বন্ধুরা আজ অনেক দিন পর WordPress নিয়ে পোষ্ট করছি ।ওপেন সোর্স এবং ইউজার ফ্রেন্ডলি বলে ওয়ার্ডপ্রেস হচ্ছে পৃথিবীর সবচাইতে জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম। এর জনপ্রিয়তার আরেকটা কারন এটি এমন একটি সিএমএস যা দিয়ে আপনি একটু টেকনিক্যাল নলেজ থাকলে খুব সহজেই তৈরি করতে পারবেন যেকোনো ধরনের ওয়েবসাইট, হোক সেটি ব্লগ, ই-শপ কিংবা লার্নিং ম্যানেজমেন্ট সিস্টেম।
তবে ওপেন সোর্স হওয়ার কারনে এটির সোর্স কোড সবার হাতের নাগালে। তাই ওয়ার্ডপ্রেস সিকিউরিটি বাগ গুলো সহজেই খুজে নিতে পারে হ্যাকাররা। তাই ওয়ার্ডপ্রেস ব্যাবহার করলে অবশ্যই ওয়ার্ডপ্রেস সিকিউরিটি নিয়ে আপনাকে কিছুটা ভাবতে হবে। নিচের ১০ টি পদ্ধতি অনুসরন করলে এসকল সিকিউরিটি বাগ থেকে আপনি মোটামুটি সুরক্ষিত থাকতে পারবেন।
ওয়ার্ডপ্রেস সাইট হ্যাকিং থেকে বাঁচানোর ১০টি ওয়ার্ডপ্রেস সিকিউরিটি টিপস
১. ‘admin’ নামের ইউজারনেম ব্যাবহার করবেন না
এই কাজটি একমাত্র তারাই করে থাকেন যারা ওয়ার্ডপ্রেস ব্যাবহারের ক্ষেত্রে একদম নতুন। কিন্তু কথা হল পৃথিবীতে বিপুল সংখ্যক সাইটের ইউজারনেম এটাই। এর কারন ওয়ার্ডপ্রেসের আগের ভার্সন গুলোতে এটা ডিফল্ট ইউজারনেম হিসেবে থাকতো। যদিও এটা ব্যাবহার করে যারা হ্যাক করেন তাদেরকে আমি হ্যাকারের উপাধি দিতে রাজি নই। তবুও বলতে হবে প্রতি বছর বেশ কিছু সাইট হ্যাক হয় শুধুমাত্র এই ইউজারনেম ব্যাবহারের কারনে। সুতরাং এড়িয়ে যাওয়ার কিছু নেই এখানে।
২. লগ-ইন লকডাউন সিস্টেম ব্যাবহার করুন
ওয়েবসাইট হ্যাকারদের একটা প্রিয় হ্যাকিং সিস্টেম হচ্ছে brute force (ব্রুট ফোর্স)। যেখানে তারা একটাই ওয়েবসাইটে বহুসংখ্যক সম্ভাব্য ইউজারনেম এবং পাসওয়ার্ড কম্বিনেশন ব্যাবহার করে লগ-ইন এর চেষ্টা চালায়। আপনার কাছে এভাবে হ্যাক করা হয়তো অসম্ভব মনে হতে পারে। কিন্তু তাদের কাছে এটা খুবই সোজা। কারন তারা এই কাজটি করতে বিভিন্ন সফটওয়্যার ব্যাবহার করে যেইগুলা খুব দ্রুত বেশকিছু(এমনকি ঘণ্টায় কয়েক হাজার) লগ-ইন এটেম্প চালাতে পারে। এবং এইধরনের পদ্ধতিতে বার বার লগ-ইন চেষ্টা করা যায় এইধরনের যেকোনো সাইট হ্যাক করা যায়। এমনকি ডিকশনারি অ্যাটাক(dictionary attack) (মানে বিশেষ কিছু ইউজার এবং পাস কম্বিনেশন যা পৃথিবীব্যাপী বহুল প্রচলিত) ব্যাবহার করেই বেশ কিছু সাইট হ্যাক করে ফেলে হ্যাকাররা। এখন কথা হল আপনি কিভাবে বাঁচবেন? খুব সহজ পদ্ধতি অনুসরন করুন। সাইটে লগ-ইন লিমিট রাখুন। অর্থাৎ কেউ যদি ৩ বারের বেশি লগ-ইন হওয়ার চেষ্টা করে কিন্তু সফল না হয় তাহলে সে হয়তো পরের বার একটা কেপচা কোড দেখতে পাবে। কিংবা তার আইপি ব্লক হয়ে যাবে। বেশকিছু নির্ভরযোগ্য প্লাগিন আছে যা দিয়ে আপনি এই কাজটি করতে পারেন।
৩. ভিসিটরের প্রয়োজন নেই এইধরনের তথ্য লুকিয়ে রাখুন
এমন অনেক তথ্য আছে যা ওয়ার্ডপ্রেস সাইটে শেয়ার করে কিন্তু যেইগুলা ভিসিটর জানার কোন প্রয়োজন নেই। কিন্তু এই তথ্যগুলোর মধ্যে বেশ কিছু শেয়ার করা আপনার জন্য বিপদজনক। যেমন, ওয়ার্ডপ্রেস ভার্সন। এধরনের তথ্যগুলো লুকানোর জন্যও অনেক প্লাগিন আছে।
৪. wp-config.php ফাইলটি সরিয়ে নিন
যারা ওয়ার্ডপ্রেস ব্যাক-ইন্ড সম্পর্কে অবগত না তাদেরকে আগে wp-config.php এর সাথে পরিচয় করিয়ে দেই। এটি ওয়ার্ডপ্রেস রুট ডিরেক্টরিতে থাকা এমন একটা ফাইল যেটা আপনার ওয়ার্ডপ্রেস ডিরেক্টরির সাথে ডাটাবেজ কে যুক্ত করে। এখানে আপনার ওয়ার্ডপ্রেস সংশ্লিষ্ট ডাটাবেজ এর নাম, ইউজারনেম, পাসওয়ার্ড, সার্ভার, টেবিল নেম ইত্যাদি থাকে। মানে এই ফাইলটি যদি কারো হাতে যায় তবে আপনার সাইট এর যেকোনো জায়গায় সে প্রবেশ এবং পরিবর্তন করতে পারবে। তাই ওয়ার্ডপ্রেস এর রুট ডিরেক্টরি থেকে আপনার wp-config.php ফাইলটি সরিয়ে অন্য কোন ফোল্ডারে নিয়ে যান। এতে ওয়ার্ডপ্রেস এর কোন সমস্যা হবে না। যেখানেই থাকুক ওয়ার্ডপ্রেস এটাকে খুজে বের করবে। অবশ্য ওয়ার্ডপ্রেস ২.৬ এর আগের ভার্সনে এই সুবিধা নেই।
৫. table prefix পরিবর্তন করে দিন
সাধরন ভাবে আপনি যখন ওয়ার্ডপ্রেস ইন্সটল করেন তখন এটার টেবিল গুলার প্রিফিক্স হয় wp_। যেটা আপনার wp-config.php ফাইলে উল্লেখ আছে। এটা যেহেতু ওপেন সোর্স তাই আপনি প্রিফিক্স এভাবে রেখে দিলে হ্যাকার ইতিমধ্যে জানে যে আপনার টেবিল গুলোর প্রিফিক্স কি। তাই এথেকে বাঁচতে হলে ওয়ার্ডপ্রেস ইন্সটল করার আগে wp-config.php থেকে আপনার টেবিল প্রিফিক্স পরিবর্তন করে অন্য কিছু দিন।
৬. সিক্রেট কী ব্যাবহার করুন
আপনি যখন wp-config.php ফাইলটি খুলবেন তখন নিচের ৪টি লাইন দেখতে পাবেন।
define('AUTH_KEY', '');
define('SECURE_AUTH_KEY', '');
define('LOGGED_IN_KEY', '');
define('NONCE_KEY', '');
আমি অবাক হয়ে যাই যখন দেখি অনেক অভিজ্ঞরাও এই কীগুলো ব্যাবহার করেন না। সিক্রেট কী গুলো কাজ করে আপনার পাসওয়ার্ড আরও শক্ত করার জন্য। এখানে ভিসিট করে এই কীগুলো জেনারেট এবং কপি করে নিয়ে আসুনঃ http://api.wordpress.org/secret-key/1.1/ । এবার এইগুলা wp-config.php তে যুক্ত করুন।
৭. আপনার /wp-admin লুকিয়ে রাখুন
wp-admin বা wp-login.php যেটাই বলেন না কেন এটার নাম পরিবর্তন করার অনেক টুল আছে। ধরুন একটা প্লাগিন ব্যাবহার করে আপনি আপনার সাইটের wp-admin পরিবর্তন করে দিলেন mysiteadmin . এখন কেউ যদি yoursite.com/wp-admin এ যায় তাহলে সে ৪০৪ এরর পাবে। লগ-ইন হওয়ার জন্য তাকে যেতে হবে yoursite.com/mysiteadmin এ। সুতরাং আপনার বা আপনার কোম্পানির সাইটে এই ধরনের পরিবর্তন করতে হ্যাকিং এর হাত থেকে রক্ষা করতে পারেন। তবে কমিউনিটি ব্লগে এটা করা যাবে না।
৮. প্লাগিন ব্যাবহারে হুঁশিয়ার
যেন তেন প্লাগিন ব্যাবহার করবেন না। বিশেষ করে যে সকল ক্ষেত্রে প্লাগিন আপনার বিশেষ ডাটা নিয়ে কাজ করে যেটা হ্যাক হলে আপনার সাইটে সমস্যা হতে পারে সেই ক্ষেত্রে অবশ্যই এর রিভিউ এবং কতোটা নির্ভরযোগ্য তা দেখে নিবেন। লুপ ভেঙ্গে তার মাঝে কিছু যুক্ত করে এইধরনের প্লাগিন ব্যাবহার না করে সেই ক্ষেত্রে ঐ সুবিধা মেনুয়েলি যুক্ত করাই বুদ্ধিমানের কাজ।
৯. ফ্রি থিম ব্যাবহার করা থেকে বিরত থাকুন
অনেকে ফ্রি থিম বা প্রিমিয়াম থিম ফ্রিতে ডাউনলোড করে ব্যাবহার করে থাকেন। একান্তই যদি এই কাজটি করতে হয় তাহলে সতর্কতা অবলম্বন করুন। চেক করে নিন এতে কোন সিকিউরিটি বাগ আছে কিনা। অনলাইনে চেক করার অনেক সাইট আছে। তবে চেক করার সাইট গুলা বিশ্বাসযোগ্য কিনা তা নিয়ে আমার সন্দেহ আছে। কিনে প্রিমিয়াম থিম ব্যাবহারের ক্ষেত্রেও অনেক সময় কিছু বাগ থাকে। তবে কিভাবে বাগ মুক্ত এবং হাই কোয়ালিটি থিম নির্বাচন করবেন এই বিষয় নিয়ে পরবর্তীতে আরেকটা পোস্ট করবো।
১০. ব্যাকআপ রাখুন
নিয়মিত আপনার সাইটের ব্যাকআপ রাখুন। প্রায় সব প্রিমিয়াম থিমেই এখন বিল্ট ইন এই অপশন টা দেওয়া থাকে। তবে না থাকলে কোন প্লাগিন ব্যাবহার করতে পারেন কিংবা মেনুয়ালিও করতে পারেন। তবে তার চাইতে একটা সিস্টেম ব্যাবহার করাই যুক্তিযুক্ত যেটা আপনার কোন ওয়েব ব্যাকআপ অ্যাকাউন্টে নির্দিষ্ট সময় পরপর অটো ব্যাকআপ পাঠিয়ে দিবে।
এর বাইরেও আরও অনেক ওয়ার্ডপ্রেস সিকিউরিটি রুল আছে। যেমন, সবসময় সাইটের ওয়ার্ডপ্রেস, থিম, প্লাগিন সবকিছু আপডেট রাখুন। হোস্টিং বাছাই করার সময় সতর্কতা অবলম্বন করুন ইত্যাদি। আজ এর বেশি আর কিছু শেয়ার করলাম না। আশা করি আপনার সাইটের সিকিউরিটির ব্যাপারে যথেষ্ট সময় দিবেন। ভালো থাকবেন।