আপনার যদি একটি ওয়ার্ডপ্রেস ওয়েবসাইট থাকে এবং সেটির যদি কোনো সিকিউরিটি না থাকে তবে হ্যাকারদের চোখ আপনার ওয়েবসাইটের দিকে পড়তে বেশি দেরি হবে না। আজকে আপনাদের সাথে আলোচনা করব কিভাবে ওয়ার্ডপ্রেস ওয়েবসাইট সিকিউরিটি বাড়ানো যায়।
- ওয়ার্ডপ্রেস ভার্সন আপ-টু-ডেট রাখা
ওয়ার্ডপ্রেস একটি ওপেন-সোর্স সফটওয়্যার এবং এই সফটওয়্যারের নিয়মিত আপডেট ডেভেলপাররা প্রকাশ করে থাকে। সাধারণত যখন কোনো Bug বা Error অথবা কোনো খুঁত খুঁজে পায় যেটি ধরে হ্যাকাররা ওয়ার্ডপ্রেস ওয়েবসাইটগুলোকেই সহজেই হ্যাক করতে পারে তখন একটি ভার্সন-আপডেট ওয়ার্ডপ্রেস টিম প্রকাশ করে থাকে। সুতরাং, নতুন আপডেট আসার সাথে সাথেই আপনার উচিত হবে আপনার ওয়ার্ডপ্রেস ভার্সনটিকে আপ-টু-ডেট করে নেওয়া।
- শক্তিশালী পাসওয়ার্ড এবং ইউজার পারমিশন
সব থেকে সাধারণ হ্যাকিং যেভাবে হয় সেটি হলো পাসওয়ার্ড চুরি হওয়া। ওয়ার্ডপ্রেস অ্যাডমিন প্যানেল, FTP, ডেটাবেজ, হোস্টিং অ্যাকাউন্ট ইত্যাদির জায়গার পাসওয়ার্ড চুরি হতে পারে। সুতরাং এসব জায়গার পাসওয়ার্ড যথেষ্ট কঠিন হওয়া জরুরি, যাতে করে কেউ সহজে অনুমান করতে না পারে। আরেকটি বিষয় লক্ষ্য রাখা উচিত সেটি হল সব জায়গার পাসওয়ার্ড একই না রাখা।
পাশাপাশি ওয়ার্ডপ্রেস প্যানেলের অ্যাডমিন পারমিশন শুধুমাত্র বিশ্বাসী লোক ছাড়া না দেওয়া ভাল। আপনার ওয়ার্ডপ্রেস ওয়েবসাইটে যদি মাল্টি-ইউজার থাকে তবে তাদের ইউজার পারমিশনের দিকে একটু খেয়াল রাখা উচিত।
- ওয়েবসাইট ব্যাকআপ
সরকারী ওয়েবসাইট যদি হ্যাক হতে পারে, তাহলে আপনার ওয়েবসাইট কেন নয়! আমরা ওয়েবসাইট ব্যাকআপ রাখা যে কতটা জরুরি তা বুঝে উঠতে পারি না ততদিন পর্যন্ত যতদিন না আমাদের ওয়েবসাইটটি হ্যাক হয়। সুতরাং সবসময় ওয়েবসাইটের ব্যাকআপ রাখা উচিত।
- ওয়ার্ডপ্রেস সিকিউরিটি প্লাগিন
ওয়েবসাইট ব্যাকআপ এর পর যে বিষয়টি আসে সেটি হলো আপনার ওয়েবসাইটটিকে মনিটরিং এর উপর রাখা। তাই ওয়ার্ডপ্রেস ওয়েবসাইটের জন্য একটি সিকিউরিটি প্লাগিন ব্যবহার করা আবশ্যক। বর্তমানে সবচেয়ে জনপ্রিয় এবং সুবিধাবহুল ওয়ার্ডপ্রেস সিকিউরিটি প্লাগিন হলো - Sucuri Scanner। ফাইল মনিটরিং, ফেইল্ড লগিন অ্যাটেমটস মনিটরিং, ম্যালওয়্যার স্ক্যানিং সহ আরো অনেক সুবিধা পাওয়া যাবে এই প্লাগিন ব্যবহারে। এই প্লাগিনটি একদমই বিনামূল্যে ব্যবহার করতে পারবেন।
- ফায়ার-ওয়াল অ্যাকটিভেশন
ওয়ার্ডপ্রেস ওয়েবসাইট এর সিকিউরিটি দ্বিগুণ হয়ে যায় যখন ওয়েবসাইট এ ফায়ার-ওয়াল অ্যাকটিভ করা হয়। ওয়েবসাইট সিকিউরিটি প্লাগিন Sucuri Scanner ফায়ার-ওয়াল ব্যবহারের সুবিধা দিয়ে থাকে। এছাড়া Cloudflare এর মাধ্যমেও আপনারা ওয়েবসাইটে ফায়ার-ওয়াল যুক্ত করতে পারবেন। আমাদের হোস্টিং কোম্পানি Host The Website এখন Cloudflare Enabled।
- ডিফল্ট ইউজার নেম পরিবর্তন করা
ওয়েবসাইটে আমরা যখন ওয়ার্ডপ্রেস ইন্সটল করি তখন একটি ডিফল্ট ইউজার নেম "admin" থাকে। সুতরাং একজন হ্যাকার স্বাভাবিকভাবেই সর্বপ্রথম এই ডিফল্ট ইউজার নেম চেষ্টা করবে। সুতরাং আপনার ওয়েবসাইটের ডিফল্ট ইউজার পরিবর্তন করে অন্য কিছু দেওয়া উচিত। ওয়ার্ডপ্রেস ইন্সটল হয়ে গেলে ইউজার নেম আর পরিবর্তন করা সম্ভব হয় না। তখন এই তিনটি পদ্ধতি দ্বারা আপনি ইউজার চেঞ্জ করতে পারেন -
- নতুনভাবে ওয়ার্ডপ্রেস ইন্সটল দিয়ে, ইন্সটল দেওয়ার সময় ইউজার নেম পরিবর্তন করতে পারেন।
- Username Changer প্লাগিন ব্যবহার করতে পারেন।
- phpMyAdmin থেকে ইউজার নেম পরিবর্তন করতে পারেন।
- ডিজেবল ফাইল এডিটিং
ওয়ার্ডপ্রেস প্যানেলে বিল্ট-ইন অবস্থায় কোড এডিটর থাকে যেটি ব্যবহার করে আপনি থিম ফাইল এবং প্লাগিন ফাইল এডিট করতে পারেন। অপরিচিত কারো কাছে তাই এই আক্সেস না দেওয়াই ভাল। আপনি তাই এই ফিচারটি বন্ধ করে রাখতে পারেন একটি ছোট্ট কোড অ্যাড করার মাধ্যমে।
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
এই কোডটি আপনি wp-config.php ফাইলে অ্যাড করে দিলেই কাজ শেষ!
এছাড়া Sucuri scanner plugin ব্যবহার করেও আপনি এই কাজটি করতে পারেন।
- কিছু ক্ষেত্রে PHP File Execution বন্ধ করে রাখা
বিভিন্ন জায়গায় সচরাচর PHP File Execution প্রয়োজন হয় না যেমন /wp-content/uploads। এসব জায়গায় আপনি এটি বন্ধ রাখতে পারেন একটি কোড এর মাধ্যমে।
<Files *.php> deny from all </Files>
একটি নোটপ্যাডে এই কোডটি লিখে ফাইলটি .htaccess রূপে সেভ করে /wp-content/uploads ফোল্ডারে FTP Client এর মাধ্যমে আপলোড করে দিতে হবে।
এছাড়া এই কাজটি আপনি Sucuri scanner Plugin এর মাধ্যমেও করতে পারেন।
- লগিন অ্যাটেমট লিমিটেশন
ওয়ার্ডপ্রেস এ ডিফল্টভাবে সিস্টেম থাকে যত বার খুশি লগিন অ্যাটেমট নেওয়া যাবে। হ্যাকাররা বার বার ভিন্ন ভিন্ন পাসওয়ার্ড দিয়ে চেষ্টা করতে থাকে আপনার ওয়েবসাইটে লগিন করার জন্য। ওয়েবসাইটে যদি ফায়ার-ওয়াল অ্যাকটিভ থাকে তাহলে চিন্তার কারণ নেই। কিন্তু যদি তা না হয় তবে Login Lockdown প্লাগিনটি ব্যবহার করে লগিন লিমিটেশন সেট করে নিতে পারেন।
- ওয়ার্ডপ্রেস ডেটাবেজ প্রিফিক্স পরিবর্তন
ওয়ার্ডপ্রেস ডিফল্ট ভাবে সব ডেটাবেজ টেবিলেই "wp_" এই প্রিফিক্সটি ব্যবহার করে থাকে। আপনার ওয়ার্ডপ্রেস ওয়েবসাইট যদি এই ডিফল্ট ডেটাবেজ প্রিফিক্সটি ব্যবহার করে থাকেন তাহলে হ্যাকারের জন্য ডেটাবেজ টেবিল ধারণা করা সহজ হয়। সুতরাং এটি পরিবর্তন করলে আপনার ওয়েবসাইট সিকিউরিটি বেড়ে যাবে।
- সরাসরি ডিরেক্টরি ইন্ডেক্সিং এবং ব্রাউজিং বন্ধ
সরাসরি ডিরেক্টরি ব্রাউজিং হ্যাকারের জন্য সহজ করে তোলে এটি খুজতে যে আপনার ওয়েবসাইটে এমন কোনো ফাইল আছে কিনা যেটি দিয়ে সে সহজেই আপনার ওয়েবসাইটে ঢুকতে পারে। সুতরাং সরাসরি ডিরেক্টরি ইন্ডেক্সিং এবং ব্রাউজিং বন্ধ রাখা উচিত। Cpanel File Manager এ ওয়েবসাইটের Root Directory তে .htaccess ফাইলটি খুঁজে বের করুন। এই ফাইলের কোড লাইনগুলোর একদম শেষে নিচের কোডটি অ্যাড করে দিলেই কাজ শেষ!
Options -Indexes
কোডটি অ্যাড করা শেষে .htaccess ফাইলটি আপলোড এবং সেভ করতে হবে।
- অটোমেটিং লগ আউট সিস্টেম
কোনো ইউজার যদি বেশ কিছুক্ষন তার অ্যাকাউন্টে অ্যাকটিভ না থাকে অথবা লগ আউট না হয়েই ওয়েবসাইট থেকে বের হয়ে যায় সেক্ষেত্রে সেই ওয়েবসাইট সেশনটি হ্যাকাররা হ্যাক করার একটি রিস্ক থেকে যায়। Idle User Logout প্লাগিনটি ব্যবহার করে একটি নির্দিষ্ট সময় পর্যন্ত ইউজার অ্যাকাউন্ট এ অ্যাকটিভ না থাকলে অটোমেটিং লগ আউট হয়ে যাবে।
- ওয়ার্ডপ্রেস লগিন পেজে Security Question
ওয়ার্ডপ্রেস ওয়েবসাইটের ইউজার লগিন পেজে সাধারণত ইউজার নেম এবং পাসওয়ার্ড দিয়ে লগিন করার সিস্টেম থাকে। Security Question সিস্টেম যুক্ত করলে তা আন-অথরাইজড লগিন অ্যাটেমট কঠিন করে তোলে। WP Security Questions প্লাগিনটি ব্যবহার করে আপনি এই কাজটি সহজেই করতে পারবেন।
আশা করি, পোস্টটি আপনাদের ভাল লেগেছে। কোনো সমস্যা হলে অথবা প্রশ্ন থাকলে কমেন্ট করুন বা সাপোর্ট-এ যোগাযোগ করুন অথবা ইমেইল করুন: asif@hostthewebsite.com
পোস্টটি শেয়ার করতে ভুলবেন না!
