ওয়ার্ডপ্রেস হ্যাকিংঃ অ্যাডমিনিস্ট্রেটরের পাসওয়ার্ড পরিবর্তন

তথ্য প্রযুক্তির উন্নতির সাথে পাল্লা দিয়ে বাড়ছে ওয়েবসাইটের ব্যবহার ও চাহিদা। আজকের ইন্টারনেটভিত্তিক বিশ্বে তথ্যের প্রধান উৎস হচ্ছে বিভিন্ন ওয়েবসাইট। অসংখ্য ওয়েবসাইট প্রতিনিয়ত বিভিন্ন তথ্য প্রদান করছে এবং একই সাথে ব্যবহারকারীর কাছ থেকেও তথ্য সংগ্রহ করছে।

বর্তমানে বিভিন্ন ধরনের ওয়েব অ্যাপ্লিকেশন সিস্টেম, ভারী ট্রাফিক ও ডেটা আদান-প্রদানের কারণে ওয়েবসাইটগুলোর দুর্বলতাগুলো ক্রমেই স্পষ্ট হয়ে উঠছে। ব্যক্তি থেকে শুরু করে ব্যবসা প্রতিষ্ঠান পর্যন্ত সকলের জন্যই এখন একটি ওয়েবসাইট অত্যাবশ্যকীয় হয়ে দাঁড়িয়েছে। অনেকেই ওয়েব ডিজাইনার বা ডেভেলপার না হওয়া সত্ত্বেও প্রযুক্তির উন্নত টুলস ব্যবহারের মাধ্যমে সহজেই ওয়েবসাইট তৈরি করতে পারছেন। এ প্রেক্ষাপটে আমরা আজ আলোচনা করবো একটি জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম ওয়ার্ডপ্রেস এর একটি গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা নিয়ে।

ওয়ার্ডপ্রেসঃ জনপ্রিয়তা ও সম্ভাবনা

ওয়ার্ডপ্রেস বর্তমানে বিশ্বের সবচেয়ে জনপ্রিয় ব্লগ পাবলিশিং এবং কন্টেন্ট ম্যানেজমেন্ট সিস্টেম। এটি একটি ওপেন সোর্স প্ল্যাটফর্ম যা পিএইচপি এবং মাইএসকিউএল ব্যবহার করে তৈরি। সবচেয়ে চমৎকার বিষয় হলো, ওয়ার্ডপ্রেস ব্যবহার করার জন্য আপনার প্রোগ্রামিং বা ওয়েব ডেভেলপমেন্ট সম্পর্কিত গভীর জ্ঞানের প্রয়োজন হয় না। আধুনিক ও সহজ ইন্টারফেসের মাধ্যমে অতি অল্প সময়ে একটি প্রফেশনাল মানের ওয়েবসাইট তৈরি করা সম্ভব।

ওয়ার্ডপ্রেসকে আরও কার্যকরী করে তোলে এর প্লাগইন সমর্থন। হাজার হাজার ফ্রি ও প্রিমিয়াম প্লাগইনের মাধ্যমে ওয়েবসাইটে যুক্ত করা যায় অতিরিক্ত ফিচার ও ফাংশনালিটি। এর মধ্যে অন্যতম জনপ্রিয় একটি প্লাগইন হলো এলিমেন্টর, যা একটি ভিজ্যুয়াল ওয়েবসাইট বিল্ডার হিসেবে পরিচিত। এলিমেন্টরের মাধ্যমে কোড ছাড়াই আকর্ষণীয় ডিজাইন ও লেআউট তৈরি করা যায়।

এলিমেন্টরঃ গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা

এলিমেন্টরের সহায়ক একটি জনপ্রিয় প্লাগইন হচ্ছে ইসসনশিয়াল অ্যাডঅনস। তবে সম্প্রতি এই প্লাগইনের ৫.৪.০ থেকে ৫.৭.১ পর্যন্ত ভার্সনে একটি গুরুতর নিরাপত্তা দুর্বলতা শনাক্ত হয়েছে। এই বাগটি একজন আক্রমণকারীকে ম্যালিসিয়াস রিকুয়েস্ট পাঠানোর মাধ্যমে ওয়েবসাইটের অ্যাডমিনিস্ট্রেটরদের পাসওয়ার্ড পরিবর্তন করার সুযোগ করে দেয়।

এই দুর্বলতা এক্সপ্লইট করে একজন অ্যাটাকার ওয়েবসাইটের এডমিন ইউজারনেম দেখতে পারে এবং তারপর বিভিন্ন পদ্ধতিতে অ্যাক্সেস নিতে পারে। যেহেতু এটি একটি হাই রিস্ক দূর্বলতা, তাই ওয়ার্ডপ্রেস ব্যবহারকারীদের প্রতি আমার দৃঢ় পরামর্শ থাকবে যদি আপনার ব্যবহার করা ইসসনশিয়াল অ্যাডঅনস প্লাগইনের ভার্সন ৫.৪.০ থেকে ৫.৭.১ এর মধ্যে হয়, তাহলে অবিলম্বে সেটি আপডেট করে নিন। এই দুর্বলতার প্যাচ ৫.৭.২ ভার্সনে প্রদান করা হয়েছে।

এক্সপ্লইটঃ নিরাপত্তা সচেতনতা ও ব্যক্তিগত পর্যায়ে পরীক্ষা

অ্যাটাক করার আগে জানিয়ে রাখছি যে, আমি ব্যক্তিগতভাবে লোকালহোস্টে ওয়ার্ডপ্রেস ইনস্টল করে উক্ত দূর্বল ভার্সনটি ব্যবহার করেছি। অনৈতিক ভাবে অনুমতি ছাড়া কারো ওয়েবসাইটে আমি ম্যালিসিয়াস রিকুয়েস্ট পাঠাচ্ছি না। যায় হোক, নিচের স্ক্রিনশট দেখুন। আমার হোস্ট করা সিএমএসে ম্যালিসিয়াস রিকুয়েস্ট পাঠানোর পর ওয়েবসাইটের অ্যাডমিনিস্ট্রেটরদের ইউজারনাম গুলো প্রদর্শন করছে।

মনে করুন, আমি iniridwanul নিজেই একজন ভিকটিম। ভিকটিম হিসাবে আমি আমার নিজের ইউজারনেম iniridwanul যেটা প্রথম নম্বরে রয়েছে সেটা সিলেক্ট করে নিচ্ছি। আর এটা সিলেক্ট করার সাথে সাথেই দেখুন আমার টার্মিনালে দেখাচ্ছে ম্যালিসিয়াস রিকুয়েস্ট পাঠানোর মাধ্যমে আমার এডমিন অ্যাকাউন্ট এর পাসওয়ার্ড পরিবর্তন করা হয়েছে।

গুগল ডর্ক

একটি গুগল ডর্ক প্রদান করছি

inurl:/wp-content/plugins/essential-addons-for-elementor-lite

এই ডর্কটি ব্যবহার করে গুগলে এমন সব ওয়েবসাইট খোঁজা যায়, যেগুলিতে ইসসনশিয়াল অ্যাডঅনস ফর এলিমেন্টর লাইট প্লাগইনের ফাইলগুলো প্রকাশ্যে রয়েছে। এই ধরনের তথ্য ব্যবহার করে একজন আক্রমণকারী নির্দিষ্ট প্লাগইন ইনস্টল করা ওয়েবসাইট শনাক্ত করতে পারবে।

সতর্কতাঃ এই লেখাটি সম্পূর্ণরূপে শিক্ষামূলক উদ্দেশ্যে প্রস্তুত করা হয়েছে। এখানে আলোচিত বিষয়গুলো যেনো কেউ অনৈতিকভাবে বা অবৈধ সাইবার আক্রমণের উদ্দেশ্যে ব্যবহার না করেন। আমি স্পষ্টভাবে জানিয়ে রাখছি, এই আর্টিকেলের কোনো তথ্য যদি কেউ অপব্যবহার করে বা বেআইনিভাবে কোনো সাইবার আক্রমণ চালায়, তাহলে তার জন্য আমি কোনো রকম ভাবেই দায়ী থাকবো না। সকলকে আইন মেনে চলার এবং নৈতিক হ্যাকিং চর্চার আহ্বান জানাচ্ছি।

আজকের আলোচনা এখানেই ইতি টানছি। সামনে আবার নতুন কোনো বিষয়ের আলোচনায় দেখা হবে। ততোক্ষণ পর্যন্ত নিজের যত্ন নিন, সুস্থ থাকুন, এবং ভেতর থেকে ভালো থাকুন।