ইমেল ডেটা লিক হওয়ার আশঙ্কা দেখা দিয়েছে বিশ্বজুড়ে ৪ লক্ষেরও বেশি WordPress সাইটে, আর এর পিছনে রয়েছে Post SMTP Mailer নামে একটি জনপ্রিয় প্লাগইনের মারাত্মক দুর্বলতা।
এই বিপজ্জনক নিরাপত্তাজনিত সমস্যা প্রথম ধরতে পারে সাইবার নিরাপত্তা সংস্থা Patchstack, যারা মূলত WordPress প্ল্যাটফর্মের দুর্বলতাগুলি চিহ্নিত করে থাকে। সংস্থার রিপোর্ট অনুযায়ী, ৩.২.০ ভার্সনের আগের সমস্ত Post SMTP Mailer প্লাগইনে এমন একটি ত্রুটি রয়েছে, যার ফলে যেকোনো অননুমোদিত ব্যক্তি প্লাগইনের ইমেইল লগ এবং কনফিগারেশন সেটিংস দেখতে এবং প্রয়োজনে পরিবর্তন করতেও পারে।
সবচেয়ে উদ্বেগের বিষয় হল, এই ত্রুটি হ্যাকারদের অ্যাডমিন অ্যাক্সেস পর্যন্ত দিতে পারে, অর্থাৎ সম্পূর্ণ ওয়েবসাইটটি হ্যাক হয়ে যাওয়ার সম্ভাবনা থাকে।
কোথা থেকে এই সমস্যা শুরু?
এই দুর্বলতার মূল কারণ হল, প্লাগইনের REST API endpoint-গুলিতে Access Control ও Nonce Validation-এর ঘাটতি। ফলে, লগ-ইন না করেই কেউ প্লাগইনের গুরুত্বপূর্ণ ফিচার যেমন ইমেইল লগ দেখা বা সেটিংস পরিবর্তন করা—এইসব করতে পারছে।
সমাধান কী?
Post SMTP প্লাগইনের ডেভেলপার ইয়েহুদা হাসান ইতিমধ্যেই ২.৮.৮ ভার্সনে এই সমস্যা ঠিক করে দিয়েছেন। তবে সংস্থাটি আরও একধাপ এগিয়ে গিয়ে ৩.৩.০ বা তার পরবর্তী ভার্সনে আপগ্রেড করার পরামর্শ দিচ্ছে, যাতে নিরাপত্তা আরও মজবুত থাকে।
এখন কী করণীয়?
যারা WordPress সাইটে Post SMTP Mailer প্লাগইন ব্যবহার করছেন, তাদের জন্য জরুরি পদক্ষেপ:
- এখনই প্লাগইনটি আপডেট করে ৩.৩.০ বা তার ওপরের ভার্সানে নিয়ে যান
- ইমেল লগ ও REST API-র পারমিশন সেটিংস চেক করে নিন
- সাইটে কে কি অ্যাক্সেস পাচ্ছে, তা নতুন করে রিভিউ করুন
একটা ছোট প্লাগইন কিন্তু লাখ লাখ সাইটকে সমস্যার মুখে ফেলতে পারে — এবার হয়তো তার বাস্তব প্রমাণ মিলল। যারা WordPress ব্যবহার করছেন, তাদের অবশ্যই সচেতন থাকা প্রয়োজন।