন করুন

  1. WP SMS যে কোনো API কী, টোকেন, বা প্রদানকারী শংসাপত্র সংরক্ষণ বা ব্যবহার করে তা চিহ্নিত করুন (এসএমএস গেটওয়ে কী, ফোন নম্বর)।.
  2. প্রদানকারী কনসোলে সেই কী পরিবর্তন করুন এবং প্লাগইন আপডেট বা প্রতিস্থাপন করার পর প্লাগইন সেটিংস আপডেট করুন।.
  3. যদি আপনি সন্দেহজনক কার্যকলাপ সনাক্ত করেন তবে প্রশাসক এবং বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীর পাসওয়ার্ড পুনরায় সেট করুন।.

অগ্রাধিকার D — স্ক্যান এবং পরিদর্শন

  1. একটি সম্পূর্ণ ম্যালওয়্যার স্ক্যান চালান (WP-Firewall ম্যালওয়্যার স্ক্যানার বা অন্যান্য বিশ্বস্ত স্ক্যানার)।.
  2. IOC এর জন্য ওয়েবসার্ভার লগ পরিদর্শন করুন (পূর্ববর্তী বিভাগ দেখুন)।.
  3. প্লাগইন দ্বারা সম্প্রতি তৈরি/সংশোধিত এন্ট্রির জন্য wp_options পর্যালোচনা করুন।.
  4. নতুন ব্যবহারকারীদের জন্য চেক করুন এবং ভূমিকা ও সক্ষমতা পর্যালোচনা করুন।.

অগ্রাধিকার E — ব্যাকআপ এবং স্ন্যাপশট

  1. ফরেনসিক উদ্দেশ্যে অবিলম্বে একটি স্ন্যাপশট বা ব্যাকআপ তৈরি করুন (পূর্ব-ঘটনার ব্যাকআপগুলি ওভাররাইট করবেন না)।.
  2. তদন্তের জন্য লগ এবং ব্যাকআপের কপি সংরক্ষণ করুন।.

সুপারিশকৃত WAF (ভার্চুয়াল প্যাচ) নিয়ম এবং উদাহরণ

যদি আপনি অবিলম্বে প্রতিটি প্রভাবিত সাইট আপডেট করতে না পারেন, তবে একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল দ্বারা ভার্চুয়াল প্যাচিং সময় কিনে। নিচে প্রয়োগযোগ্য বাস্তবসম্মত, সংরক্ষণশীল WAF নিয়ম রয়েছে যা আপনি Apache/ModSecurity, Nginx (ModSecurity সহ), বা অ্যাপ্লিকেশন-স্তরের অনুরোধ ফিল্টারিংয়ে প্রয়োগ করতে পারেন। লক্ষ্য: প্লাগইন কনফিগারেশন বা এন্ডপয়েন্টে অ্যাক্সেস করার চেষ্টা করা অস্বীকৃত নিম্ন-অধিকারযুক্ত অনুরোধগুলি ব্লক করা।.

গুরুত্বপূর্ণ: সেই নিয়মগুলি এড়িয়ে চলুন যা বৈধ সাইটের কার্যকারিতা ভেঙে দেবে। ব্লক করার আগে স্টেজিংয়ে নিয়মগুলি পরীক্ষা করুন বা “শুধু লগ” মোডে পর্যবেক্ষণ করুন।.

1) সাধারণ নিয়ম: প্লাগইন-নির্দিষ্ট REST এন্ডপয়েন্টগুলিতে অজ্ঞাত/নিম্ন-অধিকারযুক্ত অনুরোধগুলি ব্লক করুন

Nginx + ModSecurity (ধারণাগত নিয়ম):

  • REST এন্ডপয়েন্টগুলিতে অনুরোধগুলি সনাক্ত করুন যা প্লাগইন নামের পথ ধারণ করে (সাধারণভাবে প্রদর্শিত উদাহরণ পথ)।.
  • যদি অনুরোধের পদ্ধতি GET হয় এবং লগ ইন করা ব্যবহারকারীর কোনও কুকি না থাকে (কোনও wordpress_logged_in_ কুকি নেই) — ব্লক বা চ্যালেঞ্জ করুন।.

ModSecurity পseudo-নিয়ম (উদাহরণ):

SecRule REQUEST_URI "@rx /wp-json/(?:wp-sms|wp_sms|wp-sms-pro)/" \"

2) প্লাগইন ডেটা অনুরোধকারী সন্দেহজনক admin-ajax কলগুলি ব্লক বা রেট-লিমিট করুন

অনেক প্লাগইন অ্যাকশন admin-ajax.php ব্যবহার করে। অপ্রমাণিত ব্যবহারকারীদের থেকে সম্ভাব্য প্যারামিটার নাম (settings, get_options, ইত্যাদি) অন্তর্ভুক্ত কলগুলি ব্লক করতে একটি নিয়ম প্রয়োগ করুন।.

উদাহরণ ModSecurity:

SecRule ARGS_NAMES "@rx (get_settings|get_options|get_config|settings|options)" \"

3) যদি উপস্থিত থাকে তবে পাবলিক থেকে প্লাগইন প্রশাসনিক ফাইলগুলিতে প্রবেশাধিকার ব্লক করুন

যদি প্লাগইন একটি প্রশাসনিক ফাইল প্রকাশ করে /wp-content/plugins/wp-sms/admin/ যা শুধুমাত্র প্রশাসকদের দ্বারা অ্যাক্সেস করা উচিত, বাইরের অ্যাক্সেস IP দ্বারা ব্লক করুন বা প্রমাণীকরণের প্রয়োজন করুন।.

Nginx অবস্থান নিয়মের উদাহরণ:

location ~* /wp-content/plugins/wp-sms/.+\.php$ {

বিঃদ্রঃ: এই পদ্ধতি সংরক্ষণশীল এবং কিছু সেটআপের অধীনে বৈধ প্রশাসনিক AJAX কলগুলি ভেঙে ফেলতে পারে — প্রয়োগের আগে পরীক্ষা করুন।.

4) রেট-লিমিটিং: একই IP / অ্যাকাউন্ট থেকে পুনরাবৃত্তি ইন্টারঅ্যাকশন থ্রোটল করুন

সন্দেহজনক এন্ডপয়েন্টগুলির জন্য অনুরোধ থ্রোটলিং বাস্তবায়ন করুন:

  • প্রশাসনিক AJAX বা REST এন্ডপয়েন্টগুলিতে M সেকেন্ডের মধ্যে N এর বেশি অনুরোধ করা IP ঠিকানাগুলি ব্লক বা ধীর করুন।.

Nginx + limit_req উদাহরণ:

limit_req_zone $binary_remote_addr zone=wp_ajax:10m rate=30r/m;

5) পরিচিত খারাপ বটগুলি ব্লক করুন এবং সন্দেহজনক ব্যবহারকারী-এজেন্টগুলির ফিঙ্গারপ্রিন্ট করুন

অনেক স্বয়ংক্রিয় শোষণ প্রচেষ্টা স্ক্রিপ্ট করা ব্যবহারকারী-এজেন্ট ব্যবহার করে; প্লাগইন এন্ডপয়েন্টগুলিতে বারবার আঘাত করা ব্যবহারকারী-এজেন্টগুলির একটি অস্বীকার-তালিকা তৈরি করুন এবং 403 দিয়ে প্রতিক্রিয়া জানান।.

6) লগিং এবং সতর্কতা: নিশ্চিত করুন যে কোনও ব্লক করা প্রচেষ্টা সাইটের মালিকদের/প্রশাসকদের জন্য সতর্কতা ট্রিগার করে

ভার্চুয়াল প্যাচগুলি অস্থায়ী। ব্লক করা অনুরোধের পে-লোড, IP, হেডার এবং সময়সীমা ক্যাপচার করতে লগিং কনফিগার করুন পরবর্তী তদন্তের জন্য।.

নির্দেশিকা

  • নতুন নিয়মগুলির জন্য “মonitor/log-only” মোড দিয়ে শুরু করুন যাতে মিথ্যা ইতিবাচকগুলি মূল্যায়ন করা যায়।.
  • ন্যূনতম ব্লকিং ব্যবহার করুন — অপ্রমাণিত অনুরোধের জন্য চ্যালেঞ্জ (CAPTCHA) বা 403 ব্লককে অগ্রাধিকার দিন।.
  • ব্যাপকভাবে রোল আউট করার আগে স্টেজিংয়ে পরীক্ষা করুন।.

যদি আপনি WP-Firewall ব্যবহার করেন, আমাদের পরিচালিত নিয়ম সেটে এই শ্রেণীর সমস্যার জন্য ভার্চুয়াল প্যাচ অন্তর্ভুক্ত রয়েছে এবং আপগ্রেড করার সময় সাইটগুলি রক্ষা করতে তা অবিলম্বে চালু করা যেতে পারে।.

শক্তিশালীকরণ, পর্যবেক্ষণ এবং দীর্ঘমেয়াদী মেরামত

আপনি যখন আপডেট বা ভার্চুয়াল প্যাচ প্রয়োগ করেছেন, তখন নিরাপত্তার অবস্থান সম্পর্কে একটি বিস্তৃত দৃষ্টিভঙ্গি নিন। এখানে সুপারিশকৃত নিয়ন্ত্রণগুলি রয়েছে:

  1. ন্যূনতম সুযোগ-সুবিধার নীতি
    • যদি প্রয়োজন না হয় তবে ব্যবহারকারী নিবন্ধন সীমাবদ্ধ করুন; নিবন্ধন প্রয়োজন হলে ডিফল্ট ভূমিকা “সাবস্ক্রাইবার” এ সেট করুন। যেখানে সম্ভব, ব্যবহারকারী নিবন্ধন অক্ষম করুন (সেটিংস → সাধারণ)।.
    • নিয়মিত ব্যবহারকারীদের নিরীক্ষণ করুন এবং অপ্রয়োজনীয় অ্যাকাউন্টগুলি মুছে ফেলুন।.
    • প্লাগইনে প্রশাসক স্তরের API কী ব্যবহার করা এড়িয়ে চলুন। সীমিত অধিকার সহ স্কোপড কী ব্যবহার করুন।.
  2. প্লাগইন রক্ষণাবেক্ষণ সুরক্ষিত করুন
    • সমস্ত প্লাগইন, থিম এবং কোর আপডেট রাখুন; আপনার সাইটে কাস্টমাইজেশন থাকলে আপডেট পরীক্ষা করার জন্য স্টেজিং ব্যবহার করুন।.
    • অপ্রয়োজনীয় প্লাগইন এবং থিম মুছে ফেলুন — অপ্রয়োজনীয় কোড আক্রমণের পৃষ্ঠতল বাড়ায়।.
    • শুধুমাত্র বিশ্বস্ত প্লাগইনে সাবস্ক্রাইব করুন এবং ইন্টিগ্রেশন (SMS, পেমেন্ট গেটওয়ে) এর জন্য ব্যবহৃত উচ্চ-ঝুঁকির প্লাগইনের জন্য কোড নিরীক্ষা চালান।.
  3. REST এবং AJAX এন্ডপয়েন্ট সুরক্ষিত করুন
    • সক্ষমতা পরীক্ষা প্রয়োগ করুন (বর্তমান_ব্যবহারকারী_ক্যান()) সংবেদনশীল তথ্য ফেরত দেওয়া এন্ডপয়েন্টগুলির জন্য।.
    • প্রতিক্রিয়ায় গোপনীয়তা (API কী, টোকেন) ফেরত দেওয়া এড়িয়ে চলুন; সংবেদনশীল ক্ষেত্রগুলি মাস্ক বা রিড্যাক্ট করুন।.
    • ফর্ম জমা দেওয়ার জন্য ননস ব্যবহার করুন এবং সংবেদনশীল ক্রিয়াকলাপ প্রক্রিয়া করার আগে সেগুলি প্রয়োজন।.
  4. গোপনীয়তা ব্যবস্থাপনা
    • এনক্রিপশন ছাড়া wp_options বা প্লাগইন সেটিংসে দীর্ঘমেয়াদী গোপনীয়তা সংরক্ষণ করা এড়িয়ে চলুন।.
    • যেখানে সম্ভব, সার্ভার স্তরে গোপনীয়তার জন্য পরিবেশ ভেরিয়েবল ব্যবহার করুন এবং যদি সমর্থিত হয় তবে প্লাগইনের ভিতরে সেগুলি লোড করুন।.
  5. মনিটরিং এবং সতর্কতা
    • অস্বাভাবিক অনুরোধের প্যাটার্ন এবং ব্যর্থ অনুমোদনের প্রচেষ্টার জন্য লগগুলি পর্যবেক্ষণ করুন।.
    • WAF ব্লক এবং প্রশাসক-এজাক্স বা REST অনুরোধে হঠাৎ স্পাইকগুলির জন্য ইমেল/SMS সতর্কতা সেট আপ করুন।.
  6. ব্যাকআপ এবং অপরিবর্তনীয় আর্কাইভ
    • নিয়মিত অফ-সাইট ব্যাকআপ বজায় রাখুন এবং সময়ে সময়ে পুনরুদ্ধার পরীক্ষা করুন।.
    • ফরেনসিক বিশ্লেষণের জন্য সন্দেহজনক আপসের আগে একটি নিরাপদ অপরিবর্তনীয় ব্যাকআপ রাখুন।.
  7. স্বয়ংক্রিয় স্ক্যানিং এবং নিয়মিত অডিট
    • আপনার প্লাগইন এবং থিমগুলির বিরুদ্ধে স্বয়ংক্রিয় দুর্বলতা স্ক্যান চালান।.
    • বাইরের শংসাপত্র পরিচালনা করে বা বিশেষাধিকারযুক্ত ক্রিয়াকলাপ সম্পাদন করে এমন প্লাগইনের জন্য সময়ে সময়ে ম্যানুয়াল অডিট নির্ধারণ করুন।.

যদি আপনার সাইট ইতিমধ্যে ক্ষতিগ্রস্ত হয় — ঘটনা প্রতিক্রিয়া প্লেবুক

যদি আপনি আপসের চিহ্ন (অস্বাভাবিক অনুরোধ, নতুন প্রশাসক ব্যবহারকারী, পরিবর্তিত ফাইল) আবিষ্কার করেন তবে অবিলম্বে নিম্নলিখিত ঘটনা পরিচালনার পদক্ষেপ গ্রহণ করুন।.

বিচ্ছিন্নতা এবং ধারণ

  1. যদি আপনি কার্যকলাপ নিয়ন্ত্রণ করতে না পারেন তবে সাইটটিকে রক্ষণাবেক্ষণ মোডে রাখুন বা অফলাইনে নিয়ে যান।.
  2. দুর্বল প্লাগইনটি অস্থায়ীভাবে নিষ্ক্রিয় করুন (wp প্লাগইন নিষ্ক্রিয় করুন wp-sms) অথবা শোষণ ট্রাফিক ব্লক করতে কঠোর WAF নিয়ম প্রয়োগ করুন।.

প্রমাণ সংরক্ষণ করুন

  1. একটি সম্পূর্ণ ব্যাকআপ স্ন্যাপশট তৈরি করুন (লগ, ডেটাবেস ডাম্প এবং ফাইল সিস্টেম কপি সংরক্ষণ করুন)।.
  2. ঘটনার পূর্ববর্তী অন্তত 30 দিনের জন্য ওয়েবসার্ভার লগগুলি রপ্তানি করুন।.

নির্মূল

  1. ওয়েব শেল এবং ক্ষতিকারক ফাইলগুলির জন্য স্ক্যান করুন; যেকোনো ব্যাকডোর মুছে ফেলুন।.
  2. পরিবর্তিত কোর/প্লাগইন ফাইলগুলি বিশ্বাসযোগ্য উৎস থেকে পরিষ্কার কপির সাথে প্রতিস্থাপন করুন।.
  3. সম্ভাব্যভাবে প্রকাশিত সমস্ত শংসাপত্র পরিবর্তন করুন: ওয়ার্ডপ্রেস ব্যবহারকারীরা, API কী, প্রদানকারী শংসাপত্র।.

পুনরুদ্ধার

  1. যদি আপসের চিহ্ন থাকে তবে সর্বশেষ পরিচ্ছন্ন ব্যাকআপ থেকে সাইটটি পুনরুদ্ধার করুন।.
  2. সমস্ত সফ্টওয়্যার আপডেট করুন: ওয়ার্ডপ্রেস কোর, প্লাগইন, থিম।.
  3. পুনঃসংক্রমণের জন্য ঘনিষ্ঠভাবে পর্যবেক্ষণ করুন: পুনরাবৃত্ত আক্রমণের প্যাটার্নের জন্য লগ পরীক্ষা করুন।.

পোস্ট-ঘটনা কার্যক্রম

  1. একটি মূল-কারণ বিশ্লেষণ পরিচালনা করুন: আক্রমণকারী কিভাবে প্রবেশ করেছিল? কোন তথ্য অ্যাক্সেস করা হয়েছিল?
  2. আর্থিক বা গ্রাহক তথ্য প্রকাশিত হলে তৃতীয় পক্ষের ফরেনসিক বিশ্লেষণের কথা বিবেচনা করুন।.
  3. প্রভাবিত স্টেকহোল্ডারদের জানিয়ে দিন এবং, যদি আইন দ্বারা প্রয়োজন হয়, লঙ্ঘন বিজ্ঞপ্তির প্রয়োজনীয়তা অনুসরণ করুন।.

WP-Firewall আপনাকে কীভাবে সুরক্ষা দেয়

WP-Firewall এর পিছনের দলের হিসাবে, আমাদের পদ্ধতি স্তরিত প্রতিরক্ষার উপর কেন্দ্রিত:

  • পরিচালিত WAF নিয়ম: আমরা নতুন প্রকাশিত প্লাগইন দুর্বলতার জন্য ভার্চুয়াল প্যাচ এবং নিয়ম প্রকাশ করি এবং আপডেটগুলি রোল আউট হওয়ার সময় সাইটগুলি রক্ষা করতে দ্রুত তাদের স্থাপন করি।.
  • ম্যালওয়্যার স্ক্যানিং এবং অপসারণ: আমাদের স্ক্যানার আপসের সূচক, সন্দেহজনক ফাইল এবং সাধারণ ব্যাকডোর প্যাটার্ন খুঁজে বের করে; উচ্চতর স্তরের পরিকল্পনাগুলিতে স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ অন্তর্ভুক্ত রয়েছে।.
  • স্বয়ংক্রিয় দুর্বলতা ভার্চুয়াল প্যাচিং: উচ্চ-প্রভাবের দুর্বলতার জন্য, আমরা সুরক্ষিত সাইটগুলির উপর একটি ভার্চুয়াল প্যাচ প্রয়োগ করতে পারি যতক্ষণ না একটি বিক্রেতার প্যাচ প্রয়োগ করা হয়।.
  • রিয়েল-টাইম ব্লকিং এবং রেট-লিমিটিং: এটি ক্ষতিকারক ট্রাফিক প্যাটার্নগুলি থ্রটলিং করে এবং পরিচিত খারাপ অভিনেতাদের ব্লক করে ব্যাপক-শোষণ প্রচারণার বিরুদ্ধে রক্ষা করে।.
  • অবিরাম পর্যবেক্ষণ এবং রিপোর্টিং: আমরা লগ এবং সতর্কতা প্রদান করি যাতে আপনি দ্রুত প্রতিক্রিয়া জানাতে পারেন।.

যদি আপনার তাত্ক্ষণিক সুরক্ষার প্রয়োজন হয় এবং আপনার কাছে WAF না থাকে, তবে আমরা উপরে বর্ণিত সংরক্ষণশীল ভার্চুয়াল প্যাচিং নিয়ম প্রয়োগ এবং গুরুত্বপূর্ণ API কী ঘুরিয়ে দেওয়ার সুপারিশ করি। অনেক সাইট মালিকের জন্য, একটি পরিচালিত ফায়ারওয়াল এবং ম্যালওয়্যার স্ক্যানার অপারেশনাল লোড কমায় এবং মানসিক শান্তি প্রদান করে।.

WP-Firewall এর সাথে বিনামূল্যে সুরক্ষা শুরু করুন

যদি আপনি আপনার ওয়ার্ডপ্রেস সাইটটি তাত্ক্ষণিকভাবে সুরক্ষিত করতে চান, তবে WP-Firewall বেসিক (বিনামূল্যে) পরিকল্পনা দিয়ে শুরু করার কথা বিবেচনা করুন। এটি একটি পরিচালিত ফায়ারওয়াল, WAF, অসীম ব্যান্ডউইথ, একটি ম্যালওয়্যার স্ক্যানার এবং OWASP শীর্ষ 10 ঝুঁকির জন্য প্রশমন সহ মৌলিক সুরক্ষা প্রদান করে — আপডেট বা তদন্ত করার সময় WP SMS সংবেদনশীল তথ্য প্রকাশের মতো সাধারণ শোষণ প্রচেষ্টা ব্লক করার জন্য আপনার প্রয়োজনীয় সবকিছু। আপনি এখানে শুরু করতে পারেন: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

যদি আপনার আরও স্বয়ংক্রিয় প্রতিক্রিয়া প্রয়োজন — স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ এবং সীমিত IP অনুমতি/ব্ল্যাকলিস্ট স্ট্যান্ডার্ড পরিকল্পনার সাথে উপলব্ধ। একাধিক সাইট পরিচালনা করা দলের এবং সংস্থাগুলির জন্য, প্রো পরিকল্পনায় স্বয়ংক্রিয় ভার্চুয়াল প্যাচিং এবং মাসিক নিরাপত্তা রিপোর্ট অন্তর্ভুক্ত রয়েছে যা ঘটনা প্রতিক্রিয়া অনেক দ্রুত করে তোলে।.

বিস্তারিত উদাহরণ: নিরাপদ WAF নিয়ম স্নিপেট এবং সনাক্তকরণ প্যাটার্ন

নিচে দীর্ঘ উদাহরণ রয়েছে যা আপনি আপনার পরিবেশে অভিযোজিত করতে পারেন। এগুলি নির্দেশিকা — আপনার সাইটের জন্য সেগুলি টিউন করুন।.

A. ModSecurity: সন্দেহজনক REST এন্ডপয়েন্টগুলিতে অপ্রমাণিত অনুরোধ ব্লক করুন (প্রথমে মনিটর মোড)

# নিয়ম 900100 - WP-SMS REST এন্ডপয়েন্টে অ্যাক্সেস মনিটর করুন"

B. অ্যাডমিন-এজ প্যারামিটার পর্যবেক্ষণ (সন্দেহজনক অ্যাডমিন-এজ এন্ট্রি লগ করুন)

SecRule REQUEST_URI "@streq /wp-admin/admin-ajax.php" "id:900110,phase:2,pass,nolog,chain"

C. Nginx: প্লাগইন প্রশাসক ফোল্ডারে সরাসরি প্রবেশ নিষিদ্ধ করুন (শুধুমাত্র অভ্যন্তরীণ অনুমতি দিন)

location ~* ^/wp-content/plugins/wp-sms/admin/ {

বিঃদ্রঃ: অভ্যন্তরীণ ব্যবহার করুন সতর্ক পরীক্ষার সাথে — এটি সরাসরি জনসাধারণের প্রবেশ নিষিদ্ধ করে। কিছু অভ্যন্তরীণ প্লাগইন সম্পদ প্রবেশের প্রয়োজন হতে পারে — প্রথমে যাচাই করুন।.

D. প্রশাসক-অ্যাজের জন্য হার সীমাবদ্ধ করা যাতে প্রোবগুলি ধীর হয়

limit_req_zone $binary_remote_addr zone=ajax_zone:10m rate=60r/m;

মনিটরিং সতর্কতা

  • আপনার WAF কনফিগার করুন যাতে উপরের যে কোনও নিয়ম মনিটর থেকে ব্লক অবস্থায় চলে গেলে বা প্রশাসক-অ্যাজ বা REST এন্ডপয়েন্টের জন্য থ্রেশহোল্ড পৌঁছালে একটি সতর্কতা পাঠায়।.

আপনার হোস্টিং প্রদানকারী বা ডেভেলপারের কাছে জিজ্ঞাসা করার জন্য প্রশ্ন

  • আপনি কি পরীক্ষা করেছেন যে WP SMS প্লাগইন আমাদের পরিবেশে সক্রিয়ভাবে চলছে এবং কোন সংস্করণ?
  • আমরা কি সমস্ত সাইটে কেন্দ্রীয়ভাবে একটি অস্থায়ী WAF নিয়ম প্রয়োগ করতে পারি যাতে দুর্বল অনুরোধের প্যাটার্নগুলি ব্লক করা যায়?
  • আমাদের কি ফরেনসিক বিশ্লেষণের জন্য অন্তত 30 দিনের জন্য সাম্প্রতিক ব্যাকআপ এবং লগ রক্ষণাবেক্ষণ আছে?
  • কোন পরিষেবাগুলি (এসএমএস গেটওয়ে প্রদানকারী) এই প্লাগইনের সাথে সংযুক্ত এবং আমরা কি এখন তাদের কী ঘুরিয়ে দিতে পারি?
  • আমরা কি ব্যবহারকারী নিবন্ধন নিষ্ক্রিয় করতে পারি বা প্যাচ দেওয়া না হওয়া পর্যন্ত ডিফল্ট ভূমিকা পরিবর্তন করতে পারি?

চূড়ান্ত সুপারিশ এবং চেকলিস্ট

তাত্ক্ষণিক চেকলিস্ট (প্রথম 24 ঘণ্টা)

  • [ ] নিশ্চিত করুন যে WP SMS ইনস্টল করা আছে কিনা (wp plugin list)।.
  • [ ] সম্ভব হলে WP SMS 7.2.2 বা তার পরের সংস্করণে আপডেট করুন।.
  • [ ] যদি আপনি আপডেট করতে না পারেন, প্লাগইন নিষ্ক্রিয় করুন বা বর্ণিত অনুযায়ী ভার্চুয়াল প্যাচ নিয়ম সক্ষম করুন।.
  • [ ] এসএমএস/গেটওয়ে শংসাপত্র এবং যে কোনও প্রকাশিত API কী ঘুরিয়ে দিন।.
  • [ ] শেষ 30 দিনের জন্য ওয়েবসার্ভার লগগুলি রপ্তানি এবং সুরক্ষিত করুন।.
  • [ ] সম্পূর্ণ ম্যালওয়্যার এবং অখণ্ডতা স্ক্যান চালান।.

২৪–৭২ ঘণ্টার ফলো-আপ

  • [ ] ব্যাকডোর এবং সন্দেহজনক PHP ফাইলগুলির জন্য গভীর স্ক্যান পরিচালনা করুন।.
  • [ ] নতুন ব্যবহারকারী বা অধিকার বৃদ্ধি পরীক্ষা করুন।.
  • [ ] WAF লগগুলি পর্যবেক্ষণ করুন এবং পুনরাবৃত্ত হিটগুলির জন্য সতর্কতা সেট করুন।.
  • [ ] নেওয়া পদক্ষেপগুলি নথিভুক্ত করুন এবং প্রয়োজন অনুযায়ী স্টেকহোল্ডারদের জানিয়ে দিন।.

দীর্ঘমেয়াদী

  • [ ] একটি পরিচালিত WAF বা পেশাদার নিরাপত্তা পর্যবেক্ষণ বাস্তবায়ন করুন।.
  • [ ] অপ্রয়োজনীয় প্লাগইনগুলি সরিয়ে আক্রমণের পৃষ্ঠতল হ্রাস করুন।.
  • [ ] তৃতীয় পক্ষের প্লাগইনগুলি নিরীক্ষণ করুন যা বাহ্যিক শংসাপত্র সংরক্ষণ করে।.

সমাপনী ভাবনা

এই WP SMS সংবেদনশীল তথ্য প্রকাশ একটি স্মারক যে প্লাগইন অনুমোদন ত্রুটিগুলির বিশাল পরিণতি থাকতে পারে — বিশেষ করে যখন তারা নিম্ন-অধিকারযুক্ত ব্যবহারকারীদের গোপনীয়তা বের করতে দেয়। দ্রুত কার্যকর প্রতিরক্ষা হল বিক্রেতার প্যাচ (৭.২.২) অবিলম্বে প্রয়োগ করা। যখন একটি প্যাচ তাত্ক্ষণিকভাবে প্রয়োগ করা সম্ভব নয়, সঠিকভাবে কনফিগার করা WAF এর মাধ্যমে ভার্চুয়াল প্যাচিং, গোপনীয়তা ঘুরানো, এবং লক্ষ্যযুক্ত পর্যবেক্ষণ আপনাকে সময় কিনতে শক্তিশালী উপশম প্রদান করে।.

যদি আপনি উপরের নিয়মগুলি বাস্তবায়নে, সংশোধন যাচাই করতে, বা ভার্চুয়াল প্যাচগুলি অনবোর্ড করতে কোনও সহায়তার প্রয়োজন হয়, WP-Firewall এর নিরাপত্তা দল আপনাকে সহায়তা করতে পারে। আমাদের পরিচালিত শিল্ডিং এবং স্ক্যানিং দ্রুত চালু করা যেতে পারে জরুরি সময়ে সাইটগুলি রক্ষা করতে এবং পুনরাবৃত্ত হুমকিগুলি দূরে রাখতে।.

নিরাপদ থাকুন, এবং যদি আপনি আপনার কোনও WordPress সাইটে WP SMS চালান তবে এটি উচ্চ-অগ্রাধিকার হিসাবে বিবেচনা করুন।.

— WP-ফায়ারওয়াল সিকিউরিটি টিম

wordpress security update banner

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন!!

প্রতি সপ্তাহে আপনার ইনবক্সে ওয়ার্ডপ্রেস সিকিউরিটি আপডেট পেতে সাইন আপ করুন।

আমরা স্প্যাম করি না! আমাদের পড়ুন গোপনীয়তা নীতি আরও তথ্যের জন্য।

একটি প্রশংসামূলক ওয়ার্ডপ্রেস নিরাপত্তা পরামর্শ নির্ধারণ করতে আমাদের সাথে যোগাযোগ করুন

যোগাযোগ করুন

WP-ফায়ারওয়াল
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kawloon, Hong Kong

বৈশিষ্ট্য মূল্য নির্ধারণ ব্লগ প্রবেশ করুন
গোপনীয়তা নীতি সেবা পাবার শর্ত ডক্স অধিভুক্ত

© ২০২৬ WP-Firewall™