আসসালামুয়ালাইকুম , আশা করি সবাই অনেক ভালো আছেন । আবারো অনেক দিন পর টেকটিউন এ টিউন করছি, ভুল ত্রুতি কিছু হলে ক্ষমা করে দিবেন ।
ইদানিং হ্যাকিং বাংলাদেশ এর সাইবার জগতের সবচাইতে আলোচিত বিষয় । সেদিন দেখি আমার নিজের একটা ওয়েবসাইট iskorpitx নামের একজন হ্যাকার deface করে রাখছে, বুঝলাম নিজের ওয়েবসাইট গুলোকে সুরক্ষিত করতে হবে । ভাবলাম হ্যাকিং শেখা শুরু করি তাহলে নিজের ওয়েবসাইট গুলোকে রক্ষা করতে পারব, যোগ দিলাম বাংলাদেশী সাইবার আর্মি তে, অনেক কিছু জানলাম, দেখলাম, কিছু pdf আর ইন্টারনেট এর অনেক ওয়েবসাইট থেকে আরও অনেক কিছু জানলাম । একটা জিনিস খারাপ লাগলো । BCA এর হ্যাকার রা Expire দের নিয়ে এত ব্যস্ত যে আমাদের মত নতুনদের দেয়ার জন্য তাদের সময় খুব কম। এইটা কোন অভিযোগ নয় । সময়ের সীমাবদ্ধতা সবার আছে । তবে lammer (expire) দের নিয়া এত টেনশন না করে , 0 day হ্যাকার তৈরি করা অনেক দরকার ।
নিজের ওয়েবসাইট কে সুরক্ষিত করার জন্য হ্যাকিং শেখা সবার পক্ষে সম্ভব না, তাদের জন্য আমার ছোট্ট একটা চেষ্টা । আমি আজ জুমলা দিয়ে তৈরি করা ওয়েবসাইট গুলোর সিকিউরিটি নিয়ে কিছু কথা বলব ।
জন্মগত ভাবে জুমলা দিয়ে তৈরি করা ওয়েবসাইট গুলো অনেক দুর্বল । জুমলা ওয়েবসাইট এর সবচাইতে বড় দুর্বলতার একটা হল এটা দেখেই চেনা যায় । ওয়েবসাইট এর লিঙ্ক এ যদি "index.php?option=com_...." থাকে তাহলে ত কথাই নাই । /administrator/ লিখে অনেক সুন্দর ভাবে এডমিন এরিয়া দেখা যায় । এডমিন এর ডিফল্ট ইউজারনেম তো জানাই "admin" . বাকি থাকলো পাসওয়ার্ড । Youtube এ how to hack joomla site লিখে সার্চ দিলে সেটাও জেনে জাবেন বুদ্ধি থাকলে ।
তো আমরা কি করব ।
সবার প্রথম আপনার জুমলা এডমিন এর পাসওয়ার্ড টিকে শক্তিশালী করুন । আপনার cpanel এবং ftp এর পাসওয়ার্ড ও শক্তিশালী করুন । ওয়েবসাইট হ্যাক হবার সবচাইতে প্রথম কারন হল দুর্বল পাস ওয়ার্ড । পাসওয়ার্ড হিসাবে uppercase & lowercase letter, number , special character ব্যবহার করুন ।
আপনি যদি পাস ওয়ার্ড হিসাবে admin, qwerty, 123456, secret, password, 123456, qwerty, abc123, monkey, 1234567, letmein, 111111, iloveyou, master, sunshine, passw0rd, shadow, 123123, 654321, superman, and qazwsx তাহলে আপনার ওয়েবসাইট হ্যাক হবেনা তো কার ওয়েবসাইট হ্যাক হবে ।
এরপর আপনার জুমলা ওয়েবসাইট টিকে update করুন । হয়ত আপনার জুমলা ওয়েবসাইট টা 1.5.23 ভার্সন এ তৈরি , 1.5 এর নতুন ভার্সন 1.5.25 , এখনি আপডেট করুন । যাদের জুমলা 1.7 তারা জুমলা 1.7.3 ভার্সন এ আপডেট করুন । আপডেট ভার্সন সব এখানে পাবেন ।
http://www.joomla.org/download.html
এখন যারা নিজের জুমলা ওয়েবসাইট কে খুব সহজে আপডেট করতে চান তারা একটা extension ডাউনলোড করতে পারেন । শুধু জুমলা আপডেট করার জন্য না , এই extension টি আরও অনেক কাজ এ লাগবে । "akeeba admin tools"
akeeba admin tools কম্পোনেন্ট টি অনেক গুলো কাজ করে । এই কম্পোনেন্টটি অটোমেটিক ভাবে চেক করবে নতুন কোন জুমলা ভার্সন রিলিজ হয়েছে কিনা । যদি হয়ে থাকে তবে আপনি তা সহজেই এখানে দেখতে পারবেন এবং এখান থেকেই নিজের ওয়েবসাইট টি অনেক সহজে আপডেট করতে পারবেন। এই কম্পোনেন্ট টি জুমলা এর সার্ভার থেকে আপডেট ডাউনলোড করে আপনার ওয়েবসাইট এ extract করে দিবে , এবং আপনি ১০ সেকেন্ড এর মধ্যে দেখবেন আপনার ওয়েবসাইট টি আপডেট হয়ে গেছে ।
তারপর আমরা যে কাজ তা করব তা হল database table prefix পরিবর্তন করব। জন্মগত ভাবে জুমলা ওয়েবসাইট গুলোর database prefix হয়ে থাকে এইরকম "jos_" যা আপনার ওয়েবসাইট এর জন্য মোটেও নিরাপদ না। আপনার ওয়েবসাইট এর কোন প্রান্তে কোন sql সংক্রান্ত কোন সমস্যা থাকে আর গুগল মামা যদি তা ইনডেক্স করে ফেলে , তাহলে হ্যাকার রা আপনার ওয়েবসাইট টিকে গুগল সার্চ এর মাধ্যমে খুজে বের করে sql injection করতে পারে । তাই যদি আপনার জুমলা ওয়েবসাইট তার database prefix "jos_ " হয়ে থাকে তবে তা এখনি পরিবর্তন করে ফেলুন । আপনি database table prefix editor বাটন এ ক্লিক করে খুব সহজে এই কাজ তা করতে পারবেন । আপনি যেকোনো নাম দিতে পারেন । যেমন 'rohim_' , 'korim_' , 'yzei_' ইত্যাদি ইত্যাদি ।
তবে database table prefix এডিট করার পরপরই আপনাকে যা করতে হবে তা হল , আপনার জুমলা configuration.php ফাইলটাতেও এই পরিবর্তন তা করে দেয়া । আপনার configuration.php ফাইলটাতে এই লাইন তা খুজে বের করুন $dbprefix = 'jos_';
আপনি এডমিন টুলস এর মাধ্যমে যে database prefix দিয়েছিলেন এখানেও 'jos_' এর বদলে তা লিখে দিন । এই কাজ তা না করলে কিন্তু আপনার ওয়েবসাইট টি অফলাইন হয়ে যাবে। configuration.php ফাইল টা অবশ্যই cpanel এর file manager এর মাধ্যমে এডিট করবেন । notepad দিয়ে এডিট করার চেষ্টা করবেন না যেন ।
configuration.php ফাইল টা আপনি আপনার জুমলা ওয়েবসাইট এর মেইন ফোল্ডার এই পাবেন । এইটা খুব গুরুত্বপূর্ণ এবং নাজুক একটা ফাইল । এই ফাইল এর মধ্যে database এর পুরো তথ্য unencrypted অবস্থায় থাকে । এডিট করা শেষ হলে ফাইলটির পারমিশন 444 সেট করে দেয়া উত্তম । সবচাইতে ভালো হয় যদি এই ফাইল টিকে সরিয়ে public_html ফোল্ডার এর বাইরে রাখা যায় । কিন্তু তা করা মোটামুটি কঠিন । যদি করতে ইচ্ছা করে তবে "how to move joomla configuration.php file" লিখে গুগল এ সার্চ দিন ।
এখন আমরা যা করব তা হল admin এর user id পরিবর্তন। জন্মগত ভাবে জুমলা ওয়েবসাইট এর এডমিন এর username হল admin এবং user id হল 62 , আপনি জুমলার user manager এ গিয়ে এডমিন এর username change করতে পারবেন খুব সহজে । আর admin tools এর super administrator id বাটন ব্যবহার করে আপনার এডমিন এর user id পরিবর্তন করুন ।
এখন আমরা যা করব তা হল file এবং folder এর permission ঠিক করা । জুমলা সাইট কে হ্যাকার দের হাত থেকে রক্ষা করার জন্য এটা খুব জরুরি। সকল ফাইল এর জন্য 644 এবং সকল ফোল্ডার এর জন্য 755 । admin tools এর সাহায্যে আপনি করতে পারবেন খুব সহজে। শুধু ক্লিক করুন Fix Permission বাটন এ ।
admin tools এর আরও বেশ কিছু কাজ আছে। নিজ দায়িত্বে দেখে নিন । আশা করি বুঝতেই পারছেন । password protect administrator এই অপশন তা ব্যবহার করবেন না। এই কাজটি করার জন্য আমরা এখন আরেকটি প্লাগ ইন ব্যবহার করব।
extension টির নাম Jsecure . ওদের অফিসিয়াল লিঙ্ক হল এইটা ।
যদিও টেকা দিয়া কিনতে হয় তবুও আপনাদের দিয়া দিলাম পুরাই ফ্রী ।
কাজ হল জুমলার administrator area কে লুকিয়ে ফেলা ।
ধরুন আপনার ওয়েবসাইট এর লিঙ্ক টি হল http://www.joomlasite.com । ওয়েবসাইট টি যদি জুমলায় তৈরি হয়ে থাকে তবে এডমিন এরিয়া হল http://www.joomlasite.com/administrator/ সব জুমলা সাইট এর জন্য এইটা একই । হ্যাকাররা খুব সহজেই এটা খুজে পায় এবং ওয়েবসাইট হ্যাক করতে পারে ।
Jsecure এই /administrator/ লিঙ্কটিকে লুকিয়ে ফেলবে । নতুন লিঙ্ক কি হবে তা আপনি সেট করে দিবেন ।
যেমন http://www.joomlasite.com/administrator/?secretkey
এখন কেউ যদি http://www.joomlasite.com/administrator/ এই অ্যাড্রেস এ ঢুকে তবে সে এডমিন এর লগিন বক্স দেখতে পারবে না , সে redirect হয়ে homepage এ চলে যাবে । একমাত্র আপনি জানবেন ?secretkey টা কি ছিল এবং একমাত্র আপনি পুরো লিঙ্কটা ঠিক মত লিখে লগিন করতে পারবেন ।এছাড়াও কেউ এডমিন এরিয়া তে লগিন করার চেষ্টা করলে এই extension টি আপনাকে ইমেইল করে জানাবে যে অমুক ip থেকে কেউ আপনার ওয়েবসাইট এ লগিন করার চেষ্টা করছে । আরও টুকিটাকি কিছু function তো আছেই ।
এবার যে কাজ টা করবো টা হল Search Engine Friendly Url বা sef url . জুমলা ওয়েবসাইট কে বিভিন্ন সার্চ ইঞ্জিন এর বন্ধু বানাইতে হইলে এর বিকল্প নাই । এই কাজ এর জন্য sh404sef সবচাইতে বেস্ট extension. সবচাইতে নতুন ভার্সন এর লিঙ্ক দিলাম । জুমলা 1.5 এবং 1.7 দুইতাই আছে ।
প্রশ্ন করতে পারেন , ভাইয়া security এর সাথে sef url এর সম্পর্ক কি ? আমি বলব ১০০% সম্পর্ক আছে । sh404sef কম্পোনেন্ট টি আপনার ওয়েবসাইটটিকে lammer দের হাত থেকে বাঁচাবে । সহজে কেউ বুঝবে না আপনার ওয়েবসাইট টি জুমলায় করা । এছাড়াও flooding , sql injection, xss ইত্যাদি হ্যাকিং থেকেও বাঁচাবে । 🙂
এখন চলে যান এই লিঙ্ক এ http://docs.joomla.org/Vulnerable_Extensions_List ।
দেখুন তো এখানে যেসব extension লিস্ট করা আছে সেগুলোর কোনটা আপনি নিজের ওয়েবসাইট এ ব্যবহার করেছেন কিনা । করে থাকলে এখনি চেক করুন extension টির আপডেট কোন ভার্সন আছে কিনা যেটাতে vulnerability fix করা হয়েছে কিনা । যদি খুজে না পান তবে দেরি না করে অই extension টি রিমুভ করে দিন । lammer দের হামলা আপনার ওয়েবসাইট এর উপর অবশ্যই হবে যদি আপনার ওয়েবসাইট এ এই vulnerable extension গুলোর কোনটি আপনি ব্যবহার করে থাকেন ।
যারা এক্সপার্ট তারা এই লিঙ্ক ভিসিট করুন http://docs.joomla.org/Category:Security_Checklist এবং আপনার ওয়েবসাইট কে সুরক্ষিত করুন ।
যারা নিজের জুমলা ওয়েবসাইট টিকে ইস্পাত এর মত কঠিন করতে চান তারা ডাউনলোড করুন RSfirewall . যদি আমার কাছে সবচাইতে নতুন ভার্সনটি নাই । তবুও সবার জন্য মিডিয়াফায়ার লিঙ্ক দিলাম ।
RSfirewall extension টি আপনার পুরো জুমলা ওয়েবসাইট তাকে scan করবে এবং আপনাকে বলে দিবে যে কি কি করতে হবে । আমি উপরে যেগুলো করতে বলেছি টা যদি আপনি আপনি ঠিক মত করতে পারেন তবে rsfirewall এর security rating এ মোটামুটি ৭০+ পাবেন । বাকি কাজ গুলোন expert দের জন্য । ঠিক মত বুঝে করতে না পারলে সমস্যা হতে পারে । Screenshot দেখলেই বুঝতে পারবেন
এখন সবার শেষ এ যে কাজ টি না করলেই নয় তাহলো backup. যতই সাবধান থাকি না কেন কোন 0 day hacker যদি আপনার জুমলা সাইট এর দিকে নজর দেয় তবে শেষ । সেজন্য নিজের ওয়েবসাইট এর একটা ব্যাকআপ রাখা সবসময় জরুরি । এই কাজের জন্য সবচাইতে বেস্ট হল akeeba backup. Pro ভার্সন ফ্রী ফ্রী দিয়া দিলাম ।
আরও অনেক কিছু ছিল বলার মত , তবে আগে দেখি আমার টিউন টা কারো কাজে লাগে কিনা, কাজেই যদি না লাগে তবে আর খামোখা বকবক করবো না । দেখি সামনে পারলে ওয়ার্ডপ্রেস নিয়া লিখব। যদি ভালো লাগে তবে এডমিন রে বলব কয়েকদিন এর জন্য পোস্ট তা স্টিকি করে রাখতে । যোগ্য মনে না হইলে রাখার দরকার নাই ।
আপনারা সবাই ভালো থাকবেন ।
আমি আহত। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 13 বছর 10 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 22 টি টিউন ও 541 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 1 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
"As long as I have a want, I have a reason for living. Satisfaction is death."
Thanks for share with us. Carry on………………..