wordpress ওয়ার্ডপ্রেস সিকিউরিটির ব্লগ গুলোর মধ্যে অন্যতম জনপ্রিয় ব্লগ Wordfence এর রিসার্চ অনুযায়ী ২০১৭ সালের জুলাই মাসে প্রতিদিন ৩ কোটি ৫০ লাখ ওয়ার্ডপ্রেস CMS ব্যবহারকারী ওয়েবসাইট শুধু ব্রুট ফোর্স এটাকের স্বীকার হয়েছে।
আর আমরা সবাই জানি যে, ওয়ার্ডপ্রেস এখন CMS মার্কেটের প্রায় ৬০% এর বেশি মার্কেট শেয়ার ধরে রেখেছে। যেখানে তাদের কাছের প্রতিদন্দী Joomla এর মার্কেটশেয়ার ৭% এর ও কম। অর্থাৎ, প্রতিদন্দীতার দিক ওয়ার্ডপ্রেসের কাছে পিঠেও কেউ নেই। তাই ওয়ার্ডপ্রেস ওয়বেসোইটের সিকিউরিটি ইশ্যু গুলো নিয়ে খুব সিরিয়াস ভাবেই আমাদের ভাবা উচিত।
কিভাবে পেওনিয়ার একাউন্ট খুলবেন?
আজ কথা বলবো ওয়ার্ডপ্রেস ওয়েবসাইট এর সিকিউরিটি ইশ্যু নিয়ে, পুরো আর্টিকেল টি পড়লে আপনার ওয়েবসাইট কিভাবে হ্যাকারদের হাত থেকে রক্ষা করতে পারবেন এবং আরো সিকিউর করতে পারবেন এ ব্যাপারে পরিষ্কার ধারনা পাবেন।
একটা ওয়েবসাইট তৈরির জন্য যথেস্ট পরিমান সময়, শ্রম, এবং অর্থ ব্যায় হয়। আর ওয়েবসাইটটি হ্যাক হওয়া মানেই কিন্তু সব পরিশ্রম মাটি হয়ে যাওয়া। তাই আপনি কখনই চাইবেন না আপনার সাধের ওয়েবসাইট খানা হ্যাকারদের হাতে পড়ুক। তো চলুন জেনে নেই ওয়েবসাইট সিকিউর করা এবং হ্যাকারদের হাতথেকে বাচানোর উপায় গুলো কি কি।
#১ ওয়ার্ডপ্রেস লগইন URL রিনেম করা
ওয়ার্ডপ্রেস ইন্সটলেশন এর সময় আমরা বেশিরভাগ সময়ই লগইন URL হিসেবে wp-admin অথবা wp-login.php ব্যবহার করি। কারন বাই ডিফল্ট হিসেব এটাই সেট করা থাকে। এর ফলে হ্যাকার রা খুব সহজেই লগিন পেজটি পেয়ে যায়।
একটা ওয়েবসাইট কে যদি ধরি ঘর হিসেবে তাহলে লগইন পেজ একটা ওয়েবসাইটের দরজার মত। তাই আপনি যদি হ্যাকার দের থেকে আপনার বাড়ির দরজাটাই লুকিয়ে রাখতে পারেন তাহলে সেখানে চুরি হওয়ার ভয়ও কম।
কোনো হ্যাকার যদি আপনার ওয়েবসাইটের লগইন পেজের লিংক পেয়েই যায় তখন প্রথমেই সে ব্রুটফোর্স এটাকের চেষ্টা করবে। এক্ষেত্রে লগইন URL পরিবর্তন করলে সরাসরি ব্রুটফোর্স এটাকের সম্ভবনা ৯০% কমে যায়।
কার্যকারী ফ্রি ওয়ার্ডপ্রেস প্লাগিনস গুলি হলো:
#২ Admin ইউজারনেইম এবং IP Block ফিচার
ওয়ার্ডপ্রেস ইন্সটলেশন এর সময় আরেকটি কমন ভুলে হলো সাইটের User Name – Admin দেয়া। এতে হ্যাকাররা সহজেই ওই সাইটের এক্সেস পেয়ে যায়। ধরুন, একজন হ্যাকার যদি জানে সাইটের লগিন URL আর ইউজার নেম তাহলে শুধু বাকি থাকে পাসওয়ার্ডটা ট্রেস করা। এরকম ওয়েবসাইট পৃথিবীতে খুব কমই আছে যেখানে ইউজার নেম “Admin” দিয়ে হ্যাক করার চেষ্টা করা হয়নি।
এক্ষেত্রে সাইটের সিকিউরিটি বাড়ানোর জন্য প্লাগিন ব্যবহার করতে পারেন। এরফলে কোন ইউজার বা হ্যাকার যদি ভুল পাসওয়ার্ড দিয়ে সাইটে লগিন করার চেষ্টা করে, তাহলে অটোমেটিক তার আইপি (IP) ব্লক হয়ে যাবে।
কার্যকারী ফ্রি ওয়ার্ডপ্রেস প্লাগিনস গুলি হলো:
- iThemes Security (formerly Better WP Security)
- Wordfence Security – Firewall & Malware Scan
- Limit Login Attempts
#৩ কমন Password ব্যবহার না করা
লগইন URL , ইউজার নেম এর পর এবার Password। Password দেয়ার বেলায় আমরা সবাই একটু অলসই বলা চলে। এই যায়গাটাতে আমরা ভুল করে খুবই কমন কিছু Password ব্যাবহার করে থাকি। ‘123456’ isn’t a password. ‘qwerty’ ‘letmein’ এগুলো পৃথিবীতে সব থেকে বেশিবার ব্যবহৃত পাসওয়ার্ড। ইভেন “starwars” ছিলো ২০১৫ সালের সবথেকে কমন ২৫টি পাসওয়ার্ডের মধ্যে একটি, বিস্তারিত জানতে ক্লিক করুন।
তাহলে কি করবেন ?
পাসওয়ার্ড সবসময়ই স্ট্রং রাখা উচিত। এক্ষেত্রে পাসওয়ার্ড জেনারেটর এর হেল্প নেয়া যেতে পারে। একটা স্ট্রং Password সাধারনত বড়হাত, ছোটহাত, নাম্বার এবং সিম্বল দিয়ে হয়ে থাকে। তবে খেয়াল রাখতে হবে Password স্ট্রং করতে গিয়ে নিজেই যেনো আবার সেটা ভুলে না যান এজন্য এটি কোথাও সংরক্ষন করে রাখুন।
#৪ Two Step Authentication ব্যবহার করা
আপনি লগইন URL পরিবর্তন করলেন, ইউজার নেম চেন্জ করলেন এবং স্ট্রং পাসওয়ার্ডও ব্যবহার করলেন। তারপরও কিন্ত সাইট হ্যাক হওয়ার ভয় থেকেই যায়। এর থেকে পরিত্রান পাওয়ার সর্বশেষ স্টেপ হতে পারে Two Step Authentication।
এতে সাইটের লগইনের জন্য ২টি ডিভাইস ব্যবহার করতে হবে। ইউজার সাইটের লগইন প্যানেলে ইউজার নেম পাসওয়ার্ড দেয়ার পর আগের সেট করা ডিভাইসে একটি মেসেজ যাবে। ওই মেসেজ টি একটি কোড থাকবে যেটি মেইন ডিভাইসে মানে যেখান থেকে লগইন করার চেষ্টা করা হয়েছে সেখানে দিলেই সাইটে প্রবেশ করা যাবে।
কার্যকারী ফ্রি ওয়ার্ডপ্রেস প্লাগিনস গুলি হলো:
#৫ SSL ব্যবহার করা
SSL (Secure Sockets Layer) মূলত এডমিন প্যানেলের সুরক্ষার জন্য জনপ্রিয় একটি ধাপ।
এসএসএল ব্যবহারকারীর ব্রাউজার এবং সার্ভারের মধ্যে নিরাপদে ডেটা ট্রান্সফার নিশ্চিত করে এবং হ্যাকারদের ডাটা স্পুফ করা ও ব্রিজ কানেকশন করাকে কঠিন করে তোলে।
ওয়েবসাইট ভিজিট করার সময় আমরা URL বারের একেবারে শুরুতেই একটা জিনিস দেখি, https:// অথবা http:// যদি কোনো সাইটের এড্রেস বারে ওয়েবসাইটের এড্রেসের আগে http:// থাকে তার মানে এই ওয়েবসাইট টির SSL সার্টিফিকেশন নেই এবং সাইটটি সিকিউর না। আর যদি কোনো সাইটের এড্রেস বারে ওয়েবসাইটের এড্রেসের আগে https:// থাকে তার মানে এই ওয়েবসাইট টির SSL সার্টিফিকেশন আছে এবং সাইটটি সিকিউর।
ওয়ার্ডপ্রেস ওয়বেসাইটের জন্য SSL সেটআপ এবং ব্যবহার করা খুব কঠিন কিছু না। আপনি আপনার হোস্টিং প্রোভাইডারেরে কাছ থেকে এটি কিনে নিতে পারেন। SSL এর জন্য কোম্পানী ভেদে আপনাকে ৫০০-১৫০০ টাকা চার্জ করতে পারে।
#৬ ওয়ার্ডপ্রেস, থিম এবং প্লাগিন নিয়মিত আপডেট করা
সব ধরনের সফটওয়ারই একটা নির্দ্দিষ্ট সময় পর আপডেট করা হয়। তবে আমরা জানি ওয়র্ডপ্রেস খুব ঘন ঘন আপডেট হয়। ঘন ঘন আপডেট হওয়ার প্রধান এবং অন্যতম কারন হচ্ছে বাগ গুলো ফিক্স করা। ওয়ার্ডপ্রেস সফটওয়ার আপডেট হলেও আপনার সাইট কিন্ত আপডেট হয় না। এটা ম্যানুয়ালী আপডেট করে নিতে হয়।
আপনার সাইট টি যদি আপডেট না করা হয় তাহলে পূর্ববর্তী সফটওয়ার এর বাগ ডিটেক্ট করে সহজেই হ্যাকাররা আপনার ওয়েবসাইট হ্যাক করতে পারে।
আপনার থিম এবং প্লাগইন আপডেট না করা হলে গুরুতর সমস্যা হতে পারে। অনেক হ্যাকাররা কেবল তাদের প্লাগইন এবং থিম আপডেট না করার জন্য সাইট হ্যাক করতে পারে। কেননা অনেক দিন ধরে আপডেট না করলে হ্যাকাররা এদের বাগগুলো খুজে পেতে পারে।
সুতরাং, আপনি যদি ওয়ার্ডপ্রেস এর পণ্য যেমনঃ প্লাগইন এবং থিম ব্যবহার করে থাকেন তাহলে তাদের নিয়মিত আপডেট করুন।
#৭ সাইটের নিয়মিত ব্যাকআপ রাখা
আপনার ওয়েবসাইট নিরাপদ রাখার জন্য একটি গুরুত্বপূর্ণ কাজ সপ্তাহে বা মাসে একটি অফ-সাইট ব্যাকআপ রাখা। কেননা কখনও সাইটের কোন সমস্যা হলে দ্রুত ব্যবস্থা নিতে পারেন। তাছাড়া আপনার যদি সাইটের ব্যাকআপ থাকে তবে আপনি যে কোন সময় আপনার ওয়ার্ডপ্রেস ওয়েবসাইটটিকে আপনার পছন্দ মত কাস্টমাইজ করতে পারেন।
কার্যকারী ফ্রি ওয়ার্ডপ্রেস প্লাগিনস গুলি হলো:
আশাকরি ওয়ার্ডপ্রেস ওয়েবসাইটের বেসিক সিকিউরিটি সম্পর্কে আপনারা একটি পরিষ্কার ধারনা পেয়েছেন। উপরের স্টেপ গুলো ফলো করলে সাইট হ্যাক হওয়ার চান্স অনেকটা কমে যাবে।
যদি আমার লেখাটি আপনাদের কাছে উপকারী মনে হয় তাহলে দয়াকরে লেখাটি শেয়ার করুন। কারন আপনাদের অনুপ্রেরণা থেকেই আমি আগামীতে আরো ভালো কিছু লেখার উৎসাহ পাই।
আর যদি কোনো প্রশ্ন থাকে তাহলে অবশ্যই কমেন্টের মাধ্যমে জানাবেন, আমি চেষ্টা করবো উত্তর দেয়ার জন্য।
Post By: mdfarukkhan
Comments (No)