तत्काल: CVE-2025-9618 — संबंधित पोस्ट लाइट में क्रॉस-साइट अनुरोध धोखाधड़ी (≤ 1.12)

सारांश: 29 अगस्त 2025 को संबंधित पोस्ट लाइट (संस्करण ≤ 1.12) वर्डप्रेस प्लगइन में एक क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) सुरक्षा दोष को सार्वजनिक रूप से उजागर किया गया और इसे CVE-2025-9618 सौंपा गया। CVSS स्कोर 4.3 (कम) है लेकिन यह दोष त्वरित ध्यान देने योग्य है क्योंकि यह एक हमलावर को एक प्रमाणित प्रशासनिक या विशेषाधिकार प्राप्त उपयोगकर्ता को अनपेक्षित क्रियाएँ करने के लिए मजबूर करने की अनुमति देता है।.

अवलोकन

यह सलाहकार सुरक्षा दोष को सरल भाषा में समझाता है, वर्डप्रेस साइटों के खिलाफ वास्तविक प्रभावों का वर्णन करता है, और तत्काल और दीर्घकालिक उपाय प्रदान करता है जिन्हें हांगकांग और अन्य स्थानों के साइट ऑपरेटरों को अब लागू करना चाहिए।.

नोट: यदि आपकी साइट संबंधित पोस्ट लाइट संस्करण 1.12 या उससे पहले चलाती है, तो कृपया उपाय और पहचान अनुभागों को ध्यान से पढ़ें और तुरंत कार्रवाई करें।.

CSRF क्या है (संक्षिप्त परिचय)

क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) एक प्रमाणित अंतिम उपयोगकर्ता को उस साइट पर अनुरोध प्रस्तुत करने के लिए धोखा देती है जहां वे लॉग इन हैं। ब्राउज़र स्वचालित रूप से सत्र कुकीज़ और अन्य क्रेडेंशियल्स शामिल करते हैं, इसलिए लक्षित साइट धोखाधड़ी किए गए अनुरोध को वैध मान सकती है। इस प्रकार के हमले को रोकने के लिए उचित सर्वर-साइड जांच की आवश्यकता होती है।.

वर्डप्रेस में, CSRF के खिलाफ रक्षा करें:

• स्थिति-परिवर्तनकारी क्रियाओं के लिए वर्डप्रेस नॉन्स (wp_create_nonce / wp_verify_nonce) का उपयोग करके।.
• current_user_can() के साथ उपयोगकर्ता क्षमताओं की पुष्टि करके।.
• केवल अविश्वसनीय अनुरोध पैरामीटर के आधार पर संवेदनशील संचालन से बचकर।.
• क्रियाओं को प्रमाणित, अधिकृत उपयोगकर्ताओं तक सीमित करके।.

संबंधित पोस्ट लाइट सुरक्षा दोष का सारांश

• प्रभावित सॉफ़्टवेयर: वर्डप्रेस के लिए संबंधित पोस्ट लाइट प्लगइन
• संवेदनशील संस्करण: ≤ 1.12
• कमजोरियों का प्रकार: क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF)
• CVE: CVE-2025-9618
• रिपोर्ट किया गया: 29 अगस्त 2025
• CVSS: 4.3 (कम)
• सार्वजनिक स्थिति: प्रकटीकरण के समय कोई आधिकारिक पैच उपलब्ध नहीं है

सलाहकार विवरण इंगित करते हैं कि प्लगइन में एक या अधिक HTTP एंडपॉइंट्स पर सुरक्षा की कमी या अपर्याप्त सुरक्षा है। एक दूरस्थ हमलावर एक ऐसा पृष्ठ तैयार कर सकता है जो एक प्रमाणित वर्डप्रेस उपयोगकर्ता को अनुरोध भेजने के लिए प्रेरित करता है जो प्लगइन द्वारा उजागर की गई क्रियाओं को ट्रिगर करता है।.

किसे जोखिम है?

• संबंधित पोस्ट लाइट ≤ 1.12 चलाने वाली साइटें।.
• साइटें जहां कम से कम एक विशेषाधिकार प्राप्त उपयोगकर्ता (प्रशासक, संपादक, या उच्च क्षमताओं वाला भूमिका) वर्डप्रेस में लॉग इन रहते हुए हमलावर-नियंत्रित पृष्ठों पर जा सकता है।.
• मल्टी-एडमिन वातावरण और प्रबंधित साइटें जहां स्टाफ प्रशासनिक डैशबोर्ड में लॉग इन रहते हुए वेब ब्राउज़ करते हैं।.

CSRF को लक्षित साइट पर हमलावर के प्रमाणित होने की आवश्यकता नहीं होती; यह आवश्यक है कि एक प्रमाणित उपयोगकर्ता हमलावर द्वारा नियंत्रित पृष्ठ पर जाए। यहां तक कि “कम” गंभीरता के मुद्दे अन्य कमजोरियों के साथ मिलकर प्रभाव को बढ़ा सकते हैं।.

संभावित वास्तविक दुनिया के प्रभाव

• यदि एक अप्रोटेक्टेड एंडपॉइंट कॉन्फ़िगरेशन अपडेट करता है तो प्लगइन सेटिंग्स को बदलना।.
• साइट पर दिखाई देने वाले संबंधित-पोस्ट सुविधाओं के व्यवहार को टॉगल करना।.
• क्रियाओं को ट्रिगर करना जो सामग्री को संशोधित करते हैं, पोस्ट बनाते हैं, विकल्प बदलते हैं, या डेटा को हटाते हैं - यह निर्भर करता है कि कौन से एंडपॉइंट्स प्रभावित हैं।.
• कमजोर जांचों के साथ अन्य कोड पथों तक पहुँचने के लिए प्लगइन एंडपॉइंट का उपयोग करना।.
• लॉग या प्रशासनिक स्क्रीन में शोर जो अन्य दुर्भावनापूर्ण गतिविधियों को छिपा सकता है।.

CSRF सामान्यतः सीधे डेटा को बाहर नहीं निकालता, लेकिन मजबूर ऑपरेशनों को अन्य मुद्दों के साथ मिलाकर स्थायीता या विशेषाधिकार वृद्धि को सुविधाजनक बना सकता है।.

क्यों यह कमजोरियों को “कम” रेट किया गया है - लेकिन फिर भी महत्वपूर्ण है

4.3 CVSS स्कोर सीमित तकनीकी गंभीरता को दर्शाता है: शोषण के लिए एक प्रमाणित विशेषाधिकार प्राप्त उपयोगकर्ता को धोखा देना आवश्यक है और उपलब्ध क्रियाएँ सीमित हो सकती हैं। फिर भी:

• कई साइटों में कई प्रशासक/संपादक होते हैं जो लॉग इन रहते हुए ब्राउज़ कर सकते हैं।.
• कम गंभीरता के मुद्दे स्वचालित करना आसान होते हैं और बड़े पैमाने पर हथियारबंद किए जा सकते हैं।.
• अभी तक कोई आधिकारिक प्लगइन फिक्स नहीं है - साइटें पैच होने तक उजागर रहती हैं।.

शोषण मॉडल (उच्च स्तर, गैर-कार्यात्मक)

1. हमलावर एक प्लगइन HTTP एंडपॉइंट की पहचान करता है जो एक स्थिति परिवर्तन करता है।.
2. हमलावर एक HTML फॉर्म या संसाधन तैयार करता है जो पीड़ित के ब्राउज़र को लक्षित साइट पर समान अनुरोध (कुकीज़ सहित) भेजने के लिए मजबूर करता है।.
3. एक प्रमाणित व्यवस्थापक हमलावर-नियंत्रित पृष्ठ पर लॉग इन रहते हुए जाता है।.
4. धोखा दिया गया अनुरोध प्रस्तुत किया जाता है और स्वीकार किया जाता है क्योंकि सर्वर में नॉनस/क्षमता सत्यापन की कमी होती है।.
5. हमलावर-नियंत्रित परिवर्तन प्रभावी होते हैं।.

यह सलाह जानबूझकर शोषण कोड को छोड़ देती है - लक्ष्य सूचित करना और रक्षा करना है, न कि दुरुपयोग को सक्षम करना।.

यह कैसे पता करें कि क्या आप लक्षित या समझौता किए गए थे

इन संकेतों की जांच करें:

• प्लगइन सेटिंग्स या संबंधित-पोस्ट व्यवहार में अप्रत्याशित परिवर्तन।.
• नए या परिवर्तित पोस्ट, विकल्प, या प्लगइन जिन्हें आपने अधिकृत नहीं किया।.
• लॉग में व्यवस्थापक क्रियाएँ जब व्यवस्थापक निष्क्रिय थे।.
• एक्सेस लॉग जो admin-ajax.php, admin-post.php, या प्लगइन एंडपॉइंट्स पर असामान्य संदर्भों के साथ POST या GET अनुरोध दिखाते हैं।.
• व्यवस्थापक संचालन के बाद अज्ञात डोमेन पर रीडायरेक्ट या आउटबाउंड कनेक्शन।.

पहचानने के चरण:

• बाहरी संदर्भों के साथ व्यवस्थापक एंडपॉइंट्स पर संदिग्ध अनुरोधों के लिए सर्वर और वर्डप्रेस लॉग की जांच करें।.
• प्लगइन फ़ाइलों में संशोधनों या अप्रत्याशित अपलोड के लिए फोरेंसिक और मैलवेयर स्कैन चलाएँ।.
• उपयोगकर्ता गतिविधि/इतिहास (यदि उपलब्ध हो) की जांच करें ताकि क्रियाओं को आईपी और समय-चिह्नों के साथ सहसंबंधित किया जा सके।.
• असामान्य क्रॉन नौकरियों, अज्ञात उपयोगकर्ताओं, या परिवर्तित भूमिकाओं/क्षमताओं की तलाश करें।.

तत्काल शमन जो आप अभी लागू कर सकते हैं

यदि आपकी साइट Related Posts Lite ≤ 1.12 चलाती है, तो एक आधिकारिक पैच उपलब्ध होने तक इन शमन को लागू करें:

1. प्लगइन का मूल्यांकन करें:
   • यदि गैर-आवश्यक है, तो तुरंत प्लगइन को निष्क्रिय और अनइंस्टॉल करें।.
   • यदि आवश्यक हो, तो नीचे दिए गए कंटेनमेंट कदमों के साथ आगे बढ़ें।.
2. प्रशासनिक एक्सपोजर को सीमित करें:
   • प्रशासकों और संपादकों से कहें कि जब वे सक्रिय रूप से सामग्री का प्रबंधन नहीं कर रहे हों तो लॉग आउट करें।.
   • जहां संभव हो, सभी प्रशासनिक खातों के लिए दो-कारक प्रमाणीकरण (2FA) लागू करें।.
3. wp-admin तक पहुंच को मजबूत करें:
   • जहां संभव हो, /wp-admin/ और /wp-login.php तक पहुंच को IP द्वारा प्रतिबंधित करें (विश्वसनीय IPs को अनुमति दें)।.
   • एक्सपोजर को कम करने के लिए wp-admin के सामने HTTP बेसिक प्रमाणीकरण जोड़ने पर विचार करें (अपने कार्यप्रवाहों के साथ संगतता सुनिश्चित करें)।.
4. अस्थायी रूप से किनारे पर ब्लॉकिंग नियम जोड़ें:

   संदिग्ध अनुरोधों को ब्लॉक करने के लिए एक प्रबंधित WAF या वर्चुअल पैचिंग नियम (यदि उपलब्ध हो) लागू करें जबकि एक विक्रेता पैच लंबित है। सुझाए गए चेक में उन प्लगइन एंडपॉइंट्स पर POST अनुरोधों को ब्लॉक करना शामिल है जिनमें अपेक्षित नॉन्स पैरामीटर नहीं हैं या जो बाहरी रेफरर्स से उत्पन्न होते हैं।.

5. विशेषाधिकार प्राप्त खातों को कम करें:
   • उपयोगकर्ता खातों की समीक्षा करें और उन उपयोगकर्ताओं से प्रशासनिक भूमिकाएँ वापस लें जिन्हें उनकी आवश्यकता नहीं है।.
6. निगरानी और बैकअप:
   • परिवर्तन करने से पहले एक ताजा बैकअप लें।.
   • लॉग और उपयोगकर्ता क्रियाओं की निगरानी बढ़ाएं; रोलबैक के लिए फ़ाइलों और डेटाबेस का स्नैपशॉट लें।.
7. स्टाफ के साथ संवाद करें:
   • प्रशासकों और संपादकों को समस्या के बारे में सूचित करें और उन्हें सलाह दें कि लॉग इन करते समय अज्ञात लिंक पर क्लिक करने या संदिग्ध साइटों पर जाने से बचें।.

अनुशंसित दीर्घकालिक सुधार (प्लगइन लेखकों और डेवलपर्स के लिए)

डेवलपर्स को निम्नलिखित लागू करना चाहिए:

• सभी राज्य-परिवर्तन करने वाले एंडपॉइंट्स पर नॉनसेस की पुष्टि wp_verify_nonce() का उपयोग करके करें और सुनिश्चित करें कि नॉनसेस क्रियाएँ/नाम उन नामों से मेल खाते हैं जो प्रशासनिक फॉर्म में बनाए गए हैं।.
• वर्तमान_user_can(‘manage_options’) या उपयुक्त क्षमताओं के साथ क्षमता जांच लागू करें।.
• बिना प्रमाणीकरण वाले AJAX एंडपॉइंट्स के माध्यम से संवेदनशील क्रियाओं को उजागर करने से बचें; विशेषाधिकार प्राप्त संचालन को सर्वर-साइड पर रखें और प्रमाणीकरण सत्रों तक सीमित रखें।.
• राज्य परिवर्तनों के लिए POST का उपयोग करें और इनपुट को सावधानीपूर्वक मान्य करें।.
• REST API मार्गों के लिए प्रमाणीकरण या नॉनसेस/क्षमता जांच की आवश्यकता है जो विशेषाधिकार प्राप्त क्रियाएँ करती हैं।.
• यूनिट और इंटीग्रेशन परीक्षण जोड़ें ताकि यह सुनिश्चित किया जा सके कि मार्ग वैध नॉनसेस या प्रमाणीकरण के बिना अनुरोधों को अस्वीकार करते हैं।.

उचित नॉनसेस + क्षमता जांच का उदाहरण

<?php

एक वेब एप्लिकेशन फ़ायरवॉल (WAF) आपको कैसे सुरक्षित कर सकता है

एक WAF एक रक्षात्मक परत प्रदान करता है जो आधिकारिक प्लगइन पैच की प्रतीक्षा करते समय वास्तविक समय में शोषण प्रयासों को रोक सकता है। CSRF से संबंधित लाभों में शामिल हैं:

• विशेषाधिकार प्राप्त प्लगइन एंडपॉइंट्स को लक्षित करने वाले जाली अनुरोधों को रोकना।.
• अपेक्षित नॉनसेस पैरामीटर गायब होने वाले अनुरोधों का पता लगाना और उन्हें एप्लिकेशन कोड तक पहुँचने से पहले रोकना।.
• स्वचालित शोषण प्रयासों को कम करने के लिए दर-सीमा लागू करना।.
• तेजी से आभासी पैच (एज नियम) प्रदान करना जो प्लगइन कोड को संशोधित किए बिना कमजोरियों को निष्क्रिय करते हैं।.

व्यावहारिक WAF नियम जांच (संकल्पनात्मक)

उदाहरण उच्च-स्तरीय जांच जो एक WAF कर सकता है:

• यदि एक अनुरोध admin-ajax.php, admin-post.php, या एक ज्ञात प्लगइन एंडपॉइंट को लक्षित करता है और:
• HTTP विधि POST (या अन्य राज्य-परिवर्तन करने वाली विधि) है और
• अपेक्षित wpnonce या प्लगइन नॉनसेस पैरामीटर गायब है या
• संदर्भ हेडर एक बाहरी डोमेन से है
• तो अनुरोध को रोकें या चुनौती दें (HTTP 403 या CAPTCHA) और विश्लेषण के लिए विवरण लॉग करें।.

वैध एकीकरण को अवरुद्ध करने से बचने के लिए परीक्षण नियमों को ध्यान से पढ़ें।.

उदाहरण WAF नियम लॉजिक (सैद्धांतिक)

• स्थिति:
  • अनुरोध पथ /wp-admin/admin-post.php से मेल खाता है या प्लगइन एंडपॉइंट पथ को शामिल करता है
  • और HTTP विधि POST है
  • और (गायब पैरामीटर “my_plugin_nonce” या wpnonce अनुपस्थित है)
  • और संदर्भ आपके साइट का नहीं है (वैकल्पिक)
• क्रिया:
  • अनुरोध को अवरुद्ध करें (HTTP 403) या चुनौती प्रस्तुत करें
  • जांच के लिए विवरण के साथ घटना को लॉग करें

साइट के मालिकों के लिए: चरण-दर-चरण चेकलिस्ट

1. प्लगइन और संस्करण की पुष्टि करें: डैशबोर्ड → प्लगइन्स → रिलेटेड पोस्ट्स लाइट → संस्करण की पुष्टि करें। यदि ≤ 1.12, आगे बढ़ें।.
2. यदि प्लगइन अनिवार्य नहीं है: इसे तुरंत निष्क्रिय और हटा दें।.
3. यदि प्लगइन आवश्यक है:
   • IP या HTTP बेसिक ऑथ द्वारा प्रशासनिक पहुंच को प्रतिबंधित करें।.
   • सभी प्रशासनिक उपयोगकर्ताओं के लिए 2FA सक्षम करें।.
   • प्रशासनिक उपयोगकर्ताओं से कहें कि जब वे काम नहीं कर रहे हों तो लॉग आउट करें और लॉग इन रहते हुए अज्ञात साइटों पर ब्राउज़ करने से बचें।.
   • एक प्रबंधित WAF या वर्चुअल पैचिंग लागू करें और प्लगइन एंडपॉइंट के लिए CSRF पैटर्न को अवरुद्ध करने के लिए एक आपातकालीन नियम का अनुरोध करें।.
   • साइट का बैकअप लें।.
4. संदिग्ध POST अनुरोधों और तेज़ परिवर्तनों के लिए लॉग की निगरानी करें।.
5. जब प्लगइन लेखक एक पैच जारी करता है जो nonce और क्षमता जांच को लागू करता है, तो तुरंत मान्य करें और अपडेट करें।.
6. घटना के बाद: एक पूर्ण मैलवेयर स्कैन चलाएं, महत्वपूर्ण फ़ाइलों और डेटाबेस सामग्री की अखंडता की पुष्टि करें, यदि संदिग्ध गतिविधि देखी जाती है तो व्यवस्थापक पासवर्ड और API कुंजियों को बदलें।.

झूठे सकारात्मक को कम करने के लिए पहचान को कैसे ट्यून करें

• वैध एंडपॉइंट्स की पहचान करें और उन एंडपॉइंट्स के लिए विश्वसनीय आईपी या सेवा उपयोगकर्ता-एजेंट को व्हाइटलिस्ट करें।.
• चयनात्मक ब्लॉकिंग का उपयोग करें: केवल बाहरी अनुरोधों को ब्लॉक करें जहां रेफरर आपका डोमेन नहीं है और नॉनस अनुपस्थित है।.
• एक चरणबद्ध दृष्टिकोण अपनाएं: पहले लॉग और मॉनिटर करें, फिर जब नियम सुरक्षित हों तो ब्लॉक करें।.
• डेवलपर्स के साथ समन्वय करें ताकि स्पष्ट नॉनस जांचें जोड़े जा सकें ताकि पैच के बाद एज नियमों को सुरक्षित रूप से ढीला किया जा सके।.

शोषण के संकेत और घटना के बाद की वसूली

यदि हमले की पुष्टि या संदेह है, तो ये कार्रवाई करें:

• तुरंत समझौता किए गए व्यवस्थापक क्रेडेंशियल्स को रद्द करें।.
• कॉन्फ़िगरेशन में संग्रहीत एपीआई कुंजी और गुप्त टोकन को घुमाएं।.
• यदि मुख्य फ़ाइलें संशोधित की गई हैं तो ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें।.
• बैकअप या विश्वसनीय स्रोतों के खिलाफ फ़ाइल अखंडता जांचें।.
• बैकडोर या वेबशेल के लिए स्कैन करें और उन्हें हटा दें।.
• यदि सर्वर-स्तरीय समझौता संदेह है तो अपने होस्टिंग प्रदाता से संपर्क करें।.
• गहरे या उत्पादन-क्रिटिकल समझौतों के लिए पेशेवर घटना प्रतिक्रिया पर विचार करें।.

अक्सर पूछे जाने वाले प्रश्न

प्रश्न: क्या मुझे घबराना चाहिए अगर मेरी साइट इस प्लगइन को दिखाती है?
उत्तर: नहीं। घबराना मददगार नहीं है। जल्दी और विधिपूर्वक कार्य करें: बैकअप लें, एक्सपोजर कम करें, प्लगइन को अक्षम करने या एज शमन लागू करने पर विचार करें, और निकटता से निगरानी करें।.

प्रश्न: क्या वर्डप्रेस कोर को अपडेट करना मदद करेगा?
उत्तर: कोर को अद्यतित रखना हमेशा अनुशंसित है, लेकिन यह एक प्लगइन भेद्यता है। जब आधिकारिक पैच उपलब्ध हो तो प्लगइन को अपडेट करें।.

प्रश्न: क्यों न बस ब्राउज़र में नॉनस पर निर्भर रहें?
उत्तर: नॉनस केवल तभी प्रभावी होते हैं जब सर्वर-साइड पर मान्य किए जाते हैं। यदि एक प्लगइन नॉनस उत्पन्न करता है लेकिन अनुरोध प्रसंस्करण पर उन्हें सत्यापित नहीं करता है, तो वे कोई सुरक्षा प्रदान नहीं करते।.

प्रश्न: क्या इसका उपयोग मैलवेयर इंजेक्ट करने के लिए किया जा सकता है?
उत्तर: CSRF आमतौर पर वैध क्रियाओं को मजबूर करता है बजाय सीधे फ़ाइलें अपलोड करने के। हालाँकि, मजबूर क्रियाओं को अन्य दोषों के साथ मिलाकर दुर्भावनापूर्ण घटक स्थापित किए जा सकते हैं - जोखिम को गंभीरता से लें।.

सक्रिय वर्चुअल पैचिंग क्यों महत्वपूर्ण है

विक्रेता पैच आदर्श होते हैं लेकिन हमेशा तुरंत नहीं होते। वर्चुअल पैचिंग (एक WAF द्वारा लागू किए गए किनारे के नियम) हमले की सतह को कम करके समय खरीदता है बिना प्लगइन कोड को संशोधित किए। वर्चुअल पैच को जल्दी लागू और हटाया जा सकता है और व्यावसायिक प्रभाव को कम करने के लिए समायोजित किया जा सकता है।.

अंतिम सिफारिशें (अगले 24–72 घंटे)

• तुरंत प्लगइन संस्करण की जांच करें। यदि संबंधित पोस्ट लाइट ≤ 1.12 है, तो इसे निष्क्रिय करने का निर्णय लें।.
• यदि निष्क्रिय करना संभव नहीं है: जोखिम को नियंत्रित करें - प्रशासनिक पहुंच को लॉक करें, 2FA सक्षम करें, प्रशासनिक खातों को छाँटें, और जहाँ उपलब्ध हो WAF/वर्चुअल पैचिंग लागू करें।.
• अपनी साइट का बैकअप लें, निगरानी बढ़ाएँ, और कर्मचारियों को शिक्षित करें कि लॉग इन करते समय अज्ञात साइटों पर न जाएँ।.
• जब आधिकारिक प्लगइन अपडेट जारी और मान्य किया जाए, तो तुरंत लागू करें।.

समापन विचार

CSRF कमजोरियों को अक्सर कम आंका जाता है क्योंकि उन्हें उपयोगकर्ता इंटरैक्शन की आवश्यकता होती है, लेकिन इन्हें बड़े पैमाने पर शोषण करना आसान होता है और मल्टी-एडमिन वातावरण में असामान्य संचालन प्रभाव हो सकता है। जब एक प्लगइन असुरक्षित स्थिति-परिवर्तन करने वाले एंडपॉइंट्स को उजागर करता है, तो रक्षा करें:

• त्वरित विक्रेता पैचिंग,
• मजबूत विकास प्रथाएँ (नॉनसेस + क्षमता जांच),
• परिधि पर रक्षात्मक उपाय (WAF / वर्चुअल पैचिंग),
• और बुनियादी स्वच्छता: 2FA, भूमिका छंटाई, बैकअप, और कर्मचारियों की जागरूकता।.

यदि आपको यहाँ सूचीबद्ध शमन लागू करने में सहायता की आवश्यकता है, तो अपनी आंतरिक सुरक्षा टीम, होस्टिंग प्रदाता, या एक विश्वसनीय घटना प्रतिक्रिया पेशेवर से परामर्श करें।.