Wednesday, May 18th, 2022

वर्डप्रेस भेद्यता रिपोर्ट: अगस्त 2021, भाग 2

वर्डप्रेस वेबसाइटों के हैक होने का # 1 कारण कमजोर प्लगइन्स और थीम हैं। WPScan द्वारा संचालित साप्ताहिक वर्डप्रेस भेद्यता रिपोर्ट हाल के वर्डप्रेस प्लगइन, थीम और मुख्य कमजोरियों को कवर करती है, और यदि आप अपनी वेबसाइट पर कमजोर प्लगइन्स या थीम में से एक चलाते हैं तो क्या करें।

प्रत्येक भेद्यता की गंभीरता रेटिंग होगी कम, मध्यम, उच्च, या गंभीर. जिम्मेदार प्रकटीकरण और कमजोरियों की रिपोर्टिंग वर्डप्रेस समुदाय को सुरक्षित रखने का एक अभिन्न अंग है।

अब तक की सबसे बड़ी वर्डप्रेस भेद्यता रिपोर्ट में से एक के रूप में, कृपया इस पोस्ट को अपने दोस्तों के साथ साझा करें ताकि शब्द को बाहर निकालने में मदद मिल सके और वर्डप्रेस को सभी के लिए सुरक्षित बनाया जा सके।

4 अगस्त, 2021 की रिपोर्ट की सामग्री

क्या आप चाहते हैं कि यह रिपोर्ट प्रत्येक सप्ताह आपके इनबॉक्स में पहुंचे?

वर्डप्रेस कोर कमजोरियां

1. साइटवाइड नोटिस WP

लगाना: साइटवाइड नोटिस WP
भेद्यता: प्रमाणित संग्रहीत XSS
संस्करण में पैच किया गया: 2.3
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 2.3 में अपडेट करना चाहिए।

2. व्यावसायिक घंटे संकेतक

लगाना: व्यावसायिक घंटे संकेतक
भेद्यता: प्रमाणित संग्रहीत XSS
संस्करण में पैच किया गया: 2.3.5
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको 2.3.5 संस्करण में अपडेट करना चाहिए।

3. बोल्ड पेज बिल्डर

लगाना: बोल्ड पेज बिल्डर
भेद्यता: पीएचपी वस्तु इंजेक्शन
संस्करण में पैच किया गया: 3.1.6
तीव्रता स्कोर: मध्यम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 3.1.6 में अपडेट करना चाहिए।

4. शेयरदिस डैशबोर्ड फॉर गूगल एनालिटिक्स

लगाना: Google Analytics के लिए यह डैशबोर्ड साझा करें
भेद्यता: परावर्तित क्रॉस-साइट स्क्रिप्टिंग (XSS)
संस्करण में पैच किया गया: २.५.२
तीव्रता स्कोर: उच्च

भेद्यता को पैच कर दिया गया है, इसलिए आपको 2.5.2 संस्करण में अपडेट करना चाहिए।

5. कहानी प्रमुख

लगाना: कहानी प्रमुख
भेद्यता: परावर्तित क्रॉस-साइट स्क्रिप्टिंग (XSS)
संस्करण में पैच किया गया: 1.0.31
तीव्रता स्कोर: उच्च

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 1.0.31 पर अपडेट करना चाहिए।

लगाना: कहानी प्रमुख
भेद्यता: प्रमाणीकृत संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS)
संस्करण में पैच किया गया: 1.0.31
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 1.0.31 पर अपडेट करना चाहिए।

6. डब्ल्यूपी एलएमएस

लगाना: डब्ल्यूपी एलएमएस
भेद्यता: अनधिकृत मनमाना उपयोगकर्ता फ़ील्ड संस्करण/निर्माण
संस्करण में पैच किया गया: 1.1.5
तीव्रता स्कोर: मध्यम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 1.1.5 में अपडेट करना चाहिए।

7. वीडीजेड गूगल एनालिटिक्स या गूगल टैग मैनेजर / जीटीएम

लगाना: VDZ Google Analytics या Google टैग प्रबंधक / GTM
भेद्यता: प्रमाणित संग्रहीत XSS
संस्करण में पैच किया गया: 1.6.0
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 11.6.0 में अपडेट करना चाहिए।

लगाना: VDZ Google Analytics या Google टैग प्रबंधक / GTM
भेद्यता: प्रमाणित संग्रहीत XSS
संस्करण में पैच किया गया: 1.4.9
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 11.6.0 में अपडेट करना चाहिए।

8. पका हुआ

लगाना: पकाया
भेद्यता: अनधिकृत प्रतिबिंबित क्रॉस-साइट स्क्रिप्टिंग (XSS)
संस्करण में पैच किया गया: 1.7.9.1
तीव्रता स्कोर: मध्यम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 1.7.9.1 में अपडेट करना चाहिए।

9. ईमेल एनकोडर – ईमेल पतों को सुरक्षित रखें

लगाना: ईमेल एनकोडर – ईमेल पतों को सुरक्षित रखें
भेद्यता: प्रतिबिंबित क्रॉस साइट स्क्रिप्टिंग
संस्करण में पैच किया गया: 2.1.2
तीव्रता स्कोर: मध्यम

भेद्यता को पैच कर दिया गया है, इसलिए आपको 2.1.2 संस्करण में अपडेट करना चाहिए।

10. एसएमएस अलर्ट ऑर्डर नोटिफिकेशन – WooCommerce

लगाना: एसएमएस अलर्ट आदेश सूचनाएं – WooCommerce
भेद्यता: प्रमाणित क्रॉस साइट स्क्रिप्टिंग
संस्करण में पैच किया गया: 3.4.7
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 3.4.7 में अपडेट करना चाहिए।

11. एचएम एकाधिक भूमिकाएं

लगाना: एचएम एकाधिक भूमिकाएं
भेद्यता: मनमाना भूमिका परिवर्तन
संस्करण में पैच किया गया: 1.3
तीव्रता स्कोर: गंभीर

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 1.3 में अपडेट करना चाहिए।

12. WP अनुकूलित लॉगिन

लगाना: WP अनुकूलित लॉगिन
भेद्यता: प्रमाणीकृत संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS)
संस्करण में पैच किया गया: कोई ज्ञात फिक्स नहीं
तीव्रता स्कोर: कम

इस भेद्यता को पैच नहीं किया गया है। पैच जारी होने तक प्लगइन को अनइंस्टॉल और डिलीट करें।

13. उपयोगकर्ता अधिकार पहुँच प्रबंधक

लगाना: उपयोगकर्ता अधिकार पहुँच प्रबंधक
भेद्यता: प्रवेश प्रतिबंध बाईपास
संस्करण में पैच किया गया: कोई ज्ञात फिक्स नहीं
तीव्रता स्कोर: मध्यम

इस भेद्यता को पैच नहीं किया गया है। पैच जारी होने तक प्लगइन को अनइंस्टॉल और डिलीट करें।

14. जियांगक्यू आधिकारिक वेबसाइट मिनी कार्यक्रम

लगाना: जियांगक्यू आधिकारिक वेबसाइट मिनी कार्यक्रम
भेद्यता: प्रमाणित SQL इंजेक्शन
संस्करण में पैच किया गया: 1.1.1
तीव्रता स्कोर: गंभीर

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 1.1.1 में अपडेट करना चाहिए।

15. वेलकार्ट ई-कॉमर्स

लगाना: वेलकार्ट ई-कॉमर्स
भेद्यता: अनधिकृत सूचना प्रकटीकरण
संस्करण में पैच किया गया: 2.2.8
तीव्रता स्कोर: उच्च

भेद्यता को पैच कर दिया गया है, इसलिए आपको 2.2.8 संस्करण में अपडेट करना चाहिए।

लगाना: वेलकार्ट ई-कॉमर्स
भेद्यता: प्रमाणित सिस्टम सूचना प्रकटीकरण
संस्करण में पैच किया गया: 2.2.8
तीव्रता स्कोर: मध्यम

भेद्यता को पैच कर दिया गया है, इसलिए आपको 2.2.8 संस्करण में अपडेट करना चाहिए।

16. हाइलाइट

लगाना: हाइलाइट
भेद्यता: प्रमाणीकृत संग्रहीत क्रॉस-साइट स्क्रिप्टिंग
संस्करण में पैच किया गया: 0.9.3
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 0.9.3 में अपडेट करना चाहिए।

लगाना: जीडीपीआर और सीसीपीए अनुपालन के लिए कुकी नोटिस और सहमति बैनर
भेद्यता: प्रमाणित संग्रहीत XSS
संस्करण में पैच किया गया: 1.7.2
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 1.7.2 में अपडेट करना चाहिए।

18. फली

लगाना: फली
भेद्यता: एकाधिक प्रमाणित संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS)
संस्करण में पैच किया गया: 2.7.29
तीव्रता स्कोर: कम

भेद्यता को पैच कर दिया गया है, इसलिए आपको संस्करण 2.7.29 में अपडेट करना चाहिए।

वर्डप्रेस थीम कमजोरियां

इस महीने कोई नई वर्डप्रेस थीम कमजोरियों का खुलासा नहीं किया गया है।

जिम्मेदार प्रकटीकरण पर एक नोट

आप सोच रहे होंगे कि एक भेद्यता का खुलासा क्यों किया जाएगा यदि यह हैकर्स को हमला करने के लिए एक शोषण देता है। ठीक है, एक सुरक्षा शोधकर्ता के लिए सॉफ़्टवेयर डेवलपर की भेद्यता को ढूंढना और निजी तौर पर रिपोर्ट करना बहुत आम है।

साथ जिम्मेदार प्रकटीकरण, शोधकर्ता की प्रारंभिक रिपोर्ट निजी तौर पर उस कंपनी के डेवलपर्स को दी जाती है जिसके पास सॉफ़्टवेयर होता है, लेकिन एक समझौते के साथ कि एक पैच उपलब्ध होने के बाद पूरा विवरण प्रकाशित किया जाएगा। महत्वपूर्ण सुरक्षा कमजोरियों के लिए, अधिक लोगों को पैच करने का समय देने के लिए भेद्यता का खुलासा करने में थोड़ा विलंब हो सकता है।

सुरक्षा शोधकर्ता सॉफ़्टवेयर डेवलपर को रिपोर्ट पर प्रतिक्रिया देने या पैच प्रदान करने के लिए एक समय सीमा प्रदान कर सकता है। यदि यह समय सीमा पूरी नहीं होती है, तो शोधकर्ता सार्वजनिक रूप से डेवलपर पर पैच जारी करने के लिए दबाव डालने की भेद्यता का खुलासा कर सकता है।

सार्वजनिक रूप से एक भेद्यता का खुलासा करना और प्रतीत होता है कि एक शून्य-दिवस भेद्यता का परिचय देना – एक प्रकार की भेद्यता जिसमें कोई पैच नहीं है और जंगली में इसका शोषण किया जा रहा है – उल्टा लग सकता है। लेकिन, यह एकमात्र उत्तोलन है जो एक शोधकर्ता को भेद्यता को ठीक करने के लिए डेवलपर पर दबाव डालना पड़ता है।

यदि कोई हैकर भेद्यता की खोज करता है, तो वे चुपचाप शोषण का उपयोग कर सकते हैं और अंतिम-उपयोगकर्ता (यह आप हैं) को नुकसान पहुंचा सकते हैं, जबकि सॉफ़्टवेयर डेवलपर भेद्यता को अप्रकाशित छोड़ने पर संतुष्ट रहता है। जब कमजोरियों का खुलासा करने की बात आती है तो Google के प्रोजेक्ट ज़ीरो में समान दिशानिर्देश होते हैं। वे भेद्यता का पूरा विवरण 90 दिनों के बाद प्रकाशित करते हैं कि भेद्यता को पैच किया गया है या नहीं।

अपनी वर्डप्रेस वेबसाइट को कमजोर प्लगइन्स और थीम से कैसे बचाएं

जैसा कि आप इस रिपोर्ट से देख सकते हैं, हर हफ्ते बहुत सारे नए वर्डप्रेस प्लगइन और थीम कमजोरियों का खुलासा किया जाता है। हम जानते हैं कि प्रत्येक रिपोर्ट की गई भेद्यता प्रकटीकरण के शीर्ष पर रहना मुश्किल हो सकता है, इसलिए iThemes Security Pro प्लगइन यह सुनिश्चित करना आसान बनाता है कि आपकी साइट एक ज्ञात भेद्यता के साथ थीम, प्लगइन या वर्डप्रेस कोर संस्करण नहीं चला रही है।

1. iThemes Security Pro साइट स्कैनर चालू करें

वर्डप्रेस साइट्स के हैक होने के #1 कारण के लिए iThemes Security Pro प्लगइन का साइट स्कैनर स्कैन करता है: पुराने प्लगइन्स और ज्ञात कमजोरियों के साथ थीम। साइट स्कैनर ज्ञात कमजोरियों के लिए आपकी साइट की जाँच करता है और यदि कोई उपलब्ध है तो स्वचालित रूप से एक पैच लागू करता है।

नए इंस्टॉल पर साइट स्कैन को सक्षम करने के लिए, प्लगइन के अंदर फीचर मेनू पर साइट चेक टैब पर नेविगेट करें और सक्षम करने के लिए टॉगल पर क्लिक करें साइट स्कैन.

इस छवि में एक खाली alt विशेषता है;  इसका फ़ाइल नाम है सक्षम-साइट-स्कैन-1-1024x519.png

मैन्युअल साइट स्कैन को ट्रिगर करने के लिए, क्लिक करें अब स्कैन करें साइट स्कैन सुरक्षा डैशबोर्ड कार्ड पर बटन।

इस छवि में एक खाली alt विशेषता है;  इसका फ़ाइल नाम साइट-स्कैन-सुरक्षा-कार्ड.png है

यदि साइट स्कैन एक भेद्यता का पता लगाता है, तो विवरण पृष्ठ देखने के लिए भेद्यता लिंक पर क्लिक करें।

इस छवि में एक खाली alt विशेषता है;  इसका फ़ाइल नाम भेद्यता-विवरण-पृष्ठ-1024x580.png है

साइट स्कैन भेद्यता पृष्ठ पर, आप देखेंगे कि भेद्यता के लिए कोई समाधान उपलब्ध है या नहीं। यदि कोई पैच उपलब्ध है, तो आप क्लिक कर सकते हैं प्लग इन को आधुनिक बनाओ अपनी वेबसाइट पर सुधार लागू करने के लिए बटन।

2. संस्करण प्रबंधन चालू करें

iThemes Security Pro में संस्करण प्रबंधन सुविधा आपकी साइट की सुरक्षा के लिए साइट स्कैन के साथ एकीकृत हो जाती है जब पुराना सॉफ़्टवेयर पर्याप्त रूप से पर्याप्त रूप से अपडेट नहीं होता है। यदि आप अपनी वेबसाइट पर असुरक्षित सॉफ़्टवेयर चला रहे हैं, तो भी सबसे मजबूत सुरक्षा उपाय विफल हो जाएंगे। यदि कोई ज्ञात भेद्यता मौजूद है और एक पैच उपलब्ध है, तो ये सेटिंग्स आपकी साइट को नए संस्करणों में स्वचालित रूप से अपडेट करने के विकल्पों के साथ सुरक्षित रखने में मदद करती हैं।

iThemes Security Pro में सेटिंग पेज से, फीचर स्क्रीन पर नेविगेट करें। साइट चेक टैब पर क्लिक करें। यहां से, संस्करण प्रबंधन को सक्षम करने के लिए टॉगल का उपयोग करें। सेटिंग्स गियर का उपयोग करके, आप और भी अधिक सेटिंग्स कॉन्फ़िगर कर सकते हैं, जिसमें आप चाहते हैं कि iThemes Security Pro वर्डप्रेस, प्लगइन्स, थीम और अतिरिक्त सुरक्षा के अपडेट को कैसे संभाले।

चयन करना सुनिश्चित करें ऑटो अपडेट अगर यह एक भेद्यता को ठीक करता है बॉक्स ताकि iThemes Security Pro साइट स्कैनर द्वारा पाई गई भेद्यता को ठीक करने पर प्लगइन या थीम को स्वचालित रूप से अपडेट कर देगा।

iThemes सुरक्षा प्रो संस्करण प्रबंधन

3. एक ईमेल अलर्ट प्राप्त करें जब iThemes Security Pro आपकी साइट पर एक ज्ञात भेद्यता पाता है

एक बार जब आप साइट स्कैन शेड्यूलिंग सक्षम कर लेते हैं, तो यहां जाएं अधिसूचना केंद्र प्लगइन की सेटिंग्स। इस स्क्रीन पर स्क्रॉल करें साइट स्कैन परिणाम अनुभाग।

इस छवि में एक खाली alt विशेषता है;  इसका फ़ाइल नाम साइट-स्कैन-परिणाम-1024x550.jpg है

अधिसूचना ईमेल को सक्षम करने के लिए बॉक्स पर क्लिक करें और फिर क्लिक करें सेटिंग्स सहेजें बटन.

अब, किसी भी अनुसूचित साइट स्कैन के दौरान, यदि iThemes Security Pro किसी ज्ञात भेद्यता का पता लगाता है, तो आपको एक ईमेल प्राप्त होगा। ईमेल कुछ इस तरह दिखेगा।

साइट-स्कैन-परिणाम

iThemes Security Pro प्राप्त करें और आज रात थोड़ा आराम करें

iThemes Security Pro, हमारा वर्डप्रेस सुरक्षा प्लगइन, आपकी वेबसाइट को सामान्य वर्डप्रेस सुरक्षा कमजोरियों से सुरक्षित और संरक्षित करने के लिए 50+ तरीके प्रदान करता है। वर्डप्रेस, टू-फैक्टर ऑथेंटिकेशन, ब्रूट फोर्स प्रोटेक्शन, मजबूत पासवर्ड प्रवर्तन, और बहुत कुछ के साथ, आप अपनी वेबसाइट पर सुरक्षा की एक अतिरिक्त परत जोड़ सकते हैं।

iThemes सुरक्षा प्रो प्राप्त करें

वर्डप्रेस भेद्यता रिपोर्ट

Source link