ওয়ার্ডপ্রেস নিরাপত্তার প্রয়োজনীয়তা দ্রুতগতিতে বাড়ছে। প্রতিবেদনে বলা হয়েছে যে ওয়ার্ডপ্রেস সাইট প্রতি মিনিটে 90,978 আক্রমণের সম্মুখীন হয়। প্রকাশের পর থেকে, ওয়ার্ডপ্রেস 2,450টিরও বেশি দুর্বলতা প্যাচ করেছে। আপনার সাইটকে সুরক্ষিত করার জন্য আপনি ইতিমধ্যেই যে মৌলিক নিরাপত্তা ব্যবস্থা গ্রহণ করছেন তার পাশাপাশি, এখানে কিছু উন্নত ওয়ার্ডপ্রেস নিরাপত্তা ব্যবস্থা রয়েছে, যার মধ্যে রয়েছে কীভাবে আপনার ওয়েবসাইটে ওয়ার্ডপ্রেস DDoS (পরিষেবা অস্বীকৃতি) প্রতিরোধ করা যায়।
1. HTTP ট্রেস কার্যকারিতা বন্ধ করুন
ক্রস সাইট স্ক্রিপ্টিং (এক্সএসএস) এবং ক্রস সাইট ট্রেসিং (এক্সএসটি) এর মতো আক্রমণগুলি সক্ষম HTTP ট্রেস কার্যকারিতা সহ সিস্টেমগুলির দিকে প্রস্তুত। বেশিরভাগ ওয়েব সার্ভার ডিফল্টরূপে HTTP ট্রেসের সাথে কাজ করার জন্য সেট করা থাকে যা এটি ডিবাগিংয়ের মতো কার্যকলাপের জন্য ব্যবহার করে। হেডার অনুরোধ ব্যবহার করে, হ্যাকাররা ক্রস সাইট ট্রেসিং আক্রমণ চালানোর মাধ্যমে কুকিজের মতো সংবেদনশীল তথ্য চুরি করবে। OWASP টপ টেন প্রজেক্ট ওয়ার্ডপ্রেস ওয়েবসাইটগুলিতে দুর্বলতা এবং আক্রমণের ব্যাপক তালিকা অফার করে৷
সমস্ত দুর্বলতার প্রকারের মধ্যে, ক্রস সাইট স্ক্রিপ্টিং এক নম্বরে রয়েছে। প্রকৃতপক্ষে, সমস্ত ওয়েবসাইটের 46.9% এই ধরনের আক্রমণের জন্য ঝুঁকিপূর্ণ। HTTP ট্রেস কার্যকারিতা নিষ্ক্রিয় করতে, আপনার .htaccess ফাইলে নিম্নলিখিত কোড যোগ করুন।
RewriteEngine OnRewriteCond %{REQUEST_METHOD} ^TRACERewriteRule .* - [F] 2. ওয়ার্ডপ্রেস ইনস্টলেশন হেডার আউটপুট সরান
আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের বিভিন্ন অংশের জন্য নির্দিষ্ট পরিষেবার জন্য হেডারে প্রচুর আউটপুট যোগ করা প্রয়োজন। আপনি আপনার থিমের "functions.php" ফাইলে নীচের কোড যোগ করে এই আউটপুটগুলি সরাতে পারেন৷
remove_action( 'wp_head', 'index_rel_link');remove_action( 'wp_head', 'feed_links', 2);remove_action('wp_head', 'feed_links_extra', 3);remove_action('wp_head', 'rs);remove_action( 'wp_head', 'wlwmanifest_link' );remove_action( 'wp_head', 'parent_post_rel_link', 10, 0);remove_action('wp_head', 'start_post_rel_link', 10, _ _wp_head' , _wp_head 'remove_link'; ', 10, 0 );remove_action( 'wp_head', 'wp_generator');remove_action( 'wp_head', 'wp_shortlink_wp_head', 10, 0);remove_action( 'wp_head', 'noindex', 1); 3. WordPress
এর জন্য ডিফল্ট ডাটাবেস উপসর্গ পরিবর্তন করুন
ওয়ার্ডপ্রেস ডাটাবেস টেবিলের ডিফল্ট উপসর্গ মান হল "wp_"। হ্যাকার এবং ক্ষতিকারক বট আপনার ডাটাবেস টেবিলের নাম সফলভাবে অনুমান করতে এই উপসর্গ মান ব্যবহার করতে পারে। যেহেতু wp-config.php ফাইলটি যেখানে আপনার ওয়ার্ডপ্রেস ডাটাবেসের উপসর্গ মান সেট করা আছে, তাই ওয়ার্ডপ্রেস ইনস্টল করার সময় এই প্রিফিক্স মান পরিবর্তন করা সহজ। আপনি চেঞ্জ টেবিল প্রিফিক্স প্লাগইন ব্যবহার করতে পারেন, অথবা যদি আপনি নিজে এটি করতে চান তবে নীচের পদক্ষেপগুলি অনুসরণ করুন:
1. সম্পূর্ণরূপে আপনার ডাটাবেস ব্যাক আপ করুন এবং নিরাপদ কোথাও ব্যাকআপ সংরক্ষণ করা নিশ্চিত করুন৷ এখানে কিছু ব্যাকআপ প্লাগইন রয়েছে যা আপনি ব্যবহার করতে পারেন৷
৷2. আপনার ওয়ার্ডপ্রেস ডাটাবেস সম্পূর্ণরূপে একটি টেক্সট ফাইলে ডাম্প করতে আপনার ওয়েব হোস্ট কন্ট্রোল প্যানেলে "phpmyadmin" ব্যবহার করুন। এই টেক্সট ফাইলটিও ব্যাক আপ করুন।
3. এরপর, সমস্ত “wp_” উপসর্গ মানগুলিকে আপনার নিজের উপসর্গ দিয়ে প্রতিস্থাপন করতে একটি কোড সম্পাদক ব্যবহার করুন৷
4. আপনার অ্যাডমিন প্যানেলে সমস্ত প্লাগইন নিষ্ক্রিয় করুন৷
৷5. এখন, উপরের তৃতীয় ধাপে আপনি যে ফাইলটি সম্পাদনা করেছেন তা ব্যবহার করে, phpMyAdmin এর মাধ্যমে পুরানোটি মুছে ফেলার পরে নতুন ডাটাবেস আমদানি করুন৷
6. নতুন ডাটাবেস উপসর্গ মান ব্যবহার করে, "wp-config.php" ফাইলটি সম্পাদনা করুন৷
7. এখন, আপনার ওয়ার্ডপ্রেস প্লাগইনগুলি পুনরায় সক্রিয় করুন৷
৷8. পারমালিঙ্ক সেটিংস সংরক্ষণ করতে, সেটিংসে যান এবং তারপরে পার্মালিঙ্কগুলিতে যান; এটি আপনার ওয়েবসাইটের পারমালিঙ্ক গঠনকে রিফ্রেশ করে। মনে রাখবেন যে ডাটাবেস উপসর্গ পরিবর্তন করলে আপনার ডোমেন নাম, URL এবং পারমালিঙ্ক সেটিংস পরিবর্তন করা উচিত নয়।
4. সম্ভাব্য বিপজ্জনক ক্যোয়ারী স্ট্রিং ব্লক করুন
ক্রস সাইট স্ক্রিপ্টিং (XSS) আক্রমণ প্রতিরোধ করতে, আপনার .htaccess ফাইলে নিম্নলিখিত কোড যোগ করুন। প্রথমত, কোড যোগ করার আগে, সম্ভাব্য বিপজ্জনক ক্যোয়ারী স্ট্রিং সনাক্ত করুন। ইউআরএল অনুরোধগুলি এই নিয়মের সেট দ্বারা অনেক দূষিত ইনজেকশন থেকে বাদ দেওয়া হয়। এখানে দুটি গুরুত্বপূর্ণ বিষয় লক্ষ্য করা যায়:
- কিছু প্লাগইন বা থিম কার্যকারিতা ভঙ্গ করে যদি আপনি স্ট্রিংগুলি বাদ না দেন যেগুলি তারা ইতিমধ্যেই ব্যবহার করে৷
- যদিও নীচের স্ট্রিংগুলি সবচেয়ে সাধারণ, আপনি আরও স্ট্রিং যোগ করতে বেছে নিতে পারেন৷
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{ QUERY_STRING} ট্যাগ=[NC,OR]RewriteCond %{QUERY_STRING} ftp:[NC,OR]RewriteCond %{QUERY_STRING} http:[NC,OR]RewriteCond %{QUERY_STRING} https:[NC,OR]RewriteCond %{QUERY_STRING} mosConfig [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|'|"|;|?|*)।* [NC,OR]RewriteCond %{QUERY_STRING} ^ .*(%22|%27|%3C|%3E|%5C|%7B|%7C)।* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|% C|%D|%E|%F|127.0)।* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|config|localhost|loopback)।* [NC,OR]RewriteCond %{QUERY_STRING } ^.*(রিকোয়েস্ট|সিলেক্ট|ইনসার্ট 5. DDoS আক্রমণ প্রতিরোধ করতে Deflect ব্যবহার করুন
নতুন ওয়েবসাইট, স্বাধীন মিডিয়া গোষ্ঠী এবং বেশিরভাগ মানবাধিকার কর্মী/গোষ্ঠীর সাইটগুলিতে সাধারণত ডিস্ট্রিবিউটেড ডিনায়াল অফ সার্ভিস (DDoS) আক্রমণ প্রতিরোধ করার জন্য প্রযুক্তিগত এবং আর্থিক সংস্থান থাকে না। এখানেই ডিফ্লেক্ট আসে। ডিফ্লেক্ট পজিশন নিজেই একটি সমাধান হিসাবে যা বাণিজ্যিক DDoS প্রশমন বিকল্পের চেয়ে ভাল।
বাণিজ্যিক DDoS প্রশমন বিকল্পগুলির জন্য প্রচুর অর্থ ব্যয় হয় এবং তাদের পরিষেবার শর্তাবলী পরিবর্তন করতে পারে যদি তাদের সুরক্ষার অধীনে একটি ওয়েবসাইট নিয়মিতভাবে DDoS আক্রমণকে আকর্ষণ করে। ওয়েবসাইটগুলিকে অবিচ্ছিন্ন সুরক্ষায় রেখে ডিফ্লেক্ট সক্রিয়ভাবে DDoS আক্রমণ বন্ধ করে।
আপনার ওয়েবসাইটে ডিফ্লেক্ট ব্যবহার করার একটি পার্শ্ব সুবিধা হল যে এটি আপনার ক্লায়েন্টের সার্ভার এবং সিসাডমিন সংস্থানগুলির উপর চাপ কমিয়ে আপনার অর্থ সাশ্রয় করে। ডিফ্লেক্ট তাদের সমস্ত সোর্স কোড এবং ডকুমেন্টেশন একটি ক্রিয়েটিভ কমন্স লাইসেন্সের অধীনে পাবলিক ডোমেনে রাখে; এটি যে কেউ তাদের নিজস্ব ডিফ্লেক্ট নেটওয়ার্ক সেট আপ করে DDoS আক্রমণ প্রশমিত করতে দেয়। আপনি তাদের ওয়েবসাইটে বিনামূল্যে সাইন আপ করতে পারেন এবং এখনই পরিষেবাটি ব্যবহার করা শুরু করতে পারেন৷
৷ 6. সিকিউর সকেট লেয়ার (SSL) এবং ফায়ারওয়াল সুরক্ষা
ব্যবহার করুন
সুকুরির মতো সুরক্ষা পরিষেবাগুলি একটি সিকিউর সকেট লেয়ার (SSL) শংসাপত্র এবং ফায়ারওয়াল সুরক্ষা ইনস্টল করার মতো সুরক্ষা বিকল্পগুলি অফার করে যা PCI অনুগত। এটি অ-প্রযুক্তিগত ব্যক্তি সহ সকলের জন্য সহজে অ্যাক্সেসযোগ্য বিকল্প৷
৷
আপনি সহজেই এর মতো নিরাপত্তা সমাধান সেট আপ করতে পারেন এবং এটিকে ব্যাকগ্রাউন্ডে কাজ করতে দিতে পারেন এবং কিছু ক্ষেত্রে প্রয়োজন অনুযায়ী নিজেকে আপডেট করতে পারেন (যেমন Sucuri)। এটি একটি অত্যন্ত কার্যকর, কম রক্ষণাবেক্ষণের নিরাপত্তা বিকল্প৷
৷
আপনার সাইটে সুরক্ষিত সকেট স্তর (SSL) সার্টিফিকেট যোগ করতে বেশ কয়েকটি ওয়ার্ডপ্রেস প্লাগইন ব্যবহার করা যেতে পারে। সর্বাধিক প্রস্তাবিত ওয়ার্ডপ্রেস SSL প্লাগইনগুলির মধ্যে রয়েছে CM HTTPS প্রো, সত্যিই সহজ SSL, WP ফোর্স SSL, SSL ইনসিকিউর কন্টেন্ট ফিক্সার, এবং সহজ HTTPS পুনঃনির্দেশ।
মোড়ানোর জন্য
উপরে বর্ণিত পয়েন্টগুলি ব্যবহার করে আপনি চিহ্নিত সাইট নিরাপত্তা উন্নতির অভিজ্ঞতা পাবেন। এটা মনে রাখা সহায়ক যে ওয়ার্ডপ্রেস নিরাপত্তা সবসময় বিকশিত হয়। লক্ষ্য হল ঝুঁকি হ্রাস করা, তাদের নির্মূল করা নয়, কারণ এটি করা প্রায় অসম্ভব। ওয়ার্ডপ্রেস সিকিউরিটি ডাইনামিক এবং লেয়ারে কাজ করে, তাই কোনো এক-প্লাগইন-ফিট-অল বা ওয়ান-টেকটিক-ফিট-অল নেই।
