अवलोकन

WP वेबहुक्स वर्डप्रेस प्लगइन में एक महत्वपूर्ण अनधिकृत पथTraversal भेद्यता (CVE-2025-8895) का खुलासा किया गया है जो 3.3.5 तक के संस्करणों को प्रभावित करता है। एक हमलावर प्लगइन के अंदर एक फ़ाइल-हैंडलिंग एंडपॉइंट का दुरुपयोग करके वेब सर्वर से मनमाने फ़ाइलों की कॉपी कर सकता है। एक स्थिर संस्करण (3.3.6) उपलब्ध है। यदि आपकी साइट WP वेबहुक्स चला रही है और अपडेट नहीं हुई है, तो इसे आपातकाल के रूप में मानें — यह भेद्यता उच्च CVSS स्कोर रखती है और बड़े पैमाने पर हथियारबंद होने की संभावना है।.

यह सलाह — हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से लिखी गई — जोखिम का वर्णन करती है, हमलावर इसे उच्च स्तर पर कैसे दुरुपयोग कर सकते हैं, यह कैसे जांचें कि क्या आप प्रभावित हैं, आप तुरंत कौन से उपाय लागू कर सकते हैं, व्यावहारिक WAF/वर्चुअल-पैच उदाहरण, और दीर्घकालिक कठोरता के कदम।.

क्या हुआ (उच्च स्तर)

• WP वेबहुक्स के फ़ाइल कॉपी/पढ़ने के कोड पथ में एक पथTraversal बग मौजूद है।.
• संवेदनशील एंडपॉइंट को प्रमाणीकरण की आवश्यकता नहीं है, इसलिए दूरस्थ अनधिकृत अभिनेता निर्देशिकाTraversal अनुक्रमों (उदाहरण के लिए “../” पैटर्न) या एन्कोडेड समकक्षों का उपयोग करके शोषण का प्रयास कर सकते हैं।.
• सफल शोषण संवेदनशील सर्वर फ़ाइलों (wp-config.php, बैकअप, क्रेडेंशियल स्टोर्स) को पढ़ने या कॉपी करने की अनुमति दे सकता है और यदि रहस्य उजागर होते हैं तो पूर्ण साइट समझौता कर सकता है।.
• विक्रेता ने WP वेबहुक्स 3.3.6 में समस्या को ठीक किया। यदि संभव हो तो तुरंत अपडेट करें।.

आपको तुरंत कार्रवाई क्यों करनी चाहिए

• अनधिकृत: कोई लॉगिन आवश्यक नहीं — कोई भी दूरस्थ अभिनेता शोषण का प्रयास कर सकता है।.
• उच्च प्रभाव: संवेदनशील फ़ाइलें जैसे wp-config.php, निजी बैकअप, या वेब रूट में निजी कुंजी उजागर हो सकती हैं।.
• स्वचालित हमले: हमलावर तेजी से स्कैनर बनाते हैं ताकि कमजोर साइटों को खोजा जा सके और खोज के बाद पिवट किया जा सके।.
• पार्श्व खतरा: उजागर रहस्य डेटाबेस पहुंच, व्यवस्थापक अधिग्रहण, या स्थायी बैकडोर की ओर ले जा सकते हैं।.

त्वरित चेकलिस्ट — तात्कालिक क्रियाएँ (इन्हें अभी करें)

1. पहले प्राथमिकता के रूप में प्लगइन को संस्करण 3.3.6 या बाद के संस्करण में अपडेट करें।.
2. यदि आप तुरंत अपडेट नहीं कर सकते:
   • WP Webhooks प्लगइन को अस्थायी रूप से निष्क्रिय करें।.
   • सर्वर नियमों के माध्यम से प्लगइन के वेबहुक एंडपॉइंट्स तक पहुंच को ब्लॉक करें (नीचे उदाहरण)।.
   • ट्रैवर्सल-जैसी अनुरोधों को ब्लॉक करने के लिए WAF का उपयोग करके एक आभासी पैच लागू करें।.
3. समझौते के संकेतकों (IoCs) के लिए लॉग खोजें — पहचान अनुभाग देखें।.
4. किसी भी क्रेडेंशियल को घुमाएँ जो उजागर हो सकते हैं (डेटाबेस क्रेडेंशियल, API कुंजी)।.
5. यदि आप समझौता पहचानते हैं तो एक साफ बैकअप से पुनर्स्थापित करें।.
6. फ़ाइल अनुमतियों की समीक्षा करें और किसी भी अनधिकृत फ़ाइलों या वेबशेल को हटा दें।.
7. निरंतर निगरानी और सुरक्षा लॉगिंग सक्षम करें।.

यदि आप कई साइटों का प्रबंधन करते हैं, तो इसे एक वैश्विक आपातकाल के रूप में मानें और किसी भी साइट को प्राथमिकता दें जो WP Webhooks चला रही है, चाहे उसकी महत्वता कितनी भी हो।.

जोखिम को समझना: इस संदर्भ में पथ ट्रैवर्सल का क्या अर्थ है

पथ ट्रैवर्सल (डायरेक्टरी ट्रैवर्सल) तब होता है जब एक एप्लिकेशन क्लाइंट से फ़ाइल पथ इनपुट स्वीकार करता है और इसे उचित सत्यापन के बिना फ़ाइल सिस्टम तक पहुँचने के लिए उपयोग करता है। हमलावर “ ../ ” या एन्कोडेड समकक्ष जैसे अनुक्रमों का उपयोग करके फ़ाइल सिस्टम पदानुक्रम में ऊपर जाते हैं और इच्छित निर्देशिका के बाहर फ़ाइलों तक पहुँचते हैं।.

यहाँ, संवेदनशील एंडपॉइंट ने फ़ाइल पथ या फ़ाइल नाम पैरामीटर स्वीकार किए और लक्षित पथ या अनुरोधकर्ता की प्राधिकरण की पुष्टि किए बिना फ़ाइल-प्रतिलिपि या फ़ाइल-पढ़ने के संचालन की अनुमति दी। क्योंकि कोई प्रमाणीकरण आवश्यक नहीं है, दूरस्थ अभिनेता इच्छित निर्देशिकाओं के बाहर फ़ाइलों का अनुरोध कर सकते हैं।.

वर्डप्रेस होस्ट पर विशेष चिंता की फ़ाइलें शामिल हैं:

• wp-config.php (डेटाबेस क्रेडेंशियल और साल्ट)
• वेब रूट के तहत संग्रहीत बैकअप
• निजी कुंजी या क्रेडेंशियल जो गलती से वेब रूट में संग्रहीत हैं (.env, config.php)
• प्लगइन या थीम फ़ाइलें जिन्हें पेलोड्स डालने के लिए संशोधित किया जा सकता है
• आंतरिक रहस्यों को शामिल करने वाली लॉग फ़ाइलें

शोषण कैसा दिखता है (गैर-क्रियाशील, उच्च-स्तरीय)

सामान्य शोषण प्रवाह:

1. स्कैनर उन साइटों की तलाश करते हैं जो कमजोर एंडपॉइंट को उजागर करती हैं।.
2. वे निर्देशिका ट्रैवर्सल अनुक्रम या तैयार किए गए पथ पैरामीटर वाले अनुरोध जारी करते हैं ताकि प्लगइन को अनुमति प्राप्त निर्देशिकाओं के बाहर फ़ाइलों को कॉपी/पढ़ने के लिए मजबूर किया जा सके।.
3. यदि फ़ाइल लौटाई जाती है या कॉपी की जाती है, तो हमलावर इसे डाउनलोड करता है और रहस्यों के लिए इसकी जांच करता है।.
4. यदि रहस्य पाए जाते हैं, तो हमलावर पिवट करता है (जैसे, WP प्रशासन, डेटाबेस तक पहुँचने के लिए क्रेडेंशियल्स का उपयोग करना, या वेबशेल्स स्थापित करना)।.

यह सलाह जानबूझकर प्रमाण-की-धारणा शोषण पेलोड को छोड़ती है। नीचे हम रक्षा उपायों, पहचान और प्रतिक्रिया पर ध्यान केंद्रित करते हैं।.

कैसे जांचें कि आपकी साइट कमजोर है

1. पहचानें कि क्या WP वेबहुक्स स्थापित है:
   • वर्डप्रेस प्रशासन: प्लगइन्स → स्थापित प्लगइन्स — “WP वेबहुक्स” की तलाश करें।.
   • फ़ाइल प्रणाली: wp-content/plugins/wp-webhooks या समान फ़ोल्डर की जांच करें।.
2. प्लगइन संस्करण की जांच करें:
   • यदि संस्करण ≤ 3.3.5 है, तो यह कमजोर है।.
   • यदि संस्करण ≥ 3.3.6 है, तो एक विक्रेता सुधार उपलब्ध है और लागू किया गया है।.
3. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो स्रोत फ़ाइलों और दस्तावेज़ों की समीक्षा करके प्लगइन एंडपॉइंट्स का पता लगाएँ, और फिर उन पथों के लिए अनुरोधों के लिए लॉग की खोज करें।.
4. संदिग्ध गतिविधि के लिए लॉग की जांच करें:
   • Requests containing “../” or percent-encoded variants (“..%2F”).
   • उन एंडपॉइंट्स से अप्रत्याशित 200 प्रतिक्रियाएँ जो सामान्यतः अनधिकृत पहुँच को अस्वीकार करते हैं।.
   • उच्च मात्रा में अनुरोध या स्पष्ट स्कैनिंग उपयोगकर्ता-एजेंट।.
5. संदिग्ध फ़ाइलों के लिए फ़ाइल प्रणाली को स्कैन करें:
   • प्लगइन/थीम फ़ोल्डरों के बाहर नए PHP फ़ाइलें।.
   • हाल ही में संशोधित संवेदनशील फ़ाइलें।.
   • वेबशेल पैटर्न (PHP में base64 स्ट्रिंग, eval(), assert(), preg_replace के साथ /e)।.

समझौते के संकेत (IoC) जिन्हें देखना है

• प्लगइन एंडपॉइंट्स के लिए निर्देशिका यात्रा अनुक्रम दिखाने वाले एक्सेस लॉग।.
• wp-config.php या अन्य कॉन्फ़िग फ़ाइलों के अप्रत्याशित डाउनलोड या प्रतियां।.
• नए अज्ञात व्यवस्थापक उपयोगकर्ता।.
• wp-content/uploads, wp-includes, या साइट रूट में नए PHP फ़ाइलें।.
• वर्डप्रेस में संदिग्ध अनुसूचित घटनाएँ (क्रॉन)।.
• वेब सर्वर से असामान्य आउटबाउंड नेटवर्क कनेक्शन।.
• फ़ाइलों को छिपाने के लिए .htaccess या सर्वर कॉन्फ़िगरेशन में परिवर्तन।.

यदि इनमें से कोई भी मौजूद है, तो साइट को अलग करें, लॉग को सुरक्षित करें, और पूर्ण घटना प्रतिक्रिया चलाएँ।.

अनुशंसित तात्कालिक उपाय (विस्तृत)

1. प्लगइन को 3.3.6 पर अपडेट करें — सबसे विश्वसनीय समाधान। यदि संभव हो तो स्टेजिंग पर परीक्षण करें, लेकिन उच्च जोखिम वाली साइटों को प्राथमिकता दें।.
2. यदि अपडेट संभव नहीं है, तो प्लगइन को निष्क्रिय करें: वर्डप्रेस व्यवस्थापक → प्लगइन्स → निष्क्रिय करें।.
3. सर्वर-स्तरीय ब्लॉकिंग (अस्थायी): पथ द्वारा प्लगइन एंडपॉइंट्स तक पहुँच को अस्वीकार करें:

   Apache (.htaccess) उदाहरण:

   <IfModule mod_rewrite.c>
     RewriteEngine On
     RewriteCond %{REQUEST_URI} ^/wp-content/plugins/wp-webhooks/ [NC]
     RewriteRule .* - [F,L]
   </IfModule>

   Nginx उदाहरण:

   location ~* /wp-content/plugins/wp-webhooks/ {

   नोट: ये प्लगइन को पूरी तरह से ब्लॉक करते हैं और केवल आपातकालीन उपाय हैं।.

4. WAF/वर्चुअल पैच नियम लागू करें — ज्ञात प्लगइन पथों को लक्षित करने वाले निर्देशिका यात्रा पैटर्न वाले अनुरोधों को ब्लॉक करें (नीचे उदाहरण)।.
5. फ़ाइल अनुमतियों को मजबूत करें:
   • सुनिश्चित करें कि wp-config.php अन्य उपयोगकर्ताओं द्वारा वेब-पढ़ने योग्य नहीं है।.
   • बैकअप या कुंजियों को वेब रूट से हटा दें।.
   • निर्देशिकाओं के लिए 755 और फ़ाइलों के लिए 644 का उपयोग करें, न्यूनतम विशेषाधिकार लागू करें।.
6. रहस्यों की समीक्षा करें और उन्हें घुमाएं: यदि संवेदनशील फ़ाइलें उजागर हुई हैं, तो DB पासवर्ड, API कुंजियाँ घुमाएँ, और नमक अपडेट करें।.
7. पूर्ण मैलवेयर स्कैन और अखंडता जांच चलाएँ: कोर फ़ाइलों की तुलना साफ़ प्रतियों से करें और अनधिकृत फ़ाइलें हटा दें।.
8. लॉगिंग और मॉनिटरिंग बढ़ाएँ: पुनरावृत्त स्कैनिंग और शोषण प्रयासों पर नज़र रखें।.

WAF नियम और आभासी पैचिंग (व्यावहारिक उदाहरण)

नीचे WAFs के लिए उदाहरण पहचान और शमन नियम दिए गए हैं। ये सामान्य शोषण वेक्टर को ब्लॉक करने के लिए रक्षात्मक पैटर्न हैं। उत्पादन में लागू करने से पहले स्टेजिंग में समायोजित और परीक्षण करें।.

सामान्यTraversal ब्लॉक (mod_security / Apache)

SecRule REQUEST_URI|ARGS|REQUEST_HEADERS|REQUEST_BODY "@rx (\.\./|\.\.\\|%2e%2e%2f|%2e%2e\\)"
    "id:100001,phase:2,deny,log,status:403,msg:'Blocked directory traversal attempt',severity:2"

WP वेबहुक्स पथों को लक्षित करने वाले ट्रैवर्सल अनुरोधों को ब्लॉक करें

SecRule REQUEST_URI "@beginsWith /wp-content/plugins/wp-webhooks/"
    "chain,phase:2,deny,log,status:403,msg:'Blocked request to WP Webhooks plugin path'"
SecRule ARGS|REQUEST_BODY "@rx (\.\./|%2e%2e%2f)" "t:none"

Nginx उदाहरण

# Deny requests with ../ sequences in query or body
if ($request_uri ~* "\.\./|%2e%2e%2f") {
    return 403;
}
# Or restrict the plugin path
location ~* /wp-content/plugins/wp-webhooks/ {
    if ($args ~* "\.\./|%2e%2e%2f") { return 403; }
    return 403; # Emergency: block plugin entirely until patched
}

क्लाउड WAF लॉजिक (सामान्य)

अनुरोधों से मेल खाएं जहाँ:

• अनुरोध पथ में /wp-content/plugins/wp-webhooks/ शामिल है और
• कोई भी पैरामीटर ../ या एन्कोडेड रूपों को शामिल करता है

क्रिया: ब्लॉक करें या चुनौती (CAPTCHA) और विवरण लॉग करें।.

अनुशंसित दृष्टिकोण: पहले नियमों को मॉनिटर/लॉग-केवल मोड में लागू करें ताकि कोई झूठी सकारात्मकता न हो, फिर सत्यापन के बाद ब्लॉकिंग पर स्विच करें।.

पहचान व्यंजन — क्या मॉनिटर करना है

• एक्सेस लॉग — ट्रैवर्सल पेलोड के साथ प्लगइन पथों की खोज करें:

  grep -E "wp-content/plugins/wp-webhooks|wp-webhooks.php" access.log | grep -E "\.\./|%2e%2e%2f"

• त्रुटि लॉग — अप्रत्याशित फ़ाइल-पढ़ने की त्रुटियों या open_basedir चेतावनियों की तलाश करें।.
• WAF लॉग — अवरुद्ध प्रयासों और स्रोत IPs की समीक्षा करें; यदि केंद्रित हो तो अस्थायी भू-स्थान या ASN ब्लॉकिंग पर विचार करें।.
• फ़ाइल प्रणाली — हाल ही में बनाए गए या संशोधित PHP फ़ाइलों को खोजें:

  find . -type f -mtime -7 -name "*.php" -print

• डेटाबेस — हाल ही में जोड़े गए उपयोगकर्ताओं या बदले गए wp_options प्रविष्टियों की खोज करें जो बैकडोर का सुझाव देती हैं।.

घटना प्रतिक्रिया प्लेबुक (संक्षिप्त)

1. होस्ट को अलग करें: यदि समझौता संदेहास्पद है, तो नेटवर्क से अलग करें या रखरखाव मोड सक्षम करें।.
2. सबूत को संरक्षित करें: लॉग और फ़ाइल प्रणाली स्नैपशॉट की फोरेंसिक प्रतियां एकत्र करें (यदि संभव हो तो केवल पढ़ने के लिए)।.
3. दायरा पहचानें: निर्धारित करें कि होस्ट पर कौन से साइटें और सेवाएँ प्रभावित हैं।.
4. साइट को साफ करें: वेबशेल और अनधिकृत फ़ाइलें हटा दें; विश्वसनीय स्रोतों से कोर, प्लगइन्स और थीम को फिर से स्थापित करें।.
5. यदि आवश्यक हो तो बैकअप से पुनर्स्थापित करें: यदि आप सुनिश्चित नहीं हो सकते कि साइट साफ है, तो पूर्व-संक्रमण बैकअप से पुनर्स्थापित करें और फिर से खोलने से पहले इसे मजबूत करें।.
6. घटना के बाद: निगरानी में सुधार करें, मूल कारण विश्लेषण करें, और फ़ाइल अनुमतियों और प्लगइन नीतियों को कड़ा करें।.

भविष्य के जोखिम को कम करने के लिए हार्डनिंग सिफारिशें

• नियमित रूप से वर्डप्रेस कोर, थीम और प्लगइन्स को अपडेट रखें; जहां संभव हो, स्टेजिंग पर अपडेट का परीक्षण करें।.
• प्लगइन की संख्या को न्यूनतम करें - प्रत्येक प्लगइन हमले की सतह को बढ़ाता है।.
• बैकअप या संवेदनशील क्रेडेंशियल्स को वेब रूट में स्टोर करने से बचें।.
• फ़ाइल सिस्टम और डेटाबेस एक्सेस के लिए न्यूनतम विशेषाधिकार का उपयोग करें।.
• जहां आवश्यक हो, वर्चुअल पैचिंग सक्षम करने के लिए WAF या समकक्ष परिधीय नियंत्रण लागू करें।.
• सभी व्यवस्थापक उपयोगकर्ताओं के लिए दो-कारक प्रमाणीकरण (2FA) लागू करें।.
• समर्पित व्यवस्थापक खातों का उपयोग करें और क्रेडेंशियल पुन: उपयोग से बचें।.
• विक्रेता सुरक्षा प्रथाओं का नियमित रूप से ऑडिट करें और अपडेट की आवृत्ति को अपडेट करें।.

पहचान और सुधार चेकलिस्ट (प्रिंट करने योग्य)

• WP वेबहुक्स संस्करण की पुष्टि करें। यदि ≤ 3.3.5 है, तो इसे संवेदनशील के रूप में चिह्नित करें।.
• WP वेबहुक्स को 3.3.6 या बाद के संस्करण में अपडेट करें (उच्चतम प्राथमिकता)।.
• यदि अपडेट असंभव है, तो प्लगइन को निष्क्रिय करें या सर्वर-स्तरीय ब्लॉक लागू करें।.
• निर्देशिका यात्रा पैटर्न को ब्लॉक करने के लिए WAF नियम लागू करें।.
• Search access logs for traversal attempts (../, %2e%2e%2f).
• नए/संशोधित फ़ाइलों और अज्ञात व्यवस्थापक उपयोगकर्ताओं की जांच करें।.
• यदि संवेदनशील फ़ाइलें उजागर हो सकती हैं, तो DB क्रेडेंशियल्स और किसी भी API कुंजी को घुमाएँ।.
• पूर्ण मैलवेयर स्कैन और साइट अखंडता जांच चलाएँ।.
• यदि समझौता मौजूद है तो साफ़ बैकअप से पुनर्स्थापित करें।.
• फ़ाइल अनुमतियों को सख्त करें और बैकअप को वेब रूट से बाहर ले जाएं।.

WAF और वर्चुअल पैचिंग क्यों महत्वपूर्ण हैं

जब गंभीर, अनधिकृत कमजोरियाँ व्यापक रूप से उपयोग किए जाने वाले प्लगइन्स को प्रभावित करती हैं, तो कई साइटें तुरंत पैच नहीं कर सकतीं क्योंकि संगतता परीक्षण, रखरखाव विंडो, या मल्टी-साइट प्रतिबंध होते हैं। एक सही तरीके से कॉन्फ़िगर किया गया WAF पैच लागू होने से पहले शोषण के प्रयासों को रोकने के लिए इनलाइन सुरक्षा प्रदान कर सकता है। वर्चुअल पैचिंग आधिकारिक सुधार को सुरक्षित रूप से लागू करने के लिए महत्वपूर्ण समय खरीदती है।.

परिधीय सुरक्षा के लाभ:

• किनारे पर अनधिकृत स्कैनिंग और शोषण को रोकता है।.
• स्वचालित मास-स्कैनर्स को एप्लिकेशन लॉजिक तक पहुँचने से रोकता है।.
• प्रतिक्रिया और श्रेय के लिए उपयोगी लॉगिंग प्रदान करता है।.

सामान्य प्रश्न

प्रश्न: मैंने 3.3.6 में अपडेट किया — क्या मुझे अभी भी कुछ करना है?

उत्तर: हाँ। अपडेटिंग स्रोत पर कमजोरियों को हटा देता है, लेकिन आपको पहले के शोषण के लिए लॉग की जांच करनी चाहिए, यह सुनिश्चित करना चाहिए कि कोई अनधिकृत फ़ाइलें या उपयोगकर्ता मौजूद नहीं हैं, और यदि संवेदनशील फ़ाइलें उजागर हो गई हैं तो क्रेडेंशियल्स को घुमाना चाहिए।.

प्रश्न: मैंने प्लगइन को निष्क्रिय कर दिया — क्या मेरी साइट सुरक्षित है?

उत्तर: निष्क्रियता कमजोर कोड पथ के आगे के उपयोग को रोकती है। हालाँकि, यदि पहले शोषण हुआ था, तो सुनिश्चित करने के लिए घटना प्रतिक्रिया चरणों का पालन करें कि कोई स्थायी बैकडोर नहीं हैं।.

प्रश्न: क्या WAF इसे बिना डाउनटाइम के रोक सकता है?

उत्तर: हाँ। प्रारंभ में निगरानी मोड में नियम लागू करें और फिर यह सुनिश्चित करने के बाद ब्लॉकिंग पर जाएं कि कोई झूठे सकारात्मक नहीं हैं ताकि अनपेक्षित डाउनटाइम से बचा जा सके।.

प्रश्न: क्या मुझे प्लगइन को पूरी तरह से हटाना चाहिए?

उत्तर: यदि आपको प्लगइन की आवश्यकता नहीं है, तो इसे हटाना हमले की सतह को कम करता है। यदि आप इसकी सुविधाओं पर निर्भर हैं, तो पैच किए गए संस्करण में अपडेट करें और ऊपर दिए गए सख्ती के उपाय लागू करें।.

समापन — हांगकांग के सुरक्षा विशेषज्ञों से व्यावहारिक नोट्स

यह कमजोरी दिखाती है कि प्लगइन स्वच्छता और स्तरित रक्षा हर वर्डप्रेस तैनाती के लिए क्यों महत्वपूर्ण हैं। सुधार मौजूद हैं, लेकिन हमलावर अनपैच किए गए इंस्टॉलेशन को स्कैन और शोषण करना जारी रखेंगे। WP वेबहुक्स और किसी भी अन्य प्लगइन के लिए महत्वपूर्ण अनधिकृत मुद्दों की जांच को प्राथमिकता दें।.

कार्रवाई का सारांश:

• यदि आप कर सकते हैं तो पैच करें।.
• यदि नहीं, तो निष्क्रिय करें, ब्लॉक करें, या वर्चुअल-पैच करें।.
• लॉग की निगरानी करें, समझौते के लिए स्कैन करें, और आवश्यकतानुसार रहस्यों को घुमाएँ।.

यदि आपको हाथों-हाथ सहायता की आवश्यकता है, तो एक विश्वसनीय सुरक्षा पेशेवर या घटना प्रतिक्रिया करने वाले को शामिल करें जो वर्डप्रेस अनुभव रखता हो। त्वरित नियंत्रण और एक व्यवस्थित प्रतिक्रिया क्षति को कम करने के लिए आवश्यक हैं।.