ওপেন সোর্স এবং ইউজার ফ্রেন্ডলি বলে ওয়ার্ডপ্রেস হচ্ছে পৃথিবীর সবচাইতে জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম। এর জনপ্রিয়তার আরেকটা কারন এটি এমন একটি সিএমএস যা দিয়ে আপনি একটু টেকনিক্যাল নলেজ থাকলে খুব সহজেই তৈরি করতে পারবেন যেকোনো ধরনের ওয়েবসাইট, হোক সেটি ব্লগ, ই-শপ কিংবা লার্নিং ম্যানেজমেন্ট সিস্টেম।
তবে ওপেন সোর্স হওয়ার কারনে এটির সোর্স কোড সবার হাতের নাগালে। তাই ওয়ার্ডপ্রেস সিকিউরিটি বাগ গুলো সহজেই খুঁজে নিতে পারে হ্যাকাররা। তাই ওয়ার্ডপ্রেস ব্যবহার করলে অবশ্যই ওয়ার্ডপ্রেস সিকিউরিটি নিয়ে আপনাকে কিছুটা ভাবতে হবে। নিচের ১০ টি পদ্ধতি অনুসরন করলে এসকল সিকিউরিটি বাগ থেকে আপনি মোটামুটি সুরক্ষিত থাকতে পারবেন।
ওয়ার্ডপ্রেস সাইট হ্যাকিং থেকে বাঁচানোর ১০টি ওয়ার্ডপ্রেস সিকিউরিটি টিপস
এই কাজটি একমাত্র তারাই করে থাকেন যারা ওয়ার্ডপ্রেস ব্যবহারের ক্ষেত্রে একদম নতুন। কিন্তু কথা হল পৃথিবীতে বিপুল সংখ্যক সাইটের ইউজারনেম এটাই। এর কারন ওয়ার্ডপ্রেসের আগের ভার্সন গুলোতে এটা ডিফল্ট ইউজারনেম হিসেবে থাকতো। যদিও এটা ব্যবহার করে যারা হ্যাক করেন তাদেরকে আমি হ্যাকারের উপাধি দিতে রাজি নই। তবুও বলতে হবে প্রতি বছর বেশ কিছু সাইট হ্যাক হয় শুধুমাত্র এই ইউজারনেম ব্যবহারের কারনে। সুতরাং এড়িয়ে যাওয়ার কিছু নেই এখানে।
ওয়েবসাইট হ্যাকারদের একটা প্রিয় হ্যাকিং সিস্টেম হচ্ছে brute force (ব্রুট ফোর্স)। যেখানে তারা একটাই ওয়েবসাইটে বহুসংখ্যক সম্ভাব্য ইউজারনেম এবং পাসওয়ার্ড কম্বিনেশন ব্যবহার করে লগ-ইন এর চেষ্টা চালায়। আপনার কাছে এভাবে হ্যাক করা হয়তো অসম্ভব মনে হতে পারে। কিন্তু তাদের কাছে এটা খুবই সোজা। কারন তারা এই কাজটি করতে বিভিন্ন সফটওয়্যার ব্যবহার করে যেইগুলা খুব দ্রুত বেশকিছু(এমনকি ঘণ্টায় কয়েক হাজার) লগ-ইন এটেম্প চালাতে পারে। এবং এইধরনের পদ্ধতিতে বার বার লগ-ইন চেষ্টা করা যায় এইধরনের যেকোনো সাইট হ্যাক করা যায়। এমনকি ডিকশনারি অ্যাটাক(dictionary attack) (মানে বিশেষ কিছু ইউজার এবং পাস কম্বিনেশন যা পৃথিবীব্যাপী বহুল প্রচলিত) ব্যবহার করেই বেশ কিছু সাইট হ্যাক করে ফেলে হ্যাকাররা। এখন কথা হল আপনি কিভাবে বাঁচবেন? খুব সহজ পদ্ধতি অনুসরন করুন। সাইটে লগ-ইন লিমিট রাখুন। অর্থাৎ কেউ যদি ৩ বারের বেশি লগ-ইন হওয়ার চেষ্টা করে কিন্তু সফল না হয় তাহলে সে হয়তো পরের বার একটা কেপচা কোড দেখতে পাবে। কিংবা তার আইপি ব্লক হয়ে যাবে। বেশকিছু নির্ভরযোগ্য প্লাগিন আছে যা দিয়ে আপনি এই কাজটি করতে পারেন।
এমন অনেক তথ্য আছে যা ওয়ার্ডপ্রেস সাইটে শেয়ার করে কিন্তু যেইগুলা ভিসিটর জানার কোন প্রয়োজন নেই। কিন্তু এই তথ্যগুলোর মধ্যে বেশ কিছু শেয়ার করা আপনার জন্য বিপদজনক। যেমন, ওয়ার্ডপ্রেস ভার্সন। এধরনের তথ্যগুলো লুকানোর জন্যও অনেক প্লাগিন আছে।
যারা ওয়ার্ডপ্রেস ব্যাক-ইন্ড সম্পর্কে অবগত না তাদেরকে আগে wp-config.php এর সাথে পরিচয় করিয়ে দেই। এটি ওয়ার্ডপ্রেস রুট ডিরেক্টরিতে থাকা এমন একটা ফাইল যেটা আপনার ওয়ার্ডপ্রেস ডিরেক্টরির সাথে ডাটাবেজ কে যুক্ত করে। এখানে আপনার ওয়ার্ডপ্রেস সংশ্লিস্ট ডাটাবেজ এর নাম, ইউজারনেম, পাসওয়ার্ড, সার্ভার, টেবিল নেম ইত্যাদি থাকে। মানে এই ফাইলটি যদি কারো হাতে যায় তবে আপনার সাইট এর যেকোনো জায়গায় সে প্রবেশ এবং পরিবর্তন করতে পারবে। তাই ওয়ার্ডপ্রেস এর রুট ডিরেক্টরি থেকে আপনার wp-config.php ফাইলটি সরিয়ে অন্য কোন ফোল্ডারে নিয়ে যান। এতে ওয়ার্ডপ্রেস এর কোন সমস্যা হবে না। যেখানেই থাকুক ওয়ার্ডপ্রেস এটাকে খুঁজে বের করবে। অবশ্য ওয়ার্ডপ্রেস ২.৬ এর আগের ভার্সনে এই সুবিধা নেই।
সাধরন ভাবে আপনি যখন ওয়ার্ডপ্রেস ইন্সটল করেন তখন এটার টেবিল গুলার প্রিফিক্স হয় wp_। যেটা আপনার wp-config.php ফাইলে উল্লেখ আছে। এটা যেহেতু ওপেন সোর্স তাই আপনি প্রিফিক্স এভাবে রেখে দিলে হ্যাকার ইতিমধ্যে জানে যে আপনার টেবিল গুলোর প্রিফিক্স কি। তাই এথেকে বাঁচতে হলে ওয়ার্ডপ্রেস ইন্সটল করার আগে wp-config.php থেকে আপনার টেবিল প্রিফিক্স পরিবর্তন করে অন্য কিছু দিন।
আপনি যখন wp-config.php ফাইলটি খুলবেন তখন নিচের ৪টি লাইন দেখতে পাবেন।
<br />
define(‘AUTH_KEY’, ”);<br />
define(‘SECURE_AUTH_KEY’, ”);<br />
define(‘LOGGED_IN_KEY’, ”);<br />
define(‘NONCE_KEY’, ”);
আমি অবাক হয়ে যাই যখন দেখি অনেক অভিজ্ঞরাও এই কীগুলো ব্যবহার করেন না। সিক্রেট কী গুলো কাজ করে আপনার পাসওয়ার্ড আরও শক্ত করার জন্য। এখানে ভিসিট করে এই কীগুলো জেনারেট এবং কপি করে নিয়ে আসুনঃ http://api.wordpress.org/secret-key/1.1/। এবার এইগুলা wp-config.php তে যুক্ত করুন।
wp-admin বা wp-login.php যেটাই বলেন না কেন এটার নাম পরিবর্তন করার অনেক টুল আছে। ধরুন একটা প্লাগিন ব্যবহার করে আপনি আপনার সাইটের wp-admin পরিবর্তন করে দিলেন mysiteadmin. এখন কেউ যদি yoursite.com/wp-admin এ যায় তাহলে সে ৪০৪ এরর পাবে। লগ-ইন হওয়ার জন্য তাকে যেতে হবে yoursite.com/mysiteadmin এ। সুতরাং আপনার বা আপনার কোম্পানির সাইটে এই ধরনের পরিবর্তন করতে হ্যাকিং এর হাত থেকে রক্ষা করতে পারেন। তবে কমিউনিটি ব্লগে এটা করা যাবে না।
যেন তেন প্লাগিন ব্যবহার করবেন না। বিশেষ করে যে সকল ক্ষেত্রে প্লাগিন আপনার বিশেষ ডাটা নিয়ে কাজ করে যেটা হ্যাক হলে আপনার সাইটে সমস্যা হতে পারে সেই ক্ষেত্রে অবশ্যই এর রিভিউ এবং কতোটা নির্ভরযোগ্য তা দেখে নিবেন। লুপ ভেঙ্গে তার মাঝে কিছু যুক্ত করে এইধরনের প্লাগিন ব্যবহার না করে সেই ক্ষেত্রে ঐ সুবিধা মেনুয়েলি যুক্ত করাই বুদ্ধিমানের কাজ।
অনেকে ফ্রি থিম বা প্রিমিয়াম থিম ফ্রিতে ডাউনলোড করে ব্যবহার করে থাকেন। একান্তই যদি এই কাজটি করতে হয় তাহলে সতর্কতা অবলম্বন করুন। চেক করে নিন এতে কোন সিকিউরিটি বাগ আছে কিনা। অনলাইনে চেক করার অনেক সাইট আছে। তবে চেক করার সাইট গুলা বিশ্বাসযোগ্য কিনা তা নিয়ে আমার সন্দেহ আছে। কিনে প্রিমিয়াম থিম ব্যবহারের ক্ষেত্রেও অনেক সময় কিছু বাগ থাকে। তবে কিভাবে বাগ মুক্ত এবং হাই কোয়ালিটি থিম নির্বাচন করবেন এই বিষয় নিয়ে পরবর্তীতে আরেকটা টিউন করবো।
নিয়মিত আপনার সাইটের ব্যাকআপ রাখুন। প্রায় সব প্রিমিয়াম থিমেই এখন বিল্ট ইন এই অপশন টা দেওয়া থাকে। তবে না থাকলে কোন প্লাগিন ব্যবহার করতে পারেন কিংবা মেনুয়ালিও করতে পারেন। তবে তার চাইতে একটা সিস্টেম ব্যবহার করাই যুক্তিযুক্ত যেটা আপনার কোন ওয়েব ব্যাকআপ অ্যাকাউন্টে নির্দিষ্ট সময় পরপর অটো ব্যাকআপ পাঠিয়ে দিবে।
এর বাইরেও আরও অনেক ওয়ার্ডপ্রেস সিকিউরিটি রুল আছে। যেমন, সবসময় সাইটের ওয়ার্ডপ্রেস, থিম, প্লাগিন সবকিছু আপডেট রাখুন। হোস্টিং বাছাই করার সময় সতর্কতা অবলম্বন করুন ইত্যাদি। আজ এর বেশি আর কিছু শেয়ার করলাম না। আশাকরি আপনার সাইটের সিকিউরিটির ব্যাপারে যথেষ্ট সময় দিবেন। ভালো থাকবেন।
আমি নিজাম উদ্দিন। বিশ্বের সর্ববৃহৎ বিজ্ঞান ও প্রযুক্তির সৌশল নেটওয়ার্ক - টেকটিউনস এ আমি 4 বছর 10 মাস যাবৎ যুক্ত আছি। টেকটিউনস আমি এ পর্যন্ত 7 টি টিউন ও 0 টি টিউমেন্ট করেছি। টেকটিউনসে আমার 1 ফলোয়ার আছে এবং আমি টেকটিউনসে 1 টিউনারকে ফলো করি।