प्लगइन बग के कारण 2 लाख से अधिक वर्डप्रेस वेबसाइटें हैकिंग की चपेट में

2 लाख से अधिक वर्डप्रेस वेबसाइटें एक गंभीर अप्रकाशित सुरक्षा भेद्यता के कारण हैकिंग के खतरे में हैं, जिसका दुर्भावनापूर्ण अभिनेताओं द्वारा सक्रिय रूप से शोषण किया जा रहा था।

वर्डप्रेस सुरक्षा फर्म WPScan के अनुसार, बग अल्टीमेट मेंबर प्लगइन में मौजूद है, जो एक मुफ्त उपयोगकर्ता प्रोफ़ाइल वर्डप्रेस प्लगइन है जो वर्डप्रेस के साथ शक्तिशाली ऑनलाइन समुदाय और सदस्यता साइट बनाना आसान बनाता है।

सुरक्षा फर्म ने चेतावनी दी, "यह एक बहुत ही गंभीर मुद्दा है क्योंकि अप्रमाणित हमलावर प्रशासनिक विशेषाधिकारों के साथ नए उपयोगकर्ता खाते बनाने के लिए इस भेद्यता का फायदा उठा सकते हैं, जिससे उन्हें प्रभावित साइटों पर पूर्ण नियंत्रण लेने की शक्ति मिलती है।"

फर्म ने कहा, "इस मुद्दे का कोई पूर्ण समाधान नहीं था" और चिंता की बात यह है कि, "ऐसे संकेत थे कि दुर्भावनापूर्ण अभिनेताओं द्वारा इस मुद्दे का सक्रिय रूप से फायदा उठाया जा रहा था।"

भेद्यता रिपोर्ट के जवाब में, प्लगइन के रचनाकारों ने समस्या को ठीक करने के इरादे से तुरंत एक नया संस्करण, 2.6.4 जारी किया।

"हालांकि, इस अद्यतन की जांच करने पर, हमें प्रस्तावित पैच को दरकिनार करने के लिए कई तरीके मिले, जिसका अर्थ है कि समस्या अभी भी पूरी तरह से शोषण योग्य है," WPScan टीम ने नोट किया।

प्लगइन उपयोगकर्ता मेटाडेटा कुंजियों की पूर्व-निर्धारित सूची का उपयोग करके संचालित होता है, जिसमें उपयोगकर्ताओं को हेरफेर नहीं करना चाहिए।

यह इस सूची का उपयोग यह जांचने के लिए करता है कि क्या उपयोगकर्ता खाता बनाते समय इन कुंजियों को पंजीकृत करने का प्रयास कर रहे हैं।

टीम ने कहा, "दुर्भाग्य से, अल्टिमेट मेंबर के ब्लॉकलिस्ट तर्क और वर्डप्रेस मेटाडेटा कुंजियों के साथ कैसे व्यवहार करता है, इसमें अंतर ने हमलावरों के लिए प्लगइन को कुछ ऐसे अपडेट करने के लिए धोखा देना संभव बना दिया, जो इसे नहीं करना चाहिए था।"

सुरक्षा शोधकर्ता सलाह देते हैं कि उपयोगकर्ताओं को अल्टीमेट मेंबर प्लगइन को तब तक अक्षम कर देना चाहिए जब तक कि इस सुरक्षा समस्या को पूरी तरह से ठीक करने वाला कोई पैच उपलब्ध न हो जाए।

WP.cloud होस्ट पर साइटें, जैसे कि WordPress.com और Pressable.com, को भेद्यता को कम करने में मदद के लिए एक प्लेटफ़ॉर्म-स्तरीय पैच प्राप्त हुआ है।