ওয়ার্ডপ্রেসের প্লাগ-ইনে ত্রুটি, তথ্য ফাঁসের ঝুঁকিতে ৯০ হাজারের বেশি ওয়েবসাইট

‘রিমোট কোড এক্সিকিউশন’ নিরাপত্তা ত্রুটির সমাধান করে সম্প্রতি ‘ওয়ার্ডপ্রেস ৬.৪.২’ সংস্করণ উন্মুক্ত করেছে ওয়েবসাইট তৈরির অন্যতম জনপ্রিয় মুক্ত কনটেন্ট ম্যানেজমেন্ট সিস্টেম (সিএমএস) ওয়ার্ডপ্রেস। কিন্তু নতুন সংস্করণ উন্মুক্তের পরপরই ওয়ার্ডপ্রেসের জনপ্রিয় একটি প্লাগইনে নতুন নিরাপত্তা ত্রুটির সন্ধান মিলেছে। ওয়ার্ডপ্রেস ব্যাকআপ মাইগ্রেশন নামের প্লাগইনে থাকা ত্রুটিটি কাজে লাগিয়ে দূর থেকে বিভিন্ন ওয়েবসাইট নিয়ন্ত্রণ করার পাশাপাশি তথ্য চুরি করা সম্ভব।

ওয়ার্ডপ্রেস ব্যাকআপ মাইগ্রেশন প্লাগইনে থাকা ত্রুটিটি শনাক্ত করেছেন নেক্স টিমের একদল গবেষক। ওয়ার্ডপ্রেসের নিরাপত্তা প্রতিষ্ঠান ওয়ার্ডফেন্সের ‘বাগ বাউন্টি’ কার্যক্রমে অংশ নিয়ে এ ত্রুটি শনাক্ত করেছেন তাঁরা। তাঁদের দাবি, ত্রুটিটি কাজে লাগিয়ে ভুয়া পিএইচপি কোড যুক্ত করে ওয়েবসাইট নিয়ন্ত্রণ করা সম্ভব। আর তাই ওয়ার্ডপ্রেস ব্যাকআপ মাইগ্রেশন প্লাগইনযুক্ত ৯০ হাজারের বেশি ওয়েবসাইটের তথ্য হ্যাকারদের কাছে প্রকাশ পেয়েছে বা প্রকাশের ঝুঁকিতে রয়েছে।  

নেক্স টিমের তথ্যমতে, সিভিই-২০২৩-৬৫৫৩ নামের এই নিরাপত্তা ত্রুটি খুবই ভয়ংকর। ক্ষতির মাত্রা বিবেচনায় এ ত্রুটিকে ১০ নম্বরের মধ্যে ৯ দশমিক ৮ হিসেবে বিবেচনা করা হচ্ছে। ওয়ার্ডপ্রেস ব্যাকআপ মাইগ্রেশন প্লাগইনের ‘১.৩.৭’ সংস্করণসহ আগের সব সংস্করণেই এ ত্রুটি পাওয়া গেছে।

নিরাপত্তা ত্রুটি শনাক্তের পর তড়িঘড়ি করে ওয়ার্ডপ্রেস ব্যাকআপ মাইগ্রেশন প্লাগইনের ‘১.৩.৮’ সংস্করণ উন্মুক্ত করেছে ওয়ার্ডপ্রেস কর্তৃপক্ষ। পুরোনো সংস্করণের প্লাগইনে নিরাপত্তা ত্রুটি থেকে যাওয়ায় ব্যবহারকারীদের দ্রুত হালনাগাদ সংস্করণের প্লাগইন ব্যবহারের পরামর্শ দিয়েছে তারা।

সূত্র: টাইমস অব ইন্ডিয়া