TL;DR

एक महत्वपूर्ण टूटी हुई प्रमाणीकरण कमजोरी (CVE-2026-42760) “WP टाइम कैप्सूल द्वारा बैकअप और स्टेजिंग” प्लगइन के संस्करणों ≤ 1.22.25 को प्रभावित करती है। यह समस्या अनधिकृत अनुरोधों को प्रारंभिक सेटअप/कॉलबैक प्रवाह का दुरुपयोग करने की अनुमति देती है क्योंकि एक प्राधिकरण टोकन को सही तरीके से सत्यापित नहीं किया गया है, जिससे हमलावरों को सामान्यतः उच्च विशेषाधिकार की आवश्यकता वाले कार्य करने की अनुमति मिलती है — संभावित रूप से प्रशासनिक अधिग्रहण सहित। विक्रेता ने इस समस्या को हल करने के लिए संस्करण 1.22.26 जारी किया है।.

यदि आप इस प्लगइन को चलाते हैं:

• तुरंत 1.22.26 पर अपडेट करें (सिफारिश की गई)।.
• यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो प्लगइन को अक्षम करें या कमजोर सेटअप/कॉलबैक प्रवाह को ब्लॉक करने के लिए उपयुक्त WAF नियम लागू करें।.
• संभावित समझौतों का पता लगाने और सुधारने के लिए नीचे दिए गए घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

यह लेख बताता है कि कमजोरियों का व्यावहारिक अर्थ क्या है, चरण-दर-चरण शमन और पहचान उपाय, तत्काल सुरक्षा के लिए सामान्य WAF मार्गदर्शन, और आगे के जोखिम को कम करने के लिए दीर्घकालिक मजबूत करने की सलाह।.

क्या हुआ? एक साधारण अंग्रेजी में व्याख्या

यह प्लगइन वर्डप्रेस साइटों के लिए बैकअप और स्टेजिंग सेवाएं प्रदान करता है। एक कमजोरी का पता चला है कि प्लगइन ने “प्रारंभिक सेटअप” (या समान कॉलबैक) प्रवाह को कैसे संभाला। उस प्रवाह के दौरान, प्लगइन एक प्राधिकरण क्षेत्र में भेजे गए टोकन को स्वीकार करता है लेकिन उस टोकन के हस्ताक्षर या प्रामाणिकता को क्रिप्टोग्राफिक रूप से सत्यापित नहीं करता है। उचित सत्यापन चरण के बिना, एक हमलावर एक तैयार टोकन प्रस्तुत कर सकता है और प्लगइन को विशेषाधिकार प्राप्त कार्य करने के लिए मजबूर कर सकता है जिसे उसे केवल सुरक्षित कॉलबैक के बाद करना चाहिए।.

चूंकि यह जांच गायब है, हमले के लिए एक प्रमाणित वर्डप्रेस खाता आवश्यक नहीं है। इसलिए इस कमजोरी को “टूटी हुई प्रमाणीकरण” (OWASP A7-संबंधित) के रूप में वर्गीकृत किया गया है और इसे CVE-2026-42760 सौंपा गया है। इसका CVSS 3.x स्कोर (जैसा कि सार्वजनिक रूप से रिपोर्ट किया गया है) 7.5 है — उच्च — क्योंकि यह अनधिकृत अभिनेताओं को विशेषाधिकार बढ़ाने या प्रभावित साइटों पर प्रशासनिक स्तर के संचालन करने की अनुमति देता है।.

किसे प्रभावित किया गया है?

• कोई भी वर्डप्रेस साइट जो “WP टाइम कैप्सूल द्वारा बैकअप और स्टेजिंग” प्लगइन संस्करण चला रही है 22.25 और पुराने.
• साइटें जो प्लगइन के सेटअप/कॉलबैक एंडपॉइंट्स को सार्वजनिक इंटरनेट पर उजागर करती हैं (सामान्य डिफ़ॉल्ट व्यवहार)।.
• चूंकि यह अनधिकृत है, यहां तक कि कम ट्रैफ़िक या अस्पष्ट साइटें भी जोखिम में हैं। सामूहिक शोषण एक वास्तविक खतरा है।.

यदि आप सुनिश्चित नहीं हैं कि आप प्लगइन चला रहे हैं या आपके पास कौन सा संस्करण है:

• अपने वर्डप्रेस प्रशासन में लॉग इन करें → प्लगइन्स → स्थापित प्लगइन्स और “बैकअप और स्टेजिंग” या “WP टाइम कैप्सूल” के लिए देखें।.
• प्लगइन के संस्करण संख्या की जांच करें। यदि यह ≤ 1.22.25 है तो तुरंत अपग्रेड करें।.

यह सुरक्षा दोष क्यों खतरनाक है

• अनधिकृत: हमलावरों को समस्या का शोषण करने के लिए साइट पर एक खाता की आवश्यकता नहीं है।.
• विशेषाधिकार वृद्धि: प्रवाह का उपयोग उन कार्यों को करने के लिए किया जा सकता है जो सामान्यतः प्रशासकों के लिए आरक्षित होते हैं, जिससे पूर्ण साइट अधिग्रहण की संभावना बढ़ जाती है।.
• सामूहिक शोषण जोखिम: इस प्रकार की कमजोरियाँ स्वचालित करना आसान हैं और अक्सर बड़े पैमाने पर समझौता अभियानों के लिए हथियारबंद की जाती हैं।.
• दीर्घकालिक स्थिरता: यदि हमलावरों को व्यवस्थापक स्तर की पहुँच मिलती है, तो वे बैकडोर स्थापित कर सकते हैं, धोखाधड़ी व्यवस्थापक उपयोगकर्ता बना सकते हैं, प्लगइन्स/थीम्स को संशोधित कर सकते हैं, दुर्भावनापूर्ण रीडायरेक्ट्स को धकेल सकते हैं, डेटा को निकाल सकते हैं, या SEO स्पैम तैनात कर सकते हैं।.

तात्कालिक, व्यावहारिक कदम — अभी क्या करना है

1. प्लगइन को अपडेट करें

   संस्करण स्थापित करें 1.22.26 या बाद में तुरंत। यह विक्रेता से अंतिम समाधान है। यदि आप कई साइटों का प्रबंधन करते हैं, तो रोलिंग अपडेट का कार्यक्रम बनाएं या पैच को व्यापक और तेजी से लागू करने के लिए अपने प्रबंधन उपकरणों का उपयोग करें।.

2. यदि आप तुरंत अपडेट नहीं कर सकते
   • जब तक आप अपडेट नहीं कर सकते, प्लगइन को निष्क्रिय करें।.
   • कमजोरियों को रोकने के लिए WAF नियम लागू करें (नीचे उदाहरण दिए गए हैं)।.
   • यदि संचालन के लिए संभव हो, तो IP अनुमति सूची के साथ प्लगइन-विशिष्ट एंडपॉइंट्स तक पहुँच को प्रतिबंधित करें।.
3. अलग करें और प्राथमिकता दें

   जब आप जांच कर रहे हों तो साइट को रखरखाव मोड में डालें। फ़ाइल प्रणाली और डेटाबेस स्नैपशॉट लें (ये फोरेंसिक विश्लेषण के लिए उपयोगी हो सकते हैं)। ऑफ़लाइन प्रतियाँ रखें।.

4. समझौता संकेतकों की जाँच करें
   • नए अज्ञात व्यवस्थापक उपयोगकर्ताओं के लिए wp_users तालिका की समीक्षा करें।.
   • क्षमता परिवर्तनों के लिए wp_usermeta की जाँच करें।.
   • संदिग्ध मानों के लिए wp_options का ऑडिट करें (विशेष रूप से active_plugins, cron शेड्यूल)।.
   • अज्ञात PHP फ़ाइलों और वेबशेल हस्ताक्षरों के लिए अपलोड, थीम और प्लगइन निर्देशिकाओं को स्कैन करें।.
   • प्लगइन एंडपॉइंट्स पर संदिग्ध कॉल या अनुरोधों के लिए वेब सर्वर लॉग और WAF लॉग की समीक्षा करें जो “INITIAL_SETUP” या समान टोकन शामिल करते हैं।.
5. समझौता किए गए क्रेडेंशियल्स को रीसेट करें

   सभी व्यवस्थापकों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें। WordPress के साथ एकीकृत तृतीय-पक्ष सेवाओं द्वारा उपयोग किए जाने वाले API कुंजियों और टोकनों को घुमाएँ। यदि आप SSO/OAuth एकीकरण का उपयोग करते हैं, तो टोकनों और अनुप्रयोग पहुँच की समीक्षा करें।.

6. साफ करें या पुनर्स्थापित करें

   यदि आप समझौते के सबूत पाते हैं, तो समझौते से पहले लिए गए एक स्वच्छ बैकअप से पुनर्स्थापित करें। पुनर्स्थापना के बाद, प्लगइन अपडेट लागू करें और क्रेडेंशियल्स को मजबूत करें। यदि आप स्वच्छ स्थिति के बारे में निश्चित नहीं हो सकते हैं, तो विश्वसनीय स्रोतों से पूर्ण पुनर्निर्माण पर विचार करें और केवल स्वच्छ सामग्री को पुनर्स्थापित करें।.

7. हितधारकों को सूचित करें

   अपने होस्टिंग प्रदाता या वेबसाइट सुरक्षा टीम को सूचित करें। यदि आप उपयोगकर्ता डेटा को संभालते हैं और आपके पास प्रकटीकरण की जिम्मेदारियाँ हैं, तो अपनी घटना प्रकटीकरण प्रक्रियाओं का पालन करें।.

WAF के साथ सुरक्षा कैसे लागू करें (सामान्य मार्गदर्शन)

एक वेब एप्लिकेशन फ़ायरवॉल तत्काल आभासी पैच प्रदान कर सकता है जब तक आप सभी प्रभावित साइटों पर विक्रेता पैच लागू नहीं करते। नीचे व्यावहारिक, विक्रेता-तटस्थ दृष्टिकोण दिए गए हैं जिनका आप अपने WAF या रिवर्स प्रॉक्सी में ब्लॉकिंग नियम बनाने के लिए उपयोग कर सकते हैं।.

उच्च-स्तरीय WAF शमन उदाहरण

• प्रारंभिक सेटअप/कॉलबैक प्रवाह को ब्लॉक करें: प्लगइन के सेटअप कॉलबैक के संकेत देने वाले अनुरोधों को अस्वीकार करें (उदाहरण के लिए, अनुरोध जो “INITIAL_SETUP” शामिल करते हैं या ज्ञात प्लगइन मार्गों को लक्षित करते हैं)।.
• REST/AJAX दुरुपयोग को ब्लॉक करें: प्लगइन से संबंधित REST एंडपॉइंट्स पर प्रमाणीकरण रहित अनुरोधों को प्रतिबंधित करें। सार्वजनिक REST मार्गों के खिलाफ दिखाई देने पर प्रमाणीकरण हेडर शामिल करने वाले अनुरोधों को चुनौती दें या ब्लॉक करें।.
• खतरनाक क्रियाओं की सीमा निर्धारित करें: अज्ञात IPs या उपयोगकर्ता एजेंटों से उत्पन्न प्लगइन सेटअप एंडपॉइंट्स पर POST/PUT/DELETE अनुरोधों को अस्वीकार करें या चुनौती दें।.
• दर-सीमा और लॉगिंग: प्लगइन फ़ाइलों तक पहुँच को दर-सीमा निर्धारित करें और फोरेंसिक समीक्षा के लिए संकेत एकत्र करने के लिए अस्वीकृत अनुरोधों को लॉग करें।.

कॉन्फ़िगरेशन को मार्गदर्शित करने के लिए नमूना (छद्म) नियम

• नियम A — INITIAL_SETUP कॉलबैक को ब्लॉक करें

  शर्त: REQUEST_METHOD == POST AND (REQUEST_BODY में “INITIAL_SETUP” है या REQUEST_URI में “/initial_setup” है या REQUEST_BODY में “wptc” है) — क्रिया: ब्लॉक करें और लॉग करें।.

• नियम B — संदिग्ध प्राधिकरण उपयोग को ब्लॉक करें

  शर्त: REQUEST_HEADERS[“Authorization”] मौजूद है और REQUEST_URI में “/wp-json/” है और REQUEST_METHOD (POST, PUT, DELETE) में है — क्रिया: चुनौती (CAPTCHA) या ब्लॉक करें जब तक अनुरोध ज्ञात IPs से न हो।.

• नियम C — प्लगइन फ़ाइल पहुंच को दर-सीमा या ब्लॉक करें

  शर्त: REQUEST_URI नियमित अभिव्यक्ति “(/wp-content/plugins/wp-time-capsule/|wp-time-capsule)” से मेल खाता है — क्रिया: POST अनुरोधों को दर-सीमा या ब्लॉक करें; केवल सार्वजनिक संपत्तियों के लिए GET की अनुमति दें।.

नोट्स:

• पूर्ण प्रवर्तन से पहले मॉनिटर/लॉग-केवल मोड में नियमों का परीक्षण करें ताकि अनपेक्षित साइट विघटन से बचा जा सके।.
• लॉगिंग के साथ ब्लॉकिंग को संयोजित करें ताकि आप जांच के लिए हमले के संकेत एकत्र कर सकें।.
• यदि आप प्रबंधित होस्टिंग नियंत्रण या रिवर्स प्रॉक्सी पर निर्भर हैं, तो अस्थायी पहुंच प्रतिबंध लागू करने के लिए उन प्रशासकों के साथ काम करें।.

पहचान: लॉग और डेटाबेस में क्या देखना है

यदि आपको शोषण का संदेह है, तो निम्नलिखित की तलाश करें:

1. वेब सर्वर और एक्सेस लॉग
   • बैकअप/स्टेजिंग से संबंधित प्लगइन रूट या REST URIs के लिए POST अनुरोध।.
   • “INITIAL_SETUP” जैसी स्ट्रिंग्स या अप्रत्याशित प्राधिकरण हेडर वाले अनुरोध।.
   • असामान्य IP रेंज से अनुरोध, विशेष रूप से यदि कई साइटों पर दोहराए जाते हैं।.
2. वर्डप्रेस लॉग और व्यवस्थापक क्रियाएँ
   • अप्रत्याशित प्लगइन सक्रियण/निष्क्रियकरण घटनाएँ।.
   • संदिग्ध समय विंडो के भीतर बनाए गए नए व्यवस्थापक उपयोगकर्ता।.
   • सक्रिय_plugins, site_url, home, या क्रोन शेड्यूल जैसे विकल्पों में परिवर्तन।.
3. डेटाबेस विसंगतियाँ
   • व्यवस्थापक विशेषाधिकारों के साथ wp_users में नए पंक्तियाँ।.
   • संशोधित उपयोगकर्ता मेटा जो क्षमताओं को बढ़ाता है (जैसे, grant_super_admin)।.
   • wp_options में अप्रत्याशित प्रविष्टियाँ जो बाहरी कॉलबैक या नए निर्धारित कार्यों का संदर्भ देती हैं।.
4. फ़ाइल प्रणाली में परिवर्तन
   • wp-content/uploads, wp-content/plugins, या wp-content/themes में नए PHP फ़ाइलें।.
   • कोर फ़ाइलों, थीम, या प्लगइन्स पर संशोधित टाइमस्टैम्प।.
5. बाहरी साक्ष्य
   • बाहरी निगरानी से अलर्ट (अपटाइम, सामग्री छेड़छाड़)।.
   • अपरिचित होस्टों के लिए आउटगोइंग कनेक्शन (यदि सर्वर-स्तरीय लॉग उपलब्ध हैं)।.

किसी भी सुधारात्मक कार्रवाई करने से पहले लॉग एकत्र करें और सुरक्षित करें जो उन्हें बदल सकती है (फोरेंसिक उद्देश्यों के लिए उन्हें बाहरी रूप से बैकअप करें)।.

घटना प्रतिक्रिया चेकलिस्ट - चरण-दर-चरण

1. सीमित करें
   • कमजोर प्लगइन को निष्क्रिय करें या प्रवाह को ब्लॉक करने के लिए WAF नियम सेट करें।.
   • एक्सपोज़र को कम करने के लिए साइट को रखरखाव मोड में डालें।.
2. साक्ष्य को संरक्षित करें
   • फोरेंसिक समीक्षा के लिए लॉग, डेटाबेस, और फ़ाइल सिस्टम स्नैपशॉट की प्रतियाँ बनाएं।.
   • जांचकर्ता के लिए प्लगइन संस्करण निर्देशिका की एक प्रति बनाए रखें।.
3. जांचें
   • ऊपर वर्णित संकेतों की तलाश करें।.
   • पहले संदिग्ध अनुरोध टाइमस्टैम्प की पहचान करें (एक्सेस लॉग का उपयोग करें) और वहां से पिवट करें।.
   • दायरा निर्धारित करें: क्या एक बैकडोर रखा गया था? क्या कई प्रभावित साइटें हैं?
4. समाप्त करें
   • अनधिकृत उपयोगकर्ताओं और कोड को हटा दें या ज्ञात स्वच्छ बैकअप से पुनर्स्थापित करें।.
   • विश्वसनीय स्रोतों से वर्डप्रेस कोर, प्लगइन्स, और थीम को फिर से स्थापित करें।.
   • साइट को फिर से ऑनलाइन लाने से पहले विक्रेता पैच लागू करें (प्लगइन को 1.22.26 में अपडेट करें)।.
5. पुनर्प्राप्त करें
   • सभी क्रेडेंशियल्स (व्यवस्थापक खाते, API कुंजी, टोकन, डेटाबेस पासवर्ड) को घुमाएँ।.
   • सेवाओं को फिर से सक्षम करें और निकटता से निगरानी जारी रखें।.
   • मैलवेयर स्कैनर के साथ फिर से स्कैन करें और स्वच्छ स्थिति की पुष्टि करें।.
6. सीखे गए पाठ
   • दस्तावेज़ समयरेखा, मूल कारण, और उठाए गए कदम।.
   • पुनरावृत्ति घटनाओं की संभावना को कम करने के लिए सुरक्षा उपायों में सुधार करें।.

हार्डनिंग और दीर्घकालिक निवारण

प्लगइन्स को अपडेट करना पहला और सबसे महत्वपूर्ण कदम है, लेकिन एक परतदार दृष्टिकोण भविष्य के जोखिम को कम करता है:

1. प्लगइन सतह को न्यूनतम करें: अप्रयुक्त प्लगइन्स और थीम्स को हटा दें। कम कोड का मतलब है कम संभावित कमजोरियाँ।.
2. सब कुछ अद्यतित रखें: उचित अपडेट नीतियाँ निर्धारित करें। महत्वपूर्ण सुरक्षा अपडेट को तुरंत लागू किया जाना चाहिए।.
3. न्यूनतम विशेषाधिकार का सिद्धांत: व्यवस्थापक खातों को सीमित करें। नियमित कार्यों के लिए न्यूनतम विशेषाधिकारों के साथ अलग-अलग खाते बनाएं।.
4. 2FA और मजबूत पासवर्ड लागू करें: सभी व्यवस्थापक स्तर के खातों के लिए दो-कारक प्रमाणीकरण की आवश्यकता करें।.
5. व्यवस्थापक एंडपॉइंट्स तक पहुंच सीमित करें: जहां संचालनात्मक रूप से संभव हो, wp-admin और wp-login.php को IP द्वारा प्रतिबंधित करें। यदि उपयुक्त हो, तो प्रशासनिक पहुंच के लिए रिवर्स प्रॉक्सी या VPN का उपयोग करें।.
6. REST/API पहुंच को मजबूत करें: सुनिश्चित करें कि सर्वर-से-सर्वर कॉलबैक साइन किए गए टोकन का उपयोग करते हैं और हस्ताक्षरों को मान्य करते हैं। महत्वपूर्ण एंडपॉइंट्स के लिए मूल/रेफरर जांच की आवश्यकता करें और नॉनसेस को सत्यापित करें।.
7. निगरानी और लॉगिंग: केंद्रीकृत लॉग बनाए रखें और संदिग्ध गतिविधियों के लिए अलर्ट सेट करें जैसे कि मास प्लगइन सक्रियण या नए व्यवस्थापक का निर्माण।.
8. नियमित सुरक्षा स्कैनिंग और पेंटेस्टिंग: समय-समय पर स्कैन और ऑडिट कमजोरियों को पकड़ने में मदद करते हैं इससे पहले कि हमलावर ऐसा करें।.
9. बैकअप रणनीति: बार-बार ऑफ-साइट बैकअप बनाए रखें और समय-समय पर पुनर्स्थापनों का परीक्षण करें। बैकअप को यथासंभव अपरिवर्तनीय होना चाहिए ताकि छेड़छाड़ को रोका जा सके।.

क्या न करें (और क्यों)

• केवल अस्पष्टता पर भरोसा न करें: व्यवस्थापक URLs को छिपाना या फ़ोल्डरों का नाम बदलना अनधिकृत दोषों के लिए पर्याप्त सुरक्षा नहीं है।.
• अपडेट में देरी न करें: पैच में देरी किसी भी कमजोरियों के लिए जोखिम की खिड़की को नाटकीय रूप से बढ़ा देती है।.
• लॉग की अनदेखी न करें: कई उल्लंघनों में स्पष्ट संकेत होते हैं जो इसलिए छूट जाते हैं क्योंकि लॉगिंग बंद है या लॉग रखरखाव बहुत छोटा है।.

अक्सर पूछे जाने वाले प्रश्न (FAQ)

प्रश्न: यदि मैं प्लगइन को अपडेट करता हूं, तो क्या मुझे अभी भी चिंता करने की आवश्यकता है?

उत्तर: हाँ — अपडेट करने से कमजोरियों को बंद कर दिया जाता है, लेकिन यदि साइट को पहले ही अपडेट से पहले शोषित किया गया था, तो हमलावरों ने बैकडोर छोड़े हो सकते हैं या खाते बनाए हो सकते हैं। अखंडता की पुष्टि करने के लिए घटना प्रतिक्रिया चेकलिस्ट का पालन करें।.

प्रश्न: क्या प्लगइन को निष्क्रिय करने से मेरे बैकअप टूट जाएंगे?

उत्तर: अस्थायी रूप से प्लगइन को निष्क्रिय करने से इसकी बैकअप/स्टेजिंग कार्यक्षमता रुक जाएगी। यदि आप उन बैकअप पर निर्भर हैं, तो निष्क्रिय करने से पहले हाल के बैकअप को एक सुरक्षित स्थान पर डाउनलोड करें (और विंडो के दौरान वैकल्पिक बैकअप समाधान पर विचार करें)।.

प्रश्न: WAF शोषण को कितनी जल्दी रोक सकता है?

उत्तर: एक सही तरीके से कॉन्फ़िगर किया गया WAF तुरंत शोषण ट्रैफ़िक को रोक सकता है, अक्सर मिनटों के भीतर। आधिकारिक पैच लागू होने तक WAF के माध्यम से वर्चुअल पैचिंग एक प्रभावी अस्थायी उपाय है।.

प्रश्न: क्या होगा यदि मैं अनधिकृत व्यवस्थापक उपयोगकर्ताओं को पाता हूं लेकिन कोई स्पष्ट वेबशेल नहीं है?

उत्तर: उपयोगकर्ताओं को हटा दें, पासवर्ड बदलें, और स्थायी तंत्र (निर्धारित कार्य, संशोधित फ़ाइलें) के लिए खोजें। हमलावर अक्सर पुनः प्रवेश के लिए छिपे हुए व्यवस्थापक खाते बनाते हैं।.

चेकलिस्ट: अब क्या करें (संक्षिप्त)

• पुष्टि करें कि “Backup and Staging by WP Time Capsule” स्थापित है और इसके संस्करण की जांच करें।.
• यदि संस्करण ≤ 1.22.25: तुरंत 1.22.26 पर अपडेट करें।.
• यदि आप तुरंत अपडेट नहीं कर सकते: प्लगइन को निष्क्रिय करें या प्रारंभिक सेटअप/कॉलबैक प्रवाह को अवरुद्ध करने वाले WAF नियम लागू करें।.
• लॉग, उपयोगकर्ताओं, क्रोन, और फ़ाइल सिस्टम का ऑडिट करें ताकि समझौते के संकेत मिल सकें।.
• क्रेडेंशियल्स को घुमाएँ, व्यवस्थापक पासवर्ड रीसेट करें, और संवेदनशील टोकन को रद्द करें।.
• 15. किसी भी तीसरे पक्ष के क्रेडेंशियल को रद्द करें और फिर से जारी करें जो प्रभावित हो सकते हैं।.
• निगरानी और आवधिक मैलवेयर स्कैन सक्षम करें।.
• फोरेंसिक विश्लेषण और पुनर्प्राप्ति सहायता के लिए एक पेशेवर सुरक्षा प्रतिक्रियाकर्ता को शामिल करने पर विचार करें।.