প্রিয় পাঠক,
আপনার উপর শান্তি বর্ষিত হোক। সুস্বাগত জানাচ্ছি আজকের প্রসঙ্গে। যতোসময় যাচ্ছে ততোই সময়ের সাথে সাথে প্রযুক্তি দুনিয়াতে ঘটছে পরিবর্তন, আর সেই পরিবর্তন থেকে জ্ঞান আহরণ করেই আমাদের সামনে এগিয়ে যেতে হবে, যদি এই প্রযুক্তির দুনিয়াতে আমরা টিকে থাকতে চাই তাহলে জেনে নিতে হবে প্রযুক্তি দুনিয়াতে সুরক্ষিত থাকার কৌশল গুলোও, আজকে আমাদের প্রসঙ্গ হলো ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাকিং সম্পর্কে।
তথ্য প্রযুক্তির উন্নতির সাথে সাথে বাড়ছে Websites এর চাহিদা, Internet বিশ্ব এতো তথ্য পাচ্ছে কম – বেশী Websites থেকেই। Internet এ অগণিত ওয়েবসাইট রয়েছে এবং এই সকল ওয়েবসাইট বিভিন্ন ধরনের তথ্য দিয়ে থাকে এবং ব্যবহারকারীর থেকে তথ্য নিয়েও থাকে।
আর যখন অনেক Web Application System, অনেক Traffic আর তখনই সবচেয়ে বেশী প্রকাশ পেতে থাকে দূর্বলতা। ব্যবসা থেকে শুরু করে সব রকম পেশার জন্যই আজকাল ওয়েবসাইট রয়েছে অহরহ, বিভিন্ন প্রতিষ্ঠান বা ব্যক্তি তৈরি করছে তার ব্যক্তিগত ওয়েবসাইট। এর ভেতর অনেকেই Web Designer না অথবা Web Developer ও না তবুও প্রযুক্তির উন্নত Tools ব্যবহার করে তৈরি করতে পারছে ওয়েবসাইট, আজকে আমরা তেমনই একটা Content Management System (CMS) এর দূর্বলতা নিয়ে আলোচনা করবো।
আপনি যদি অনুমান করে থাকেন যে আমি WordPress নিয়ে কথা বলতে চলেছি, তবে হ্যাঁ আপনি সঠিক অনুমান করেছেন। WordPress হচ্ছে বর্তমানে সর্বাধিক জনপ্রিয় ব্লগ পাবলিশিং অ্যাপলিকেশনস এবং শক্তিশালী কন্টেন্ট ম্যানেজমেন্ট সিস্টেম। সবথেকে অসাধারণ বিষয় হচ্ছে WordPress Open Source যা পিএইচপি এবং মাইএসকিউএল দ্বারা তৈরিকৃত। যেমনটা আমি আগেই বলেছি যে অনেকেই Web Designer না অথবা Web Developer ও না তবুও প্রযুক্তির উন্নত Tools ব্যবহার করে তৈরি করতে পারছে ওয়েবসাইট তেমনি ওয়ার্ডপ্রেস ও একটি শক্তিশালী Tool, যার দ্বারা কোনো প্রকার পিএইচপি, মাইএসকিউএল বা এইচটিএমএল জ্ঞান ছাড়াই একটি প্রোফেশনাল মানের ওয়েবসাইট তৈরি করা সম্ভব।
এই WordPress যেমন শক্তিশালী একটা Tool, যা দ্বারা কোনো প্রকার পিএইচপি, মাইএসকিউএল বা এইচটিএমএল জ্ঞান ছাড়াই একটি প্রোফেশনাল মানের ওয়েবসাইট তৈরি করা সম্ভব। তেমনি রয়েছে WordPress এর Plugins Support, এই Plugins এর মাধ্যমে WordPress দ্বারা তৈরিকৃত Website এ আরও Features বা বিভিন্ন ভাবে উন্নত করা সম্ভব। WordPress এর Plugins নিয়ে কথা বললে তাদের ভেতর Elementor এর ও নাম চলে আসে, এলিমেন্টর হলো ওয়ার্ডপ্রেসের জন্য নেতৃস্থানীয় ওয়েবসাইট বিল্ডিং প্ল্যাটফর্ম, Visual Builder এর সাথে নিখুঁত ভাবে Websites তৈরি করতে সাহায্য করে এই Plugin, আর এই এলিমেন্টরের সহায়ক Essential Addons Plugin এ রয়েছে ভয়াবহ Bug, যা Attacker কে Malicious Request Send করার অনুমতি দিয়ে থাকে, যেকেনো Administrators এর Password Change করে নেওয়া সম্ভব। এই দূর্বলতা রয়েছে 5.4.0 থেকে 5.7.1 পর্যন্ত, Strongly recommend করছি যাদের Update নেয় দ্রুত Update করে নিন, 5.7.2 Version এ Vulnerability Patch করা হয়েছে। আমি Localhost এ WordPress Install করেছি এবং Vulnerable Version ও Active করে নিয়েছি, এখন Malicious Request দেওয়ার মাধ্যমে Administrators Account গুলোর Username Display করছে।
Victim হিসাবে আমি আমার নিজের Username যেটা iniridwanul কে Select করে নিচ্ছি, দেখুন Password Reset হয়ে গিয়েছে।
Dork
- inurl:/wp-content/plugins/essential-addons-for-elementor-lite
সতর্কতাঃ অনৈতিক Hacking বা অবৈধ Hacker এর পক্ষে আমার Article না, সম্পূর্ণ শিক্ষার উদ্দেশ্য এই লেখা, যদি কেউ এই Article পড়ে অবৈধ Cyber Attack করে তাহলে এটার জন্য আমি কোনোভাবেই দায়ী না।
Connection
আজ আমাদের প্রসঙ্গের ইতি এইখানেই টানছি, নতুন কোনো প্রসঙ্গ নিয়ে আবার দেখা হবে। ততোসময় ভেতর থেকে ভালো থাকুন, সুস্থ থাকুন।
যদি থাকে তাহলে অবশ্যই কাজ করবে, আর কোনো সমস্যা হলে দয়া করে Screenshot দিন, আমি সাহায্য করবো No worry <3
GitHub এ যে Exploit টি আছে সেটার Bug Fix করা হয়েছে, সেটা ব্যবহার করতে পারেন এখন।