ওয়ার্ডপ্রেস সিকিউরিটি টিউটোরিয়াল – WordPress Security Setting Bangla Tutorial এ আমরা দেখবো, কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাক হতে পারে এবং কিভাবে একটি ওয়ার্ডপ্রেস সাইটকে আমরা সিকিউর করতে পারি। বিভিন্নভাবেই একটি ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাক হয়ে থাকে। বিভিন্ন ধরণের এ্যার্টাকের মাধ্যমে খুব সইজেই দুর্বল কোন সাইটের (Vulnerable site) এর ইউজারনেইম এবং পাসওয়ার্ড বের করে এডমিন প্যানেল এক্সেস নেওয়া সম্ভব। একটি ওয়ার্ডপ্রেস সাইটকে হ্যাক করার জন্যে রয়েছে বিভিন্ন ধরণের এ্যাটার্ক। কিভাবে ও এবং কোন কোন মেথডকে কাজে লাগিয়ে এ্যাটার্কার আপনার সাইটির কন্ট্রোল নিয়ে নিতে পারে, তা নিয়ে আমরা এখন আলোচনা করবো ইনশাআল্লাহ।
1.ব্রুট ফোর্স এ্যাটার্ক ( BRUTE FORCE ATTACK)
অনলাইনে আমাদের উপস্থিতির পরিমাণ অনেকটা বেশি থাকলে ও সাইবার জগত বা সাইবার ওয়ার্ল্ড নিয়ে আমরা অনেকে তেমন কিছুই জানি না। একটি ওয়েবসাইট হ্যাক করার জন্যে অন্যতম জনপ্রিয় একটি মাধ্যম হলো ব্রুট ফোর্স এ্যাটার্ক [Brute Force Attack]. গেসিং ইউজারনেইম এবং পাসওয়ার্ড [Guessing username and Password] ব্যবহার করে লগিন প্যানেলে টেস্ট চালিয়ে খুব সহজেই বের করে নেয়া যায় সাইটের লগিন। এ্যাটার্কের শুরুতে প্রথমেই এ্যাটার্কার একটি ক্যাপিটাল-স্মল লেটার, বিভিন্ন ক্যারেক্টার সিম্বল এবং নাম্বারের কম্বিনেশন করে একটি পাসওয়ার্ড লিস্ট তৈরি করে নিবে এবং সফটওয়্যারের মাধ্যমে আপনার সাইটের লগিন প্যানেলে এক্সেসের জন্যে টেস্ট চালাতে থাকবে।
এ্যাটার্কারের পাসওয়ার্ডের সাথে আপনার লগিন প্যানেলের পাসওয়ার্ড না মিলে যাওয়া পর্যন্ত এ্যাটার্ক চলতে থাকবে। যদি এ্যাটার্কের তৈরি করা পাসওয়ার্ডের সাথে আপনার লগিন প্যানেলের পাসওয়ার্ড মিলে যায়, সেক্ষেত্রে এ্যাটার্কারের কাছে আপনার সাইটের পাসওয়ার্ডটি চলে যাবে এবং আপনার সাইটি হয়ে যাবে হ্যাকড। বুঝতেই পারছেন, কতো সহজেই হ্যাক হয়ে যেতে পারে আপনার ওয়ার্ডপ্রেস ওয়েবসাইটটি।
2.ব্যাকডোর (Back Door)
মনে করি, হ্যাকার আপনার অজান্তেই সাইটের এক্সেস নিয়ে নিলো। বিভিন্ন ম্যালিসিয়াস প্রোগ্রাম (Malicious Program) রান করে ব্যাকডোর তৈরি করে রাখার মাধ্যমে প্রতিনিয়তই সে আপনার সাইটে এক্সেস করতে পারবে। কিন্তু আপনি বুঝতেই পারবেন না। চাইলে সাইটের ডাটা সে মোডিফাই করতে পারবে, ডিলিট করতে পারবে অথবা চাইলে সে আপনার সাইটের কোন তথ্য মোডিফাই না করে একটি ব্যাকডোর তৈরি করে রেখে যাবে। হয়ত আপনার সাইটকে ব্যবহার করে সে স্পামিং করবে, নয়ত স্ক্যামিং করবে নয়ত আপনার সাইটিকে সে কমমূল্যে বিক্রিও করে দিতে পারে। সাইটের কোন রকম ম্যালিসিয়াস ফাইল দেখা মাত্রই সিকিউরিটি আপডেট করা উচিত এবং এইসব ফাইল দ্রুতই ডিলিট করা উচিত।
3.ডিরেক্টরি লিস্টিং (DIRECTORY LISTING)
আপনার ওয়ার্ডপ্রেস সাইট নিরাপত্তা রাখার আরো একটি প্রয়োজনীয় বিষয় হলো ডিরেক্টরি লিস্টিং অফ রাখা। আপনার সাইটের ডিরেক্টরি লিস্টিং দেখে হ্যাকার খুব সহজেই বুঝে নিতে পারবে যে, কোন কোন বা কি কি ফাইল আপনার সাইটে আছে। [www.yoursite.com/wp-content/uploads] এর স্থানে আপনার সাইটের ডোমেইন লিখে চেক করলেই দেখতে পারেন আপনার সাইটের ডিরেক্টরি সমূহ।
4.Distributed Denial Of Service ( DDOS ATTACK )
WordPress Security Setting Bangla Tutorial,এর এই পর্যায়ে আমরা একটা DDOS Attack- ডিডস আক্রমণ সম্বন্ধে জানবো। সিকিউরিটি না থাকলে যেকোন CMS ব্যবহার করে তৈরি করা সাইটেই এই এ্যাটার্ক দেয়া সম্ভব। সহজভাবে বলতে গেলে, ইন্টারনেট সংযোগ নিয়ে একটি ডিভাইসকে ব্যবহার করে নির্দিষ্ট কোন ওয়েবসাইট বা এর সার্ভারের কার্যক্রম বন্ধ করে দেবার পদ্ধতিই হলো ডিডস (DDOS). ডিডস এ্যাটার্ক হচ্ছে এমন একটি মাধ্যম যেটি ব্যবহার করে একটি কম্পিউটার থেকে কোন সার্ভারে একাধিক রিকোয়েস্ট সেন্ড করার মাধ্যমে কোন সাইট বা সার্ভারের কার্যক্রমকে বন্ধ করে দেয়।
চলুন এবার উদাহারণের সাহায্যে খুব সহজভাবে জেনে নেয়া যাক এই এ্যাটার্কটি সম্পর্কে। মনে করি, এস.এস.সি বা এইচ.এস.সি পরীক্ষার রেজাল্ট আজকে প্রকাশ হয়েছে। অনেক চেষ্টা করে ও সাইটটিতে প্রবেশ করতে পারছেন না বা রেজাল্ট বের করতে অনেক সময় নিচ্ছে কেননা অনেক অনেক শিক্ষার্থী একই সময়ে সাইটটিতে প্রবেশ করেছে তাদের রেজাল্ট জানার জন্যে। অতিরিক্ত পরিমাণ ট্রাফিক ভিসিটের কারণে সাইটির কার্যক্রম ধীর হয়ে গেছে এবং অনেক সময় সাইটি ডাউন ও হয়ে যায়।
আপনি যখন আপনার সাইটের জন্যে কোন কোম্পানি থেকে হোস্টিং প্যাকেজ কিনেন, তখন খেয়াল করবেন আপনার হোস্টিং প্যাকেজের মধ্যে ব্যান্ডউইথ (Bandwidth) থাকে। এটি মূলত নির্দেশ করে, প্রতি মাসে কি পরিমাণ ভিসিটর আপনার সাইটিতে প্রবেশ করতে পারবে। এর থেকে বুঝা যায় যে, মাসে একটি নির্দিষ্ট সংখ্যক ভিসিটরের বেশি অতিরিক্ত ভিসিটর কখনোই সাইটে প্রবেশ করতে পারবে না। এ্যাটার্কার সফটওয়্যারের মাধ্যমে খুব সহজেই হাজার হাজার ফেইক ট্রাফিক/ভিসিটর আপনার সাইটে পাঠাতে সক্ষম হবে এবং আপনার ব্যান্ডউইথের পরিমাণ একটু একটু করে কমতে থাকবে এবং এক পর্যায়ে ব্রান্ডউইথের মাত্রা শেষ হয়ে গেলে আপনার সাইটি ও ডাউন হয়ে যাবে। টার্গেট করে বেশ কয়েকটি কম্পিউটার থেকে যদি কোন সাইটে ডিডস এ্যাটার্ক দেওয়া হয়, তাহলে খুব সহজেই সাইটি ডাউন হয়ে যাবে।
5.এসকিউএল ইনজেকশন (SQL INJECTION):
এ্যাটার্কার কোন সাইটের ইউআরএল পাতে (Path) প্যারামিটার খুঁজে বের করে সেখানে স্পেশাল ক্যারেক্টার ব্যবহার করে এসকিউএল ইনজেকশনের মাধ্যমে সাইটের ইউজারনেইম এবং পাসওয়ার্ড টেবিল বের করে ফেলতে পারে। এছাড়া ও সাইটের লগিন পেইজে পেলোড (Payload) ব্যবহার করে ও সাইটের কন্ট্রোল নিয়ে নেয়া যায়।
6.ওয়ার্ডপ্রেস ভার্সন আপডেট ( Update WordPress Version):
ওপেন সোর্স সফটওয়্যার হবার কারণে ওয়ার্ডপ্রেস ভার্সনের আপডেট আসে। ওয়ার্ডপ্রেসের কোন ভার্সনে সিকিউরিটি বিষয়ক সমস্যা পাওয়া গেলে সেই ভার্সনের বাগ ফিক্সড (Bug Fixed) করেই পরবর্তী ভার্সনগুলো রিলিজ করে ওয়ার্ডপ্রেস টিম। এখন মনে করুন, ওয়ার্ডপ্রেসের নতুন একটি ভার্সন রিলিজ হয়েছে কিন্তু আপনি পূর্ববর্তী ভার্সনটি ব্যবহার করে যাচ্ছেন। আপনার সাইটের পেইজ সোর্স থেকে খুব সহজেই আপনার সাইট ভার্সন বের করে ঐ ভার্সনটির দূর্বলতাকে কাজে লাগিয়ে সফটওয়্যার ব্যবহারের মাধ্যমে এ্যাটার্কার খুব সহজেই আপনার সাইটিতে এ্যাটার্ক দিতে এবং এক্সেস ও নিতে পারে।
কেমন হবে, যদি আমরা পেইজ সোর্স থেকে আমাদের ওয়ার্ডপ্রেস ভার্সন নাম্বারটি রিমুভ করে দেই? তাহলে এ্যাটার্কার কিংবা হ্যাকার বুঝতে পারবে না আমরা ওয়ার্ডপ্রেসের কোন ভার্সনটি ব্যবহার করছি।
7.Theme and Plugin Vulnerable:
ওয়ার্ডপ্রেস সাইটের শুধুমাত্র থিম এবং প্লাগিন এর দুর্বলতার জন্যে প্রতিবছর অসংখ্য পরিমাণে ওয়েবসাইট প্রতিনিয়ত আক্রমণের শিকার হচ্ছে। পুরাতন ভার্সন ওয়ার্ডপ্রেস ব্যবহার এবং নিরাপদ সোর্স থেকে থিম-প্লাগিন না ব্যবহার করার কারণে সিকিউর ওয়েবসাইট ও খুব সহজেই আক্রমণের শিকার হতে পারে। এখন চলুন বিস্তারিত আলোচনায় ফিরে যাই।
গতবছর অর্থাৎ ২০২০ সালে File Manager নামক একটি প্লাগিন ব্যবহারের কারণে প্রায় ৭ মিলিয়ন ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাক হয়েছিল। কারণ এই প্লাগিনটি ছিল ভালনারবল (Vulnerable). অনেক ওয়ার্ডপ্রেস ব্যবহারকারী বিভিন্ন ধরণের ক্রাক ভার্সন, নাল থিম এবং প্লাগিন ব্যবহার করে থাকেন। প্রিমিয়াম থিমের ফ্রি কপিগুলো ব্যবহার করা উচিত নয়। কেননা এসব থিম হতে পারে ম্যালিসিয়াসযুক্ত, থাকতে পারে ব্যাকডোর। এসব থিম এবং প্লাগিন গুলো ভালনারবল (Vulnerable) হয়, যার কারণে এ্যাটার্কার খুব সহজেই এর দূর্বলতাগুলোকে কাজে লাগিয়ে সাইটের এক্সেস নিয়ে নিতে পারে। তাই সাইটের জন্য থিম এবং প্লাগিন ব্যবহারের সময় অবশ্যই তা দেখে নেওয়া উচিত।
এছাড়া এসব থিম, প্লাগিন ব্যবহার করলে আপনার সাইটির ডাটাবেজ ও খুব ঝুঁকির মধ্যে অবস্থান করবে। সবসময়ই ওয়ার্ডপ্রেস ভার্সন, থিম এবং প্লাগিন আপডেট রাখুন। তবে, আপডেটের পূর্বে অবশ্যই সাইটের ব্যাকআপ আগে রেখে নিবেন।
ওয়ার্ডপ্রেস সিকিউরিটি টিউটোরিয়াল – ওয়ার্ডপ্রেস ওয়েবসাইট নিরাপদ রাখতে করণীয়
এখন আমরা দেখবো যে, কিভাবে একটি ওয়ার্ডপ্রেস সাইট সিকিউর করা যেতে পারে। চলুন, শুরু করি,
1.Secure Your Login System
(i). Use Strong Password Policy
বর্তমান যুগেও কিছু মানুষ সাধারণ পাসওয়ার্ড ব্যবহার করে থাকে। যা কিনা এ্যাটার্কারের পক্ষে হ্যাক করা খুবই সহজ একটি ব্যাপার। আপনার সাইটের লগিনে অবশ্যই শক্তিশালী পাসওয়ার্ড ব্যবহার করুন। যেমনঃ
১.১২-১৬ অক্ষরের পাসওয়ার্ড ব্যবহার করুন।
২.নাম্বারিক,বড় হাতের/ছোট হাতের কম্বিনেশনে পাসওয়ার্ড তৈরি করুন।যেমনঃ [t17Xa;Br5Q/]
৩.ডিকশনারি রিলেটিডে সহজ শব্দগুলো ব্যবহার বন্ধ করুন।যেমনঃ [admin,pass,user,login,root] ইত্যাদি।
অনেক অনলাইন টুলস ও আছে, যেখানে চাইলে আপনি স্ট্রং পাসওয়ার্ড জেনারেট করতে পারেন। অবশ্যই আপনার লগিন পেইজে ইউজার ‘এডমিন’ অবশ্যই এটি ব্যবহার করবেন না। ইউজারনেম হিসেবে অন্য কোন নাম ব্যবহার করুন।
(ii). Enable Two Step Authentication for Login Security
সাইট সুরক্ষিত রাখার অন্য আরেকটি কার্যকরি উপায় হলো অথেন্টিকেশন সিস্টেম চালু করে রাখা৷ কেননা আপনার সাইটের এ্যাক্সেস যদি কেউ পেয়ে ও যায়, সেক্ষেত্রে মূল ড্যাশবোর্ডে যাবার পূর্বে তাকে অবশ্যই অথেন্টিকেশন কোড সাবমিট করে পরবর্তীতে ড্যাশবোর্ডে প্রবেশ করতে হবে৷ প্লাগিন ব্যবহারের মাধ্যমে আপনি সিস্টেমটি সক্রিয় করতে পারেন।
(iii). Add Captcha System:
আপনি হয়তো অনেক সাইট দেখেছেন যারা ক্যাপচা ব্যবহার করে থাকে। আপনার সাইটে নিরাপত্তা বৃদ্ধির আরেকটি উপায় হলো ক্যাপচা ব্যবহার করা। এটি আপনার সাইটে অতিরিক্ত সিকিউরিটি লেয়ার হিসেবে কাজ করবে। ক্যাপচা ব্যবহার করে থাকলে কোন বট ইউজার আপনার সাইটে আসতে পারবে না। কেননা রিয়েল ইউজার ছাড়া কোন বট ইউজার আপনার সাইটের ক্যাপচা কম্পিলিট করতে সক্ষম হবেন না৷ বেশ কিছু প্লাগিন আছে, যে প্লাগিন গুলো আপনি ব্যবহার করতে পারেন।
(iv). Limit Login Attempt:
আপনি যদি কোন একটি সাইটের লগিন ইনফো ভুলে যান, সেক্ষেত্রে আপনি বেশকিছু বার লগিন করার চেষ্টা করে থাকেন। আপনি যদি কিছু সাইটে প্রবেশ করেন তবে দেখবেন যে, ৪-৫ বার ভুল লগিন দেয়ার পরে কিছু সময়ের জন্যে লগিন সিস্টেমটি অটোমেটিক্যালি বন্ধ হয়ে যায়। অনেক সফটওয়্যার আছে, যেগুলো ব্যবহার করে ব্রুট ফোর্স এ্যাটার্ক দেয়া যায়। সেক্ষেত্রে আপনি আপনার সাইটে সীমিত লগিন সিস্টেমটি ব্যবহার করতে পারেন৷ তাহলে আপনার সাইটির নিরাপত্তা আরো একধাপ বৃদ্ধি হবে।
(v). Hide Login Page
ডিফল্টভাবে ওয়ার্ডপ্রেসের লগিন পাতটি হলো www.yoursite.com/wp-login. এই পাতটি এ্যাটার্কারের জানা থাকা খুবই সিম্পল একটি ব্যাপার৷ তাহলে অবশ্যই আমাদের উচিত হবে, এই লগিন পাতটি হাইড করে রাখা৷ এক্ষেত্রে ওয়ার্ডপ্রেস আমাদের খুব সহজ একটি সমাধান দিয়েছে। একটি প্লাগিন ব্যবহার করার মাধ্যমে আপনি লগিন পেইজ হাইড করতে পারেন।
2.Use Secure Hosting:
আপনার সাইটের জন্যে হোস্টিং ব্যবহারের ক্ষেত্রে সাইটের নিরাপত্তার বেশ কিছু বিষয় মাথায় রেখে হোস্টিং প্যাকেজ বাছাই করা উচিত। কেননা হোস্টিং কোম্পানি আপনার প্রয়োজনীয় তথ্য (whois lookup) সুরক্ষিত রাখার পাশাপাশি আপনার সাইটের রেগুলার ব্যকআপ তারা প্রোভাইড করছে কিনা তা দেখে নিন। আর হোস্টিং কিনার পূর্বে ব্রান্ডউইথের মাত্রা বেশি, এইরকম প্যাকেজ গ্রহন করুন।
3.Close Directory Listing
চলুন, এবার নিচের কোডটি . htaccess ফাইলে ইনসার্ট করে ফাইলটি সেইভ করে দিই। তাহলেই ডিরেক্টরি লিস্টিং অফ হয়ে যাবে।
# disable directory browsing
Options -Indexes
4.Secure wp-config and .htaccess File
ওয়ার্ডপ্রেসের গুরুত্বপূৃর্ণ একটি ফাইল হলো ”wp-config“. ওয়ার্ডপ্রেসের অনেক গুরুত্বপূর্ণ তথ্য এই ফাইলটিতে থাকে। পাশাপাশি . htaccess ফাইলটিও খুবই গুরুত্বপূর্ণ। তাই আপনার সাইট যদি সিকিউর রাখতে চান, তবে এই ফাইল দুটিকে সুরক্ষিত রাখা অত্যন্ত জরুরি। নিচের দুটি কোড আমরা .htaccess ফাইলের মধ্যে সেইভ করে করে রেখে দিবে। প্রথমে .htaccess ফাইলটি ওপেন করুন, কোডগুলো কপি করুন এবং পেস্ট করে ফাইলটি সেভ করে নিন।
# PROTECT WP-CONFIG
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
# PROTECT .htaccess
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>
5.Hiding Your WordPress Version
তবে চলুন দেখি, কিভাবে ওয়ার্ডপ্রেস ভার্সনটি আমরা সাইট থেকে রিমুভ করে দিতে পারি। আপনার সাইটে যেই থিম ইনস্টল আছে সেই থিমের function.php ফাইলটি ওপেন করুন এবং নিম্নের কোডটি সেখানে পেস্ট করে দিন এবং ফাইলটি সেভ করে নিন।
// remove wordpress version number:
function disable_version() { return ''; }
add_filter('the_generator','disable_version');
remove_action('wp_head', 'wp_generator');
6.Update WordPress Version
ওয়ার্ডপ্রেসের পুরানো ভার্সন হ্যাকারদের জন্য একটি খুব সাধারণ লক্ষ্য। সোর্স পেইজ থেকেই এ্যাটার্কার খুব সহজেই আপনার সাইটের ভার্সন নাম্বার বের করে পরবর্তীতে এক্সপ্লইট (exploit) করতে পারে। ওয়ার্ডপ্রেস ভার্সন আপডেট এসেছে কিনা তা নিয়মিত ভাবে চেইক করুন। সাইটের ভার্সন আপডেট করার জন্যে প্রথমেই আপনার সাইটের ব্যাকআপ নিন এবং আপনার প্লাগইনগুলি ওয়ার্ডপ্রেসের সর্বশেষ ভার্সনের সাথে সামঞ্জস্যপূর্ণ কিনা তা পরীক্ষা করুন, সেই অনুযায়ী প্লাগইনগুলি আপডেট করুন।
7.Update the PHP Version
PHP এর সর্বশেষ সংস্করণে আপগ্রেড করা আপনার ওয়ার্ডপ্রেস ওয়েবসাইটকে সুরক্ষিত রাখার জন্যে একটি গুরুত্বপূর্ণ পদক্ষেপ। PHP কোন নতুন ভার্সন আসলে ড্যাশবোর্ড থেকে আপনি এটি দেখতে পারবেন। এটি আপনাকে সর্বশেষ পিএইচপি সংস্করণে আপগ্রেড করতে আপনার হোস্টিং অ্যাকাউন্টে যেতে অনুরোধ করবে। আপনার হোস্টিং অ্যাকাউন্টে অ্যাক্সেস না থাকলে, আপগ্রেড করতে আপনার ওয়েব ডেভেলপারের সাথে যোগাযোগ করুন।
8.Use Security Plugin
আপনার ওয়েবসাইট সিকিউর রাখার জন্যে অবশ্যই আপনাকে সিকিউরিটি প্লাগিন ব্যবহার করতে হবে। এই প্লাগিনগুলি ব্যবহার করে আপনি ম্যানুয়ালি অনেক কাজ করতে পারবেন। যেমনঃ সাইটি স্ক্যান করা, সোর্স ফাইল পরিবর্তন করা, সাইটটি রিসেট করা, ব্যাকআপ সিস্টেম তৈরি করা পাশাপাশি হটলিংকিংয়ের মতো চুরি প্রতিরোধ করা। প্লাগিন ইনস্টল করার পূর্বে অবশ্যই নিরাপদ সোর্স থেকে প্লাগিন ডাউনলোড করবেন। নাল, ক্রাক প্লাগিন ব্যবহার করা থেকে দূরে থাকবেন।
9.Enable SSL/HTTPS
এসএসএল (SSL) এর পুর্ণরূপ হলো সিকিউর সকেটস লেয়ার (Secure Sockets Layer)। এটি এমন একটি প্রযুক্তি যেখানে ওয়েবসাইট এবং ভিজিটরের ব্রাউজারের মধ্যে সংযোগ এনক্রিপ্ট্রেড করে। যা কিনা এ্যাটার্কার দেখতে পারে না। যেকোন সাইটের SSL সক্রিয় করা প্রয়োজন। আপনার ওয়ার্ডপ্রেস সাইটে আপনি ম্যানুয়ালি এটি সেটাপ করতে পারেন। এটি আপনার সাইটের এসইও বুস্ট করতে ও সাহায্য করবে। গুগল ক্রোম ব্রাউজার SSL প্রোটোকোল ব্যবহার না করা ওয়েবসাইট গুলিতে ভিসিট করতে সতর্ক করে। আপনার ওয়ার্ডপ্রেস সাইট SSL প্রোটোকল অনুসরণ করে কিনা তা দেখতে, আপনার ওয়ার্ডপ্রেস সাইটের হোমপেজে যান। যদি হোমপেজের ইউআরএল “https://” দিয়ে শুরু হয় (“s” মানে “নিরাপদ”), আপনার সংযোগটি SSL-এর মাধ্যমে সুরক্ষিত। URLটি “http://” দিয়ে শুরু হলে, আপনাকে আপনার ওয়েবসাইটের জন্য একটি SSL সেটআপ করতে হবে।
10.Install Firewall
ফায়ারওয়াল আপনার ওয়েবসাইট এবং অন্যান্য সমস্ত নেটওয়ার্ক হোস্ট করে এমন নেটওয়ার্কের মধ্যে বসে এবং স্বয়ংক্রিয়ভাবে অননুমোদিত ট্র্যাফিককে বাইরে থেকে আপনার নেটওয়ার্ক বা সিস্টেমে প্রবেশ করতে বাধা দেয়। এটি আইপি ফিল্টার করে থাকে অর্থাৎ কোন বট আইপি কিংবা আনট্রাস্টেড আইপি সমূহকে ব্লক করে দেয়। ডিডস এ্যাটার্ক, পাশাপাশি ক্রস সাইট স্ক্রিপ্টিং এই ধরণের এ্যাটার্ক থেকে মুক্তি পাবেন। আপনার ওয়ার্ডপ্রেস সাইটকে সুরক্ষিত রাখার জন্যে ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF – Web Application Firewall) ব্যবহার করতে হবে। এজন্যে আপনি ক্লাউড ফ্লেয়ার – (Cloudflare) এর সার্ভিস ব্যবহার করতে পারেন।
11.Regular Backup Your Site
সাইট যদি সিকিউর না থাকে তাহলে আপনার সাইট হ্যাক হবার যথেষ্ট সম্ভাবনা থাকে। যদি আপনার সাইট ব্যাক আপ না থাক, তাহলে আপনার সাইটের সমস্ত তথ্য হারিয়ে গেলে পরবর্তীতে আবার নতুন করে আপনাকে সাইটটি তৈরি করতে হবে। আবার প্রতিনিয়তই আপনার সাইটটি আপডেট হচ্ছে, নতুন কোন ফিচার যুক্ত হচ্ছে, নতুন নতুন প্লাগিনের ব্যবহার করছেন। অতএব, প্রতিনিয়তই আপনাকে সাইটের ব্যাকআপ রাখা আবশ্যক। আপনি চাইলে দৈনিক, সপ্তাহিক, মাসিক হিসাবনুযায়ী সাইটের রেগুলার ব্যাক আপ সিস্টেম তৈরি করে রাখতে পারেন। তাহলে আপনার সাইট এ্যাটার্ক হলে কিংবা পরবর্তীতে সাইট জনিত কোন সমস্যা তৈরি হলে তখন আপনি ব্যাককপি ব্যবহার করতে পারবেন।
12.Regular Scan Your Site
আপনার সাইটিতে রেগুলার স্ক্যান করুন। মাসে অন্তত একবার স্ক্যান করুন। সাইট স্ক্যান করার জন্যে অসংখ্য প্লাগিন রয়েছে সেগুলা আপনি ব্যবহার করতে পারেন। একবার আপনি এই মৌলিক পদক্ষেপগুলি গ্রহণ করার পরে, আপনি আপনার ওয়ার্ডপ্রেস ওয়েবসাইটকে সুরক্ষিত করতে আরও উন্নত পদক্ষেপে যেতে পারেন।
13.Disable File Editing In WordPress
ডিফল্টভাবে অ্যাডমিনিস্ট্রেটরদের ওয়ার্ডপ্রেস ফাইলের কোড সরাসরি এডিট করার সুযোগ দেয়৷ যদি কোন এ্যাটার্কার সাইটের এক্সেস পেয়ে যায়, সেক্ষেত্রে আক্রমণকারী ফাইলগুলো পরিবর্তন করার সুযোগ পাবে এবং চাইলে তারা ক্ষতিও করতে পারে। আপনি wp-config.php ফাইলের শেষে কিছু কোড যোগ করে নিলে পরবর্তীতে ফাইলগুলো কেউ আর এডিট করতে পারবে না।
// Disallow file edits
define( 'DISALLOW_FILE_EDIT', true );
14.Change Your Database File Prefix
আপনার ওয়ার্ডপ্রেস ডাটাবেস তৈরি করা ফাইলগুলির নাম ডিফল্টরূপে “wp_” দিয়ে শুরু হয়। এ্যাটার্কার খুব সহজেই আপনার ডাটাবেস ফাইলগুলি সনাক্ত করতে এবং এসকিউএল ইনজেকশন পরিচালনা করতে এই সেটিংটি ব্যবহার করে থাকে। একটি সহজ সমাধান আছে। আপনি চাইলে wp এর স্থানে যেমন “wpab_” বা “wpcd_” ব্যবহার করতে পারেন। ওয়ার্ডপ্রেস ইনস্টল করার সময় এটি সেট করতে পারবেন। যদি আপনার সাইটটি ইতিমধ্যেই এই সেটিং ছাড়া লাইভ থাকে তাহলেও আপনি এই ফাইলগুলির নাম পরিবর্তন করতে পারেন৷ এই ক্ষেত্রে, প্লাগিন ব্যবহারের মাধ্যমে আপনি কাজটি সম্পন্ন করতে পারবেন।
15.Disable Access to XML-RPC File
ওয়ার্ডপ্রেস ইনস্টল হবার সময় একটি ফাইল জেনারেট হয় যার নাম xmlrpc.php. এই ফাইলটি থার্ড পার্টি এ্যাপলিকেশন গুলোকে আপনার ওয়ার্ডপ্রেস সাইটে সংযোগ করার অনুমতি দেয়। বেশিরভাগ ওয়ার্ডপ্রেস নিরাপত্তা বিশেষজ্ঞরা পরামর্শ দেন যে আপনি যদি কোনো তৃতীয় পক্ষের অর্থাৎ থার্ড পার্টি এ্যাপলিকেশন ব্যবহার না করেন, তাহলে আপনার এই সিস্টেমটি অফ করে রাখা উচিত।
এই সিস্টেমটি অফ করে দেয়ার জন্যে বেশ কিছু অপশন রয়েছে। তার মধ্যে একটি হলো আপনি নিচের কোডটি কপি করে নিয়ে .htaccess ফাইলের মধ্যে কোডগুলো পেস্ট করে দিন। তাহলেই হয়ে যাবে।
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
আমাদের ওয়ার্ডপ্রেস সিকিউরিটি টিউটোরিয়াল – WordPress Security Bangla Tutorial আশা করি ভালো লেগেছে।