ক্রস-সাইট অনুরোধ জালিয়াতি (CSRF বা XSRF নামে পরিচিত) হল ওয়ার্ডপ্রেস ওয়েবসাইটগুলির মুখোমুখি হওয়া সবচেয়ে গুরুতর হ্যাকগুলির মধ্যে একটি৷ সাইটে ইনস্টল করা ওয়ার্ডপ্রেস প্লাগইনগুলিতে উপস্থিত দুর্বলতার কারণে এই হ্যাকটি ঘটে।
এখানে, হ্যাকাররা ওয়েবসাইট ব্যবহারকারীদের দূষিত কাজ করার জন্য প্রতারণা করে যা ওয়েবসাইটের মালিক এবং ব্যবহারকারী উভয়ের জন্যই ক্ষতিকর। CSRF আক্রমণ উভয় পক্ষের জন্যই বিধ্বংসী প্রভাব ফেলতে পারে এবং এগুলিকে আটকাতে হবে!
CSRF ব্যবহার করে, একজন হ্যাকার আপনার ওয়েবসাইটের সম্পূর্ণ নিয়ন্ত্রণ লাভ করতে পারে এবং এটিকে ব্যবহার করে তারা যে কোনো ধরনের দূষিত কার্যকলাপ চালাতে পারে। তারা আপনার দর্শকদের অন্য দূষিত সাইটগুলিতে পুনঃনির্দেশিত করতে পারে বা ম্যালওয়্যার ডাউনলোড করার জন্য তাদের প্রতারণা করতে পারে। তারা আপনার এবং আপনার গ্রাহকদের কাছ থেকে তহবিল চুরির পর্যায়েও যেতে পারে!
শুধু তাই নয়। জিনিসগুলি আরও স্নোবল হতে পারে এবং Google আপনার সাইটটিকে কালো তালিকাভুক্ত করতে পারে এবং আপনার হোস্টিং প্রদানকারী আপনার সাইটটিকে স্থগিত করতে পারে৷
আপনি যদি এই হ্যাকের শিকার হন বা এটি প্রতিরোধ করতে চান তবে আমরা আপনাকে কভার করেছি। এই নিবন্ধে, আমরা আপনাকে দেখাব কিভাবে একটি CSRF আক্রমণ ঠিক করা যায় এবং কীভাবে এটি প্রতিরোধ করা যায়।
TL;DR: যদি আপনার ওয়েবসাইট হ্যাক হয়ে থাকে, তাহলে আপনাকে তা অবিলম্বে ঠিক করতে হবে। আমরা CSRF অ্যাটাক রিমুভাল প্লাগইন ডাউনলোড এবং ইনস্টল করার পরামর্শ দেব আপনার ওয়েবসাইটের একটি গভীর স্ক্যান চালানোর জন্য এবং তাৎক্ষণিকভাবে এটি পরিষ্কার করতে। একবার আপনার ওয়েবসাইট পরিষ্কার হয়ে গেলে, প্লাগইন আপনার সাইটটিকে ভবিষ্যতে হ্যাক করার প্রচেষ্টা থেকে রক্ষা করবে।
বিষয়বস্তুর সারণী৷
→ একটি CSRF আক্রমণ কি (ক্রস-সাইট অনুরোধ জালিয়াতি)?
→ কিভাবে ওয়ার্ডপ্রেস CSRF দুর্বলতা আপনার সাইটে ঘটেছে?
→ কিভাবে একটি ওয়ার্ডপ্রেস ওয়েবসাইটে একটি CSRF আক্রমণ প্রতিরোধ করবেন?
→ প্লাগইন ডেভেলপারদের জন্য CSRF প্রতিরোধমূলক ব্যবস্থা
→ ওয়ার্ডপ্রেস সাইটের মালিকদের জন্য CSRF প্রতিরোধমূলক ব্যবস্থা
একটি CSRF আক্রমণ কি ( ক্রস-সাইট অনুরোধ জালিয়াতি )?
CSRF ওয়ার্ডপ্রেস আক্রমণ বোঝার জন্য কিছুটা জটিল কিন্তু আমরা যতটা সম্ভব তা ভেঙে ফেলতে যাচ্ছি।
ব্যবহারকারীর সদস্যতা, সদস্য বা লগইন রয়েছে এমন একটি ওয়েবসাইটে, প্রতিটি ব্যবহারকারীর সাইটে তাদের নিজস্ব অ্যাকাউন্টে বিশেষাধিকারপ্রাপ্ত অ্যাক্সেস রয়েছে। উদাহরণস্বরূপ, একটি Amazon অ্যাকাউন্ট, Gmail অ্যাকাউন্ট বা এমনকি একটি অনলাইন ব্যাঙ্কিং অ্যাকাউন্ট।
এই ধরনের একটি ওয়েবসাইট তার ব্যবহারকারীদের লগইন শংসাপত্র দেয় - ব্যবহারকারীর নাম এবং পাসওয়ার্ড। এটি ব্যবহারকারীকে প্রমাণীকরণ করার জন্য করা হয়। সুতরাং, যখন একজন ব্যবহারকারী লগ ইন করতে চায়, তারা নিজেদের যাচাই করার জন্য ব্যবহারকারীর নাম এবং পাসওয়ার্ড প্রবেশ করান। এইভাবে, ওয়েবসাইট ব্যবহারকারী এবং তাদের ব্রাউজারের সাথে বিশ্বাস স্থাপন করতে পারে।
একটি CSRF আক্রমণে, একজন হ্যাকার এই প্রমাণীকৃত ব্যবহারকারীকে দূষিত ক্রিয়া সম্পাদনের জন্য কৌশল করে৷
1. ‘ক্রস সাইট’কে বোঝা
এটি কীভাবে ঘটে তা ব্যাখ্যা করতে, আসুন একটি উদাহরণ ব্যবহার করি। বলুন, ব্যবহারকারী সাইট A-তে লগ ইন করেছে এবং ব্রাউজারে একটি ট্যাবে এটি খোলা রেখে দিয়েছে। (মনে রাখবেন যে এই সাইট A লগ ইন করা হয়েছে - এটি গুরুত্বপূর্ণ।)
এখন, ধরা যাক হ্যাকারের কাছে ব্যবহারকারীর ইমেল ঠিকানা আছে৷৷ তারা অবিশ্বাস্য ডিসকাউন্ট সম্পর্কে ব্যবহারকারীকে একটি ইমেল পাঠায় যা আগামী কয়েক ঘন্টার মধ্যে শেষ হতে চলেছে। ব্যবহারকারী ইমেলের লিঙ্কে ক্লিক করে প্রতারিত হয়। এটি সাইট বি নামে একটি ওয়েবসাইট খুলে দেয় (যা হ্যাকার দ্বারা পরিচালিত হয়)।
সাইট বি-তে, ডিসকাউন্ট দাবি করতে তাদের একটি ফর্ম পূরণ করতে হবে বা তাদের ইমেল ঠিকানা লিখতে হবে। ব্যবহারকারী ফর্মটি 'জমা' করার জন্য একটি আপাতদৃষ্টিতে সাধারণ বোতামে ক্লিক করেন৷
৷
কিন্তু সাইট বি-তে এই 'জমা দিন' বোতামের পর্দার আড়ালে, একজন হ্যাকার তাদের দূষিত স্ক্রিপ্টগুলি সন্নিবেশিত করেছে৷
এখন অন্য ট্যাবে খোলা সাইট A মনে রাখবেন। এই স্ক্রিপ্ট সাইট A-তে একটি অনুরোধ পাঠায় এবং এতে দূষিত ক্রিয়া চালায়। এই কারণে এটি 'ক্রস-সাইট' নামে পরিচিত।
2. অনুরোধ বোঝা
হ্যাকার স্ক্রিপ্ট ব্যবহারকারীর পক্ষ থেকে সাইট B থেকে সাইট A-তে একটি অনুরোধ পাঠায়। অবাঞ্ছিত দূষিত ক্রিয়া অ্যাডমিন পাসওয়ার্ড পরিবর্তন করা থেকে শুরু করে ব্যাঙ্ক অ্যাকাউন্টের বাইরে তহবিল স্থানান্তর করা পর্যন্ত যেকোনো কিছু হতে পারে!
3. ‘ফোরজি’কে বোঝা
অবশেষে, যেহেতু হ্যাকার সাইট A কে বোকা বানানোর জন্য ব্যবহারকারীর প্রমাণীকরণ ব্যবহার করে, এটি একটি 'জালিয়াতি'। এইভাবে নাম ‘ক্রস-সাইট রিকোয়েস্ট ফরজরি’।
সংক্ষেপে, হ্যাকার সাইট A কে মনে করে যে তাদের দূষিত নির্দেশটি প্রমাণীকৃত ব্যবহারকারীর কাছ থেকে পাঠানো একটি বৈধ অনুরোধ। কিন্তু সাইট B এর পক্ষে সাইট A কে অনুরোধ পাঠানো কিভাবে সম্ভব? আমরা পরবর্তী বিভাগে এটি কীভাবে ঘটে তার গভীরে যাব।
দ্রষ্টব্য: এই বিভাগটি প্রযুক্তিগত এবং অভিজ্ঞ ওয়ার্ডপ্রেস ব্যবহারকারী বা ডেভেলপারদের পূরণ করে। আপনি যদি এটি এড়িয়ে যেতে চান এবং সরাসরি আপনার সাইটে CSRF আক্রমণ প্রতিরোধে যেতে চান, তাহলে এগিয়ে যান ওয়ার্ডপ্রেস সাইটের মালিকদের জন্য CSRF প্রতিরোধমূলক ব্যবস্থা।
[শীর্ষে ফিরে যান ↑]
আপনার সাইটে WordPress CSRF দুর্বলতা কীভাবে ঘটেছে?
কীভাবে দুর্বলতা ঘটে তা ব্যাখ্যা করার জন্য, ব্যবহারকারীর ব্রাউজার এবং ওয়েবসাইট কীভাবে যোগাযোগ করে তা আমাদের বুঝতে হবে।
1. ব্রাউজার অনুরোধ বোঝা
এখানে, আমরা দুই ধরনের HTTP অনুরোধ এবং ব্রাউজার কুকি নিয়ে আলোচনা করব:
i. HTTP GET অনুরোধ
আপনি যখন একটি ওয়েবসাইট পরিদর্শন করেন, আপনি সেই ওয়েবসাইটের সার্ভারে একটি HTTP GET অনুরোধ পাঠান। এই অনুরোধটি সাইটের সামনের প্রান্তটি প্রদর্শন করার জন্য প্রয়োজনীয় ডেটার জন্য জিজ্ঞাসা করবে। ওয়েব সার্ভার সাড়া দেবে এবং অনুরোধ করা ডেটা পাঠাবে। তারপর, ওয়েবসাইটের বিষয়বস্তু আপনার ব্রাউজারে লোড হবে।
যখন একজন ব্যক্তি একটি সাইটে লগ ইন করা হয় না, তারা একটি অননুমোদিত ব্যবহারকারী. তাই যখন GET এবং POST অনুরোধ পাঠানো হয়, কোন কুকি ব্যবহার করা হয় না। এই দৃশ্যে কোন নিরাপত্তা সমস্যা নেই. কিন্তু যখন ব্যবহারকারী লগ ইন করে, তারা এখন একজন প্রমাণীকৃত ব্যবহারকারী।
ওয়েবসাইটটি এই ব্যবহারকারীকে চিনতে এবং পূরণ করতে কুকিজ ব্যবহার করে। এটি শুধুমাত্র সেই অনন্য আইডির সাথে প্রাসঙ্গিক ডেটা তৈরি করতে এই কুকিগুলি ব্যবহার করতে পারে। এটি তাদের সহজেই ব্যবহারকারীর লগইন করতে, ব্যবহারকারীর পছন্দ অনুযায়ী বিজ্ঞাপন প্রদর্শন করতে বা ব্যবহারকারীর পছন্দের পণ্য প্রদর্শন করতে সাহায্য করে।
ii. CSRF প্রক্রিয়া
এখন ফিরে আসছি কীভাবে একটি CSRF দুর্বলতা ঘটে৷ এই আক্রমণটি কার্যকর হওয়ার জন্য, হ্যাকারকে একটি প্রমাণীকৃত ব্যবহারকারী ব্যবহার করতে হবে যা কুকিজ ব্যবহার করে৷
আমরা একটি উদাহরণ দিয়ে এটি ব্যাখ্যা করব। এখানে, আমরা আপনাকে দেখাব কিভাবে একজন হ্যাকার একজন ব্যবহারকারীর অ্যাকাউন্টের নিয়ন্ত্রণ নিতে পারে এবং তারপর CSRF দুর্বলতা ব্যবহার করে আপনার ওয়েবসাইট হ্যাক করতে এটি ব্যবহার করতে পারে।
→ ব্যবহারকারীর পক্ষে কী ঘটে?
- একজন ব্যবহারকারী targetwebsite.com এ লগ ইন করেছেন৷ তাদের ব্রাউজারে।
- এরপর, হ্যাকার এই ব্যবহারকারীকে trickwebsite.com-এ ক্লিক করার জন্য প্রলুব্ধ করে তাদের একটি ইমেল পাঠানোর মাধ্যমে যা তাদের এই সাইটটিতে যেতে এবং তাদের অ্যাকাউন্টে $50 পেতে সাইন আপ করতে বলে। (এই লিঙ্কগুলি অন্যান্য দুর্বলতা ব্যবহার করে targetwebsite.com এও সন্নিবেশ করা যেতে পারে)
- আমরা অনুমান করতে যাচ্ছি যে ভুক্তভোগী এই ট্রিক ওয়েবসাইটটিকে বৈধ মনে করে এবং কেলেঙ্কারিতে পড়ে . এখানে, তারা তাদের বিশদ বিবরণ সহ একটি ফর্ম পূরণ করে এবং 'জমা দিন' এ ক্লিক করুন।
- trickwebsite.com-এ , হ্যাকার ইতিমধ্যেই এই 'সাবমিট' বোতামের পিছনে HTML কোড রেখেছে। ক্লিক করা হলে, এটি targetwebsite.com-এ একটি POST অনুরোধ পাঠাবে (যেখানে ব্যবহারকারী ইতিমধ্যেই লগ ইন করেছেন) এই ব্যবহারকারীর পক্ষ থেকে।
→ ওয়েবসাইটের পাশে কী ঘটে?
- কুকিজ ব্যবহার করে, targetwebsite.com ব্যবহারকারীকে (এবং ব্রাউজার) যাচাই করে এবং অনুরোধের অনুমতি দেয় . এই অনুরোধটি বৈধ মনে হবে কারণ এটি প্রমাণীকৃত ব্যবহারকারীর কাছ থেকে আসছে।
- কিন্তু পাঠানো POST অনুরোধে ক্ষতিকারক স্ক্রিপ্ট রয়েছে যা ওয়েবসাইটের ক্ষতি করতে পারে৷ উদাহরণস্বরূপ, স্ক্রিপ্টে বর্তমান অ্যাকাউন্টের পাসওয়ার্ড পরিবর্তন করে "newpassword123" করার জন্য একটি কমান্ড থাকতে পারে। .
- যখন targetwebsite.com দ্বারা অনুরোধটি গৃহীত হয় , কোড চলবে এবং পাসওয়ার্ড পরিবর্তন করবে। তারপর, হ্যাকার অ্যাকাউন্টে লগইন করতে সক্ষম হবে৷ নতুন পাসওয়ার্ড ব্যবহার করুন এবং সম্পূর্ণ নিয়ন্ত্রণ নিন।
- এরপর, হ্যাকার এখন ওয়েবসাইটে আরও আক্রমণ চালাতে পারে। এই ব্যবহারকারীকে প্রদত্ত বিশেষাধিকারের উপর নির্ভর করে, তারা targetwebsite.com এর অ্যাক্সেস করতে সক্ষম হতে পারে ডাটাবেস এবং কার্যকারিতার নিয়ন্ত্রণ নিন সেইসাথে।
CSRF আক্রমণ ব্যবহার করে হ্যাকার কী করতে পারে তার এটি একটি উদাহরণ। সঞ্চালিত হতে পারে যে অন্যান্য পরিস্থিতিতে প্রচুর আছে. কিন্তু ব্যবহারকারী এবং ওয়েবসাইট উভয়ই এই হ্যাক দ্বারা প্রভাবিত হবে।
[শীর্ষে ফিরে যান ↑]
কিভাবে একটি CSRF প্রতিরোধ করতে হয় একটি ওয়ার্ডপ্রেস ওয়েবসাইটে আক্রমণ?
ওয়ার্ডপ্রেস ওয়েবসাইটগুলি CSRF আক্রমণের সম্মুখীন হয় কারণ প্লাগইনগুলির দুর্বলতা রয়েছে যা এটি ঘটতে দেয়৷
PluginVulnerabilities.com-এর একটি সম্পূর্ণ প্রকাশের প্রতিবেদন অনুসারে, তারা চেক করা জনপ্রিয় প্লাগইনগুলির মধ্যে অনেকগুলি নিরাপত্তা সমস্যা ছিল যা ওয়েবসাইটগুলিকে CSRF আক্রমণের জন্য ঝুঁকিপূর্ণ করে তুলেছিল৷ CSRF হ্যাক প্রতিরোধ করতে, প্লাগইন ডেভেলপারদের কিছু নিরাপত্তা ব্যবস্থা বাস্তবায়ন করতে হবে। আমরা এই ব্যবস্থাগুলিকে সংক্ষেপে স্পর্শ করব এবং তারপরে আপনাকে বলব যে, একজন ওয়ার্ডপ্রেস সাইটের মালিক হিসাবে আপনি CSRF আক্রমণ বন্ধ করতে কী করতে পারেন৷
- প্লাগইন ডেভেলপারদের জন্য CSRF প্রতিরোধমূলক ব্যবস্থা
- ওয়ার্ডপ্রেস সাইটের মালিকদের জন্য CSRF প্রতিরোধমূলক ব্যবস্থা
i. প্লাগইন ডেভেলপারদের জন্য CSRF প্রতিরোধমূলক ব্যবস্থা
আপনি যদি একজন প্লাগইন ডেভেলপার হন, তাহলে এখানে কিছু ব্যবস্থা রয়েছে যা আপনি CSRF আক্রমণ প্রতিরোধে সাহায্য করতে পারেন:
1. CSRF বিরোধী টোকেন
একটি অ্যান্টি-সিএসআরএফ টোকেন একটি লুকানো মান যা নির্দিষ্ট ব্যবহারকারীর কুকিজ এবং অনুরোধের সাথে পাঠানো হয়। এটি এইভাবে কাজ করে:
- ওয়েব সার্ভার এই টোকেন তৈরি করে এবং একটি লুকানো ক্ষেত্র হিসাবে স্থাপন করা হয় ফর্মে।
- যখন ব্যবহারকারী ফর্মটি পূরণ করে এবং জমা দেয়, তখন টোকেনটি POST অনুরোধে অন্তর্ভুক্ত করা হয় .
- সার্ভারটি তুলনা করবে তৈরি করা টোকেন এবং ব্যবহারকারীর পাঠানো টোকেন।
যদি এটি মেলে, অনুরোধ বৈধ হবে. যদি এটি মেলে না, অনুরোধটি অবৈধ বলে গণ্য করা হয়। এটি সিএসআরএফ আক্রমণগুলিকে সংঘটিত হতে বাধা দেয়৷
একজন বিকাশকারী তাদের প্লাগইন তৈরি বা আপডেট করার সময় এই টোকেনগুলি যোগ করতে পারে৷
2. Nonces ব্যবহার করা
যদিও বিনিময়যোগ্যভাবে ব্যবহার করা হয়, অ্যান্টি-সিএসআরএফ টোকেন এবং ননসেস আলাদা। একটি ননস ভ্যালু (সংখ্যা একবার ব্যবহার করা হয়) একটি এককালীন পাসওয়ার্ডের মতো যা অনুরোধের জন্য তৈরি করা হয়৷
যখন একটি HTTP অনুরোধ জমা দেওয়া হয়, তখন অনুরোধটি যাচাই করার জন্য ননস তৈরি করা হয়। কিন্তু একবার ব্যবহার করলে, নন্সটি অবৈধ হয়ে যায় এবং ব্যবহারকারী একই ননস মান ব্যবহার করে আবার ফর্ম জমা দিতে পারে না।
3. একই-সাইট কুকিজ
একই কুকিজ ব্যবহার করে ক্রস-সাইট অনুরোধের কারণে CSRF আক্রমণ সম্ভব। একই-সাইট কুকি মানে একটি কুকি শুধুমাত্র তখনই পাঠানো যেতে পারে যখন অনুরোধটি একই ওয়েবসাইট থেকে করা হয় যেটি কুকি তৈরি করা হয়েছিল।
এই পদ্ধতির সমস্যা হল Chrome এবং Firefox এবং আরও কয়েকটি ব্রাউজার আশা করে, সমস্ত ব্রাউজার একই-সাইট কুকি সমর্থন করে না৷
এটি একটি অতিরিক্ত প্রতিরক্ষা স্তর হিসাবে ব্যবহার করা যেতে পারে তবে একা CSRF আক্রমণ প্রতিরোধ করতে ব্যবহার করা উচিত নয়৷
আমরা এই প্রতিরোধমূলক ব্যবস্থাগুলির আরও বিশদে যাব না কারণ তাদের প্রায় সবগুলিই আজকাল হ্যাকারদের দ্বারা বাইপাস করা যেতে পারে। হ্যাকাররা দিনে দিনে স্মার্ট হয়ে উঠছে এবং আমরা যে প্রতিরোধমূলক ব্যবস্থা গ্রহণ করি তা কাটিয়ে উঠতে নতুন কৌশল বিকাশ করছে।
এই CSRF আক্রমণ থেকে নিজেকে রক্ষা করার জন্য ওয়ার্ডপ্রেস সাইটের মালিক হিসাবে আপনি কী সক্রিয় এবং প্রতিক্রিয়াশীল পদক্ষেপ নিতে পারেন সেদিকে আমরা এগিয়ে যাব।
[শীর্ষে ফিরে যান ↑]
ii. ওয়ার্ডপ্রেস সাইটের মালিকদের জন্য CSRF প্রতিরোধমূলক ব্যবস্থা
আমরা উপরে উল্লিখিত হিসাবে, প্লাগইন নির্মাতাদের তাদের অ্যাপ্লিকেশন নিরাপদ করতে ব্যবস্থা নেওয়া উচিত। কিন্তু যদি তারা না করে? আপনি কিভাবে বুঝবেন কোন প্লাগইনগুলি সিএসআরএফ-বিরোধী ব্যবস্থা প্রয়োগ করেছে?
ওয়ার্ডপ্রেস খুব কমই তার নিজের উপর দাঁড়ায়। প্লাগইনগুলি একটি ওয়েবসাইটের কার্যকারিতা এবং ডিজাইনে গুরুত্বপূর্ণ ভূমিকা পালন করে৷৷ সুতরাং যখন ওয়ার্ডপ্রেস সাইটগুলির প্লাগইনগুলির প্রয়োজন হয়, আপনি কি অন্ধভাবে বিশ্বাস করেন যে এই প্লাগইনগুলি যথাযথ নিরাপত্তা ব্যবস্থা গ্রহণ করেছে?
না! ওয়েবসাইট মালিকদের সতর্ক থাকতে হবে এবং প্লাগইন ডেভেলপাররা না করলেও তাদের নিজস্ব নিরাপত্তা ব্যবস্থা নিতে হবে।
CSRF আক্রমণ থেকে নিজেকে রক্ষা করতে আপনি যা করতে পারেন তা এখানে:
1. অ্যান্টি-CSRF প্লাগইন ব্যবহার করুন
ওয়ার্ডপ্রেস রিপোজিটরিতে এমন অনেক প্লাগইন নেই যা CSRF আক্রমণের জন্য নিবেদিত। এখানে আমরা যে দুটি খুঁজে পেয়েছি:
(A) মন্তব্য ফর্ম CSRF সুরক্ষা – এই ওয়ার্ডপ্রেস প্লাগইন আপনার মন্তব্য ফর্মে একটি অ্যান্টি-CSRF টোকেন যোগ করে। টোকেনের একটি অনন্য মান রয়েছে যা গোপন রাখা হয় এবং অনুমান করা অবাস্তব। সুতরাং একজন ব্যবহারকারী যদি একটি ফর্ম জমা দেন, তবে গোপন টোকেনটি তার সাথে জমা দেওয়া হবে। শুধুমাত্র যদি এটি মেলে, ফর্ম জমা দেওয়ার অনুরোধ গ্রহণ করা হবে।
(B) একই-সাইট কুকিজ – এই প্লাগইনটি সমর্থিত ব্রাউজারগুলিতে কাজ করে যাতে Chrome, Firefox, IE এবং Edge অন্তর্ভুক্ত থাকে। এটি নিশ্চিত করে যে যখন HTTP অনুরোধগুলি জমা দেওয়া হয়, যে কুকিগুলি পাঠানো হয় সেগুলি একই সাইট থেকে। এটি যেকোনো ক্রস-সাইট অনুরোধকে ব্লক করে এবং তাই, সমস্ত CSRF আক্রমণকে ব্লক করে।
2. একটি অল-রাউন্ড ওয়ার্ডপ্রেস সিকিউরিটি প্লাগইন ইনস্টল করুন
প্রচুর নিরাপত্তা প্লাগইন আছে৷ ওয়ার্ডপ্রেস ওয়েবসাইটের জন্য উপলব্ধ। এই প্লাগইনগুলি আপনার সাইটকে CSRF ধরনের সহ সব ধরনের হ্যাকার থেকে নিরাপদ রাখতে পারে। কিন্তু সমস্ত নিরাপত্তা প্লাগইন আপনাকে একই স্তরের নিরাপত্তা প্রদান করে না৷
৷এছাড়াও, CSRF আক্রমণ খুঁজে পাওয়া কঠিন। হ্যাকাররা এটিকে সাইটের মালিক এবং ব্যবহারকারীর কাছ থেকে ভালভাবে ছদ্মবেশ ধারণ করে, তাই এটি অলক্ষিত হয়। আপনার একটি প্লাগইন দরকার যা এই ধরনের ছদ্মবেশী ম্যালওয়্যার সনাক্ত করতে সক্ষম হবে৷
৷একটি নিরাপত্তা প্লাগইন নির্বাচন করার সময়, CSRF আক্রমণ থেকে সুরক্ষিত থাকার জন্য আপনাকে এটি নিম্নলিখিতগুলি করে তা নিশ্চিত করতে হবে:
- নিয়মিতভাবে স্ক্যান করুন কোনো ক্ষতিকারক স্ক্রিপ্টের জন্য আপনার ওয়েবসাইট।
- সমস্ত ফাইল এবং ডাটাবেসের মাধ্যমে চিরুনি আপনার ওয়েবসাইটের।
- এর যে কোনো ধরনের ম্যালওয়্যার সনাক্ত করার ক্ষমতা আছে৷ - নতুন, লুকানো বা ছদ্মবেশী সহ। (কিছু প্লাগইন শুধুমাত্র ইতিমধ্যেই আবিষ্কৃত ম্যালওয়ারের জন্য অনুসন্ধান করে৷) ৷
- আপনাকে সতর্ক করে যদি আপনার ওয়েবসাইটে কোনো সন্দেহজনক কার্যকলাপ থাকে।
- আপনাকে একটি স্বাধীন ড্যাশবোর্ড দেয় যাতে কোনো হ্যাকার আপনাকে আপনার নিজস্ব অ্যাডমিন অ্যাকাউন্ট থেকে লক করে দিলেও আপনি আপনার ওয়েবসাইট পরিষ্কার করতে পারেন।
একটি প্লাগইন যা আপনাকে এই ধরনের সুরক্ষা এবং বৈশিষ্ট্য দেয় তা হল MalCare। একবার আপনি আপনার ওয়ার্ডপ্রেস ওয়েবসাইটে প্লাগইনটি ইনস্টল করলে, এটি আপনাকে যেকোনো CSRF আক্রমণ থেকে পরিত্রাণ পেতে সক্ষম করবে। এছাড়াও এটি ওয়ার্ডপ্রেস ম্যালওয়্যার থেকে মুক্তি পাবে হ্যাকারের সময় আপনার সাইটে হ্যাকার যোগ করে থাকতে পারে।
আপনার ওয়েবসাইট একটি সক্রিয় ফায়ারওয়াল দিয়ে সুরক্ষিত থাকবে যা দূষিত IP ঠিকানা এবং খারাপ বটগুলিকে আপনার ওয়েবসাইট পরিদর্শন করা থেকে ব্লক করবে৷
যদি কোনো হ্যাকার একটি দূষিত ক্রস-সাইট অনুরোধ ব্যবহার করে আপনার সাইট হ্যাক করতে পরিচালনা করে, এই WordPress নিরাপত্তা প্লাগইন আপনাকে অবিলম্বে সতর্ক করবে। তারপরে আপনি একই প্লাগইন ব্যবহার করে অবিলম্বে ব্যবস্থা নিতে পারেন।
3. আপনার ওয়েবসাইটকে শক্ত করুন
ওয়ার্ডপ্রেস সুপারিশ করে যে আপনি আপনার ওয়েবসাইটকে শক্ত করার জন্য কিছু ব্যবস্থা গ্রহণ করুন। এটি হ্যাকারদের পক্ষে প্রবেশ করা অত্যন্ত কঠিন করে তুলবে। আমরা সংক্ষিপ্তভাবে কয়েকটি ব্যবস্থা কভার করেছি কিন্তু আমরা ওয়ার্ডপ্রেস হার্ডেনিংয়ের বিস্তৃত নির্দেশিকা পড়ার পরামর্শ দিই .
যেহেতু এই পয়েন্টগুলির মধ্যে অনেকগুলি কিছুটা প্রযুক্তিগত, বিশদ নির্দেশিকা আপনাকে এটি সম্পর্কে আরও ভালভাবে বুঝতে সাহায্য করবে। CSRF আক্রমণের ফলে সৃষ্ট ক্ষয়ক্ষতি প্রতিরোধ বা হ্রাস করার জন্য এখানে কয়েকটি কঠোর ব্যবস্থা রয়েছে:
ক. দুই-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করুন
দ্বি-ফ্যাক্টর প্রমাণীকরণ থাকা ব্যবহারকারীদের যাচাইকরণের একটি অতিরিক্ত স্তর যুক্ত করে। একজন ব্যবহারকারীকে তাদের লগইন শংসাপত্র লিখতে হবে, তারপরে একটি দ্বিতীয় পাসওয়ার্ড প্রয়োজন হবে। এটি ব্যবহারকারীর নিবন্ধিত ইমেল বা ফোন নম্বরে পাঠানো একটি এককালীন পাসওয়ার্ড হতে পারে। এটি Google প্রমাণীকরণকারীর মতো একটি অ্যাপ দ্বারা তৈরি একটি প্রমাণীকরণ নম্বরও হতে পারে৷
খ. অবিশ্বস্ত ফোল্ডারে PHP এক্সিকিউশন ব্লক করুন
যদি একটি CSRF আক্রমণ একজন হ্যাকারকে আপনার ওয়েবসাইটের ফাইলগুলিতে অ্যাক্সেস পেতে সক্ষম করে, তাহলে তারা ক্ষতিকারক কাজগুলি সম্পাদন করতে PHP ফাংশনগুলি চালাতে পারে৷ (পিএইচপি ফাংশন একটি প্রোগ্রামে লেখা কোডের একটি ব্লক)। আপনি এমন জায়গায় পিএইচপি এক্সিকিউশন নিষ্ক্রিয় করতে পারেন যেখানে এটি ঘটতে হবে না।
গ. ফাইল এডিটর নিষ্ক্রিয় করুন
যদি কোনো হ্যাকার আপনার ওয়ার্ডপ্রেস অ্যাডমিনিস্ট্রেটর অ্যাকাউন্টে অ্যাক্সেস পায়, তাহলে তারা আপনার ওয়েবসাইটের সম্পূর্ণ নিয়ন্ত্রণ নিতে পারে। ড্যাশবোর্ডে, তারা আপনার প্লাগইন বা থিমের অধীনে "সম্পাদক" অ্যাক্সেস করতে পারে। এখানে, তারা তাদের বিষয়বস্তু প্রদর্শন করতে, আপনার সাইটকে বিকৃত করতে, আপনার ব্যবহারকারীদের এসইও স্প্যাম করতে, ইত্যাদির জন্য তাদের নিজস্ব স্ক্রিপ্টগুলি সম্পাদনা বা আপলোড করতে পারে।
d. নিরাপত্তা কী পরিবর্তন করুন
আপনি হয়তো লক্ষ্য করেছেন যে আপনি আপনার ওয়ার্ডপ্রেস অ্যাকাউন্ট অ্যাক্সেস করতে চাইলে প্রতিবার আপনার লগইন শংসাপত্রগুলি প্রবেশ করতে হবে না। এটি ইতিমধ্যেই মনোনীত ক্ষেত্রগুলিতে জনবহুল। এই তথ্য হ্যাকারদের থেকে নিরাপদ তা নিশ্চিত করার জন্য, ওয়ার্ডপ্রেস নিরাপত্তা কী ব্যবহার করে যা এই ডেটা এনক্রিপ্ট করে এবং সংরক্ষণ করে। যদি কোনো হ্যাকার CSRF আক্রমণ ব্যবহার করে আপনার সাইটে প্রবেশ করে, তারা এই তথ্যে অ্যাক্সেস পেতে পারে . তারপরে তারা এটিকে অন্য কিছুতে পরিবর্তন করতে পারে এবং আপনার ওয়েবসাইটের অ্যাডমিন অ্যাকাউন্টে লগ ইন করার জন্য যখন তারা চায় তখন এটি ব্যবহার করতে পারে।
- আমাদের প্রস্তাবিত নির্দেশিকায় ব্যাখ্যা করা অনুযায়ী আপনি ম্যানুয়ালি এই শক্ত করার ব্যবস্থাগুলি প্রয়োগ করতে পারেন। অথবা আপনি ম্যালকয়ার ব্যবহার করতে পারেন সেগুলিকে শুধুমাত্র কয়েকটি ক্লিকে বাস্তবায়ন করতে৷
4. সমস্ত অব্যবহৃত থিম এবং প্লাগইন মুছুন
আপনি আপনার ওয়েবসাইটে যত বেশি প্লাগইন এবং থিম ইনস্টল করেছেন, হ্যাকারদের তত বেশি সুযোগ কাজে লাগাতে হবে। কোন অব্যবহৃত প্লাগইন এবং থিম মুছে ফেলা এবং শুধুমাত্র আপনি যেগুলি ব্যবহার করেন তা রাখাই ভাল৷
এগুলি ছাড়াও, আপনি আপনার সাইটটিকে HTTP থেকে HTTPS-এ সরানো, একটি সুরক্ষা প্লাগইন ইনস্টল করা এবং লগইন পৃষ্ঠাটিকে সুরক্ষিত করার মতো আরও কিছু সুরক্ষা ব্যবস্থাও নিতে পারেন৷
[শীর্ষে ফিরে যান ↑]
চূড়ান্ত চিন্তা
CSRF আক্রমণ ব্যবহারকারী এবং ওয়েবসাইট উভয়ের জন্যই মারাত্মক প্রভাব ফেলে।
যদি কোনো হ্যাকার HTTP অনুরোধের মাধ্যমে তাদের স্ক্রিপ্ট চালাতে সফল হয়, তাহলে তারা আপনার ওয়েবসাইট দখল করতে পারে। এর পরে, তারা কী করতে পারে তা বলার অপেক্ষা রাখে না। তারা তাদের নিজস্ব প্রচার প্রদর্শন বা অবৈধ পণ্য বা ওষুধ বিক্রি করতে আপনার ওয়েবসাইটকে বিকৃত করতে পারে। তারা আপনার ওয়েবসাইটের দর্শকদের তাদের নিজস্ব ওয়েবসাইটেও পুনঃনির্দেশ করতে পারে।
এই সাইটগুলি সাধারণত প্রাপ্তবয়স্কদের সাইট হবে, যেগুলি অবৈধ পণ্য বিক্রি করে, অথবা যেগুলি ম্যালওয়্যার ডাউনলোড করার জন্য দর্শকদের প্রতারিত করে৷
- একজন ওয়েবসাইটের মালিক হিসাবে, এই আক্রমণগুলির বিরুদ্ধে আপনি সুরক্ষিত থাকার জন্য আপনাকে ব্যবস্থা নিতে হবে৷ আমরা আপনাকে একটি নিরাপত্তা প্লাগইন রাখতে পরামর্শ দিই যেমন MalCare আপনার ওয়ার্ডপ্রেস সাইটে সক্রিয় কারণ এটি আপনাকে সর্বাত্মক সুরক্ষা প্রদান করবে।
- আমরা ওয়েবসাইট শক্ত করার ব্যবস্থা বাস্তবায়নের সুপারিশ করি যাতে হ্যাকারদের প্রবেশ করা কঠিন হয়।
- শেষে, প্লাগইন এবং থিম ব্যবহার করার সময় সতর্কতা অবলম্বন করুন। বিশ্বস্ত থিম এবং প্লাগইন ইনস্টল করুন ওয়ার্ডপ্রেস রিপোজিটরি বা থিমফরেস্ট এবং কোডক্যানিয়নের মতো মার্কেটপ্লেস থেকে।
আমরা নিশ্চিত যে একবার আপনি আপনার ওয়ার্ডপ্রেস ওয়েবসাইটে এই ব্যবস্থাগুলি বাস্তবায়ন করলে, আপনি হ্যাকারদের বিরুদ্ধে নিরাপদ থাকবেন!
MalCare দিয়ে আপনার ওয়ার্ডপ্রেস সাইট রক্ষা করুন!
