TL;DR: एक सर्वर-साइड अनुरोध धोखाधड़ी (SSRF) कमजोरियां (CVE-2026-4302) WowOptin (Next-Gen Popup Maker) संस्करणों ≤ 1.4.29 को प्रभावित करती हैं। बिना प्रमाणीकरण वाले उपयोगकर्ता एक लिंक पैरामीटर को नियंत्रित कर सकते हैं जो प्लगइन के REST API के माध्यम से उजागर होता है ताकि सर्वर-साइड HTTP अनुरोधों को ट्रिगर किया जा सके। तुरंत 1.4.30 में अपडेट करें। यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो नीचे दिए गए उपायों को लागू करें (REST मार्ग को ब्लॉक करें, आंतरिक मेटाडेटा/निजी IPs तक पहुंच को सीमित करें, प्लगइन मार्गों को अक्षम करें, और निकटता से निगरानी करें)।.

परिचय

वर्डप्रेस सुरक्षा की निरंतर निगरानी के हिस्से के रूप में, यह सलाह WowOptin प्लगइन (≤ 1.4.29) को प्रभावित करने वाले SSRF मुद्दे की समीक्षा करती है। SSRF उच्च जोखिम वाला है क्योंकि यह एक हमलावर को वेब सर्वर को सर्वर के नेटवर्क संदर्भ से मनमाने HTTP अनुरोध करने के लिए मजबूर करने की अनुमति देता है। परिणामों में आंतरिक सेवाओं की खोज, क्लाउड मेटाडेटा क्रेडेंशियल्स की चोरी, डेटा निकासी, और एक बुनियादी ढांचे के भीतर पिवटिंग शामिल हो सकते हैं।.

यह पोस्ट—हांगकांग के सुरक्षा विशेषज्ञ के दृष्टिकोण से लिखी गई—कमजोरी, अवधारणात्मक स्तर पर शोषण तंत्र, समझौते के संकेत, और व्यावहारिक उपायों को समझाती है जो साइट मालिक और होस्ट तुरंत लागू कर सकते हैं।.

क्या प्रभावित है

• सॉफ़्टवेयर: WowOptin (Next-Gen Popup Maker) वर्डप्रेस प्लगइन
• कमजोर संस्करण: ≤ 1.4.29
• पैच किया गया: 1.4.30
• कमजोरी का प्रकार: सर्वर-साइड अनुरोध धोखाधड़ी (SSRF)
• CVE: CVE-2026-4302
• आवश्यक विशेषाधिकार: बिना प्रमाणीकरण (कोई भी आगंतुक ट्रिगर कर सकता है)
• गंभीरता: मध्यम (लगभग CVSS ~7.2; वास्तविक प्रभाव होस्टिंग वातावरण और पहुंच योग्य आंतरिक सेवाओं पर निर्भर करता है)

वर्डप्रेस संदर्भ में SSRF क्यों खतरनाक है

वर्डप्रेस साइटें अक्सर ऐसी बुनियादी ढांचे पर चलती हैं जो केवल आंतरिक सेवाओं को उजागर करती हैं जो वेब सर्वर से पहुंच योग्य होती हैं। सामान्य लक्ष्य शामिल हैं:

• क्लाउड मेटाडेटा एंडपॉइंट (जैसे, कई क्लाउड पर 169.254.169.254)।.
• एप्लिकेशन सर्वरों पर स्थानीय व्यवस्थापक एंडपॉइंट (127.0.0.1 और निजी रेंज)।.
• आंतरिक APIs जो रहस्यों या कॉन्फ़िगरेशन को रखते हैं।.
• आंतरिक डेटाबेस, Redis/Memcached, और अन्य सेवाएँ जिनमें मजबूत प्रमाणीकरण नहीं है।.

एक SSRF जो इन एंडपॉइंट्स तक पहुँचता है, एक हमलावर को सक्षम कर सकता है: क्लाउड मेटाडेटा/IAM क्रेडेंशियल्स को पुनः प्राप्त करना, आंतरिक सेवाओं और क्रेडेंशियल्स की गणना करना, साइट का उपयोग आंतरिक रूप से पिवट करने के लिए करना, और आउटबाउंड अनुरोधों के माध्यम से डेटा को निकालना।.

WowOptin SSRF को समझना (उच्च स्तर)

• प्लगइन REST API एंडपॉइंट्स को उजागर करता है जो एक स्वीकार करते हैं लिंक पैरामीटर।.
• द लिंक पैरामीटर को पर्याप्त रूप से मान्य नहीं किया गया है और इसका उपयोग मनमाने होस्टों के लिए आउटबाउंड अनुरोधों को ट्रिगर करने के लिए किया जा सकता है।.
• क्योंकि एंडपॉइंट अनधिकृत अनुरोधों को स्वीकार करता है, कोई भी आगंतुक एक URL प्रदान कर सकता है जिसे सर्वर लाने का प्रयास करेगा।.
• यह अव्यवस्थित लाने का व्यवहार SSRF एक्सपोजर की ओर ले जाता है और आंतरिक पते और मेटाडेटा एंडपॉइंट्स को लक्षित करने की संभावना को बढ़ाता है।.

शोषण तंत्र (संकल्पनात्मक; कोई शोषण कोड नहीं)

एक हमलावर प्लगइन के REST एंडपॉइंट पर एक HTTP अनुरोध भेजता है जिसमें एक तैयार किया गया लिंक मान होता है जिसका होस्टनेम आंतरिक या क्लाउड मेटाडेटा पते पर हल होता है। कमजोर प्लगइन एक HTTP अनुरोध करता है (जैसे, पूर्वावलोकन लाने या लिंक को मान्य करने के लिए) बिना आंतरिक लक्ष्यों को अवरुद्ध किए। अनुरोध सर्वर से उत्पन्न होता है, जिससे सार्वजनिक इंटरनेट से पहुँच योग्य नहीं आंतरिक संसाधनों तक पहुँच मिलती है।.

तात्कालिक कार्रवाई (0–24 घंटे)

1. प्लगइन को 1.4.30 में अपडेट करें (प्राथमिक सिफारिश)

   अपस्ट्रीम डेवलपर ने SSRF समस्या को ठीक करने के लिए 1.4.30 जारी किया। अपडेट करना सबसे अच्छा कार्य है। फ़ाइलों और डेटाबेस का त्वरित बैकअप लें और यदि आवश्यक हो तो रखरखाव विंडो के दौरान अपडेट करें।.

2. यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो आपातकालीन शमन लागू करें:
   • WowOptin प्लगइन को अस्थायी रूप से अक्षम करें (सुरक्षित लेकिन UX को प्रभावित कर सकता है)।.
   • एप्लिकेशन या वेब सर्वर स्तर पर कमजोर REST मार्गों को अवरुद्ध करें।.
   • उन अनुरोधों को अवरुद्ध करने के लिए WAF नियम लागू करें जो शामिल करते हैं लिंक आंतरिक IP रेंज और मेटाडेटा एंडपॉइंट्स को लक्षित करने वाला पैरामीटर।.
3. होस्ट स्तर पर सर्वर के बाहर जाने को प्रतिबंधित करें

   WordPress/PHP प्रक्रियाओं से क्लाउड मेटाडेटा पते (169.254.169.254) और अन्य लिंक-स्थानीय/निजी रेंज के लिए आउटगोइंग HTTP(S) अनुरोधों को अवरुद्ध करें जब तक कि स्पष्ट रूप से आवश्यक न हो। केवल आवश्यक गंतव्यों को अनुमति देने के लिए होस्ट-स्तरीय फ़ायरवॉल ईग्रेस नियमों का उपयोग करें।.

4. लॉग और हमले के संकेतों की निगरानी करें

   1. वेब सर्वर एक्सेस लॉग और वर्डप्रेस REST अनुरोध लॉग की जांच करें ताकि प्लगइन एंडपॉइंट्स पर उच्च-आवृत्ति अनुरोध या संदिग्ध मानों वाले अनुरोधों का पता लगाया जा सके। लिंक 2. लॉग में IP पते या असामान्य होस्टनाम खोजें जो उपयोग किए गए हैं। लिंक पैरामीटर।.

3. कमजोर REST मार्ग को तुरंत कैसे ब्लॉक करें

4. विकल्प A — Nginx के साथ ब्लॉक करें

5. साइट के Nginx कॉन्फ़िगरेशन में यह नियम जोड़ें (आवश्यकतानुसार पथ बदलें):

6. # URI पैटर्न द्वारा WowOptin REST एंडपॉइंट्स तक पहुंच को ब्लॉक करें

location ~* ^/wp-json/.*/wowoptin|/wp-json/wowoptin {

return 403;

# Deny access to wowoptin REST API endpoints

    RewriteEngine On
    RewriteCond %{REQUEST_URI} ^/wp-json/.*/wowoptin [OR]
    RewriteCond %{REQUEST_URI} ^/wp-json/wowoptin
    RewriteRule ^ - [F]

8. साइट की रूट .htaccess में रखें (WP पुनर्लेखन नियमों के ऊपर):

9. # wowoptin REST API एंडपॉइंट्स तक पहुंच को अस्वीकार करें functions.php (temporary; remove after update):

add_filter( 'rest_endpoints', function( $endpoints ) {
    if ( empty( $endpoints ) ) {
        return $endpoints;
    }
    foreach ( $endpoints as $route => $handlers ) {
        // remove routes that match wowoptin namespace
        if ( false !== strpos( $route, 'wowoptin' ) ) {
            unset( $endpoints[ $route ] );
        }
    }
    return $endpoints;
}, 100 );

RewriteEngine On.

RewriteCond %{REQUEST_URI} ^/wp-json/.*/wowoptin [OR]

RewriteCond %{REQUEST_URI} ^/wp-json/wowoptin.

RewriteRule ^ - [F] लिंक parameter with private or link-local addresses

• 10. विकल्प C — PHP के माध्यम से REST एंडपॉइंट्स को निष्क्रिय करें (त्वरित, अस्थायी) लिंक 11. एक अनिवार्य उपयोग प्लगइन बनाएं या सक्रिय थीम में जोड़ें.
• 12. (अस्थायी; अपडेट के बाद हटा दें):.
• यदि लक्ष्य निजी रेंज में है तो ब्लॉक करें: 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 169.254.0.0/16, IPv6 लूपबैक ::1 और fc00::/7।.

उदाहरण ModSecurity-जैसी छद्म-नियम

# छद्म-नियम: 'link' पैरामीटर के माध्यम से निजी रेंज में SSRF प्रयासों को ब्लॉक करें"

2) मेटाडेटा-लक्षित अनुरोधों को ब्लॉक करें

# उन अनुरोधों को ब्लॉक करें जो 'link' पैरामीटर के माध्यम से क्लाउड मेटाडेटा एंडपॉइंट्स तक पहुँचने का प्रयास करते हैं

3) दर-सीमा और चुनौती

• प्रति IP प्लगइन REST मार्ग के लिए अनुरोधों की दर-सीमा (उदाहरण के लिए, अधिकतम 10 अनुरोध/मिनट)।.
• समान IP से बार-बार अनुरोधों के लिए, CAPTCHA प्रदान करें या ब्लॉक करें।.

ये रणनीतियाँ तत्काल सुरक्षा प्रदान करती हैं जबकि एक अपडेट निर्धारित है। झूठे सकारात्मक को कम करने के लिए हस्ताक्षरों को समायोजित करें और फोरेंसिक उपयोग के लिए ब्लॉक किए गए प्रयासों को लॉग करें।.

कोड-पक्ष सुरक्षित सुधार (प्लगइन लेखकों / डेवलपर्स के लिए)

यदि आप प्लगइन कोड या कस्टम एकीकरण बनाए रखते हैं, तो सुरक्षित पैटर्न का पालन करें:

• बिना सत्यापन के हमलावर-नियंत्रित डेटा का उपयोग करके दूरस्थ अनुरोध कभी न करें।.
• HTTP अनुरोध करने से पहले URLs को मान्य और साफ करें:
  • URL संरचना की जांच करने के लिए wp_http_validate_url() का उपयोग करें।.
  • wp_parse_url() के साथ URL को पार्स करें और सुनिश्चित करें कि योजना http या https है।.
  • होस्टनाम को IP में हल करें और निजी पते को अस्वीकार करें।.
• सर्वर-पक्ष की फ़ेच के लिए डोमेन की अनुमति सूची का उपयोग करें (पूर्वावलोकन, थंबनेल)।.
• रीडायरेक्ट का अंधाधुंध पालन न करें; आंतरिक पते पर रीडायरेक्ट को रोकने के लिए HTTP क्लाइंट विकल्पों को कॉन्फ़िगर करें।.
• दूरस्थ फ़ेच के लिए समझदारी से समय सीमा और प्रतिक्रिया आकार सीमाएँ निर्धारित करें।.

उदाहरण PHP मान्यकर्ता (संकल्पनात्मक)

function safe_url_allowed( $url ) {

DNS परिणामों को कैश करना और DNS रीबाइंडिंग सुरक्षा को संबोधित करना महत्वपूर्ण कार्यान्वयन विवरण हैं।.

समझौते के संकेत (IoCs) और क्या देखना है

• बार-बार REST API अनुरोध /wp-json/.../wowoptin/ या प्लगइन-विशिष्ट एंडपॉइंट्स जो शामिल हैं लिंक पैरामीटर मान जो IPs या मेटाडेटा होस्ट की तरह दिखते हैं।.
• Outbound requests from the webserver to internal IPs that normally don’t occur — check firewall or outbound proxy logs.
• साइट के PHP प्रक्रिया से उत्पन्न आउटबाउंड ट्रैफ़िक में स्पाइक्स।.
• नए या अप्रत्याशित फ़ाइलें, क्रॉन कार्य, या शेड्यूल किए गए कार्य जो प्रशासकों द्वारा नहीं बनाए गए।.
• लॉग जो क्लाउड मेटाडेटा एंडपॉइंट्स (जैसे, 169.254.169.254) तक पहुंच के प्रयास को दिखाते हैं।.
• यदि साइट का उपयोग आंतरिक संसाधनों को लाने के लिए किया गया था, तो उन अनुरोधों के चारों ओर समय सीमा के लिए पहुंच लॉग एकत्र करें और HTTP हेडर और प्रतिक्रिया कोड एकत्र करें।.

घटना प्रतिक्रिया चेकलिस्ट (यदि आप शोषण का संदेह करते हैं)

1. शामिल करें: प्लगइन को अक्षम करें या वेब सर्वर/WAF के माध्यम से REST एंडपॉइंट को ब्लॉक करें। यदि संभव हो, साइट को अलग करें (रखरखाव मोड या नेटवर्क अलगाव)।.
2. सबूत को संरक्षित करें: वेब सर्वर लॉग, PHP-FPM लॉग, और फ़ायरवॉल लॉग की केवल-पढ़ने योग्य प्रतियां बनाएं। यदि गहरी समझौता का संदेह है तो सर्वर का स्नैपशॉट लें।.
3. जांच करें: निजी IPs या मेटाडेटा एंडपॉइंट्स के लिए असामान्य आउटबाउंड अनुरोधों की खोज करें। नए प्रशासक उपयोगकर्ताओं, संशोधित थीम/प्लगइन्स, या अपरिचित PHP कोड की तलाश करें।.
4. समाप्त करें: बैकडोर हटा दें, विश्वसनीय बैकअप से संशोधित फ़ाइलों को पूर्ववत करें, और यदि स्थिरता को विश्वसनीय रूप से हटा नहीं जा सकता है तो सिस्टम को फिर से बनाएं। संभावित रूप से उजागर क्रेडेंशियल्स को घुमाएं।.
5. पुनर्प्राप्त करें: WowOptin को 1.4.30 में अपडेट करें और केवल सत्यापन के बाद सेवाओं को फिर से सक्षम करें। ऊपर वर्णित होस्ट-स्तरीय और WAF उपाय लागू करें और निकटता से निगरानी करें।.
6. सीखें: एक घटना के बाद की समीक्षा करें और भविष्य की प्रतिक्रिया में सुधार के लिए रनबुक अपडेट करें।.

हार्डनिंग सिफारिशें (दीर्घकालिक)

• WordPress कोर, थीम, और प्लगइन्स को अद्यतित रखें। उत्पादन से पहले स्टेजिंग में अपडेट का परीक्षण करें।.
• होस्टिंग अवसंरचना पर सख्त निकासी नियंत्रण लागू करें — केवल उन आउटबाउंड अनुरोधों की अनुमति दें जहां स्पष्ट रूप से आवश्यक और निगरानी की गई हो।.
• किसी भी सर्वर-साइड फ़ेच कार्यक्षमता (पूर्वावलोकन, दूरस्थ थंबनेल) के लिए अनुमति सूचियों का उपयोग करें।.
• एक वेब एप्लिकेशन फ़ायरवॉल (WAF) तैनात करें जो ज्ञात शोषण पैटर्न को जल्दी से ब्लॉक करने के लिए वर्चुअल पैचिंग करने में सक्षम हो।.
• विसंगति पहचान के लिए लॉग को एक SIEM या निगरानी प्रणाली में केंद्रीकृत करें।.
• सेवा खातों के लिए न्यूनतम विशेषाधिकार के सिद्धांत को लागू करें और जहां आवश्यक न हो, क्लाउड मेटाडेटा तक पहुंच को अक्षम करें।.
• आवधिक सुरक्षा स्कैन चलाएं और तृतीय-पक्ष प्लगइन जोखिम की समीक्षा करें; अप्रयुक्त प्लगइनों को हटा दें।.

WAF हस्ताक्षर और ट्यूनिंग नोट्स

• सामान्य हस्ताक्षर: जहां REST API अनुरोधों को ब्लॉक करें ARGS:link एक निजी IP या मेटाडेटा एंडपॉइंट पर हल करता है।.
• ह्यूरिस्टिक्स: यदि ब्लॉक करें लिंक निजी रेंज में एक स्पष्ट IP शामिल है या 169.254.
• झूठे सकारात्मक: साइट द्वारा उपयोग किए जाने वाले वैध आंतरिक URLs को ब्लॉक किया जा सकता है - विश्वसनीय होस्ट और IP के लिए अनुमति सूची अपवाद बनाएं।.
• लॉगिंग: सुनिश्चित करें कि ब्लॉक किए गए प्रयासों को पूर्ण अनुरोध और किसी भी हल किए गए IP के साथ लॉग किया गया है ताकि फोरेंसिक विश्लेषण में सहायता मिल सके।.

क्यों होस्टिंग प्रदाताओं को कार्रवाई करनी चाहिए

होस्टिंग प्रदाता निकासी प्रतिबंध और मेटाडेटा सुरक्षा लागू कर सकते हैं जो कई साइट प्रशासक नहीं कर सकते। प्रदाताओं को चाहिए:

• साझा/PHP प्रक्रियाओं से क्लाउड मेटाडेटा IPs के लिए आउटबाउंड अनुरोधों को ब्लॉक करें जब तक कि स्पष्ट रूप से आवश्यक न हो।.
• उन ग्राहकों के लिए WordPress प्रक्रियाओं से आउटबाउंड HTTP(S) को प्रतिबंधित करने के लिए तंत्र प्रदान करें जिन्हें इसकी आवश्यकता नहीं है।.
• ज्ञात प्लगइन कमजोरियों के लिए स्वचालित कमजोरियों की स्कैनिंग और वर्चुअल पैचिंग प्रदान करें जहां संभव हो।.

वास्तविक दुनिया के शोषण परिदृश्य (चित्रात्मक)

• आंतरिक सेवाओं की गणना: हमलावर एक प्रदान करता है लिंक जो एक आंतरिक सेवा की ओर इशारा करता है (जैसे, 10.0.0.5:8080)। सर्वर अनुरोध को निष्पादित करता है और प्रतिक्रिया लौटाता है या लॉग करता है, आंतरिक अंत बिंदुओं को प्रकट करता है।.
• क्लाउड क्रेडेंशियल चोरी: हमलावर क्लाउड मेटाडेटा अंत बिंदु को लक्षित करता है। यदि मेटाडेटा लौटाया जाता है, तो IAM क्रेडेंशियल्स चुराए जा सकते हैं और क्लाउड APIs के खिलाफ उपयोग किए जा सकते हैं।.
• पार्श्व पिवट: एक आंतरिक API का पता लगाने के बाद, हमलावर अन्य आंतरिक होस्टों की जांच करने के लिए SSRF का उपयोग करता है और प्रशासनिक कंसोल खोजता है।.

हितधारकों के साथ संवाद करना

यदि आप कई साइटों का प्रबंधन करते हैं या क्लाइंट्स को होस्ट करते हैं, तो संभावित रूप से प्रभावित उपयोगकर्ताओं को सूचित करें और उठाए गए कदमों का दस्तावेजीकरण करें: स्थिति अपडेट करें, लागू किए गए ब्लॉक्स, और निगरानी सक्षम करें। स्पष्ट मार्गदर्शन प्रदान करें: तुरंत अपडेट करें, या यदि संभव न हो, तो ऊपर सूचीबद्ध अस्थायी शमन लागू करें।.

अक्सर पूछे जाने वाले प्रश्न

प्रश्न: मैंने पहले ही 1.4.30 में अपडेट किया है - क्या मैं सुरक्षित हूँ?

उत्तर: अपडेट ज्ञात कमजोरियों को हटा देता है। सर्वोत्तम प्रथाओं का पालन करते रहें: आउटबाउंड अनुरोधों को सीमित करें, लॉगिंग सक्षम करें, और संदिग्ध गतिविधियों की निगरानी करें। यदि अपडेट से पहले शोषण का संदेह है, तो ऊपर दिए गए घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

प्रश्न: मैं WowOptin का उपयोग नहीं करता - क्या मुझे चिंता करनी चाहिए?

उत्तर: केवल वे साइटें जिन पर WowOptin स्थापित और सक्रिय है, सीधे प्रभावित होती हैं। हालाँकि, SSRF प्लगइन्स और कस्टम कोड में एक आवर्ती पैटर्न है; इस सलाह में रक्षा के कदम व्यापक रूप से लागू होते हैं।.

प्रश्न: क्या मैं अपने लॉग में SSRF प्रयासों का विश्वसनीयता से पता लगा सकता हूँ?

उत्तर: प्लगइन अंत बिंदुओं के लिए अनुरोधों की तलाश करें जिनमें लिंक आईपी पते या क्लाउड मेटाडेटा होस्ट (169.254.169.254) का संदर्भ देने वाले पैरामीटर हैं। PHP प्रक्रियाओं से आउटबाउंड अनुरोधों और असामान्य त्रुटि प्रतिक्रियाओं की भी निगरानी करें।.

प्रश्न: क्या WAF वैध कार्यक्षमता को तोड़ सकता है (झूठे सकारात्मक)?

उत्तर: हाँ - WAF को ट्यूनिंग की आवश्यकता होती है। वैध आंतरिक फ़ेच के लिए अनुमति सूचियों का उपयोग करें और ब्लॉकिंग मोड में स्विच करने से पहले निगरानी मोड से शुरू करें। व्यवधान को कम करने के लिए लॉग करें और अवरुद्ध अनुरोधों की समीक्षा करें।.

अंतिम नोट्स

• पैच लागू करें (1.4.30 में अपडेट करें) को प्राथमिकता के रूप में।.
• यदि तत्काल पैचिंग संभव नहीं है, तो अस्थायी शमन लागू करें: अंत बिंदुओं को निष्क्रिय करें, वेब सर्वर स्तर पर मार्गों को अवरुद्ध करें, ट्यून किए गए WAF नियमों का उपयोग करें, और निकासी को सीमित करें।.
• शोषण के सबूतों की निगरानी करें और यदि संदिग्ध गतिविधि का पता चलता है तो घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

परिशिष्ट - त्वरित चेकलिस्ट

• WowOptin को 1.4.30 में अपडेट करें।.
• यदि अपडेट संभव नहीं है: प्लगइन को निष्क्रिय करें या REST अंत बिंदुओं को अवरुद्ध करें (Nginx/Apache/PHP)।.
• WAF नियम लागू करें ताकि अवरुद्ध किया जा सके लिंक निजी रेंज और मेटाडेटा एंडपॉइंट्स के लिए पैरामीटर समाधान।.
• क्लाउड मेटाडेटा (169.254.169.254) के लिए होस्ट-स्तरीय निकासी अवरोध जोड़ें जब तक कि आवश्यक न हो।.
• प्लगइन रूट्स और PHP से आउटबाउंड अनुरोधों के लिए संदिग्ध अनुरोधों के लिए लॉग की समीक्षा करें।.
• किसी भी क्रेडेंशियल को घुमाएं जो उजागर हो सकते हैं (यदि शोषण का संदेह हो)।.
• प्रबंधित सुरक्षा और अनुसूचित कमजोरियों के स्कैन पर विचार करें; समय-समय पर प्लगइन सूची की समीक्षा करें।.