तत्काल: “श्रेणी विवरण में HTML की अनुमति दें” में संग्रहीत XSS (<= 1.2.4) — वर्डप्रेस साइट मालिकों को अब क्या करना चाहिए

सारांश: वर्डप्रेस प्लगइन “श्रेणी विवरण में HTML की अनुमति दें” (संस्करण ≤ 1.2.4) में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता (CVE-2026-0693) का खुलासा किया गया है। एक प्रमाणित उपयोगकर्ता जिसके पास प्रशासक स्तर के विशेषाधिकार हैं, वह श्रेणी विवरण में दुर्भावनापूर्ण HTML/JavaScript इंजेक्ट कर सकता है जो बाद में आगंतुकों या अन्य प्रशासकों के ब्राउज़रों में निष्पादित हो सकता है। कमजोर संस्करणों के लिए वर्तमान में कोई आधिकारिक पैच नहीं है। यह सलाह तकनीकी विवरण, खतरे के परिदृश्य, तात्कालिक शमन, पहचान और सफाई के कदम, और एक हांगकांग सुरक्षा विशेषज्ञ के दृष्टिकोण से दीर्घकालिक सख्ती को समझाती है।.

नोट: यदि आप इस प्लगइन को चलाते हैं और एक प्रभावित संस्करण स्थापित है, तो इसे एक उच्च प्राथमिकता वाली साइट सुरक्षा कार्य के रूप में मानें — भले ही भेद्यता के लिए प्रशासक विशेषाधिकार की आवश्यकता हो, प्रभाव व्यावहारिक रूप से महत्वपूर्ण हो सकता है।.

यह कमजोरी क्या है?

• प्रकार: स्टोर किया गया क्रॉस-साइट स्क्रिप्टिंग (XSS)।.
• प्रभावित घटक: वर्डप्रेस प्लगइन “श्रेणी विवरण में HTML की अनुमति दें” — संस्करण ≤ 1.2.4।.
• CVE: CVE-2026-0693।.
• CVSS: 5.9 (मध्यम), वेक्टर: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L।.
• मूल कारण: प्लगइन प्रशासकों को उचित सफाई या आउटपुट एन्कोडिंग के बिना वर्गीकरण विवरण में बिना फ़िल्टर किया गया HTML सहेजने की अनुमति देता है। श्रेणी विवरण में संग्रहीत दुर्भावनापूर्ण JavaScript उस पृष्ठ के संदर्भ में निष्पादित किया जा सकता है जो उस विवरण को प्रस्तुत करता है (फ्रंट-एंड या कुछ प्रशासनिक दृश्य), कुकी चोरी, विशेषाधिकार का दुरुपयोग, या पीड़ित के ब्राउज़र सत्र के साथ किए गए कार्यों को सक्षम करता है।.

यह क्यों महत्वपूर्ण है: प्रशासक विश्वसनीय खाते होते हैं। एक हमलावर जो एक प्रशासक खाते से समझौता करता है (या एक प्रशासक को एक तैयार विवरण सहेजने के लिए धोखा देता है) वह अन्य प्रशासक उपयोगकर्ताओं या साइट आगंतुकों को लक्षित करने वाले स्क्रिप्ट को स्थायी रूप से रख सकता है। परिणामों में साइट का विकृति, क्रेडेंशियल संग्रहण, दुर्भावनापूर्ण रीडायरेक्ट, या श्रृंखलाबद्ध हमलों के माध्यम से पूरी साइट का अधिग्रहण शामिल हैं।.

एक हमलावर इसे कैसे भुनाता है

1. हमलावर एक प्रशासक खाता प्राप्त करता है या समझौता करता है (फिशिंग, पासवर्ड पुन: उपयोग, अंदरूनी), या एक प्रशासक को एक पेलोड सहेजने के लिए धोखा देता है।.
2. प्लगइन इंटरफ़ेस (श्रेणी संपादन स्क्रीन) या किसी अन्य प्रवेश बिंदु के माध्यम से जो वर्गीकरण विवरण को अपडेट करता है, हमलावर श्रेणी विवरण फ़ील्ड में एक पेलोड इंजेक्ट करता है — जैसे, , एक SVG जिसमें एक onload/onerror हैंडलर है, या विशेषता-आधारित पेलोड जैसे onmouseover, srcset, या javascript: URIs।.
3. पेलोड डेटाबेस (term_taxonomy.description) में संग्रहीत होता है।.
4. जब एक प्रशासक या आगंतुक श्रेणी पृष्ठ (या उस विवरण को प्रस्तुत करने वाला कोई प्रशासनिक पृष्ठ) देखता है, तो स्क्रिप्ट उनके ब्राउज़र में साइट के मूल के भीतर चलती है।.
5. संभावित हमलावर क्रियाएँ शामिल हैं:
   • कुकीज़/localStorage एकत्र करना और उन्हें एक दूरस्थ सर्वर पर भेजना।.
   • यदि nonce या क्षमता जांच कमजोर हैं, तो पीड़ित के प्रमाणित ब्राउज़र सत्र का उपयोग करके वर्डप्रेस REST/AJAX एंडपॉइंट्स को कॉल करना (संभवतः उपयोगकर्ता बनाना, प्लगइन्स स्थापित करना, विकल्पों को संशोधित करना)।.
   • आगे दुर्भावनापूर्ण सामग्री (विज्ञापन, रीडायरेक्ट, क्रेडेंशियल संग्रहण फ़ॉर्म) इंजेक्ट करना या प्रशासनिक पृष्ठों को संशोधित करना।.

महत्वपूर्ण बारीकी: कई वर्डप्रेस इंस्टॉलेशन auth कुकीज़ को HttpOnly के रूप में सेट करते हैं, जिससे JS द्वारा सीधे कुकी तक पहुंच रोक दी जाती है। हालाँकि, यदि समान-स्रोत और नॉनस सुरक्षा अनुपस्थित हैं या यदि नॉनस चुराए गए हैं, तो जावास्क्रिप्ट अभी भी प्रमाणित XHR/fetch अनुरोध कर सकती है। हमलावर XSS को अन्य कमजोरियों के साथ जोड़कर प्रभाव को बढ़ा सकते हैं।.

उपयोगकर्ता इंटरैक्शन: हालांकि कुछ रिपोर्ट इसे उपयोगकर्ता इंटरैक्शन की आवश्यकता के रूप में वर्गीकृत करती हैं (जैसे, एक व्यवस्थापक द्वारा एक तैयार पृष्ठ पर जाना), संग्रहीत XSS स्थायी है और जब पृष्ठ लोड होते हैं तो स्वचालित रूप से निष्पादित हो सकता है।.

तात्कालिक, प्राथमिकता वाले कार्य (अगले घंटे के भीतर)

1. अब प्लगइन को निष्क्रिय करें

   wp-admin → Plugins पर जाएं और तुरंत “Allow HTML in Category Descriptions” को निष्क्रिय करें। यदि आप व्यवस्थापक पैनल तक पहुंच नहीं सकते हैं, तो FTP या होस्टिंग फ़ाइल प्रबंधक के माध्यम से प्लगइन फ़ोल्डर का नाम बदलकर निष्क्रिय करें: wp-content/plugins/allow-html-in-category-descriptions → जोड़ें -अक्षम.

2. साइट को रखरखाव मोड में डालें (यदि उपयुक्त हो)

   यदि आप सक्रिय शोषण का संदेह करते हैं (दृश्यमान रीडायरेक्ट, विकृति, स्पैम), तो जांच करते समय अस्थायी रूप से सार्वजनिक पहुंच को ब्लॉक करें।.

3. प्रशासनिक क्रेडेंशियल्स का ऑडिट और रोटेट करें

   सभी व्यवस्थापक खातों के लिए पासवर्ड रीसेट करने के लिए मजबूर करें। सत्रों और टोकनों को रद्द करें (Users → All Users → प्रत्येक व्यवस्थापक के लिए, “Log out everywhere” या सत्र-समाप्ति उपकरणों का उपयोग करें)। मजबूत पासवर्ड लागू करें और व्यवस्थापक खातों के लिए दो-कारक प्रमाणीकरण (2FA) सक्षम करें।.

4. XSS पेलोड्स को सहेजने का प्रयास करने वाले नए अनुरोधों को ब्लॉक करें

   यदि आप होस्ट, CDN, या वेब एप्लिकेशन फ़ायरवॉल (WAF) के माध्यम से अनुरोध फ़िल्टरिंग लागू कर सकते हैं, तो उन POST अनुरोधों को ब्लॉक करें जो स्क्रिप्ट-जैसे पैटर्न वाले श्रेणी विवरणों को सहेजने का प्रयास करते हैं। इस लेख में बाद में सुझाए गए WAF नियम देखें।.

5. अपनी साइट का बैकअप लें (फाइलें + DB)

   साइट को संशोधित या साफ़ करने से पहले एक पूर्ण बैकअप बनाएं। डेटाबेस का निर्यात करें और फोरेंसिक प्रतियों के लिए wp-content और uploads डाउनलोड करें।.

6. तुरंत समझौते के संकेतों के लिए स्कैन करें

   अप्रत्याशित उपयोगकर्ताओं, अज्ञात फ़ाइलों, अनुसूचित कार्यों (wp_cron नौकरियां), बदले गए विकल्प मानों, और पोस्ट, पृष्ठों, और वर्गीकरण विवरणों में इंजेक्ट की गई सामग्री की तलाश करें।.

जांच: दुर्भावनापूर्ण श्रेणी विवरण खोजें और नुकसान का दायरा निर्धारित करें

श्रेणी विवरण डेटाबेस में संग्रहीत होते हैं; स्क्रिप्ट-जैसे सामग्री के लिए जल्दी से खोजें।.

WP-CLI का उपयोग करना (यदि आपके पास शेल एक्सेस है तो अनुशंसित):

wp db query "SELECT term_taxonomy_id, term_id, description FROM wp_term_taxonomy WHERE description LIKE '%<script%';"

wp db query "SELECT term_taxonomy_id, term_id, description FROM wp_term_taxonomy WHERE description REGEXP '(script|onerror|onload|javascript:|data:|iframe|svg|img)';"

यदि आपके पास WP-CLI नहीं है, तो phpMyAdmin या आपके होस्टिंग डेटाबेस टूल में समकक्ष SQL चलाएँ।.

इसके अलावा जांचें:

• पोस्ट और पृष्ठ: खोजें पोस्ट_सामग्री समान पैटर्न के लिए:

  SELECT ID, post_title FROM wp_posts WHERE post_content REGEXP '(<script|onerror|onload|javascript:)';

• विजेट और थीम विकल्प: जांचें 11. संदिग्ध सामग्री के साथ। इंजेक्टेड HTML के लिए।.
• प्लगइन/थीम फ़ाइलें अपरिचित या अस्पष्ट कोड के लिए।.

यदि आप संदिग्ध विवरण पाते हैं, तो बड़े संशोधनों से पहले उन्हें फोरेंसिक्स के लिए निर्यात करें।.

संक्रमित विवरणों को सुरक्षित रूप से साफ करना

विकल्प A — मैनुअल हटाना (कम संख्या में प्रविष्टियाँ)

wp-admin → Posts/Terms संपादक का उपयोग करें और मैन्युअल रूप से विवरण संपादित करें ताकि पेलोड हट सके: Posts → Categories → प्रत्येक संदिग्ध श्रेणी विवरण संपादित करें।.

विकल्प B — डेटाबेस सफाई (बड़ी या स्वचालित सफाई)

पहले बैकअप पर परीक्षण करें। ब्लॉकों को हटाने के लिए उदाहरण SQL:

-- श्रेणी विवरणों से  ब्लॉकों को हटाएँ;

इवेंट हैंडलर विशेषताओं को हटाना जैसे लोड होने पर/त्रुटि पर अधिक जटिल है; वैध मार्कअप को तोड़ने से बचने के लिए PHP-आधारित सेनिटाइज़र को प्राथमिकता दें।.

विकल्प C — वर्डप्रेस फ़ंक्शंस का उपयोग करके PHP स्क्रिप्ट के माध्यम से साफ़ करें (सुरक्षित)

एक बार की PHP स्क्रिप्ट बनाएं और WP-CLI के माध्यम से चलाएं eval-फाइल या केवल व्यवस्थापक के लिए निष्पादन पथ:

<?php

के साथ चलाएं:

wp eval-file sanitize-term-descriptions.php

नोट्स: उपयोग करना wp_kses न्यूनतम अनुमति सूची के साथ केवल नियमित अभिव्यक्तियों के दृष्टिकोण की तुलना में सुरक्षित है। पहले एक स्टेजिंग साइट पर या बैकअप पर परीक्षण करें।.

सुझाए गए रक्षात्मक WAF नियम और अल्पकालिक आभासी पैचिंग

यदि आपके पास WAF, CDN नियमों, या होस्ट अनुरोध फ़िल्टरिंग को कॉन्फ़िगर करने की क्षमता है, तो संदिग्ध पेलोड को स्टोर करने के प्रयासों को रोकने या ज्ञात-संदिग्ध सामग्री के रेंडरिंग को रोकने के लिए नियम जोड़ें। ये उपाय अस्थायी शमन हैं जबकि आप कमजोर प्लगइन को हटा रहे हैं या साइट को पूरी तरह से सुधार रहे हैं।.

सरल पहचान ह्यूरिस्टिक्स

• POST अनुरोधों को ब्लॉक करें /wp-admin/term.php या REST एंडपॉइंट्स का उपयोग करके टर्म विवरणों को सहेजने के लिए जो शामिल हैं 9. या विशेषताओं जैसे onload=, त्रुटि होने पर=, 11. साइट मालिकों के लिए तात्कालिक कदम, जावास्क्रिप्ट:, डेटा:text/html, svg/onload, iframe, या संदिग्ध स्रोत विशेषताएँ जिनमें रैपर और फ़िल्टर को अस्वीकार करें:/जावास्क्रिप्ट:.
• अनुरोधों को ब्लॉक करें जो शामिल हैं <svg इवेंट हैंडलर्स के साथ, या style="background:url(javascript: शैली इंजेक्शन।.

उदाहरण ModSecurity-शैली नियम (छद्मकोड — अपने वातावरण के लिए ट्यून करें):

# ब्लॉक प्रयासों को श्रेणी विवरणों को बचाने के लिए जिसमें  या इवेंट हैंडलर शामिल हैं"

REST एंडपॉइंट्स के लिए (यदि प्लगइन REST को उजागर करता है या admin-ajax का उपयोग करता है):

# संदिग्ध पेलोड को REST अनुरोधों में ब्लॉक करें"

महत्वपूर्ण: WAF नियम एक अस्थायी उपाय हैं। वे जोखिम को कम करते हैं जबकि आप प्लगइन को हटा रहे हैं या साइट को पैच कर रहे हैं, लेकिन वे कमजोर कोड को हटाने या पूरी सफाई के लिए प्रतिस्थापित नहीं करते हैं।.

पहचान: सफाई के बाद क्या देखना है

• अप्रत्याशित प्रशासनिक उपयोगकर्ता या नए खाते जिनकी भूमिकाएँ बढ़ी हुई हैं।.
• अनुसूचित कार्य जो अज्ञात कोड चलाते हैं (जांचें 11. संदिग्ध सामग्री के साथ। क्रोन प्रविष्टियाँ और wp_cron)।.
• अप्रत्याशित प्लगइन या थीम स्थापित/बदले गए (फाइल चेकसम को रिपॉजिटरी संस्करणों के साथ तुलना करें)।.
• आपके सर्वर से संदिग्ध आउटगोइंग कनेक्शन और DNS लुकअप।.
• लॉग में अनुरोध जो पेलोड पैटर्न को दर्शाते हैं या संदिग्ध रीडायरेक्शन या एक्सफिल्ट्रेशन एंडपॉइंट्स शामिल करते हैं।.
• असामान्य प्रशासनिक गतिविधि टाइमस्टैम्प, आईपी, या असफल लॉगिन प्रयास।.

उपयोगी WP-CLI कमांड:

# प्रशासकों की सूची

घटना प्रतिक्रिया और पुनर्प्राप्ति चेकलिस्ट

1. यदि शोषण का संदेह है तो साइट को क्वारंटाइन करें (रखरखाव मोड या अस्थायी ब्लॉक)।.
2. पूर्ण बैकअप लें (फाइलें + DB) और फोरेंसिक समीक्षा के लिए प्रतियां सुरक्षित रखें।.
3. कमजोर प्लगइन को तुरंत निष्क्रिय करें।.
4. डेटाबेस प्रविष्टियों को साफ करें (श्रेणी विवरण, पोस्ट, विकल्प)।.
5. सभी प्रशासनिक पासवर्ड और API कुंजियाँ बदलें। किसी भी समझौता किए गए टोकन को रद्द करें और फिर से जारी करें।.
6. सभी विशेषाधिकार प्राप्त खातों के लिए 2FA सक्षम करें; प्रशासनिक खातों को सीमित करें।.
7. किसी भी बैकडोर की समीक्षा करें और हटाएँ (अप्रत्याशित PHP फ़ाइलें, base64/अज्ञात कोड)।.
8. यदि छेड़छाड़ पाई जाती है तो विश्वसनीय स्रोतों से WordPress कोर, थीम और प्लगइन्स को फिर से स्थापित करें।.
9. यदि साइट की अखंडता को आत्मविश्वास से पुनर्स्थापित नहीं किया जा सकता है, तो एक ज्ञात-अच्छे बैकअप से पुनर्स्थापित करें।.
10. सुधार के बाद एक अवधि के लिए लॉग और साइट के व्यवहार की निकटता से निगरानी करें।.

यदि आप इन चरणों को स्वयं करने में सहज नहीं हैं, तो एक विश्वसनीय वर्डप्रेस सुरक्षा पेशेवर या घटना प्रतिक्रिया विशेषज्ञ को शामिल करें।.

दीर्घकालिक शमन और कठोरता

• न्यूनतम विशेषाधिकार का सिद्धांत: व्यवस्थापक भूमिका को सावधानी से दें। जब संभव हो, दिन-प्रतिदिन की सामग्री संपादन के लिए संपादक या कस्टम भूमिकाओं का उपयोग करें।.
• अविश्वसनीय HTML इनपुट को सीमित करें: उन प्लगइन्स से बचें जो विशेषाधिकार प्राप्त उपयोगकर्ताओं से मनमाना HTML की अनुमति देते हैं। जहां HTML आवश्यक है, वहां कड़े स्वच्छता नियम लागू करें wp_kses एक छोटे अनुमति सूची के साथ।.
• प्लगइन्स और थीम को न्यूनतम रखें और केवल प्रतिष्ठित स्रोतों से स्थापित करें। नियमित रूप से स्थापित प्लगइन्स का ऑडिट करें और अप्रयुक्त को हटा दें।.
• थीम और प्लगइन फ़ाइलों में अनधिकृत परिवर्तनों का पता लगाने के लिए संस्करण नियंत्रण और फ़ाइल अखंडता निगरानी का उपयोग करें।.
• सुरक्षित प्रमाणीकरण प्रथाओं का उपयोग करें: 2FA, मजबूत पासवर्ड, पासवर्ड प्रबंधक, और खाता उपयोग निगरानी।.
• REST API और AJAX एंडपॉइंट्स को मजबूत करें: सर्वर-साइड हैंडलर्स पर नॉनस और क्षमता जांच सुनिश्चित करें।.
• अनुरोध फ़िल्टरिंग / WAF सुरक्षा और अनुरोध शरीर निरीक्षण के साथ निरंतर मैलवेयर स्कैनिंग लागू करें ताकि POST अनुरोधों में इंजेक्टेड पेलोड को पकड़ा जा सके।.
• आप जिन प्लगइन्स का उपयोग करते हैं, उनके लिए भेद्यता सलाहों की निगरानी करें; विश्वसनीय सुरक्षा मेलिंग सूचियों या सलाहों की सदस्यता लें।.

थीम या mu-plugin के लिए PHP कठोरता का नमूना स्निपेट

यदि आप वर्डप्रेस एप्लिकेशन स्तर पर शब्द विवरणों में HTML को सहेजने से रोकना चाहते हैं (यदि आप तुरंत प्लगइन को हटा नहीं सकते हैं तो एक अस्थायी कठोरता), तो एक अनिवार्य उपयोग प्लगइन बनाएं जो शब्द निर्माण/अपडेट पर असुरक्षित टैग को हटा दे।.

बनाएँ wp-content/mu-plugins/sanitize-term-descriptions.php निम्नलिखित सामग्री के साथ (आवश्यकतानुसार अनुमत टैग संपादित करें):

<?php
/*
Plugin Name: Sanitize Term Descriptions - emergency
Description: Strip dangerous HTML from term descriptions as an emergency stopgap.
Author: Security Team
*/

add_action('created_term', 'sanitize_term_description_on_save', 10, 3);
add_action('edited_term', 'sanitize_term_description_on_save', 10, 3);

function sanitize_term_description_on_save($term_id, $tt_id = 0, $taxonomy = '') {
    $term = get_term($term_id, $taxonomy);
    if (!$term) {
        return;
    }
    // Allow only minimal HTML
    $allowed = array(
        'a' => array('href' => true, 'title' => true, 'rel' => true, 'target' => true),
        'br' => array(),
        'p' => array(),
        'b' => array(),
        'strong' => array(),
        'i' => array(),
        'em' => array(),
    );
    $clean = wp_kses($term->description, $allowed);
    if ($clean !== $term->description) {
        wp_update_term($term_id, $taxonomy, array('description' => $clean));
    }
}

यह शब्दों के निर्माण या संपादन के समय विवरणों को सक्रिय रूप से साफ करेगा। यह एक आपातकालीन उपाय है - यदि प्लगइन समृद्ध HTML संपादन सक्षम करता है तो लंबे समय तक इस पर निर्भर न रहें।.

लॉग में निगरानी के लिए उदाहरण पहचान हस्ताक्षर

• अनुरोध शरीर जिसमें शामिल हैं 9. या विशेषताओं जैसे onload= या जावास्क्रिप्ट: के संयोजन में wp-admin/term.php, REST एंडपॉइंट्स, या admin-ajax.php.
• प्रशासनिक POSTs जो शामिल करते हैं विवरण संदिग्ध विशेषताओं के साथ (त्रुटि होने पर=, 11. साइट मालिकों के लिए तात्कालिक कदम, रैपर और फ़िल्टर को अस्वीकार करें:).
• श्रेणी पृष्ठों पर अनुरोधों में अचानक वृद्धि जो रीडायरेक्ट या अज्ञात डोमेन पर बाहरी कॉल का परिणाम बनती है।.
• असामान्य घंटों में या असामान्य IP पते से शर्तों का निर्माण या संशोधन।.

वास्तविक दुनिया के प्रभाव परिदृश्य

• परिदृश्य ए: श्रेणी विवरण में स्क्रिप्ट एक नए प्रशासनिक उपयोगकर्ता को प्रशासनिक AJAX एंडपॉइंट्स के माध्यम से पीड़ित प्रशासन के ब्राउज़र का उपयोग करके बनाती है → पूर्ण साइट अधिग्रहण।.
• परिदृश्य बी: स्क्रिप्ट बाहरी दुर्भावनापूर्ण JS लोड करती है और आगंतुकों को एडवेयर या फ़िशिंग लैंडिंग पृष्ठों पर रीडायरेक्ट करती है → प्रतिष्ठा और SEO को नुकसान।.
• परिदृश्य सी: स्क्रिप्ट फ़ॉर्म इनपुट या सत्र जानकारी को इकट्ठा करती है और हमलावर डोमेन पर एक्सफिल्ट्रेट करती है → लक्षित फॉलो-अप हमले।.

ये परिणाम वास्तविक हैं भले ही प्रारंभिक वेक्टर को प्रशासनिक विशेषाधिकार की आवश्यकता हो — हमलावर आमतौर पर आवश्यक पहुंच प्राप्त करने के लिए सामाजिक इंजीनियरिंग और क्रेडेंशियल पुन: उपयोग का उपयोग करते हैं।.

निवारक विकास सलाह (प्लगइन/थीम लेखकों और एजेंसियों के लिए)

• कभी भी उपयोगकर्ता इनपुट पर भरोसा न करें — यहां तक कि प्रशासकों से भी। हमेशा संदर्भ-उपयुक्त एस्केपिंग का उपयोग करके आउटपुट को साफ करें (esc_html, esc_attr, wp_kses_post एक सख्त अनुमति सूची के साथ)।.
• संपादनीय HTML फ़ील्ड के लिए, केवल साफ, मान्य HTML को बनाए रखें और सुरक्षित रूपांतरित करें (या एक WYSIWYG का उपयोग करें जो सहेजने पर साफ करता है)।.
• सभी सर्वर-साइड एंडपॉइंट्स पर क्षमता और नॉनस जांच लागू करें जो साइट की स्थिति को संशोधित करते हैं (प्रशासन-ajax हैंडलर, REST एंडपॉइंट्स)।.
• XSS वेक्टर और CI में साफ/एस्केप प्रवाह के चारों ओर स्वचालित इकाई/एकीकरण परीक्षण जोड़ें।.
• एक जिम्मेदार प्रकटीकरण चैनल बनाए रखें और नीति को अपडेट करें ताकि उपयोगकर्ताओं को समय पर सुधार प्राप्त हो सके।.

त्वरित पुनर्कथन और अंतिम चेकलिस्ट

• यदि आप “श्रेणी विवरण में HTML की अनुमति दें” (≤ 1.2.4) चलाते हैं: तुरंत प्लगइन को निष्क्रिय करें।.
• बैकअप साइट (फाइलें + DB) और फोरेंसिक कॉपी लें।.
• टर्म विवरणों को स्कैन और साफ करें (WP-CLI SQL क्वेरी या wp_kses PHP स्क्रिप्ट)।.
• प्रशासनिक पासवर्ड बदलें और 2FA सक्षम करें। यदि संदेह हो तो सत्र और API टोकन रद्द करें।.
• WAF/अनुरोध-फिल्टरिंग लागू करें ताकि POST को रोका जा सके जो स्क्रिप्ट-जैसे पेलोड को सहेजने की कोशिश करते हैं (वर्चुअल पैच)।.
• आगे के समझौते के लिए निरीक्षण करें (नए उपयोगकर्ता, नई फाइलें, बदले गए विकल्प)।.
• यदि छेड़छाड़ व्यापक है तो एक ज्ञात-साफ बैकअप से पुनर्निर्माण या पुनर्स्थापित करें।.
• प्लगइन को सुरक्षित विकल्पों से बदलें या HTML को केवल सख्ती से साफ की गई सामग्री तक सीमित करें।.

यदि आपको ट्रायज, WAF नियम निर्माण, त्वरित वर्चुअल पैचिंग, या विस्तृत सुधार योजना में सहायता की आवश्यकता है, तो एक प्रतिष्ठित सुरक्षा पेशेवर या घटना प्रतिक्रिया फर्म से संपर्क करें जो वर्डप्रेस में अनुभवी हो। HTML स्वीकार करने वाले वर्गीकरण क्षेत्रों को उच्च-जोखिम इनपुट के रूप में मानें - सख्त सफाई और आउटपुट एस्केपिंग आवश्यक हैं।.

सलाह तैयार की गई: हांगकांग सुरक्षा विशेषज्ञ - संक्षिप्त, व्यावहारिक, और त्वरित, साक्ष्य-आधारित सुधार पर केंद्रित।.