লেখকঃ ব্ল্যাক এক্সপোরার
 |
| WordPress |
ওয়ার্ডপ্রেস সম্পর্কে আমরা সবাই কম-বেশী জানি। তবে ওয়েব জগতে যারা একেবারে নতুন, এবং চান যে আমার ও একটি সাইটের দরকার, তাহলে তাদের জানা জরুরী। আজ আমি ওয়ার্ডপ্রেস দিয়ে বানানো সাইটের সিকিউরিটি নিয়ে আলোচনা করব। আপনারা মেইলের মাধ্যমে আমাদের ফীডব্যাক দেবেন, আপনাদের কি কি নিয়ে জানা জরুরী। পরবর্তীতে আমরা তা দেওয়ার চেষ্টা করব। তো চলুন শুরু করা যাকঃ
ওয়ার্ডপ্রেস কিঃ
ওয়ার্ডপ্রেস বর্তমান সময়ের সবচেয়ে জনপ্রিয় মুক্ত একটি ব্লগিং প্লাটফর্ম বা সিএমএস (কনটেন্ট ম্যানেজমেন্ট সিস্টেম) যা সম্পূর্ণ বিনামুল্যে সরবরাহ করা হয় । অনেকই হয়ত আবার প্রশ্ন করে বসবেন, সিএমএস কি জিনিস ? তাদের জন্যই বলছি, সিএমএস হলো একটি প্রোগ্রাম যা দিয়ে একটি সাইটের রক্ষানাবেক্ষন, পরিচালনা, আর্টিকেল পাবলিশিং, এডিটিং, যাবতীয় এডমিনিস্ট্রিটিভ কাজ করা যায়। এটি হল অনেকটা অফিসের ব্যাক অফিসের মত অনেক প্রতিষ্ঠানের সামনে থাকে তাদের ব্যবসায়ীক পণ্য, এবং পিছনে থাকে অফিস, যেখান থেকে সব কার্যক্রম পরিচালনা করা হয়। এক্ষেত্রে আমরা সুপার মার্কেটের কথা ভাবতে পারি । ওয়ার্ডপ্রেস হল- পিএইচপি এবং মাইএস কিউ এল এর সমন্বয়ে প্রস্তুত একটি সিএমএস। যা দিয়ে একজন ব্যবহারকারী কোন ধরনের প্রোগ্রামিং ল্যাংগুয়েজ না জানা সত্ত্বেও খুব সহজে নিজের একটি সাইট বানাতে পারে। ওয়ার্ডপ্রেসের দুটি সেবাঃ
1.wordpress.org
2.wordpress.com
অনেকেই এই দুইটার সম্পর্ক বুঝতে পারেননা, গুলিয়ে ফেলেন। সেটা ক্লিয়ার করি- wordpress.org তে আপনি আপনার ইচ্ছা মত হোস্টিং, ডোমেইন, এবং অন্যান্য সুবিধা ব্যবহার করতে পারেন। এজন্য আপনার অবশ্যই ডোমেইন এবং হোস্টিং থাকতে হবে। এখানে আপনি ওয়ার্ডপ্রেসের ফ্রি এবং প্রিমিয়াম থীম ও ব্যবহার করতে পারেন। চাইলে নিজের বানানো বা থীম ফরেস্ট থেকে কিনেও থীম ও ব্যবহার করতে পারবেন। কিন্তু wordpress.com এ আপনি নিজের ইচ্ছা মত ডোমেইন ব্যবহার করতে পারবেন না। মানে yoursite.com এরকম পাবেননা। আপনি পেতে পারেন- blackexplorer.wordpress.com । এইখানে কোনধরনের ডোমেইন বা হোস্টিং কিনার কোন ঝামেলা নেই। শুধুমাত্র নিজের পছন্দ মত নাম দিয়ে একটা সাইট খুলবেন যেমনঃ http://yourname.wordpress.com এরপর সব শুধু লগিন করে, নিজের সাইট চালাতে পারবেন! ইচ্ছামত ব্লগিং করতে পারবেন। কিছু সীমাবদ্ধতা আছে, যেমনঃ এখানে আপনার নিজের ইচ্ছামত থীম ব্যবহার করতে পারবেননা। শুধুমাত্র ওয়ার্ডপ্রেসের যেসব ফ্রী এবং প্রিমিয়াম থীম আছে, ওইগুলো ফ্রি তেই ব্যবহার করতে পারবেন। নাউ চয়েস ইজ ইউরস! আপনার যেটা সুবিধা ওইটাই ব্যবহার করুন। ওয়ার্ডপ্রেস প্রথম রিলিজ হয় ২০০৩ সালের ২৭ মে। এটি তৈরি করেন Matt Mullenweg এবং Mike Little. ওয়ার্ডপ্রেসে ৩ ফেব্রুয়ারী ২০১৪ তারিখে সর্বশেষ নতুন ভার্সন ৩.৮ আপডেট হয়েছে এবং এটি ফেব্রুয়ারী ২০১৪ তে মোট ডাউনলোড করেছেন ১৬ মিলিয়ন+ ব্যবহারকারী!!!! (তথ্যঃ উইকিপিডিয়া) এবার চিন্তা করুন ওয়ার্ডপ্রেসের জনপ্রিয়তা সম্পর্কে।
ওয়ার্ডপ্রেস সিকিউরিটিঃ
ওয়ার্ডপ্রেস ব্যবহার করা যেমন সহজ, তেমনি এর রক্ষানাবেক্ষন করাও একটু ঝামেলার। কারণ আপনার সাধের ওয়েব সাইট যে কোন মুহূর্তে হ্যাকার দের আক্রমণের লক্ষ্য বস্তু হতে পারে। হ্যাকার ছাড়াও আপনার যে কোন শত্রু হয়ত আপনার ব্যবসায়িক বা ব্যক্তিগত ক্ষতি করার জন্যও আপনার সাইটের উপর হামলা করতে পারে। কিভাবে? আপনার ওয়ার্ডপ্রেস সাইটের সঠিক রক্ষানাবেক্ষনের সীমাবদ্ধ জ্ঞানের কারণে। একজন হ্যাকারের অন্যতম জনপ্রিয় সিএমএস হলো ওয়ার্ডপ্রেস। এজন্য আবার কেউ ভেবে বসবেন না ওয়ার্ডপ্রেসেরই সিকিউরিটির সমস্যা আছে। এটা মোটেও সঠিক নয়। আপনি যদি বেড প্যাকটিস করেন, সব সময় আপডেট না থাকেন, নরমাল পাসওয়ার্ড ব্যবহার করেন, এর পর ওয়ার্ডপ্রেস কে ব্রেম করেন, তাহলে তা হয় না। আপনাকে আপনার জায়গা থেকে সতর্ক হতে হবে। সিকিউরিটি ইস্যুগুলো জানতে হবে। একজন হ্যাকার তার দক্ষতা দিয়ে আপনার সাইটের বাগ, বা ত্রুটি, (হ্যাকারদের ভাষায় যাকে আমরা এক্সপয়িট বলি) এবং আপনার সাইটের দুর্বলতা বা Vulnerability বের করতে পারে এবং খুব সহজেই আপনার সাইটের পুরো নিয়ন্ত্রন নিতে পারে!!! এছাড়া Xss (Cross Site Scripting), Sql Injection, Malware Plugin upload vulnerability. image upload vulnerability সহ আরও অনেকরকম পদ্ধতি তাই বলে কি আপনি ওয়ার্ডপ্রেস ব্যবহার করবেননা? হ্যাঁ, অবশ্যই করবেন। কিন্তু এজন্য আপনার কিছু উপায় জানা দরকার, যা জানলে সহজে আপনার সাইটকে বাচাতে পারবেন। মনে রাখবেন, মাথা ব্যাথা করলেই মাথা ফেলে দেওয়াটা সমাধান নয়, বরং মাথা ব্যাথার কারণ খুঁজে বের করে এর সমাধান করাটাই যুক্তিযুক্ত। এজন্যই বলে, Prevention is better than Cure, বেশী বকবকানোর জন্য দুঃখিত।
যাই হউক এবার আসা যাক আসল কাজে। আসলে সিকিউরিটি এর ব্যাপারটা অনেক সেন্সেটিভ। তাইআপনি নিশ্চিত করে বলতে পারেননা, আপনার সাইটে কেউ ক্ষতি করতে পারবেনা। লীড হ্যাকাররা তাদের অপরিসীম মেধা দিয়ে নিত্য নতুন তৈরি করে এক্সপয়ট। তারপর ও কেউ যেন সহজে আপনার সাইটের ক্ষতি করতে না পারে,
এরজন্য সিকিউরিটি টিপস গুলো শেয়ার করলাম। এতে আপনার সাইটের ৭০% সিকিউরিটি নিশ্চিত হবে xD। তো চলুন শুরু করা যাক।
ওয়ার্ডপ্রেস আপডেটঃ
আপনার উচিত হবে সব সময় ওয়ার্ডপ্রেসের আপডেট ভার্সন ব্যবহার করা। অনেকেই জানেন না, ভার্সন আপডেট কেন করা হয়? অনেকেই না জেনে আগের ভার্সনই ব্যবহার করে যায় বছরের পর বছর। মূলত যে কোন ডেভেলপার আপডেট করেন, আগের ভার্সনের বাগ গুলো ফিল্ড করে আরও নতুন নতুন ফিচার এবং আগের থেকে বেশি সিকিউর করার পর। ওয়ার্ডপ্রেস ডেভেলপাররা কোন ধরনের ত্রুটি, নতুন কোন ফিচার যোগ করলেই ভার্সন আপডেট করে দেয়। এতে মেজর অনেক সিকিউরিটি সমস্যা সমাধান হয়ে যায়। সুতরাং আপনার ওয়ার্ডপ্রেস সাইট সহজে সিকিউর করার উপায় হল, সব সময় আপডট ভার্সন ব্যবহার করা।
ডিফল্ট এডমিন নেইম পরিবর্তনঃ
আমরা ওয়ার্ডপ্রেস ইন্সটলের পর, অলসতা করে ডিফল্ট এডমিন নেইম রেখে দেই। ফলে একজন হ্যাকারের আক্রমণ করাটা খুব সহজ হয়ে যায় চ যেমন, আপনি যদি আপনার লগইন এ ইউজার রাখেন এডমিন, তাহলে এটা খুবই বোকামি। আমাদের দেশের সরকারী সাইটের এডমিনরা যেমন অনেক সময় রাখেন, ইউজারঃ এডমিন, পাসঃ এডমিন। এজন্যই অন্য দেশের হ্যাকারদের কাছে আমাদের মাথা নত করতে হয়, কারণ তারা খুব সহজে আমাদের সাইটের নিয়ন্ত্রন নিতে পারে। যাইহউক, এজন্য ডিফল্ট নেইম ছাড়া অন্য কোন নাম ব্যবহার করুন। ডিফল্ট নেইম ইউজ করলে খুব সহজে ব্রুট ফোর্সিং অ্যাটাক এর শিকার হতে পারেন। এজন্য ওয়ার্ডপ্রেস ইন্সটল করার সময় এই ব্যাপারটা লক্ষ্য রাখবেন।
স্ট্রং পাসওয়ার্ড ব্যবহারঃ
আপনার পাসওয়ার্ড যদি হয় admin, ১২৩৪৫৬, ০১৭৩৮৪৪q.. (আপনার মোবাইল নং) pasword123 তাহলে পাসওয়ার্ড থাকা আর না থাকা একই কথা। কারণ হ্যাকাররা খুব সহজে আপনার এই পাসওয়ার্ড ব্রেক করতে সক্ষম! পাসওয়ার্ড কমপক্ষে ১৫ অক্ষরের, আরও ভাল হয় যদি তা ২৫-৩০ হয়। এনক্রিপ্টেড এবং তাতে সিম্বলিক কোড সহ নাম্বার ব্যবহার করতে পারেন। তাতে পাসওয়ার্ড অনেক স্ট্রং হবে। যেমনঃ Thisls_P@sWorD&A965#123#@! এছাড়া এই সাইটটিও ব্যবহার করতে পারেন- http://strongpasswordgenera tor.com. সব সময় চেষ্টা করবেন আপনার পাসওয়ার্ডটি যেন সাধারণ না হয়। ফ্ল্যাট না হয়। অনেকেই পাসওয়ার্ড হিসেবে নিজের নাম, মোবাইল নাম্বার, নিজের জন্মদিনের তারিখ এরকম কিছু কমন জিনিষ ব্যবহার করেন যা চরম বোকামি। এক্ষেত্রে আপনি সোসিয়াল ইঞ্জিনিয়ারিং হ্যাকিং এর কবলে পড়তে পারেন। সোসিয়াল ইঞ্জিনিয়ারিং হল একটি পদ্ধতি যা দিয়ে কেউ কৌশলে আপনার এসব কমন জিনিষ জেনে গেল বা আপনি সরল মনে বলে দিলেন আর সে সুযোগ এর সদ্ব্যবহার করে আপনার ফেসবুক একাউন্ট বা অন্য কোন একাউন্ট হ্যাক করে নিল। সুতরাং পাসওয়ার্ড হিসেবে কখনই এসব কমন জিনিষ ব্যবহার করা যাবে না।
ডিফল্ট টেবিল প্রিফিক্স পরিবর্তনঃ
যেমন আমি দিলাম 'Bl@ck3xPloR3r_'. ইন্সটলেশনের সময় টেবিল প্রিফিক্স এর ব্যাপারে সতর্ক থাকুন।
ওয়ার্ডপ্রেস ইন্সটলের সময় আমরা অনেক সময় ডিফল্ট প্রিফিক্স WP_M রেখে দেই। এটা অনেক বড় ভুল। আপনার প্রিফিক্স পরিবর্তন করুন, হ্যাকাররা ঠিকি জানে তারা এসকিউএল করে সহজেই ডাটা বের করে ফেলতে পারবে। তাই ডিফল্ট প্রিফিক্স WP_" ব্যবহার না করে জটিল কিছু দিন।
[চলবে......]
[সংগৃহীতঃ দ্য ব্ল্যাক হ্যাট ম্যাগাজিন]