कार्यकारी सारांश

फरवरी 2026 के लिए ताजा कमजोरियों का डेटा परिचालन चित्र को स्पष्ट करता है: हमलावर मुख्य रूप से फ़ाइल अपलोड, प्रमाणीकरण प्रवाह, और प्रशासनिक उपयोगकर्ता निर्माण को संभालने वाली प्लगइन कार्यक्षमता को लक्षित करते हैं। इनमें से कई सक्रिय रूप से शोषित हैं। यह गाइड प्रमुख रुझानों, प्रतिनिधि शोषित प्लगइन्स, और घटनाओं को जल्दी से नियंत्रित और सुधारने के लिए एक प्राथमिकता सूची को कवर करता है।.

एक नज़र में: आपको जानने की आवश्यकता वाले प्रमुख आँकड़े

• कुल ट्रैक की गई वर्डप्रेस कमजोरियाँ (YTD): ~1,509
• समन्वित सुरक्षा शोधकर्ताओं/संघ कार्यक्रमों द्वारा प्रकट की गई कमजोरियाँ: ~643
• सबसे सामान्य कमजोरी वर्ग (संयुक्त):
  • क्रॉस-साइट स्क्रिप्टिंग (XSS): ~38.8%
  • टूटी हुई पहुँच नियंत्रण: ~24.5%
  • विविध / अन्य: ~20.8%
  • क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF): ~6.3%
  • SQL इंजेक्शन (SQLi): ~4.6%
  • संवेदनशील डेटा का खुलासा: ~3.6%
  • मनमाना फ़ाइल अपलोड: ~1.4%
• परिचालन आँकड़े:
  • ~59% प्रकट की गई कमजोरियों को ठीक किया गया है; ~41% अभी भी ठीक नहीं हुआ है।.
  • प्लगइन सॉफ़्टवेयर ~88% ट्रैक की गई कमजोरियों का प्रतिनिधित्व करता है; थीम ~12%।.

निहितार्थ: प्लगइन हमले की सतह जोखिम पर हावी है। सावधानीपूर्वक प्लगइन चयन, तेज़ जीवनचक्र प्रबंधन, और मुआवज़ा नियंत्रण (विशेष रूप से WAFs और मजबूत सर्वर कॉन्फ़िगरेशन) आपके सबसे मजबूत लीवर हैं।.

हाल के शोषित प्लगइन घटनाएँ — वास्तव में क्या हुआ

नीचे हाल के शोषित या व्यापक प्रभाव वाले कमजोरियों से प्रतिनिधि घटनाएँ हैं। ये वास्तविक प्लगइन नाम हैं जिनके साथ हमले के वेक्टर का संक्षिप्त विवरण है ताकि आप अपनी साइटों पर जोखिम की जांच कर सकें।.

1. WPvivid बैकअप और माइग्रेशन (≤ 0.9.123) — अनधिकृत मनमाना फ़ाइल अपलोड
   • यह क्या है: एक अपलोड कार्यान्वयन ने अनधिकृत अनुरोधों को उचित सत्यापन या पथ प्रतिबंधों के बिना मनमानी फ़ाइलें संग्रहीत करने की अनुमति दी।.
   • क्यों खतरनाक: मनमाना अपलोड अक्सर दूरस्थ कोड निष्पादन की ओर ले जाता है यदि फ़ाइलें वेब-एक्सेसिबल हो जाती हैं। हमलावर वेबशेल, बैकडोर अपलोड कर सकते हैं, या बैकअप को निकाल सकते हैं।.
   • तात्कालिक निवारण: WAF नियमों के साथ कमजोर अंत बिंदु को अवरुद्ध करें, सर्वर-साइड फ़ाइल प्रकार और MIME जांच को सख्ती से लागू करें, अपलोड निर्देशिकाओं में स्क्रिप्ट निष्पादन को अस्वीकार करें, और उपलब्ध होने पर विक्रेता पैच लागू करें।.
2. प्रोफ़ाइल बिल्डर (< 3.15.2) — अनधिकृत मनमाना पासवर्ड रीसेट / खाता अधिग्रहण
   • यह क्या है: दोषपूर्ण पासवर्ड रीसेट/खाता अंत बिंदुओं ने हमलावरों को उचित सत्यापन के बिना अन्य उपयोगकर्ताओं के पासवर्ड रीसेट या बदलने की अनुमति दी।.
   • क्यों खतरनाक: खाता अधिग्रहण की ओर ले जाता है, जब व्यवस्थापक/संपादक खातों को प्रभावित किया जाता है तो यह महत्वपूर्ण होता है।.
   • तात्कालिक निवारण: अनावश्यक पासवर्ड रीसेट अंत बिंदुओं को निष्क्रिय करें, दर सीमित करें और CAPTCHA जोड़ें, ईमेल पुष्टि प्रवाह को लागू करें, और पैच करें।.
3. LA‑Studio तत्व किट फॉर एलिमेंटर (≤ 1.5.6.3) — पैरामीटर के माध्यम से बैकडोर (जैसे, lakit_bkrole) जो व्यवस्थापक उपयोगकर्ता बनाता है
   • यह क्या है: छिपे हुए या खराब सत्यापित पैरामीटर स्वचालित रूप से प्रशासनिक उपयोगकर्ताओं को बना सकते हैं।.
   • क्यों खतरनाक: तात्कालिक विशेषाधिकार वृद्धि; बैकडोर सफाई के बाद भी बने रह सकते हैं।.
   • तात्कालिक निवारण: संदिग्ध पैरामीटर के लिए कोडबेस की खोज करें, बैकडोर लॉजिक को हटा दें, व्यवस्थापक पासवर्ड रोटेशन को मजबूर करें, पैच होने तक प्लगइन को निष्क्रिय करें, और उन पैरामीटर वाले अनुरोधों को अवरुद्ध करने के लिए WAF का उपयोग करें।.
4. अकादमी LMS (≤ 3.5.0) — खाता अधिग्रहण के माध्यम से अनधिकृत विशेषाधिकार वृद्धि
   • यह क्या है: खाता/सत्र प्रबंधन में लॉजिक मुद्दों ने हमलावरों को विशेषाधिकार बढ़ाने की अनुमति दी।.
   • क्यों खतरनाक: निम्न-विशेषाधिकार उपयोगकर्ता से व्यवस्थापक वृद्धि पूरी साइट के समझौते का परिणाम हो सकती है।.
   • तात्कालिक निवारण: सत्र प्रबंधन को कड़ा करें, क्षमता जांच को लागू करें, और व्यवस्थापक खातों के लिए दो-कारक प्रमाणीकरण सक्षम करें।.
5. बुकिंग गतिविधियाँ (≤ 1.16.44) — विशेषाधिकार वृद्धि
   • यह क्या है: AJAX या प्रशासनिक एंडपॉइंट्स में टूटी हुई पहुंच नियंत्रण जो उपयोगकर्ता क्षमताओं को मान्य नहीं करती।.
   • क्यों खतरनाक: अप्राधिकारित उपयोगकर्ता या अप्रमाणित अनुरोध प्रशासनिक क्रियाएँ कर रहे हैं।.
   • तात्कालिक उपाय: WAF नियमों के साथ प्रासंगिक एंडपॉइंट्स को ब्लॉक करें, क्षमता जांच जोड़ें, और प्लगइन को अपडेट करें।.

क्यों हमलावर इन वेक्टरों पर ध्यान केंद्रित करते हैं

• फ़ाइल अपलोड: जब सर्वर-साइड मान्यता गायब होती है तो इसका दुरुपयोग करना आसान होता है; कई डेवलपर्स केवल क्लाइंट-साइड जांच पर निर्भर करते हैं।.
• प्रमाणीकरण प्रवाह और पासवर्ड रीसेट: पूर्वानुमानित टोकन, गायब दर सीमाएँ, या अनुपस्थित नॉनसेस खाते के अधिग्रहण की ओर ले जाते हैं।.
• बैकडोर पैरामीटर: अप्रयुक्त विकास हुक या पूर्वानुमानित पैरामीटर को हमलावरों द्वारा स्कैन और स्वचालित किया जाता है।.
• टूटी हुई पहुंच नियंत्रण: प्रशासन-ajax और REST एंडपॉइंट्स अक्सर सूक्ष्म क्षमता जांच की कमी होती है।.

साइट मालिकों के लिए तात्कालिक कार्रवाई — प्राथमिकता दी गई चेकलिस्ट (पहले 24 घंटे)

1. सूची और एक्सपोजर जांच (15–60 मिनट)
   • उन साइटों की पहचान करें जो ऊपर सूचीबद्ध प्रभावित प्लगइनों और संस्करणों का उपयोग कर रही हैं।.
   • प्लगइन संस्करणों की पुष्टि करें; कमजोर संस्करणों को संभावित रूप से समझौता किया गया मानें जब तक कि साफ-सुथरा सत्यापित न हो जाए।.
2. संकुचन (30–120 मिनट)
   • यदि आप तुरंत पैच नहीं कर सकते हैं तो साइट को रखरखाव मोड में डालें।.
   • जहां सुरक्षित हो, कमजोर प्लगइन को निष्क्रिय करें; यदि संभव नहीं है, तो कमजोर एंडपॉइंट्स को ब्लॉक करने के लिए WAF नियम लागू करें।.
   • प्रशासनिक पासवर्ड और API कुंजियाँ बदलें।.
   • यदि सक्रिय समझौता संदेहास्पद है, तो साइट को ऑफ़लाइन ले जाएँ और फोरेंसिक्स के लिए लॉग्स को संरक्षित करें।.
3. आभासी पैचिंग / WAF नियम लागू करें (मिनट)
   • रिपोर्ट किए गए हमलों में उपयोग किए गए कमजोर एंडपॉइंट पथ और पैरामीटर पैटर्न को ब्लॉक करें।.
   • फ़ाइल अपलोड एंडपॉइंट्स को प्रतिबंधित करें: ज्ञात खतरनाक सामग्री प्रकारों को अस्वीकार करें और निष्पादन योग्य एक्सटेंशन (जैसे, .php) को अस्वीकार करें।.
   • पासवर्ड रीसेट और प्रमाणीकरण एंडपॉइंट्स पर दर-सीमा निर्धारित करें या CAPTCHA की आवश्यकता करें।.
4. स्कैन और मान्य करें (1–4 घंटे)
   • फ़ाइल प्रणाली के चारों ओर मैलवेयर स्कैन चलाएँ; हाल ही में संशोधित फ़ाइलों और वेबशेल हस्ताक्षर की तलाश करें।.
   • अप्रत्याशित व्यवस्थापक खातों के लिए उपयोगकर्ता सूची की जांच करें और उन्हें हटा दें या लॉक करें।.
   • संदिग्ध POST अनुरोधों, अपलोड और व्यवस्थापक निर्माण घटनाओं के लिए सर्वर और एक्सेस लॉग की समीक्षा करें।.
5. पैच और सत्यापित करें (4–24 घंटे)
   • जैसे ही विक्रेता सुरक्षा पैच उपलब्ध और सत्यापित होते हैं, उन्हें लागू करें।.
   • कार्यक्षमता और अवशिष्ट दुर्भावनापूर्ण फ़ाइलों के लिए स्टेजिंग में परीक्षण करें।.
   • यदि समझौता पुष्टि हो जाता है, तो घटना से पहले लिए गए एक साफ बैकअप से पुनर्स्थापित करें, जब आप शोषण वेक्टर को बंद कर दें।.
6. घटना के बाद की कठोरता (24–72 घंटे)
   • क्रेडेंशियल्स को रद्द करें और फिर से जारी करें (WordPress सॉल्ट्स, व्यवस्थापक पासवर्ड, SFTP, डेटाबेस, API टोकन)।.
   • wp-config.php के माध्यम से फ़ाइल संपादन की अनुमति न दें: define(‘DISALLOW_FILE_EDIT’, true);
   • फ़ाइल प्रणाली अनुमतियों को मजबूत करें और निरंतर मैलवेयर स्कैनिंग और WAF कवरेज सुनिश्चित करें।.

WAF और वर्चुअल पैचिंग — आपका आपातकालीन ढाल

व्यावहारिक घटना प्रतिक्रिया में एक आधुनिक वेब एप्लिकेशन फ़ायरवॉल (WAF) समय खरीद सकता है: विक्रेता पैच की प्रतीक्षा करने के बजाय, वर्चुअल पैच शोषण पैटर्न को रोक सकते हैं जबकि आप जांच और पैच करते हैं। जब शोषण पहले से ही सक्रिय होते हैं, तो वर्चुअल पैचिंग विशेष रूप से मूल्यवान होती है।.

व्यावहारिक, विक्रेता-स्वतंत्र WAF रणनीतियाँ

• URI पथ द्वारा ब्लॉक करें: उन एंडपॉइंट्स पर POST को अस्वीकार करें जो अपलोड या खाता प्रबंधन को संभालने के लिए जाने जाते हैं जहाँ कमजोरियाँ मौजूद हैं।.
• पैरामीटर नाम/मान पैटर्न द्वारा ब्लॉक करें: संदिग्ध पैरामीटर (उदाहरण के लिए, ज्ञात बैकडोर पैरामीटर) शामिल करने वाले अनुरोधों को अस्वीकार करें।.
• अपलोड सामग्री को सर्वर-साइड पर मान्य करें: निष्पादन योग्य एक्सटेंशन को अस्वीकार करें, MIME जांच लागू करें, अधिकतम फ़ाइल आकार सेट करें, और अपलोड को मैलवेयर स्कैनर के साथ स्कैन करें।.
• पासवर्ड रीसेट और लॉगिन एंडपॉइंट्स पर दर सीमित करने और CAPTCHA का उपयोग करें।.
• AJAX/REST के माध्यम से वैध नॉनसेस और क्षमता जांच के बिना उपयोगकर्ता बनाने का प्रयास करने वाले अनुरोधों को छोड़ दें।.
• अवरुद्ध प्रयासों पर लॉग और अलर्ट करें ताकि आप संभावित सक्रिय स्कैनिंग या शोषण की समीक्षा कर सकें।.

नोट: वर्चुअल पैचिंग जोखिम को कम करती है और समय खरीदती है, लेकिन यह विक्रेता पैच लागू करने और एक घटना के बाद फोरेंसिक्स पूरा करने का विकल्प नहीं है।.

पैच को प्राथमिकता देने का तरीका (त्वरित निर्णय गाइड)

1. जंगली में सक्रिय शोषण - तुरंत पैच करें।.
2. प्रमाणीकरण बायपास, विशेषाधिकार वृद्धि, फ़ाइल अपलोड, या RCE को सक्षम करने वाली कमजोरियाँ - घंटों से दिनों के भीतर पैच करें और तुरंत वर्चुअल पैचिंग लागू करें।.
3. विशेषाधिकार वृद्धि के बिना XSS या CSRF - व्यावसायिक प्रभाव के आधार पर प्राथमिकता दें; प्रशासनिक पृष्ठों या चेकआउट प्रवाह को प्रभावित करने वाला स्थायी XSS महत्वपूर्ण हो सकता है।.
4. CVSS को मार्गदर्शन के रूप में उपयोग करें लेकिन व्यावसायिक संदर्भ और जोखिम का वजन करें।.

घटना प्रतिक्रिया चेकलिस्ट (संभावित समझौते के लिए तकनीकी कदम)

• स्नैपशॉट बनाएं: पूर्ण फ़ाइल प्रणाली और डेटाबेस बैकअप; वेब सर्वर, PHP, डेटाबेस, और फ़ायरवॉल लॉग एकत्र करें।.
• यदि संभव हो तो नेटवर्क स्तर पर समझौता किए गए होस्ट/साइटों को अलग करें।.
• रहस्यों को घुमाएं: WordPress नमक/कुंजी, प्रशासनिक पासवर्ड, SFTP कुंजी, तीसरे पक्ष के टोकन।.
• फ़ाइल अखंडता जांचें; हाल ही में संशोधित फ़ाइलों और अपलोड की गई फ़ाइलों की जांच करें कि क्या उनमें वेबशेल हैं।.
• अनुसूचित कार्यों और क्रॉन्स की जांच करें जो स्थिरता को फिर से पेश कर सकते हैं।.
• संदिग्ध PHP फ़ंक्शंस (base64_decode, eval, system, exec) के लिए खोजें; हटाने से पहले निष्कर्षों को मान्य करें - कुछ उपयोग वैध हैं।.
• अनधिकृत प्रशासनिक खातों को हटा दें, मजबूत पासवर्ड और 2FA लागू करें।.
• यदि अखंडता की गारंटी नहीं दी जा सकती है तो एक सत्यापित स्वच्छ बैकअप से पुनर्निर्माण करें।.
• शोषित वेक्टर, दायरा, सुधार और रोकथाम के कदमों को कवर करने वाला एक पोस्ट-मॉर्टम तैयार करें।.

डेवलपर मार्गदर्शन: प्लगइन लेखकों को इन समस्याओं से कैसे बचना चाहिए

• सर्वर-साइड पर सब कुछ मान्य और साफ करें - इनपुट, फ़ाइल नाम, MIME प्रकार।.
• हर राज्य-परिवर्तन क्रिया पर क्षमता जांच करें। क्लाइंट-साइड जांच पर भरोसा न करें।.
• AJAX और REST एंडपॉइंट्स के लिए नॉनसेस और उचित अनुमति जांच का उपयोग करें।.
• उत्पादन कोड से छिपे हुए डेवलपर पैरामीटर हटा दें या उन्हें मजबूत प्रमाणीकरण के पीछे रखें।.
• अपलोड की गई फ़ाइलों को वेब-एक्सेसिबल निर्देशिकाओं में लिखने से बचें; जहां व्यावहारिक हो, वेब रूट के बाहर स्टोर करें और नियंत्रित प्रॉक्सी के माध्यम से सेवा करें।.
• न्यूनतम विशेषाधिकार का पालन करें: प्लगइन कोड में अनावश्यक प्रशासनिक स्तर के संचालन से बचें।.
• SQLi और XSS को रोकने के लिए तैयार किए गए बयानों ($wpdb->prepare) और उचित आउटपुट एस्केपिंग का उपयोग करें।.
• स्पष्ट चेंजलॉग और सुरक्षा नोटिस प्रकाशित करें ताकि साइट ऑपरेटर समय पर पैच कर सकें।.

हार्डनिंग चेकलिस्ट - कॉन्फ़िगरेशन और प्रक्रिया में सुधार

• wp-admin में फ़ाइल संपादन को अक्षम करें: define(‘DISALLOW_FILE_EDIT’, true);
• प्रशासनिक खातों के लिए मजबूत पासवर्ड और 2FA लागू करें।.
• प्लगइनों को प्रतिष्ठित लेखकों से सीमित करें और प्लगइन की संख्या कम करें।.
• भूमिका विभाजन का उपयोग करें: संपादकों को दैनिक कार्यों के लिए गैर-प्रशासनिक खाते दें।.
• HTTPS, HSTS, सुरक्षित और HttpOnly कुकीज़ लागू करें; SameSite विशेषताएँ सेट करें।.
• XSS प्रभाव को कम करने के लिए सामग्री सुरक्षा नीति (CSP) लागू करें।.
• छोटे कोर रिलीज़ के लिए स्वचालित अपडेट सक्षम करें; अच्छी तरह से बनाए रखे गए प्लगइनों के लिए सतर्क ऑटो-अपडेट पर विचार करें और स्टेजिंग में परीक्षण करें।.
• नियमित, ऑफ़साइट बैकअप बनाए रखें और मासिक रूप से पुनर्स्थापनों का परीक्षण करें।.

पहचान और निगरानी: किस पर ध्यान देना है

• प्लगइन एंडपॉइंट्स पर असामान्य POST अनुरोध जिन्हें आप पहचानते नहीं हैं।.
• अप्रत्याशित प्रशासनिक उपयोगकर्ता निर्माण या विशेषाधिकार वृद्धि।.
• uploads/, wp-content/, या थीम/प्लगइन निर्देशिकाओं में नए PHP फ़ाइलें।.
• समान IP रेंज या असामान्य स्थानों से बार-बार असफल लॉगिन।.
• वेब सर्वर से अप्रत्याशित आउटबाउंड कनेक्शन (संभावित डेटा निकासी)।.
• मैलवेयर स्कैनर या WAF से अलर्ट जो अवरुद्ध किए गए हमले के प्रयासों को इंगित करते हैं।.

अपने घटना प्रतिक्रिया चैनलों (Slack, ईमेल, SIEM) के साथ अलर्ट को एकीकृत करें और सुनिश्चित करें कि कोई महत्वपूर्ण अवरोधों पर तेजी से कार्रवाई करने के लिए कॉल पर है।.

तात्कालिक सुरक्षा विकल्प

यदि आपको पैच करते समय तात्कालिक सुरक्षा की आवश्यकता है:

• ज्ञात हमले के URI, पैरामीटर और संदिग्ध अपलोड गतिविधियों को अवरुद्ध करने के लिए WAF नियम (वर्चुअल पैच) लागू करें।.
• अपलोड निर्देशिकाओं में निष्पादन को अस्वीकार करने के लिए सर्वर कॉन्फ़िगरेशन का उपयोग करें (अपलोड में PHP निष्पादन को अक्षम करें)।.
• पासवर्ड रीसेट और लॉगिन एंडपॉइंट्स के लिए दर सीमाएँ और CAPTCHA लागू करें।.
• यदि आपको सक्रिय शोषण का संदेह है तो एक विश्वसनीय सुरक्षा पेशेवर या घटना प्रतिक्रिया करने वाले को शामिल करें।.

एक ऐसा समाधान चुनें जो वर्चुअल पैच का तेज़ तैनाती, अवरुद्ध घटनाओं का स्पष्ट लॉगिंग, और वैध ट्रैफ़िक में न्यूनतम व्यवधान की अनुमति देता हो। प्रदाताओं का मूल्यांकन विश्वसनीयता और प्रतिक्रिया समय के आधार पर करें, न कि विपणन दावों पर।.

सब कुछ एक साथ रखना - अनुशंसित 30/60/90 दिन की कार्रवाई योजना

• पहले 30 दिन (ट्रायज और कंटेनमेंट):
  • उच्च-जोखिम वाले प्लगइन्स की सूची बनाएं और पैच करें।.
  • किसी भी अनपैच किए गए जोखिमों के लिए WAF वर्चुअल पैचिंग लागू करें।.
  • पूर्ण मैलवेयर स्कैन चलाएं और संक्रमित साइटों को सत्यापित बैकअप से साफ़ या पुनर्स्थापित करें।.
• अगले 60 दिन (स्थिरता और मजबूत करना):
  • प्लगइन अपडेट नीतियों को औपचारिक रूप दें और स्टेजिंग में अपडेट का परीक्षण करें।.
  • सुरक्षित डिफ़ॉल्ट को लागू करें (फाइल संपादन को अक्षम करें, 2FA सक्षम करें)।.
  • प्रशासनिक घटनाओं और फ़ाइल परिवर्तनों के लिए निगरानी और अलर्टिंग लागू करें।.
• 90 दिनों तक (प्रक्रिया और रोकथाम):
  • रखरखाव कार्यप्रवाह में भेद्यता निगरानी को एकीकृत करें।.
  • एक प्लगइन ऑडिट करें और जोखिम भरे घटकों को हटा दें या बदलें।.
  • टीमों को सुरक्षित विकास और संचालन स्वच्छता पर प्रशिक्षित करें।.

हांगकांग सुरक्षा परिप्रेक्ष्य से समापन विचार

हांगकांग बाजार में एक ऑपरेटर के दृष्टिकोण से - जहां तेज प्रतिक्रिया और स्पष्ट जवाबदेही महत्वपूर्ण हैं - फरवरी 2026 का डेटा एक स्थिर वास्तविकता की पुष्टि करता है: प्लगइन जो अपलोड, प्रमाणीकरण और प्रशासनिक नियंत्रण को छूते हैं, वे हमलावरों के लिए सबसे उच्च-मूल्य वाले लक्ष्य हैं। ये अक्सर वास्तविक दुनिया में शोषित होते हैं, केवल सैद्धांतिक जोखिम नहीं।.

व्यावहारिक सलाह: प्लगइन अपडेट को सुरक्षा-क्रिटिकल के रूप में मानें, स्तरित रक्षा को लागू करें (सर्वर हार्डनिंग, निगरानी, WAF वर्चुअल पैच), और एक संचालन घटना प्लेबुक बनाए रखें। वर्चुअल पैचिंग तत्काल जोखिम को कम करती है लेकिन पूरी पैचिंग और फोरेंसिक मान्यता को प्रतिस्थापित नहीं करती।.

निर्णायक रूप से कार्य करें: सूची बनाएं, सीमित करें, और फिर सुधारें। यदि आपके पास कई साइटें हैं या ग्राहकों की ओर से होस्ट करते हैं, तो अपडेट, स्कैनिंग और अलर्ट के लिए स्वचालन को प्राथमिकता दें ताकि आप मिनटों में प्रतिक्रिया कर सकें, दिनों में नहीं।.

— हांगकांग सुरक्षा विशेषज्ञ