লেখকঃ ব্ল্যাক এক্সপোরার
 |
| WordPress |
ধরে নিলাম, আপনার ওয়ার্ডপ্রেস ইন্সটেলেশন শেষ। এখন আপনাকে করতে হবে আরও অনেক গুরুত্বপূর্ণ কাজ। আপনার প্রথম কাজ হবে wp-config.php ফাইলকে প্রটেক্ট করা। এই ফাইলে আপনার সাইটের অনেক অনেক সেনসিটিভ ইনফো আছে। ডাটাবেস নেইম, ইউজার নেইম, পাসওয়ার্ড ইত্যাদি। এজন্য আপনাকে এই ফাইলটির নিরাপত্তা বিধান করা জরুরী। এজন্য এই ফাইলটাকে Root folderRoot folder এ রাখা যাবে না। অন্য জায়গায় নিয়ে রাখতে হবে। এজন্য আপনাকে আরও কিছু কাজ করতে হবে। আপনার সার্ভারের .htaccess ফাইলে কিছু কোড লিখতে হবে।
<Files wp-config.php?
Order allow, deny
Deny from all
</Files>
এর পর সেইভ করুন, কাজ শেষ। এর পর আরও একটি কাজ করবেন wp-config.php ফাইলের পারমিশন পরিবর্তন করুন। ডিফল্ট ৬৪৪থকে, পরিবর্তন করে ৭৫৫ করে দিন।
htaccess ফাইলকেই রক্ষা করুনঃ
এতক্ষন দেখলাম অন্য ফাইলের নিরাপত্তার জন্য আমরা .htaccess এর মধ্যে কোডিং করলাম । এখন কথা হল, আমি তো সব নিরাপত্তার জন্য ওইটাতে কোডিং করলাম, কিন্তু ওই ফাইলটাকেই নিরাপদ করলাম না! হলে কি হবে?যেই লাউ সেই কদু আর কি?যাই হোক, বুঝতেই পারছেন কেন আমাদের htaccess ফাইলটিকে রক্ষা করা খুব জরুরী। এই ফাইলটিকে রক্ষার মাধ্যমে আপনার সাইটের অনেক নিরাপত্তা বেড়ে যাবে। এই কাজের জন্য
আমাদের কিছু কোডিং করা লাগবে। এজন্য নিচের কোড গুলো লিখতে হবে।
<Files ~ "A"\({Hh][Tt][Aa])">
order allow, deny
deny from all
satisfy all
</Files>
আরো ভাল হয় যদি আপনি htaccess ফাইলের নামটাই পরিবর্তন করে দেন। যেমন ht.access এরকম।
কিছু ফাইল ডিলিট করুনঃ
আপনার হোস্টিং এর কন্ট্রোল প্যানেলে প্রবেশ করুন, তারপর File manager থেকে licence.html এবং readme.html ফাইল দুটি মুছে দিন।। ফাইল গুলোতে আপনার সাইটের বর্তমান ওয়ার্ডপ্রেস ভার্সন সহ আরও কিছু তথ্য থাকে। যা জানলে এক জন হ্যাকার আপনার সাইটের কিছু সিকিউরিটি প্ররেম ধরতে পারবে।
ওয়ার্ডপ্রেসের ভার্সন হাইড করুনঃ
আপনি ওয়ার্ডপ্রেসের কোন ভার্সন ব্যবহার করছেন, তা লুকানোর জন্য আপনার এক্টিভ থীমের functions.php ফাইলে নিচের কোড গুলো যুক্ত করুন।
remove_action('p_header', 'wp_generator'); এছাড়া আর এস এস ফীড থেকে হাইড করতে নিচের কোড গুলা এড করে নিন।
Function_wpt_remove_version()
{
Return'';
} Add_filter(the_generator', 'wptr)
Robot.txt ফাইলের সঠিক ব্যবহারঃ
সার্চ ইঞ্জিন অপটিমাইজেশন এর জন্য Robot.txt অত্যন্ত গুরুত্বপূর্ণ। Robot.txt হোল এমন একটি ফাইল যা দিয়ে সার্চ ইঞ্জিন এর বট বা | রোবট গুলোকে বলে দেওয়া যায়, কোনটিকে সে পদ্ধষি করবে, কোন টিকে পদ্ধষি করবেনা। এটি ব্যবহার করার মাধ্যমে হ্যাকাররা বটের মাধ্যমে সাইট হ্যাক করতে পারবেনা। সার্চ ইঞ্জিনের বটগুলো সারাক্ষন ইন্টারনেটে বিচরণ করে। যখনই তারা নতুন কোন সাইট খুঁজে পায়, তখন সে সাথে সাথে ইনডেক্সিং করে রাখে। এই রোবটগুলো ওয়েব স্পাইডার নামে পরিচিত। তাদের crawl না করার জন্য কিন্তু কোড লিখতে হয়৷ এতে ওয়েব স্পাইডার গুলো বুঝে নেয়, এই ডিরেক্টরিকে ইনডেক্সিং না করার জন্য বলছে। যদি আমরা চাই আমাদের এডমিন এর ডিরেক্টরীতে crawl করব না, তাহলে Robot.txt তে লিখতে হবে Disallow: /wp-admin/ তাহলে সে বুঝে নেবে, এই ডিরেক্টরীতে crawlbw করার জন্য বলছে। Robot.txt এর ব্যাপারটি আরও ভালভাবে জানতে গুগলে সার্চ করুন।
Robot.txt এর কমন কিছু জিনিষঃ
Disallow: ==>crawl করার পারমিশন না দেওয়ার জন্য।
Allow: ==>crawl করার পারমিশন দেওয়ার জন্য।
User-agent: রোবট সমুহকে নির্দেশ করে।
*==>এর মানে সকল প্রকার রোবট।
# ==>Robot.txt ফাইলে কমেন্ট করার জন্য।
একটি কমন hvRobot.txt আপনারা চাইলে ব্যবহার করতে পারেন।
Sitemap: http://yoursite.com/sitemap.xml.gz.
User-agent: Googlebot-Image
Disallow:
User-agent:Mediapartners-Google
Disallow:
User-agent: *
Disallow:/index.php/
Disallow:/cgi-bin/
Disallow:/wp-admin/
Disallow:/wp-includes/
Disallow:/trackback/
Disallow:/feed/
এই কাজটি চাইলে htaccess দিয়েও করতে পারেন।
নিয়মিত ডাটা ব্যাকআপ রাখুনঃ
এটি করা অনেক ইম্পরট্যান্ট! নিয়মিত সাইটের ডাটাবেইজের ব্যাকআপ রাখুন। কারন আপনার সাইট যে কোন মুহূর্তে হ্যাক বা অন্য কোন সমস্যা হতেই পারে। এর জন্য কিছু পানি আছে, যা নিজ থেকেই প্রতিদিন আপনার সাইটের ডাটাবেইজ ব্যাকআপ রাখবে, আপনাকে কিছু করতে হবেনা। আর আপনি চাইলে সার্ভার থেকেও করতে পারেন, এই জন্য আপনাকে হোস্টিং এর পিএইচপি মাই-এডমিন এ গিয়ে ওয়ার্ডপ্রেসের ডাটাবেইজ এক্সপোর্ট করে sql ফাইলটা আপনার পিসিতে সেইফ কোন জায়গায় রেখে দিন। এছাড়াও আছে ডাটা রাখার অনেক জায়গা। যেমন, ড্রপ বক্স, মিডিয়া ফায়ার, বক্স ইত্যাদি। এখানে একাউন্ট করে আপনার ডাটা রাখতে পারেন। পরবর্তীতে যদি কোন সমস্যাও হয়, আপনার ডাটা গুলো থাকবে সুরক্ষিত। যার ফলে আপনি বেঁছে যাবেন অনেক বড় ক্ষতির মুখ থেকে। সুতরাং এই ব্যাপারে কোন অলসভা করতে যাবেন না।
ওয়ার্ডপ্রেসের লগিন এরর হাইড করাঃ
আমরা অনেক সময় যখন সাইটে লগিন এর সময় ইউজার আইডি বা পাসওয়ার্ড ভুল করি। এতে এরর দেখায় এরকম tERROR : The Pass word you entered for the user name admin is incor rect. দেখে কি মনে হয়?উ খুব ভাল, তাই না? :p আসলে ব্যাপারটা তা না। আপাত দৃষ্টিতে এটা ইউজারকে সাহায্য করবে, কিন্তু সব চেয়ে বেশী সাহায্য করবে হ্যাকার দের :p কারণ হ্যাকাররা তখন ত্রুটফোর্স এট্যাক করে সাইটের ইনফো পেয়ে যেতে পারে। বা অন্যভাবে সাইটের বাগ ধরে সাইটে ঢুকতে পারে। তাই এই এরর গুলো হাইড করা দরকার। এজন্য একটিভ থীমের functions.php তে এই কোড গুলো যোগ করে নিনঃ
function themepacific_login_errors() {
return 'Nice Try!!! Go Ahead!!";
} add_filter (login_errors', 'themepacific_login_errors');
প্লাগিন ফোল্ডার লুকানোঃ
প্লাগিন এর মাধ্যমে আপনার সাইটের বারেটা বেজে যেতে পারে, যদি ঠিক মত প্লাগিন ব্যবহার না করেন। আপনার অব্যবহৃত প্লাগিন ডিলিট করে দিন। সাধারণত আপনার সাইটের প্লাগিন পাবেন এই ডিরেক্টতে http://yoursite.com/wp-content/plugins/
এখন যদি আপনার প্লাগিন ফোল্ডার হাইড না থাকে তাহলে নিচের মত দেখাবে। যা মোটেও ভাল কথা নয়। এজন্য আপনার প্রাগিন ফোল্ডারটা হাইড করে ফেলুন। হাইড করার জন্য আপনাকে
http://yoursite.com/wp-content/plugins/ লোকেশনে plugins/ ফোল্ডারের ভিতর একটি খালি index.html আপলোড করুন। এখন থেকে আপনার প্লাগিন ফোল্ডারটি আর দেখা যাবে না।
ফায়ার ওয়াল ব্যবহার করুনঃ
আপনার সাইটের সুরক্ষার জন্য ফায়ারওয়াল ব্যবহার করুন।
ভাল মানের ওয়েব হোস্টিং ব্যবহার করুনঃ
হোস্টিং এর ব্যাপারটা অনেক গুরুত্বপূর্ণ। সব সময় চেষ্টা করবেন, সেরা ওয়েব হোস্টিং ব্যবহার করতে। গো ড্যাছির মত উন্নত হোস্টিং ব্যবহার করতে পারেন। এছাড়া আরও অনেক ভাল ওয়ার্ল্ড ক্লাস ওয়েব হোস্টিং কোম্পানি আছে। কিন্তু যেহেতু আমাদের দেশে পেপাল নেই, তাই অনেক সময় ঐসব হোস্টিং ব্যবহার করা সম্ভব হয়না। তাছাড়া হোস্টিং নিরুপনে বাজেট ও একটা ফ্যাক্ট। তাই চেষ্টা করবেন সব মিলিয়ে যেন ভাল হোস্টিংটিই ব্যবহার করতে পারেন। অনেকই খুশিতে কটমট হয়ে কম দামে দেশি হোস্টিং ব্যবহার করে নিজেকে অনেক চালাক মনে করতে পারেন। কিন্তু আসল কথা হল, সম্ভার আসলে তিন অবস্থা না, বলা যায় সম্ভার ১০০ দশা :P। আর ফ্রি হোস্টিং এর কথা ভুলে যান। ফ্রি হোস্টিং এর সীমা বন্ধ ব্যান্ডওয়াইথ, লিমিটেড স্টোরেজ, হাজারো সমস্যা থাকবে। সুতরাং ফ্রির কথা ভুলে যান ।
সবচেয়ে ভাল হয় ডেডিকেটেড সার্ভার ব্যবহার করা। কিন্তু অনেক দাম বলে অনেকের পক্ষে কেনা সম্ভব হয়না। আবার অনেকেই কম দামে হোস্টিং পেয়ে খুশিতে লাফাতে থাকেন। কিন্তু এটা আসলে খুশির কিছু না। যাইহউক আপনার সাইটের হোস্টিং এর ব্যাপারে ভাল ওয়েব ডেভেলপারের পরামর্শ নিতে পারেন। আর যে হোস্টিং নিচ্ছেন তাদের কাছে কিছু কিছু সিকিউরিটির ব্যাপারে আপনাকে জিজ্ঞেস করে নিতে হবে। যেমন, htaccess, raw logs ইত্যাদি ফাইলের ব্যাপারে জেনে নেবেন।
লগিন ফর্মে ক্যাপচা যোগ করুনঃ
আপনার সাইটের লগিন ফর্মে ক্যাপচা যোগ করে নিন। যা আপনাকে ত্রুটফোর্স টুলসের হামলা থেকেরক্ষা করবে। এজন্য লগিন ফর্মে যোগ, বিয়োগ, গুন,ভাগ ইত্যাদি দিতে পারেন। ক্যাপচা যোগ করার জন্য প্রথমে এই লিংকে গিয়ে পাগিনটি ডাওনলোড করে নিন http://ww w.wordpress.org/plugins/all-in-one-wp-securi ty-and-firewall/ এই প্লাগিনসে আপনি অনেক কিছু পাবেন। ডেসক্রিপশন দেখলে বুঝতে পারবেন, প্লাগিনটি আপনার কি কাজে লাগবে। যাইহউক All in one wp security and firewall প্লাগিনটি ইন্সটল এবং একটিভ করুন সিকিউরিটি মেনু থেকে user login সিলেক্ট করুন। এইবার উপড়ের ট্যাব থেকে login Captcha সিলেক্ট করুন। Enable Captcha on Login চেক বক্সে চেক করে দিন। এইবার সেইভ করুন। এখন থেকে আপনার লগিন ফর্মে সব সময় ক্যাপচা দিতে হবে। প্লাগিন কিন্তু অনেক সময় হ্যাকারদের সুবিধা দিয়ে থাকে। অনেক সময় হ্যাকার নিজের প্লাগিন ও ঢুকিয়ে দিতে পারে। সুতরাং প্লাগিন ব্যবহারে সতর্ক হবেন। পরের পর্বে এই সব বিষয় নিয়ে লিখব।
আসলে ওয়ার্ডপ্রেসের সিকিউরিটি নিয়ে আরও অনেক অনেক ব্যাপার আছে। যা আজ আর লিখতে পারলাম না। আগামী সংখ্যায় আবারো হাজির হব আপনাদের সামনে ওয়ার্ডপ্রেসের আরও অনেক সিকিউরিটি রিলেটেড বিষয় নিয়ে। যাইহউক, নিজের মত করে লিখার চেষ্টা করলাম। ভুল ভ্রান্তি থাকতে পারে, কারণ আমিও মানুষ। আশা করছি আপনাদের একটু হলেও উপকারে আসবে।
আপনাদের মতামত জানান আমাদের।
আমাদের মেইল করুণ। আমাদের সাথেই থাকুন। সবাইকে পরের পর্বের আমন্ত্রণ।
আজ এই টুকুই ভাল থাকবেন।
ধন্যবাদ।
[চলবে......]
[দ্য ব্ল্যাক হ্যাট ম্যাগাজিন থেকে সংগৃহীত]
Tags:
অন্যান্য