কমপ্লিট ওয়াডপ্রেস সিকিউরিটি গাইডলাইন

কমপ্লিট ওয়াডপ্রেস সিকিউরিটি গাইডলাইন

ওয়ার্ডপ্রেস নিঃসন্দেহে এই মুহূর্তে সবচেয়ে জনপ্রিয় সিএমএস। যদিও এটি ওয়ার্ডপ্রেসের জন্য একটি ভাল জিনিস, ওয়ার্ডপ্রেসের অনেক বড় একটি কমিউনিটি রয়েছে যা প্লাগ-ইন, থিম এবং ফিক্সে অবদান রাখে, কিন্তু এই ব্যাপারটির সাথে এটির এখন এর খারাপ দিকগুলিও রয়েছে… অনেক ওয়ার্ডপ্রেস প্লাগিন এবং থিম এ বিভিন্ন ধরনের Vulnerability থাকে যার মাধ্যমে যেকোনো হ্যাকার বিভিন্ন ধরনের থিম এবং প্লাগিন এর দুর্বলতা খুঁজে আমাদের ওয়ার্ডপ্রেস ওয়েব সাইটে এটাক করতে পারে।

 

ওয়াডপ্রেস স্ক্যানার এবং কমপ্লিট সিকিউরিটি প্লাগিন


ওয়ার্ডপ্রেসে অনেকগুলো প্লাগিন রয়েছে যারা কমপ্লিট সিকিউরিটি দিয়ে থাকে যেমন, লগ ইন সিকিউরিটি, ফায়ারওয়াল, ব্রুট ফোর্স অ্যাটাক প্রটেকশন, আইপি ব্লক, ওয়েবসাইট স্ক্যানার ইত্যাদি

নিচের ওয়ার্ডপ্রেস প্লাগিন গুলোতে আমরা কমপ্লিট ওয়েবসাইট সিকিউরিটি দিতে পারি:

● Wordfence
● Sucuri security
● iTheme security

 

 

● WordFense প্লাগিন সেটআপ: কিভাবে WordFence এর মাধ্যমে ওয়ার্ডপ্রেস ওয়েব সাইটের সিকিউরিটি কনফিগার করতে হয়?


Wordfence থ্রেট ইন্টেলিজেন্স টিম ওয়ার্ডপ্রেস কোর, প্লাগইন এবং থিমগুলিতে ক্রমাগত নতুন দুর্বলতা আবিষ্কার করে। অবিলম্বে নতুন ফায়ারওয়াল নিয়মগুলি প্রকাশ করে যা এই Vulnerability বিরুদ্ধে সুরক্ষা দেয়।

ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল Malicious ট্র্যাফিক সনাক্ত করে এবং ব্লক করে।

Wordfence সিকিউরিটি স্ক্যানার/ ম্যালওয়্যার স্ক্যানার বিভিন্ন ম্যালওয়্যার, Bad URL, ব্যাকডোর, SEO স্প্যাম, malicious ডাইরেক্ট এবং কোড ইনজেকশনগুলির বিরুদ্ধে মূল ফাইল, থিম এবং প্লাগইনগুলি পরীক্ষা করে৷

প্রতিনিয়ত স্ক্যান করার মাধ্যমে Malicious Activity সনাক্ত করা, এবং আপনার ওয়ার্ডপ্রেস সাইটের জন্য শক্তিশালী নিরাপত্তা প্রদান করে৷
Wordfence লগইন সিকিউরিটি নিয়ন্ত্রণে চমৎকার কাজ করে, যার মধ্যে ব্রুট ফোর্স সুরক্ষা, XMLRPC সুরক্ষা, স্বয়ংক্রিয় আক্রমণগুলিকে ব্লক করতে reCAPTCHA এবং IP অ্যাক্সেস নিয়ন্ত্রণ।

Leaked, Compromised পাসওয়ার্ড ব্যবহার করে admin panel এর জন্য জন্য লগইন ব্লক করে Wordfence. এছাড়াও ওয়ার্ডপ্রেসের এডমিন প্যানেলে Vulnerable IP থেকে বারবার লগ ইন করার চেষ্টা করা, ক্র্যাক পাসওয়ার্ড ব্যবহার করে যে কেউ ওয়েবসাইটে লগইন করার চেষ্টা করলে তাকে সাথে সাথে ব্লক করে দেয় নির্দিষ্ট সময়ের জন্য।

● ওয়ার্ডপ্রেস Scanner সম্পর্কে জানার জন্য নিচের ব্লগ টি পড়ুন: https://lnkd.in/gqwUhUbY

 

 

● অবশ্যই আমাদের থিম এবং প্লাগিনগুলো কে রেগুলার আপডেট করতে হবে


আমরা অনেকেই ওয়ার্ডপ্রেসে একটা থিম অথবা প্লাগিন ব্যবহার করার পর সেটি আপডেট করি না। ওয়ার্ডপ্রেসের সবচেয়ে বেশি ভাইরাস অথবা ম্যালওয়ার ইঞ্জেক্ট করার জন্য plugin/ theme এর ব্যাকডেটেড version ব্যবহার করা হয়।

সুতরাং আমাদের সবাইকে ওয়ার্ডপ্রেসের থিম এবং প্লাগিন রেগুলার আপডেট করতে হবে। এছাড়াও ওয়ার্ডপ্রেসের Core ফাইলগুলো রেগুলার আপডেট করতে হবে।

 

 

● ওয়েবসাইটের জন্য স্ট্রং লগইন পাসওয়ার্ড ব্যবহার করা


আমরা প্রত্যেকেই জানি যে, নিজের ওয়ার্ডপ্রেস ওয়েবসাইটের অ্যাডমিন পাসওয়ার্ড স্ট্রং (strong) হওয়াটা অনেক জরুরি।

তবে, কেবল কিছু words এবং number ব্যবহার করে password তৈরি করলেই কিন্তু সেটা strong password বলা যাবেনা।

তাই, ওয়ার্ডপ্রেস অ্যাডমিন এর একটি স্ট্রং পাসওয়ার্ড তৈরি করার জন্যে নিচে দেয়া নিয়ম গুলো ফলো করুন:

● পাসওয়ার্ড এ কমেও ৪ টি “special character” ব্যবহার করুন। যেমন, #$%^&*@.
● অবশই পাসওয়ার্ড এ কিছু সংখ্যা যোগ করতে হবে।
● কখনো নিজের নাম বা ওয়েবসাইটের নামের ওপরে পাসওয়ার্ড রাখবেননা।
● যতটা সম্ভব লম্বা পাসওয়ার্ড তৈরি করবেন। এতে, হ্যাকার দের জন্যে আপনার পাসওয়ার্ড অনুমান করাটা সহজ হবেনা।
● প্রতিনিয়তই আপনার ওয়ার্ডপ্রেস ওয়েবসাইট এর পাসওয়ার্ড চেঞ্জ করুন।

 

 

● প্রতিনিয়ত ওয়েব সাইটের ব্যাকআপ রাখা

 

যদি আপনি যেকোনো সময় নিজের ওয়েবসাইটি সুরক্ষিত ও সিকিউর রাখতে চান, তাহলে নিজের থেকে ওয়েবসাইটের ব্যাকআপ অবশই নিবেন।

এতে, যেকোনো সময় যদি আপনার ওয়েবসাইট hack হয় বা আপনার হোস্টিং কোম্পানি যদি আপনাকে suspend করে দেয়, তাহলে আপনার ভয় পাওয়ার বিষয়টি থাকছেনা।
আপনি, নিজের কাছে রাখা আপনার ওয়েবসাইটের backup file টি, ব্যবহার করে যেকোনো অন্য হোস্টিং কোম্পানি থেকে হোস্টিং নিয়ে আবার ওয়েবসাইটটি চালু করতে পারবেন।

ওয়ার্ডপ্রেস ওয়েব সাইটের ব্যাকআপ এর জন্য আমরা নিচের ফ্রী প্লাগইনগুলো ব্যবহার করতে পারি:

● UpdraftPlus: https://wordpress.org/plugins/updraftplus/
● All-in-One WP Migration: https://wordpress.org/plugins/all-in-one-wp-migration/
● WP Vivid: https://wordpress.org/plugins/wpvivid-backuprestore/

 

 

● ওয়ার্ডপ্রেসের meta generator and version ডিজেবল করে রাখা 


নিজের ওয়ার্ডপ্রেস ওয়েবসাইটের version এবং meta generator গুলো disable ও hide করেও আপনি আপনার ওয়েবসাইট হ্যাক হওয়ার থেকে বাঁচিয়ে রাখতে পারবে।
অনেক hacker রা WordPress website এর version এবং meta details এর তথ্য গ্রহণ করে আপনার ওয়েবসাইট হ্যাক করতে পারে।

তাই, অবশই এই দুটি জিনিস disable অবশই করবেন। Meta Generator and Version Info Remover প্লাগিন ব্যবহার করে, WordPress meta details এবং version রিমুভ ও হাইড করতে পারবেন।

● Meta Generator and Version Info Remover Plugin: https://wordpress.org/plugins/meta-generator-and-version-info-remover/

 

 

● Nulled ওয়ার্ডপ্রেস প্লাগিন বা থিম ব্যবহার না করা

 

আমাদের অনেক সময় বিভিন্ন ধরনের প্রিমিয়াম থিম অথবা প্লাগিন বিভিন্ন প্রয়োজনে ওয়েবসাইটে ব্যবহার করতে হয়। অনেক সময় আমরা থিম/ প্লাগিন কিনতে না পেরে যেকোনো দামি এবং প্রিমিয়াম ওয়ার্ডপ্রেস থিম বা প্লাগিন যখন আমরা ইন্টারনেটে থাকা বিভিন্ন অবিস্বাসী ওয়েবসাইট থেকে ডাউনলোড করে নিজের ওয়ার্ডপ্রেস ওয়েবসাইটে ইনস্টল করি।

তখন নানান অপ্রয়োজনীয় codes, hacking scripts এবং file আমাদের ওয়েবসাইটে প্রবেশ করে।

এবং এই codes, scripts এবং files গুলো ভবিষ্যতে, আমাদের ওয়েবসাইটের প্রচুর ক্ষতি সাধন করতে পারে। তাই আমাদের ওয়ার্ডপ্রেস ওয়েব সাইটে কখনোই এই ধরণের থিম প্লাগিন ব্যবহার করা উচিত নয়। অনেক সময় এ ধরনের থিম বা প্লাগিন ইনিশিয়াল ভাইরাস বা ম্যালওয়ার Scanner এ ধরা না পড়লেও ওয়েবসাইটে আপলোড করার কয়েক মাস পরে বিভিন্ন ধরনের ম্যালওয়্যার স্ক্রিপ্টগুলো জেনারেট হয় এবং আমাদের ওয়েবসাইটের ক্ষতিসাধন হতে পারে।

 

 

● লগইন পেইজ Hide, Captcha ও পাসওয়ার্ড প্রটেকশন এর মাধ্যমে ওয়ার্ডপ্রেস ওয়েব সাইটের লগইন পেইজ সুরক্ষিত করা যায়?

 

আমাদের মধ্যে অনেক ওয়ার্ডপ্রেস ব্যবহারকারীরা নিজের WordPress dashboard login এর URL চেঞ্জ করেননা।

এতে, brute force attacker এবং যেকোনো ব্যক্তি যে আপনার WordPress সাইটে লগইন করতে চাচ্ছেন, তারা অনেক সহজেই আপনার লগইন পেজে এসে user এবং password অনুমান করার চেষ্টা করতে পারবেন। সাধারণত পাসওয়ার্ড করে অথবা বিভিন্ন ধরনের Leaked পাসওয়ার্ডের মাধ্যমে এই ব্রুট ফোর্স অ্যাটাক হয়ে থাকে।

আমাদের প্রত্যেকের WordPress login page এর default URL হলো:
● www.domain.com/wp-admin
● www.domain.com/wp-login.php
এবং এই default login URL change না করার সুযোগ নিয়ে hacker রা brute force attack আমাদের ওয়েবসাইটে করেন।

WPS Hide Login:

● By bruteforce attack using password crack or leaked password anyone can get admin access
● Install the plugin: https://wordpress.org/plugins/wps-hide-login/
আরো জানার জন্য নিচের ব্লগ টি পড়ুন: https://lnkd.in/gHdn89za

 

 

ওয়েবসাইটের সিকিউরিটির ক্ষেত্রে ক্লাউডফ্লেয়ারের ভূমিকা

 

Cloudflare একটি উন্নত এবং অনেক জনপ্রিয় CDN যেটা না কেবল আপনার ওয়েবসাইটের loading speed ভালো করবে, এর সাথে সাথে ওয়েবসাইটের সুরক্ষা এবং সিকিউরিটির ক্ষেত্রেও আপনার প্রচুর সাহায্য করবে।

ক্লাউডফ্লেয়ারে কিছু advanced security settings রয়েছে,
Dashboard >> Firewall >> settings >>

● Security level – এর মাধ্যমে ওয়েবসাইটে আসা ভিসিটর দের যাচাই করা হয়। তারা সত্যি আসল লোক নাকি রোবট সেটা দেখা হয়। ভালো সিকিউরিটির ক্ষেত্রে Security Level সব সময় Medium রাখবেন।
● Bot fight mode – যদি আপনার ওয়েবসাইটে প্রচুর fake bot traffic আসছে, তাহলে ও option টি on করে দিন। এতে, ক্লাউডফ্লেয়ার এই bot traffic গুলোকে আপনার ওয়েবসাইটে প্রবেশ করার আগেই থামিয়ে দিবে।
● JavaScript Detection – fake bot traffic এর সাথে লড়াই করার ক্ষেত্রে এই option টি on রাখুন।
● Browser Integrity Check – এই মাধ্যমে ক্লাউডফ্লেয়ার আপনার ওয়েবসাইটের ভিসিটর দের web browser এর ওপরে নজর রাখতে পারে। যদি, তাদের web browser এ কোনো রকমের virus থাকে, তাহলে তাদেরকে আপনার ওয়েবসাইটে প্রবেশ করতে দেওয়া হয়না।

Cloudflare এ এই প্রত্যেকটি setting on রেখে, আপনারা নিজের ওয়েবসাইট খারাপ বোট ট্রাফিক বা বিভিন্ন ধরণের attack থেকে বাঁচিয়ে রাখতে পারবেন।

 

● ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন? কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করা যায়?

 

HTTP Headers Security হল ওয়েবসাইটের নিরাপত্তার একটি গুরুত্বপূর্ণ অংশ। যখন একজন ওয়েবসাইট ব্যবহারকারী একটি Page অ্যাক্সেস করার চেষ্টা করে, তখন তার ব্রাউজার এটি একটি ওয়েব সার্ভার কে রিকোয়েস্ট পাঠায়। সার্ভার তারপর মেটা ডেটা, স্ট্যাটাস error কোড, cache rules ইত্যাদি ধারণ করে উপযুক্ত HTTP Response Headers এর মাধ্যমে Response করে। HTTP Security Headers ব্রাউজার কে বোঝায় আসলে কিভাবে সে ওয়েবসাইটটি দেখাবে।

Header Security না থাকলে আমাদের ওয়েবসাইট যেকোনো ধরনের অ্যাটাকের সম্মুখীন হতে পারে। এই শিরোনামগুলি XSS, কোড ইনজেকশন, ক্লিকজ্যাকিং ইত্যাদি থেকে রক্ষা করে। যেমন XSS, code injection, clickjacking অ্যাটাক।

Headers Security Advanced প্লাগিন এর মাধ্যমে কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইটে HTTP Security Headers কনফিগার করা যায়?

● Plugin: Headers Security Advanced Plugin: https://wordpress.org/plugins/headers-security-advanced-hsts-wp/

● Headers Security Advanced & HSTS WP প্লাগিনটি OWASP CSRF এর উপর Base করে তৈরি করা। একবার প্লাগইন ইনস্টল হয়ে গেলে, এটি সম্পূর্ণ CSRF mitigation প্রদান করে থাকে। এবং অন্যান্য Vulnerable প্লাগইন থাকলেও ওয়েবসাইটের সিকিউরিটি প্রদান করে এই প্লাগইনটি।

আরো জানার জন্য নিচের ব্লগ টি পড়ুন: https://lnkd.in/gMdni-sS

 

 

● Protect Websites With .htaccess:

 

আমাদের ওয়ার্ডপ্রেসের ওয়েবসাইটে রুট ডাইরেক্টরি এর ভিতরে অনেক সেনসিটিভ একটা ফাইলের নাম হল .htaccess.
আমরা অনেকে ওয়ার্ডপ্রেস ওয়েবসাইট ডিজাইন করি এবং প্লাগিন নিয়ে কাজ করি কিন্তু আমাদের .htaccess ফাইলটির কথা কেউ ভাবি না অথবা অনেকেই চিনি না।

.htaccess ফাইলে বিভিন্ন ধরনের কোড ইনজেকশনের মাধ্যমে wp-content, upload, htaccess, XMLRPC, wp-config.php, IP Block সহ অনেক ধরনের ওয়ার্ডপ্রেস ওয়েবসাইট Vulnerability দূর করা যায়।

আরো জানার জন্য নিচের ব্লগ টি পড়ুন: https://lnkd.in/gggsYphi

 

আমরা এই সমস্ত সিকিউরিটি গুলো মেইনটেইন করার মাধ্যমে ওয়ার্ডপ্রেসের বিভিন্ন ধরনের হ্যাকারদের অ্যাটাক থেকে বাঁচতে পারি।

 

Read more ethical hacking from here.

Thanks
Minhazul Asif

One Response

  1. An interesting discussion is worth comment. I think that you should write more on this topic, it might not be a taboo subject but generally people are not enough to speak on such topics. To the next. Cheers

Leave a Reply

Your email address will not be published. Required fields are marked *