ওয়ার্ডপ্রেসে X-XSS HTTP নিরাপত্তা শিরোনাম কিভাবে সেট আপ করবেন?

আপনার ওয়েবসাইট কি ধীর হয়ে গেছে এবং আপনার ট্রাফিক কোন কারণ ছাড়াই কমে গেছে? আপনার ওয়েবসাইট কি অবাঞ্ছিত বিজ্ঞাপন প্রদর্শন করছে? আপনি কি পপ-আপগুলি দেখছেন যা আপনি সন্নিবেশ করেননি? হয়তো আপনার ওয়ার্ডপ্রেসে এক্স-এক্সএসএস-সুরক্ষা দরকার।

এটি আপনার ওয়ার্ডপ্রেস সাইটে XSS আক্রমণের ফলাফল হতে পারে। এই আক্রমণগুলি বেশ সাধারণ কিন্তু তাদের একটি বিধ্বংসী প্রভাব রয়েছে৷

CVE বিবরণ 2009 সাল থেকে 9,903টি বড় XSS আক্রমণ রেকর্ড করেছে৷ কিন্তু এই আক্রমণগুলির মধ্যে কতগুলি রিপোর্ট করা হয়নি তা বলা নেই৷

হ্যাকাররা XSS ব্যবহার করে ডেটা চুরি করে, তাদের নিজস্ব বিজ্ঞাপন প্রদর্শন করে (সাধারণত বেআইনি ওষুধ বা প্রাপ্তবয়স্কদের বিষয়বস্তু), দূষিত কার্যকলাপের একটি দীর্ঘ তালিকার মধ্যে আপনার গ্রাহকদের প্রতারণা করে।

কিন্তু আপনি উদ্বেগ বন্ধ করতে পারেন কারণ XSS এর বিরুদ্ধে আপনার ওয়েবসাইটকে সহজেই রক্ষা করার উপায় রয়েছে। আজ, আমরা কিভাবে ওয়ার্ডপ্রেস এ X-XSS সুরক্ষা শিরোনাম যোগ করতে হয় তা দেখে নিই যেহেতু এটি জোরপূর্বক যেকোনো XSS প্রচেষ্টাকে ব্লক করবে।

এই প্রতিক্রিয়া শিরোনামগুলি কী এবং কীভাবে সেগুলি প্রয়োগ করা যায় তা আপনি শিখবেন। এটি পোস্ট করুন, আমরা আপনাকে আরও কিছু ওয়ার্ডপ্রেস নিরাপত্তা টিপস দেব যাতে আপনার ওয়ার্ডপ্রেস ওয়েবসাইটকে XSS এবং অন্য কোনো আক্রমণের বিরুদ্ধে শক্ত করে তুলতে!

TL;DR: আমাদের অল-ইন-ওয়ান ম্যালকেয়ার সিকিউরিটি সলিউশনের মাধ্যমে আপনার ওয়ার্ডপ্রেস ওয়েবসাইটকে XSS আক্রমণ এবং অন্য যেকোনো ধরনের ম্যালওয়্যার থেকে রক্ষা করুন। আপনার ওয়ার্ডপ্রেস ওয়েবসাইটে প্লাগইনটি ইনস্টল করুন এবং নিশ্চিন্ত থাকুন যে কোনো দূষিত আক্রমণ থেকে রক্ষা করার জন্য আপনার সাইট নিয়মিত পর্যবেক্ষণ এবং স্ক্যান করা হয়।

ওয়ার্ডপ্রেসে XSS (ক্রস-সাইট স্ক্রিপ্টিং) কি?

ক্রস-সাইট স্ক্রিপ্টিং (XSS) হল এক ধরনের ইনজেকশন আক্রমণ যেখানে হ্যাকাররা নিরাপত্তা দুর্বলতাকে কাজে লাগায় যা একটি ওয়েবসাইটে ব্যবহারকারীর ইনপুট থেকে উদ্ভূত হয়। একটি ব্যবহারকারীর ইনপুট এমন কোনো এলাকা হতে পারে যা ওয়েবসাইট ব্যবহারকারীর কাছ থেকে ডেটা গ্রহণ করে যেমন একটি সাইট অনুসন্ধান বার, একটি মন্তব্য বিভাগ, একটি যোগাযোগ ফর্ম, বা একটি লগইন ক্ষেত্র৷

ব্যবহারকারীরা বিভিন্ন উপায়ে এই ক্ষেত্রগুলিতে কী ধরণের তথ্য প্রবেশ করতে পারে তার সুবিধা তারা নেয়। সুতরাং, বিভিন্ন ধরণের ক্রস-স্ক্রিপ্টিং আক্রমণ রয়েছে। এখানে, আমরা দুটি সবচেয়ে সাধারণ XSS আক্রমণের বিস্তারিত বর্ণনা করব:

সংরক্ষিত বা ক্রমাগত XSS আক্রমণ

এই ধরনের আক্রমণ একটি ওয়েবসাইটের দর্শকদের লক্ষ্য করে। চলুন দেখে নেওয়া যাক এটি কীভাবে হয়।

ধরা যাক exampleite.com ব্লগ পোস্টে মন্তব্যের আকারে তাদের ওয়েবসাইটে ব্যবহারকারীর ইনপুট গ্রহণ করে। একজন দর্শক তাদের চিন্তাভাবনা শেয়ার করতে পারেন এবং একটি পোস্টে মন্তব্য রেখে প্রশ্ন জিজ্ঞাসা করতে পারেন। মন্তব্য জমা দেওয়ার পরে, এটি ডাটাবেসে পাঠানো হয় এবং সংরক্ষণ করা হয়।

সাধারণত, ডাটাবেসে পাঠানোর আগে ডেটা যাচাই করার জন্য এই মন্তব্য ক্ষেত্রের কনফিগারেশন থাকা উচিত।

কিন্তু কনফিগারেশন সঠিক না হলে, এটি একটি নিয়মিত পাঠ্য মন্তব্য এবং কোডের একটি লাইনের মধ্যে পার্থক্য করতে সক্ষম হবে না৷

সুতরাং, ধরা যাক একজন হ্যাকার এই সাইটের মন্তব্য বিভাগে যে কোনো ইনপুট গ্রহণ করে তা খুঁজে বের করেছে। তারা একটি জাভাস্ক্রিপ্ট কোড লিখতে পারে কিন্তু আউটপুট একটি নিয়মিত মন্তব্যের মত দেখাবে।

ওয়েবসাইটের মালিক যা লক্ষ্য করতে পারেন না তা হল হ্যাকার একটি "আমাকে ক্লিক করুন" বোতামটিও প্রবেশ করতে সক্ষম, যা আদর্শভাবে অনুমোদিত নয়৷

এরপর, ওয়েবসাইটের একজন নিয়মিত ভিজিটর (লক্ষ্য) এই পৃষ্ঠায় আসে। এই ব্যবহারকারী বোতামে ক্লিক করলে, ক্ষতিকারক কোডটি চলবে এবং দর্শকের ব্রাউজারকে সংক্রমিত করবে। হ্যাকার তখন ভিজিটরের ব্রাউজার কুকিজ থেকে ডেটা বের করতে সক্ষম হবে।

কুকিজ সব ধরনের তথ্য যেমন সঞ্চিত লগইন শংসাপত্র, ক্রেডিট কার্ড তথ্য, বা ব্যক্তিগত ডেটা সঞ্চয় করে। আপনি যখন একটি ওয়েবসাইটে লগ ইন করবেন, তখন আপনি একটি পপ-আপ দেখতে পাবেন, যাতে আপনি ব্রাউজারটিকে পাসওয়ার্ড মনে রাখতে চান কিনা তা জিজ্ঞাসা করবেন:

এখন একজন নিয়মিত ব্যবহারকারী (টার্গেট) সাধারণত একটি ব্রাউজারে একাধিক ট্যাব খোলা থাকে যেমন Facebook, ইমেল, একটি শপিং সাইট, একটি কাজের ওয়েবসাইট, ইউটিউব, ইত্যাদি৷ যদি একজন হ্যাকার একটি XSS আক্রমণ চালাতে সক্ষম হয় তবে তারা চুরি করবে৷ সব সাইটের কুকি ব্রাউজারে খোলে। এই কারণে এটিকে 'ক্রস-সাইট' বলা হয়। তারা এই তথ্য ব্যবহার করে গ্রাহককে প্রতারণা করতে বা বড় আক্রমণ চালাতে।

যদিও এই আক্রমণ আপনার ওয়েবসাইটকে সরাসরি প্রভাবিত করে না, তবে এর মারাত্মক প্রতিক্রিয়া রয়েছে। এটা বিপদে আপনার দর্শকদের প্রত্যেক এক রাখে. এছাড়াও, Google দ্রুত আপনার সাইটটিকে কালো তালিকাভুক্ত করবে এবং আপনার ওয়েব হোস্ট আপনার হোস্টিং অ্যাকাউন্ট স্থগিত করবে৷

প্রতিফলিত বা অ-স্থায়ী XSS আক্রমণ

এই আক্রমণে, হ্যাকাররা অ্যাক্সেস পেতে ওয়েবসাইটটিকেই লক্ষ্য করে। আসুন আপনাকে দেখাই কিভাবে এটি কাজ করে:

বলুন আপনার ওয়েবসাইটে একটি সার্চ ট্যাব আছে যেখানে গ্রাহকরা তারা যা চান তা দ্রুত খুঁজে পেতে পারেন। এই ট্যাবে আদর্শভাবে শুধুমাত্র বর্ণমালার অক্ষর গ্রহণ করা উচিত। কিন্তু এটি সঠিকভাবে কনফিগার করা হয়নি এবং এটি বিশেষ অক্ষর এবং সংখ্যাও গ্রহণ করে। সাইটের সার্চ ইঞ্জিন ব্যবহারকারীর টেক্সট ইনপুট এবং হ্যাকারের দ্বারা ক্ষতিকারক কোড ইনপুটের মধ্যে পার্থক্য করতে সক্ষম হবে না৷

একবার ঢোকানো হলে, দূষিত কোডটি ওয়েবসাইটের ডাটাবেসে ভ্রমণ করে এবং কার্যকর করা হয়। যখন এটি ঘটে, হ্যাকার ওয়েবসাইটে অ্যাক্সেস লাভ করে এবং তাদের দূষিত কাজ চালানো শুরু করতে পারে! আরও খারাপ, তারা DDoS আক্রমণের মতো বড় হ্যাক আক্রমণ শুরু করতে আপনার ওয়েবসাইট ব্যবহার করতে পারে।

এখন আমরা জানি XSS আক্রমণ কতটা মারাত্মক হতে পারে এবং কেন আমাদের ওয়েবসাইটগুলিকে এটি থেকে রক্ষা করতে হবে। তাহলে আসুন জেনে নিন কেন HTTP নিরাপত্তা শিরোনাম XSS আক্রমণ প্রতিরোধ করে।

HTTP নিরাপত্তা শিরোনাম কি?

HTTP এর অর্থ হল হাইপারটেক্সট ট্রান্সফার প্রোটোকল এবং ইন্টারনেটের মাধ্যমে বার্তাগুলি কীভাবে ফরম্যাট করা এবং প্রেরণ করা হয় তা সংজ্ঞায়িত করে৷

আধুনিক ওয়েব ব্রাউজার যেমন গুগল ক্রোম বা মজিলা ফায়ারফক্সে HTTP প্রতিক্রিয়া শিরোনাম এনকোড করা আছে। এই HTTP সুরক্ষিত শিরোনামগুলি সাধারণত মেটাডেটা নিয়ে গঠিত - যেমন স্থিতি ত্রুটি কোড, বিষয়বস্তু-এনকোডিং, সামগ্রী নিরাপত্তা এবং ক্যাশে নিয়ন্ত্রণ৷

প্রতিক্রিয়া শিরোনাম ব্রাউজারকে নির্দেশ দেয় যে এটি একটি ওয়েবসাইটের সাথে ইন্টারঅ্যাক্ট করার সময় এটি কীভাবে কাজ করবে। উদাহরণস্বরূপ, একজন ব্যবহারকারী গুগল ক্রোম খোলে এবং একটি ওয়েবসাইট পরিদর্শন করে, ব্রাউজার, ওয়েবসাইট এবং এর ওয়েব সার্ভার কীভাবে যোগাযোগ করে তা নির্ধারণে HTTP শিরোনাম এখানে একটি ভূমিকা পালন করে।

আমরা আপনাকে এটি আরও ভালভাবে বুঝতে সাহায্য করার জন্য এরকম একটি HTTP প্রতিক্রিয়া শিরোনাম ব্যাখ্যা করতে যাচ্ছি৷

আপনি যদি আপনার ওয়েবসাইটে একটি SSL বা TLS শংসাপত্র সেট আপ করে থাকেন তবে এর অর্থ হল আপনার ওয়েবসাইটটি শুধুমাত্র HTTPS এর মাধ্যমে অ্যাক্সেসযোগ্য (যা একটি নিরাপদ সংযোগ যা ডেটা স্থানান্তরিত হওয়ার সাথে সাথে এনক্রিপ্ট করে)। কিন্তু হ্যাকাররা HTTP এর মাধ্যমে আপনার সাইট অ্যাক্সেস করার উপায় খুঁজে পেতে পারে। ইন্টারনেটে বেশ কিছু স্ক্রিপ্ট সহজে পাওয়া যায় যা একজন হ্যাকার HTTP এর মাধ্যমে আপনার সাইট খুলতে এবং ডেটা চুরি করতে ব্যবহার করতে পারে।

আপনার SSL শংসাপত্রকে শক্তিশালী করতে এবং আপনার সাইটটি কখনই HTTP-র মাধ্যমে অ্যাক্সেস করা হয়নি তা নিশ্চিত করতে, আপনি 'কঠোর পরিবহন নিরাপত্তা' নামে একটি প্রতিক্রিয়া শিরোনাম যোগ করতে পারেন। এটি সাফারি, ক্রোম এবং ফায়ারফক্সের মতো সমস্ত সাম্প্রতিক ব্রাউজারকে শুধুমাত্র HTTPS-এর মাধ্যমে আপনার ওয়েবসাইটের সাথে যোগাযোগ করতে বাধ্য করবে। এটি কন্টেন্ট স্নিফিং এবং প্যাকেট স্নিফিং এর সম্ভাবনা দূর করে।

যদি কোনো আক্রমণকারী HTTP এর মাধ্যমে আপনার সাইট খোলার চেষ্টা করে, তাহলে ব্রাউজারটি পৃষ্ঠাটি লোড করবে না।

আপনি আপনার ওয়ার্ডপ্রেস ওয়েবসাইটে যোগ করতে পারেন বিভিন্ন HTTP নিরাপত্তা শিরোনাম আছে. আজ, আমরা X-XSS সুরক্ষার উপর ফোকাস করছি যা ক্রস-সাইট স্ক্রিপ্টিং প্রশমিত/প্রতিরোধ করবে।

এইচটিটিপি সিকিউরিটি হেডারে কিভাবে X-XSS সুরক্ষা সেট আপ করবেন

HTTP নিরাপত্তা শিরোনাম সেট আপ করার জন্য, আপনাকে .htaccess ফাইলটি অ্যাক্সেস এবং সম্পাদনা করতে হবে এবং কোডের লাইন যোগ করতে হবে। যে কোনো সময় ওয়ার্ডপ্রেস ফাইল পরিবর্তন করা একটি উচ্চ ঝুঁকি বহন করে। একটি সামান্য ভুল পদক্ষেপ একটি সম্পূর্ণ ভাঙ্গা ওয়েবসাইট হতে পারে.

তাই, আমরা একটি সম্পূর্ণ ব্যাকআপ নেওয়ার সুপারিশ করছি আপনার ওয়ার্ডপ্রেস সাইটের. আপনি কয়েক মিনিটের মধ্যে আপনার ওয়েবসাইটের সম্পূর্ণ ব্যাকআপ নিতে BlogVault প্লাগইন ব্যবহার করতে পারেন। এই প্রক্রিয়া চলাকালীন কিছু ভুল হলে, আপনি দ্রুত আপনার ওয়েবসাইটকে স্বাভাবিক অবস্থায় ফিরিয়ে আনতে পারবেন।

ধাপ 1:শিরোনাম আছে কিনা তা পরীক্ষা করতে আপনার ওয়েবসাইট স্ক্যান করুন

আমরা আপনার ওয়েবসাইটে ইতিমধ্যেই হেডার সক্ষম আছে কিনা তা পরীক্ষা করার পরামর্শ দিই। আপনি আপনার পরিচালিত ওয়ার্ডপ্রেস হোস্টের সাথে চেক করতে পারেন বা securityheaders.com এর মতো ওয়েবসাইট ব্যবহার করতে পারেন।

আপনার ওয়েবসাইটের URL লিখুন এবং এখনই স্ক্যান করুন। আপনি এরকম একটি প্রতিবেদন দেখতে পাবেন:

আমরা নিশ্চিত হতে পারি যে কোন X-XSS সুরক্ষা শিরোনাম সেট নেই৷

দ্রষ্টব্য:বেশিরভাগ ব্রাউজারে ডিফল্টরূপে X-XSS সুরক্ষা সক্রিয় থাকে৷ কিন্তু ওয়ার্ডপ্রেসে এই নিরাপত্তা শিরোনাম যোগ করলে ব্রাউজারকে XSS হ্যাক প্রচেষ্টা ব্লক করার নির্দেশ দেওয়া হবে।

ধাপ 2:আপনার WordPress .htaccess ফাইল অ্যাক্সেস করুন

আপনার ওয়ার্ডপ্রেস হোস্টিং অ্যাকাউন্টে লগ ইন করুন। এখানে, cPanel> File Manager-এ যান।

ভিতরে, আপনি ফোল্ডারগুলির একটি তালিকা পাবেন। ডান প্যানেলে, public_html সনাক্ত করুন৷ ফোল্ডার আপনি এখানে .htaccess ফাইলটি পাবেন।

টিপ:আপনি যদি .htaccess ফাইলটি দেখতে না পান তবে সেটিংসে যান এবং "লুকানো ফাইলগুলি দেখান" নির্বাচন করুন৷

ধাপ 3:ওয়ার্ডপ্রেস সিকিউরিটি হেডার প্রবেশ করান

এই ফাইলটি সম্পাদনা করতে, কেবল এটিতে ডান-ক্লিক করুন এবং আপনি এটি সম্পাদনা করার বিকল্পটি দেখতে পাবেন।

আপনার .htaccess ফাইলের শেষে কোডের নিম্নলিখিত লাইন যোগ করুন:

হেডার সেট X-XSS-সুরক্ষা “1; mode=block”

ফাইল সংরক্ষণ করুন।

পদক্ষেপ 4:HTTP প্রতিক্রিয়া শিরোনাম কাজ করে কিনা তা পরীক্ষা করুন

শিরোনামটি কাজ করছে কিনা তা পরীক্ষা করতে আপনার সাইট স্ক্যান করতে আমরা নিরাপত্তা হেডারে যাওয়ার পরামর্শ দিই৷

এবং এটাই. আপনি XSS আক্রমণগুলিকে ব্লক করতে সুরক্ষা শিরোনাম প্রয়োগ করে আপনার ওয়েবসাইটে সফলভাবে সুরক্ষার একটি স্তর যুক্ত করেছেন৷

উপসংহার:সমস্ত আক্রমণের বিরুদ্ধে সুরক্ষা

এই ওয়ার্ডপ্রেস নিরাপত্তা শিরোনাম প্রয়োগ করার পরে, আমরা নিশ্চিত যে আপনার সাইট এখন XSS আক্রমণ থেকে নিরাপদ। কিন্তু XSS নিয়ে চিন্তা করার একমাত্র দুর্বলতা নয়। আপনার ওয়েবসাইটটি এমন একটি ডিজিটাল জগতে থাকে যেখানে এটি হ্যাক এবং ম্যালওয়্যার সংক্রমণের মতো ঝুঁকির প্রবাহের সম্মুখীন হয়৷

হ্যাক প্রচেষ্টা ব্লক করতে এবং আপনার ওয়েবসাইট সুরক্ষিত রাখতে আপনাকে যথেষ্ট নিরাপত্তা ব্যবস্থা নিতে হবে। আপনার ওয়ার্ডপ্রেস সাইটের জন্য সর্বাত্মক সুরক্ষা পেতে MalCare ইনস্টল করুন। এটি নিয়মিত আপনার ওয়েবসাইট স্ক্যান এবং নিরীক্ষণ করবে। এটি একটি ফায়ারওয়াল অফার করে যা দূষিত আইপি ঠিকানাগুলিকে ব্লক করবে। MalCare ইনস্টল করা হলে, আপনি নিশ্চিত থাকতে পারেন যে আপনার ওয়েবসাইট সুরক্ষিত। আপনি কীভাবে আপনার ওয়ার্ডপ্রেস সাইট সুরক্ষিত করবেন সে সম্পর্কে আমাদের গাইড দেখতে পারেন।

আপনার ওয়ার্ডপ্রেস ওয়েবসাইটকে দিয়ে সুরক্ষিত করুন MalCare !