WordPress Security Setting Bangla Tutorial- IT Agency Bangladesh

IT Agency Bangladesh > Learning Materials > WordPress Tutorial > WordPress Security Setting Bangla Tutorial

WordPress Security Setting Bangla Tutorial – ওয়ার্ডপ্রেস সিকিউরিটি সেটিংস টিউটোরিয়ালে আমরা দেখবো, কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাক হতে পারে এবং কিভাবে একটি ওয়ার্ডপ্রেস সাইটকে আমরা সিকিউর করতে পারি। বিভিন্নভাবেই একটি ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাক হয়ে থাকে। বিভিন্ন ধরণের এ্যার্টাকের মাধ্যমে খুব সইজেই দুর্বল কোন সাইটের (Vulnerable site) এর ইউজারনেইম এবং পাসওয়ার্ড বের করে এডমিন প্যানেল এক্সেস নেওয়া সম্ভব। একটি ওয়ার্ডপ্রেস সাইটকে হ্যাক করার জন্যে রয়েছে বিভিন্ন ধরণের এ্যাটার্ক। কিভাবে ও এবং কোন কোন মেথডকে কাজে লাগিয়ে এ্যাটার্কার আপনার সাইটির কন্ট্রোল নিয়ে নিতে পারে, তা নিয়ে আমরা এখন আলোচনা করবো ইনশাআল্লাহ।

1.ব্রুট ফোর্স এ্যাটার্ক ( BRUTE FORCE ATTACK )

অনলাইনে আমাদের উপস্থিতির পরিমাণ অনেকটা বেশি থাকলে ও সাইবার জগত বা সাইবার ওয়ার্ল্ড নিয়ে আমরা অনেকে তেমন কিছুই জানি না। একটি ওয়েবসাইট হ্যাক করার জন্যে অন্যতম জনপ্রিয় একটি মাধ্যম হলো ব্রুট ফোর্স এ্যাটার্ক [Brute Force Attack]. গেসিং ইউজারনেইম এবং পাসওয়ার্ড [Guessing username and Password] ব্যবহার করে লগিন প্যানেলে টেস্ট চালিয়ে খুব সহজেই বের করে নেয়া যায় সাইটের লগিন। এ্যাটার্কের শুরুতে প্রথমেই এ্যাটার্কার একটি ক্যাপিটাল-স্মল লেটার, বিভিন্ন ক্যারেক্টার সিম্বল এবং নাম্বারের কম্বিনেশন করে একটি পাসওয়ার্ড লিস্ট তৈরি করে নিবে এবং সফটওয়্যারের মাধ্যমে আপনার সাইটের লগিন প্যানেলে এক্সেসের জন্যে টেস্ট চালাতে থাকবে।

এ্যাটার্কারের পাসওয়ার্ডের সাথে আপনার লগিন প্যানেলের পাসওয়ার্ড না মিলে যাওয়া পর্যন্ত এ্যাটার্ক চলতে থাকবে। যদি এ্যাটার্কের তৈরি করা পাসওয়ার্ডের সাথে আপনার লগিন প্যানেলের পাসওয়ার্ড মিলে যায়, সেক্ষেত্রে এ্যাটার্কারের কাছে আপনার সাইটের পাসওয়ার্ডটি চলে যাবে এবং আপনার সাইটি হয়ে যাবে হ্যাকড। বুঝতেই পারছেন, কতো সহজেই হ্যাক হয়ে যেতে পারে আপনার ওয়ার্ডপ্রেস ওয়েবসাইটটি।

2.ব্যাকডোর ( Back Door)

মনে করি, হ্যাকার আপনার অজান্তেই সাইটের এক্সেস নিয়ে নিলো। বিভিন্ন ম্যালিসিয়াস প্রোগ্রাম (Malicious Program) রান করে ব্যাকডোর তৈরি করে রাখার মাধ্যমে প্রতিনিয়তই সে আপনার সাইটে এক্সেস করতে পারবে। কিন্তু আপনি বুঝতেই পারবেন না। চাইলে সাইটের ডাটা সে মোডিফাই করতে পারবে, ডিলিট করতে পারবে অথবা চাইলে সে আপনার সাইটের কোন তথ্য মোডিফাই না করে একটি ব্যাকডোর তৈরি করে রেখে যাবে। হয়ত আপনার সাইটকে ব্যবহার করে সে স্পামিং করবে, নয়ত স্ক্যামিং করবে নয়ত আপনার সাইটিকে সে কমমূল্যে বিক্রিও করে দিতে পারে। সাইটের কোন রকম ম্যালিসিয়াস ফাইল দেখা মাত্রই সিকিউরিটি আপডেট করা উচিত এবং এইসব ফাইল দ্রুতই ডিলিট করা উচিত।

3.ডিরেক্টরি লিস্টিং ( DIRECTORY LISTING )

আপনার ওয়ার্ডপ্রেস সাইট নিরাপত্তা রাখার আরো একটি প্রয়োজনীয় বিষয় হলো ডিরেক্টরি লিস্টিং অফ রাখা। আপনার সাইটের ডিরেক্টরি লিস্টিং দেখে হ্যাকার খুব সহজেই বুঝে নিতে পারবে যে, কোন কোন বা কি কি ফাইল আপনার সাইটে আছে। [www.yoursite.com/wp-content/uploads] এর স্থানে আপনার সাইটের ডোমেইন লিখে চেক করলেই দেখতে পারেন আপনার সাইটের ডিরেক্টরি সমূহ।

Figure: a website with open directory listing

4.Distributed Denial Of Service ( DDOS ATTACK )

WordPress Security Setting Bangla Tutorial,এর এই পর্যায়ে আমরা একটা DDOS Attack- ডিডস আক্রমণ সম্বন্ধে জানবো। সিকিউরিটি না থাকলে যেকোন CMS ব্যবহার করে তৈরি করা সাইটেই এই এ্যাটার্ক দেয়া সম্ভব। সহজভাবে বলতে গেলে, ইন্টারনেট সংযোগ নিয়ে একটি ডিভাইসকে ব্যবহার করে নির্দিষ্ট কোন ওয়েবসাইট বা এর সার্ভারের কার্যক্রম বন্ধ করে দেবার পদ্ধতিই হলো ডিডস (DDOS). ডিডস এ্যাটার্ক হচ্ছে এমন একটি মাধ্যম যেটি ব্যবহার করে একটি কম্পিউটার থেকে কোন সার্ভারে একাধিক রিকোয়েস্ট সেন্ড করার মাধ্যমে কোন সাইট বা সার্ভারের কার্যক্রমকে বন্ধ করে দেয়।

চলুন এবার উদাহারণের সাহায্যে খুব সহজভাবে জেনে নেয়া যাক এই এ্যাটার্কটি সম্পর্কে। মনে করি, এস.এস.সি বা এইচ.এস.সি পরীক্ষার রেজাল্ট আজকে প্রকাশ হয়েছে। অনেক চেষ্টা করে ও সাইটটিতে প্রবেশ করতে পারছেন না বা রেজাল্ট বের করতে অনেক সময় নিচ্ছে কেননা অনেক অনেক শিক্ষার্থী একই সময়ে সাইটটিতে প্রবেশ করেছে তাদের রেজাল্ট জানার জন্যে। অতিরিক্ত পরিমাণ ট্রাফিক ভিসিটের কারণে সাইটির কার্যক্রম ধীর হয়ে গেছে এবং অনেক সময় সাইটি ডাউন ও হয়ে যায়।

আপনি যখন আপনার সাইটের জন্যে কোন কোম্পানি থেকে হোস্টিং প্যাকেজ কিনেন, তখন খেয়াল করবেন আপনার হোস্টিং প্যাকেজের মধ্যে ব্যান্ডউইথ (Bandwidth) থাকে। এটি মূলত নির্দেশ করে, প্রতি মাসে কি পরিমাণ ভিসিটর আপনার সাইটিতে প্রবেশ করতে পারবে। এর থেকে বুঝা যায় যে, মাসে একটি নির্দিষ্ট সংখ্যক ভিসিটরের বেশি অতিরিক্ত ভিসিটর কখনোই সাইটে প্রবেশ করতে পারবে না। এ্যাটার্কার সফটওয়্যারের মাধ্যমে খুব সহজেই হাজার হাজার ফেইক ট্রাফিক/ভিসিটর আপনার সাইটে পাঠাতে সক্ষম হবে এবং আপনার ব্যান্ডউইথের পরিমাণ একটু একটু করে কমতে থাকবে এবং এক পর্যায়ে ব্রান্ডউইথের মাত্রা শেষ হয়ে গেলে আপনার সাইটি ও ডাউন হয়ে যাবে। টার্গেট করে বেশ কয়েকটি কম্পিউটার থেকে যদি কোন সাইটে ডিডস এ্যাটার্ক দেওয়া হয়, তাহলে খুব সহজেই সাইটি ডাউন হয়ে যাবে।

5.এসকিউএল ইনজেকশন (SQL INJECTION):

এ্যাটার্কার কোন সাইটের ইউআরএল পাতে (Path) প্যারামিটার খুঁজে বের করে সেখানে স্পেশাল ক্যারেক্টার ব্যবহার করে এসকিউএল ইনজেকশনের মাধ্যমে সাইটের ইউজারনেইম এবং পাসওয়ার্ড টেবিল বের করে ফেলতে পারে। এছাড়া ও সাইটের লগিন পেইজে পেলোড (Payload) ব্যবহার করে ও সাইটের কন্ট্রোল নিয়ে নেয়া যায়।

6.ওয়ার্ডপ্রেস ভার্সন আপডেট ( Update WordPress Version )

ওপেন সোর্স সফটওয়্যার হবার কারণে ওয়ার্ডপ্রেস ভার্সনের আপডেট আসে। ওয়ার্ডপ্রেসের কোন ভার্সনে সিকিউরিটি বিষয়ক সমস্যা পাওয়া গেলে সেই ভার্সনের বাগ ফিক্সড (Bug Fixed) করেই পরবর্তী ভার্সনগুলো রিলিজ করে ওয়ার্ডপ্রেস টিম। এখন মনে করুন, ওয়ার্ডপ্রেসের নতুন একটি ভার্সন রিলিজ হয়েছে কিন্তু আপনি পূর্ববর্তী ভার্সনটি ব্যবহার করে যাচ্ছেন। আপনার সাইটের পেইজ সোর্স থেকে খুব সহজেই আপনার সাইট ভার্সন বের করে ঐ ভার্সনটির দূর্বলতাকে কাজে লাগিয়ে সফটওয়্যার ব্যবহারের মাধ্যমে এ্যাটার্কার খুব সহজেই আপনার সাইটিতে এ্যাটার্ক দিতে এবং এক্সেস ও নিতে পারে।

কেমন হবে, যদি আমরা পেইজ সোর্স থেকে আমাদের ওয়ার্ডপ্রেস ভার্সন নাম্বারটি রিমুভ করে দেই? তাহলে এ্যাটার্কার কিংবা হ্যাকার বুঝতে পারবে না আমরা ওয়ার্ডপ্রেসের কোন ভার্সনটি ব্যবহার করছি।

7.Theme and Plugin Vulnerable

ওয়ার্ডপ্রেস সাইটের শুধুমাত্র থিম এবং প্লাগিন এর দুর্বলতার জন্যে প্রতিবছর অসংখ্য পরিমাণে ওয়েবসাইট প্রতিনিয়ত আক্রমণের শিকার হচ্ছে। পুরাতন ভার্সন ওয়ার্ডপ্রেস ব্যবহার এবং নিরাপদ সোর্স থেকে থিম-প্লাগিন না ব্যবহার করার কারণে সিকিউর ওয়েবসাইট ও খুব সহজেই আক্রমণের শিকার হতে পারে। এখন চলুন বিস্তারিত আলোচনায় ফিরে যাই।

গতবছর অর্থাৎ ২০২০ সালে File Manager নামক একটি প্লাগিন ব্যবহারের কারণে প্রায় ৭ মিলিয়ন ওয়ার্ডপ্রেস ওয়েবসাইট হ্যাক হয়েছিল। কারণ এই প্লাগিনটি ছিল ভালনারবল (Vulnerable). অনেক ওয়ার্ডপ্রেস ব্যবহারকারী বিভিন্ন ধরণের ক্রাক ভার্সন, নাল থিম এবং প্লাগিন ব্যবহার করে থাকেন। প্রিমিয়াম থিমের ফ্রি কপিগুলো ব্যবহার করা উচিত নয়। কেননা এসব থিম হতে পারে ম্যালিসিয়াসযুক্ত, থাকতে পারে ব্যাকডোর। এসব থিম এবং প্লাগিন গুলো ভালনারবল (Vulnerable) হয়, যার কারণে এ্যাটার্কার খুব সহজেই এর দূর্বলতাগুলোকে কাজে লাগিয়ে সাইটের এক্সেস নিয়ে নিতে পারে। তাই সাইটের জন্য থিম এবং প্লাগিন ব্যবহারের সময় অবশ্যই তা দেখে নেওয়া উচিত।

এছাড়া এসব থিম, প্লাগিন ব্যবহার করলে আপনার সাইটির ডাটাবেজ ও খুব ঝুঁকির মধ্যে অবস্থান করবে। সবসময়ই ওয়ার্ডপ্রেস ভার্সন, থিম এবং প্লাগিন আপডেট রাখুন। তবে, আপডেটের পূর্বে অবশ্যই সাইটের ব্যাকআপ আগে রেখে নিবেন।

WordPress Security Setting Bangla Tutorial পর্বে এখন আমরা দেখবো যে, কিভাবে একটি ওয়ার্ডপ্রেস সাইট সিকিউর করা যেতে পারে। চলুন, শুরু করি,

1.Secure Your Login System

(i).Use Strong Password Policy

বর্তমান যুগেও কিছু মানুষ সাধারণ পাসওয়ার্ড ব্যবহার করে থাকে। যা কিনা এ্যাটার্কারের পক্ষে হ্যাক করা খুবই সহজ একটি ব্যাপার। আপনার সাইটের লগিনে অবশ্যই শক্তিশালী পাসওয়ার্ড ব্যবহার করুন। যেমনঃ

১.১২-১৬ অক্ষরের পাসওয়ার্ড ব্যবহার করুন।

২.নাম্বারিক,বড় হাতের/ছোট হাতের কম্বিনেশনে পাসওয়ার্ড তৈরি করুন।যেমনঃ [t17Xa;Br5Q/]

৩.ডিকশনারি রিলেটিডে সহজ শব্দগুলো ব্যবহার বন্ধ করুন।যেমনঃ [admin,pass,user,login,root] ইত্যাদি।

অনেক অনলাইন টুলস ও আছে, যেখানে চাইলে আপনি স্ট্রং পাসওয়ার্ড জেনারেট করতে পারেন। অবশ্যই আপনার লগিন পেইজে ইউজার ‘এডমিন’ অবশ্যই এটি ব্যবহার করবেন না। ইউজারনেম হিসেবে অন্য কোন নাম ব্যবহার করুন।

(ii).Enable Two Step Authentication For Security

সাইট সুরক্ষিত রাখার অন্য আরেকটি কার্যকরি উপায় হলো অথেন্টিকেশন সিস্টেম চালু করে রাখা৷ কেননা আপনার সাইটের এ্যাক্সেস যদি কেউ পেয়ে ও যায়, সেক্ষেত্রে মূল ড্যাশবোর্ডে যাবার পূর্বে তাকে অবশ্যই অথেন্টিকেশন কোড সাবমিট করে পরবর্তীতে ড্যাশবোর্ডে প্রবেশ করতে হবে৷ প্লাগিন ব্যবহারের মাধ্যমে আপনি সিস্টেমটি সক্রিয় করতে পারেন।

(iii).Add Captcha System

আপনি হয়তো অনেক সাইট দেখেছেন যারা ক্যাপচা ব্যবহার করে থাকে। আপনার সাইটে নিরাপত্তা বৃদ্ধির আরেকটি উপায় হলো ক্যাপচা ব্যবহার করা। এটি আপনার সাইটে অতিরিক্ত সিকিউরিটি লেয়ার হিসেবে কাজ করবে। ক্যাপচা ব্যবহার করে থাকলে কোন বট ইউজার আপনার সাইটে আসতে পারবে না। কেননা রিয়েল ইউজার ছাড়া কোন বট ইউজার আপনার সাইটের ক্যাপচা কম্পিলিট করতে সক্ষম হবেন না৷ বেশ কিছু প্লাগিন আছে, যে প্লাগিন গুলো আপনি ব্যবহার করতে পারেন।

(iv).Limit Login Attempt

আপনি যদি কোন একটি সাইটের লগিন ইনফো ভুলে যান, সেক্ষেত্রে আপনি বেশকিছু বার লগিন করার চেষ্টা করে থাকেন। আপনি যদি কিছু সাইটে প্রবেশ করেন তবে দেখবেন যে, ৪-৫ বার ভুল লগিন দেয়ার পরে কিছু সময়ের জন্যে লগিন সিস্টেমটি অটোমেটিক্যালি বন্ধ হয়ে যায়। অনেক সফটওয়্যার আছে, যেগুলো ব্যবহার করে ব্রুট ফোর্স এ্যাটার্ক দেয়া যায়। সেক্ষেত্রে আপনি আপনার সাইটে সীমিত লগিন সিস্টেমটি ব্যবহার করতে পারেন৷ তাহলে আপনার সাইটির নিরাপত্তা আরো একধাপ বৃদ্ধি হবে।

(v).Hide Login Page

ডিফল্টভাবে ওয়ার্ডপ্রেসের লগিন পাতটি হলো www.yoursite.com/wp-login. এই পাতটি এ্যাটার্কারের জানা থাকা খুবই সিম্পল একটি ব্যাপার৷ তাহলে অবশ্যই আমাদের উচিত হবে, এই লগিন পাতটি হাইড করে রাখা৷ এক্ষেত্রে ওয়ার্ডপ্রেস আমাদের খুব সহজ একটি সমাধান দিয়েছে। একটি প্লাগিন ব্যবহার করার মাধ্যমে আপনি লগিন পেইজ হাইড করতে পারেন।

2.Use Secure Hosting

আপনার সাইটের জন্যে হোস্টিং ব্যবহারের ক্ষেত্রে সাইটের নিরাপত্তার বেশ কিছু বিষয় মাথায় রেখে হোস্টিং প্যাকেজ বাছাই করা উচিত। কেননা হোস্টিং কোম্পানি আপনার প্রয়োজনীয় তথ্য (whois lookup) সুরক্ষিত রাখার পাশাপাশি আপনার সাইটের রেগুলার ব্যকআপ তারা প্রোভাইড করছে কিনা তা দেখে নিন। আর হোস্টিং কিনার পূর্বে ব্রান্ডউইথের মাত্রা বেশি, এইরকম প্যাকেজ গ্রহন করুন।

3.Close Directory Listing

চলুন, এবার নিচের কোডটি . htaccess ফাইলে ইনসার্ট করে ফাইলটি সেইভ করে দিই। তাহলেই ডিরেক্টরি লিস্টিং অফ হয়ে যাবে।

# disable directory browsing
Options -Indexes

4.Secure wp-config and .htaccess File

ওয়ার্ডপ্রেসের গুরুত্বপূৃর্ণ একটি ফাইল হলো ”wp-config“. ওয়ার্ডপ্রেসের অনেক গুরুত্বপূর্ণ তথ্য এই ফাইলটিতে থাকে। পাশাপাশি . htaccess ফাইলটিও খুবই গুরুত্বপূর্ণ। তাই আপনার সাইট যদি সিকিউর রাখতে চান, তবে এই ফাইল দুটিকে সুরক্ষিত রাখা অত্যন্ত জরুরি। নিচের দুটি কোড আমরা .htaccess ফাইলের মধ্যে সেইভ করে করে রেখে দিবে। প্রথমে .htaccess ফাইলটি ওপেন করুন, কোডগুলো কপি করুন এবং পেস্ট করে ফাইলটি সেভ করে নিন।

# PROTECT WP-CONFIG
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

# PROTECT .htaccess
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

5.Hiding Your WordPress Version

তবে চলুন দেখি, কিভাবে ওয়ার্ডপ্রেস ভার্সনটি আমরা সাইট থেকে রিমুভ করে দিতে পারি। আপনার সাইটে যেই থিম ইনস্টল আছে সেই থিমের function.php ফাইলটি ওপেন করুন এবং নিম্নের কোডটি সেখানে পেস্ট করে দিন এবং ফাইলটি সেভ করে নিন।

// remove wordpress version number:

function disable_version() { return ''; }
add_filter('the_generator','disable_version');
remove_action('wp_head', 'wp_generator');

6.Update WordPress Version

ওয়ার্ডপ্রেসের পুরানো ভার্সন হ্যাকারদের জন্য একটি খুব সাধারণ লক্ষ্য। সোর্স পেইজ থেকেই এ্যাটার্কার খুব সহজেই আপনার সাইটের ভার্সন নাম্বার বের করে পরবর্তীতে এক্সপ্লইট (exploit) করতে পারে। ওয়ার্ডপ্রেস ভার্সন আপডেট এসেছে কিনা তা নিয়মিত ভাবে চেইক করুন। সাইটের ভার্সন আপডেট করার জন্যে প্রথমেই আপনার সাইটের ব্যাকআপ নিন এবং আপনার প্লাগইনগুলি ওয়ার্ডপ্রেসের সর্বশেষ ভার্সনের সাথে সামঞ্জস্যপূর্ণ কিনা তা পরীক্ষা করুন, সেই অনুযায়ী প্লাগইনগুলি আপডেট করুন।

7.Update the PHP Version

PHP এর সর্বশেষ সংস্করণে আপগ্রেড করা আপনার ওয়ার্ডপ্রেস ওয়েবসাইটকে সুরক্ষিত রাখার জন্যে একটি গুরুত্বপূর্ণ পদক্ষেপ। PHP কোন নতুন ভার্সন আসলে ড্যাশবোর্ড থেকে আপনি এটি দেখতে পারবেন। এটি আপনাকে সর্বশেষ পিএইচপি সংস্করণে আপগ্রেড করতে আপনার হোস্টিং অ্যাকাউন্টে যেতে অনুরোধ করবে। আপনার হোস্টিং অ্যাকাউন্টে অ্যাক্সেস না থাকলে, আপগ্রেড করতে আপনার ওয়েব ডেভেলপারের সাথে যোগাযোগ করুন।

8.Use Security Plugin

আপনার ওয়েবসাইট সিকিউর রাখার জন্যে অবশ্যই আপনাকে সিকিউরিটি প্লাগিন ব্যবহার করতে হবে। এই প্লাগিনগুলি ব্যবহার করে আপনি ম্যানুয়ালি অনেক কাজ করতে পারবেন। যেমনঃ সাইটি স্ক্যান করা, সোর্স ফাইল পরিবর্তন করা, সাইটটি রিসেট করা, ব্যাকআপ সিস্টেম তৈরি করা পাশাপাশি হটলিংকিংয়ের মতো চুরি প্রতিরোধ করা। প্লাগিন ইনস্টল করার পূর্বে অবশ্যই নিরাপদ সোর্স থেকে প্লাগিন ডাউনলোড করবেন। নাল, ক্রাক প্লাগিন ব্যবহার করা থেকে দূরে থাকবেন।

9.Enable SSL/HTTPS

এসএসএল (SSL) এর পুর্ণরূপ হলো সিকিউর সকেটস লেয়ার (Secure Sockets Layer)। এটি এমন একটি প্রযুক্তি যেখানে ওয়েবসাইট এবং ভিজিটরের ব্রাউজারের মধ্যে সংযোগ এনক্রিপ্ট্রেড করে। যা কিনা এ্যাটার্কার দেখতে পারে না। যেকোন সাইটের SSL সক্রিয় করা প্রয়োজন। আপনার ওয়ার্ডপ্রেস সাইটে আপনি ম্যানুয়ালি এটি সেটাপ করতে পারেন। এটি আপনার সাইটের এসইও বুস্ট করতে ও সাহায্য করবে। গুগল ক্রোম ব্রাউজার SSL প্রোটোকোল ব্যবহার না করা ওয়েবসাইট গুলিতে ভিসিট করতে সতর্ক করে। আপনার ওয়ার্ডপ্রেস সাইট SSL প্রোটোকল অনুসরণ করে কিনা তা দেখতে, আপনার ওয়ার্ডপ্রেস সাইটের হোমপেজে যান। যদি হোমপেজের ইউআরএল “https://” দিয়ে শুরু হয় (“s” মানে “নিরাপদ”), আপনার সংযোগটি SSL-এর মাধ্যমে সুরক্ষিত। URLটি “http://” দিয়ে শুরু হলে, আপনাকে আপনার ওয়েবসাইটের জন্য একটি SSL সেটআপ করতে হবে।

10.Install Firewall

ফায়ারওয়াল আপনার ওয়েবসাইট এবং অন্যান্য সমস্ত নেটওয়ার্ক হোস্ট করে এমন নেটওয়ার্কের মধ্যে বসে এবং স্বয়ংক্রিয়ভাবে অননুমোদিত ট্র্যাফিককে বাইরে থেকে আপনার নেটওয়ার্ক বা সিস্টেমে প্রবেশ করতে বাধা দেয়। এটি আইপি ফিল্টার করে থাকে অর্থাৎ কোন বট আইপি কিংবা আনট্রাস্টেড আইপি সমূহকে ব্লক করে দেয়। ডিডস এ্যাটার্ক, পাশাপাশি ক্রস সাইট স্ক্রিপ্টিং এই ধরণের এ্যাটার্ক থেকে মুক্তি পাবেন। আপনার ওয়ার্ডপ্রেস সাইটকে সুরক্ষিত রাখার জন্যে ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল (WAF – Web Application Firewall) ব্যবহার করতে হবে। এজন্যে আপনি ক্লাউড ফ্লেয়ার – (Cloudflare) এর সার্ভিস ব্যবহার করতে পারেন।

11.Regular Backup Your Site

সাইট যদি সিকিউর না থাকে তাহলে আপনার সাইট হ্যাক হবার যথেষ্ট সম্ভাবনা থাকে। যদি আপনার সাইট ব্যাক আপ না থাক, তাহলে আপনার সাইটের সমস্ত তথ্য হারিয়ে গেলে পরবর্তীতে আবার নতুন করে আপনাকে সাইটটি তৈরি করতে হবে। আবার প্রতিনিয়তই আপনার সাইটটি আপডেট হচ্ছে, নতুন কোন ফিচার যুক্ত হচ্ছে, নতুন নতুন প্লাগিনের ব্যবহার করছেন। অতএব, প্রতিনিয়তই আপনাকে সাইটের ব্যাকআপ রাখা আবশ্যক। আপনি চাইলে দৈনিক, সপ্তাহিক, মাসিক হিসাবনুযায়ী সাইটের রেগুলার ব্যাক আপ সিস্টেম তৈরি করে রাখতে পারেন। তাহলে আপনার সাইট এ্যাটার্ক হলে কিংবা পরবর্তীতে সাইট জনিত কোন সমস্যা তৈরি হলে তখন আপনি ব্যাককপি ব্যবহার করতে পারবেন।

12.Regular Scan Your Site

আপনার সাইটিতে রেগুলার স্ক্যান করুন। মাসে অন্তত একবার স্ক্যান করুন। সাইট স্ক্যান করার জন্যে অসংখ্য প্লাগিন রয়েছে সেগুলা আপনি ব্যবহার করতে পারেন। একবার আপনি এই মৌলিক পদক্ষেপগুলি গ্রহণ করার পরে, আপনি আপনার ওয়ার্ডপ্রেস ওয়েবসাইটকে সুরক্ষিত করতে আরও উন্নত পদক্ষেপে যেতে পারেন।

13.Disable File Editing In WordPress

ডিফল্টভাবে অ্যাডমিনিস্ট্রেটরদের ওয়ার্ডপ্রেস ফাইলের কোড সরাসরি এডিট করার সুযোগ দেয়৷ যদি কোন এ্যাটার্কার সাইটের এক্সেস পেয়ে যায়, সেক্ষেত্রে আক্রমণকারী ফাইলগুলো পরিবর্তন করার সুযোগ পাবে এবং চাইলে তারা ক্ষতিও করতে পারে। আপনি wp-config.php ফাইলের শেষে কিছু কোড যোগ করে নিলে পরবর্তীতে ফাইলগুলো কেউ আর এডিট করতে পারবে না।

// Disallow file edits

define( 'DISALLOW_FILE_EDIT', true );

14.Change Your Database File Prefix

আপনার ওয়ার্ডপ্রেস ডাটাবেস তৈরি করা ফাইলগুলির নাম ডিফল্টরূপে “wp_” দিয়ে শুরু হয়। এ্যাটার্কার খুব সহজেই আপনার ডাটাবেস ফাইলগুলি সনাক্ত করতে এবং এসকিউএল ইনজেকশন পরিচালনা করতে এই সেটিংটি ব্যবহার করে থাকে। একটি সহজ সমাধান আছে। আপনি চাইলে wp এর স্থানে যেমন “wpab_” বা “wpcd_” ব্যবহার করতে পারেন। ওয়ার্ডপ্রেস ইনস্টল করার সময় এটি সেট করতে পারবেন। যদি আপনার সাইটটি ইতিমধ্যেই এই সেটিং ছাড়া লাইভ থাকে তাহলেও আপনি এই ফাইলগুলির নাম পরিবর্তন করতে পারেন৷ এই ক্ষেত্রে, প্লাগিন ব্যবহারের মাধ্যমে আপনি কাজটি সম্পন্ন করতে পারবেন।

15.Disable Access to XML-RPC File

ওয়ার্ডপ্রেস ইনস্টল হবার সময় একটি ফাইল জেনারেট হয় যার নাম xmlrpc.php. এই ফাইলটি থার্ড পার্টি এ্যাপলিকেশন গুলোকে আপনার ওয়ার্ডপ্রেস সাইটে সংযোগ করার অনুমতি দেয়। বেশিরভাগ ওয়ার্ডপ্রেস নিরাপত্তা বিশেষজ্ঞরা পরামর্শ দেন যে আপনি যদি কোনো তৃতীয় পক্ষের অর্থাৎ থার্ড পার্টি এ্যাপলিকেশন ব্যবহার না করেন, তাহলে আপনার এই সিস্টেমটি অফ করে রাখা উচিত।

এই সিস্টেমটি অফ করে দেয়ার জন্যে বেশ কিছু অপশন রয়েছে। তার মধ্যে একটি হলো আপনি নিচের কোডটি কপি করে নিয়ে .htaccess ফাইলের মধ্যে কোডগুলো পেস্ট করে দিন। তাহলেই হয়ে যাবে।

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

আমাদের WordPress Security Setting Bangla Tutorial – ওয়ার্ডপ্রেস সিকিউরিটি সেটিংস টিউটোরিয়ালটি আশা করি ভালো লেগেছে। কমেন্টের মাধ্যমে আপনার মতামত জানাতে পারেন।