ওয়েব ডেভলপমেন্ট, টিউটোরিয়াল, বিবিধ

ওয়ার্ডপ্রেস সাইটকে হ্যাকারদের হাত থেকে বাঁচাতে করনীয় ২০ টি উপায় (প্রথম পর্ব)

simple-tricks-to-secure-your-wordpress-website

সোফোস সিকিউরিটি থ্রেট রিপোর্ট – ২০১২ (Sophos Security Threat Report-2012) অনুযায়ী, প্রতিদিন গড়ে ৩০ হাজার ওয়েবসাইট হ্যাক হয়। তবে বর্তমান সময়ের পরিস্থিতি আরও ভয়াবহ। তাই ওয়েবসাইটের সিকিউরিটি নিয়ে সবাই খুব চিন্তিত। কারন, অনেক পরিশ্রম ও মেধার সমন্বয়ে একটি ওয়েবসাইট গড়ে তোলা হয়। সেটা হ্যাক হয়ে গেলে এক মুহূর্তেই তার সকল পরিশ্রম মাটি হয়ে যায়। মোটকথা আপনি কখনই চাইবেন না যে, আপনার ওয়েবসাইটটি হ্যাক হয়ে যাক। আজ আমি আপনাদের ওয়ার্ডপ্রেস ওয়েবসাইটের নিরাপত্তা বাড়াতে বেশ কয়েকটি সহজ কৌশল নিয়ে আলোচনা করব।

লগইন পেইজ সিকিউর করা এবং ব্রূট ফোর্স অ্যাটাক প্রতিরোধ করাঃ

স্ট্যান্ডার্ড ওয়ার্ডপ্রেস লগইন পেইজ URL যেমন- ডোমেইন নামের শেষে / wp-login.php বা / wp-admin  যোগ করা এবং এখানে ইউজার নেইম ও পাসওয়ার্ড দিয়ে ওয়েবসাইটের ব্যাকএন্ড এ অ্যাক্সেস করা হয় সেটা সবাই জানেন। এ কারণেই হ্যাকাররা ব্রূট ফোর্স অ্যাটাক এখান থেকেই করে থাকে। প্রথমে এখান থেকেই প্রবেশ করার চেষ্টা করে। তাই লগইন পেইজ URL কাস্টমাইজ করে পরিবর্তন করে নেয়া উচিত। বেশিরভাগ ডেভলপারই এটাকে ওয়েবসাইট সুরক্ষিত করার প্রথম ধাপ হিসেবে আখ্যায়িত করেছেন। এবার আপনার লগইন পেইজ সুরক্ষিত করার জন্য কিছু উপায় জেনে নিই

১. ওয়েবসাইট এ লকডাউন সেট আপ করুন এবং ইউজার রেজিস্ট্রেশন নিষিদ্ধ করুনঃ

বার বার লগইন করার প্রচেষ্টাকে ব্যর্থ করার জন্য লকডাউন ফিচার একটি বড় ধরনের সমাধান। কেননা এই ফিচার অ্যাপ্লাই করলে, যখনই কোন হ্যাকার বার বার ভুল পাসওয়ার্ডের সাহায্যে হ্যাকিং করার চেষ্টা করে, তখন সাইটটি লক হয়ে যায় এবং এই কাজগুলোর নোটিফিকেশন দিয়ে থাকে। এক্ষেত্রে আপনি নীচের যে কোন একটি প্লাগইনের সাহায্য নিতে পারেন

আমার দেখা সিকিউরিটি প্লাগইন গুলোর মধ্যে iThemes Security প্লাগইনটি অন্যতম সেরা একটি প্লাগইন এবং আমি বেশ কিছু সাইটে এটি ব্যবহার করেছি। প্লাগইনটিতে আপনি লগইন করার প্রচেষ্টাকে নির্দিষ্ট করে দিতে পারেন যা পরে আক্রমণকারীর IP কে ব্লক করে দেয়।

এছাড়াও আপনি Login LockDown প্লাগইন ব্যবহার করতে পারেন। এ প্লাগইনটিও এ ব্যাপারে বেশ কার্যকর সমাধান দিয়ে থাকে।

২. Two-Factor অথেন্টিকেশন ব্যবহার করাঃ

লগইন পেইজে 2-ফ্যাক্টর অথেন্টিকেশন রাখা আরেকটি ভাল নিরাপত্তা ব্যবস্থা। এই ক্ষেত্রে, ব্যবহারকারীকে দুটি ভিন্ন ডিভাইস ব্যবহার করেতে হবে। ওয়েবসাইটের মূল ইউজার যার একটি ডিভাইস আগে থেকেই নির্ধারণ করা থাকবে। সেই ডিভাইসে একটি গোপন প্রশ্ন বা একটি গোপন কোড বা অক্ষর পাঠানো হবে যাতে সঠিক ইউজারকে যাচাই করা যায়। নীচে কয়েকটি প্লাগইন এর উদাহরন দিলাম এখান থেকে যে কোন একটি ব্যবহার করতে পারেন।

৩. লগইন এর ক্ষেত্রে ইমেল ব্যবহার করাঃ

ডিফল্টভাবে লগইন করতে আমরা ইউজার নেইম ইনপুট করে থাকি। তবে ইউজার নেইম এর পরিবর্তে ইমেল আইডি ব্যবহার করে আমাদের সাইটকে আরো নিরাপদ করতে পারি। কেননা এটা খুবই স্পষ্ট যে ইউজারনেইম খুব সহজেই ট্রেস করা যায় কিন্তু ইমেল আইডি সহজে ট্রেস করা যায় না। এছাড়া ওয়ার্ডপ্রেস ইন্সটল করার সময় একটি সঠিক ইমেল অ্যাড্রেস দিয়ে ইউজার অ্যাকাউন্ট তৈরি হয়। যাতে এর বৈধ ইউজার তৈরি হয়, এটি লগ ইন করার জন্য একটি বৈধ শনাক্তকারী হিসেবে কাজ করে। এক্ষেত্রে আমরা WP Email Login এই প্লাগইনটি ব্যবহার করতে পারি। এটি অ্যাক্টিভেশনের পরে সঠিকভাবে কাজ করে এবং এটিতে অন্য কোন কনফিগারেশন প্রয়োজন হয় না। এটি পরীক্ষা করার জন্য, আপনার ওয়েবসাইটের লগ আউট করুন এবং পুনরায় লগ ইন করুন, কিন্তু এই সময় আপনি যে ইমেল অ্যাড্রেস দিয়ে অ্যাকাউন্ট তৈরি করেছেন সেটিই ব্যবহার করতে হবে।

৪. লগইন URL রিনেইম করাঃ

ডিফল্টভাবে সাইটটির মেইন URL এর পরে  wp-login.php অথবা wp-admin লিখে সার্চ করলে ওয়ার্ডপ্রেস লগইন পেইজ পাওয়া যায়। তাই URL পরিবর্তন না করলে হ্যাকাররা খুব সহজে অ্যাক্সেস করতে পারে। কারণ, হ্যাকাররা যখন আপনার লগইন পেইজের URL  সহজেই পেয়ে যাবে, তখন তারা ব্রুট ফোর্স ওয়ে অথবা GWD (গেজ ওয়ার্ক ডেটাবেস) এর মাধ্যমে লগ ইন করার চেষ্টা করবে এতে কোন সন্দেহ নেই। এক্ষেত্রে লগইন URL পরিবর্তন করে 99% সরাসরি ব্রুট ফোর্স অ্যাটাক প্রতিরোধ করা সম্ভব। এই কৌশলটি যে কাউকে লগইন পেইজ অ্যাক্সেস করতে বাধা দেয়। শুধুমাত্র সঠিক URL ব্যবহার করেই যে কেউ এটি করতে পারেনীচে কয়েকটি প্লাগইন এর উদাহরন দিলাম এখান থেকে যে কোন একটি ব্যবহার করে আপনি লগইন URL পরিবর্তন করে নিতে পারেন।

৫. পাসওয়ার্ড এডজাস্ট করাঃ

আপনার ওয়েবসাইটের পাসওয়ার্ড কিছুদিন পর পর পরিবর্তন করুন। বড় হাতের এবং ছোট হাতের অক্ষর, সংখ্যা এবং বিশেষ অক্ষরগুলি ব্যবহার করে পাসওয়ার্ড হার্ড করুন। এক্ষেত্রে password generator থেকে সহায়তা নিতে পারেন।

এই সিরিজের অন্য পর্বগুলোঃ

 

2 Comments

Md. Shah Jamal Sumon

As a Full Time Web Developer, WordPress & Laravel Specialist Since 2015.

2 Comments

  1. amirsohel
    February 3, 2018 at 1:19 pm

    1. Secure your hosting ( this is not specific to wordpress)
    2. Keep your blog updated.
    3. Use .htaccess to prevent access to wp-admin from other ips than yours (this saved me lots of times).
    4. Do not use less known plugins or themes distributed outside well-known theme portals (there are themes/plugins with backdoor).

  2. Md. Shah Jamal Sumon
    February 12, 2018 at 3:22 pm

    Dear Amirsohel,
    Please See The next part. I will try to explain details.

    ২য় পর্বঃ https://www.techpagebd.com/simple-tricks-to-secure-your-wordpress-website2/
    ৩য় পর্বঃ https://www.techpagebd.com/simple-tricks-to-secure-your-wordpress-website3/
    ৪র্থ পর্বঃ https://www.techpagebd.com/simple-tricks-to-secure-your-wordpress-website4/
    ৫ম পর্বঃ https://www.techpagebd.com/simple-tricks-to-secure-your-wordpress-website5/

    Thank you very much.

Reply your comment

Your email address will not be published. Required fields are marked*

4 × three =