হ্যাকিং থেকে নিজের ওয়েবসাইট রক্ষা করুন সহজে ।

আসসালামুয়ালাইকুম , আশা করি সবাই অনেক ভালো আছেন । আবারো অনেক দিন পর টেকটিউন এ টিউন করছি, ভুল ত্রুতি কিছু হলে ক্ষমা করে দিবেন ।

ইদানিং হ্যাকিং বাংলাদেশ এর সাইবার জগতের সবচাইতে আলোচিত বিষয় । সেদিন দেখি আমার নিজের একটা ওয়েবসাইট iskorpitx নামের একজন হ্যাকার deface করে রাখছে, বুঝলাম নিজের ওয়েবসাইট গুলোকে সুরক্ষিত করতে হবে । ভাবলাম হ্যাকিং শেখা শুরু করি তাহলে নিজের ওয়েবসাইট গুলোকে রক্ষা করতে পারব, যোগ দিলাম বাংলাদেশী সাইবার আর্মি তে, অনেক কিছু জানলাম, দেখলাম, কিছু pdf আর ইন্টারনেট এর অনেক ওয়েবসাইট থেকে আরও অনেক কিছু জানলাম । একটা জিনিস খারাপ লাগলো । BCA এর হ্যাকার রা  Expire দের নিয়ে এত ব্যস্ত যে আমাদের মত নতুনদের দেয়ার জন্য তাদের সময় খুব কম। এইটা কোন অভিযোগ নয় । সময়ের সীমাবদ্ধতা সবার আছে । তবে lammer (expire) দের নিয়া এত টেনশন না করে , 0 day হ্যাকার তৈরি করা অনেক দরকার ।

নিজের ওয়েবসাইট কে সুরক্ষিত করার জন্য হ্যাকিং শেখা সবার পক্ষে সম্ভব না, তাদের জন্য আমার ছোট্ট একটা চেষ্টা । আমি আজ জুমলা দিয়ে তৈরি করা ওয়েবসাইট গুলোর সিকিউরিটি নিয়ে কিছু কথা বলব ।

জন্মগত ভাবে জুমলা দিয়ে তৈরি করা ওয়েবসাইট গুলো অনেক দুর্বল । জুমলা ওয়েবসাইট এর সবচাইতে বড় দুর্বলতার একটা হল এটা দেখেই চেনা যায় । ওয়েবসাইট এর লিঙ্ক এ যদি "index.php?option=com_...." থাকে তাহলে ত কথাই নাই ।   /administrator/  লিখে অনেক সুন্দর ভাবে এডমিন এরিয়া দেখা যায় । এডমিন এর ডিফল্ট ইউজারনেম তো জানাই "admin"  . বাকি থাকলো পাসওয়ার্ড । Youtube এ how to hack joomla site লিখে সার্চ দিলে সেটাও জেনে জাবেন বুদ্ধি থাকলে ।

তো আমরা কি করব ।

সবার প্রথম আপনার জুমলা এডমিন এর পাসওয়ার্ড টিকে শক্তিশালী করুন । আপনার cpanel এবং ftp এর পাসওয়ার্ড ও শক্তিশালী করুন । ওয়েবসাইট হ্যাক হবার সবচাইতে প্রথম কারন হল দুর্বল পাস ওয়ার্ড । পাসওয়ার্ড হিসাবে  uppercase & lowercase letter, number , special character ব্যবহার করুন ।

আপনি যদি পাস ওয়ার্ড হিসাবে admin, qwerty, 123456, secret, password, 123456, qwerty, abc123, monkey, 1234567, letmein, 111111, iloveyou, master, sunshine, passw0rd, shadow, 123123, 654321, superman, and qazwsx তাহলে আপনার ওয়েবসাইট হ্যাক হবেনা তো কার ওয়েবসাইট হ্যাক হবে ।

এরপর আপনার জুমলা ওয়েবসাইট টিকে update করুন । হয়ত আপনার জুমলা ওয়েবসাইট টা 1.5.23 ভার্সন এ তৈরি , 1.5 এর নতুন ভার্সন 1.5.25 , এখনি আপডেট করুন । যাদের জুমলা 1.7  তারা জুমলা 1.7.3 ভার্সন এ আপডেট করুন । আপডেট ভার্সন সব এখানে পাবেন ।

http://www.joomla.org/download.html

এখন যারা নিজের জুমলা ওয়েবসাইট কে খুব সহজে আপডেট করতে চান তারা একটা extension ডাউনলোড করতে পারেন । শুধু জুমলা আপডেট করার জন্য না , এই extension টি আরও অনেক কাজ এ লাগবে । "akeeba admin tools"

official link

mediafire link

akeeba admin tools কম্পোনেন্ট টি অনেক গুলো কাজ করে । এই কম্পোনেন্টটি অটোমেটিক ভাবে চেক করবে নতুন কোন জুমলা ভার্সন রিলিজ হয়েছে কিনা । যদি হয়ে থাকে তবে আপনি তা সহজেই এখানে দেখতে পারবেন এবং এখান থেকেই নিজের ওয়েবসাইট টি অনেক সহজে আপডেট করতে পারবেন। এই কম্পোনেন্ট টি জুমলা এর সার্ভার থেকে আপডেট ডাউনলোড করে আপনার ওয়েবসাইট এ extract করে দিবে , এবং আপনি ১০ সেকেন্ড এর মধ্যে দেখবেন আপনার ওয়েবসাইট টি আপডেট হয়ে গেছে ।

তারপর আমরা যে কাজ তা করব তা হল database table prefix পরিবর্তন করব। জন্মগত ভাবে জুমলা ওয়েবসাইট গুলোর database prefix হয়ে থাকে এইরকম  "jos_" যা আপনার ওয়েবসাইট এর জন্য মোটেও নিরাপদ না। আপনার ওয়েবসাইট এর কোন প্রান্তে কোন sql সংক্রান্ত কোন সমস্যা থাকে আর গুগল মামা যদি তা ইনডেক্স করে ফেলে , তাহলে হ্যাকার রা আপনার ওয়েবসাইট টিকে গুগল সার্চ এর মাধ্যমে খুজে বের করে sql injection করতে পারে । তাই যদি আপনার জুমলা ওয়েবসাইট তার database prefix  "jos_ " হয়ে থাকে তবে তা এখনি পরিবর্তন করে ফেলুন । আপনি database table prefix editor বাটন এ ক্লিক করে খুব সহজে এই কাজ তা করতে পারবেন ।  আপনি যেকোনো নাম দিতে পারেন । যেমন 'rohim_' , 'korim_'  ,  'yzei_'  ইত্যাদি ইত্যাদি ।

তবে database table prefix এডিট করার পরপরই আপনাকে যা করতে হবে তা হল , আপনার জুমলা  configuration.php ফাইলটাতেও এই পরিবর্তন তা করে দেয়া । আপনার configuration.php ফাইলটাতে  এই লাইন তা খুজে বের করুন  $dbprefix = 'jos_';

আপনি এডমিন টুলস এর মাধ্যমে যে database prefix দিয়েছিলেন এখানেও 'jos_' এর বদলে তা লিখে দিন । এই কাজ তা না করলে কিন্তু আপনার ওয়েবসাইট টি অফলাইন হয়ে যাবে। configuration.php ফাইল টা অবশ্যই cpanel এর file manager এর মাধ্যমে এডিট করবেন । notepad দিয়ে এডিট করার চেষ্টা করবেন না যেন ।

configuration.php ফাইল টা আপনি আপনার জুমলা ওয়েবসাইট এর মেইন ফোল্ডার এই পাবেন । এইটা খুব গুরুত্বপূর্ণ এবং নাজুক একটা ফাইল । এই ফাইল এর মধ্যে database এর পুরো তথ্য unencrypted অবস্থায় থাকে । এডিট করা শেষ হলে ফাইলটির পারমিশন 444 সেট করে দেয়া উত্তম । সবচাইতে ভালো হয় যদি এই ফাইল টিকে সরিয়ে public_html ফোল্ডার এর বাইরে রাখা যায় । কিন্তু তা করা মোটামুটি কঠিন । যদি করতে ইচ্ছা করে তবে "how to move joomla configuration.php file"  লিখে গুগল এ সার্চ দিন ।

এখন আমরা যা করব তা হল admin এর user id পরিবর্তন। জন্মগত ভাবে জুমলা ওয়েবসাইট এর এডমিন এর username হল admin এবং  user id হল 62 , আপনি জুমলার user manager এ গিয়ে এডমিন এর username change করতে পারবেন খুব সহজে । আর admin tools এর super administrator id বাটন ব্যবহার করে আপনার এডমিন এর user id পরিবর্তন করুন ।

এখন আমরা যা করব তা হল file এবং folder এর permission ঠিক করা । জুমলা সাইট কে হ্যাকার দের হাত থেকে রক্ষা করার জন্য এটা খুব জরুরি। সকল ফাইল এর জন্য 644 এবং সকল ফোল্ডার এর জন্য 755 । admin tools এর সাহায্যে আপনি করতে পারবেন খুব সহজে। শুধু ক্লিক করুন Fix Permission বাটন এ ।

admin tools এর আরও বেশ কিছু কাজ আছে। নিজ দায়িত্বে দেখে নিন । আশা করি বুঝতেই পারছেন । password protect administrator  এই অপশন তা ব্যবহার করবেন না। এই কাজটি করার জন্য আমরা এখন আরেকটি প্লাগ ইন ব্যবহার করব।

extension টির নাম  Jsecure .  ওদের অফিসিয়াল লিঙ্ক হল এইটা 

যদিও টেকা দিয়া কিনতে হয় তবুও আপনাদের দিয়া দিলাম পুরাই ফ্রী ।

মিডিয়াফায়ার লিঙ্ক

কাজ হল জুমলার administrator area কে লুকিয়ে ফেলা ।

ধরুন আপনার ওয়েবসাইট এর লিঙ্ক টি হল  http://www.joomlasite.com  । ওয়েবসাইট টি যদি জুমলায় তৈরি হয়ে থাকে তবে এডমিন এরিয়া হল http://www.joomlasite.com/administrator/   সব জুমলা সাইট এর জন্য এইটা একই । হ্যাকাররা খুব সহজেই এটা খুজে পায় এবং ওয়েবসাইট হ্যাক করতে পারে ।

Jsecure এই /administrator/ লিঙ্কটিকে লুকিয়ে ফেলবে । নতুন লিঙ্ক কি হবে তা আপনি সেট করে দিবেন ।

যেমন http://www.joomlasite.com/administrator/?secretkey

এখন কেউ যদি  http://www.joomlasite.com/administrator/  এই অ্যাড্রেস এ ঢুকে তবে সে এডমিন এর লগিন বক্স দেখতে পারবে না , সে redirect হয়ে homepage এ চলে যাবে । একমাত্র আপনি জানবেন ?secretkey টা কি ছিল এবং একমাত্র আপনি পুরো লিঙ্কটা ঠিক মত লিখে লগিন করতে পারবেন ।এছাড়াও কেউ এডমিন এরিয়া তে লগিন করার চেষ্টা করলে এই extension টি আপনাকে ইমেইল করে জানাবে যে অমুক ip থেকে কেউ আপনার ওয়েবসাইট এ লগিন করার চেষ্টা করছে । আরও টুকিটাকি কিছু function তো আছেই ।

এবার যে কাজ টা করবো টা হল Search Engine Friendly Url বা sef url . জুমলা ওয়েবসাইট কে বিভিন্ন সার্চ ইঞ্জিন এর বন্ধু বানাইতে হইলে এর বিকল্প নাই । এই কাজ এর জন্য sh404sef সবচাইতে বেস্ট extension. সবচাইতে নতুন ভার্সন এর লিঙ্ক দিলাম । জুমলা 1.5 এবং  1.7 দুইতাই আছে ।

মিডিয়া ফায়ার লিঙ্ক

প্রশ্ন করতে পারেন , ভাইয়া security এর সাথে sef url এর সম্পর্ক কি ? আমি বলব ১০০% সম্পর্ক আছে । sh404sef কম্পোনেন্ট টি আপনার ওয়েবসাইটটিকে lammer দের হাত থেকে বাঁচাবে । সহজে কেউ বুঝবে না আপনার ওয়েবসাইট টি জুমলায় করা । এছাড়াও flooding , sql injection, xss ইত্যাদি হ্যাকিং থেকেও বাঁচাবে ।  🙂

এখন চলে যান এই লিঙ্ক এ  http://docs.joomla.org/Vulnerable_Extensions_List  ।

দেখুন তো এখানে যেসব extension লিস্ট করা আছে সেগুলোর কোনটা আপনি নিজের ওয়েবসাইট এ ব্যবহার করেছেন কিনা । করে থাকলে এখনি চেক করুন extension টির আপডেট কোন ভার্সন আছে কিনা যেটাতে vulnerability fix করা হয়েছে কিনা । যদি খুজে না পান তবে দেরি না করে অই extension টি রিমুভ করে দিন । lammer দের হামলা আপনার ওয়েবসাইট এর উপর অবশ্যই হবে যদি আপনার ওয়েবসাইট এ এই vulnerable extension গুলোর কোনটি আপনি ব্যবহার করে থাকেন ।

যারা এক্সপার্ট তারা  এই লিঙ্ক ভিসিট করুন http://docs.joomla.org/Category:Security_Checklist এবং আপনার ওয়েবসাইট কে সুরক্ষিত করুন ।

যারা নিজের জুমলা ওয়েবসাইট টিকে ইস্পাত এর মত কঠিন করতে চান তারা ডাউনলোড করুন  RSfirewall . যদি আমার কাছে সবচাইতে নতুন ভার্সনটি নাই । তবুও সবার জন্য মিডিয়াফায়ার লিঙ্ক দিলাম ।

mediafire link

RSfirewall extension টি আপনার পুরো জুমলা ওয়েবসাইট তাকে scan করবে এবং আপনাকে বলে দিবে যে কি কি করতে হবে । আমি উপরে যেগুলো করতে বলেছি টা যদি আপনি আপনি ঠিক মত করতে পারেন তবে rsfirewall এর security rating এ মোটামুটি ৭০+ পাবেন । বাকি কাজ গুলোন expert দের জন্য । ঠিক মত বুঝে করতে না পারলে সমস্যা হতে পারে । Screenshot দেখলেই বুঝতে পারবেন

এখন সবার শেষ এ যে কাজ টি না করলেই নয় তাহলো  backup. যতই সাবধান থাকি না কেন কোন 0 day hacker যদি আপনার জুমলা সাইট এর দিকে নজর দেয় তবে শেষ । সেজন্য নিজের ওয়েবসাইট এর একটা ব্যাকআপ রাখা সবসময় জরুরি । এই কাজের জন্য সবচাইতে বেস্ট হল akeeba backup.  Pro ভার্সন ফ্রী ফ্রী দিয়া দিলাম ।

Akeeba Backup Pro

Free Version

আরও অনেক কিছু ছিল বলার মত , তবে আগে দেখি আমার টিউন টা কারো কাজে লাগে কিনা, কাজেই যদি না লাগে তবে আর খামোখা বকবক করবো না ।   দেখি সামনে পারলে ওয়ার্ডপ্রেস নিয়া লিখব।  যদি ভালো লাগে তবে এডমিন রে বলব কয়েকদিন এর জন্য পোস্ট তা স্টিকি করে রাখতে । যোগ্য মনে না হইলে রাখার দরকার নাই ।

আপনারা সবাই ভালো থাকবেন ।

Level New

আমি আহত। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 13 বছর 9 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 22 টি টিউন ও 541 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 1 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।

"As long as I have a want, I have a reason for living. Satisfaction is death."


টিউনস


আরও টিউনস


টিউনারের আরও টিউনস


টিউমেন্টস

Thanks for share with us. Carry on………………..

Level 0

vai onek kaaj e lagbe.amar ekhon lagbe na pore lagbe karon amar kono website nai.pore bananor asha ase.

Level 0

jotil tune.go ahed

অনেক ভাল হয়েছে, খুব সুন্দর করে গুছিয়ে লেখা। কে কি বলল সেটার দিকে পিছন না ফিরে সগর্বে সামনে চলুন। সামনে নিশ্চয়ই wordpress নিয়ে লিখবেন আশা করি।

Level 0

NICE & USEFUL TUNE, WAITING FOR NEXT TUNES…….

thank you for good information. care no.

Level New

ভাই, মনে হয় অনেক কাজের জিনিস দিয়েছেন, Try করে দেখি, ধন্যযোগ শেয়ার করার জন্য।

দারুন টিউন করেছেন

Level New

cpanel ,ftp,database prefix ,configuration.php ,ফাইলটির পারমিশন 444 ,file এবং folder এর permission ঠিক করা e gula somporke jante chai?

Level 0

ঘমচোর ভাই, আমি প্রবলেম এ পড়েছি
http://example.com/administrator/xxxxxxx
দিলেও এক্সেস হয় না, আমি security key টা নাম্বার আর আলফাবেট দিয়ে সেভ করেছি কিন্তু কাজ হচ্ছে

    Level 0

    এখন কোন কিছুই কাজ করছে না

    @ebookbd: Hi,

    You can disable the jSecure plug-in and get the access of admin area.

    Go to this file: /administrator/components/com_jsecure/params.php

    Change the following line number 3.
    from
    $publish = ‘1’;

    to
    $publish = ‘0’;

    Now you will get the access of admin area.

    এবং লিঙ্ক টা এইরকম হবে http://example.com/administrator/?xxxxxxx ,
    ? টা না দিলে আসবে না ।

Level 0

ভাই আপনারে ধইন্য না দিয়া আর পারলাম না।
ধইন্যা ধইন্যা ধইন্যা র ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা ধইন্যা

Level 0

ভাইয়া এত দিন কইছিলেন । আপনার ফেচবুক আইডি কি দেওয়া যাবে । আমি কুরিগ্রামে থাকি ।

Level 0

realy apnakay ekta thanks na delay onnai hobay er actualy hacking thakay protection ki bhabay dewa jay ti sikhano dorker but ekhanay dektasi bca er admin er member ra haking sikhachay er gorbo koray boltasay habi jabi ji hok hacking sikhano er loaded pistol hatay tulay dewa ek kotha eita upoker er thakay opoker basi hochay er ja sunlam tara onek busy lamer der niya ji hok face book a arekta new forum open kora hoisay sober jonno link ta detasi

http://www.facebook.com/groups/116844585101561/

bangladesh cyber security force name a er main terget hacking thakay ki bhaby bd website gula kay save kora jay

sobai kay invite kora holo knowlade sahre korer jonno

যদিও আমার জুমলার তৈরি কোনো সাইট নেই তারপরও টিউনটি দেখলাম পড়লাম টিউনটি খুব সুন্দর হইছে।