সাম্প্রতিক সময়ে আর্তকিত ব্রুটফোস আক্রমনের শিকার হয়েছে বিশ্বের অন্যতম জনপ্রিয় ব্লগিং প্লাটফর্ম ওয়ার্ডপ্রেস। বিভিন্ন হোষ্টিং কম্পানী এই আক্রমন সম্পর্কে তাদের ক্লাইন্টদের অবগত করেছেন। TOS HOST  সর্বদা ক্লাইন্ট সেফটিকে প্রাধান্য দিয়ে থাকে।

আজ আলোচনা করব বর্তমান পরিস্থিতি তে কিভাবে আপনার ওয়ার্ডপ্রেস সাইটকে সুরক্ষিত রাখবেন।

১. প্রথমত আপনাকে আপনার ওয়ার্ডপ্রেস সাইটের এডমিন ইউজার নাম শক্তিমালী করতে হবে। যদি আপনার ওয়ার্ডপ্রেস এডমিন ইউজারের নাম admin হয় তাহলে সেটিকে পরিবর্তন করুন।

২. আপনার লগিন পাসওয়ার্ডটিকে শক্তিশালী করুন।  পাসওয়ার্ডে একটি সাধারন উদারহন : TosHosT95*#bD@23 অথবা  x^87F705p}#4QF6 এরকম দিতে পারেন। এত আপনার পাসওয়ার্ডটি শক্তিশালী হবে।

৩. আপনা ওয়ার্ডপ্রেস ভার্শনটি আপডেট করে রাখুন কারন ওয়ার্ডপ্রেস নতুন একটি ভার্ষন তখনই ছারে যথন তারা দেখা তাদের আগের ভার্ষনে সমস্যা থাকে। আপনারা http://wordpress.org এখান থেকে নতুন ভার্ষনটি নামিয়ে ব্যবহার করতে পারেন।

৪. আপনার ডাটাব্যাস পারফেক্স পরিবর্তন করুন। সাধারনত এটি অনেক্ষেত্রেই Prefix:   wp_  খাকে এটি পরিবর্তন করে অন্য কিছু দিন যেমন : sy7w_tows_2s

৫. অপ্রয়োজনীয় এবং ব্যবহার না করা সকল প্লাগীন ডিলিট করে দিন। স্পাম ফিল্টারের জন্য গ্রুউম্যাট এন্টি স্পামবুট  ব্যবহার করুন পূর্বের ডিফল্ট দেয়া আকিম্টি কে অবশ্যই ডিলেট করবেন কারন বর্তমান ভার্শনে সমস্যা আছে।

৬. ইউজার লগিন এ ক্যাপচ্যা  ব্যবহার করতে পারেন।

৭. ওয়ার্ডপ্রেস এডমিন লগিন ইউআরএল পরিবর্তন করেন http://yoursite.tld/wp-admin এটা ব্যবহার না করে http://yoursite.tld/somethingealse ব্যবহার করুন

৮. ওয়েব সাইটের সুরক্ষার জন্য  Better WP security   প্লাগইনটি ব্যবহার করুন।

৯. আপনার Wp-content এর লাম পরিবর্তন করেতে পারেন। এটি আপনি প্লাগইন দিয়েই করতে পারবেন।

১০. সাইটের htaccess কোডদিয়ে সাইটকে সিকিউর করতে পারেন এর জন্য htaccess প্লাগইন ব্যবহার করতে পারেন। ভাল সিকিউরিটির জন্য নিম্নের কোডটি দেখতে পারেন ।

কোড :(এটি আপনার সিপ্যানেলর htaccess ফাইলে বসান)

# BEGIN WordPress

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Limit upload size to 10 MB
LimitRequestBody 10485760

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

# WPhtC: Protect comments.php
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*http://yoursite.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

# WPhtC: Disable image hotlinking
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yoursite.com/.*$ [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://goo.gl [NC,R,L]
</IfModule>

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

RewriteEngine on
# Unless you have set a different RewriteBase preceding this point,
# you may delete or comment-out the following RewriteBase directive:
RewriteBase /
# if this request is for "/" or has already been rewritten to WP
RewriteCond $1 ^(index\.php)?$ [OR]
# or if request is for image, css, or js file
RewriteCond $1 \.(gif|jpg|jpeg|png|css|js|ico)$ [NC,OR]
# or if URL resolves to existing file
RewriteCond %{REQUEST_FILENAME} -f [OR]
# or if URL resolves to existing directory
RewriteCond %{REQUEST_FILENAME} -d
# then skip the rewrite to WP
RewriteRule ^(.*)$ - [S=1]
# else rewrite the request to WP
RewriteRule . /index.php [L]
# END WordPress

(yoursite.com এর পরিবর্তে আপনার নিজের সাইট লিংক বসাবেন  )

<!-- বি:দ্র এটির কাজ ক রার পূর্বে অবশ্যই আপনার পূর্বের htaccess টি সেভ করে রাথবেন।  --->

১১. আপনার wp-config.php ফাইল এর পারমিশন  400 দিয়ে রাখুন।

১২. আপনার wp-admin এর install.php এবং install-help.php ডিলেট করে ফেলুন

১৩. ব্যবহার হচ্ছে না এমন সব তীম ডিলেট করে ফেলুন

১৪. প্রিমিয়াম ফ্রি বা নাল্ড বা ক্র‌্যাক করা থীম এবং প্লাগইন ব্যবহার করা থেকে বিরত থাকুন।

১৫: আপনার সাইটের সিপ্যানেল এ্ং ftp এর পাসওয়ার্ড নিয়মিত পরিবর্তন করুন।

১৬. সাইটের নিয়মিত ব্যাকআপ রাখুন ।

সাইট হ্যাক হয় সাধারনত সার্ভার এর দোষে তবে সেক্ষেত্রে সার্ভারের সব সাইটই হ্যাক হয়। যদি আপনার সাইট একা হ্যাক তাহলে মনে রাখবেন দোষ আপনারই বেশী । হ্যাকার আপনার সাইটের ডাটাবেজে একবার প্রবেশ করতে পারলে কোন পারশিষনই তাকে হ্যাক করা থেকে বাচাতে পারবে না।

আজ এই পর্যন্তই । তবে একটা কথা জানিয়ে রাখি আপনার এত আযোজন সবই বৃথা যাবে যদি না আপরা হোষ্টিং সার্ভার দুর্বল হয়। সায়মলিংক প্রোটেক্টেড সার্ভার ব্যভহার করুন। এবং কম দামী হোষ্টিং থেকে দুরে থাকুন।
নিরাপদ রাখুন আপনার সখের সাইটকে।