Advertisement
shakil97bd

Important 10 tips for wordpress wesite security.

Feb 22nd, 2015
489
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 13.09 KB | None | 0 0
  1. ************************** ওয়ার্ডপ্রেস সাইট হ্যাকিং থেকে বাঁচানোর ১০টি ওয়ার্ডপ্রেস সিকিউরিটি টিপস ***********************
  2.  
  3. ১. ‘admin’ নামের ইউজারনেম ব্যাবহার করবেন না
  4.  
  5. এই কাজটি একমাত্র তারাই করে থাকেন যারা ওয়ার্ডপ্রেস ব্যাবহারের ক্ষেত্রে একদম নতুন। কিন্তু কথা হল পৃথিবীতে বিপুল সংখ্যক সাইটের ইউজারনেম এটাই। এর কারন ওয়ার্ডপ্রেসের আগের ভার্সন গুলোতে এটা ডিফল্ট ইউজারনেম হিসেবে থাকতো। যদিও এটা ব্যাবহার করে যারা হ্যাক করেন তাদেরকে আমি হ্যাকারের উপাধি দিতে রাজি নই। তবুও বলতে হবে প্রতি বছর বেশ কিছু সাইট হ্যাক হয় শুধুমাত্র এই ইউজারনেম ব্যাবহারের কারনে। সুতরাং এড়িয়ে যাওয়ার কিছু নেই এখানে।
  6.  
  7. ২. লগ-ইন লকডাউন সিস্টেম ব্যাবহার করুন
  8.  
  9. ওয়েবসাইট হ্যাকারদের একটা প্রিয় হ্যাকিং সিস্টেম হচ্ছে brute force (ব্রুট ফোর্স)। যেখানে তারা একটাই ওয়েবসাইটে বহুসংখ্যক সম্ভাব্য ইউজারনেম এবং পাসওয়ার্ড কম্বিনেশন ব্যাবহার করে লগ-ইন এর চেষ্টা চালায়। আপনার কাছে এভাবে হ্যাক করা হয়তো অসম্ভব মনে হতে পারে। কিন্তু তাদের কাছে এটা খুবই সোজা। কারন তারা এই কাজটি করতে বিভিন্ন সফটওয়্যার ব্যাবহার করে যেইগুলা খুব দ্রুত বেশকিছু(এমনকি ঘণ্টায় কয়েক হাজার) লগ-ইন এটেম্প চালাতে পারে। এবং এইধরনের পদ্ধতিতে বার বার লগ-ইন চেষ্টা করা যায় এইধরনের যেকোনো সাইট হ্যাক করা যায়। এমনকি ডিকশনারি অ্যাটাক(dictionary attack) (মানে বিশেষ কিছু ইউজার এবং পাস কম্বিনেশন যা পৃথিবীব্যাপী বহুল প্রচলিত) ব্যাবহার করেই বেশ কিছু সাইট হ্যাক করে ফেলে হ্যাকাররা। এখন কথা হল আপনি কিভাবে বাঁচবেন? খুব সহজ পদ্ধতি অনুসরন করুন। সাইটে লগ-ইন লিমিট রাখুন। অর্থাৎ কেউ যদি ৩ বারের বেশি লগ-ইন হওয়ার চেষ্টা করে কিন্তু সফল না হয় তাহলে সে হয়তো পরের বার একটা কেপচা কোড দেখতে পাবে। কিংবা তার আইপি ব্লক হয়ে যাবে। বেশকিছু নির্ভরযোগ্য প্লাগিন আছে যা দিয়ে আপনি এই কাজটি করতে পারেন।
  10.  
  11. ৩. ভিসিটরের প্রয়োজন নেই এইধরনের তথ্য লুকিয়ে রাখুন
  12.  
  13. এমন অনেক তথ্য আছে যা ওয়ার্ডপ্রেস সাইটে শেয়ার করে কিন্তু যেইগুলা ভিসিটর জানার কোন প্রয়োজন নেই। কিন্তু এই তথ্যগুলোর মধ্যে বেশ কিছু শেয়ার করা আপনার জন্য বিপদজনক। যেমন, ওয়ার্ডপ্রেস ভার্সন। এধরনের তথ্যগুলো লুকানোর জন্যও অনেক প্লাগিন আছে।
  14.  
  15. ৪. wp-config.php ফাইলটি সরিয়ে নিন
  16.  
  17. যারা ওয়ার্ডপ্রেস ব্যাক-ইন্ড সম্পর্কে অবগত না তাদেরকে আগে wp-config.php এর সাথে পরিচয় করিয়ে দেই। এটি ওয়ার্ডপ্রেস রুট ডিরেক্টরিতে থাকা এমন একটা ফাইল যেটা আপনার ওয়ার্ডপ্রেস ডিরেক্টরির সাথে ডাটাবেজ কে যুক্ত করে। এখানে আপনার ওয়ার্ডপ্রেস সংশ্লিষ্ট ডাটাবেজ এর নাম, ইউজারনেম, পাসওয়ার্ড, সার্ভার, টেবিল নেম ইত্যাদি থাকে। মানে এই ফাইলটি যদি কারো হাতে যায় তবে আপনার সাইট এর যেকোনো জায়গায় সে প্রবেশ এবং পরিবর্তন করতে পারবে। তাই ওয়ার্ডপ্রেস এর রুট ডিরেক্টরি থেকে আপনার wp-config.php ফাইলটি সরিয়ে অন্য কোন ফোল্ডারে নিয়ে যান। এতে ওয়ার্ডপ্রেস এর কোন সমস্যা হবে না। যেখানেই থাকুক ওয়ার্ডপ্রেস এটাকে খুজে বের করবে। অবশ্য ওয়ার্ডপ্রেস ২.৬ এর আগের ভার্সনে এই সুবিধা নেই।
  18.  
  19. ৫. table prefix পরিবর্তন করে দিন
  20.  
  21. সাধরন ভাবে আপনি যখন ওয়ার্ডপ্রেস ইন্সটল করেন তখন এটার টেবিল গুলার প্রিফিক্স হয় wp_। যেটা আপনার wp-config.php ফাইলে উল্লেখ আছে। এটা যেহেতু ওপেন সোর্স তাই আপনি প্রিফিক্স এভাবে রেখে দিলে হ্যাকার ইতিমধ্যে জানে যে আপনার টেবিল গুলোর প্রিফিক্স কি। তাই এথেকে বাঁচতে হলে ওয়ার্ডপ্রেস ইন্সটল করার আগে wp-config.php থেকে আপনার টেবিল প্রিফিক্স পরিবর্তন করে অন্য কিছু দিন।
  22.  
  23. ৬. সিক্রেট কী ব্যাবহার করুন
  24.  
  25. আপনি যখন wp-config.php ফাইলটি খুলবেন তখন নিচের ৪টি লাইন দেখতে পাবেন।
  26. define('AUTH_KEY', '');
  27. define('SECURE_AUTH_KEY', '');
  28. define('LOGGED_IN_KEY', '');
  29. define('NONCE_KEY', '');
  30.  
  31. আমি অবাক হয়ে যাই যখন দেখি অনেক অভিজ্ঞরাও এই কীগুলো ব্যাবহার করেন না। সিক্রেট কী গুলো কাজ করে আপনার পাসওয়ার্ড আরও শক্ত করার জন্য। এখানে ভিসিট করে এই কীগুলো জেনারেট এবং কপি করে নিয়ে আসুনঃ http://api.wordpress.org/secret-key/1.1/ । এবার এইগুলা wp-config.php তে যুক্ত করুন।
  32.  
  33. ৭. আপনার /wp-admin লুকিয়ে রাখুন
  34.  
  35. wp-admin বা wp-login.php যেটাই বলেন না কেন এটার নাম পরিবর্তন করার অনেক টুল আছে। ধরুন একটা প্লাগিন ব্যাবহার করে আপনি আপনার সাইটের wp-admin পরিবর্তন করে দিলেন mysiteadmin . এখন কেউ যদি yoursite.com/wp-admin এ যায় তাহলে সে ৪০৪ এরর পাবে। লগ-ইন হওয়ার জন্য তাকে যেতে হবে yoursite.com/mysiteadmin এ। সুতরাং আপনার বা আপনার কোম্পানির সাইটে এই ধরনের পরিবর্তন করতে হ্যাকিং এর হাত থেকে রক্ষা করতে পারেন। তবে কমিউনিটি ব্লগে এটা করা যাবে না।
  36.  
  37. ৮. প্লাগিন ব্যাবহারে হুঁশিয়ার
  38.  
  39. যেন তেন প্লাগিন ব্যাবহার করবেন না। বিশেষ করে যে সকল ক্ষেত্রে প্লাগিন আপনার বিশেষ ডাটা নিয়ে কাজ করে যেটা হ্যাক হলে আপনার সাইটে সমস্যা হতে পারে সেই ক্ষেত্রে অবশ্যই এর রিভিউ এবং কতোটা নির্ভরযোগ্য তা দেখে নিবেন। লুপ ভেঙ্গে তার মাঝে কিছু যুক্ত করে এইধরনের প্লাগিন ব্যাবহার না করে সেই ক্ষেত্রে ঐ সুবিধা মেনুয়েলি যুক্ত করাই বুদ্ধিমানের কাজ।
  40.  
  41. ৯. ফ্রি থিম ব্যাবহার করা থেকে বিরত থাকুন
  42.  
  43. অনেকে ফ্রি থিম বা প্রিমিয়াম থিম ফ্রিতে ডাউনলোড করে ব্যাবহার করে থাকেন। একান্তই যদি এই কাজটি করতে হয় তাহলে সতর্কতা অবলম্বন করুন। চেক করে নিন এতে কোন সিকিউরিটি বাগ আছে কিনা। অনলাইনে চেক করার অনেক সাইট আছে। তবে চেক করার সাইট গুলা বিশ্বাসযোগ্য কিনা তা নিয়ে আমার সন্দেহ আছে। কিনে প্রিমিয়াম থিম ব্যাবহারের ক্ষেত্রেও অনেক সময় কিছু বাগ থাকে। তবে কিভাবে বাগ মুক্ত এবং হাই কোয়ালিটি থিম নির্বাচন করবেন এই বিষয় নিয়ে পরবর্তীতে আরেকটা পোস্ট করবো।
  44.  
  45. ১০. ব্যাকআপ রাখুন
  46.  
  47. নিয়মিত আপনার সাইটের ব্যাকআপ রাখুন। প্রায় সব প্রিমিয়াম থিমেই এখন বিল্ট ইন এই অপশন টা দেওয়া থাকে। তবে না থাকলে কোন প্লাগিন ব্যাবহার করতে পারেন কিংবা মেনুয়ালিও করতে পারেন। তবে তার চাইতে একটা সিস্টেম ব্যাবহার করাই যুক্তিযুক্ত যেটা আপনার কোন ওয়েব ব্যাকআপ অ্যাকাউন্টে নির্দিষ্ট সময় পরপর অটো ব্যাকআপ পাঠিয়ে দিবে।
  48.  
  49. এর বাইরেও আরও অনেক ওয়ার্ডপ্রেস সিকিউরিটি রুল আছে। যেমন, সবসময় সাইটের ওয়ার্ডপ্রেস, থিম, প্লাগিন সবকিছু আপডেট রাখুন। হোস্টিং বাছাই করার সময় সতর্কতা অবলম্বন করুন ইত্যাদি। আজ এর বেশি আর কিছু শেয়ার করলাম না। আশা করি আপনার সাইটের সিকিউরিটির ব্যাপারে যথেষ্ট সময় দিবেন। ভালো থাকবেন।
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement