বন্ধুরা আজ অনেক দিন পর WordPress নিয়ে পোষ্ট করছি ।ওপেন সোর্স এবং ইউজার ফ্রেন্ডলি বলে ওয়ার্ডপ্রেস হচ্ছে পৃথিবীর সবচাইতে জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম। এর জনপ্রিয়তার আরেকটা কারন এটি এমন একটি সিএমএস যা দিয়ে আপনি একটু টেকনিক্যাল নলেজ থাকলে খুব সহজেই তৈরি করতে পারবেন যেকোনো ধরনের ওয়েবসাইট, হোক সেটি ব্লগ, ই-শপ কিংবা লার্নিং ম্যানেজমেন্ট সিস্টেম।
তবে ওপেন সোর্স হওয়ার কারনে এটির সোর্স কোড সবার হাতের নাগালে। তাই ওয়ার্ডপ্রেস সিকিউরিটি বাগ গুলো সহজেই খুজে নিতে পারে হ্যাকাররা। তাই ওয়ার্ডপ্রেস ব্যাবহার করলে অবশ্যই ওয়ার্ডপ্রেস সিকিউরিটি নিয়ে আপনাকে কিছুটা ভাবতে হবে। নিচের ১০ টি পদ্ধতি অনুসরন করলে এসকল সিকিউরিটি বাগ থেকে আপনি মোটামুটি সুরক্ষিত থাকতে পারবেন।
এই কাজটি একমাত্র তারাই করে থাকেন যারা ওয়ার্ডপ্রেস ব্যাবহারের ক্ষেত্রে একদম নতুন। কিন্তু কথা হল পৃথিবীতে বিপুল সংখ্যক সাইটের ইউজারনেম এটাই। এর কারন ওয়ার্ডপ্রেসের আগের ভার্সন গুলোতে এটা ডিফল্ট ইউজারনেম হিসেবে থাকতো। যদিও এটা ব্যাবহার করে যারা হ্যাক করেন তাদেরকে আমি হ্যাকারের উপাধি দিতে রাজি নই। তবুও বলতে হবে প্রতি বছর বেশ কিছু সাইট হ্যাক হয় শুধুমাত্র এই ইউজারনেম ব্যাবহারের কারনে। সুতরাং এড়িয়ে যাওয়ার কিছু নেই এখানে।
ওয়েবসাইট হ্যাকারদের একটা প্রিয় হ্যাকিং সিস্টেম হচ্ছে brute force (ব্রুট ফোর্স)। যেখানে তারা একটাই ওয়েবসাইটে বহুসংখ্যক সম্ভাব্য ইউজারনেম এবং পাসওয়ার্ড কম্বিনেশন ব্যাবহার করে লগ-ইন এর চেষ্টা চালায়। আপনার কাছে এভাবে হ্যাক করা হয়তো অসম্ভব মনে হতে পারে। কিন্তু তাদের কাছে এটা খুবই সোজা। কারন তারা এই কাজটি করতে বিভিন্ন সফটওয়্যার ব্যাবহার করে যেইগুলা খুব দ্রুত বেশকিছু(এমনকি ঘণ্টায় কয়েক হাজার) লগ-ইন এটেম্প চালাতে পারে। এবং এইধরনের পদ্ধতিতে বার বার লগ-ইন চেষ্টা করা যায় এইধরনের যেকোনো সাইট হ্যাক করা যায়। এমনকি ডিকশনারি অ্যাটাক(dictionary attack) (মানে বিশেষ কিছু ইউজার এবং পাস কম্বিনেশন যা পৃথিবীব্যাপী বহুল প্রচলিত) ব্যাবহার করেই বেশ কিছু সাইট হ্যাক করে ফেলে হ্যাকাররা। এখন কথা হল আপনি কিভাবে বাঁচবেন? খুব সহজ পদ্ধতি অনুসরন করুন। সাইটে লগ-ইন লিমিট রাখুন। অর্থাৎ কেউ যদি ৩ বারের বেশি লগ-ইন হওয়ার চেষ্টা করে কিন্তু সফল না হয় তাহলে সে হয়তো পরের বার একটা কেপচা কোড দেখতে পাবে। কিংবা তার আইপি ব্লক হয়ে যাবে। বেশকিছু নির্ভরযোগ্য প্লাগিন আছে যা দিয়ে আপনি এই কাজটি করতে পারেন।
এমন অনেক তথ্য আছে যা ওয়ার্ডপ্রেস সাইটে শেয়ার করে কিন্তু যেইগুলা ভিসিটর জানার কোন প্রয়োজন নেই। কিন্তু এই তথ্যগুলোর মধ্যে বেশ কিছু শেয়ার করা আপনার জন্য বিপদজনক। যেমন, ওয়ার্ডপ্রেস ভার্সন। এধরনের তথ্যগুলো লুকানোর জন্যও অনেক প্লাগিন আছে।
যারা ওয়ার্ডপ্রেস ব্যাক-ইন্ড সম্পর্কে অবগত না তাদেরকে আগে wp-config.php এর সাথে পরিচয় করিয়ে দেই। এটি ওয়ার্ডপ্রেস রুট ডিরেক্টরিতে থাকা এমন একটা ফাইল যেটা আপনার ওয়ার্ডপ্রেস ডিরেক্টরির সাথে ডাটাবেজ কে যুক্ত করে। এখানে আপনার ওয়ার্ডপ্রেস সংশ্লিষ্ট ডাটাবেজ এর নাম, ইউজারনেম, পাসওয়ার্ড, সার্ভার, টেবিল নেম ইত্যাদি থাকে। মানে এই ফাইলটি যদি কারো হাতে যায় তবে আপনার সাইট এর যেকোনো জায়গায় সে প্রবেশ এবং পরিবর্তন করতে পারবে। তাই ওয়ার্ডপ্রেস এর রুট ডিরেক্টরি থেকে আপনার wp-config.php ফাইলটি সরিয়ে অন্য কোন ফোল্ডারে নিয়ে যান। এতে ওয়ার্ডপ্রেস এর কোন সমস্যা হবে না। যেখানেই থাকুক ওয়ার্ডপ্রেস এটাকে খুজে বের করবে। অবশ্য ওয়ার্ডপ্রেস ২.৬ এর আগের ভার্সনে এই সুবিধা নেই।
সাধরন ভাবে আপনি যখন ওয়ার্ডপ্রেস ইন্সটল করেন তখন এটার টেবিল গুলার প্রিফিক্স হয় wp_। যেটা আপনার wp-config.php ফাইলে উল্লেখ আছে। এটা যেহেতু ওপেন সোর্স তাই আপনি প্রিফিক্স এভাবে রেখে দিলে হ্যাকার ইতিমধ্যে জানে যে আপনার টেবিল গুলোর প্রিফিক্স কি। তাই এথেকে বাঁচতে হলে ওয়ার্ডপ্রেস ইন্সটল করার আগে wp-config.php থেকে আপনার টেবিল প্রিফিক্স পরিবর্তন করে অন্য কিছু দিন।
আপনি যখন wp-config.php ফাইলটি খুলবেন তখন নিচের ৪টি লাইন দেখতে পাবেন।
define('AUTH_KEY', '');
define('SECURE_AUTH_KEY', '');
define('LOGGED_IN_KEY', '');
define('NONCE_KEY', '');
আমি অবাক হয়ে যাই যখন দেখি অনেক অভিজ্ঞরাও এই কীগুলো ব্যাবহার করেন না। সিক্রেট কী গুলো কাজ করে আপনার পাসওয়ার্ড আরও শক্ত করার জন্য। এখানে ভিসিট করে এই কীগুলো জেনারেট এবং কপি করে নিয়ে আসুনঃ http://api.wordpress.org/secret-key/1.1/ । এবার এইগুলা wp-config.php তে যুক্ত করুন।
wp-admin বা wp-login.php যেটাই বলেন না কেন এটার নাম পরিবর্তন করার অনেক টুল আছে। ধরুন একটা প্লাগিন ব্যাবহার করে আপনি আপনার সাইটের wp-admin পরিবর্তন করে দিলেন mysiteadmin . এখন কেউ যদি yoursite.com/wp-admin এ যায় তাহলে সে ৪০৪ এরর পাবে। লগ-ইন হওয়ার জন্য তাকে যেতে হবে yoursite.com/mysiteadmin এ। সুতরাং আপনার বা আপনার কোম্পানির সাইটে এই ধরনের পরিবর্তন করতে হ্যাকিং এর হাত থেকে রক্ষা করতে পারেন। তবে কমিউনিটি ব্লগে এটা করা যাবে না।
যেন তেন প্লাগিন ব্যাবহার করবেন না। বিশেষ করে যে সকল ক্ষেত্রে প্লাগিন আপনার বিশেষ ডাটা নিয়ে কাজ করে যেটা হ্যাক হলে আপনার সাইটে সমস্যা হতে পারে সেই ক্ষেত্রে অবশ্যই এর রিভিউ এবং কতোটা নির্ভরযোগ্য তা দেখে নিবেন। লুপ ভেঙ্গে তার মাঝে কিছু যুক্ত করে এইধরনের প্লাগিন ব্যাবহার না করে সেই ক্ষেত্রে ঐ সুবিধা মেনুয়েলি যুক্ত করাই বুদ্ধিমানের কাজ।
অনেকে ফ্রি থিম বা প্রিমিয়াম থিম ফ্রিতে ডাউনলোড করে ব্যাবহার করে থাকেন। একান্তই যদি এই কাজটি করতে হয় তাহলে সতর্কতা অবলম্বন করুন। চেক করে নিন এতে কোন সিকিউরিটি বাগ আছে কিনা। অনলাইনে চেক করার অনেক সাইট আছে। তবে চেক করার সাইট গুলা বিশ্বাসযোগ্য কিনা তা নিয়ে আমার সন্দেহ আছে। কিনে প্রিমিয়াম থিম ব্যাবহারের ক্ষেত্রেও অনেক সময় কিছু বাগ থাকে। তবে কিভাবে বাগ মুক্ত এবং হাই কোয়ালিটি থিম নির্বাচন করবেন এই বিষয় নিয়ে পরবর্তীতে আরেকটা পোস্ট করবো।
নিয়মিত আপনার সাইটের ব্যাকআপ রাখুন। প্রায় সব প্রিমিয়াম থিমেই এখন বিল্ট ইন এই অপশন টা দেওয়া থাকে। তবে না থাকলে কোন প্লাগিন ব্যাবহার করতে পারেন কিংবা মেনুয়ালিও করতে পারেন। তবে তার চাইতে একটা সিস্টেম ব্যাবহার করাই যুক্তিযুক্ত যেটা আপনার কোন ওয়েব ব্যাকআপ অ্যাকাউন্টে নির্দিষ্ট সময় পরপর অটো ব্যাকআপ পাঠিয়ে দিবে।
এর বাইরেও আরও অনেক ওয়ার্ডপ্রেস সিকিউরিটি রুল আছে। যেমন, সবসময় সাইটের ওয়ার্ডপ্রেস, থিম, প্লাগিন সবকিছু আপডেট রাখুন। হোস্টিং বাছাই করার সময় সতর্কতা অবলম্বন করুন ইত্যাদি। আজ এর বেশি আর কিছু শেয়ার করলাম না। আশা করি আপনার সাইটের সিকিউরিটির ব্যাপারে যথেষ্ট সময় দিবেন। ভালো থাকবেন।
আমার একটা ছোট ব্লগ আছে । আশা করি সবাই একবার ঘুরে আসবেন , আমার ব্লগ এ ।
আর আমার Blog এ post করার দাওয়াত থাকলো ।
আমি ইসতিয়াক আহমেদ নাঈম। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 10 বছর 3 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 88 টি টিউন ও 115 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 0 ফলোয়ার আছে এবং আমি টেকটিউনসে 0 টিউনারকে ফলো করি।
সবার জন্যে নিঃসন্দেহে একটা প্রয়োজনীয় টিউন। আমি সহ সবাই উপক্রিত হবে।
ধন্যবাদ আপনাকে।