आपको इसकी परवाह क्यों करनी चाहिए

वर्डप्रेस साइटें आमतौर पर ऐसे प्लगइन्स पर निर्भर करती हैं जो कस्टम डाउनलोड एंडपॉइंट, शॉर्टकोड, या AJAX हैंडलर बनाते हैं। जब वे हैंडलर यह जांचने में विफल रहते हैं कि अनुरोध करने वाले उपयोगकर्ता को वास्तव में अंतर्निहित पोस्ट (उदाहरण के लिए, एक निजी पोस्ट या एक पासवर्ड-संरक्षित पोस्ट) को पढ़ने की अनुमति है या नहीं, तो उन पोस्ट से संबंधित अटैचमेंट अनधिकृत आगंतुकों को लीक हो सकते हैं।.

यहां तक कि जब एक कमजोरियों को CVSS द्वारा “कम/मध्यम” के रूप में स्कोर किया जाता है, वास्तविक प्रभाव महत्वपूर्ण हो सकता है यह इस पर निर्भर करता है कि साइट पर कौन से अटैचमेंट संग्रहीत हैं: अनुबंध, आंतरिक रिपोर्ट, ग्राहक डेटा, चित्र या बैकअप। संवेदनशील अटैचमेंट का उजागर होना गोपनीयता उल्लंघनों, अनुपालन मुद्दों, या लक्षित अनुवर्ती हमलों का कारण बन सकता है।.

उद्देश्य:

• कमजोरियों को स्पष्ट तकनीकी शब्दों में समझाना।.
• सुरक्षित, क्रियाशील उपाय प्रदान करें जिन्हें आप तुरंत लागू कर सकते हैं (वर्चुअल पैचिंग / WAF नियम)।.
• एक मजबूत, कोड-स्तरीय सुधार पथ दें जिसे प्लगइन लेखक या रखरखाव करने वाले लागू कर सकते हैं।.
• वर्डप्रेस प्रशासकों के लिए पहचान, घटना प्रतिक्रिया, और जोखिम कमी के चरणों के माध्यम से चलें।.

कमजोरियों का तकनीकी अवलोकन

क्या रिपोर्ट किया गया: प्लगइन एक एंडपॉइंट / डाउनलोड हैंडलर को उजागर करता है जो अटैचमेंट को ज़िप में पैक करता है और उन्हें अनुरोधकर्ता को लौटाता है। वह हैंडलर माता-पिता पोस्ट पर पाठक के प्राधिकरण की सही तरीके से पुष्टि नहीं करता है: यह फ़ाइलें भेजने से पहले पोस्ट की निजी स्थिति या पासवर्ड आवश्यकता की पुष्टि करने में विफल रहता है। परिणामस्वरूप, अनधिकृत अनुरोध निजी या पासवर्ड-संरक्षित पोस्ट से जुड़े अटैचमेंट का अनुरोध कर सकते हैं और फ़ाइल सामग्री प्राप्त कर सकते हैं।.

मूल कारण (संक्षिप्त): प्लगइन की डाउनलोड रूटीन में अनुपस्थित या अधूरी प्राधिकरण जांच (जैसे, post_password_required() को कॉल न करना, निजी पोस्ट क्षमताओं की पुष्टि न करना, या वर्तमान उपयोगकर्ता की अनुमतियों की पुष्टि न करना)।.

हमले की सतह: कोई भी सार्वजनिक रूप से पहुंच योग्य डाउनलोड पथ जो प्लगइन उजागर करता है — सामान्य उदाहरणों में शामिल हैं:

• एक फ्रंट-एंड क्वेरी स्ट्रिंग एंडपॉइंट (जैसे, /?zip_attachments=download&post_id=123)
• एक AJAX क्रिया (admin-ajax.php?action=zip_attachments_download&post_id=123)
• /wp-content/plugins/zip-attachments/ या समान के तहत एक कस्टम री-राइट स्लग

चूंकि ये एंडपॉइंट बिना प्रमाणीकरण के पहुंच योग्य हैं, एक हमलावर पोस्ट आईडी या अटैचमेंट आईडी की गणना कर सकता है और उन पोस्ट के लिए डाउनलोड का अनुरोध कर सकता है जो अपेक्षित हैं कि वे निजी या पासवर्ड-संरक्षित हों।.

CVE: CVE-2025-11701

यथार्थवादी हमले के परिदृश्य

1. खोज और गणना
   • एक हमलावर साइट के प्लगइन के एंडपॉइंट्स (फाइल नाम, ज्ञात क्वेरी पैरामीटर, या हैंडलर्स) के लिए जांच करता है।.
   • वे पोस्ट आईडी (सामान्य तकनीक: बढ़ते संख्या आईडी) की गणना करते हैं या अटैचमेंट आईडी के लिए साइट सामग्री को पार्स करते हैं।.
   • प्रत्येक उम्मीदवार पोस्ट/अटैचमेंट के लिए हमलावर प्लगइन एंडपॉइंट का उपयोग करके एक ZIP या फ़ाइल का अनुरोध करता है।.
2. डेटा का खुलासा
   • यदि प्लगइन प्राधिकरण को लागू किए बिना फ़ाइल सामग्री भेजता है, तो प्रत्येक अनुरोध फ़ाइल सामग्री लौटाता है।.
   • हमलावर डाउनलोड की गई फ़ाइलों को संग्रहित कर सकता है, संवेदनशील डेटा के लिए उन्हें खोज सकता है, या उन्हें सामाजिक इंजीनियरिंग और जबरन वसूली में उपयोग कर सकता है।.
3. अन्य कमजोरियों या सार्वजनिक डेटा के साथ चेनिंग
   • सार्वजनिक रूप से दृश्य पोस्ट के टुकड़े या साइटमैप सामग्री आंतरिक पोस्ट आईडी को प्रकट कर सकते हैं।.
   • एक बार अटैचमेंट प्राप्त होने के बाद, हमलावर फ़िशिंग, डॉक्सिंग, या नियामक खुलासे के लिए जानकारी का उपयोग कर सकते हैं।.

शोषण की जटिलता: मध्यम से कम। हमलावर को प्लगइन एंडपॉइंट और लक्षित आईडी(ओं) का ज्ञान होना आवश्यक है। पूर्वानुमानित संख्या आईडी वाले साइटों के लिए गणना सीधी है। कोई प्रमाणीकरण, XSS, या कोड निष्पादन की आवश्यकता नहीं है।.

अब क्या करें — तात्कालिक शमन (कुछ मिनटों के भीतर लागू करें)

यदि आपकी साइट Zip Attachments प्लगइन का उपयोग करती है और आप तुरंत अपडेट नहीं कर सकते, तो कमजोर हैंडलर के लिए बिना प्रमाणीकरण वाले डाउनलोड अनुरोधों को जल्दी रोकने के लिए इन परतों में से एक या अधिक शमन लागू करें।.

1. प्लगइन को अस्थायी रूप से निष्क्रिय करें

   WordPress Admin → Plugins → Installed Plugins पर जाएं → “Zip Attachments” को निष्क्रिय करें। यह सबसे सरल और सबसे प्रभावी शमन है।.

2. प्लगइन के डाउनलोड एंडपॉइंट्स तक पहुंच को प्रतिबंधित करें (वर्चुअल पैच / WAF)

   उन अनुरोधों को ब्लॉक या कड़ा करें जो प्लगइन के एंडपॉइंट पैटर्न से मेल खाते हैं। यदि आप WAF या रिवर्स-प्रॉक्सी संचालित करते हैं, तो प्लगइन के एंडपॉइंट्स के लिए बिना प्रमाणीकरण वाले अनुरोधों को ब्लॉक करने के लिए नियम जोड़ें।.

   उदाहरण ModSecurity नियम (अपने वातावरण के अनुसार अनुकूलित करें):

   SecRule REQUEST_URI "@rx (zip[-_]attachments|zipattachments|zip_download|za_download)" "id:900001,phase:1,deny,log,msg:'संभावित zip-attachments बिना प्रमाणीकरण डाउनलोड को ब्लॉक करें',chain"

   व्याख्या: उन अनुरोधों को ब्लॉक करें जहां URI प्लगइन के डाउनलोड एंडपॉइंट्स की तरह दिखता है और वहां कोई प्रमाणीकरण कुकी मौजूद नहीं है। यह गुमनाम पहुंच को अस्वीकार करता है लेकिन लॉग इन किए गए उपयोगकर्ताओं को अनुमति देता है। अपने साइट के प्रमाणीकरण कुकीज़ (WordPress ‘wordpress_logged_in_’ से शुरू होने वाली कुकीज़ सेट करता है) से मेल खाने के लिए हेडर जांच को समायोजित करें।.

3. विशिष्ट admin-ajax क्रियाओं को ब्लॉक करें

   यदि प्लगइन admin-ajax.php?action=… का उपयोग करता है, तो उस विशिष्ट मान के लिए ब्लॉक करें या प्रमाणीकरण की आवश्यकता करें।.

   बिना प्रमाणीकरण के admin-ajax क्रिया को अस्वीकार करने के लिए उदाहरण nginx नियम:

   स्थान = /wp-admin/admin-ajax.php {

4. IP / भूगोल द्वारा पहुंच सीमित करें (अस्थायी)

   यदि केवल ज्ञात IP रेंज का एक सेट या आपके कार्यालयों को इस कार्यक्षमता की आवश्यकता है, तो अस्थायी उपाय के रूप में IP द्वारा पहुंच को सीमित करें।.

5. एक संदर्भकर्ता या nonce की आवश्यकता (यदि व्यावहारिक हो)

   यदि आप उस फ्रंट-एंड को नियंत्रित कर सकते हैं जो डाउनलोड को ट्रिगर करता है, तो nonce की आवश्यकता करें और इसे क्लाइंट और सर्वर दोनों पक्षों पर लागू करें। यदि आप कोड को जल्दी पैच कर सकते हैं तो यह एक अस्थायी उपाय है।.

6. लॉग की निगरानी करें और असामान्य डाउनलोड के लिए अलर्ट बढ़ाएं

   एकल IP से प्लगइन एंडपॉइंट के लिए बार-बार कॉल या असामान्य संख्या में डाउनलोड के लिए वेब सर्वर लॉग, WAF लॉग और WordPress गतिविधि पर नज़र रखें।.

व्यावहारिक वर्चुअल-पैच नियम

नीचे उदाहरण नियम पैटर्न हैं। अपने वातावरण के लिए इन्हें टेम्पलेट के रूप में उपयोग करें - ModSecurity, वाणिज्यिक WAFs, nginx, या क्लाउड WAFs के बीच सिंटैक्स भिन्न होगा। पहले स्टेजिंग में परीक्षण करें।.

• प्लगइन पथ का सामान्य ब्लॉक: HTTP GET/POST अनुरोधों को ब्लॉक करें जहां REQUEST_URI में ‘/wp-content/plugins/zip-attachments/’ है और कोई मान्य WordPress लॉगिन कुकी नहीं है।.
• admin-ajax क्रिया को ब्लॉक करें: यदि REQUEST_URI या QUERY_STRING में “action=zip_attachments” या समान क्रिया नाम हैं, तो एक प्रमाणित सत्र की आवश्यकता करें या ब्लॉक करें।.
• संदर्भकर्ता और विधि प्रतिबंध लागू करें: केवल डाउनलोड एंडपॉइंट के लिए POST अनुरोधों की अनुमति दें और जहां व्यावहारिक हो, अपने साइट के मूल से मेल खाने वाले एक मान्य संदर्भकर्ता की आवश्यकता करें।.
• अलर्टिंग नियम: यदि निजी/पोस्ट IDs के लिए Y मिनटों के भीतर X से अधिक zip डाउनलोड का अनुरोध किया जाता है तो फ्लैग करें (ह्यूरिस्टिक पहचान)।.

उदाहरण ModSecurity छद्म-नियम (व्याख्यात्मक):

SecRule REQUEST_METHOD "GET" "chain,deny,msg:'गुमनाम ज़िप-एटैचमेंट GET को ब्लॉक करें'"

जहां TX:AUTHENTICATED एक आंतरिक ध्वज है जिसे पहले के नियमों द्वारा सेट किया गया है जो ‘wordpress_logged_in_’ कुकीज़ या अन्य प्रमाणीकरण संकेतक की उपस्थिति का पता लगाते हैं। पहले पहचान/लॉगिंग मोड में नियम शुरू करें फिर अस्वीकृति पर स्विच करें।.

प्लगइन लेखकों और डेवलपर्स के लिए कोड-स्तरीय सुधार

यदि आप प्लगइन का रखरखाव करते हैं या अपने थीम या mu-plugin में सुरक्षित ओवरराइड को संशोधित कर सकते हैं, तो डाउनलोड हैंडलर के शीर्ष पर प्राधिकरण जांच लागू करें:

• जांचें कि क्या पोस्ट पासवर्ड से सुरक्षित है (post_password_required()) — यदि हां, तो प्रदान किया गया पासवर्ड आवश्यक है या अस्वीकृत करें।.
• जांचें कि क्या पोस्ट स्थिति ‘निजी’ है — यदि हां, तो केवल अधिकृत उपयोगकर्ताओं को अनुमति दें (current_user_can(‘read_post’, $post_id))।.
• सत्यापित करें कि लौटाए गए अटैचमेंट अनुरोधित पोस्ट से संबंधित हैं (सैनिटी चेक)।.
• फ़ॉर्म अनुरोधों के लिए नॉनसेस का उपयोग करें और स्थिति-परिवर्तन संचालन के लिए मान्य नॉनस के बिना अस्वीकृत करें।.

मजबूत जांच करने के लिए उदाहरण (व्याख्यात्मक) PHP स्निपेट। फ़ाइलों को स्ट्रीम करने से पहले अपने डाउनलोड हैंडलर के शीर्ष पर डालें:

<?php

नोट्स और तर्क:

• post_password_required() जांचता है कि क्या पोस्ट को पासवर्ड की आवश्यकता है और क्या वर्तमान सत्र ने पहले ही सही पासवर्ड प्रदान किया है।.
• current_user_can(‘read_post’, $post_id) WP के map_meta_cap को सौंपता है जो निजी पोस्ट के लिए प्रति-पोस्ट अनुमतियों को संभालता है। यह is_user_logged_in() से बेहतर है।.
• सुरक्षा नियंत्रण के रूप में केवल संदर्भ पर कभी भरोसा न करें; नॉनसेस और क्षमता जांच को प्राधिकृत मानें।.

यदि प्लगइन कस्टम एंडपॉइंट या री-राइट नियमों का उपयोग करता है, तो ऊपर दी गई प्राधिकरण जांच हर आने वाले अनुरोध पर चलनी चाहिए जो अटैचमेंट लौटा सकती है।.

यह कैसे पता करें कि आपकी साइट प्रभावित हुई थी

1. संदिग्ध अनुरोधों के लिए वेब और WAF लॉग की जांच करें

   प्लगइन एंडपॉइंट्स (URIs जिनमें “zip” और “attachments” शामिल हैं, या admin-ajax.php जिसमें zip-संबंधित क्रियाएँ हैं) के लिए अनुरोधों की तलाश करें। उन अनुरोधों की पहचान करें जिन्होंने अटैचमेंट के लिए 200 प्रतिक्रियाएँ लौटाई लेकिन गैर-प्रमाणीकृत IPs या अज्ञात उपयोगकर्ता एजेंटों से उत्पन्न हुईं।.

2. निजी या पासवर्ड-सुरक्षित पोस्टों तक पहुंच का निरीक्षण करें

   निजी या पासवर्ड-संरक्षित पोस्ट आईडी को संदर्भित करने वाले GET अनुरोधों की तलाश करें जो फ़ाइलें लौटाते हैं।.

3. प्लगइन डाउनलोड सांख्यिकी की समीक्षा करें

   यदि आपके पास प्लगइन के अंदर लॉगिंग है (डाउनलोड काउंटर, संग्रहीत लॉग), तो प्रकटीकरण तिथि और उसके बाद के प्रविष्टियों की समीक्षा करें।.

4. एक्सफिल्ट्रेशन कलाकृतियों की खोज करें

   हमलावर आमतौर पर फ़ाइलें बाहरी रूप से डाउनलोड करते हैं। यदि उपलब्ध हो, तो असामान्य डाउनलोड के लिए आउटबाउंड ट्रैफ़िक लॉग (CDN, प्रॉक्सी लॉग) की समीक्षा करें।.

5. चेकसम का उपयोग करें

   यदि आप संवेदनशील अटैचमेंट की बाहरी प्रतियां रखते हैं, तो सत्यापित करें कि क्या कोई गायब या परिवर्तित है। अधिक सामान्यतः, आपको डाउनलोड के लॉग प्रमाण की आवश्यकता होगी।.

यदि आप दुरुपयोग का प्रमाण पाते हैं, तो नीचे दिए गए घटना प्रतिक्रिया चरणों का पालन करें।.

घटना प्रतिक्रिया चरण (यदि आप प्रमाण पाते हैं तो क्या करें)

1. सीमित करें

   तुरंत प्लगइन को अक्षम करें या वर्चुअल पैच / WAF नियम लागू करें जो अनधिकृत उपयोगकर्ताओं के लिए कमजोर अंत बिंदु को ब्लॉक करता है। किसी भी क्रेडेंशियल या साझा रहस्यों को बदलें जो अटैचमेंट के माध्यम से उजागर हो सकते हैं।.

2. मूल्यांकन करें

   दायरा निर्धारित करें: कौन से अटैचमेंट तक पहुंची गई, कौन से पोस्ट प्रभावित हुए, और कब। संवेदनशीलता (PII, वित्तीय डेटा, अनुबंध) के आधार पर प्राथमिकता दें।.

3. समाप्त करें और पुनर्प्राप्त करें

   समझौता किए गए कलाकृतियों को हटा दें या बदलें (यदि अटैचमेंट में क्रेडेंशियल या API कुंजी शामिल हैं - उन्हें बदलें)। यदि आवश्यक हो, तो बैकअप से परिवर्तित सामग्री को पुनर्स्थापित करें।.

4. सूचित करें

   प्रभावित पक्षों को सूचित करें यदि व्यक्तिगत डेटा उजागर हुआ है और आप उल्लंघन सूचना नियमों के अधीन हैं। हितधारकों के साथ गैर-शोषणकारी विवरण साझा करें।.

5. घटना के बाद

   लॉगिंग और निगरानी को मजबूत करें। प्लगइन जीवनचक्र और विक्रेता की प्रतिक्रिया की समीक्षा करें। यदि आप कई साइटें चलाते हैं, तो अपने बेड़े में वर्चुअल पैचिंग के माध्यम से सामूहिक शमन पर विचार करें।.

हार्डनिंग और दीर्घकालिक जोखिम में कमी

• स्थापित करने से पहले तीसरे पक्ष के प्लगइनों की जांच करें: जहां संभव हो, प्लगइन कोड की समीक्षा करें, अपडेट आवृत्ति की जांच करें, और सक्रिय रूप से बनाए रखे जाने वाले प्लगइनों को प्राथमिकता दें।.
• एक न्यूनतम हमले की सतह बनाए रखें: उन प्लगइनों को अक्षम या हटा दें जिनका आप उपयोग नहीं करते हैं। कम तीसरे पक्ष के हैंडलर्स का मतलब है कम जोखिम।.
• न्यूनतम विशेषाधिकार का उपयोग करें: सार्वजनिक वर्डप्रेस अपलोड निर्देशिका में अत्यधिक संवेदनशील अटैचमेंट्स को स्टोर करने से बचें। संवेदनशील फ़ाइलों को एक्सेस-नियंत्रित सिस्टम (साइन किए गए यूआरएल के साथ S3, निजी स्टोरेज) के पीछे स्टोर करने पर विचार करें।.
• गहराई में रक्षा लागू करें: अपने साइट के सामने WAF/वर्चुअल पैचिंग लागू करें ताकि उन प्लगइन्स में समस्याओं को पकड़ सकें जो तैनाती के बाद खोजी गई हैं। नियमित बैकअप और एक घटना प्रतिक्रिया योजना बनाए रखें।.
• गतिविधि की निगरानी करें: असामान्य डाउनलोड पैटर्न, फ़ाइल एक्सेस में अचानक वृद्धि, और कम उपयोग किए जाने वाले एंडपॉइंट्स के लिए बार-बार अनुरोधों के लिए अलर्ट सेट करें।.

देखने के लिए उदाहरण पहचान संकेत और व्यवहारिक संकेतक

• एक ही IP से एक छोटे समय में प्लगइन स्लग (जैसे, zip-attachments) वाले URIs के लिए उच्च मात्रा में अनुरोध।.
• admin-ajax.php अनुरोधों में zip/download का संदर्भ देने वाले क्रिया पैरामीटर और कोई मान्य लॉगिन कुकी नहीं।.
• कई IDs के लिए अनुक्रमिक क्रम में post_id या attachment_id क्वेरी पैरामीटर शामिल करने वाले अनुरोध।.
• अटैचमेंट डाउनलोड अनुरोधों के लिए 200 प्रतिक्रियाएँ जहाँ अनुरोध की कुकी हेडर में कोई वर्डप्रेस लॉगिन कुकी नहीं है।.
• संदिग्ध उपयोगकर्ता एजेंटों को डाउनलोड पैटर्न के साथ मिलाकर।.

इन संकेतकों को SIEM/Kibana अलर्ट या WAF पहचान नियमों में परिवर्तित करें जो आपके वातावरण के लिए उपयुक्त हों।.

आधिकारिक अपडेट की प्रतीक्षा करते समय वर्चुअल पैचिंग क्यों सहायक है

वर्चुअल पैचिंग (WAF नियम, एंडपॉइंट ब्लॉकिंग, अनुरोध मान्यता) वेबसाइटों की तुरंत सुरक्षा करता है बिना प्लगइन में कोड परिवर्तन की आवश्यकता के या अपस्ट्रीम रिलीज़ की प्रतीक्षा किए बिना। यह प्रशासकों को कमजोर सतह को अलग करते हुए अन्य कार्यक्षमता का उपयोग जारी रखने की अनुमति देता है, और वर्चुअल पैच को जल्दी से वापस लिया या परिष्कृत किया जा सकता है जब अधिक जानकारी उपलब्ध होती है।.

प्रबंधित सुरक्षा का उपयोग करते समय विचार

यदि आप एक प्रबंधित WAF संचालित करते हैं या वर्चुअल पैचिंग के लिए किसी तीसरे पक्ष के प्रदाता को संलग्न करते हैं, तो सुनिश्चित करें कि प्रदाता मजबूत परिवर्तन-नियंत्रण प्रथाओं का पालन करता है: पहले मॉनिटर मोड में नियमों का परीक्षण करें, झूठे सकारात्मक जांच के लिए स्पष्ट लॉगिंग प्रदान करें, और व्यापक ब्लॉकिंग से बचें जो वैध उपयोगकर्ताओं को बाधित कर सकता है। तटस्थ, अच्छी तरह से समीक्षा किए गए प्रदाताओं का चयन करें और उत्पादन में तैनाती से पहले एक स्टेजिंग वातावरण में नियमों को मान्य करें।.

साइट प्रशासकों के लिए अनुशंसित समयरेखा और चेकलिस्ट

तात्कालिक (अगले घंटे)

• यदि संभव हो, तो प्लगइन को निष्क्रिय करें।.
• यदि आप निष्क्रिय नहीं कर सकते हैं, तो प्लगइन एंडपॉइंट्स पर अनधिकृत पहुंच को अस्वीकार करने के लिए WAF नियम जोड़ें।.
• किसी भी संदिग्ध पूर्व डाउनलोड का पता लगाने के लिए लॉग समीक्षा शुरू करें।.

अल्पकालिक (अगले 24–72 घंटे)

• एक आधिकारिक विक्रेता रिलीज़ उपलब्ध होने पर कोड सुधार या अपडेट किया गया प्लगइन लागू करें।.
• अटैचमेंट के माध्यम से उजागर किसी भी रहस्यों को घुमाएं।.
• यदि संवेदनशील डेटा तक पहुंची गई है तो हितधारकों को सूचित करें।.

मध्यकालिक (1–4 सप्ताह)

• प्लगइन के उपयोग की समीक्षा करें और यदि उपयुक्त हो तो बेहतर रखरखाव वाले विकल्पों के साथ बदलें।.
• संवेदनशील अटैचमेंट के भंडारण को मजबूत करें (सार्वजनिक अपलोड निर्देशिका से हटा दें)।.
• फ़ाइल पहुंच और WAF अलर्ट की निरंतर निगरानी सक्षम करें।.

दीर्घकालिक

• अपने प्लगइन समीक्षा और पैचिंग नीति को अपडेट करें।.
• अपने सुरक्षा कार्यप्रवाह में आभासी पैचिंग को एकीकृत करें ताकि नए खोजे गए प्लगइन दोषों को सभी साइटों पर जल्दी से कम किया जा सके।.

प्लगइन रखरखावकर्ताओं के लिए उदाहरण पैच / पुल अनुरोध नोट्स

• डाउनलोड एंडपॉइंट्स पर प्राधिकरण जांच के लिए यूनिट परीक्षण जोड़ें।.
• सर्वर-साइड जांच जोड़ें: post_password_required(), current_user_can(‘read_post’, $post_id)।.
• README में अपेक्षित व्यवहार का दस्तावेजीकरण करें (जब उपयोगकर्ता निजी या पासवर्ड-संरक्षित पोस्ट के लिए डाउनलोड का अनुरोध करते हैं तो उन्हें क्या अपेक्षित करना चाहिए)।.
• उन प्रशासकों के लिए एक ऑप्ट-इन प्रदान करें जो अनाम उपयोगकर्ताओं के लिए ज़िप डाउनलोड सक्षम करना चाहते हैं, लेकिन डिफ़ॉल्ट रूप से केवल प्रमाणित उपयोगकर्ताओं के लिए।.