Summary: A broken access control vulnerability (CVE-2026-3506) affecting WP-Chatbot for Messenger (versions <= 4.9) allows unauthenticated attackers to change chatbot configuration. The immediate risk to a site is low (CVSS 5.4) but the real-world consequences — stolen messaging credentials, phishing vectors, privacy breaches and reputational damage — can be significant. This post explains the risk, how attackers may exploit it, detection steps, short-term mitigations you can apply immediately, and long-term hardening — from plugin fixes to WAF-based virtual patching.

क्या हुआ (त्वरित अवलोकन)

सुरक्षा शोधकर्ताओं ने खोजा कि WP-Chatbot के लिए मेसेंजर (संस्करण 4.9 तक और शामिल) ऐसी कार्यक्षमता को उजागर करता है जो अनधिकृत अनुरोधों को चैटबॉट कॉन्फ़िगरेशन को संशोधित करने की अनुमति देती है। संक्षेप में: एक हमलावर तैयार किए गए अनुरोधों को प्रस्तुत कर सकता है और महत्वपूर्ण चैटबॉट सेटिंग्स — जैसे पृष्ठ टोकन, वेबहुक लक्ष्य, उत्तर व्यवहार, या अन्य इंटीग्रेशन पैरामीटर — को बिना प्रमाणित या अधिकृत हुए बदल सकता है।.

इस मुद्दे को टूटी हुई एक्सेस नियंत्रण के रूप में वर्गीकृत किया गया है और CVE-2026-3506 सौंपा गया है। CVSS स्कोर (5.4) दर्शाता है कि यह कमजोरी तत्काल पूर्ण साइट अधिग्रहण की अनुमति नहीं देती; हालाँकि, यह गोपनीयता और व्यावसायिक जोखिम का गंभीर प्रतिनिधित्व करती है, विशेष रूप से उन साइटों के लिए जो ग्राहक इंटरैक्शन, लीड, या प्रमाणीकरण/सत्यापन के लिए मेसेंजर चैट प्रवाह पर निर्भर करती हैं।.

यह आपके वर्डप्रेस साइट के लिए क्यों महत्वपूर्ण है

पहली नज़र में, चैटबॉट कॉन्फ़िगरेशन में बदलाव को कोड निष्पादन या SQL इंजेक्शन की तुलना में तुच्छ लग सकता है। लेकिन विचार करें कि एक हमलावर चैट कॉन्फ़िगरेशन को बदलकर क्या हासिल कर सकता है:

• अपने बॉट के फेसबुक पृष्ठ के एक्सेस टोकन और वेबहुक सेटिंग्स को बदलें, सभी इनबाउंड संदेशों को हमलावरों की ओर मोड़ते हुए।.
• ग्राहक संचार को इंटरसेप्ट करें और संवेदनशील जानकारी (बिलिंग, PII) एकत्र करें।.
• उपयोगकर्ताओं को फ़िशिंग संदेश भेजें जिन्होंने पहले आपके चैटबॉट के साथ बातचीत की थी, सफल धोखाधड़ी की संभावना बढ़ाते हुए।.
• चैटबॉट उत्तरों में दुर्भावनापूर्ण URLs इंजेक्ट करें, आगंतुकों को क्रेडेंशियल-हार्वेस्टिंग पृष्ठों की ओर ले जाते हुए।.
• ऐसा प्रतीत होने वाले आधिकारिक चैनल से आक्रामक या धोखाधड़ी वाले उत्तर भेजकर अपने ब्रांड को धूमिल करें।.

चूंकि मेसेंजर/चैट इंटरैक्शन उपयोगकर्ताओं द्वारा विश्वसनीय होते हैं, जो हमलावर चैट प्रवाह को नियंत्रित करते हैं, वे अत्यधिक प्रभावी सामाजिक इंजीनियरिंग हमले चला सकते हैं। ई-कॉमर्स और समर्थन-केंद्रित साइटों के लिए, व्यावसायिक प्रभाव गंभीर हो सकता है, भले ही यह कमजोरी अकेले पूर्ण सर्वर समझौते का परिणाम न हो।.

यह कमजोरी कैसे काम करती है (तकनीकी सारांश)

मूल कारण कम से कम एक फ़ंक्शन या एंडपॉइंट पर अधिकृतता जांच का अभाव है जो प्लगइन उजागर करता है। समान मुद्दों में सामान्य पैटर्न के उदाहरण:

• एक AJAX क्रिया जो संभाली जाती है admin-ajax.php बिना किसी क्षमता जांच के (कोई नहीं current_user_can / चेक_ajax_referer).
• एक REST API मार्ग जो उचित के बिना पंजीकृत है permission_callback.
• एक सीधा प्लगइन PHP फ़ाइल जो POST डेटा को संसाधित करता है और विकल्पों को अपडेट करता है बिना प्रमाणीकरण, नॉन्स या क्षमताओं की पुष्टि किए।.

प्लगइन कॉन्फ़िगरेशन फ़ील्ड्स (जैसे, एक्सेस टोकन, पृष्ठ आईडी, वेबहुक URL) स्वीकार करता है। जब प्लगइन का एंडपॉइंट एक अनुरोध को संसाधित करता है, तो यह उन मानों को वर्डप्रेस डेटाबेस में लिखता है (11. संदिग्ध सामग्री के साथ। या कस्टम तालिकाएँ) और प्लगइन उनका उपयोग Messenger/Facebook से कनेक्ट करने के लिए करता है।.

क्योंकि एंडपॉइंट यह सत्यापित नहीं करता कि कॉलर एक प्रमाणित प्रशासक है या नॉनस को मान्य नहीं करता है, कोई भी दूरस्थ हमलावर चैटबॉट कॉन्फ़िगरेशन को अपडेट करने के लिए अनुरोध भेज सकता है।.

नोट: सटीक एंडपॉइंट नाम और पैरामीटर कुंजी प्लगइन कार्यान्वयन के साथ भिन्न हो सकती हैं। देखने के लिए प्रासंगिक संकेतक HTTP POST अनुरोध हैं जो ऐसे पैरामीटर शामिल करते हैं जो एक्सेस टोकन, पृष्ठ आईडी, या वेबहुक URL की तरह दिखते हैं और जो प्लगइन-संबंधित क्रियाएँ सक्रिय करते हैं।.

यथार्थवादी शोषण परिदृश्य और प्रभाव

1. निष्क्रिय क्रेडेंशियल चोरी और निगरानी

   हमलावर एक्सेस टोकन और वेबहुक को अपने FB ऐप या सर्वर पर अपडेट करता है, फिर आपके बॉट को भेजे गए सभी संदेशों को लॉग करता है। इससे हमलावरों को निजी ग्राहक संदेशों और लीड डेटा तक पहुंच मिलती है।.

2. सक्रिय फ़िशिंग और धोखाधड़ी

   संदेशों को मोड़ने के बाद, हमलावर उपयोगकर्ताओं को क्लोन किए गए भुगतान पृष्ठों या मैलवेयर के लिंक के साथ उत्तर देते हैं। क्योंकि उत्तर उस बॉट से आते हैं जिस पर उपयोगकर्ताओं ने भरोसा किया, हमलों के लिए क्लिक-थ्रू और रूपांतरण दरें बहुत अधिक होती हैं।.

3. प्रतिष्ठा और व्यवसाय में व्यवधान

   बॉट उत्तरों को स्पैम, आपत्तिजनक संदेश, या भ्रामक विपणन प्रस्ताव भेजने के लिए सेट किया जा सकता है। ब्रांड और खोज प्रतिष्ठा प्रभावित हो सकती है; आप तीसरे पक्ष के प्लेटफ़ॉर्म नीतियों (Facebook) का भी उल्लंघन कर सकते हैं, जिससे खाता निलंबन हो सकता है।.

4. उच्च-मूल्य वाले हमलों की ओर बढ़ें

   चैट इंटरैक्शन के माध्यम से एकत्रित जानकारी (ईमेल पते, फोन नंबर, सत्यापन कोड) लक्षित खाता अधिग्रहण या क्रेडेंशियल-स्टफिंग के लिए उपयोग की जा सकती है।.

कैसे पता करें कि आपकी साइट को लक्षित किया गया था या समझौता किया गया था

सबसे संभावित कलाकृतियों से शुरू करें जो एक हमलावर उत्पन्न करेगा या संशोधित करेगा:

1. प्लगइन संस्करण जांचें

   Confirm the WP-Chatbot plugin version. If it is <= 4.9, assume you’re vulnerable until patched or mitigated.

2. कॉन्फ़िगरेशन परिवर्तन

   वर्डप्रेस प्रशासन में अपने चैटबॉट प्लगइन सेटिंग्स की जांच करें। अप्रत्याशित मानों की तलाश करें: अप्रत्याशित एक्सेस टोकन, ऐप आईडी, पृष्ठ आईडी, अज्ञात डोमेन या आईपी की ओर इशारा करने वाले वेबहुक URL, या सेटिंग्स जो चालू/बंद की गई हैं।.

3. डेटाबेस जांचें

   देखें 11. संदिग्ध सामग्री के साथ। (or plugin-specific tables). Common option names may contain “chatbot”, “wp_chatbot”, “fb”, “messenger”, “access_token”, or “page_id”. Unexplained recent modifications are suspicious.

4. HTTP लॉग

   POST अनुरोधों के लिए वेब सर्वर लॉग खोजें:

   • /wp-admin/admin-ajax.php प्लगइन-संबंधित क्रिया पैरामीटर के साथ
   • /wp-json/* प्लगइन द्वारा पंजीकृत एंडपॉइंट्स
   • सीधे प्लगइन PHP फ़ाइलें (जैसे, /wp-content/plugins/wp-chatbot/... .php)

   एकल IP से बिना प्रमाणीकरण वाले अनुरोधों की तलाश करें, विशेष रूप से POSTs जिनमें access token पैरामीटर या वेबहुक URLs शामिल हैं।.

5. आउटबाउंड गतिविधि

   वेब सर्वर से बाहरी IPs/डोमेन के लिए असामान्य आउटबाउंड कनेक्शनों की जांच करें, विशेष रूप से फेसबुक-संबंधित एंडपॉइंट्स के लिए जो अप्रत्याशित टोकन के साथ शुरू होते हैं।.

6. मैसेंजर/फेसबुक गतिविधि

   क्या आपके फेसबुक पृष्ठ ने अप्रत्याशित वेबहुक घटनाएँ दिखाई हैं? क्या आपके फेसबुक ऐप में पुनः कॉन्फ़िगरेशन लॉग हैं? कभी-कभी लेनदेन फेसबुक डेवलपर कंसोल में दिखाई देते हैं यदि आप ऐप को नियंत्रित करते हैं।.

नुकसान को सीमित करने के लिए तत्काल कदम (व्यवस्थापकों और होस्ट के लिए)

यदि आप पाते हैं कि आप कमजोर हैं या शोषण का संदेह है, तो तेजी से कार्य करें:

1. WP-Chatbot प्लगइन को अस्थायी रूप से निष्क्रिय करें

   wp-admin से या WP-CLI के माध्यम से प्लगइन को निष्क्रिय करें: wp प्लगइन निष्क्रिय करें wp-chatbot. यह आगे की कॉन्फ़िगरेशन अपडेट को रोकता है और बॉट को संभावित रूप से दुर्भावनापूर्ण क्रेडेंशियल्स का उपयोग करने से रोकता है।.

2. क्रेडेंशियल्स को घुमाएं

   आप जो भी मैसेंजर/फेसबुक टोकन प्रबंधित करते हैं, उन्हें घुमाएँ और ऐप अनुमतियों की समीक्षा करें। मौजूदा टोकन को रद्द करें और केवल सुधार और सत्यापन के बाद नए उत्पन्न करें।.

3. वेबहुक पुनः प्राप्त करें / पुनः अधिकृत करें

   साइट को सुरक्षित करने के बाद सही एंडपॉइंट्स के साथ वेबहुक URLs और ऐप कॉन्फ़िगरेशन को फिर से स्थापित करें।.

4. फोरेंसिक डेटा को संरक्षित करें।

   विनाशकारी परिवर्तनों को करने से पहले, फोरेंसिक विश्लेषण के लिए साइट, डेटाबेस, और सर्वर लॉग का बैकअप लें। यदि आपको दुर्भावनापूर्ण प्रविष्टियाँ हटानी हैं, तो पहले प्रतियां निर्यात करें।.

5. हितधारकों को सूचित करें

   आंतरिक टीमों और किसी भी बाहरी भागीदारों को सूचित करें जो प्रभावित हो सकते हैं (समर्थन, विपणन)। यदि उपयोगकर्ता डेटा उजागर हो सकता है, तो उल्लंघन सूचना के लिए स्थानीय कानूनों और आंतरिक नीतियों का पालन करें।.

व्यावहारिक शमन (प्लगइन सुधार, कोड वर्कअराउंड, और WAF नियम)

1. आधिकारी पैच की प्रतीक्षा करते समय अल्पकालिक उपाय महत्वपूर्ण हैं (यदि कोई अभी उपलब्ध नहीं है)।.

2. ए. प्लगइन अपडेट (सर्वश्रेष्ठ विकल्प)

3. यदि प्लगइन लेखक एक स्थिर संस्करण जारी करता है, तो तुरंत अपडेट करें। यह प्लगइन बग के लिए एकमात्र सही समाधान है।.

4. बी. यदि पैच उपलब्ध नहीं है: अस्थायी कोड-स्तरीय सुरक्षा लागू करें

5. ज्ञात प्लगइन क्रियाओं के लिए अनधिकृत अनुरोधों को अवरुद्ध करने के लिए एक छोटा अनिवार्य (mu-plugin) स्निपेट का उपयोग करें। यह स्निपेट उलटा किया जा सकता है और प्लगइन निर्देशिका के बाहर स्थित है (जब प्लगइनों में संशोधन किया जा सकता है तो अधिक सुरक्षित)।.

6. उदाहरण mu-plugin (फाइल के रूप में डालें 7. wp-content/mu-plugins/deny-wp-chatbot-unauth.php):

 403));
        }
    }

    // Block REST endpoints - add patterns your plugin registers (adjust as needed)
    if ( isset($_SERVER['REQUEST_URI']) ) {
        $uri = $_SERVER['REQUEST_URI'];
        // Example REST base path - update to match plugin's endpoint if you know it
        if ( stripos($uri, '/wp-json/wp-chatbot/') !== false && !is_user_logged_in() ) {
            status_header(403);
            wp_die('Forbidden', 'Forbidden', array('response' => 403));
        }
    }
}, 1);
?>

नोट्स:

• /*.
• प्लगइन नाम: अनधिकृत पहुंच को अस्वीकार करें WP-Chatbot (अस्थायी).

विवरण: प्लगइन अपडेट होने तक WP-Chatbot एंडपॉइंट्स के लिए अनधिकृत अनुरोधों को रोकें।

संस्करण: 1.0.

लेखक: सुरक्षा टीम .htaccess */

# Block requests to admin-ajax.php with plugin action or wp-chatbot endpoints from non-localhost/unauthenticated clients

  RewriteEngine On

  # Example: block POSTs with action=wp_chatbot_* coming from external IPs
  RewriteCond %{REQUEST_METHOD} POST
  RewriteCond %{QUERY_STRING} action=wp_chatbot [NC,OR]
  RewriteCond %{REQUEST_URI} /wp-json/wp-chatbot/ [NC,OR]
  RewriteCond %{REMOTE_ADDR} !^127\.0\.0\.1$
  RewriteRule ^.* - [F,L]

// यदि कॉलर लॉग इन नहीं है तो wp_chatbot से शुरू होने वाली admin-ajax क्रियाओं को अवरुद्ध करें

if ( defined('DOING_AJAX') && DOING_AJAX && !is_user_logged_in() ) {

• if ( isset($_REQUEST['action']) && strpos($_REQUEST['action'], 'wp_chatbot') === 0 ) { admin-ajax.php संदिग्ध क्रिया पैरामीटर शामिल करना (जैसे, status_header(403);wp_die('निषिद्ध', 'निषिद्ध', array('response' => 403));.
• REST मार्गों पर अनुरोधों को ब्लॉक/चुनौती दें जो मेल खाते हैं /wp-json/wp-chatbot/* जब अनुरोध में प्रमाणीकरण हेडर या मान्य नॉन्स मानों की कमी हो।.
• चैट कॉन्फ़िगरेशन के लिए सामान्यतः उपयोग किए जाने वाले पैरामीटर नामों के लिए हस्ताक्षर बनाएं (जैसे, fb_access_token, पृष्ठ_आईडी, ऐप_गुप्त, वेबहुक_यूआरएल) और उन अनुरोधों को अस्वीकार करें जो अनधिकृत स्रोतों से इन्हें सेट करने का प्रयास करते हैं।.
• JSON शरीर वाले इनबाउंड अनुरोधों के लिए, ऐसे कुंजी की तलाश करें जैसे पृष्ठ_आईडी या लंबे स्ट्रिंग जो एक्सेस टोकन के समान हैं और जब कोई मान्य सत्र कुकी न हो तो ब्लॉक करें X-WP-Nonce.

उदाहरण सामान्य ModSecurity नियम (चित्रणात्मक; अपने वातावरण के अनुसार अनुकूलित करें):

SecRule REQUEST_METHOD "POST" "chain,phase:2,deny,status:403,id:100500,msg:'अनधिकृत WP-Chatbot कॉन्फ़िगरेशन परिवर्तन को ब्लॉक करें'"

E. फ़ाइल अनुमतियों और IP अनुमति सूची के माध्यम से प्लगइन फ़ाइलों को प्रतिबंधित करें

यदि आपकी टीम रखरखाव के लिए वेब सर्वर IP का प्रबंधन करती है, तो जहां संभव हो, IP द्वारा प्लगइन प्रशासन अंत बिंदुओं तक अस्थायी रूप से पहुंच को प्रतिबंधित करने पर विचार करें।.

F. वर्डप्रेस नॉन्स और लॉगिन सुरक्षा को मजबूत करें

सुनिश्चित करें कि मान्य नॉन्स और क्षमता जांच कस्टम अंत बिंदुओं पर लागू की गई हैं। जहां संभव हो, प्रशासनिक खातों के लिए दो-कारक प्रमाणीकरण सक्षम करें और प्रशासनिक उपयोगकर्ताओं की संख्या को सीमित करें।.

घटना प्रतिक्रिया चेकलिस्ट (चरण-दर-चरण)

1. अलग करें — तुरंत प्लगइन को निष्क्रिय करें या आगे के परिवर्तनों को ब्लॉक करने के लिए उपरोक्त mu-plugin / WAF नियम लागू करें।.
2. साक्ष्य को संरक्षित करें — फोरेंसिक समीक्षा के लिए वेब सर्वर लॉग, डेटाबेस निर्यात, और प्लगइन फ़ाइलों को एक सुरक्षित स्थान में कॉपी करें।.
3. रहस्यों और टोकनों को घुमाएं — किसी भी Facebook/App टोकन, वेबहुक रहस्यों, API कुंजियों को रद्द करें और पुनः उत्पन्न करें जो बदल सकते हैं या उजागर हो सकते हैं।.
4. द्वितीयक समझौते के लिए स्कैन करें — सर्वर-स्तरीय और वर्डप्रेस-स्तरीय मैलवेयर स्कैन चलाएँ। अनधिकृत व्यवस्थापक खातों, संदिग्ध अनुसूचित कार्यों (क्रॉन), संशोधित थीम/प्लगइन फ़ाइलों, या बैकडोर PHP फ़ाइलों की तलाश करें।.
5. कॉन्फ़िगरेशन छेड़छाड़ को ठीक करें — ज्ञात-अच्छे बैकअप से चैटबॉट सेटिंग्स को पुनर्स्थापित करें या नए क्रेडेंशियल के साथ पुनः कॉन्फ़िगर करें।.
6. उपयोगकर्ता इंटरैक्शन की समीक्षा करें — यदि एक हमलावर ने आपके बॉट के माध्यम से फ़िशिंग संदेश भेजे हैं, तो प्रभावित उपयोगकर्ताओं की पहचान करें और गोपनीयता कानूनों और आंतरिक नीति के अनुसार संचार तैयार करें।.
7. हमले के वेक्टर का पुनर्मूल्यांकन करें और बंद करें — प्लगइन्स, थीम, और वर्डप्रेस कोर को अपडेट करें; आधिकारिक पैच स्थापित होने तक वर्चुअल पैचिंग नियमों को बनाए रखें; कम से कम 30 दिनों तक लॉग को ध्यान से मॉनिटर करें।.

चैट इंटीग्रेशन के लिए दीर्घकालिक सुरक्षा सिफारिशें

चैट एकीकरण शक्तिशाली होते हैं लेकिन आपके हमले की सतह को बढ़ाते हैं। इन दिशानिर्देशों का पालन करें:

• अनुमतियों को न्यूनतम करें: केवल अपने Facebook ऐप या पृष्ठ को आवश्यक न्यूनतम अनुमतियाँ दें।.
• टोकनों को अलग करें: टोकनों को सुरक्षित रूप से स्टोर करें (सादा पाठ में नहीं) और उन्हें नियमित रूप से घुमाएँ।.
• संदेश पैटर्न की निगरानी करें: आउटबाउंड संदेशों में वृद्धि या व्यवहार में अचानक बदलाव का पता लगाने के लिए लॉगिंग का उपयोग करें।.
• एंडपॉइंट्स पर पहुँच नियंत्रण: सुनिश्चित करें कि किसी भी प्लगइन एंडपॉइंट में एक permission_callback या क्षमता जांच हो और नॉनसेस को मान्य करें।.
• अलग-अलग खातों का उपयोग करें: मार्केटिंग और IT टीमों के बीच व्यवस्थापक क्रेडेंशियल साझा करने से बचें; भूमिका-आधारित पहुँच नियंत्रण का उपयोग करें।.
• गहराई में रक्षा का उपयोग करें: WAF, फ़ाइल अखंडता निगरानी (FIM), आवधिक भेद्यता स्कैन, और स्वचालित बैकअप।.
• घटना प्लेबुक: तीसरे पक्ष के एकीकरण के लिए एक घटना प्रतिक्रिया प्लेबुक बनाए रखें और समय-समय पर परीक्षण करें।.

व्यस्त साइट मालिकों के लिए एक संक्षिप्त चेकलिस्ट (क्रियान्वयन योग्य)

• Check plugin version: if WP-Chatbot <= 4.9, treat as vulnerable.
• यदि संवेदनशील और बिना पैच किए गए हैं: तुरंत प्लगइन को निष्क्रिय करें या mu-plugin/WAF ब्लॉक लागू करें।.
• किसी भी मैसेंजर/ऐप टोकन और वेबहुक रहस्यों को घुमाएँ।.
• संदिग्ध सामग्री के लिए बॉट उत्तरों और हाल के आउटगोइंग संदेशों का निरीक्षण करें।.
• बिना प्रमाणीकरण वाले कॉन्फ़िगरेशन अपडेट को ब्लॉक करने के लिए WAF नियम बनाएं (उपरोक्त उदाहरण देखें)।.
• घटना के बाद के विश्लेषण के लिए लॉग और बैकअप को सुरक्षित रखें।.
• व्यवस्थापक खाता हार्डनिंग और दो-कारक प्रमाणीकरण का परीक्षण और प्रवर्तन करें।.

हांगकांग सुरक्षा विशेषज्ञ से समापन नोट्स

Third-party integrations such as chatbots extend functionality but also extend your attack surface. The WP-Chatbot broken access control vulnerability is an important reminder: access control must be validated at every entry point. If you run a WordPress site that uses chat integrations, take this vulnerability seriously — even if it isn’t an immediate path to full site takeover.

यदि आपको तुरंत सहायता की आवश्यकता है: ऊपर उल्लिखित त्वरित शमन लागू करें (प्लगइन को निष्क्रिय करें या mu-plugin लागू करें), यदि उपलब्ध हो तो WAF के माध्यम से आभासी पैचिंग लागू करें, और तुरंत बाहरी टोकन और वेबहुक को घुमाएँ।.

उपयोगकर्ता विश्वास की रक्षा करना अवसंरचना की रक्षा करने के समान महत्वपूर्ण है। अब कुछ मिनटों का शमन बाद में एक महंगे घटना को रोक सकता है।.

आगे पढ़ाई और संसाधन

इन विषयों पर प्राधिकृत डेवलपर और प्लेटफ़ॉर्म दस्तावेज़ देखें:

• वर्डप्रेस डेवलपर दस्तावेज़: REST API permission_callback 8. और admin-ajax.php सर्वोत्तम प्रथाएँ
• ऐप टोकन, वेबहुक और टोकन सुरक्षा पर फेसबुक डेवलपर दस्तावेज़
• वेब सर्वर/WAF दस्तावेज़: ModSecurity नियम और आभासी पैच कैसे लिखें
• घटना प्रतिक्रिया ढांचे: लॉग का संरक्षण, साक्ष्य संरक्षण, और सूचना कार्यप्रवाह

सतर्क रहें और स्तरित रक्षा बनाए रखें - हांगकांग सुरक्षा विशेषज्ञ