সম্পূর্ণরূপে প্রতিরোধযোগ্য কারণে বেশ কয়েকটি হ্যাক ঘটে:আপডেটগুলি সময়মতো না করা, অনিরাপদ পাসওয়ার্ড ইত্যাদি।
আমারা কীভাবে এটা জানি? আমরা 25000+ হ্যাক করা সাইটগুলিকে সাহায্য করেছি এবং ওয়েবসাইট নিরাপত্তা এর সাথে উল্লেখযোগ্য অভিজ্ঞতা রয়েছে .
এই ওয়েবসাইটের নিরাপত্তা অপরিহার্য নির্দেশিকাতে, আমরা আপনাকে দেখাব কীভাবে একটি ওয়েবসাইট সুরক্ষিত করতে হয় :
- এমনকি যদি… আপনি ওয়েবসাইটের নিরাপত্তায় নতুন এবং এর অর্থ আপনি পুরোপুরি বুঝতে পারেন না;
- এমনকি যদি… আপনি আগে আপনার ওয়েবসাইট সুরক্ষিত করার চেষ্টা করেছেন এবং ব্যর্থ হয়েছেন;
- এমনকি যদি… আপনি অভিভূত হন এবং আপনার কোন ধারণা নেই কোথা থেকে শুরু করবেন;
- এমনকি যদি… আপনি ভেবে থাকেন, “আমি হ্যাকারদের সাথে কোন মিল নেই – তাহলে কেন চেষ্টা করব?”
কিন্তু তার চেয়েও গুরুত্বপূর্ণ বিষয় হল, আমরা প্রথমেই ওয়েবসাইটের নিরাপত্তা সম্পর্কে কীভাবে ভাবতে হয় সে সম্পর্কে কথা বলতে যাচ্ছি। এইভাবে, আপনি আপনার ওয়েবসাইটের জন্য সঠিক সিদ্ধান্ত নিতে সজ্জিত।
TL;DR: আপনার ওয়েবসাইট সুরক্ষিত করার সবচেয়ে সহজ উপায় হল একটি নিরাপত্তা প্লাগইন ইনস্টল করা। এটি তাদের জন্য নিখুঁত যাদের কাছে ওয়েবসাইট সুরক্ষায় নিযুক্ত হওয়ার সময় নেই। শুধু সেট এবং প্লাগইন ভুলবেন. কিন্তু যদি আপনি সময় এবং ব্যান্ডউইথের সামর্থ্য রাখতে পারেন, তাহলে আমরা আপনাকে এই ব্যবস্থাগুলি পড়তে এবং বাস্তবায়ন করার জন্য অনুরোধ করছি৷
ওয়েবসাইট নিরাপত্তা কি?
যদিও এটি দুর্দান্ত যে আপনি আপনার ওয়েবসাইট সুরক্ষিত করার জন্য পদক্ষেপ নিচ্ছেন, এটি উপলব্ধি করা গুরুত্বপূর্ণ যে ওয়েবসাইট সুরক্ষা একটি অবিচ্ছিন্ন প্রক্রিয়া। হ্যাকাররা অনেক সৃজনশীল, তাই হুমকি ক্রমাগত বিকশিত হয়।
আপনি নীচের নিবন্ধে দেখতে পাবেন যে একটি ভাল নিরাপত্তা প্লাগইন ম্যালওয়্যারের পরিপ্রেক্ষিতে বেশিরভাগ ভারী উত্তোলন করবে, তবে সতর্কতা এবং সতর্ক থাকাই ওয়েবসাইট নিরাপত্তা নিশ্চিত করে৷
কিভাবে হ্যাকারদের থেকে একটি ওয়েবসাইট সুরক্ষিত করবেন? (কার্যযোগ্য পদক্ষেপ)
আপনার ওয়েবসাইট সুরক্ষিত করার জন্য একটি কার্যকরী পরিকল্পনা পেতে, প্রথম ধাপ হল ওয়েবসাইটগুলি কীভাবে হ্যাক হয় তা বোঝা। আমাদের গবেষণা অনুসারে, ওয়েবসাইটগুলি প্রাথমিকভাবে নিম্নলিখিত 3টি পদ্ধতির মাধ্যমে হ্যাক করা হয়:
- 90+% → একটি প্লাগইন বা থিমে দুর্বলতা
- 5+% → আপস করা ব্যবহারকারীর নাম এবং/অথবা পাসওয়ার্ড
- <1% → দুর্বল ওয়েব হোস্ট পরিষেবা
আপনি কীভাবে আপনার ওয়েবসাইটের নিরাপত্তার পরিকল্পনা করেন এবং সবচেয়ে বেশি সময় এবং সংস্থান কোথায় বরাদ্দ করবেন তার ভিত্তিতে এই বিতরণটি তৈরি করা উচিত।
1. আপনার ওয়েবসাইটকে দুর্বলতা থেকে রক্ষা করুন
হ্যাকাররা দুর্বল ওয়েবসাইটগুলির জন্য ক্রমাগত খোঁজে থাকে। ওয়েবসাইটটি বড় বা ছোট তা বিবেচ্য নয়। যেকোন ওয়েবসাইট হ্যাক করে তাদের প্রচুর লাভ আছে। আমাদের অভিজ্ঞতায়, সমস্ত হ্যাকগুলির 90% এর বেশি ঘটে কারণ হ্যাকাররা একটি দুর্বলতা চিহ্নিত করেছে এবং এটিকে কাজে লাগিয়েছে৷
আসুন দুর্বলতাগুলি কী তা আরও গভীরভাবে দেখুন। এটি বোঝার জন্য গুরুত্বপূর্ণ, যাতে আপনি ভবিষ্যতে আপনার ওয়েবসাইট নিরাপত্তা কৌশলকে মননশীলভাবে আকার দিতে পারেন।
একটি দুর্বলতা ঠিক কি?
আপনার ওয়েবসাইটটি 3টি প্রধান উপাদান নিয়ে গঠিত:ওয়ার্ডপ্রেস, প্লাগইন এবং থিম। এগুলি সবই মূলত সফ্টওয়্যার, এবং যে কোনও সফ্টওয়্যারের মতো, এগুলিতে বাগ থাকে যা তাদের মাঝে মাঝে ত্রুটির কারণ হয়৷
বাগগুলির বিভিন্ন ধরনের পরিণতি হতে পারে:কিছু আপনার ওয়েবসাইটকে ধীর করে দেবে, অথবা কেউ এটি দেখার সময় একটি ত্রুটি নিক্ষেপ করবে৷ এগুলি বিরক্তিকর এবং সমস্যাযুক্ত, তবে আরও গুরুতর বিষয়গুলি অননুমোদিত ব্যবহারকারীদের (যেমন হ্যাকারদের) আপনার ওয়েবসাইটে অ্যাক্সেস পেতে দেয়৷ এই ধরণের বাগ একটি দুর্বলতা হিসাবে পরিচিত।
দুর্বলতার প্রকারগুলি
দুর্বলতাগুলি সংক্ষিপ্ত করা যেতে পারে, যেমন আমরা পূর্ববর্তী অনুচ্ছেদে করেছি, কোডের বাগ হিসাবে। তবে কিছু নির্দিষ্ট প্রকার রয়েছে যা অন্যদের তুলনায় বেশি ঘন ঘন হয়:
- সেকেলে সফ্টওয়্যার:মূল, প্লাগইন এবং থিম আপডেট রাখা গুরুত্বপূর্ণ৷
- দরিদ্র ব্যবহারকারীর ভূমিকা পরিচালনা:প্রত্যেক ব্যবহারকারীকে সম্পূর্ণ অ্যাডমিন অ্যাক্সেস দেবেন না।
- স্যানিটাইজড ইনপুট:ইনপুট ক্ষেত্রগুলিকে স্টোরেজ এবং/অথবা কার্যকর করার আগে ইনপুট পরীক্ষা করতে হবে।
একটি অসুরক্ষিত ওয়েবসাইটে হ্যাক করা সম্ভব
দুর্বলতাগুলি তারা যে ধরণের আক্রমণের অনুমতি দেয় তার সাথে ঘনিষ্ঠভাবে আবদ্ধ এবং প্রায়শই একে অপরের বিনিময়যোগ্যভাবে বলা হয়। ওয়ার্ডপ্রেসের সবচেয়ে সাধারণ আক্রমণগুলি হল:
- কোড ইনজেকশন:যেখানে ক্ষতিকারক কোড ইনপুট ক্ষেত্রের মাধ্যমে ঢোকানো হয় এবং ওয়েবসাইট কোড বা ডাটাবেস দ্বারা কার্যকর করা হয়। একটি এসকিউএল ইনজেকশনে একটি কোড ইনজেকশনের একটি প্রায়শই দেখা বৈকল্পিক, যা ওয়ার্ডপ্রেসের মতো ডাটাবেস-চালিত অ্যাপ্লিকেশনের জন্য বিশেষভাবে গুরুতর
- ক্রস-সাইট স্ক্রিপ্টিং আক্রমণ:এই ধরনের দুর্বলতা ব্যবহারকারীর কুকিগুলিকে তাদের ছদ্মবেশী করার জন্য চুরি করে বা এমনকি সেশন হাইজ্যাক করে। লক্ষ্যযুক্ত ব্যবহারকারীর অ্যাক্সেস তারপর আপনার ওয়েবসাইট আক্রমণ করতে ব্যবহৃত হয়
- ব্রুট ফোর্স অ্যাটাক:নাম থেকেই বোঝা যাচ্ছে, এই ধরনের আক্রমণে কোনো সূক্ষ্মতা নেই। হ্যাকার আপনার লগইন পৃষ্ঠায় ব্যবহারকারীর নাম এবং পাসওয়ার্ডের সংমিশ্রণে বোমাবর্ষণ করে সঠিকটি উন্মোচন করার প্রয়াসে৷
- SEO স্প্যাম:সমস্ত স্প্যাম গুরুতর, কিন্তু এই আক্রমণটি আঘাত করে যেখানে এটি ওয়েবসাইটকে সবচেয়ে বেশি আঘাত করে:SEO। ওয়েবসাইটের মালিকরা তাদের এসইও-তে কাজ করে সম্পদ ব্যয় করে, শুধুমাত্র একজন হ্যাকারের জন্য পপ-আপ এবং অবৈধ বা ধূসর বাজারের আইটেমগুলির লিঙ্কগুলি সন্নিবেশ করে অযাচিত সুবিধা নেওয়ার জন্য। এসইও স্প্যাম আক্রমণগুলি সনাক্ত করাও কঠিন, এবং প্রায়শই ওয়েবসাইটগুলি প্রথম স্থানে সংক্রামিত হওয়ার আগে স্প্যামের ক্ষতিকারক প্রভাবগুলি অনুভব করবে৷
- ফিশিং আক্রমণ:এই আক্রমণগুলিতে, হ্যাকার একটি বৈধ সত্তার ছদ্মবেশী করার চেষ্টা করে যাতে একজন ব্যবহারকারীকে তাদের তথ্য ইচ্ছুক ছেড়ে দেওয়ার জন্য প্রতারণা করে। এই শংসাপত্রগুলি পেতে ইমেল এবং একটি হ্যাক করা ওয়েবসাইটের মাধ্যমে ফিশিং কাজ করে৷
একটি দুর্বলতার প্রভাব কী?
প্লাগইন এবং থিম কয়েক হাজার ওয়েবসাইটে ইনস্টল করা আছে, তাই এই একটি ত্রুটির প্রভাব ব্যাপকভাবে প্রসারিত হয়।
দায়িত্বশীল প্লাগইন এবং থিম বিকাশকারীরা আপডেট প্রকাশ করে তাদের পণ্যগুলিতে এই সুরক্ষা গর্তগুলি প্লাগ করার চেষ্টা করে৷ এটি আসলে একটি মূল কারণ কেন আমরা যখনই সম্ভব প্রিমিয়াম প্লাগইন বেছে নেওয়ার সুপারিশ করি। ওয়েবসাইট নিরাপত্তা কৌশলে নিয়মিত সফ্টওয়্যার রক্ষণাবেক্ষণের উপর যথেষ্ট জোর দেওয়া যায় না।
মহান, তাই বাগ প্যাচ করা হয়েছে. আমরা এখন নিরাপদ, তাই না? ওয়েল, বেশ না. একটি দুর্বলতা আবিষ্কার ওয়েবসাইট মালিকদের জন্য একটি বিপজ্জনক সময়.
কোন দুর্বলতা আবিষ্কৃত হলে কি হয়?
নিরাপত্তা গবেষকরা প্রায়ই দুর্বলতা খুঁজে পান। তারা প্লাগইন বা থিম বিকাশকারীর কাছে তাদের ফলাফল প্রকাশ করে। যেমনটি আমরা পূর্ববর্তী বিভাগে বলেছি, দায়িত্বশীল বিকাশকারীরা সমস্যাটি সমাধান করতে এবং একটি আপডেট প্রকাশ করতে দৌড়াবে।
যখন দুর্বলতা সংশোধন করা হয়, নিরাপত্তা গবেষক তাদের ফলাফল প্রকাশ করবেন। বিকাশকারী একটি ফিক্স প্রকাশ করেছে, তাই ওয়েবসাইটগুলি নিরাপদ, তাই না?
পুরোপুরি না।
হ্যাকাররা দুর্বলতা সম্পর্কেও পড়ে এবং এমন ওয়েবসাইটগুলি সন্ধান করে যেগুলি তাদের সংস্করণ আপডেট করেনি। জনসাধারণের দুর্বলতাগুলি নবজাতক হ্যাকারদের আকৃষ্ট করে (যা স্ক্রিপ্ট কিডি নামেও পরিচিত) কারণ এখন তারা প্রচেষ্টা ছাড়াই ওয়েবসাইটগুলিকে কাজে লাগাতে পারে৷ তারা নির্ভুলতার সাথে জানে লক্ষ্য কোথায়।
ভালনারেবিলিটি থেকে সাইটকে সুরক্ষিত করার জন্য আপনাকে যা করতে হবে
আমরা এখন ওয়েবসাইট নিরাপত্তা নিশ্চিত করতে এবং হ্যাকারদের থেকে সাইটটিকে সুরক্ষিত করতে আপনি যে কংক্রিট পদক্ষেপ নিতে পারেন সে সম্পর্কে কথা বলি৷ এই পদক্ষেপগুলি সহজ মনে হতে পারে, তবে এগুলি আপনার ওয়েবসাইট সুরক্ষিত রাখার শক্তিশালী উপায়৷
1. ব্যাকআপ নিন
ব্যাকআপ হল নিরাপত্তা কৌশলের সবচেয়ে আন্ডাররেটেড অংশ। আমরা নিয়মিত ব্যাকআপ নেওয়ার গুরুত্বের উপর যথেষ্ট জোর দিতে পারি না। এগুলি হল আপনার নিরাপত্তা জাল, যখন জিনিসগুলি দক্ষিণে যায় তখনই আপনি নির্ভর করতে পারেন৷ ব্যাকআপ আপনাকে দ্রুত পায়ে ফিরে যেতে সাহায্য করে।
যাইহোক, সমস্ত ব্যাকআপ প্লাগইন সমানভাবে নির্মিত হয় না। অনেকগুলি ব্যর্থ হয় যখন আপনার সবচেয়ে বেশি প্রয়োজন হয়:পুনরুদ্ধারের সময়। সঠিক প্লাগইন নির্বাচন করার জন্য বিভিন্ন কারণ আছে। এই মানদণ্ডগুলিকে দৃঢ়ভাবে মনে রেখে, আমরা উপলব্ধ শীর্ষ ওয়ার্ডপ্রেস ব্যাকআপ প্লাগইনগুলি পর্যালোচনা করেছি৷
2. প্লাগইন এবং থিম আপডেট রাখুন
এটি খুব স্পষ্ট শোনাতে পারে, বিশেষ করে যদি আপনি আপডেটগুলি কতটা গুরুত্বপূর্ণ সে সম্পর্কে পূর্ববর্তী বিভাগটি পড়েন। তবে, ড্যাশবোর্ডে লাল বিজ্ঞপ্তি উপেক্ষা করা খুব সহজ, আরও জরুরি কিছু করার পক্ষে।
অতএব, আমরা পুনরাবৃত্তি করব। প্লাগইন এবং থিম বিকাশকারীরা নিরাপত্তা সংশোধনের সাথে আপডেট প্রকাশ করে। এমনকি যদি আপনি আপডেটগুলি ইনস্টল করা বন্ধ করতে চান (তবে দয়া করে করবেন না), অন্তত রিলিজ নোটগুলি দেখার পরে তা করুন৷
3. ভাল মানের প্লাগইন এবং থিম চয়ন করুন
৷
এই মুহুর্তে, আমরা আপনার ওয়েবসাইটের কেন্দ্রীয় প্লাগইন এবং থিমগুলি কেমন তা ব্যাপকভাবে চিত্রিত করেছি। যদিও সফ্টওয়্যারের সম্পূর্ণ নির্ভুল অংশ হওয়ার সম্ভাবনা নেই, তবে আপনার ওয়েবসাইটের জন্য সঠিক প্লাগইন এবং থিমগুলি বেছে নেওয়ার সময় মনে রাখার মূল বিষয়গুলি রয়েছে:
- প্লাগইনটি কি নিয়মিত আপডেট করা হয়৷ :একটি প্লাগইন বা থিম যা তার বিকাশকারীর দ্বারা ধারাবাহিকভাবে রক্ষণাবেক্ষণ করা হয় যদি একটি দুর্বলতা আবিষ্কৃত হয় তবে একটি নিরাপত্তা প্যাচ পাওয়ার সম্ভাবনা রয়েছে৷
- প্লাগইনটি জনপ্রিয়৷ :এটি একটি দ্বি-ধারী তলোয়ার। লক্ষ লক্ষ ইনস্টল সহ একটি জনপ্রিয় প্লাগইন হ্যাকারদের লক্ষ্য হবে। কিন্তু এই প্লাগইনগুলি আরও সুরক্ষিত হওয়ার প্রবণতা রয়েছে কারণ অনেক বেশি লোক তাদের পর্যবেক্ষণ করছে।
- এটি কি একটি প্রিমিয়াম প্লাগইন৷ :অর্থপ্রদানকারী প্লাগইনগুলি বিকাশকারীদের কাজকে সমর্থন করে এবং তাই একটি বিনামূল্যের প্লাগইনের তুলনায় পরিত্যক্ত হওয়ার সম্ভাবনা অনেক কম৷ এর মানে এই নয় যে ওপেন সোর্স সফ্টওয়্যার কখনই নিরাপদ নয়, তবে একটি প্রিমিয়াম পণ্যের সাথে আপনি গ্রাহক সহায়তা এবং পণ্যের গুণমানের জন্য অর্থ প্রদান করছেন।
- কখনও বাতিল প্লাগইন এবং থিম ইনস্টল করবেন না৷ :বিনামূল্যে উপলব্ধ প্রিমিয়াম সফ্টওয়্যার অনেক স্তরে সমস্যাযুক্ত৷ নালড সফ্টওয়্যারটিতে প্রায়শই ম্যালওয়্যার বা ব্যাকডোর থাকে যা একবার ইনস্টল করার পরে হ্যাকারদের আপনার ওয়েবসাইট অ্যাক্সেস করার অনুমতি দেয়।
4. একটি ফায়ারওয়াল ব্যবহার করুন
হ্যাকারদের বা আপনার মতো ওয়েবসাইট আক্রমণ করার জন্য তারা যে বটগুলি ডিজাইন করে তা ঠেকানোর কোনও নির্ভুল উপায় নেই৷ যাইহোক, আমরা একটি ফায়ারওয়াল ইনস্টল করে সম্ভাবনা উল্লেখযোগ্যভাবে হ্রাস করতে পারি।
এখানে বেছে নেওয়ার জন্য সেরা ওয়ার্ডপ্রেস ফায়ারওয়ালগুলির একটি তালিকা রয়েছে৷
2. আপনার ব্যবহারকারীর নাম এবং পাসওয়ার্ড সুরক্ষিত করুন
We’ve found around 5% of hacked websites were vulnerable to attack because of weak passwords. This may seem a small number when compared to outright malicious activity, but it is still significant enough to command your attention.
Losing the admin password to your site is like losing keys to your home or car. With the key, the thief has complete control over your prized possessions. Likewise, with the password, hackers have complete access to your website. At this point, not even a firewall or a security plugin can prevent hackers from causing damage to your website.
The need for strong passwords continues to be very strongly advocated, but because of the difficulties associated with it, it’s often ignored by website users.
Before we go into mechanisms to have strong credentials, let’s address some common questions people have about them.
How is it possible to steal a password?
The answer may come as a surprise:the hacker tries to guess the password. By this, we don’t mean they are trying out various passwords manually, but there are bots to do this. This is also known as a brute force attack, or if the bot is guessing words, a dictionary attack.
These attacks work very well because of several reasons:
- Easy-to-guess passwords: common words, short words, the word ‘password’ itself in different permutations
- Data from previous hacks: there is a reason why people recommend using different passwords for different services and websites
How to safeguard against password theft
1. Use a strong password
Strong passwords use a combination of letters, numbers, and symbols in random configurations, because those are hard to crack. It may take hacker bots years to get find the correct one.
You could try creating a strong password on your own, or use a password generator. Then you can use plugins to enforce strong passwords.
Strong, hard-to-crack passwords can be difficult to remember, so we recommend using password managers like LastPass.
2. Limit login attempts
A good way to thwart a brute force attack is to block attackers after multiple failed login attempts. This is an effective mechanism, since, this type of attack consists of hackers’ bots repeatedly trying different passwords.
MalCare firewall comes integrated with this feature. Limiting login attempts is a highly effective way to secure your website without many downsides
If an authorised user has inadvertently reached this point, they can click through the link to find a captcha confirming they are indeed human.
3. Implement two-factor authentication
Several services use two-factor authentication during the login process, which essentially means you need to have two (ideally) separate tokens to access your account. Most commonly, these involve a combination of passwords and a limited-time token like a pin code or QR code sent to your email or a device.
There are several plugins that implement two-factor authentication or 2FA, and they vary depending on the services they provide. 2FA comes integrated in MalCare’s security suite as well.
4. Implement CAPTCHA protection
CAPTCHAs can only be resolved by humans. They are designed to prevent hacker bots from accessing an account. You can use it to protect your website.
Here’s a neat little article by Kinsta that’ll help you get started.
5. Use a firewall
Certain website security firewalls like MalCare’s also keep track of malicious IPs at a global level. The firewall learns from all the sites with the plugin installed. It then automatically blocks bad IPs even before they have attempted to crack your password. This, in combination with limit-login capability, can protect your site from hackers trying to force their way in.
3. Choose a good web hosting provider
There is a tendency to blame the web host for anything that goes wrong with a website. While web hosts are generally responsible for many aspects of a website, they are rarely at fault when a website gets hacked.
In fact, the opposite is generally true, web hosts improve website security.
Of course, there are some web hosts who play a role in the compromise of websites hosted on their server. It rarely happens, but when it does, it’s a major incident that compromises thousands of websites.
4. Install an SSL certificate
Secure Sockets Layer, more commonly known as SSL, is a security protocol that encrypts all communication to and from a website. Once installed, it appears as a padlock at the beginning of your website’s URL.
The benefits of using an SSL certificate are as follows:
- All data passing to and from your website is encrypted
- It is a badge of trust for your website. In fact, most browsers will flag sites without SSL as ‘Not secure’ in the address bar.
- Google loves websites with an SSL certificate and even rewards them with a higher ranking.
Easily install an SSL certificate on your website. It barely takes any time, and it is well worth the effort spent.
Good website security practices
As we said at the outset, website security is an ongoing practice. In this section, we are listing out practices that are good to inculcate in your overall website security strategy. Once you get into the habit of doing so, the small investment of your time and effort will pay for itself many times over with a secure website.
1. Change your password frequently
We understand that setting difficult-to-guess passwords is tricky, especially because they are often synonymous with difficult-to-remember. We can also imagine the dismay at being asked to change this most excellent password regularly.
The reason is that passwords are the weakest links in security; especially if you use the same passwords for multiple accounts. Even if one site experiences a breach, you can safely assume that all your accounts are potentially compromised. There are news stories about breaches every few weeks–and those are just the reported ones. Something to keep in mind.
Regularly can also mean different things to different people. Some financial institutions, like banks, mandate that passwords be changed every 90 days. Using a password manager is the way forward.
2. Review website users + track new admin users
Hackers often leave behind admin users, so that they can regain access to a site. Hence, reviewing admin users on a regular basis can improve website security.
Secondly, website collaborators can change. If a user no longer needs access, it is best to remove their access. The reason is two-fold:you don’t want the user to make any more changes to your website; their inactive accounts can be compromised by hackers.
Over time, as we build our site with newer content and design, we keep adding new users to our site. We should review these users periodically. You may be following good security practices yourself, but another user getting compromised will cause your site to be affected.
When adding users, give only necessary access levels as far as possible. For instance, If someone is only writing articles don’t give them admin access.
3. Set up activity log on your site
We are big fans of having activity logs for our website. It has saved our bacon multiple times.
Hackers don’t use core WordPress APIs to modify a website, therefore many of the changes they make will not reflect in an activity log. However, they can leave footprints behind, such as creating admin accounts for themselves to access the site. These unexpected actions can help detect hacks.
Conversely, if changes are made by a collaborator, then activity logs can help avoid unnecessary panic, when you see changes made to your website.
4. Block PHP in the Uploads folder
A whole class of vulnerabilities (Remote Code Execution, to be precise) lets hackers upload malicious PHP files to the Uploads folder. The hacker can then use it to execute any code they want on your website. In other words, they have complete control over your website.
The attack can be neutered effectively if you block the execution of PHP files in the Uploads folder. চিন্তা করবেন না। Blocking PHP files in the Uploads folder is safe because they shouldn’t be present there, in the first place. Uploads folder is where you store your media, not scripts.
If you are using, MalCare security plugin, you can block PHP execution in the Uploads folder with the click of a button. For Apache/Litespeed based sites, we can add rules to htaccess to enforce this protection.
Things to avoid when securing your website
A quick Google search will give you numerous tips and strategies to secure your website. Several security plugins will also present multiple options to protect your site against password crackers. Securing your website is a great deal about what you should do; however, there are also some things you should avoid.
The reasons vary for each of the points we talk about below, but at its core, there should be a tangible security benefit to your measures—especially if you are asking your users to jump through additional security hoops. For example, if you apply both captcha and 2-factor authentication, getting into your site becomes trying, with little additional benefit.
You may get an additional sense of security from applying all available options, but in cost-benefit analysis, they don’t cut mustard.
1. Hide wp-login page
You’ll see this one on a lot of forums:change the wp-login page to a custom URL for your site. The logic is, if the hackers can’t find the login page, they can’t use brute force attacks to gain entry to your site.
There are a few flaws with this:
- WordPress also lets you log in using XML-RPC
- It will make your site difficult to use. If you forget the special URL you have created for yourself in lieu of wp-login, then recovering from this can be difficult.
- If you use a common URL or the default one that comes with the security plugin, it will be easy for the hackers to guess anyway, therefore defeating the purpose entirely.
- Hiding this page involves applying complicated settings to your site which can have other unexpected side effects.
Therefore, in our opinion, it is just not worth the effort.
2. Geo-blocking
Another commonly recommended security measure is geo-blocking. You may not need or expect legitimate traffic from certain countries, and hence decide to restrict access. MalCare supports this feature, but we don’t recommend you do this because:
- IPs for regions are not perfect and can have errors.
- If you block yourself out by mistake, reverting this will be difficult.
- You might end up blocking good bots such as Google which can harm your site.
A good firewall can and will protect your website against malicious bots and undesirable traffic. We’ve covered the benefits of firewalls in a previous section.
3. Password protect wp-admin directory
The wp-admin folder is one of the most crucial folders on your website. Naturally, it attracts a lot of attention from hackers. Therefore, protecting it with a password may seem like a brilliant move, but it’s counterproductive.
Password protecting your wp-admin directory breaks AJAX functionality on your WordPress website. AJAX is a coding technique that loads parts of your website from the server without changing the currently displayed page.
If this sounds like gobbledegook, it essentially means that it makes your website dynamic, without constantly reloading it for users every time something changes.
Think about scrolling on the newsfeed of a social networking site. New stories or tweets load while you are still reading the ones already on your screen, and you can refresh the newsfeed when you want to load the new content.
4. Hide WordPress version
The logic behind hiding the WordPress version of your website is related to security updates. If your website doesn’t have the latest version of WordPress, a hacker may be able to exploit a vulnerability that exists in an older version.
However, hiding your WordPress version has no benefit whatsoever. There are several ways to determine a website’s WordPress version:inspecting the site’s frontend code, checking the RSS feed, etc. All of which are legitimate, incidentally.
The way to combat WordPress vulnerabilities in older versions is to keep your version updated to the latest one. Many website administrators are afraid that updating a live site may cause something to break. Therefore, it is best to do so on a staging site first.
What to do if your website has been hacked?
If your site has been hacked recently, it is even more important for you to be extremely diligent about the security of your site. If not done correctly, it can lead to the site getting hacked repeatedly and the whole situation becoming a total nightmare.
- Clean the malware first :Use a good security plugin, like MalCare, to automatically remove malware without a trace.
- সবকিছু আপডেট করুন :As we said before, software updates are vital. Make sure you have the latest versions of WordPress, themes and plugins. If you don’t, there is a good chance this is the reason your website got hacked in the first place.
- Review every admin user: Scrutinise every admin account carefully. We’ve said this already in this article, but hackers create admin accounts to regain access to a website that they have hacked, in case the malware has been discovered.
- Change all passwords: Assume your credentials have been compromised and change passwords. Hopefully you do not use the same password for different products and services, otherwise you should change those passwords as well.
- Change DB credentials (if possible): The wp-config.php file contains the credentials the WordPress site uses to connect to the database of the site. In many cases, access to the database is restricted even if the DB credentials are compromised. However, with some hosts, hackers can use this information to directly modify the database. This can cause the site to be reinfected.
- Change security keys: WordPress uses security keys to manage sessions for logged-in users. Read more about what they are and how to make a website secure by changing them.
- Set up a WordPress firewall: We’ve already covered this in detail in this article. A WordPress firewall is your best defence against malicious bots and bad traffic.
উপসংহার
We started this article on how to secure a website with a clear signpost:the first step is to think about website security in the right way. It is an ongoing process. A good standard practice to have in any organization is to conduct periodic website security audits.
The threat landscape is constantly changing, and hackers will find more creative ways to defeat defences. Security experts remain constantly vigilant, and this is the main takeaway from all of what we have learned in our years of research:don’t get complacent.
Have thoughts to share? Drop us a line, or connect with us on social media. Love to hear your thoughts.
FAQs
What is website security?
Website security is putting together a plan to protect your website and users from hackers and their malware. It involves understanding the components of your website, how they work together and what vulnerabilities they have.
Once this foundation is in place, then you need to formulate a comprehensive security plan to protect against vulnerabilities. This involves a series of configuration steps, implementation of policies, and keeping up to date with respect to threats.
A key factor in achieving website security is to understand that it is not a one-time activity. Security evolves, because threats evolve.
Why website security is important?
WordPress is used by millions of people, so it is probably secure, right? Yes and no.
Yes, because WordPress core files are secure, and even when a vulnerability is discovered, it is addressed very quickly.
No, because your website isn’t just the WordPress core. It is a combination of plugins and themes, used to help make your website more functional, interactive and attractive. These plugins and themes extend the functionality of WordPress, but also increase the opportunities for vulnerabilities. Good plugin and theme developers will fix vulnerabilities quickly. However the danger is significantly greater.
To protect your website—including the time, money and other resources you have invested in it—and to safeguard your visitors from having their data and identities stolen, you need to secure your website. If you are WordPress user, you can go through our wordpress security guide to secure your site.
How to secure a website from hackers?
You can take several steps to secure your website from hackers:
1. Keep your WordPress, plugins and themes up to date
2. Install a good firewall
3. Implement login protection
4. Install SSL
5. Use two-factor authentication for logins
6. Review user roles regularly
7. Set up an activity log