ওয়ার্ডপ্রেস ড্র্যাগ এবং ড্রপ আপলোড সুরক্ষা//প্রকাশিত হয়েছে ২০২৬-০৬-০৫//CVE-২০২৬-৪৯০৫৫

WP-ফায়ারওয়াল সিকিউরিটি টিম

Drag and Drop Multiple File Upload – Contact Form 7 Vulnerability

প্লাগইনের নাম ড্র্যাগ এবং ড্রপ মাল্টিপল ফাইল আপলোড - যোগাযোগ ফর্ম 7
দুর্বলতার ধরণ অযাচিত ফাইল আপলোড দুর্বলতা
সিভিই নম্বর CVE-2026-49055
জরুরি অবস্থা মধ্যম
সিভিই প্রকাশের তারিখ 2026-06-05
উৎস URL CVE-2026-49055

জরুরি: “ড্র্যাগ এবং ড্রপ মাল্টিপল ফাইল আপলোড - যোগাযোগ ফর্ম 7” (≤1.3.9.7) এ XSS — এখন ওয়ার্ডপ্রেস সাইট মালিকদের কী করতে হবে

টিএল; ডিআর

  • একটি ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা (CVE-2026-49055) ওয়ার্ডপ্রেস প্লাগইন “ড্র্যাগ এবং ড্রপ মাল্টিপল ফাইল আপলোড - যোগাযোগ ফর্ম 7” এর সংস্করণ <= 1.3.9.7 এ প্রভাবিত।.
  • তীব্রতা: মাঝারি (CVSS ~7.1)। দুর্বলতাটি আক্রমণকারী-নিয়ন্ত্রিত জাভাস্ক্রিপ্ট কার্যকর করতে ব্যবহার করা যেতে পারে যেখানে সাইট দর্শক বা বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীরা প্রভাবিত আউটপুট দেখেন।.
  • সংস্করণ 1.3.9.8 এ প্যাচ করা হয়েছে — আপনি যদি প্লাগইনটি চালান তবে অবিলম্বে আপডেট করুন।.
  • যদি আপনি অবিলম্বে আপডেট করতে না পারেন: নিচের অস্থায়ী প্রতিকারগুলি অনুসরণ করুন (প্লাগইন নিষ্ক্রিয় করুন, আপলোড এন্ডপয়েন্ট সীমাবদ্ধ করুন, আপনার WAF দিয়ে ক্ষতিকারক প্যাটার্নগুলি ব্লক করুন, CSP প্রয়োগ করুন, শংসাপত্র ঘুরিয়ে দিন, সাইটটি আপসের জন্য পরিদর্শন করুন)।.
  • এই পোস্টটি একটি ব্যবহারিক স্তরে দুর্বলতাটি ব্যাখ্যা করে, সনাক্তকরণ এবং প্রতিকার বিকল্পগুলি দেখায়, এবং একটি ঘটনা প্রতিক্রিয়া চেকলিস্ট প্রদান করে যা আপনি এখন ব্যবহার করতে পারেন।.

নোট: এই নিবন্ধটি WP-Firewall এর নিরাপত্তা দলের দৃষ্টিকোণ থেকে লেখা হয়েছে এবং সাইট মালিক, প্রশাসক এবং ডেভেলপারদের জন্য উদ্দেশ্যপ্রণোদিত যারা স্পষ্ট, কার্যকর নির্দেশনা চান। এটি শোষণের বিস্তারিত এড়িয়ে চলে কিন্তু আপনার প্রয়োজনীয় প্রতিরক্ষামূলক পদক্ষেপগুলি প্রদান করে।.


কি ঘটেছে (সংক্ষিপ্ত সারসংক্ষেপ)

একটি ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা ওয়ার্ডপ্রেসের জন্য “ড্র্যাগ এবং ড্রপ মাল্টিপল ফাইল আপলোড - যোগাযোগ ফর্ম 7” প্লাগইনে রিপোর্ট করা হয়েছে। প্লাগইন সংস্করণ 1.3.9.7 পর্যন্ত এবং এর মধ্যে দুর্বল। বিক্রেতা সংস্করণ 1.3.9.8 এ সমস্যাটি সমাধান করেছে। দুর্বলতাটি একটি আক্রমণকারীকে ব্রাউজার-সাইড স্ক্রিপ্ট কার্যকর করতে দেয় যেখানে প্লাগইন অপ্রমাণিত ইনপুট প্রতিফলিত বা সংরক্ষণ করে এবং পরে এটি একটি পৃষ্ঠায় সঠিকভাবে এড়ানো ছাড়াই আউটপুট করে।.

ফাইল আপলোড উপাদানগুলিতে XSS বিশেষভাবে বিপজ্জনক কারণ আক্রমণকারীরা ফাইলের নাম, মেটাডেটা, বা অন্যান্য আপলোড প্যারামিটারে পে-লোডগুলি লুকাতে পারে যা পরে প্রশাসনিক পৃষ্ঠাগুলিতে বা সামনের দৃষ্টান্তে রেন্ডার করা হয়। সফল শোষণ অ্যাকাউন্ট দখল, বিশেষাধিকার বৃদ্ধি, ব্যাকডোর ইনস্টলেশন, SEO স্প্যাম, এবং ক্লায়েন্ট-সাইড ম্যালওয়্যার বিতরণ করতে পারে।.

রেফারেন্সের জন্য, এই সমস্যাটি CVE-2026-49055 হিসাবে ট্র্যাক করা হচ্ছে।.


কে প্রভাবিত হয়েছে?

  • যে কোনও ওয়ার্ডপ্রেস সাইটে “ড্র্যাগ এবং ড্রপ মাল্টিপল ফাইল আপলোড - যোগাযোগ ফর্ম 7” প্লাগইন সংস্করণ 1.3.9.7 বা তার আগের সংস্করণ ইনস্টল করা আছে।.
  • যে সাইটগুলি অপ্রত্যাশিত উৎস থেকে আপলোডের অনুমতি দেয় (জনসাধারণের যোগাযোগ ফর্ম, সামনের আপলোড ক্ষেত্র) সেগুলি উচ্চতর ঝুঁকিতে রয়েছে।.
  • যদি আপলোডগুলি লগ ইন করা ব্যবহারকারীদের জন্য সীমাবদ্ধ হয়, তবুও XSS প্রশাসনিক ব্যবহারকারীদের বিরুদ্ধে অস্ত্রায়িত হতে পারে যারা আপলোড করা ডেটা বা আপলোড ব্যবস্থাপনা স্ক্রীনগুলি দেখেন।.

আপনি যদি এই প্লাগইনটি চালান তবে আপনার প্লাগইন তালিকা পরীক্ষা করুন এবং অবিলম্বে আপনার ইনস্টল করা সংস্করণ নিশ্চিত করুন।.


কেন এই দুর্বলতা গুরুত্বপূর্ণ (বাস্তব বিশ্বের প্রভাব)

XSS হল ওয়েবে সবচেয়ে সাধারণ এবং অপব্যবহৃত দুর্বলতা শ্রেণীগুলির মধ্যে একটি কারণ এটি সরাসরি আক্রমণকারীদের দর্শকদের ব্রাউজারে প্রবেশের একটি পথ দেয়। বাস্তব পরিণামগুলি প্রসঙ্গের উপর নির্ভর করে:

  • যদি XSS একটি প্রশাসনিক পৃষ্ঠা বা ড্যাশবোর্ডে প্রতিফলিত হয়, তবে একটি আক্রমণকারী সাইট প্রশাসকদের লক্ষ্য করতে পারে — কয়েকটি ক্লিক এবং একটি আক্রমণকারী-নিয়ন্ত্রিত পে-লোড সম্পূর্ণ সাইট দখলের দিকে নিয়ে যেতে পারে (অ্যাডমিন ব্যবহারকারী তৈরি করা, প্লাগইন/থিম ইনস্টল করা, ফাইল পরিবর্তন করা)।.
  • যদি XSS সামনের পৃষ্ঠাগুলিতে উপস্থিত হয়, তবে এটি ফিশিং ওভারলে, ভুয়া লগইন প্রম্পট বিতরণ করতে বা শংসাপত্র বা কুকি বের করতে ব্যবহার করা যেতে পারে।.
  • XSS অন্যান্য দুর্বলতার সাথে (যেমন, ফাইল আপলোড ত্রুটি) চেইন করা যেতে পারে যাতে একটি আক্রমণ স্থায়ী এবং বৃদ্ধি পায়।.
  • ব্যাপক-শোষণ সম্ভব: একজন আক্রমণকারী একটি ক্ষতিকারক URL তৈরি করতে পারে বা স্বয়ংক্রিয়ভাবে দুর্বল প্লাগইন চালানো সাইটগুলির জন্য আপলোড এবং স্ক্যান করতে পারে।.

প্রকাশিত CVSS ~7.1 (মধ্যম)। এই স্কোরটি প্রশাসনিক প্রভাবের সম্ভাবনা এবং সাধারণ পরিস্থিতিতে শোষণের জন্য তুলনামূলকভাবে কম জটিলতা প্রতিফলিত করে।.


উচ্চ-স্তরের প্রযুক্তিগত ব্যাখ্যা (PoC ছাড়া)

উচ্চ স্তরে, XSS ঘটে যখন ব্যবহারকারী-নিয়ন্ত্রিত ইনপুট একটি ওয়েব পৃষ্ঠায় প্রাসঙ্গিক প্রসঙ্গের পালানোর এবং স্যানিটাইজেশন ছাড়াই সন্নিবেশিত হয়। একটি ফাইল আপলোড প্লাগইনের প্রেক্ষাপটে, সাধারণ ঝুঁকিপূর্ণ স্থানগুলি হল:

  • প্রশাসক UI বা সামনের তালিকায় প্রদর্শিত ফাইলের নাম এবং মেটাডেটা।.
  • HTML অ্যাট্রিবিউট বা ইনলাইন জাভাস্ক্রিপ্ট যা ব্যবহারকারী-সরবরাহিত মান অন্তর্ভুক্ত করে।.
  • আপলোড করা ফাইল ক্ষেত্র থেকে ডায়নামিক HTML তৈরি করা যেকোনো বৈশিষ্ট্য (পূর্বরূপ, ক্যাপশন, ফর্ম প্রতিক্রিয়া) সঠিক পালানোর ছাড়া।.

একজন আক্রমণকারী HTML বা জাভাস্ক্রিপ্ট (URL-এনকোডেড বা Base64-এর মতো এনকোড করা ফর্ম সহ) ধারণকারী ইনপুট তৈরি করতে পারে এমন ক্ষেত্রগুলিতে যা পরে প্লাগইন রেন্ডার করে। যদি যাচাইকরণ এবং পালানো অনুপস্থিত বা অপ্রতুল হয়, তবে সেই ইনপুটটি ব্রাউজার দ্বারা সক্রিয় কোড হিসাবে ব্যাখ্যা করা হবে।.

গুরুত্বপূর্ণভাবে, XSS প্রতিফলিত হতে পারে (একটি প্রতিক্রিয়াতে অবিলম্বে উপস্থিত হয়), সংরক্ষিত (ডেটাবেসে স্থায়ী এবং পরে পরিবেশন করা হয়), বা DOM-ভিত্তিক (আক্রমণ সম্পূর্ণরূপে ভুক্তভোগীর ব্রাউজারে ক্লায়েন্ট-সাইড কোডের মাধ্যমে কার্যকর হয়)। প্রতিটি ধরনের শোষণের বৈশিষ্ট্যগুলি কিছুটা আলাদা তবে প্রতিরক্ষামূলক প্রতিকারগুলি একই: ইনপুট যাচাই করুন, আউটপুট পালান, এবং CSP প্রয়োগ করুন।.


আক্রমণকারীরা কীভাবে এই দুর্বলতা শোষণ করতে পারে (পরিস্থিতি)

  1. পাবলিক যোগাযোগ ফর্ম আক্রমণ:
    আক্রমণকারী একটি ফাইল আপলোড করে বা একটি পাবলিক ফর্মে বিশেষভাবে তৈরি ফাইলের নাম/বিবরণ প্রদান করে। যখন একজন প্রশাসক ফর্ম জমা বা ফাইলের তালিকা দেখেন, তখন ক্ষতিকারক স্ক্রিপ্ট প্রশাসকের ব্রাউজারে কার্যকর হয় এবং প্রশাসক অনুমতির অধীনে কার্যক্রম নিতে পারে।.
  2. সাইট দর্শকদের ফাঁদে ফেলা:
    আপলোডের পূর্বরূপ বা প্রদর্শন পৃষ্ঠায় ইনজেক্ট করা ক্ষতিকারক HTML যখন নিয়মিত দর্শক একটি পৃষ্ঠা লোড করে তখন কার্যকর হয়, সেশন চুরি, ভুয়া UI ওভারলে, বা ফিশিং পৃষ্ঠায় পুনঃনির্দেশ সক্ষম করে।.
  3. ক্ষতিকারক বিজ্ঞাপন / SEO বিষাক্তকরণ:
    স্ক্রিপ্ট অনুসন্ধান ইঞ্জিন বা দর্শকদের দ্বারা দেখা পৃষ্ঠায় স্প্যাম লিঙ্ক বা সামগ্রী সন্নিবেশ করে, SEO এবং খ্যাতির ক্ষতি করে।.
  4. পিভট এবং স্থায়িত্ব:
    XSS থেকে প্রশাসক অ্যাক্সেসের মাধ্যমে, আক্রমণকারীরা স্থায়ী ব্যাকডোর ইনস্টল করতে পারে, কোর/থিম/প্লাগইন ফাইলগুলি পরিবর্তন করতে পারে, বা অ্যাক্সেস বজায় রাখতে সময়সূচী কাজ তৈরি করতে পারে।.

কারণ অনেক WordPress ব্যবহারকারী শংসাপত্র পুনরায় ব্যবহার করে বা দুর্বল প্রশাসক সুরক্ষা রয়েছে, XSS থেকে সম্পূর্ণ আপসের পথ সরাসরি এবং তাৎক্ষণিক মনোযোগ প্রয়োজন।.


সনাক্তকরণ: কীভাবে জানবেন যে আপনাকে লক্ষ্য করা হয়েছে বা শোষণ করা হয়েছে

আক্রমণকারীর লক্ষ্য অনুযায়ী চিহ্নগুলি পরিবর্তিত হয়। যদি আপনি শোষণের সন্দেহ করেন, তবে এই চেকগুলি তাত্ক্ষণিকভাবে করুন:

  • wp‑uploads-এ সন্দেহজনক বা অস্বাভাবিক ফাইল নামের জন্য অনুসন্ধান করুন (যেমন, HTML ট্যাগ, javascript:, onerror=, বা দীর্ঘ এলোমেলো স্ট্রিং ধারণকারী নাম)।.
  • HTML/JS সামগ্রী জন্য সাম্প্রতিক ফর্ম জমা এবং আপলোড করা ফাইলের বর্ণনা পরিদর্শন করুন।.
  • প্লাগইন, থিম এবং কোর ফাইলের জন্য পরিবর্তনের সময়সীমা পর্যালোচনা করুন — অপ্রত্যাশিত সংশোধন একটি লাল পতাকা।.
  • সক্রিয় ব্যবহারকারীদের চেক করুন: নতুন প্রশাসক অ্যাকাউন্ট আছে কি? সম্প্রতি যোগ করা অ্যাকাউন্ট এবং সন্দেহজনক ক্ষমতার জন্য wp_users এবং wp_usermeta চেক করুন।.
  • অস্বাভাবিক পে-লোড বা একক IP থেকে পুনরাবৃত্ত অনুরোধ সহ প্লাগইনের আপলোড এন্ডপয়েন্টগুলিতে অনুরোধের জন্য সার্ভার এবং অ্যাক্সেস লগ পরীক্ষা করুন।.
  • ওয়েব শেল সূচকগুলির জন্য দেখুন: আপলোডে PHP ফাইল, সন্দেহজনক কোড সহ ফাইল, বা ডাবল এক্সটেনশন সহ ফাইল (image.php.jpg)।.
  • অচেনা অটোলোডেড অপশনগুলির জন্য নির্ধারিত কাজ (wp‑cron কাজ) এবং wp_options চেক করুন।.
  • হ্যাক করা সামগ্রী বা স্প্যাম সম্পর্কে বার্তার জন্য Google Search Console বা অন্যান্য সূচককরণ সরঞ্জাম পর্যালোচনা করুন।.
  • একটি বিশ্বস্ত স্ক্যানার এবং ফাইল অখণ্ডতা সরঞ্জাম ব্যবহার করে একটি সম্পূর্ণ ম্যালওয়্যার স্ক্যান চালান।.

যদি আপনি কিছু সন্দেহজনক পান, তবে নীচের ঘটনা প্রতিক্রিয়া পদক্ষেপগুলি অনুসরণ করুন।.


তাত্ক্ষণিক প্রশমন — এখন কী করতে হবে (ক্রম গুরুত্বপূর্ণ)

  1. প্লাগইনের স্থিতি নিশ্চিত করুন:
    ইনস্টল করা প্লাগইনের সংস্করণ চেক করুন। যদি এটি <= 1.3.9.7 হয়, তবে তাত্ক্ষণিকভাবে 1.3.9.8-এ আপডেট করুন।.
    যদি আপনি তাত্ক্ষণিকভাবে আপডেট করতে না পারেন, তবে পদক্ষেপ 2-এ এগিয়ে যান।.
  2. যদি আপনি তাত্ক্ষণিকভাবে আপডেট করতে না পারেন, তবে প্লাগইনটি নিষ্ক্রিয় করুন:
    প্লাগইনস > ইনস্টল করা প্লাগইনসে যান এবং প্লাগইনটি নিষ্ক্রিয় করুন।.
    যদি আপনি wp-admin-এ প্রবেশ করতে না পারেন কারণ এটি ক্ষতিগ্রস্ত হয়েছে, তবে SFTP/SSH-এর মাধ্যমে প্লাগইন ফোল্ডারটির নাম পরিবর্তন করুন (wp-content/plugins/drag-and-drop-multiple-file-upload-contact-form-7) — এটি এটি নিষ্ক্রিয় করে।.
  3. ওয়েব সার্ভার বা ফায়ারওয়াল স্তরে দুর্বল এন্ডপয়েন্ট(গুলি) ব্লক করুন:
    যদি আপনার একটি পরিচালিত WAF থাকে, তবে XSS পে-লোডে সাধারণত ব্যবহৃত প্যাটার্নগুলিকে লক্ষ্য করে ব্লকিং নিয়মগুলি সক্ষম করুন (স্ক্রিপ্ট ট্যাগ, প্যারামিটারে ইভেন্ট হ্যান্ডলার, এনকোড করা স্ক্রিপ্ট ফ্র্যাগমেন্ট)। নীচে প্রস্তাবিত নিয়মের ধারণাগুলি দেখুন।.
    আপলোড URL-এ পরিচিত IP ঠিকানাগুলিতে, লোকালহোস্টে, বা সম্ভব হলে প্রমাণীকরণের প্রয়োজনীয়তা সীমাবদ্ধ করুন।.
  4. একটি কঠোর কনটেন্ট-সিকিউরিটি-পলিসি (CSP) প্রয়োগ করুন:
    একটি সংরক্ষণশীল CSP বাস্তবায়ন করুন যা ইনলাইন স্ক্রিপ্ট নিষিদ্ধ করে এবং শুধুমাত্র বিশ্বস্ত স্ক্রিপ্ট উৎসগুলিকে অনুমতি দেয়। উদাহরণ: ‘unsafe-inline’ প্রত্যাখ্যান করুন এবং আপনি নিয়ন্ত্রণ করেন এমন যেকোন ইনলাইন স্ক্রিপ্টের জন্য ননস ব্যবহার করুন।.
    CSP সমস্ত XSS-এর জন্য একটি প্রতিকার নয়, তবে এটি বার বাড়ায় এবং ঝুঁকি কমায়।.
  5. সংবেদনশীল শংসাপত্র এবং কী পরিবর্তন করুন:
    সমস্ত প্রশাসক অ্যাকাউন্টের জন্য পাসওয়ার্ড পরিবর্তন করুন।.
    wp_config.php বা ডাটাবেসে সংরক্ষিত অ্যাপ্লিকেশন পাসওয়ার্ড এবং API কী পরিবর্তন করুন।.
    সমস্ত ব্যবহারকারীর জন্য লগআউট বাধ্য করুন (ব্যবহারকারীরা > সমস্ত ব্যবহারকারী > সব নির্বাচন করুন > ভূমিকা পরিবর্তন করুন বা “সেশন” এর মতো একটি প্লাগইন ব্যবহার করে বা ডাটাবেসের মাধ্যমে সেশন পরিবর্তন করুন)।.
  6. প্রশাসনিক অ্যাক্সেস কঠোর করুন:
    সমস্ত প্রশাসক ব্যবহারকারীদের জন্য দুই‑ফ্যাক্টর প্রমাণীকরণ (2FA) সক্ষম করুন।.
    যদি আপনার স্থির প্রশাসনিক IP থাকে তবে .htaccess বা সার্ভার নিয়মের মাধ্যমে wp-admin-এ অ্যাক্সেস করতে পারে এমন IP ঠিকানাগুলি সীমাবদ্ধ করুন।.
  7. ব্যাকআপ এবং স্ন্যাপশট:
    অবিলম্বে একটি পূর্ণ ব্যাকআপ বা স্ন্যাপশট নিন (ফাইল + ডাটাবেস)। পরিবর্তন করার আগে এটি প্রমাণ হিসাবে সংরক্ষণ করুন।.
  8. আপসের সূচকগুলির জন্য স্ক্যান করুন:
    সাইট জুড়ে একটি ম্যালওয়্যার স্ক্যান এবং ফাইল অখণ্ডতা পরীক্ষা চালান।.
    সন্দেহজনক কার্যকলাপের জন্য লগ পর্যালোচনা করুন — বিশেষ করে যেকোন সন্দেহজনক ইনজেকশন ইভেন্টের পরে নেওয়া পদক্ষেপগুলি।.
  9. পরবর্তী 72 ঘণ্টার জন্য পর্যবেক্ষণ এবং শক্তিশালী করুন:
    পর্যবেক্ষণ বাড়ান, নিয়মিত লগ চেক করুন, এবং নতুন প্রশাসনিক অ্যাকাউন্ট, পরিবর্তিত ফাইল, বা আরও সন্দেহজনক আপলোডের জন্য নজর রাখুন।.

দীর্ঘমেয়াদী প্রশমন কৌশল

  • প্লাগইন, থিম এবং ওয়ার্ডপ্রেস কোরের আপডেটগুলি দ্রুত প্রয়োগ করুন। যেখানে নিরাপদ সেখানে স্বয়ংক্রিয় আপডেট সক্ষম করুন।.
  • সম্ভব হলে প্রমাণীকৃত এবং বিশ্বস্ত ব্যবহারকারীদের জন্য ফাইল আপলোড সীমাবদ্ধ করুন। যদি জনসাধারণের আপলোড প্রয়োজন হয়, তবে ফাইলের প্রকার এবং আকারের সীমার জন্য একটি কঠোর অনুমতি তালিকা ব্যবহার করুন।.
  • সার্ভার-সাইডে ফাইলের নাম পরিষ্কার করুন: যে কোন অক্ষর মুছে ফেলুন বা স্বাভাবিক করুন যা রেন্ডার করার পরে HTML হিসাবে ব্যাখ্যা করা যেতে পারে।.
  • সমস্ত প্রসঙ্গে আউটপুট এস্কেপ করুন। প্লাগইন এবং থিম ডেভেলপারদের ব্যবহারকারীর সামগ্রী রেন্ডার করার সময় সঠিক ওয়ার্ডপ্রেস এস্কেপিং ফাংশন (esc_html(), esc_attr(), wp_kses_post(), ইত্যাদি) ব্যবহার করতে হবে।.
  • আধুনিক নিরাপত্তা হেডার ব্যবহার করুন (CSP, X-Content-Type-Options, X-Frame-Options, Referrer-Policy)।.
  • সর্বনিম্ন অধিকার নীতি বাস্তবায়ন করুন: শুধুমাত্র ব্যবহারকারীদের তাদের প্রয়োজনীয় ভূমিকা এবং ক্ষমতা দিন। শেয়ার করা প্রশাসনিক অ্যাকাউন্ট ব্যবহার করা এড়িয়ে চলুন।.
  • একটি সম্মানজনক WAF ব্যবহার করুন যা শূন্য-দিনের এক্সপোজার উইন্ডোর জন্য ভার্চুয়াল প্যাচিং প্রদান করে।.
  • গুরুত্বপূর্ণ সাইটগুলিতে সময়ে সময়ে নিরাপত্তা নিরীক্ষা এবং পেনিট্রেশন টেস্ট পরিচালনা করুন।.
  • মূল ফাইল পরিবর্তনের জন্য ফাইল অখণ্ডতা পর্যবেক্ষণ এবং স্বয়ংক্রিয় বিজ্ঞপ্তি ব্যবহার করুন।.
  • উৎপাদন এবং স্টেজিংয়ের মধ্যে পৃথকীকরণ রাখুন, এবং স্থাপনের আগে স্টেজিংয়ে প্লাগইন আপডেটগুলি পরীক্ষা করুন।.

উদাহরণ WAF উপশম ধারণা (প্যাটার্ন এবং পদ্ধতি)

নীচে ধারণাগত পদ্ধতিগুলি রয়েছে যা আপনি আপনার হোস্টিং প্রদানকারীর সাথে আলোচনা করতে পারেন, অথবা একটি ওয়েব অ্যাপ্লিকেশন ফায়ারওয়ালে বাস্তবায়ন করতে পারেন। এগুলি প্রতিরক্ষামূলক নির্দেশিকা — এগুলি ইচ্ছাকৃতভাবে উচ্চ-স্তরের এবং নির্দিষ্ট এক্সপ্লয়ট পে লোডগুলি এড়িয়ে চলে।.

  • অনুরোধগুলি ব্লক করুন যা প্রশ্নের স্ট্রিং, POST শরীর, ফাইলের নাম, বা মাল্টিপার্ট ফর্ম অংশগুলির মধ্যে অক্ষর “<script” বা এনকোডেড ভেরিয়েন্ট ধারণ করে — বিশেষ করে যদি আপলোড এন্ডপয়েন্টে দেখা যায়।.
  • “onerror=” বা “onload=” এর মতো অ্যাট্রিবিউটগুলি ব্লক করুন যা এমন ক্ষেত্রগুলিতে উপস্থিত থাকে যা শুধুমাত্র ফাইলের নাম বা বর্ণনা ধারণ করা উচিত।.
  • কোণার ব্র্যাকেট (), উদ্ধৃতি, বা অন্যান্য অক্ষর সহ ফাইলের নাম প্রত্যাখ্যান করুন যা HTML হিসাবে আউটপুট হবে অ-এস্কেপড।.
  • ডাবল-এনকোডেড পে লোডগুলি স্বাভাবিক করুন এবং প্রত্যাখ্যান করুন: URL-ডিকোডেড মানগুলি যা এখনও স্ক্রিপ্ট টোকেন ধারণ করে সেগুলি প্রত্যাখ্যান করতে হবে।.
  • আপলোডগুলিতে কনটেন্ট টাইপ যাচাইকরণ প্রয়োগ করুন: শুধুমাত্র প্রত্যাশিত MIME টাইপগুলি অনুমোদন করুন এবং ফাইলের বিষয়বস্তু যাচাই করুন (ম্যাজিক বাইট)।.
  • স্বয়ংক্রিয় ভর-স্ক্যানিং এবং এক্সপ্লয়টেশন প্রচেষ্টাগুলি কমাতে আপলোড এন্ডপয়েন্টগুলিতে জমা দেওয়ার হার সীমাবদ্ধ করুন।.
  • প্রশাসনিক এন্ডপয়েন্টগুলির জন্য, বৈধ প্রমাণীকরণ প্রয়োজন এবং ননস সহ অনুরোধগুলি যাচাই করুন।.

যদি আপনি আপনার নিজস্ব ModSecurity নিয়ম বা Nginx নিয়ম বজায় রাখেন, তবে ফাইলের নামের ক্ষেত্র এবং মাল্টিপার্ট পে লোড হেডারে স্ক্রিপ্ট টোকেনগুলি পরীক্ষা করার জন্য প্যাটার্নগুলি অন্তর্ভুক্ত করুন। বৈধ আপলোডগুলি ব্লক করতে মিথ্যা ইতিবাচক এড়াতে নিয়মগুলি সম্পূর্ণরূপে পরীক্ষা করুন।.


ঘটনা প্রতিক্রিয়া চেকলিস্ট (ধাপে ধাপে)

যদি আপনি একটি সফল এক্সপ্লয়ট সন্দেহ করেন, তবে এই চেকলিস্টটি অবিলম্বে অনুসরণ করুন:

  1. বিচ্ছিন্ন:
    সাইটটিকে রক্ষণাবেক্ষণ মোডে রাখুন বা অস্থায়ীভাবে অ্যাক্সেস ব্লক করুন যাতে আরও ক্ষতি কমানো যায়।.
  2. প্রমাণ সংরক্ষণ করুন:
    ফাইল এবং ডেটাবেসের স্ন্যাপশট নিন।.
    সার্ভার লগগুলি (অ্যাক্সেস, ত্রুটি, নিরাপদ লগ) রপ্তানি করুন।.
    বিশ্লেষণের জন্য সন্দেহজনক ক্ষতিকারক ফাইলগুলির ব্যাকআপ রাখুন।.
  3. নিয়ন্ত্রণ করুন:
    দুর্বল প্লাগইনটি নিষ্ক্রিয় করুন বা এর ফোল্ডারটির নাম পরিবর্তন করুন।.
    যদি সম্ভব হয় তবে আপলোড এন্ডপয়েন্টগুলিতে জনসাধারণের প্রবেশাধিকার বাতিল করুন।.
    প্রশাসক এবং FTP/SFTP পাসওয়ার্ড পরিবর্তন করুন এবং API কী বাতিল করুন।.
  4. তদন্ত করুন:
    ওয়েব শেল, পরিবর্তিত কোর ফাইল এবং নতুন প্রশাসক ব্যবহারকারীদের জন্য স্ক্যান করুন।.
    নতুনভাবে যোগ করা PHP ফাইল বা কার্যকর কোড ধারণকারী ফাইলগুলির জন্য আপলোডগুলি অনুসন্ধান করুন।.
    wp-content, থিম এবং প্লাগইনগুলির মধ্যে সম্প্রতি পরিবর্তিত ফাইলগুলি পর্যালোচনা করুন।.
  5. পরিষ্কার:
    ক্ষতিকারক ফাইলগুলি মুছে ফেলুন এবং সম্ভব হলে পরিচিত পরিষ্কার ব্যাকআপ থেকে পরিবর্তিত ফাইলগুলি পূর্বাবস্থায় ফিরিয়ে আনুন।.
    যদি সাইটের অখণ্ডতা নিশ্চিত করা না যায়, তবে একটি পরিচ্ছন্ন উৎস থেকে পুনর্নির্মাণ করুন (নতুন WP কোর + পরিচ্ছন্ন প্লাগইন সংস্করণ + পরিষ্কারের পরে পুনরুদ্ধার করা ডেটাবেস)।.
  6. পুনরুদ্ধার করুন:
    পরিষ্কারের পরে, আবার কী ঘুরিয়ে দিন, প্রশাসক সেশনগুলি পুনরায় তৈরি করুন এবং শুধুমাত্র প্যাচ করা হলে প্লাগইনটি পুনরায় সক্ষম করুন।.
    নিরাপত্তা ব্যবস্থা পুনরায় শুরু করুন (2FA, শক্তিশালীকরণ, WAF নিয়ম)।.
  7. ঘটনার পর:
    মূল কারণ বিশ্লেষণ পরিচালনা করুন এবং আক্রমণকারী কীভাবে প্রবেশাধিকার অর্জন করেছে তা নথিভুক্ত করুন।.
    ভবিষ্যতে অনুরূপ সমস্যাগুলি প্রতিরোধ করতে প্রশমন বাস্তবায়ন করুন।.
    যদি ডেটা এক্সফিলট্রেশন বা শংসাপত্র চুরি সন্দেহ করা হয় তবে প্রভাবিত ব্যবহারকারীদের জানিয়ে দিন।.

যদি আপনার বিশেষজ্ঞ সহায়তার প্রয়োজন হয়, তবে একটি অভিজ্ঞ WordPress ঘটনা প্রতিক্রিয়া দলের সাথে কাজ করুন যারা ওয়েব ফরেনসিক্স, WordPress অভ্যন্তরীণ এবং নিরাপদ পুনরুদ্ধার পদ্ধতি বোঝে।.


প্যাচ করা সংস্করণ 1.3.9.8 এ নিরাপদে কীভাবে আপডেট করবেন

  1. প্রথমে ব্যাকআপ নিন:
    প্লাগইন আপডেট করার আগে সর্বদা একটি পূর্ণ ব্যাকআপ (ফাইল + ডেটাবেস) নিন।.
  2. স্টেজিংয়ে পরীক্ষা করুন:
    যদি আপনার একটি স্টেজিং পরিবেশ থাকে, তবে আপনার থিম এবং অন্যান্য প্লাগইনের সাথে সামঞ্জস্য নিশ্চিত করতে সেখানে আপডেট প্রয়োগ করুন।.
  3. প্লাগইন আপডেট করুন:
    WordPress প্রশাসক থেকে: প্লাগইন > ইনস্টল করা প্লাগইন > এখন আপডেট করুন।.
    অথবা WP-CLI এর মাধ্যমে আপডেট করুন: wp প্লাগইন আপডেট
  4. যাচাই করুন:
    পরীক্ষামূলক আপলোড প্রবাহ এবং যোগাযোগ ফর্মের কার্যকারিতা পরীক্ষা করুন যাতে নিশ্চিত হওয়া যায় যে সবকিছু এখনও কাজ করছে এবং আউটপুট সঠিকভাবে এস্কেপ করা হয়েছে।.
    আপডেটের পরে অস্বাভাবিক আচরণের জন্য সার্ভার লগ পরীক্ষা করুন।.
  5. যে কোনও প্রতিকার পুনরায় সক্ষম করুন:
    যদি আপনি পূর্বে প্লাগইন নিষ্ক্রিয় করেন বা এন্ডপয়েন্ট ব্লক করেন, তবে আপডেটের পরে শুধুমাত্র পুনরায় সক্ষম করুন।.
  6. মনিটর:
    আপডেটের পরে অন্তত 7 দিন লগগুলি ঘনিষ্ঠভাবে দেখুন যাতে পোস্ট-আপডেট আক্রমণের কোনও চিহ্ন দেখা যায়।.

ডেভেলপার নির্দেশিকা: এই ধরনের দুর্বলতা প্রতিরোধের উপায়

যদি আপনি একটি প্লাগইন বা থিম ডেভেলপার হন, তবে XSS এবং অনুরূপ ইনজেকশন ত্রুটি বন্ধ করতে এই সেরা অনুশীলনগুলি অনুসরণ করুন:

  • আউটপুট এনকোডিং প্রথম: রেন্ডার করার আগে সর্বদা প্রসঙ্গের ভিত্তিতে ব্যবহারকারীর ডেটা এস্কেপ করুন। HTML বডি কন্টেন্টের জন্য esc_html(), অ্যাট্রিবিউটের জন্য esc_attr(), URL-এর জন্য esc_url(), এবং সীমিত HTML অনুমোদনের সময় wp_kses() ব্যবহার করুন।.
  • ইনপুটগুলি সার্ভার-সাইডে যাচাই করুন: ক্লায়েন্ট-সাইড চেকের উপর সম্পূর্ণ নির্ভর করবেন না। সার্ভারে MIME টাইপ এবং ফাইলের বিষয়বস্তু যাচাই করুন।.
  • ফাইল আপলোডের জন্য অনুমতিপত্র ব্যবহার করুন: নিরাপদ এক্সটেনশনের একটি সংক্ষিপ্ত তালিকায় সীমাবদ্ধ করুন (jpg, png, pdf) এবং বিষয়বস্তু যাচাই প্রয়োগ করুন।.
  • ফাইলের নামগুলি স্যানিটাইজ করুন: HTML তৈরি করতে পারে বা অ্যাট্রিবিউট থেকে বেরিয়ে আসতে পারে এমন অক্ষরগুলি মুছে ফেলুন বা স্বাভাবিক করুন (, “, ‘, `, &)।.
  • ব্যবহারকারীর ইনপুটকে ইনলাইন জাভাস্ক্রিপ্ট বা HTML অ্যাট্রিবিউটে ইকো করা এড়িয়ে চলুন। যদি এড়ানো সম্ভব না হয়, তবে উপযুক্ত এস্কেপিং এবং ননস ব্যবহার করুন।.
  • সাইটের অবস্থার পরিবর্তনকারী ক্রিয়াগুলিকে সুরক্ষিত করতে সক্ষমতা চেক এবং ননস ব্যবহার করুন।.
  • সম্ভব হলে ডকুমেন্ট রুটের বাইরে বাইনারি ফাইলগুলি সংরক্ষণ করুন বা সরাসরি কার্যকরী প্রতিরোধ করতে একটি নিয়ন্ত্রিত প্রক্সির মাধ্যমে সেগুলি পরিবেশন করুন।.
  • নির্ভরশীলতাগুলি আপডেট রাখুন এবং সুরক্ষা পরীক্ষাগুলি সম্পাদন করুন: স্যানিটাইজেশন এবং এস্কেপিং সমস্যার জন্য স্ট্যাটিক বিশ্লেষণ, ডাইনামিক স্ক্যানিং এবং ম্যানুয়াল কোড পর্যালোচনা।.

যদি আপনি একটি প্লাগইন রক্ষণাবেক্ষণ করেন, তবে স্বয়ংক্রিয় পরীক্ষাগুলি যোগ করুন যাতে নিশ্চিত হয় যে সাধারণ আক্রমণ ভেক্টর ধারণকারী ইনপুটগুলি স্যানিটাইজ করা হয়েছে বা প্রত্যাখ্যাত হয়েছে।.


কেন এই ধরনের দুর্বলতা বারবার দেখা দিচ্ছে

কয়েকটি কারণ প্লাগইনগুলিকে আপলোড পরিচালনা করা বিশেষভাবে ঝুঁকিপূর্ণ করে তোলে:

  • জটিলতা: বিভিন্ন ফাইলের ধরন, মেটাডেটা এবং প্রিভিউ পরিচালনা করা জটিলতা এবং ডেভেলপার ভুল করার সম্ভাবনা বাড়ায়।.
  • প্রসঙ্গগত এস্কেপিং ত্রুটি: ডেভেলপাররা প্রায়ই ভুলে যান যে ফাইলের নাম এবং মেটাডেটা বিভিন্ন প্রসঙ্গে (HTML, অ্যাট্রিবিউট, JSON, জাভাস্ক্রিপ্ট) এম্বেড করা হবে।.
  • পুরানো কোড এবং শর্টকাট: পুরানো প্লাগইনগুলি সঠিক এস্কেপিং ছাড়াই দ্রুত আউটপুট ফাংশন ব্যবহার করতে পারে।.
  • জনসাধারণের প্রকাশ: যোগাযোগ ফর্ম এবং আপলোড এন্ডপয়েন্টগুলি প্রায়ই ডিজাইনের দ্বারা জনসাধারণের জন্য উন্মুক্ত থাকে, যা আক্রমণকারীদের সহজ প্রবেশাধিকার দেয়।.

প্রতিকারটি প্রযুক্তিগত (ফিক্স এবং শক্তিশালীকরণ) এবং প্রক্রিয়া ভিত্তিক (নিরাপদ উন্নয়ন জীবনচক্র, কোড পর্যালোচনা, এবং স্বয়ংক্রিয় পরীক্ষা) উভয়ই।.


লগিং এবং পর্যবেক্ষণ: নিয়মিত কী পরীক্ষা করতে হবে

  • ওয়েব সার্ভার লগ:
    অস্বাভাবিক মালফর্মড multipart/form-data, পুনরাবৃত্ত আপলোড প্রচেষ্টা, বা স্ক্রিপ্ট টোকেন সহ অনুরোধগুলির জন্য পর্যবেক্ষণ করুন।.
  • অ্যাপ্লিকেশন লগ:
    ব্যতিক্রম বা সন্দেহজনক POST পে লোডের জন্য প্লাগইন লগ এবং WordPress ত্রুটি লগ পর্যবেক্ষণ করুন।.
  • ফাইল পরিবর্তন সনাক্তকরণ:
    wp‑content-এ পরিবর্তনের জন্য সতর্কতা, বিশেষ করে আপলোড, প্লাগইন এবং থিমগুলিতে।.
  • ব্যবহারকারীর কার্যকলাপ:
    নতুন প্রশাসক ব্যবহারকারী তৈরি, ভূমিকা পরিবর্তন, বা অপ্রত্যাশিত পাসওয়ার্ড রিসেটের জন্য পর্যবেক্ষণ করুন।.
  • বাইরের খ্যাতি:
    হ্যাক করা কনটেন্ট সতর্কতার জন্য Google সার্চ কনসোল দেখুন।.

উচ্চ-ঝুঁকির প্যাটার্নের জন্য স্বয়ংক্রিয় সতর্কতা সেট আপ করুন এবং প্রতিদিন সতর্কতা পর্যালোচনা করুন।.


WP‑Firewall কিভাবে সাহায্য করে (আমাদের পদ্ধতি)

WP‑Firewall-এ আমরা একাধিক স্তরের সুরক্ষায় মনোযোগ দিই যা এই ধরনের দুর্বলতার প্রতি প্রকাশ কমায়:

  • পরিচালিত WAF এবং ভার্চুয়াল প্যাচিং: আমরা নিয়মগুলি প্রয়োগ করি যা সন্দেহজনক পে লোড সনাক্ত এবং ব্লক করে (আপলোড ক্ষেত্রগুলিতে স্ক্রিপ্ট টোকেন সহ) যাতে সাইটগুলি আপডেট করার সময় শোষণ প্রতিরোধ করা যায়।.
  • ম্যালওয়্যার স্ক্যানিং এবং অপসারণ: স্বয়ংক্রিয় স্ক্যানগুলি আক্রমণকারীরা আপলোড করতে পারে এমন ক্ষতিকারক ফাইলগুলি সনাক্ত এবং পরিষ্কার করে।.
  • OWASP শীর্ষ 10 প্রশমন: সাধারণ ইনজেকশন শ্রেণির বিরুদ্ধে মৌলিক সুরক্ষা সহ XSS।.
  • পূর্ণ-স্ট্যাক পর্যবেক্ষণ: ফাইল অখণ্ডতা, প্রশাসক কার্যকলাপ, এবং সতর্কতার সাথে সন্দেহজনক অনুরোধ সনাক্তকরণ।.
  • সুরক্ষা নির্দেশনা এবং সহায়তা: প্রশাসক এবং ডেভেলপারদের জন্য ধাপে ধাপে পুনরুদ্ধার পরিকল্পনা এবং শক্তিশালীকরণের সুপারিশ।.

যদি আপনার আমাদের সাথে একটি সুরক্ষিত সাইট থাকে, তবে আমাদের প্রশমন নিয়মগুলি আপনি বিক্রেতার প্যাচ প্রয়োগ করার সময় ঝুঁকি তাত্ক্ষণিকভাবে কমাতে পারে।.


কয়েক মিনিটের মধ্যে আপনার সাইট সুরক্ষিত করা শুরু করুন — WP‑Firewall ফ্রি পরিকল্পনা

আমরা বুঝতে পারি যে দ্রুত সুরক্ষা গুরুত্বপূর্ণ। যদি আপনি একটি পরিচালিত ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল এবং মৌলিক ম্যালওয়্যার সনাক্তকরণ যুক্ত করার একটি সরল উপায় চান বিনামূল্যে, আমাদের WP‑Firewall Free পরিকল্পনা আপনাকে দ্রুত মৌলিক সুরক্ষা প্রদান করে:

  • অপরিহার্য সুরক্ষা: পরিচালিত ফায়ারওয়াল, সীমাহীন ব্যান্ডউইথ, WAF, ম্যালওয়্যার স্ক্যানার এবং OWASP শীর্ষ ১০ ঝুঁকি হ্রাস।
  • পরিচিত প্লাগইন দুর্বলতার জন্য সহজ সেটআপ এবং তাত্ক্ষণিক ভার্চুয়াল প্যাচিং।.
  • ক্রেডিট কার্ডের প্রয়োজন নেই — কয়েক মিনিটের মধ্যে মৌলিক প্রতিরক্ষা পান।.

আরও জানুন এবং এখানে ফ্রি প্ল্যানের জন্য সাইন আপ করুন: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(যদি আপনাকে স্বয়ংক্রিয় অপসারণ, আইপি ব্ল্যাকলিস্টিং, সময়সূচী রিপোর্টিং, বা প্রিমিয়াম সমর্থন প্রয়োজন হয়, আমাদের স্ট্যান্ডার্ড এবং প্রো পরিকল্পনাগুলি একটি ছোট বার্ষিক ফি জন্য সেই ক্ষমতাগুলি যোগ করে।)


ব্যবহারিক চেকলিস্ট যা আপনি কপি এবং পেস্ট করতে পারেন

তাত্ক্ষণিক (1 ঘণ্টার মধ্যে)

  • [ ] চেক করুন যে প্লাগইনটি ইনস্টল করা হয়েছে এবং সংস্করণ নিশ্চিত করুন।.
  • [ ] যদি দুর্বল হয় এবং আপনি আপডেট করতে পারেন: এখন 1.3.9.8 এ আপডেট করুন।.
  • [ ] যদি আপনি আপডেট করতে না পারেন: প্লাগইনটি নিষ্ক্রিয় করুন বা প্লাগইন ফোল্ডারের নাম পরিবর্তন করুন।.
  • [ ] একটি পূর্ণ ব্যাকআপ নিন (ফাইল + ডিবি) এবং লগগুলি সংরক্ষণ করুন।.

পরবর্তী পদক্ষেপ (২৪ ঘণ্টার মধ্যে)

  • [ ] প্রশাসক এবং SFTP শংসাপত্র পরিবর্তন করুন।.
  • [ ] সমস্ত প্রশাসক ব্যবহারকারীদের জন্য 2FA সক্ষম করুন।.
  • 4. [ ] একটি সম্পূর্ণ ম্যালওয়্যার এবং ফাইল অখণ্ডতা স্ক্যান চালান।.
  • [ ] সন্দেহজনক কার্যকলাপের জন্য সার্ভার অ্যাক্সেস এবং ওয়ার্ডপ্রেস লগ পর্যালোচনা করুন।.

পুনরুদ্ধার (৭২ ঘণ্টার মধ্যে)

  • [ ] একটি পরিচিত ভাল ব্যাকআপ থেকে যে কোনও পরিবর্তিত ফাইল পরিষ্কার বা পুনরুদ্ধার করুন।.
  • [ ] প্যাচিং এবং যাচাইকরণের পরে প্লাগইনটি পুনরায় সক্ষম করুন।.
  • [ ] ভবিষ্যতের ঝুঁকি কমাতে WAF নিয়ম এবং CSP বাস্তবায়ন করুন।.

দীর্ঘমেয়াদী

  • [ ] ফাইল আপলোড অনুমতি তালিকা চেক যোগ করুন এবং ফাইলের নামগুলি পরিষ্কার করুন।.
  • [ ] কাস্টম কোডের জন্য একটি নিরাপদ উন্নয়ন জীবনচক্র প্রয়োগ করুন।.
  • [ ] সময় সময় নিরাপত্তা নিরীক্ষার সময়সূচী করুন।.

সর্বশেষ ভাবনা

আপলোড হ্যান্ডলারে XSS দুর্বলতা তাত্ত্বিক নয় — এগুলি সক্রিয়ভাবে লক্ষ্যবস্তু করা হয় কারণ এগুলি উচ্চ লাভ দেয়। যদি আপনি ড্র্যাগ এবং ড্রপ মাল্টিপল ফাইল আপলোড - কন্টাক্ট ফর্ম 7 প্লাগইন চালান, তাহলে একক সেরা পদক্ষেপ হল অবিলম্বে 1.3.9.8 এ আপডেট করা। যদি আপনি তা না করতে পারেন, তাহলে বিলম্ব না করে উপরের প্রতিকারগুলি প্রয়োগ করুন এবং যেকোন অস্বাভাবিকতাকে সম্ভাব্য গুরুতর হিসেবে বিবেচনা করুন।.

নিরাপত্তা হল দ্রুত প্রতিক্রিয়া (প্যাচিং, ধারণ) এবং স্থায়ী শক্তিশালীকরণের (সর্বনিম্ন অধিকার, আউটপুট এস্কেপিং, মনিটরিং) সংমিশ্রণ। যদি আপনি ঝুঁকি মূল্যায়ন বা ঘটনা প্রতিক্রিয়া সম্পাদনে সহায়তা চান, অথবা এমন একটি পরিচালিত WAF সুরক্ষা যোগ করতে চান যা অবিলম্বে ভার্চুয়াল প্যাচিং প্রদান করতে পারে, তাহলে আমাদের দলের সাথে যোগাযোগ করুন — আমরা ওয়ার্ডপ্রেস সাইটের মালিকদের দ্রুত নিরাপদ হতে সাহায্য করি।.

নিরাপদে থাকো,
WP-ফায়ারওয়াল সিকিউরিটি টিম

তথ্যসূত্র এবং আরও পঠন


wordpress security update banner

বিনামূল্যে WP নিরাপত্তা সাপ্তাহিক পান 👋
এখন সাইন আপ করুন
!!

প্রতি সপ্তাহে আপনার ইনবক্সে ওয়ার্ডপ্রেস সিকিউরিটি আপডেট পেতে সাইন আপ করুন।

আমরা স্প্যাম করি না! আমাদের পড়ুন গোপনীয়তা নীতি আরও তথ্যের জন্য।