ওয়ার্ডপ্রেস XML-RPC হল একটি সুন্দর তারিখের কার্যকারিতা যা ওয়ার্ডপ্রেস সিএমএসে বেক করা হয়েছে। এটি একটি ওয়ার্ডপ্রেস সাইট এবং অন্যান্য ওয়েব বা মোবাইল প্রযুক্তির মধ্যে যোগাযোগের মানসম্মত করার একটি মাধ্যম। আপনি যদি একজন ওয়ার্ডপ্রেস ব্যবহারকারী হন, তাহলে এই টিউটোরিয়ালটি আপনাকে বলবে যে XML-RPC কী এবং কেন নিজেকে রক্ষা করার জন্য এটি নিষ্ক্রিয় করা একটি ভাল ধারণা৷
XML-RPC কিভাবে কাজ করে
আপনার ওয়ার্ডপ্রেস ওয়েবসাইটটি ওয়েবে কাজ করার জন্য ডিজাইন করা হয়েছে। এটি HTML, CSS এবং PHP এর মত মূল ওয়েব প্রযুক্তি ব্যবহার করে। এই সমস্ত ফাইলগুলি আপনার হোস্টিং সার্ভারের ভিতরে ফোল্ডারগুলিতে সুন্দরভাবে আটকানো আছে৷
যখন একজন ভিজিটর আপনার ডোমেইন নাম বা এর কোনো ডেরিভেটিভের উপর ক্লিক করে, তখন তারা আপনার ওয়েবপেজে ল্যান্ড করে। তারা তাদের ব্রাউজারে ডাউনলোড করতে চায় এমন তথ্য ধারণকারী নির্দিষ্ট ফোল্ডার। এখন ব্রাউজার এই তথ্য ব্যাখ্যা করে এবং তাদের দেখায়৷
৷কিন্তু যদি আপনি একটি ব্রাউজার ব্যবহার করে আপনার ওয়েবসাইট অ্যাক্সেস করতে না চান? আপনি যদি একটি কাস্টম অ্যাডমিন সফ্টওয়্যার বা এমনকি একটি মোবাইল অ্যাপ্লিকেশন থেকে এটি অ্যাক্সেস করতে চান?
ওয়ার্ডপ্রেস XML-RPC এই সমস্যাটি কভার করে।
XML-RPC হল একটি এপিআই যা একটি সাধারণ XML ফাইলের ভিতরে প্রয়োজনীয় তথ্য মোড়ানো হয় এবং মোবাইল অ্যাপ বা দূরবর্তী সফ্টওয়্যারে পাঠায়। মোবাইল অ্যাপ্লিকেশানটি তার নিজস্ব পূর্ব-কনফিগার করা ডিজাইনের সাথে এই তথ্যগুলিকে ফুলিয়ে তোলে৷ এই ক্ষেত্রে মোবাইল অ্যাপটির আর উল্লেখযোগ্য ওয়েবপেজ ফাইল ডাউনলোড করার প্রয়োজন নেই এবং আপনি এখনও একটি নিফটি অ্যাপে আপনার ডেটা অ্যাক্সেস করতে পারবেন।
যতটা ভাল মনে হচ্ছে, একমাত্র সমস্যা হল যে আপনি যখনই XML-RPC এর মাধ্যমে প্রমাণীকরণ করতে চান তখন আপনাকে আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড পাঠাতে হবে। এটি হ্যাকারের আক্রমণের জন্য এটিকে খুব ঝুঁকিপূর্ণ করে তোলে।
কিভাবে XML-RPC আপনাকে দুর্বল করে তোলে
XML-RPC আপনার সাইটকে অন্তত দুটি উপায়ে আক্রমণের জন্য ঝুঁকিপূর্ণ রাখে:ব্রুট ফোর্স অ্যাটাক এবং লগইন শংসাপত্র চুরি .
1. ব্রুট ফোর্স অ্যাটাকস
আক্রমণকারীরা একটি নৃশংস শক্তি আক্রমণ ব্যবহার করে আপনার ওয়েবসাইটকে সংক্রমিত করার চেষ্টা করে।
একটি নৃশংস শক্তি আক্রমণ নিছক একটি অনুমান খেলা. আক্রমণকারী সফল না হওয়া পর্যন্ত বারবার আপনার পাসওয়ার্ড অনুমান করার চেষ্টা করে।
এটি প্রতি সেকেন্ডে কয়েক হাজার বার ঘটে যাতে তারা অল্প সময়ের মধ্যে লক্ষ লক্ষ কম্বিনেশন চেষ্টা করতে পারে।
একটি ওয়ার্ডপ্রেস সাইটে আপনি সহজেই আপনার ওয়েবসাইটের জন্য লগইন প্রচেষ্টা ক্যাপ করে পাশবিক শক্তি আক্রমণ সীমিত করতে পারেন। যাইহোক, XML-RPC এর সমস্যা হল যে এটি আপনার সাইটে লগইন করার প্রচেষ্টাকে ক্যাপ করে না।
একজন আক্রমণকারী আপনার সার্ভারকে বোকা বানিয়ে অনুমান করতে পারে যে তারা একজন প্রশাসক কিছু তথ্য পুনরুদ্ধার করতে চাইছে। এবং যেহেতু তাদের সঠিক প্রমাণপত্রাদি নেই, তারা এখনও আপনার সাইট অ্যাক্সেস করতে সক্ষম নয়, তাই তারা অনেকবার চেষ্টা চালিয়ে যাচ্ছেন না শেষ।
যেহেতু ট্রায়ালের সংখ্যার কোন সীমা নেই, তাই তাদের অ্যাক্সেস পাওয়ার আগে এটি শুধুমাত্র সময়ের ব্যাপার। এইভাবে একজন হ্যাকার একটি XML-RPC DDOS আক্রমণ করে একটি সাইটকে সহজেই নামিয়ে আনতে পারে (এক্সএমএল-RPC-কে সার্ভার ওভারলোড এবং ক্র্যাশ করার জন্য "পিংব্যাক" অনুরোধের তরঙ্গ পাঠিয়ে)।
2. লগইন তথ্য আটকানো/চুরি করা
XML-RPC এর আরেকটি দুর্বলতা হল অদক্ষ প্রমাণীকরণ ব্যবস্থা। প্রতিবার আপনি আপনার ওয়েবসাইট অ্যাক্সেস করার জন্য একটি অনুরোধ পাঠান, আপনাকে অবশ্যই আপনার লগইন শংসাপত্র জমা দিতে হবে। এর মানে আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রকাশ করা হয়েছে৷
৷হ্যাকাররা তথ্যের এই প্যাকেটটি আটকানোর জন্য কোণে লুকিয়ে থাকতে পারে। একবার তারা সফল হলে, তাদের আর নৃশংস শক্তি আক্রমণের কঠোরতার মধ্য দিয়ে যেতে হবে না। তারা কেবল আপনার বৈধ শংসাপত্র ব্যবহার করে আপনার ওয়েবসাইটে প্রবেশ করে৷
৷আমি কি ওয়ার্ডপ্রেসে XML-RPC নিষ্ক্রিয় করব?
ওয়ার্ডপ্রেস সংস্করণ 3.5 থেকে, XML-RPC কোডের এত উন্নতি হয়েছে যে ওয়ার্ডপ্রেস টিম এটিকে ডিফল্টরূপে সক্ষম করার জন্য যথেষ্ট নিরাপদ বলে মনে করেছে। আপনি যদি আপনার ওয়ার্ডপ্রেস সাইট পরিচালনার জন্য মোবাইল অ্যাপ বা রিমোট সফ্টওয়্যারের উপর নির্ভর করে থাকেন, তাহলে আপনার সম্ভবত XML-RPC নিষ্ক্রিয় করা উচিত নয়।
আপনি যদি আপনার সার্ভারের নিরাপত্তা সম্পর্কে খুব সচেতন হন, তাহলে এটিকে নিষ্ক্রিয় করা ভাল হতে পারে কারণ এটি এমন একটি সম্ভাব্য উপায়কে কভার করে যা হ্যাকাররা আপনার সাইটে আক্রমণ করতে পারে।
ওয়ার্ডপ্রেস এ XML-RPC কিভাবে নিষ্ক্রিয় করবেন
XML-RPC ওয়ার্ডপ্রেসে ডিফল্টরূপে সক্রিয় থাকে, তবে এটি নিষ্ক্রিয় করার বিভিন্ন উপায় রয়েছে৷
দ্রষ্টব্য :আপনি যদি জনপ্রিয় জেটপ্যাক প্লাগইন ব্যবহার করেন, তাহলে আপনি XML-RPC নিষ্ক্রিয় করতে পারবেন না, কারণ সার্ভারের সাথে যোগাযোগ করার জন্য জেটপ্যাকের জন্য এটি প্রয়োজনীয়। এছাড়াও, XML-RPC নিষ্ক্রিয় করার আগে, নিশ্চিত করুন যে আপনার কোনো প্লাগইন বা থিম এটি ব্যবহার করছে না।
XML-RPC নিষ্ক্রিয় করা হচ্ছে
1. আপনার থিম ফোল্ডারটি সনাক্ত করুন (সাধারণত "wp-content/themes/" এ), এবং "functions.php" ফাইলটি খুলুন৷
2. ফাইলের শেষে নিম্নলিখিত কমান্ডগুলি পেস্ট করুন:
// Disable use XML-RPC add_filter( 'xmlrpc_enabled', '__return_false' );
"functions.php" ফাইলটি সংরক্ষণ করুন। এটি ওয়ার্ডপ্রেসে XML-RPC কার্যকারিতা বন্ধ করে দেবে। মনে রাখবেন যে এই পদ্ধতিটি শুধুমাত্র XML-RPC নিষ্ক্রিয় করে, কিন্তু xml-rpc.php ফাইলটি কাছাকাছি থাকায় এটি হ্যাকারদের আপনার সাইটে আক্রমণ করা থেকে বিরত করে না।
XML-RPC ফাইলে অ্যাক্সেস ব্লক করা
হ্যাকারদের আক্রমণ থেকে বিরত রাখার সর্বোত্তম উপায় হল xml-rpc ফাইলের অ্যাক্সেস ব্লক করা।
Apache সার্ভার
যদি আপনার ওয়ার্ডপ্রেস সাইটটি Apache সার্ভারে চলছে (যদি আপনি আপনার ওয়ার্ডপ্রেস ইনস্টলেশন ফোল্ডারে একটি ".htaccess" ফাইল দেখতে পান, তাহলে আপনি নিশ্চিত হতে পারেন যে আপনার সাইটটি একটি Apache সার্ভারে হোস্ট করা হয়েছে), এই পদক্ষেপগুলি অনুসরণ করুন৷
1. আপনার CPanel এ লগ ইন করুন৷ ফাইল ম্যানেজার অনুসন্ধান করুন৷
৷
2. ফাইল ম্যানেজার খুলুন। "public_html" ফোল্ডারে নেভিগেট করুন এবং তারপর ".htaccess" নথিতে যান৷
3. ফাইলটি সম্পাদনা করতে ডান-ক্লিক করুন৷
৷
4. ফাইলের নীচে নিম্নলিখিত কোডটি পেস্ট করুন:
# Disallow all WordPress xmlrpc.php requests to this domain <Files xmlrpc.php> order deny,allow deny from all </Files>
5. সংরক্ষণ করুন এবং প্রস্থান করুন৷
৷Nginx সার্ভার
Nginx সার্ভারের জন্য, আপনার সার্ভার কনফিগারেশন ফাইলে নিম্নলিখিত কোডটি পেস্ট করুন:
# nginx block xmlrpc.php requests
location /xmlrpc.php {
deny all;
} এখন আপনার সাইট আক্রমণ থেকে নিরাপদ।
উপসংহারে
ব্রুট ফোর্স আক্রমণ এবং ডেটা চুরি সাইট মালিকদের জন্য সমস্যা সৃষ্টি করতে থাকবে। আপনার সাইট নিরাপদ কিনা তা নিশ্চিত করা আপনার দায়িত্ব। XML-RPC নিষ্ক্রিয় করা এটি করার একটি কার্যকর উপায়। উপরের নির্দেশিকা অনুসরণ করুন, এবং আপনার ওয়েবসাইট এবং দর্শকদের এখনই হ্যাকারদের হাত থেকে রক্ষা করুন।
