প্লাগইনের নাম	iVysilani শর্টকোড প্লাগইন
দুর্বলতার ধরণ	ক্রস-সাইট স্ক্রিপ্টিং (XSS)
সিভিই নম্বর	CVE-2026-1851
জরুরি অবস্থা	কম
সিভিই প্রকাশের তারিখ	2026-03-23
উৎস URL	CVE-2026-1851

iVysilani শর্টকোডে প্রমাণিত অবদানকারী সংরক্ষিত XSS (≤ 3.0) — এখন ওয়ার্ডপ্রেস সাইট মালিকদের কী করতে হবে

লেখক: WP-ফায়ারওয়াল সিকিউরিটি টিম

সম্প্রতি প্রকাশিত একটি দুর্বলতা (CVE‑2026‑1851) ওয়ার্ডপ্রেসের জন্য iVysilani শর্টকোড প্লাগইন (সংস্করণ ≤ 3.0) প্রভাবিত করে। সমস্যা হল একটি সংরক্ষিত ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা যা প্রমাণিত ব্যবহারকারীদের দ্বারা বিশেষভাবে তৈরি শর্টকোড অ্যাট্রিবিউট জমা দেওয়ার মাধ্যমে ট্রিগার করা যেতে পারে — বিশেষ করে প্লাগইনের 5. প্রস্থ শর্টকোড অ্যাট্রিবিউট। যেহেতু পে লোড পোস্ট কনটেন্টে সংরক্ষিত হয়, এটি পরে সেই পৃষ্ঠাটি দেখার সময় যে কেউ দেখবে, এবং যে কোনও দর্শক (অথবা যে কোনও বিশেষাধিকারপ্রাপ্ত ব্যবহারকারী) যে পৃষ্ঠা খুলবে তাতে কার্যকর হতে পারে।.

এই ব্যাখ্যাটি WP‑Firewall এর দৃষ্টিকোণ থেকে লেখা হয়েছে — একটি ওয়ার্ডপ্রেস নিরাপত্তা এবং WAF প্রদানকারী — এবং আপনাকে আপনার সাইট রক্ষা করার জন্য প্রযুক্তিগত ঝুঁকি, সনাক্তকরণ, প্রশমন (স্বল্প- এবং দীর্ঘমেয়াদী), ধারণ, মেরামত এবং পর্যবেক্ষণ পদক্ষেপগুলি সম্পর্কে জানায়। আমি এছাড়াও ব্যাখ্যা করব কিভাবে একটি সঠিকভাবে কনফিগার করা WAF (ভার্চুয়াল প্যাচিং সহ) এবং কিছু সহজ শক্তিশালীকরণ পদক্ষেপ ঝুঁকি প্রায় শূন্যে কমিয়ে দেয় যখন একটি স্থায়ী সমাধান স্থাপন করা হয়।.

নোট: এই পোস্টটি দুর্বলতা সম্পর্কে জনসাধারণের গবেষণার সারসংক্ষেপ এবং প্রতিরক্ষামূলক নির্দেশনা দেয়। এটি ইচ্ছাকৃতভাবে শোষণ পে লোড বা পদক্ষেপ-দ্বারা-পদক্ষেপ আক্রমণের নির্দেশনা পুনরুত্পাদন করতে এড়িয়ে চলে।.

---

সুচিপত্র

• দুর্বলতা কী?
• কেন এটি গুরুত্বপূর্ণ (হুমকি মডেল এবং প্রভাব)
• কারা ঝুঁকিতে আছে
• দ্রুত ঝুঁকি হ্রাস (তাত্ক্ষণিক পদক্ষেপ)
• সনাক্তকরণ — শোষণের চিহ্নগুলি কীভাবে খুঁজে বের করবেন
• ধারণ এবং মেরামত (সংকটের ক্ষেত্রে)
• কিভাবে একটি ওয়ার্ডপ্রেস WAF আপনাকে এখন রক্ষা করতে পারে (ভার্চুয়াল প্যাচিং নিয়ম)
• অবদানকারী ভূমিকা এবং শর্টকোড পরিচালনার শক্তিশালীকরণ
• পুনরুদ্ধার চেকলিস্ট এবং অনুসরণকারী পর্যবেক্ষণ
• ব্যাকআপ, পরীক্ষা এবং স্থাপনের উপর একটি সংক্ষিপ্ত নোট
• দ্রুত, পরিচালিত সুরক্ষা চান? (ফ্রি পরিকল্পনার তথ্য)
• পরিশিষ্ট: সনাক্তকরণের জন্য উপকারী WP-CLI এবং SQL স্নিপেট

---

দুর্বলতা কী?

• প্রকার: সংরক্ষিত ক্রস-সাইট স্ক্রিপ্টিং (XSS)
• প্রভাবিত প্লাগইন: iVysilani শর্টকোড (সংস্করণ ≤ 3.0)
• CVE: CVE‑2026‑1851
• ইনজেক্ট করার জন্য প্রয়োজনীয় বিশেষাধিকার: অবদানকারী (প্রমাণিত)
• 1. আক্রমণের ভেক্টর: একটি শর্টকোড অ্যাট্রিবিউটের মধ্যে ম্যালিশিয়াস কনটেন্ট (অ্যাট্রিবিউট) পোস্ট কনটেন্টে সংরক্ষিত হয় এবং পরে দর্শকদের জন্য অস্বাস্থ্যকরভাবে রেন্ডার করা হয়। 5. প্রস্থ 2. গুরুতরতা: মাঝারি (প্যাচ লেখক এবং গবেষকরা এটি জনসাধারণের প্রতিবেদনে CVSS 6.5 হিসাবে মূল্যায়ন করেছেন)
• 3. সংক্ষেপে: একজন প্রমাণীকৃত ব্যবহারকারী যার কন্ট্রিবিউটর অধিকার রয়েছে, সে iVysilani শর্টকোডের অ্যাট্রিবিউটে একটি ম্যালিশিয়াস মান প্রবেশ করতে পারে। যেহেতু প্লাগইনটি সঠিকভাবে সেই অ্যাট্রিবিউটটি সংরক্ষণ / রেন্ডার করার আগে যাচাই এবং এস্কেপ করতে ব্যর্থ হয়, তাই মানটি মার্কআপ বা স্ক্রিপ্ট ধারণ করতে পারে যা পোস্টটি দেখা হলে ব্রাউজারে কার্যকর হয়।

4. কেন এটি গুরুত্বপূর্ণ — হুমকি মডেল এবং প্রভাব 5. প্রস্থ 5. স্টোরড XSS গুরুতর কারণ পে লোডটি সাইটে স্থায়ীভাবে সংরক্ষিত হয় এবং প্রভাবিত পৃষ্ঠা/পোস্ট প্রদর্শিত হলে যে কোনও সময় কার্যকর হবে। সম্ভাব্য প্রভাবগুলির মধ্যে রয়েছে:.

---

6. বিশেষাধিকারপ্রাপ্ত অ্যাকাউন্টের জন্য সেশন চুরি বা কুকি অ্যাক্সেস (যদি কুকিগুলি HttpOnly না হয় বা অন্যান্য সেশন ডেটা JS-এ অ্যাক্সেসযোগ্য হয়)।

7. CSRF-সদৃশ চেইনড অ্যাকশনের মাধ্যমে বিশেষাধিকার বৃদ্ধি (যেমন, একজন প্রশাসক/সম্পাদককে কার্যক্রম সম্পাদন করতে প্রলুব্ধ করা)।

• 8. অবমাননা, সাইটের দর্শকদের ম্যালিশিয়াস পৃষ্ঠায় পুনঃনির্দেশ করা, বা ভুয়া কনটেন্ট বা বিজ্ঞাপন ইনজেক্ট করা।.
• 9. অন্যান্য ম্যালিশিয়াস রিসোর্সগুলি টানার জন্য আরও ব্রাউজার-সাইড লোডার স্থাপন করা।.
• 10. সামাজিক প্রকৌশল সংলাপ বিতরণ করা (যেমন, “আপনার সাইট হ্যাক হয়েছে — এটি ঠিক করতে এখানে ক্লিক করুন”), সাইট প্রশাসক ব্যবহারকারীদের লক্ষ্য করে।.
• 11. কেন কন্ট্রিবিউটরের মাধ্যমে স্টোরড XSS বাস্তবিকভাবে ঝুঁকিপূর্ণ:.
• 12. কন্ট্রিবিউটর অ্যাকাউন্টগুলি প্রায়শই সাইটগুলিতে ব্যবহৃত হয় যা ব্যবহারকারী-উৎপন্ন কনটেন্ট, অতিথি পোস্ট, বা সম্পাদকীয় জমা গ্রহণ করে। কন্ট্রিবিউটররা সরাসরি প্রকাশ করতে পারে না, তবে তাদের কনটেন্ট সাধারণত পোস্ট সম্পাদকতে পৌঁছে যায় এবং সম্পাদক এবং প্রশাসকদের দ্বারা প্রিভিউ বা পর্যালোচনা করা যেতে পারে — যা আক্রমণকারীদের সেই পর্যালোচকদের লক্ষ্য করার সুযোগ দেয়।.

13. যেহেতু প্লাগইনের শর্টকোড পার্সিং পাইপলাইন অ্যাট্রিবিউট ডেটা পোস্ট কনটেন্টে সংরক্ষণ করে এবং পরে সঠিকভাবে এস্কেপ না করেই রেন্ডার করে, তাই ম্যালিশিয়াস অ্যাট্রিবিউট স্থায়ী হয়ে যায়। আক্রমণকারী যদি অবিলম্বে প্রকাশ করতে না পারে, তবে পে লোডটি একটি সম্পাদক বা প্রকাশকের ব্রাউজারে কার্যকর হতে পারে যারা জমাটি পর্যালোচনা করছে — যা একটি কার্যকর বৃদ্ধি পথ প্রদান করে। 14. সাইটগুলি যেখানে iVysilani শর্টকোড প্লাগইন ইনস্টল এবং সক্রিয় রয়েছে, সংস্করণ ≤ 3.0 চালাচ্ছে।.

15. সাইটগুলি যা ব্যবহারকারীদের কন্ট্রিবিউটর (অথবা উচ্চতর) ভূমিকা নিবন্ধন করতে বা বরাদ্দ করতে দেয় — সম্পাদকীয় পাইপলাইন, সদস্যপদ সাইট, বা বহু-লেখক ব্লগ সহ।.

---

কে ঝুঁকিতে আছে?

• 16. সাইটগুলি যা পোস্ট, পৃষ্ঠা, বা উইজেট এলাকায় প্লাগইন শর্টকোডগুলির উপর নির্ভর করে।.
• 17. যদি আপনি নিশ্চিত না হন যে আপনার সাইট এই প্লাগইন বা শর্টকোড ব্যবহার করছে, তবে এটি জরুরীভাবে বিবেচনা করুন: নীচের সনাক্তকরণ এবং প্রশমন পদক্ষেপগুলি আপনাকে এক্সপোজার নিশ্চিত করতে এবং ঝুঁকি কমাতে সহায়তা করবে।.
• 18. তাত্ক্ষণিক ঝুঁকি হ্রাস — কর্ম পরিকল্পনা (প্রথম 60–120 মিনিট).

যদি আপনি নিশ্চিত না হন যে আপনার সাইট এই প্লাগইন বা শর্টকোড ব্যবহার করছে কিনা, তবে এটি জরুরীভাবে বিবেচনা করুন: নীচের সনাক্তকরণ এবং প্রশমন পদক্ষেপগুলি আপনাকে এক্সপোজার নিশ্চিত করতে এবং ঝুঁকি কমাতে সহায়তা করবে।.

---

তাত্ক্ষণিক ঝুঁকি হ্রাস — কর্ম পরিকল্পনা (প্রথম 60–120 মিনিট)

যদি আপনি সন্দেহ করেন বা জানেন যে আপনার সাইট একটি প্রভাবিত সংস্করণ চালাচ্ছে, তাহলে অবিলম্বে নিম্নলিখিতগুলি করুন। এই পদক্ষেপগুলি একটি সম্পূর্ণ মেরামতের পরিকল্পনা করার সময় এক্সপোজার কমানোর জন্য উদ্দেশ্যপ্রণোদিত।.

1. একটি দ্রুত ব্যাকআপ নিন (ডেটাবেস + ফাইল)।.
   ডেটাবেসটি রপ্তানি করুন এবং কপি করুন wp-সামগ্রী একটি নিরাপদ স্থানে। এটি পরে বিশ্লেষণ এবং রোলব্যাকের জন্য অবস্থান সংরক্ষণ করে।.
2. যদি একটি আপগ্রেড/প্যাচ উপলব্ধ না থাকে তবে প্লাগইনটি নিষ্ক্রিয় করুন।.
   যদি ব্যবসায়িক কার্যক্রমে উল্লেখযোগ্যভাবে বিঘ্ন ঘটানো ছাড়া অস্থায়ীভাবে নিষ্ক্রিয় করা সম্ভব হয়, তবে ওয়ার্ডপ্রেস অ্যাডমিন থেকে প্লাগইনটি নিষ্ক্রিয় করুন।.
   যদি আপনি নিরাপদে অ্যাডমিনে প্রবেশ করতে না পারেন, তবে SFTP বা SSH এর মাধ্যমে এর ডিরেক্টরি নাম পরিবর্তন করে প্লাগইনটি নিষ্ক্রিয় করুন: mv wp-content/plugins/ivysilani-shortcode wp-content/plugins/ivysilani-shortcode-disabled.
3. আপনি যখন ট্রায়েজ করছেন তখন কন্ট্রিবিউটর ভূমিকা সীমাবদ্ধ করুন:
   শর্টকোড তৈরি বা সম্পাদনা করার ক্ষমতা সরান, অথবা অস্থায়ীভাবে কন্ট্রিবিউটরদের একটি আরও সীমিত ভূমিকায় সেট করুন।.
   অপসারণ অフィল্টারড_এইচটিএমএল অ-বিশ্বাসযোগ্য ভূমিকা থেকে ক্ষমতা (কোডের জন্য হার্ডেনিং বিভাগ দেখুন)।.
4. সাইটের সামনে একটি WAF নিয়ম (ভার্চুয়াল প্যাচ) রাখুন:
   সন্দেহজনক শর্টকোড সংরক্ষণ করার চেষ্টা করা অনুরোধগুলি ব্লক করুন 5. প্রস্থ বৈশিষ্ট্যগুলি যা ধারণ করে <, >, জাভাস্ক্রিপ্ট: অথবা ইভেন্ট হ্যান্ডলার যেমন ত্রুটি =.
   যদি আপনি WP‑Firewall ব্যবহার করেন, তবে এই সমস্যার জন্য ভার্চুয়াল প্যাচিং অন্তর্ভুক্ত করে পরিচালিত WAF নিয়ম সেট সক্রিয় করুন। (পরে WAF নিয়মের উদাহরণ দেখুন।)
5. আপনার সাইট স্ক্যান করুন:
   একটি ম্যালওয়্যার স্ক্যান চালান এবং প্লাগইনের শর্টকোড বা সন্দেহজনক প্রস্থ বৈশিষ্ট্যগুলি ধারণকারী পোস্ট/পৃষ্ঠাগুলি সন্ধান করুন।.
   দ্রুত সংরক্ষিত পে-লোডগুলি খুঁজে পেতে WP‑CLI, SQL কোয়েরি, বা আপনার স্ক্যানার ব্যবহার করুন।.
6. সম্পাদক এবং প্রশাসকদের অনুরোধ করুন যে তারা অ-বিশ্বাসযোগ্য পোস্টের প্রিভিউ এড়িয়ে চলুন।.
   যতক্ষণ না আপনি নিশ্চিত হন যে বিষয়বস্তু পরিষ্কার, ততক্ষণ পর্যন্ত বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীদের নির্দেশ দিন যে তারা অ-বিশ্বাসযোগ্য পোস্টের প্রিভিউ বা সম্পাদনা করবেন না যা দুর্বল শর্টকোড ধারণ করতে পারে।.

এগুলি দ্রুত, বাস্তবসম্মত পদক্ষেপ। লক্ষ্য হল একটি সংরক্ষিত XSS পে-লোডের একটি বিশেষাধিকারপ্রাপ্ত ব্রাউজার সেশনে কার্যকর হওয়ার সম্ভাবনা কমানো।.

---

সনাক্তকরণ — শোষণের চিহ্নগুলি কীভাবে খুঁজে বের করবেন

সংরক্ষিত XSS সনাক্ত করতে নির্দিষ্ট শর্টকোডের জন্য অনুসন্ধান করা এবং কোডের মতো দেখতে বৈশিষ্ট্যগুলির জন্য স্ক্যান করা উভয়ই প্রয়োজন। আপনি সন্দেহজনক বিষয়বস্তু খুঁজে পেতে WP‑CLI, SQL, বা একটি ফাইল অনুসন্ধান ব্যবহার করতে পারেন।.

গুরুত্বপূর্ণ: সর্বদা একটি ব্যাকআপ থেকে কাজ করুন এবং আপনার কাছে একটি কপি না থাকা পর্যন্ত ধ্বংসাত্মক পরিবর্তন করতে এড়িয়ে চলুন।.

উপকারী SQL এবং WP‑CLI অনুসন্ধান

পোস্টগুলি অনুসন্ধান করুন যা শর্টকোড নাম অন্তর্ভুক্ত করে:

SELECT ID, post_title, post_status;

অথবা WP‑CLI এর মাধ্যমে:

wp পোস্ট তালিকা --পোস্ট_প্রকার=পোস্ট,পৃষ্ঠা --ফরম্যাট=আইডি | xargs -n1 -I% wp পোস্ট পান % --ফিল্ড=পোস্ট_বিষয়বস্তু | grep -n "ivysilani"

অনুসন্ধান করুন 5. প্রস্থ সন্দেহজনক অক্ষর অন্তর্ভুক্ত বৈশিষ্ট্য:

SELECT ID, post_title;

পোস্ট কনটেন্টে কোথাও স্ক্রিপ্ট ট্যাগ সনাক্ত করুন:

SELECT ID, post_title;

wp_postmeta এবং উইজেট অপশন অনুসন্ধান করুন (কখনও কখনও শর্টকোডগুলি অন্যত্র সংরক্ষিত হয়):

SELECT meta_id, post_id, meta_key;

আপনি ফলাফল পর্যালোচনা করার সময় কী খুঁজবেন

• যেকোনো 5. প্রস্থ বৈশিষ্ট্য মানগুলি যা অন্তর্ভুক্ত করে <, >, স্ক্রিপ্ট, জাভাস্ক্রিপ্ট:, ত্রুটি =, লোড হলে, অথবা URL স্কিম যা শুধুমাত্র সংখ্যা বা CSS আকার নয়।.
• শর্টকোডগুলি যা প্রত্যাশিত সংখ্যাসূচক শতাংশ বা পিক্সেল মানের সাথে মেলে না।.
• অপ্রত্যাশিত HTML যা বৈশিষ্ট্যে ইনজেক্ট করা হয়েছে বলে মনে হচ্ছে।.
• একটি নির্দিষ্ট অবদানকারী যখন জমা দিয়েছিলেন তখন সময়ের চারপাশে পরিবর্তন।.

সন্দেহজনক POST অনুরোধগুলির জন্য আপনার অ্যাক্সেস লগও স্ক্যান করুন পোস্ট.php বা async-upload.php যা অবদানকারীর কার্যকলাপের সাথে মিলে যায়।.

---

ধারণ এবং প্রতিকার (যদি আপনি ক্ষতিকারক কনটেন্ট খুঁজে পান)

যদি আপনি ইনজেক্ট করা পে লোডগুলি আবিষ্কার করেন, তবে ক্ষতিকারক সামগ্রী অপসারণের জন্য একটি নিয়ন্ত্রিত মেরামত পরিকল্পনা অনুসরণ করুন এবং প্রভাব মূল্যায়ন করুন।.

1. প্রভাবিত পোস্টগুলি কোয়ারেন্টাইন করুন
   পোস্টের স্থিতি সেট করুন খসড়া বা ব্যক্তিগত আরও দর্শক এক্সপোজার বন্ধ করতে।.
   উদাহরণ WP‑CLI:

   wp পোস্ট আপডেট 123 --পোস্ট_স্ট্যাটাস=ড্রাফট

2. ক্ষতিকারক শর্টকোড অ্যাট্রিবিউট মানগুলি প্রতিস্থাপন বা স্যানিটাইজ করুন
   যদি সামগ্রীটি ছোট হয় এবং আপনি এটি ম্যানুয়ালি পরিষ্কার করতে পারেন, তবে পোস্টটি সম্পাদনা করুন এবং সংশোধন করুন 5. প্রস্থ একটি নিরাপদ সংখ্যাসূচক বা CSS আকারের মানে (যেমন, প্রস্থ="100%" বা প্রস্থ="600px").
   বৃহৎ মেরামতের জন্য নিরাপদ স্বয়ংক্রিয় প্রতিস্থাপন ব্যবহার করুন (শুধুমাত্র পর্যালোচনার পরে)।.
   উদাহরণ (অত্যন্ত সতর্কতার সাথে ব্যবহার করুন, সর্বদা প্রথমে ব্যাকআপ করুন):

   wp সার্চ-রিপ্লেস '\[ivysilani[^\]]*প্রস্থ=\"[^\"]*\"' '[ivysilani প্রস্থ="100%"]' --সব_টেবিল

   নোট: এটি চিত্রায়িত। উৎপাদনে চালানোর আগে একটি ব্যাকআপে পরীক্ষা করুন।.

3. যে কোনও আক্রমণকারী অ্যাকাউন্ট মুছে ফেলুন
   ইনজেকশনের সময় তৈরি করা অবদানকারী অ্যাকাউন্টগুলি চিহ্নিত করুন এবং সাসপেন্ড বা মুছে ফেলুন।.
   যদি আপনি নিশ্চিত না হন, তবে সমস্ত অবদানকারী অ্যাকাউন্টের জন্য পাসওয়ার্ড পুনরায় সেট করুন এবং পাসওয়ার্ড রোটেশন প্রয়োগ করুন।.
4. গোপনীয়তা ঘুরিয়ে দিন এবং প্রশাসক অ্যাকাউন্টগুলি পর্যালোচনা করুন
   প্রভাবিত পোস্টগুলি প্রিভিউ করা সম্পাদক এবং প্রশাসকদের জন্য পাসওয়ার্ড রিসেট করতে বাধ্য করুন।.
   API কী, SSH কী এবং যে কোনও অন্যান্য শংসাপত্র ঘুরিয়ে দিন যা প্রকাশিত হতে পারে।.
5. যে কোনো ওয়েব শেল বা অতিরিক্ত ব্যাকডোর পরিষ্কার করুন
   একটি ফাইল অখণ্ডতা স্ক্যান চালান এবং আপলোড, থিম বা প্লাগইন ডিরেক্টরিতে নতুন সন্দেহজনক PHP ফাইলের জন্য অনুসন্ধান করুন।.
   যদি আপনি ব্যাকডোর পান, তবে সেগুলো আলাদা করুন এবং প্রয়োজনে একটি পরিষ্কার ব্যাকআপ থেকে পুনরুদ্ধার করুন।.
6. প্রভাবিত পোস্ট/পৃষ্ঠাগুলো পুনর্নির্মাণ করুন বা শক্তিশালী করুন
   পরিষ্কারের পরে, কেবল তখনই প্রকাশ করুন যখন আপনি বিষয়বস্তু যাচাই করেছেন। পরিষ্কার করা বিষয়বস্তু পর্যালোচনা করার জন্য অন্য একটি স্বাধীন প্রশাসক রাখার কথা বিবেচনা করুন।.
7. ফরেনসিক প্রমাণ রাখুন
   সময়সীমা, ব্যবহারকারীর ক্রিয়াকলাপ এবং সংক্রামিত পোস্টের ব্যাকআপ কপি পোস্ট-ঘটনার বিশ্লেষণের জন্য রেকর্ড করুন।.

---

একটি WordPress WAF (য much WP-Firewall এর মতো) আপনাকে এখন কীভাবে রক্ষা করতে পারে

একটি সঠিকভাবে কনফিগার করা ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF) আপনার লাইভ সাইটগুলিকে রক্ষা করার জন্য আপনার দ্রুততম লিভার যখন প্লাগইন লেখক একটি প্যাচের উপর কাজ করছেন বা আপনি একটি সম্পূর্ণ মেরামত প্রয়োগ না করা পর্যন্ত। WAF “ভার্চুয়াল প্যাচিং” প্রদান করে — ক্ষতিকারক পে-লোডগুলি WordPress এ পৌঁছানোর আগে ব্লক করে।.

সুপারিশকৃত ভার্চুয়াল প্যাচ কৌশল:

• এমন অনুরোধগুলি ব্লক করুন যা বিষয়বস্তু তৈরি বা আপডেট করার চেষ্টা করে যা অন্তর্ভুক্ত আইভিসিলানি শর্টকোড যেখানে 5. প্রস্থ অ্যাট্রিবিউট নিষিদ্ধ অক্ষর বা প্যাটার্ন ধারণ করে।.
• অ্যাট্রিবিউট মানগুলির সাথে পে-লোডগুলি ব্লক করুন যা ধারণ করে জাভাস্ক্রিপ্ট:, <script, ত্রুটি =, লোড হলে, বা অ্যাট্রিবিউটগুলির মধ্যে অন্যান্য ইভেন্ট হ্যান্ডলার।.
• সন্দেহজনক বিষয়বস্তু প্যাটার্ন উপস্থিত থাকলে পোস্ট সংরক্ষণ পয়েন্টে POST জমা দেওয়া ব্লক করুন।.
• অ-বিশ্বাসযোগ্য ভূমিকার জন্য একটি স্যানিটাইজড সংস্করণ ফেরত দিয়ে অ-স্যানিটাইজড শর্টকোড ধারণকারী বিষয়বস্তু প্রিভিউ বা ফ্রন্ট-এন্ড রেন্ডারিং প্রতিরোধ করুন।.

উদাহরণ WAF স্বাক্ষর (ধারণাগত; আপনার WAF UI ভিন্ন হবে)

• বিষয়বস্তু জমা দেওয়া সনাক্ত করুন এবং ব্লক করুন:
  • প্যাটার্ন: ivysilani[^]]*প্রস্থ\s*=\s*["'][^"'>]*(|javascript:|onerror=|onload=)[^"']*["']
  • ব্লক অ্যাকশন: অনুরোধ অস্বীকার করুন এবং উচ্চ অগ্রাধিকার সহ লগ করুন
• অবৈধ প্রস্থ মান অন্তর্ভুক্ত করে ফ্রন্ট-এন্ড রেন্ডার প্রচেষ্টা সনাক্ত করুন এবং স্যানিটাইজড আউটপুট ফেরত দিন:
  • আউটবাউন্ড HTML-এ প্যাটার্ন: \[(?:ivysilani)[^\]]*প্রস্থ=["'][^"']*(|javascript:|onerror=)[^"']*["']
  • অ্যাকশন: সন্দেহজনক মানকে একটি নিরাপদ ডিফল্ট (যেমন. 100%) বা পুনঃলিখন করুন।.

কেন WAF প্রথম?

• দ্রুত স্থাপন — নিয়মগুলি সাইট কোড পরিবর্তন না করেই অবিলম্বে প্রয়োগ করা যেতে পারে।.
• কম ব্যবসায়িক বিঘ্ন — ভার্চুয়াল প্যাচ চলতে পারে যখন প্লাগইন ডেভেলপাররা একটি অফিসিয়াল ফিক্স সরবরাহ করে।.
• লগিং এবং সনাক্তকরণ — WAF শোষণের প্রচেষ্টা এবং আক্রমণকারী আইপিগুলি চিহ্নিত করতে টেলিমেট্রি প্রদান করে।.

যদি আপনি WP‑Firewall পরিচালিত নিয়ম ব্যবহার করেন, তবে নিশ্চিত করুন যে সংরক্ষিত XSS এবং শর্টকোড অ্যাট্রিবিউট অ্যানোমালির জন্য স্বাক্ষর সেট সক্ষম রয়েছে এবং ব্লক করা প্রচেষ্টার জন্য WAF কনসোল পর্যবেক্ষণ করুন।.

---

কন্ট্রিবিউটর ভূমিকা এবং শর্টকোড পরিচালনা শক্তিশালী করা

WAF থাকা সত্ত্বেও, আপনাকে আপনার ওয়ার্ডপ্রেস পরিবেশকে শক্তিশালী করতে হবে। কন্ট্রিবিউটররা একটি সাধারণ ভেক্টর — তাদের সক্ষমতাগুলি ডিফল্টরূপে সংরক্ষণশীল করুন।.

সুপারিশ:

• অপসারণ অフィল্টারড_এইচটিএমএল প্রশাসক ব্যতীত সমস্ত ভূমিকার জন্য। ডিফল্টরূপে ওয়ার্ডপ্রেস শুধুমাত্র দেয় অフィল্টারড_এইচটিএমএল নির্দিষ্ট ভূমিকার জন্য, তবে কিছু হোস্ট বা প্লাগইন সক্ষমতাগুলি পরিবর্তন করে — সর্বদা যাচাই করুন।.

এটি ছোট mu-plugin যোগ করুন অপসারণ করতে অフィল্টারড_এইচটিএমএল (স্থাপন করুন wp-content/mu-plugins/disable-unfiltered-html.php):

<?php;

• অবদানকারীদের পোস্টে শর্টকোড ব্যবহার করতে নিষেধ করুন যতক্ষণ না স্পষ্টভাবে প্রয়োজন হয়। আপনি সেভ করার সময় কনটেন্ট আটকাতে পারেন এবং শর্টকোডগুলি মুছে ফেলতে পারেন:

add_filter( 'content_save_pre', function( $content ) { if ( current_user_can( 'contributor' ) ) { // শুধুমাত্র শর্টকোডের একটি হোয়াইটলিস্ট অনুমোদন করুন $allowed = array( 'gallery', 'caption' ); $content = strip_shortcodes( $content ); // বিকল্পভাবে নিরাপদ উপায়ে পার্স করে এবং পুনরুদ্ধার করে অনুমোদিত শর্টকোডগুলি পুনরায় যুক্ত করুন } return $content; }, 10, 1 );

নোট: এই পদ্ধতিটি সম্পাদনার কাজের প্রবাহ ভাঙা এড়াতে সতর্ক পরীক্ষার প্রয়োজন।.

• থিম/প্লাগইন রেন্ডার সময় সমস্ত শর্টকোড অ্যাট্রিবিউটগুলি স্যানিটাইজ করুন ওয়ার্ডপ্রেস escaping helpers ব্যবহার করে। একটি শর্টকোড হ্যান্ডলারের ভিতরে নিরাপদ স্যানিটাইজারের উদাহরণ:

$width = isset( $atts['width'] ) ? $atts['width'] : '100%'; // শুধুমাত্র সংখ্যা, শতাংশ বা px অনুমোদন করুন if ( ! preg_match( '/^\d+(?:px|%)?$/', $width ) ) { $width = '100%'; } $width = esc_attr( $width );

• প্লাগইনগুলি নিরীক্ষণ করুন যা ব্যবহারকারী-নিয়ন্ত্রিত অ্যাট্রিবিউটগুলি অনুমোদন করে এবং শর্টকোড ব্যবহার করে, এবং অ্যাট্রিবিউট যাচাইকরণ প্রয়োগ করা প্লাগইনগুলি পছন্দ করুন।.

---

পুনরুদ্ধার চেকলিস্ট এবং অনুসরণকারী পর্যবেক্ষণ

যদি আপনার একটি ঘটনা ঘটে বা ইনজেক্ট করা কনটেন্ট পাওয়া যায়, তবে এই কাঠামোবদ্ধ চেকলিস্ট অনুসরণ করুন।.

তাত্ক্ষণিক (0–24 ঘণ্টা)

• একটি সম্পূর্ণ ফরেনসিক ব্যাকআপ নিন (DB + ফাইল)।.
• সংক্রামিত পৃষ্ঠাগুলি কোয়ারেন্টাইন করুন বা নামিয়ে দিন (ড্রাফ্ট/প্রাইভেট সেট করুন)।.
• পোস্ট কনটেন্ট এবং অন্যান্য স্টোরেজ (মেটা, wp_options, widget_text) থেকে সংরক্ষিত XSS পে লোডগুলি পরিষ্কার করুন।.
• সমস্ত প্রশাসক/সম্পাদক পাসওয়ার্ড এবং যেকোনো API কী ঘুরিয়ে দিন।.
• সন্দেহজনক ব্যবহারকারী অ্যাকাউন্টগুলি মুছে ফেলুন এবং প্রশাসক অ্যাকাউন্টগুলিতে শক্তিশালী পাসওয়ার্ড + MFA প্রয়োগ করুন।.
• বিশেষাধিকারপ্রাপ্ত ব্যবহারকারীদের জন্য ব্যবহারকারী সেশনগুলি বাতিল করুন (ফোর্স লগআউট)।.

স্বল্পমেয়াদী (২৪–৭২ ঘণ্টা)

• সাইটটি একটি ম্যালওয়্যার স্ক্যানার দিয়ে স্ক্যান করুন এবং wp-content/uploads, থিম এবং প্লাগইনে ফাইল পরিবর্তনগুলি পর্যালোচনা করুন।.
• সনাক্ত করা প্যাটার্নগুলির জন্য কঠোর WAF ভার্চুয়াল প্যাচিং নিয়ম সক্ষম করুন।.
• একটি সম্পূর্ণ প্লাগইন/থিম আপডেট প্রক্রিয়া চালান এবং একটি পরিবর্তন লগ রাখুন।.
• লগগুলির অখণ্ডতা যাচাই করুন এবং রিপোর্ট করার জন্য প্রমাণ সংগ্রহ করুন (যদি প্রয়োজন হয়)।.

মধ্যম মেয়াদ (সপ্তাহ)

• শর্টকোড এবং অ্যাট্রিবিউটগুলির জন্য কোড হার্ডেনিং স্থাপন করুন (স্যানিটাইজার)।.
• কাস্টম থিম এবং প্লাগইনের জন্য কোড পর্যালোচনা করুন যা অরক্ষিত আউটপুট রুটিন থাকতে পারে।.
• ব্যবহারকারীর ভূমিকা এবং ক্ষমতার পুনঃনিরীক্ষণ করুন। প্রয়োজন না হলে কন্ট্রিবিউটর ভূমিকা অপসারণ করার কথা বিবেচনা করুন; পরিবর্তে একটি স্টেজিং ওয়ার্কফ্লো ব্যবহার করুন।.

চলমান (৩০+ দিন)

• একই আইপি ঠিকানা থেকে পুনরাবৃত্তি প্রচেষ্টার জন্য WAF লগ এবং সাইট স্ক্যানিং লগ পর্যবেক্ষণ করুন।.
• একটি ঘটনা সময়রেখা এবং শেখা পাঠ রাখুন।.
• সম্পাদক এবং কন্ট্রিবিউটরদের নিরাপদ কনটেন্ট জমা দেওয়া এবং প্রশাসনিক সেশনে অবিশ্বস্ত কনটেন্টের প্রিভিউ না করার গুরুত্ব সম্পর্কে শিক্ষা দিন।.

---

ব্যাকআপ, পরীক্ষা এবং স্থাপনের উপর একটি সংক্ষিপ্ত নোট

• উৎপাদনে ব্যাপক পরিবর্তন প্রয়োগ করার আগে সর্বদা একটি স্টেজিং কপিতে মেরামতের পরীক্ষা করুন।.
• সংস্করণযুক্ত ব্যাকআপ ব্যবহার করুন এবং ঘটনার সময়ের আগে অন্তত একটি পরিচিত ভাল পুনরুদ্ধার পয়েন্ট রাখুন।.
• WAF নিয়ম প্রয়োগ করার সময়, সম্ভব হলে প্রথমে লগ-শুধু মোডে পরীক্ষা করুন। মিথ্যা ইতিবাচকগুলি পর্যবেক্ষণ করুন, নিয়মগুলি পরিশোধন করুন, এবং তারপর ব্লক মোডে স্যুইচ করুন।.

---

দ্রুত, পরিচালিত সুরক্ষা চান? WP‑Firewall Free দিয়ে আপনার সাইট সুরক্ষিত করতে শুরু করুন

শিরোনাম: WP-Firewall Free দিয়ে আপনার সাইট সুরক্ষিত করা শুরু করুন।

আপনি যদি এই দুর্বলতা যাচাই এবং মেরামত করার সময় তাত্ক্ষণিক, পরিচালিত সুরক্ষা চান, WP‑Firewall এর ফ্রি বেসিক পরিকল্পনা আপনাকে বিনামূল্যে মৌলিক সুরক্ষা প্রদান করে: একটি টিউন করা WAF সহ পরিচালিত ফায়ারওয়াল, ট্রাফিক পরিদর্শনের জন্য সীমাহীন ব্যান্ডউইথ, একটি স্বয়ংক্রিয় ম্যালওয়্যার স্ক্যানার, এবং OWASP শীর্ষ ১০ ঝুঁকির জন্য মিটিগেশন যা এই ধরনের সংরক্ষিত XSS আক্রমণের প্রতি এক্সপোজার কমায়। আপনি দ্রুত সুরক্ষা সক্রিয় করতে পারেন এবং স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ, আইপি ব্ল্যাকলিস্ট/হোয়াইটলিস্ট নিয়ন্ত্রণ, দুর্বলতা ভার্চুয়াল প্যাচিং এবং মাসিক নিরাপত্তা রিপোর্টের জন্য উচ্চতর স্তর যোগ করতে পারেন।.

ফ্রি পরিকল্পনাটি অন্বেষণ করুন এবং এখানে শুরু করুন:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

পরিকল্পনার দ্রুত রেফারেন্স:

• বেসিক (ফ্রি): পরিচালিত ফায়ারওয়াল, অসীম ব্যান্ডউইথ, WAF, ম্যালওয়্যার স্ক্যানার, OWASP শীর্ষ 10 এর জন্য প্রশমন।.
• স্ট্যান্ডার্ড ($50/বছর): সমস্ত বেসিক প্লাস স্বয়ংক্রিয় ম্যালওয়্যার অপসারণ এবং আইপি ব্লকিং নিয়ন্ত্রণ (ব্ল্যাকলিস্ট/হোয়াইটলিস্ট ২০টি আইপি পর্যন্ত)।.
• প্রো ($299/বছর): সমস্ত স্ট্যান্ডার্ড প্লাস মাসিক নিরাপত্তা রিপোর্ট, স্বয়ংক্রিয় দুর্বলতা ভার্চুয়াল প্যাচিং, এবং প্রিমিয়াম অ্যাড-অন (নির্দিষ্ট অ্যাকাউন্ট ম্যানেজার, নিরাপত্তা অপ্টিমাইজেশন, WP সাপোর্ট টোকেন, পরিচালিত WP পরিষেবা, পরিচালিত নিরাপত্তা পরিষেবা)।.

আপনি যদি ট্রায়েজিং বা ভার্চুয়াল প্যাচ প্রয়োগ করতে সহায়তা চান, আমাদের সমর্থন দল দ্রুত WAF নিয়ম প্রয়োগ এবং পরবর্তী ঘটনা পুনরুদ্ধার পরিকল্পনায় সহায়তা করতে পারে।.

---

পরিশিষ্ট: নিরাপদ সনাক্তকরণ এবং WAF নিয়মের উদাহরণ (ধারণাগত)

এই স্নিপেটগুলি রক্ষকদের জন্য উদ্দেশ্যপ্রণোদিত। কখনও এগুলি ব্যবহার করে এক্সপ্লয়েট তৈরি করবেন না।.

1. সন্দেহজনক শর্টকোড ব্যবহারের জন্য WP‑CLI অনুসন্ধান:

# তালিকা পোস্ট আইডি যা ivysilani ধারণ করে

2. সন্দেহজনক প্রস্থ বৈশিষ্ট্য খুঁজতে SQL:

SELECT ID, post_title;

3. ধারণাগত WAF স্বাক্ষর (আপনার WAF GUI বা পরিচালিত নিয়ম ইঞ্জিন ব্যবহার করুন):

• নাম: ব্লক ivysilani শর্টকোড অ্যাট্রিবিউট XSS
• দিক: ইনবাউন্ড (POST কন্টেন্ট / রিকোয়েস্ট বডি)
• প্যাটার্ন (PCRE): /ivysilani[^\]]*প্রস্থ\s*=\s*["'][^"']*(?:|javascript:|onerror=|onload=)[^"']*["']/i
• কর্ম: ব্লক, লগ, নোটিফাই

4. একটি প্লাগইন/থিমে শর্টকোড অ্যাট্রিবিউট স্যানিটাইজ করুন:

function safe_ivysilani_atts( $atts ) {;

---

WP-Firewall টিমের চূড়ান্ত মতামত

স্টোরড XSS একটি সাধারণ এবং বিপজ্জনক দুর্বলতার শ্রেণী কারণ এটি সাইটটিকে ক্লায়েন্ট-সাইড এক্সপ্লয়েটের জন্য একটি বিতরণ যন্ত্রে পরিণত করে। যখন দুর্বলতাগুলি নিম্ন-অধিকারযুক্ত ব্যবহারকারীদের স্ক্রিপ্টযোগ্য ডেটা সংরক্ষণ করতে দেয়, তখন ঝুঁকি পরিবর্তিত হয়: সাইটের মালিকদের বিষয়বস্তু জমা দেওয়ার প্রবাহকে সম্ভাব্য ইনজেকশন পয়েন্ট হিসাবে বিবেচনা করতে হবে এবং গভীরতায় প্রতিরক্ষা প্রয়োগ করতে হবে।.

বাস্তবে এর মানে হল:

• বিক্রেতার প্যাচের জন্য অপেক্ষা করার সময় একটি WAF এর মাধ্যমে দ্রুত ভার্চুয়াল প্যাচিং।.
• ব্যবহারকারী ভূমিকার জন্য কঠোর সক্ষমতা ব্যবস্থাপনা।.
• শর্টকোড এবং রেন্ডারিং কোডে অ্যাট্রিবিউট যাচাইকরণ এবং আউটপুট এস্কেপিং।.
• ভাল ঘটনা প্রতিক্রিয়া নিয়ন্ত্রণ (ব্যাকআপ, স্ক্যান, পর্যালোচনা)।.
• পুনরাবৃত্ত প্রচেষ্টার জন্য চলমান পর্যবেক্ষণ।.

যদি আপনি এই গাইডের যেকোনো পদক্ষেপ বাস্তবায়নে সহায়তা প্রয়োজন — লক্ষ্যযুক্ত WAF নিয়ম প্রয়োগ করা থেকে শুরু করে শর্টকোডের জন্য নিরাপদ স্যানিটাইজার লেখা পর্যন্ত — WP‑Firewall টিম আপনাকে দ্রুত ত্রুটি নির্ধারণ এবং মেরামত করতে সহায়তা করতে পারে। আজই বিনামূল্যে বেসিক পরিকল্পনা সক্ষম করুন যাতে আপনার সাইটের সামনে তাত্ক্ষণিক পরিচালিত সুরক্ষা পাওয়া যায়: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

নিরাপদ থাকুন এবং পরিষ্কার ইনপুট, নিরাপদ আউটপুট এবং দ্রুত সনাক্তকরণকে অগ্রাধিকার দিন।.