প্লাগইনের নাম	লার্নিফাই
দুর্বলতার ধরণ	স্থানীয় ফাইল অন্তর্ভুক্তি
সিভিই নম্বর	CVE-2025-60085
জরুরি অবস্থা	উচ্চ
সিভিই প্রকাশের তারিখ	2026-04-25
উৎস URL	CVE-2025-60085

লার্নিফাই থিমে (≤ 1.15.0) একটি গুরুতর স্থানীয় ফাইল অন্তর্ভুক্তি — ওয়ার্ডপ্রেস সাইট মালিকদের জন্য তাত্ক্ষণিক পদক্ষেপ

2026-04-25 | WP‑Firewall সিকিউরিটি টিম

সারাংশ

লার্নিফাই ওয়ার্ডপ্রেস থিমে একটি গুরুতর স্থানীয় ফাইল অন্তর্ভুক্তি (LFI) দুর্বলতা প্রকাশিত হয়েছে যা সংস্করণ ≤ 1.15.0-কে প্রভাবিত করে (CVE-2025-60085)। এই সমস্যাটি অপ্রমাণিত আক্রমণকারীদের স্থানীয় ফাইলগুলি অন্তর্ভুক্ত এবং প্রদর্শন করতে দেয়। রিপোর্ট করা দুর্বলতার উচ্চ তীব্রতা (CVSS 8.1) রয়েছে এবং এটি ব্যাপকভাবে শোষণ করা যেতে পারে — আক্রমণকারীদের সংবেদনশীল ফাইল যেমন wp-config.php, পরিবেশ ফাইল, বা যে কোনও পাঠযোগ্য সার্ভার-সাইড ফাইল ফাঁস করতে দেয়। এটি প্রমাণপত্র ফাঁস, ডেটাবেসের আপস, এবং পরিবেশের উপর নির্ভর করে সম্পূর্ণ সাইট দখলের দিকে নিয়ে যেতে পারে।.

আপনি যদি লার্নিফাই বা এটি ব্যবহার করে এমন সাইট চালান, তবে এই পোস্টটি মনোযোগ সহকারে পড়ুন। আমরা ব্যাখ্যা করি দুর্বলতা কী বোঝায়, আক্রমণকারীরা কীভাবে এটি অপব্যবহার করে, শোষণের চিহ্নগুলি কীভাবে সনাক্ত করতে হয়, এবং আমরা যে পদক্ষেপ-দ্বারা-পদক্ষেপ প্রশমন এবং ঘটনা-প্রতিক্রিয়া প্রক্রিয়া সুপারিশ করি। আমরা আক্রমণের পৃষ্ঠতলকে তাত্ক্ষণিকভাবে কমাতে বাস্তব WAF নিয়ম এবং সার্ভার শক্তিশালীকরণের নির্দেশনাও দেখাই।.

---

স্থানীয় ফাইল অন্তর্ভুক্তি (LFI) কী?

স্থানীয় ফাইল অন্তর্ভুক্তি (LFI) হল ওয়েব অ্যাপ্লিকেশনগুলিতে একটি দুর্বলতার শ্রেণী যা ঘটে যখন ব্যবহারকারী-নিয়ন্ত্রিত ইনপুট সার্ভারে ফাইল নির্বাচন এবং অন্তর্ভুক্ত করতে ব্যবহৃত হয় সঠিক যাচাইকরণের অভাবে। একটি PHP-ভিত্তিক সাইটে, উদাহরণস্বরূপ, এটি এরকম দেখাতে পারে:

• include($_GET['template']);
• require_once($_REQUEST['page']);

যদি একটি আক্রমণকারী ইনপুট নিয়ন্ত্রণ করতে পারে যা নির্ধারণ করে কোন ফাইল অন্তর্ভুক্ত হয়, তবে তারা অ্যাপ্লিকেশনটিকে অযাচিত স্থানীয় ফাইলগুলির দিকে নির্দেশ করতে পারে এবং সার্ভারকে তাদের বিষয়বস্তু পড়তে এবং আউটপুট করতে বাধ্য করতে পারে। সাধারণ পরিণতি:

• গোপনীয়তার ফাঁস (ডেটাবেসের প্রমাণপত্র, API কী)।.
• আরও আক্রমণের জন্য তথ্য সংগ্রহ করা।.
• এমন পরিবেশে যেখানে বিপজ্জনক র‍্যাপার (php://input, php://filter) অনুমোদিত বা যেখানে দূরবর্তী ফাইল অন্তর্ভুক্তি সক্ষম, সেখানে দূরবর্তী কোড কার্যকর (RCE) সম্ভব হতে পারে।.

LFI সহজ ট্রাভার্সাল স্ট্রিং (../../../../) এবং র‍্যাপার প্রযুক্তি (php://filter) ব্যবহার করে নিরাপদে ফাইল পড়তে শোষণ করা যেতে পারে যেখানে সরাসরি অন্তর্ভুক্তি ফাইলের বিষয়বস্তু মুদ্রণ করবে না।.

---

কেন এই লার্নিফাই LFI বিপজ্জনক

এই ঘটনার সম্পর্কে মূল তথ্য:

• লার্নিফাই থিমের সংস্করণ ≤ 1.15.0-কে প্রভাবিত করে।.
• CVE: CVE-2025-60085।.
• প্রয়োজনীয় অধিকার: কিছুই নয় (অপ্রমাণিত)।.
• CVSS: 8.1 (উচ্চ)।.
• বর্তমানে কোন অফিসিয়াল বিক্রেতার প্যাচ উপলব্ধ নেই (সাইটের মালিকদের প্রতিকার প্রয়োগ করতে হবে)।.

কেন এই নির্দিষ্ট LFI একটি উচ্চ-অগ্রাধিকার সমস্যা:

1. অপ্রমাণিত: একজন আক্রমণকারী শোষণের চেষ্টা করতে প্রমাণপত্রের প্রয়োজন নেই।.
2. স্বয়ংক্রিয় করা সহজ: LFI পরীক্ষা হাজার হাজার সাইট জুড়ে স্বয়ংক্রিয় স্ক্যানার দ্বারা চালানো যেতে পারে।.
3. সংবেদনশীল লক্ষ্য ফাইল: WordPress ডেটাবেসের প্রমাণপত্র এবং লবণ সংরক্ষণ করে wp-config.php, এই ফাইলটিকে একটি প্রধান লক্ষ্য করে তোলে।.
4. চেইনযোগ্যতা: LFI অন্যান্য ভুল কনফিগারেশন (দুর্বল ফাইল অনুমতি, লেখার যোগ্য প্লাগইন/থিম ডিরেক্টরি, বিপজ্জনক PHP র‍্যাপার) এর সাথে চেইন করা যেতে পারে RCE বা স্থায়ী ব্যাকডোর ইনস্টলেশনে উন্নীত করার জন্য।.

এই কারণগুলির জন্য, দুর্বল Learnify সংস্করণ চালানো সাইটগুলিকে অবিলম্বে কাজ করতে হবে।.

---

প্রযুক্তিগত বিস্তারিত (কিভাবে আক্রমণকারীরা সাধারণত LFI শোষণ করে)

যদিও সঠিক দুর্বল প্যারামিটার নাম থিম সংস্করণের মধ্যে পরিবর্তিত হতে পারে, LFI এর শোষণের প্যাটার্ন সাধারণ পদক্ষেপ অনুসরণ করে। নিচে আমরা একটি আক্রমণকারী যে সাধারণ পদ্ধতি ব্যবহার করবে তা ব্যাখ্যা করছি — যাতে আপনি এটি চিনতে এবং প্রতিরোধ করতে পারেন।.

1. প্রবেশ পয়েন্ট খুঁজে বের করা
   – আক্রমণকারী থিম ফাইলগুলি খুঁজে বের করে যা কল করে অন্তর্ভুক্ত, প্রয়োজন, file_get_contents, অথবা GET/POST/কুকি মান দ্বারা প্রভাবিত ভেরিয়েবলের সাথে অনুরূপ ফাংশন।.
   – উদাহরণ ঝুঁকিপূর্ণ প্যাটার্ন: include( $theme_dir . '/' . $_GET['tpl'] );
2. পাথ ট্রাভার্সাল
   – আক্রমণকারী ট্রাভার্সাল সিকোয়েন্স ধারণকারী পে-লোড জমা দেয়:
       – ../../../../etc/passwd
       – ../../../../wp-config.php
   – অনেক সার্ভার বাইনারি ফাইল অন্তর্ভুক্ত করার সময় ত্রুটি ফেরত দিয়ে ফাইল পড়া প্রতিরোধ করে। আক্রমণকারীরা তখন র‍্যাপার ব্যবহার করে।.
3. ফাইল পড়তে র‍্যাপার ব্যবহার করা (সাধারণ কৌশল)
   – php://filter/convert.base64-encode/resource=path/to/file — একটি ফাইল অন্তর্ভুক্ত করার সময় base64-encode করতে একটি ফিল্টার প্রয়োগ করে, যা প্রতিক্রিয়ায় মুদ্রণযোগ্য করে তোলে।.
   – উদাহরণ পে-লোড:
       – ?tpl=php://filter/convert.base64-encode/resource=../../../../wp-config.php
4. নাল বাইট এবং এনকোডিং কৌশল
   – পুরানো PHP এবং সার্ভার সেটআপে আক্রমণকারীরা নাল বাইট (%00) ট্রাঙ্কেশন ব্যবহার করে_suffix চেক বাইপাস করতে পারে। অনেক আধুনিক সংস্করণ এটি প্রশমিত করে, তবে এটি এখনও স্বয়ংক্রিয় স্ক্যানগুলিতে একটি সাধারণ পে-লোড:
       – ?tpl=../../../../wp-config.php
5. পোস্ট-এক্সপ্লয়টেশন পদক্ষেপ
   – যদি wp-config শংসাপত্র পাওয়া যায়, আক্রমণকারী সেগুলি ব্যবহার করে ডেটাবেসে প্রবেশ করতে বা একটি প্রশাসক ব্যবহারকারী তৈরি করতে, ব্যাকডোর আপলোড করতে বা অতিরিক্ত গোপনীয়তা বের করতে পারে।.
   – যদি ফাইল আপলোডগুলি অ্যাক্সেসযোগ্য এবং স্যানিটাইজ করা না হয়, আক্রমণকারী PHP শেল আপলোড করতে পারে এবং RCE অর্জন করতে পারে।.

একটি দায়িত্বশীল প্রকাশনা লক্ষ্য করেছে যে Learnify থিমের অন্তর্ভুক্তি যুক্তি ব্যবহারকারী-প্রদান করা পাথগুলি সঠিকভাবে স্যানিটাইজ করতে ব্যর্থ হয়েছে, উপরের কৌশলগুলি সক্ষম করেছে।.

---

দেখার জন্য উদাহরণ সূচক এবং ক্ষতিকারক অনুরোধের প্যাটার্ন

আপনার ওয়েব সার্ভার লগ এবং WAF লগ চেক করুন এই প্যাটার্নগুলি ধারণকারী অনুরোধগুলির জন্য:

• php://filter/convert.base64-encode/resource=
• .... বা ../ পুনরাবৃত্ত (পাথ ট্রাভার্সাল)
• %00 অথবা নাল বাইট এনকোড করা প্রচেষ্টা
• অস্বাভাবিক কোয়েরি স্ট্রিং সহ থিম PHP ফাইলগুলিতে অনুরোধ ?tpl=... বা ?পৃষ্ঠা=... (যে কোনও প্যারামিটার চেক করুন যা একটি টেম্পলেট নির্বাচন করে বলে মনে হয়)
• প্রতিক্রিয়ায় দীর্ঘ base64 স্ট্রিং (ফাইলের বিষয়বস্তু এনকোড করা এবং ফেরত দেওয়া নির্দেশ করে)

সন্দেহজনক অনুরোধের নমুনা লাইন:

GET /wp-content/themes/learnify/somefile.php?template=php://filter/convert.base64-encode/resource=../../../../wp-config.php HTTP/1.1

যদি আপনি এই প্যাটার্নটি দেখেন, তবে এটি উচ্চ-অগ্রাধিকার হিসাবে বিবেচনা করুন — অবিলম্বে বিচ্ছিন্ন করুন এবং তদন্ত করুন।.

---

তাত্ক্ষণিক কর্মের চেকলিস্ট (প্রথম ঘণ্টায় কী করতে হবে)

যদি আপনি Learnify ≤1.15.0 ব্যবহার করে একটি সাইট পরিচালনা করেন, তবে অবিলম্বে নিম্নলিখিত পদক্ষেপগুলি গ্রহণ করুন:

1. সাইটটিকে রক্ষণাবেক্ষণ মোডে নিন (যদি সম্ভব হয়) অথবা অস্থায়ী অ্যাক্সেস নিয়ন্ত্রণ (IP অনুমতিপত্র) প্রয়োগ করুন যাতে এক্সপোজার কমানো যায়।.
2. একটি পরিষ্কার থিমে স্যুইচ করুন (WordPress ডিফল্ট) অথবা জনসাধারণের মুখোমুখি ডিরেক্টরি থেকে দুর্বল থিমটি সরান। দুর্বল থিমটি সক্রিয় রেখে দেবেন না।.
3. যদি একটি প্যাচ করা থিম সংস্করণ প্রকাশিত হয়, তবে অবিলম্বে আপডেট প্রয়োগ করুন। যদি এখনও কোনও অফিসিয়াল প্যাচ না থাকে, তবে নীচের উপশমগুলি অনুসরণ করুন।.
4. একটি WAF নিয়ম স্থাপন করুন (ভার্চুয়াল প্যাচিং) যাতে অনুরোধগুলি ব্লক করা হয় যা ট্রাভার্সাল সিকোয়েন্স বা র‍্যাপার ব্যবহারের অন্তর্ভুক্ত (“WAF নিয়ম” বিভাগে উদাহরণ নিয়ম দেখুন)।.
5. WordPress ডেটাবেস পাসওয়ার্ড এবং যে কোনও পরিষেবা শংসাপত্র পরিবর্তন করুন যা সংরক্ষিত থাকতে পারে wp-config.php এবং অন্যান্য কনফিগারেশন ফাইল — তবে শুধুমাত্র তখনই যখন আপনি ব্যাকআপ এবং অখণ্ডতা পরীক্ষা নিশ্চিত করেছেন, যেহেতু আপস স্থায়ী হতে পারে।.
6. গোপন কী এবং লবণ পরিবর্তন করুন wp-config.php মেরামতের পরে।.
7. ওয়েবশেল, সন্দেহজনক ফাইল এবং পরিবর্তিত সময়সীমার জন্য সাইটটি স্ক্যান করুন।.
8. যদি আপনি আপস সনাক্ত করেন তবে একটি যাচাইকৃত পরিষ্কার ব্যাকআপ থেকে পুনরুদ্ধার করুন।.
9. পর্যবেক্ষণ বাড়ান: ফাইল অখণ্ডতা পর্যবেক্ষণ, অডিট লগ এবং সতর্কতা সক্ষম করুন।.

যদি আপনার সমস্ত পদক্ষেপ সম্পাদনের জন্য প্রযুক্তিগত সক্ষমতা না থাকে, তবে আপনার হোস্টিং প্রদানকারী বা একটি নিরাপত্তা দলের সাথে যোগাযোগ করুন এবং আপনি যে সূচকগুলি খুঁজে পেয়েছেন তা তাদের জানান।.

---

কীভাবে সনাক্ত করবেন যে আপনার সাইটটি শোষিত হয়েছে

আপনি যদি দুর্বলতা বন্ধ করেন তবে আপনাকে অবশ্যই নিশ্চিত করতে হবে যে এটি আগে শোষিত হয়েছিল কিনা।.

চেক করুন:

• নতুন বা পরিবর্তিত ফাইলগুলি wp-কন্টেন্ট/আপলোড, wp-সামগ্রী/থিম, wp-content/plugins, অথবা অন্যান্য অপ্রত্যাশিত অবস্থানে।.
• WordPress-এ নতুন প্রশাসক ব্যবহারকারীরা (যাচাই করুন wp_users টেবিল)।.
• সন্দেহজনক নির্ধারিত কাজ (ক্রন জব) বা ডাটাবেসে অনুমোদিত ক্রন এন্ট্রি।.
• অজানা আইপির দিকে সার্ভার থেকে আউটবাউন্ড সংযোগ (ফায়ারওয়াল/হোস্ট লগ পরীক্ষা করুন)।.
• অপ্রত্যাশিত উচ্চ CPU/IO ব্যবহার বা ট্রাফিকে স্পাইক।.
• ধীর প্রশ্ন লগে অস্বাভাবিক ডাটাবেস প্রশ্ন বা পূর্বে দেখা না যাওয়া অ্যাকাউন্ট ব্যবহার করে প্রশ্ন।.
• অজানা PHP ফাইল বা এনকোড করা স্ক্রিপ্ট যা ধারণ করে। ইভাল, base64_decode, অথবা gzinflate.

সুপারিশকৃত টুলস:

• সার্ভার-স্তরের ফাইল অখণ্ডতা পরীক্ষা (ট্রিপওয়্যার-শৈলী)।.
• ওয়ার্ডপ্রেস নিরাপত্তা স্ক্যানার (যেগুলি কোড-স্তরের স্ক্যানিং এবং হিউরিস্টিক প্রদান করে সেগুলি পছন্দ করুন)।.
• ফাইল এবং ডাটাবেস সামগ্রীর সম্পূর্ণ ম্যালওয়্যার স্ক্যান।.
• গুরুত্বপূর্ণ ফাইলগুলির ম্যানুয়াল পর্যালোচনা (wp-config, .htaccess, প্লাগইন/থিম ফোল্ডারে index.php)।.

যদি আপনি আপসের প্রমাণ পান, তবে পরবর্তী বিভাগে ঘটনার প্রতিক্রিয়া পদক্ষেপ অনুসরণ করুন।.

---

ঘটনা প্রতিক্রিয়া: ধাপে ধাপে প্লেবুক

যদি আপনি শোষণ নিশ্চিত করেন, তবে নিম্নলিখিত পদক্ষেপগুলি অনুসরণ করুন:

1. ধারণ করা
   – সাইটটি অফলাইন নিন বা আরও ক্ষতি প্রতিরোধ করতে ট্রাফিক ব্লক করুন।.
   – আপসকৃত শংসাপত্র এবং API কী বাতিল করুন।.
   – সম্ভব হলে সার্ভারকে নেটওয়ার্ক থেকে বিচ্ছিন্ন করুন।.
2. প্রমাণ সংরক্ষণ করুন
   – লগগুলি ব্যাকআপ করুন (ওয়েব সার্ভার, ডাটাবেস, অ্যাপ্লিকেশন লগ) এবং ডিস্ক ইমেজ।.
   – লগগুলি ওভাররাইট করবেন না — ফরেনসিক বিশ্লেষণের জন্য টাইমস্ট্যাম্প সংরক্ষণ করুন।.
3. নির্মূল করা
   – সমস্ত আবিষ্কৃত ব্যাকডোর, শেল এবং ক্ষতিকারক স্ক্রিপ্ট মুছে ফেলুন।.
   – পরিষ্কার উৎস থেকে ওয়ার্ডপ্রেস কোর, প্লাগইন এবং থিম পুনরায় ইনস্টল করুন।.
   – যদি সার্ভার-স্তরের স্থায়িত্ব সন্দেহ করা হয় তবে ইমেজ থেকে সার্ভারগুলি পুনর্নির্মাণ করুন।.
4. পুনরুদ্ধার করুন
   – একটি পরিষ্কার ব্যাকআপ থেকে পুনরুদ্ধার করুন (যা আপসের আগে নেওয়া হয়েছিল)।.
   – সমস্ত উপলব্ধ নিরাপত্তা প্যাচ এবং শক্তিশালীকরণ ব্যবস্থা প্রয়োগ করুন।.
   – সমস্ত পাসওয়ার্ড পরিবর্তন করুন এবং কী এবং লবণ ঘুরিয়ে দিন।.
5. পুনরুদ্ধারের পর
   – পর্যবেক্ষণ এবং লগিং শক্তিশালী করুন।.
   – একটি পোস্ট-মর্টেম পরিচালনা করুন: আপসটি কীভাবে ঘটেছিল? কোন নিয়ন্ত্রণগুলি ব্যর্থ হয়েছে?
   – দলের শিক্ষা দিন এবং আপনার ঘটনা প্রতিক্রিয়া পরিকল্পনা আপডেট করুন।.
6. অবহিত করুন
   – স্টেকহোল্ডার, হোস্টিং প্রদানকারী এবং, যদি আপনার বিচারব্যবস্থায় প্রয়োজন হয়, গ্রাহক বা নিয়ন্ত্রকদের জানিয়ে দিন।.

---

LFI ঝুঁকি কমানোর জন্য শক্তিশালীকরণ সুপারিশ

তাত্ক্ষণিক প্রশমন করার পরেও, এই দীর্ঘমেয়াদী প্রতিরক্ষাগুলি গ্রহণ করুন:

1. ন্যূনতম সুযোগ-সুবিধার নীতি
   – ফাইল এবং ডিরেক্টরির অনুমতি ন্যূনতম নিশ্চিত করুন। বেশিরভাগ ওয়ার্ডপ্রেস ফাইল ওয়েব সার্ভার দ্বারা পড়া যায় কিন্তু লেখা যায় না, ব্যতীত wp-কন্টেন্ট/আপলোড যা শুধুমাত্র আপলোডের জন্য লেখার অ্যাক্সেস প্রয়োজন।.
   – ওয়ার্ডপ্রেস দ্বারা ব্যবহৃত ডেটাবেস অ্যাকাউন্টগুলির শুধুমাত্র প্রয়োজনীয় অধিকার থাকা উচিত।.
2. PHP কনফিগারেশন
   – নিষ্ক্রিয় করুন allow_url_include সম্পর্কে.
   – সম্ভব হলে অপ্রয়োজনীয় র‍্যাপারগুলি নিষ্ক্রিয় করুন।.
   – ব্যবহার করুন open_basedir PHP এর ডিরেক্টরিতে প্রবেশাধিকার সীমাবদ্ধ করতে।.
   – নিষ্ক্রিয় করুন নির্বাহী, শেল_নির্বাহী, পাসথ্রু, সিস্টেম প্রয়োজন না হলে।.
3. বিল্ট-ইন প্লাগইন এবং থিম সম্পাদক নিষ্ক্রিয় করুন
   – যোগ করুন wp-config.php:
   সংজ্ঞায়িত করুন ('DISALLOW_FILE_EDIT', সত্য);
define('DISALLOW_FILE_MODS', সত্য); // WP প্রশাসন থেকে প্লাগইন/থিম ইনস্টলেশন/আপডেট সীমাবদ্ধ করে
4. নিরাপদ আপলোড
   – PHP ফাইলের সরাসরি কার্যকরী হওয়া প্রতিরোধ করুন wp-কন্টেন্ট/আপলোড সার্ভার নিয়ম যোগ করে (নিচে উদাহরণ .htaccess/nginx ব্লক দেখুন)।.
5. শক্তিশালী, অনন্য সল্ট এবং কী ব্যবহার করুন (মেরামতের সময় ঘুরিয়ে দিন)
   – কী পরিবর্তন করলে সক্রিয় প্রমাণীকরণ কুকি অবৈধ হয়ে যাবে — একটি ঘটনার পরে উপকারী।.
6. নিয়মিত ব্যাকআপ এবং পরীক্ষা পুনরুদ্ধার
   – নিয়মিত ব্যাকআপ অফসাইটে রাখুন এবং পুনরুদ্ধার পরীক্ষা করুন।.
7. পর্যায়ক্রমে আপগ্রেড এবং কোড পর্যালোচনা ব্যবহার করুন
   – সক্রিয় উন্নয়নে থাকা থিম/প্লাগইনগুলির জন্য, তৃতীয় পক্ষের কোড পর্যালোচনা করুন বা নিরাপত্তা অবস্থান যাচাই না হওয়া পর্যন্ত ব্যবহারে সীমাবদ্ধ করুন।.

---

ব্যবহারিক WAF নিয়ম এবং সার্ভার-স্তরের উপশম

ভার্চুয়াল প্যাচিং (WAF) তখন সময় কিনতে পারে যখন একটি অফিসিয়াল প্যাচ এখনও উপলব্ধ নয়। নিচে সাধারণ WAF সিস্টেমে বা ওয়েবসার্ভার-স্তরের নিয়ন্ত্রণ হিসাবে ব্যবহার করার জন্য উদাহরণ নিয়ম রয়েছে। সতর্কতার সাথে অভিযোজিত এবং পরীক্ষা করুন — ভুল নিয়ম বৈধ ট্রাফিক ব্লক করতে পারে।.

ব্লক করার জন্য গুরুত্বপূর্ণ প্যাটার্ন সনাক্তকরণ:

• যে কোনও প্যারামিটার মান যা ধারণ করে php://filter
• যে কোনও প্যারামিটার যা একাধিক ধারণ করে ../ সিকোয়েন্স
• নাল বাইট প্রচেষ্টা %00
• সংবেদনশীল ফাইল নাম সহ ফাইল অন্তর্ভুক্ত করার প্রচেষ্টা (wp-config.php, .env সম্পর্কে, /ইত্যাদি/পাসডব্লিউডি)

উদাহরণ ModSecurity/Core Rule Language (CRS) শৈলীর নিয়ম:

# সাধারণ LFI আক্রমণের স্বাক্ষর ব্লক করুন"

php://filter বা ট্রাভার্সাল প্রচেষ্টা অস্বীকার করার জন্য Nginx অবস্থান-ভিত্তিক নিয়ম:

যদি ($request_uri ~* "(php://filter||\.\./){1,}") {

অ্যাপাচি htaccess আপলোডে PHP কার্যকরী হওয়া ব্লক করার জন্য কার্যকর স্নিপেট:

# আপলোড সুরক্ষিত করুন - PHP কার্যকরী হওয়া প্রতিরোধ করুন

একটি আরও সূক্ষ্ম পদ্ধতি: শুধুমাত্র সন্দেহজনক অনুরোধগুলি ব্লক করুন, নিরাপদগুলিকে অনুমতি দিন। উৎপাদনে প্রয়োগ করার আগে স্টেজিংয়ে নিয়মগুলি পরীক্ষা করুন।.

---

WP‑Firewall এ আমরা কীভাবে সাহায্য করি (ম্যানেজড ফায়ারওয়াল + মিটিগেশন)

WP‑Firewall এ আমরা একটি অনুমান নিয়ে কাজ করি: থিম/প্লাগইনগুলিতে দুর্বলতা আবিষ্কৃত হবে। দ্রুততম, কম বিঘ্নকারী সুরক্ষা হল একটি পরিচালিত WAF এর মাধ্যমে ভার্চুয়াল প্যাচিং যা বাস্তব সময়ে শোষণ প্রচেষ্টাগুলি ব্লক করে যখন আপনি স্থায়ী সমাধান পরিকল্পনা এবং প্রয়োগ করেন।.

আমরা যে মূল সুরক্ষা প্রদান করি এবং সুপারিশ করি:

• নতুন প্রকাশনার প্রতিক্রিয়ায় স্বয়ংক্রিয়ভাবে আপডেট হওয়া পরিচালিত WAF নিয়ম — শোষণ পে-লোডগুলি ব্লক করুন (php://filter, traversal sequences, fetch করার প্রচেষ্টা wp-config.php) এগুলি PHP তে পৌঁছানোর আগে।.
• ম্যালওয়্যার স্ক্যানিং এবং স্বাক্ষর সনাক্তকরণ শোষণ প্রচেষ্টার পরে শীঘ্রই ওয়েবশেল এবং সন্দেহজনক পরিবর্তনগুলি সনাক্ত করতে।.
• অপ্রত্যাশিত ফাইল পরিবর্তনগুলি সনাক্ত করতে ফাইল অখণ্ডতা পর্যবেক্ষণ এবং দৈনিক স্ক্যান।.
• ঘটনা সতর্কতা এবং সমর্থন যাতে ফলাফলগুলি ট্রায়েজ করতে এবং মিটিগেশন প্রয়োগ করতে সহায়তা করে।.
• ভার্চুয়াল প্যাচিং ক্ষমতা যাতে একটি থিমের অফিসিয়াল প্যাচ না থাকলেও আপনি ঝুঁকি কমানোর সময় কার্যক্রম চালিয়ে যেতে পারেন।.

আমরা সুপারিশ করি যে অবিলম্বে ভার্চুয়াল প্যাচিংকে উপরে বর্ণিত সার্ভার হার্ডেনিং পদক্ষেপ, ক্রেডেনশিয়াল ঘূর্ণন এবং অবিরত পর্যবেক্ষণের সাথে যুক্ত করুন।.

---

নমুনা সনাক্তকরণ regex এবং লগ বিশ্লেষণ টিপস

ওয়েবসার্ভার লগগুলিতে নজর রাখুন এবং এই প্যাটার্নগুলিতে সতর্কতা প্রয়োগ করুন:

সম্ভাব্য LFI প্রোব সনাক্ত করতে regex (কেস-অবহেলা):

(?i)(phpফিল্টার|php://filter|(\.\./){2,}|(\.\.\\){2,}||wp-config\.php|/etc/passwd)

লগ এন্ট্রি যা সতর্কতা ট্রিগার করে:

• GET /wp-content/themes/learnify/… ?…=php://filter/convert.base64-encode/resource=../../../../wp-config.php
• যে কোনও অনুরোধ যা ব্যবহার করে পিএইচপি:// মোড়ক
• 200 ফেরত দেওয়া অনুরোধগুলি যা base64-encoded স্ট্রিং — HTML পৃষ্ঠাগুলিতে base64 প্রায়ই ফাইল সামগ্রীর পড়ার সূচক।.

এই প্যাটার্নগুলির জন্য লগগুলি দৈনিক স্ক্যান করতে একটি স্বয়ংক্রিয় কাজ সেট আপ করুন এবং প্রশাসকদের জানিয়ে দিন।.

---

দুর্বলতা পরীক্ষা করার জন্য একটি উদাহরণ নিরাপদ পরীক্ষা (শুধুমাত্র সাইটের মালিকদের জন্য)

যদি আপনি সাইটের মালিক হন এবং আপনার Learnify ইনস্টলেশন দুর্বল কিনা তা পরীক্ষা করতে চান, তবে এই নিরাপদ, পড়ার জন্য শুধুমাত্র চেক পদ্ধতি অনুসরণ করুন। অন্যদের সাইটের উপর শোষণ করার চেষ্টা করবেন না।.

1. একটি অ-ধ্বংসাত্মক php://filter অনুরোধ ব্যবহার করুন যা কেবল একটি স্বীকৃত ফাইলকে base64-এ এনকোড করার চেষ্টা করে (যেমন, readme.html থিম ডিরেক্টরিতে)।.
2. একটি অনুরোধ তৈরি করুন যা এর মতো:

GET /wp-content/themes/learnify/index.php?tpl=php://filter/convert.base64-encode/resource=inc/readme.html

3. যদি প্রতিক্রিয়ায় একটি base64 স্ট্রিং থাকে যা ফাইলের বিষয়বস্তুতে ডিকোড হয়, তবে সেই থিমের ফাংশন অন্তর্ভুক্তির প্যাটার্নের অপব্যবহারের জন্য দুর্বল। পরীক্ষা বন্ধ করুন এবং প্রশমন প্রক্রিয়ায় এগিয়ে যান।.

গুরুত্বপূর্ণ: শুধুমাত্র সাইটে পরীক্ষা করুন যা আপনি মালিক বা পরিচালনা করেন। তৃতীয় পক্ষের সাইটে পরীক্ষা করবেন না।.

---

মেরামতের সিদ্ধান্ত গাছ: আপডেট বনাম অস্থায়ী প্রশমন বনাম মুছে ফেলা

• যদি একটি অফিসিয়াল প্যাচ করা থিম উপলব্ধ থাকে: তাত্ক্ষণিকভাবে আপডেট করুন, তারপর যাচাইকরণ চেকলিস্ট অনুসরণ করুন (ফাইল অখণ্ডতা স্ক্যান, পাসওয়ার্ড রোটেশন)।.
• যদি কোনও অফিসিয়াল প্যাচ না থাকে:
  • থিমটি সক্রিয় ব্যবহারের থেকে মুছে ফেলুন (একটি ডিফল্ট থিমে স্যুইচ করুন)।.
  • শোষণ প্রচেষ্টাগুলি ব্লক করতে WAF নিয়ম এবং সার্ভার সীমাবদ্ধতা প্রয়োগ করুন।.
  • সময়সীমার জন্য থিম বিক্রেতার সাথে কাজ করুন অথবা একটি রক্ষণাবেক্ষণ করা বিকল্পের সাথে থিমটি প্রতিস্থাপন করার কথা বিবেচনা করুন।.
• যদি ব্যবসায়িক কারণে আপনি থিমটি মুছে ফেলতে না পারেন:
  • প্রশাসনিক অ্যাক্সেসের জন্য সাইটটিকে কঠোর অ্যাক্সেস নিয়ন্ত্রণের পিছনে রাখুন (IP হোয়াইটলিস্ট)।.
  • কঠোর WAF নিয়ম প্রয়োগ করুন এবং শুধুমাত্র ন্যূনতম কার্যকারিতা অনুমোদন করুন।.
  • নিব dedicated মনিটরিং এবং ঘন ঘন অখণ্ডতা স্ক্যানের সময়সূচী তৈরি করুন।.

---

পুনরুদ্ধারের পরে: যাচাই এবং পর্যবেক্ষণ করুন

সংশোধন প্রয়োগের পরে, আপনার পরিবেশ যাচাই করুন:

1. স্বয়ংক্রিয় স্ক্যানার পুনরায় চালান।.
2. নিশ্চিত করুন যে অপ্রত্যাশিত প্রশাসক অ্যাকাউন্ট বা নির্ধারিত কাজ নেই।.
3. অপ্রত্যাশিত নেটওয়ার্ক সংযোগ বা DNS পরিবর্তন চেক করুন।.
4. আপসের প্রাথমিক সূচকগুলির জন্য ব্যাকআপ পর্যালোচনা করুন (নিশ্চিত করুন যে ব্যাকআপগুলি পরিষ্কার)।.
5. পুনরুদ্ধারের পরে অন্তত 30 দিন উচ্চতর পর্যবেক্ষণ চালিয়ে যান।.

---

প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী (FAQ)

প্রশ্ন: LFI কি রিমোট কোড এক্সিকিউশনে নিয়ে যেতে পারে?

উত্তর: LFI নিজেই একটি ফাইল অন্তর্ভুক্তি/পড়ার দুর্বলতা। যদি আক্রমণকারী একটি ফাইল অন্তর্ভুক্ত করতে পারে যা তারা নিয়ন্ত্রণ করতে পারে (যেমন, একটি আপলোড করা PHP ফাইল) বা LFI কে অন্যান্য ভুল কনফিগারেশনের সাথে চেইন করতে পারে (লিখনযোগ্য ডিরেক্টরি, বিপজ্জনক র‍্যাপার বা ক্ষতিকারক প্লাগইন) তবে RCE সম্ভব হতে পারে।.

প্রশ্ন: আমার সাইট Learnify এর একটি শিশু থিম ব্যবহার করে — আমি কি প্রভাবিত?

উত্তর: সম্ভবত। শিশু থিমগুলি পিতামাতার থিম থেকে মূল কোড উত্তরাধিকারী হয়। যদি দুর্বল যুক্তি পিতামাতার থিম কোডে বিদ্যমান থাকে এবং পিতামাতার থিম Learnify ≤1.15.0 হয়, তবে আপনি সম্ভবত প্রভাবিত। পিতামাতার থিমের সংস্করণ চেক করুন এবং প্রতিকার প্রয়োগ করুন।.

প্রশ্ন: আমি থিমটি প্যাচ করেছি — আমি কি এখনও শংসাপত্র ঘুরাতে হবে?

উত্তর: হ্যাঁ। যদি সাইটটি প্রকাশিত হওয়ার কোনও সম্ভাবনা থাকে, তবে সাইটে ব্যবহৃত কী, ডেটাবেস পাসওয়ার্ড এবং API টোকেন ঘুরিয়ে দিন। প্যাচিং ভবিষ্যতের শোষণ প্রতিরোধ করে কিন্তু পূর্বে ঘটে যাওয়া আপসগুলি অপসারণ করে না।.

প্রশ্ন: আমি ভবিষ্যতে অনুরূপ দুর্বলতার বিষয়ে কীভাবে জানানো হতে পারি?

উত্তর: একটি বিশ্বস্ত নিরাপত্তা ফিডে সাবস্ক্রাইব করুন এবং আপনার WAF স্বাক্ষর এবং ম্যালওয়্যার স্ক্যানার আপডেট রাখুন। ইনস্টল করা থিম এবং প্লাগইনের জন্য স্বয়ংক্রিয় দুর্বলতা পর্যবেক্ষণ বাস্তবায়ন করুন।.

---

আজই আপনার সাইট সুরক্ষিত করা শুরু করুন — বিনামূল্যে পরিকল্পনা উপলব্ধ

যদি আপনি উপরের প্রযুক্তিগত পুনরুদ্ধারের পদক্ষেপগুলি সম্পাদন করার সময় একটি সরল, তাত্ক্ষণিক সুরক্ষা স্তর চান, তবে আমাদের পরিচালিত ফ্রি টিয়ার WordPress সাইটগুলির জন্য মৌলিক প্রতিরক্ষা প্রদান করে। ফ্রি পরিকল্পনায় ভার্চুয়াল প্যাচিং সহ একটি পরিচালিত ফায়ারওয়াল, একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF), ম্যালওয়্যার স্ক্যানিং, সীমাহীন ব্যান্ডউইথ সুরক্ষা এবং OWASP শীর্ষ 10 ঝুঁকির জন্য প্রতিকার অন্তর্ভুক্ত রয়েছে। সাইন আপ করা সহজ এবং দ্রুত — আপনি কয়েক মিনিটের মধ্যে শোষণ প্রচেষ্টা ব্লক করতে শুরু করতে পারেন।.

এখানে আরও জানুন বা ফ্রি পরিকল্পনার জন্য নিবন্ধন করুন

আপগ্রেড বিকল্প: আমরা স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ, IP ব্ল্যাকলিস্টিং/হোয়াইটলিস্টিং, মাসিক নিরাপত্তা রিপোর্ট এবং ব্যবসা ও সংস্থাগুলির জন্য উন্নত পরিচালিত পরিষেবাগুলি যুক্ত করে সাশ্রয়ী মূল্যের পেইড পরিকল্পনাও অফার করি। যদি আপনি একাধিক সাইট পরিচালনা করেন বা সক্রিয় পুনরুদ্ধার সহায়তার প্রয়োজন হয়, তবে আমাদের উচ্চতর পরিকল্পনাগুলি একটি সম্পূর্ণ, পরিচালিত নিরাপত্তা পদ্ধতি প্রদান করে।.

---

WP‑Firewall নিরাপত্তা বিশেষজ্ঞদের কাছ থেকে চূড়ান্ত চিন্তাভাবনা

এই Learnify LFI প্রকাশ একটি স্মারক যে কোনও থিম বা প্লাগইন গুরুতর দুর্বলতা তৈরি করতে পারে। এই ধরনের ঘটনার প্রতি প্রতিক্রিয়া জানাতে সবচেয়ে গুরুত্বপূর্ণ দিকগুলি হল গতি এবং সম্পূর্ণতা:

• মিটিগেশন প্রয়োগের গতি (ভার্চুয়াল প্যাচিং এবং অস্থায়ী অপসারণ)।.
• তদন্তে সম্পূর্ণতা (আক্রমণকারী কিছু পেয়েছে কি? কি অ্যাক্সেস করা হয়েছিল?)।.
• দীর্ঘমেয়াদী উন্নতি (হার্ডেনিং, মনিটরিং, সর্বনিম্ন অধিকার)।.

যদি আপনার একটি অংশীদার প্রয়োজন হয় যে ভার্চুয়াল প্যাচিং পরিচালনা করতে পারে এবং আপনার ওয়ার্ডপ্রেস ফ্লিটের জন্য ধারাবাহিক সনাক্তকরণ এবং প্রতিক্রিয়া প্রদান করতে পারে, তবে WP‑Firewall-এর পরিচালিত পরিষেবাগুলি ঠিক এটি করার জন্য ডিজাইন করা হয়েছে — বাস্তব সময়ে ট্রাফিক সুরক্ষিত করা, পোস্ট-এক্সপ্লয়েট সূচকগুলির জন্য স্ক্যান করা, এবং আপনাকে সর্বনিম্ন ব্যবসায়িক বিঘ্নের সাথে পুনরুদ্ধার করতে সহায়তা করা।.

যদি আপনি একাধিক ওয়ার্ডপ্রেস সাইট পরিচালনা করেন, তবে এখন আপনার থিম ইনভেন্টরি পর্যালোচনা করার, সংস্করণ নিশ্চিত করার এবং উপরের পদক্ষেপগুলি প্রয়োগ করার সময়। যদি আপনি নির্দিষ্ট সূচকগুলি ট্রায়েজ করতে সহায়তা প্রয়োজন হয়, তবে আমরা বিস্তারিত পুনরুদ্ধার গাইড প্রকাশ করি এবং দ্রুত সহায়তার প্রয়োজনীয় গ্রাহকদের সমর্থন প্রদান করি। সতর্ক থাকুন এবং যেকোন LFI প্রোবকে সম্ভাব্য গুরুতর হিসাবে বিবেচনা করুন — আক্রমণকারীরা এই চেকগুলি স্বয়ংক্রিয় করে, এবং একটি এক্সপ্লয়েটেবল সাইট বাস্তব ঝুঁকিতে রয়েছে।.

---

পরিশিষ্ট A: দ্রুত চেকলিস্ট (কপি/পেস্ট)

• চিহ্নিত করুন যে Learnify ≤ 1.15.0 ইনস্টল করা হয়েছে কি না।.
• একটি ভিন্ন থিমে স্যুইচ করুন বা Learnify নিষ্ক্রিয় করুন।.
• php://filter এবং পাথ ট্রাভার্সাল প্রচেষ্টাগুলি ব্লক করতে WAF নিয়ম(গুলি) প্রয়োগ করুন।.
• ওয়েবশেল এবং অনুমোদিত ফাইল পরিবর্তনের জন্য স্ক্যান করুন।.
• DB শংসাপত্র এবং WP সল্টগুলি রোটেট করুন।.
• যদি আপস সনাক্ত হয় তবে পরিষ্কার ব্যাকআপ থেকে পুনরুদ্ধার করুন।.
• ফাইল অনুমতি হার্ডেনিং বাস্তবায়ন করুন।.
• ফাইল অখণ্ডতা পর্যবেক্ষণ এবং সতর্কতা সক্ষম করুন।.
• পুনরুদ্ধারের 30 দিন পরে লগগুলি মনিটর করুন।.

---

পরিশিষ্ট B: অতিরিক্ত সম্পদ এবং রেফারেন্স

• CVE-2025-60085 (জনসাধারণের পরামর্শের রেফারেন্স)
• PHP হার্ডেনিং সেরা অনুশীলন
• ওয়ার্ডপ্রেস সিকিউরিটি হ্যান্ডবুক (সাইট প্রশাসক গাইড)
• WAF টিউনিং এবং নিয়ম পরীক্ষার গাইড

(যদি আপনি নির্দিষ্ট WAF নিয়ম বাস্তবায়ন করতে বা আপনার পরিবেশে একটি নিরাপদ দুর্বলতা স্ক্যান চালাতে সহায়তা চান, তবে WP‑Firewall-এ আমাদের সিকিউরিটি টিম সহায়তা করতে পারে। আমরা সমস্ত আকারের সাইটের জন্য স্ব-পরিষেবা এবং পরিচালিত বিকল্প উভয়ই অফার করি।)

---

নিরাপত্তাকে গুরুত্ব দেওয়ার জন্য ধন্যবাদ। যদি আপনার উপরের পদক্ষেপগুলির সম্পর্কে প্রশ্ন থাকে বা আপনার সাইটের জন্য নির্দিষ্ট নির্দেশনা চান, WP‑Firewall সমর্থনের সাথে যোগাযোগ করুন অথবা অবিলম্বে, পরিচালিত সুরক্ষা পেতে বিনামূল্যের পরিকল্পনার জন্য সাইন আপ করুন: https://my.wp-firewall.com/buy/wp-firewall-free-plan/