প্রথম নজরে, iThemes সিকিউরিটি আপনার ওয়ার্ডপ্রেস ওয়েবসাইটগুলির জন্য একটি দুর্দান্ত এবং সাশ্রয়ী মূল্যের সুরক্ষা প্লাগইনের মতো দেখাচ্ছে৷ বিশেষ করে যদি আপনি বিবেচনা করেন যে আপনি মাত্র 199 ডলারে সীমাহীন ওয়েবসাইটগুলি রক্ষা করতে পারেন৷
অন্যদিকে সুকুরি হল সবচেয়ে জনপ্রিয় ওয়ার্ডপ্রেস সিকিউরিটি প্লাগইনগুলির মধ্যে একটি। এটি একটি স্ক্যানার এবং একটি ফায়ারওয়াল সহ একটি পাঞ্চ প্যাক করে এবং ম্যালওয়্যার অপসারণও অফার করে। তাই ইতিমধ্যেই এই মাথার মধ্যে, এটি iThemes-এ একটি মার্চ চুরি করেছে৷
যাইহোক, কোন নিরাপত্তা প্লাগইনটি আসলে হ্যাকার এবং ম্যালওয়্যার থেকে সর্বোত্তম সুরক্ষা প্রদান করে তা ফুটে ওঠে। আমরা 3টি ওয়েবসাইটে ওয়ার্ডপ্রেসের জন্য 5টি শীর্ষ নিরাপত্তা প্লাগইন পরীক্ষা করেছি। ওয়েবসাইটগুলি ম্যালওয়্যার এবং দুর্বলতায় পূর্ণ ছিল এবং আমরা প্লাগইনগুলিকে তাদের গতিতে রেখেছি। আমাদের পরীক্ষার ফলাফল দেখতে পড়ুন, এবং কোন প্লাগইন সত্যিই আপনার WordPress ওয়েবসাইট রক্ষা করবে তা খুঁজে বের করুন।
VERDICT৷ iThemes নিরাপত্তা বনাম Sucuri:iThemes সম্পূর্ণভাবে রেস থেকে ছিটকে গেছে। এই প্রতিযোগিতায়, সুকুরি নিঃসন্দেহে বিজয়ী ছিলেন। এটি বলার পরে, আমরা এখনও আমাদের ওয়েবসাইট সুরক্ষিত করার বিষয়ে সুকুরির উপর আস্থা রাখব না। নীচে আমাদের পরীক্ষার সম্পূর্ণ বিবরণ৷
আমাদের বাছাই
আমরা নিরাপত্তা প্লাগইন পরীক্ষা করার জন্য 3টি ওয়ার্ডপ্রেস ওয়েবসাইট তৈরি করেছি। একটি পরীক্ষা নিয়ন্ত্রণ হিসাবে একটি সাধারণ ব্লগ ছিল. এরপরে, আমরা একটি দ্বিতীয় ওয়েবসাইটে প্রকাশিত দুর্বলতা সহ 3টি পুরানো প্লাগইন ইনস্টল করেছি। অবশেষে, আমরা ফাইল এবং ডাটাবেস উভয় ক্ষেত্রেই ম্যালওয়্যার এবং ব্যাকডোরে পূর্ণ একটি তৃতীয় ওয়েবসাইট স্টাফ করেছি। তুষ থেকে গম সাজানোর জন্য আমরা শেষ ওয়েবসাইটে গণনা করেছি। এবং ছেলে, এটা করেছে.
প্রতিটি প্লাগইন 45 দিনের জন্য তার গতির মধ্য দিয়ে রাখা হয়েছিল। আমরা স্ক্যানার, ক্লিনার, ফায়ারওয়াল, ব্রুট ফোর্স প্রোটেকশন—কাজগুলো পরীক্ষা করেছি। এটির শেষে, উপসংহারটি দ্ব্যর্থহীন ছিল, ম্যালকেয়ার সমস্ত গণনায় জিতেছে।
এই নিবন্ধ সিরিজের জন্য আমাদের প্রশ্ন সহজ ছিল:কোন নিরাপত্তা প্লাগইন হ্যাকারদের থেকে ওয়ার্ডপ্রেস ওয়েবসাইট রক্ষা করার গ্যারান্টিযুক্ত? উত্তরটি দ্ব্যর্থহীন:ম্যালকেয়ার।
iThemes নিরাপত্তা বনাম Sucuri তুলনার সারাংশ
iThemes সিকিউরিটি হল ওয়ার্ডপ্রেস সিকিউরিটি প্লাগইনগুলির প্লেসবো। আপনি মনে করেন যে আপনার ওয়েবসাইট হ্যাকারদের থেকে নিরাপদ, কিন্তু আসলে এটিকে রক্ষা করে তা হল ইচ্ছাপূর্ণ চিন্তাভাবনা এবং ইতিবাচক ভাইব। সুকুরি নিঃসন্দেহে ভাল, তবে সর্বোপরি একটি আপেক্ষিক শব্দ আরও ভাল। এটি একটি দুর্দান্ত নিরাপত্তা প্লাগইন নয়৷
৷
সংক্ষেপে iThemes নিরাপত্তা
নীচের লাইন হল যে iThemes আপনার ওয়েবসাইট রক্ষা করে না। আপনি যদি ওয়ার্ডপ্রেস সুরক্ষার জন্য এটি বিবেচনা করছেন তবে আমরা দৃঢ়ভাবে iThemes সম্পূর্ণভাবে এড়িয়ে যাওয়ার পরামর্শ দিই। এবং যদি আপনি এটি ইতিমধ্যেই ইনস্টল করে থাকেন, অনুগ্রহ করে অবিলম্বে আপনার ওয়েবসাইট স্ক্যান করুন। আপনার ওয়েবসাইট কোন নিরাপত্তা নেই.
iThemes আমাদের প্রথম ইমপ্রেশন আসলে অনুকূল ছিল. ওয়েবসাইটটি একটি দুর্দান্ত গেমের কথা বলে, এবং তারা ওয়ার্ডপ্রেস নিরাপত্তা সম্পর্কে যেভাবে কথা বলে তার জন্য আত্মবিশ্বাস তৈরি করে। একমাত্র ত্রুটি আমরা দেখতে পাচ্ছি যে আপনি ম্যালওয়্যার পরিষ্কার করতে প্লাগইন ব্যবহার করতে পারেননি। এটি আদর্শ নয়, তবে এটি এখনও স্ক্যানার হিসাবে কাজ করতে পারে।
বা তাই আমরা ভেবেছিলাম।
iThemes স্ক্যানার ম্যালওয়্যার সনাক্ত করে না। আদৌ। আমরা একটি অনুমান বিপত্তি করব যে এটি এমনকি ফাইল এবং ডেটা স্ক্যান করে না, কারণ স্ক্যান সেকেন্ডের মধ্যে শেষ হয়। iThemes 'স্ক্যানার' যা করে তা হল আপনার ওয়েবসাইটটি সেই তালিকায় আছে কিনা তা দেখতে Google-এর স্বচ্ছতা রিপোর্ট পরীক্ষা করা। এটি করার জন্য আমাদের কোনও সুরক্ষা প্লাগইন দরকার নেই। আমরা ওয়েবসাইটটি পরীক্ষা করতে ফিরে গিয়েছিলাম, এবং লক্ষ্য করে অবাক হয়েছিলাম যে বৈশিষ্ট্যগুলি স্পষ্টভাবে ম্যালওয়্যারের জন্য স্ক্যান করার কথা বলে না। এটি কেবল বলে যে ম্যালওয়্যার সনাক্তকরণ ওয়ার্ডপ্রেস সুরক্ষার অন্যতম প্রধান পদক্ষেপ। এটা ডাবলস্পিক, যদি আমরা কখনো এটা দেখে থাকি।
আমরা iThemes পরীক্ষাগুলিকে অকেজো বলে লিখতে প্রলুব্ধ হয়েছিলাম, কিন্তু ন্যায্যতার স্বার্থে চালিয়ে গিয়েছিলাম৷
প্লাগইনটিতে একটি কঠিন দ্বি-ফ্যাক্টর প্রমাণীকরণ বৈশিষ্ট্য রয়েছে, যা আপনি আপনার লগইন পৃষ্ঠায় সক্ষম করতে পারেন। এটিতে কিছু শালীন শক্ত করার বৈশিষ্ট্য রয়েছে যেমন ফোল্ডারগুলিতে পিএইচপি এক্সিকিউশন ব্লক করা। বলা হয়েছে যে, ব্রুট ফোর্স লগইন সুরক্ষা শুধুমাত্র কিছু সময় কাজ করে। প্লাগইনের বিরুদ্ধে আরেকটি কালো চিহ্ন।
iThemes ব্যবহার থেকে আমাদের গ্রহণযোগ্যতা হল যে কোনও নিরাপত্তা মানের একমাত্র বৈশিষ্ট্য হল দ্বি-ফ্যাক্টর প্রমাণীকরণ এবং wp-login-এ reCAPTCHA এর সহজ বাস্তবায়ন। যদিও এই দুটি বৈশিষ্ট্য $199 বিলের নিশ্চয়তা দেয় না, কারণ আরও ভাল সুরক্ষা প্লাগইন রয়েছে যা কিছু প্রকৃত নিরাপত্তা ছাড়াও একই বৈশিষ্ট্যগুলি অফার করবে।
iThemes পরীক্ষা করা একটি ভয়ানক অভিজ্ঞতা ছিল কারণ আমরা এমন ওয়েবসাইটগুলির সংখ্যা কল্পনা করতে পারি না যা বিশ্বাস করে যে তারা অস্তিত্বহীন নিরাপত্তা দ্বারা সুরক্ষিত হচ্ছে। আসলে, iThemes ব্যবহারকারীরা, আপনার এখনই আপনার ওয়েবসাইট স্ক্যান করা উচিত।
সংক্ষেপে সুকুরি
সুকুরির একটি শালীন ফায়ারওয়াল এবং দুর্দান্ত ম্যালওয়্যার অপসারণ পরিষেবা রয়েছে, তবে ম্যালওয়্যার স্ক্যানার হিসাবে দর্শনীয়ভাবে ব্যর্থ হয়েছে। আপনি যদি না জানেন যে আপনার ওয়েবসাইটে ম্যালওয়্যার রয়েছে, তাহলে এটি থেকে পরিত্রাণ পাওয়ার কোনো উপায় নেই। এটি একটি নিরাপত্তা প্লাগইনের একটি অ-আলোচনাযোগ্য অংশ।
আমরা যখন সুকুরির পরীক্ষা শুরু করি, তখন আমরা এটি থেকে অনেক কিছু আশা করেছিলাম। এটি ওয়ার্ডপ্রেসের জন্য সবচেয়ে জনপ্রিয় নিরাপত্তা প্লাগইনগুলির মধ্যে একটি, এবং স্ক্যানারটি আমাদের হ্যাক করা পরীক্ষার সাইটে কোনও ম্যালওয়্যার সনাক্ত করতে ব্যর্থ হয়েছে তা দেখে আমরা হতবাক হয়ে গিয়েছিলাম৷ আমরা পরবর্তী বিভাগে আরও বিশদে যাব, তবে এটি আমাদের সম্পূর্ণ পরীক্ষার প্রক্রিয়ার জন্য সুর সেট করে।
ব্যর্থতার উপরে, স্ক্যানটি সম্পূর্ণ হতে অনেক সময় নেয় এবং এটি করতে আমাদের সার্ভার সংস্থানগুলি ব্যবহার করে। ওয়েবসাইটের কর্মক্ষমতার উপর প্রভাবের কারণে সুকুরি নিজেই অনেকগুলি স্ক্যানকে নিরুৎসাহিত করে। পারফরম্যান্স এবং নিরাপত্তার মধ্যে এটি একটি ভয়ঙ্কর ট্রেড-অফ, এবং এটি হওয়া উচিত নয়।
ফায়ারওয়াল এবং ম্যালওয়্যার অপসারণ পরিষেবাগুলিতে এগিয়ে যাওয়া, সুকুরি ভাল করেছে। ফায়ারওয়াল কনফিগার করা খুব কঠিন ছিল এবং এটি করতে আমাদের অত্যধিক সময় লেগেছে। কিন্তু এটি আমাদের চেষ্টা করা আক্রমণগুলিকে অবরুদ্ধ করে, এবং আমরা কোনও দুর্বলতা কাজে লাগাতে পারিনি।
ম্যালওয়্যার অপসারণ পরিষেবা যদিও আমাদের পরীক্ষার অভিজ্ঞতার হাইলাইট ছিল। যদিও স্ক্যানারটি আমাদের হ্যাক করা ওয়েবসাইটটিকে স্বাস্থ্যের একটি পরিষ্কার বিল দিয়েছে, আমরা জানতাম এটি ম্যালওয়্যারে পূর্ণ। প্রথমত, আমরা সেখানে ম্যালওয়্যার রাখি এবং দ্বিতীয়ত ম্যালকেয়ার স্ক্যান এই রোগ নির্ণয় নিশ্চিত করেছে। Sucuri টিম আমাদের সাইট থেকে ম্যালওয়্যারের প্রতিটি ট্রেস মুছে ফেলেছে, এবং এর ফলে এটি পরিষ্কার ছিল। চমত্কার! এই কেকের চেরিটি ছিল যে আপনার পরিকল্পনার অংশ হিসাবে আপনার কাছে সীমাহীন ম্যালওয়্যার অপসারণের অনুরোধ থাকতে পারে, যা একটি দুর্দান্ত চুক্তি।
ফায়ারওয়াল ছাড়াও, সেটিংস খুব অস্পষ্ট। আমরা ব্যবহার করা প্রচুর পরিভাষা নিয়ে নিজেদেরকে বিভ্রান্তিকর মনে করেছি এবং এটি ওয়ার্ডপ্রেস নিরাপত্তার দক্ষতার সাথে। ইন্টারফেসটি ব্যবহারকারী-বান্ধব নয়, এবং আমরা নিশ্চিত যে অনেক লোক এটিকে অপ্রয়োজনীয়ভাবে উদ্বেগজনক মনে করবে। সেখানে সুকুরির জন্য মাইনাস পয়েন্ট।
সব মিলিয়ে, আমরা মনে করি না সুকুরি একটি ওয়ার্ডপ্রেস ওয়েবসাইটের জন্য সেরা নিরাপত্তা সমাধান। এই সম্মানটি ম্যালকয়ারে যায়, কারণ একটি স্ক্যানার যা প্রতিবার কাজ করে। ম্যালকেয়ার বোনাস পয়েন্টও পায় যা আমাদের অযৌক্তিক বোধ করে না।
কিভাবে আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের জন্য সঠিক নিরাপত্তা প্লাগইন নির্বাচন করবেন
আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের নিরাপত্তা অ-আলোচনাযোগ্য। ম্যালওয়্যার ব্যবসার জন্য অগণিত ক্ষতির কারণ হতে পারে:হারানো রাজস্ব, মামলা, ক্লিনআপ খরচ, ব্র্যান্ডিংয়ের উপর প্রভাব, জৈব ট্র্যাফিকের ক্ষতি এবং আরও অনেক কিছু। সঠিক প্লাগইনে বিনিয়োগ করা আপনাকে হ্যাকার এবং ম্যালওয়্যার থেকে বাঁচাবে এবং ম্যালওয়্যার এর জেরে যে সমস্যাগুলি ছেড়ে দেয়।
যদিও প্রশ্ন হল:আপনি কীভাবে আপনার ওয়েবসাইটের জন্য একটি কার্যকর নিরাপত্তা প্লাগইন চয়ন করবেন?
যখন আমরা আমাদের পরীক্ষাগুলি সেট আপ করি, তখন বিবেচনা করার জন্য বেশ কয়েকটি কারণ ছিল:নিরাপত্তা, অবশ্যই, তবে ব্যবহারের সহজতা এবং অর্থের মূল্যও। যাইহোক, আমরা শীঘ্রই বুঝতে পেরেছি যে নিরাপত্তা ছাড়া সমস্ত কারণ অর্থহীন হয়ে গেছে, কারণ একটি প্লাগইন নিরাপত্তার ক্ষেত্রে কতটা কার্যকর তা একমাত্র বিবেচনা করা উচিত।
সুতরাং একটি নিরাপত্তা প্লাগইন নির্বাচন করার সময় এখানে বিবেচনা করার বিষয়গুলি রয়েছে৷
- প্রয়োজনীয় নিরাপত্তা বৈশিষ্ট্য
- ম্যালওয়্যার স্ক্যানিং
- ম্যালওয়্যার পরিষ্কার করা
- ফায়ারওয়াল
- উন্নত নিরাপত্তা বৈশিষ্ট্য
- ভালনারেবিলিটি ডিটেকশন
- ব্রুট ফোর্স লগইন সুরক্ষা
- ক্রিয়াকলাপ লগ
- টু-ফ্যাক্টর প্রমাণীকরণ
- সম্ভাব্য সমস্যা
- সার্ভার সম্পদের উপর প্রভাব
আপনি তালিকা থেকে দেখতে পারেন, শুধুমাত্র 3 কারণ সম্পূর্ণরূপে অপরিহার্য। ম্যালকেয়ার অ্যাসেস সব 3:ম্যালওয়্যার স্ক্যান করা এবং পরিষ্কার করা যা অন্যান্য প্লাগইনগুলি মিস করার গ্যারান্টিযুক্ত, এবং একটি শক্তিশালী ফায়ারওয়াল দিয়ে আপনার ওয়েবসাইটকে ক্ষতিকারক ট্র্যাফিক থেকে রক্ষা করে৷ তাছাড়া, বর্তমানে উপলব্ধ অন্য যেকোন সিকিউরিটি প্লাগইনের চেয়ে MalCare এটি ভালো করে।
iThemes সিকিউরিটি বনাম Sucuri:ফিচারের মাথা থেকে মাথার তুলনা
আমরা যেভাবে এই তুলনাটি তৈরি করেছি তা হল প্রথমে সবচেয়ে প্রয়োজনীয় বৈশিষ্ট্যগুলি গ্রহণ করা, এবং তারপরে পরীক্ষার সময় উপস্থিত হওয়া অন্যান্য পর্যবেক্ষণগুলি নিয়ে আলোচনা করা। প্রায়শই, আমরা এমন বৈশিষ্ট্য এবং সেটিংস দেখেছি যা কিছুই করেনি (আমরা iThemes সম্পর্কে কথা বলছি) এবং এখনও নিরাপত্তার একটি বিস্তৃত বিভ্রম আঁকা।
গম পেতে তুষের মধ্য দিয়ে কাটা সহজ ছিল না, কিন্তু আমরা আমাদের সমস্ত ডেটা যতটা সম্ভব পরিষ্কারভাবে এবং ন্যায্যভাবে উপস্থাপন করতে যাচ্ছি।
আপনি যদি এই টিয়ারডাউনটি এড়িয়ে যেতে চান তবে আমরা ম্যালকেয়ার ইনস্টল করার পরামর্শ দিই৷
৷ম্যালওয়্যার স্ক্যানিং
সুকুরির স্ক্যানার আমাদের ওয়েবসাইটে কোনো ম্যালওয়্যার শনাক্ত করতে পারেনি। এটি কত দ্রুত স্ক্যান শেষ করেছে তা বিচার করে, iThemes এমনকি ম্যালওয়্যারের জন্য আমাদের ওয়েবসাইট স্ক্যান করেনি।
সুকুরির বিনামূল্যের এবং অর্থপ্রদানের সংস্করণ উভয়েরই স্ক্যানার রয়েছে, তাই আমরা দেখতে আগ্রহী ছিলাম যে এটি ভিন্নভাবে কাজ করে কিনা। বিনামূল্যের সংস্করণটি Sucuri SiteCheck দ্বারা চালিত, একটি অনলাইন ইউটিলিটি যা ম্যালওয়ারের জন্য আপনার ওয়েবসাইটের সর্বজনীনভাবে দৃশ্যমান অংশগুলি স্ক্যান করে৷ অবশ্যই, এর সীমাবদ্ধতা রয়েছে, তাই SiteCheck থেকে একটি ক্লিন চিট ম্যালওয়্যার-মুক্ত ওয়েবসাইটের গ্যারান্টি নয়।
প্রদত্ত প্ল্যানে একটি সার্ভার-স্তরের স্ক্যানার রয়েছে যা আপনাকে আপনার ওয়েব সার্ভারে ইনস্টল করতে হবে। হয় আপনি ম্যানুয়ালি এটি করতে পারেন, অথবা স্বয়ংক্রিয়ভাবে ইনস্টল করতে আপনার Sucuri ড্যাশবোর্ডে আপনার FTP বিবরণ ইনপুট করুন। এটি একটি অপেক্ষাকৃত ব্যথাহীন প্রক্রিয়া ছিল।
স্ক্যানারটি প্রতিদিন চালানোর জন্য সেট করা হয়েছে, তবে আপনি চাহিদা অনুযায়ী স্ক্যান করতে পারেন-একটি পরিমাণে। অতিরিক্ত স্ক্যান অনুরোধ একটি সারিতে রাখা হয় এবং তারপর মৃত্যুদন্ড কার্যকর করা হয়. সুকুরি অনেক বেশি স্ক্যান ব্যবহার করার বিরুদ্ধে সতর্ক করে কারণ স্ক্যানগুলি সার্ভারের সম্পদ ব্যবহার করে।
এটি আমাদের বিরতি দিয়েছে, কারণ আমরা তখন বুঝতে পেরেছি যে Sucuri স্ক্যান চালানোর জন্য আমাদের ওয়েবসাইটের সংস্থানগুলি ব্যবহার করে। আমাদের পরীক্ষার সাইটগুলির সাথে, ড্রেনটি খুব বেশি গুরুতর ছিল না কারণ সাইটগুলি ছোট এবং কোনও বাহ্যিক ট্রাফিক নেই৷ যাইহোক, আমরা অবশ্যই আমাদের CPU ব্যবহারে একটি ব্লিপ দেখেছি। একটি পরবর্তী বিভাগে যে আরো.
প্রো সংস্করণটি আমাদের হ্যাক করা ওয়েবসাইটে কোনও ম্যালওয়্যার সনাক্ত করেনি। এটি আশ্চর্যজনক ছিল, কারণ আমাদের ম্যালকেয়ার স্ক্যান ফলাফল স্পষ্টভাবে ম্যালওয়্যারটিকে চিহ্নিত করেছে৷ তাই আমরা একটি ম্যানুয়াল অপসারণের অনুরোধ উত্থাপন করেছি। একবার অনুরোধটি সুকুরির দল দ্বারা পরিচালনা করা হলে, সাইটটি ম্যালকয়ারে পরিষ্কার দেখায়। কিন্তু তখনই সুকুরি স্ক্যানার ওয়েবসাইটে ম্যালওয়্যারটিকে পতাকাঙ্কিত করে। এটা খুব অদ্ভুত ছিল.
সৌভাগ্যবশত, iThemes স্ক্যানারের সাথে কোন সমস্যা ছিল না। এটি বিশুদ্ধ এবং সহজ ম্যালওয়ারের জন্য স্ক্যান করে না। iThemes স্ক্যানার শুধুমাত্র আপনার ওয়েবসাইট Google এর কালো তালিকায় আছে কিনা তা পরীক্ষা করে। এটাই. আমরা এটা দেখে অবাক হয়েছিলাম যে আমাদের সাইটগুলি আসলে কালো তালিকায় ছিল না, কারণ সেগুলি সূচীভুক্ত নয়৷
ম্যালওয়্যার পরিষ্কার করা
ম্যালওয়্যার পরিষ্কার করা iThemes বৈশিষ্ট্য তালিকায় নেই, তাই স্পষ্টতই ম্যালওয়্যার পরিষ্কার করতে পারে না। Sucuri তাদের প্রদত্ত পরিকল্পনার অংশ হিসাবে সীমাহীন ম্যালওয়্যার অপসারণ পরিষেবা রয়েছে৷ আপনার পরিকল্পনার উপর নির্ভর করে, আপনার ওয়েবসাইটটি 6 থেকে 30 ঘন্টার মধ্যে যেকোনো জায়গায় পরিষ্কার করা হবে।
যদিও সুকুরির স্ক্যান ফলাফল বলেছে যে আমাদের ওয়েবসাইটে ম্যালওয়্যার নেই, আমরা স্পষ্টতই জানতাম যে এটি ছিল না। সর্বত্র ম্যালওয়্যার ছিল:ফাইল এবং ডাটাবেসে। আমরা ভাল পরিমাপের জন্য সেখানে পিছনের দরজা একটি গুচ্ছ ছিল. ম্যালকেয়ার স্ক্যানারগুলি নিশ্চিত করেছে যে আমাদের পরীক্ষার সাইটগুলি প্রকৃতপক্ষে ম্যালওয়্যার দ্বারা আক্রান্ত ছিল৷
তাই আমরা Sucuri-এর সাথে একটি ম্যালওয়্যার অপসারণের অনুরোধ উত্থাপন করেছি, স্পষ্টভাবে ইঙ্গিত করে যে আমাদের সন্দেহ হয় যে সাইটে ম্যালওয়্যার রয়েছে৷ একটি অনুরোধ উত্থাপন করতে, আপনাকে একটি ফর্ম পূরণ করতে হবে এবং পরিষ্কারের জন্য FTP বিশদ প্রদান করতে হবে। এবং তারপর ফলাফলের জন্য অপেক্ষা করুন।
সাইড নোট:অপসারণের অনুরোধ ফর্মটিতে একটি আকর্ষণীয় ড্রপডাউন ছিল যা আপনি যে সম্ভাব্য লক্ষণগুলি দেখতে পাচ্ছেন তা তালিকাভুক্ত করে৷ এছাড়াও, আমাদের বিনোদনের জন্য, আপনাকে আপনার প্রযুক্তিগত দক্ষতার স্তর নির্দেশ করতে হয়েছিল, তাই আমরা বেছে নিয়েছি:“কোন দক্ষতা নেই, দয়া করে সবকিছু পরিষ্কারভাবে ব্যাখ্যা করুন৷ ”
সুকুরির কৃতিত্ব, তাদের দল আমাদের সাইট থেকে সমস্ত ম্যালওয়্যার সরিয়ে দিয়েছে। এছাড়াও, যদিও আমাদের প্ল্যানের শর্তাবলী বলেছিল যে আমরা 30 ঘন্টার মধ্যে একটি রেজোলিউশন আশা করতে পারি, আমরা 10 এরও কম সময়ের মধ্যে শুনলাম। সুতরাং এটি Sucuri-এর ম্যালওয়্যার অপসারণ পরিষেবার জন্য একটি বিশাল থাম্বস আপ ছিল।
আমরা MalCare-এর সাথে নিশ্চিত করেছি যে সমস্ত ম্যালওয়্যার সরানো হয়েছে, এবং তারপরে সুকুরির স্ক্যানার এখন সাইটটিকে সংক্রামিত হিসাবে পতাকাঙ্কিত করে দেখে অবাক হয়েছি—তাদের দল পরিষ্কার করার পরে। এটি ছিল অদ্ভুত।
অন্যদিকে, iThemes ম্যালওয়্যার পরিষ্কার করতে পারে না, তাই পরীক্ষা করার মতো কিছুই ছিল না। সৌভাগ্যক্রমে, তারা তাদের ওয়েবসাইটে এটি করার দাবি করে না।
সত্যি বলতে, ম্যালওয়্যার পরিষ্কার করা ওয়ার্ডপ্রেস নিরাপত্তার সবচেয়ে কঠিন অংশ এবং প্রায়শই সবচেয়ে দামি দিক। সুকুরির অর্থপ্রদানের পরিকল্পনাগুলিতে সীমাহীন পরিচ্ছন্নতা রয়েছে, যা দুর্দান্ত কারণ যদি দুর্বলতাগুলি সমাধান না করা হয় তবে ম্যালওয়্যার পুনরায় ঘটতে পারে। যদি পরিচ্ছন্নতার পরিষেবার সাথে খুঁজে পেতে আমাদের কোনও ত্রুটি থাকে তবে আপনাকে সমাধানের জন্য কিছুক্ষণ অপেক্ষা করতে হবে। ম্যালওয়্যারের ক্ষেত্রে, আমরা দেখেছি অল্প সময়ের মধ্যে সংক্রমণ দ্রুত বৃদ্ধি পায়, তাই এটি উদ্বেগের কারণ।
ম্যালকেয়ারের মাধ্যমে, আমরা মিনিটের মধ্যে ম্যালওয়্যার থেকে মুক্তি পেতে স্বয়ংক্রিয়-পরিষ্কার ফাংশন ব্যবহার করতে পারি। যখন আমরা সুকুরির জন্য অপেক্ষা করছিলাম তখন আমাদের কাছে ফিরে আসার জন্য, আমরা বুঝতে পেরেছিলাম যে একটি ব্যবসা-সমালোচনামূলক ওয়েবসাইটের জন্য দ্রুত পরিস্কার করার অপরিসীম মূল্য।
ফায়ারওয়াল
Sucuri এর ফায়ারওয়াল কাজ করে, এবং আমাদের সবচেয়ে সাধারণ আক্রমণগুলি রাখে। iThemes এর একটি ফায়ারওয়াল নেই।
একটি ফায়ারওয়াল হল ওয়েবসাইট নিরাপত্তার একটি গুরুত্বপূর্ণ উপাদান, কারণ তারা দূষিত ট্র্যাফিককে দূরে রাখে এবং শোষণ প্রতিরোধ করে। নিবন্ধের এই মুহুর্তে, আপনি শুনে অবাক হবেন না যে iThemes এর ফায়ারওয়াল নেই। কেন এটা হবে? এটি একটি নিরাপত্তা প্লাগইন হিসাবে অন্যান্য ক্ষেত্রে ব্যর্থ হয়।
অন্যদিকে, সুকুরি, আমাদের ওয়েবসাইটকে ওয়ার্ডপ্রেস আক্রমণ থেকে রক্ষা করেছে। আমরা এটিকে অনিয়ন্ত্রিত ফাইল আপলোড, XSS এবং SQL ইনজেকশনের মতো দুর্বলতার বিরুদ্ধে পরীক্ষা করেছি। ফায়ারওয়াল এই দুর্বলতাগুলিকে কাজে লাগানোর এবং ওয়েবসাইটে ম্যালওয়্যার আপলোড করার জন্য আমাদের সমস্ত প্রচেষ্টাকে অবরুদ্ধ করেছে৷ আমরা সমস্ত স্বচ্ছতার সাথে আরও জটিল আক্রমণ পরীক্ষা করতে পারিনি।
তাই সুকুরির ফায়ারওয়াল কাজ করে, কিন্তু ফায়ারওয়াল কনফিগার করা কতটা হতাশাজনক ছিল তাও আমাদের উল্লেখ করতে হবে। ফায়ারওয়াল যেভাবে কাজ করে তা হল এটি ইনকামিং ট্রাফিক এবং আপনার ওয়েবসাইটের মধ্যে একটি স্তরের মতো কাজ করে। তাই সমস্ত ট্র্যাফিক প্রথমে সুকুরির ফায়ারওয়ালে আঘাত করে এবং তারপরে আপনার ওয়েবসাইটে পুনঃনির্দেশিত হয়।
আপনি কল্পনা করতে পারেন, এটি কিছু কনফিগারেশন লাগে। আপনি আপনার ওয়েবসাইটের জন্য যে ডোমেনটি ব্যবহার করেন তা প্রথমে Sucuri-এর দিকে নির্দেশ করতে হবে, ট্রাফিক বিশ্লেষণ করা হয় এবং তারপর অনুমোদিত ট্র্যাফিক আপনার ওয়েবসাইটে পাঠানো হয়। যা দুর্দান্ত, তবে আপনার যদি নেমসার্ভার এবং ডিএনএস কনফিগারেশনের সাথে দক্ষতা না থাকে তবে ফায়ারওয়াল সেট আপ করা একটি বেদনাদায়ক।
সামগ্রিকভাবে, বাক্সের বাইরে কাজ করে এমন একটি সুরক্ষা সমাধান থাকা আরও ভাল। আমাদের ওয়েবসাইট রক্ষা করার জন্য কোন জটিল কনফিগারেশন নেই। আপনি জানেন, ম্যালকেয়ারের সাথে আপনি যে ধরনের পান।
ভালনারেবিলিটি সনাক্তকরণ
সুকুরি আমাদের ওয়েবসাইটে বেশিরভাগ দুর্বলতা সনাক্ত করেছে, যদিও সেগুলি সবই নয়। iThemes কোনো খুঁজে পায়নি।
আমরা সার্ভার সাইড স্ক্যানার সক্ষম করার পরে, Sucuri সনাক্ত করেছে যে আমাদের ওয়েবসাইটে কয়েকটি দুর্বল প্লাগইন ইনস্টল করা আছে। এটি তাদের সব সনাক্ত করেনি, এবং সুপারিশটি কেবল তাদের আপডেট করার জন্য ছিল।
এছাড়াও, wp-admin-এ একটি পোস্ট-হ্যাক ভিউ রয়েছে যা বর্তমানে ইনস্টল করা প্লাগইন এবং থিম, তাদের ইনস্টল করা সংস্করণ এবং সর্বশেষ উপলব্ধ সংস্করণগুলি তালিকাভুক্ত করে। এই বিভাগের বর্ণনায়, Sucuri উল্লেখ করেছে যে দুর্বলতাগুলি ওয়েবসাইট নিরাপত্তার সাথে আবদ্ধ, এবং সবকিছু আপডেট রাখা একটি ভাল অভ্যাস। প্লাগইনের মাধ্যমে রুটিন নজরে কেউ সেখানে অবতরণ করবে এমন সম্ভাবনা নেই, তাই আমরা নিশ্চিত নই যে প্লেসমেন্টটি কার্যকর।
ম্যালওয়্যার অপসারণের অনুরোধের অংশ হিসাবে, Sucuri আমাদেরকে একটি বার্তা পাঠিয়েছে যাতে আমরা কঠোর করার ব্যবস্থা প্রয়োগ করি এবং আমাদের (2টির মধ্যে 3) দুর্বল প্লাগইনগুলি আপডেট করি। এটি তাদের পোস্ট-হ্যাক চেকলিস্টের অংশ।
iThemes দুর্বলতা ফ্ল্যাগ করে না। তবে এটির ড্যাশবোর্ডে একটি অত্যন্ত অকেজো কাউন্টার রয়েছে, যা নির্দেশ করে যে প্লাগইনটি ইনস্টল করার সময় থেকে কতগুলি আপডেট করা হয়েছে। এই তথ্যটি কীভাবে কার্যকর হতে পারে, আমরা বুঝতে পারি না।
ব্রুট ফোর্স লগইন সুরক্ষা
সুকুরির পাশবিক শক্তির আক্রমণগুলিকে ব্লক করার এবং আপনাকে সতর্ক করার কথা, কিন্তু তাও করে না। iThemes কখনও কখনও করে, কখনও কখনও করে না। কোনটা খারাপ তা বলা মুশকিল।
iThemes প্রতিটি ভুল লগইন প্রচেষ্টাকে নৃশংস শক্তি আক্রমণ হিসাবে লগ করে, যা একজন ব্যবহারকারীকে দেখতে ভয়ঙ্কর। একটি ক্ষেত্রে, আমরা প্রকৃতপক্ষে পাসওয়ার্ড ভুলে গেছি।
যখন আমরা জোর করে লগইন পৃষ্ঠাটি বন্ধ করার চেষ্টা করেছি, তখন আমরা অসম ফলাফল দেখেছি। iThemes 1 সাইটের প্রচেষ্টা ব্লক করেছে কিন্তু অন্যটি নয়। আমরা এই বৈষম্যের কারণ কী তা খুঁজে বের করার চেষ্টা করেছি, কিন্তু একমাত্র পার্থক্য ছিল ওয়েবসাইটে ম্যালওয়্যার৷ যেহেতু ম্যালওয়্যার সাধারণত সফল ব্রুট ফোর্স আক্রমণের পরিণতি হয়, তাই আমরা মনে করি না এটি কারণ। সম্ভবত, একটি বাগ আছে বলে মনে হচ্ছে যা বৈশিষ্ট্যটিকে বিক্ষিপ্তভাবে কাজ করে। বাস্তবে, এটি অর্থহীন।
সুকুরি আমাদের জন্য আশা জাগিয়েছিল, কারণ নৃশংস শক্তি আক্রমণের জন্য বিকল্পগুলির একটি দানাদার সেট রয়েছে। আপনি ব্যর্থ প্রচেষ্টার সংখ্যা সেট করতে পারেন যা একটি নৃশংস শক্তি আক্রমণ হিসাবে গণ্য হয়। আমরা এটিকে প্রতি ঘন্টায় খুব শালীন 30টি প্রচেষ্টাতে সেট করেছি, যদিও লগইন আক্রমণগুলি সাধারণত প্রতি মিনিটে 100 বার হয়৷
লকআউটের জন্য সমস্ত সেটিংস দেখার পরে, আমরা সাইট থেকে লক আউট হওয়ার বিষয়ে কিছুটা শঙ্কিত ছিলাম। আমরা MalCare বন্ধ করে দিয়েছিলাম, যাতে MalCare-এর লগইন সুরক্ষা প্রচেষ্টাটিকে ব্লক না করে। যাইহোক, কিছুই হয়নি। আমরা 3 মিনিটের মধ্যে 40+ ভুল লগইন করার চেষ্টা করেছি, এবং তবুও Sucuri কোনো সতর্কতা জারি করেনি। অডিট লগ চেক করা হয়েছে এবং ব্যর্থ প্রমাণীকরণ সব ঠিক দেখায়. কিন্তু, কোনো সতর্কতা নেই। লকআউট নেই। কিছুই না।
অ্যাক্টিভিটি লগ
iThemes একটি অসম্পূর্ণ কার্যকলাপ লগ বৈশিষ্ট্য আছে. Sucuri একটি ভাল আছে, কিন্তু অস্পষ্ট হতে পারে.
Sucuri-এর অডিট লগ নামে একটি বৈশিষ্ট্য রয়েছে, যা ব্যবহারকারী, প্লাগইন এবং থিম থেকে সমস্ত অ্যাকশন ট্র্যাক করে। বৈশিষ্ট্যটি প্রত্যাশিত হিসাবে কাজ করে, তবে একটি সেটিংস আমাদের বিরতি দিয়েছে। "লগ মুছে ফেলা থেকে আক্রমণকারীদের প্রতিরোধ করতে" আপনার একটি API কী প্রয়োজন৷ এটি মূলত Sucuri কে ওয়েবসাইট অফসাইট সম্পর্কে ডেটা সংগ্রহ এবং সঞ্চয় করার অনুমতি দেয়, যা ভাল, কিন্তু তারা যে ভাষা ব্যবহার করে তা অন্তত বলতে গেলে বিরক্তিকর। ব্যবহারযোগ্যতা বিভাগে যে সম্পর্কে আরো.
লগগুলি যেমন কাজ করে, ভাল, লগ, এবং টাইমস্ট্যাম্প, ব্যবহারকারী এবং ক্রিয়া সংগ্রহ করে, সেগুলি খুব অস্পষ্ট হতে পারে। উদাহরণস্বরূপ, আমরা একটি নতুন প্লাগইন ইনস্টল করেছি যা প্লাগইন সক্রিয় হিসাবে দেখায়। এ পর্যন্ত সব ঠিকই. এবং লগটিতে আরও 7টি এন্ট্রি রয়েছে যা দেখায় যে ইনস্টলেশনটি কী প্রভাবিত করেছে৷ কিন্তু এই এন্ট্রিগুলির অর্থ কী তা সম্পর্কে সামান্য ব্যাখ্যা নেই। এই পরিবর্তিত ফাইল বা ফোল্ডার, সম্ভবত? না, আমরা পরে বুঝতে পেরেছি যে এই বিশেষ প্লাগইন, যা একটি গ্যালারি প্লাগইন, পোস্টের জন্য টেমপ্লেট পরিবর্তন করেছে। এটি বোধগম্য, কিন্তু উদ্ঘাটনটি সুকুরির কাছ থেকে আসেনি।
একটি কার্যকলাপ লগ আপনার ওয়েবসাইট নিরাপত্তা টুলকিট একটি গুরুত্বপূর্ণ অংশ. হ্যাকাররা সাইটগুলিতে আক্রমণ করার জন্য অপর্যাপ্ত লগিংয়ের সুবিধা নেয় এবং তাই আপনার একটি নির্ভরযোগ্য লগের জন্য রাখা উচিত যা আপনি আপনার ওয়েবসাইট সম্পর্কে সঠিক তথ্য ভাগ করার জন্য বিশ্বাস করতে পারেন।
মূলত, iThemes এর মত নয়। এখানে অ্যাক্টিভিটি লগে ব্যবহারকারীর কার্যকলাপ, সংস্করণ পরিচালনা, সাইট স্ক্যান এবং ব্রুট ফোর্স আক্রমণের মতো কিছু দরকারী তথ্য রয়েছে। প্লাগইন বা থিম সম্পর্কে কিছুই যদিও. একটি পৃথক বৈশিষ্ট্য রয়েছে যা আপনাকে প্রতিদিন একটি ফাইল পরিবর্তন প্রতিবেদন ইমেল করে। সব মিলিয়ে, লগগুলি অপর্যাপ্ত কারণ সেগুলি আপনার ওয়েবসাইটের একটি সঠিক ছবি আঁকে না৷
টু-ফ্যাক্টর প্রমাণীকরণ
iThemes এর একটি দুর্দান্ত দ্বি-ফ্যাক্টর প্রমাণীকরণ বৈশিষ্ট্য রয়েছে যা বাক্সের বাইরে কাজ করে। সুকুরি করে না।
এটিতে iThemes এবং সিরিজের অন্যান্য অনুরূপ নিবন্ধগুলিকে ট্র্যাশ করার পরে, আমরা রিপোর্ট করতে পেরে খুশি যে এটিই একমাত্র নিরাপত্তা বৈশিষ্ট্য যা আসলে iThemes-এ কাজ করে-এবং এটি বেশ ভাল কাজ করে।
iThemes-এ দুই-ফ্যাক্টর প্রমাণীকরণ বৈশিষ্ট্যটি খুবই শক্তিশালী। এটিতে এক টন কাস্টমাইজেশন রয়েছে এবং এটি কোনও ঝামেলা ছাড়াই বাক্সের বাইরে কাজ করে৷ প্লাগইনটি শক্তিশালী পাসওয়ার্ড প্রয়োগ করতেও সাহায্য করে, যার জন্য আমরা দৃঢ়ভাবে সমর্থন করি।
এখানে আমাদের একমাত্র উদ্বেগের বিষয় হল iThemes প্রো সংস্করণে অনেকগুলি সেটিংস রয়েছে যা ব্যবহারের সহজতার জন্য লগইন টোকেনগুলি সরিয়ে দেয়:পাসওয়ার্ডহীন লগইন, বিশ্বস্ত ডিভাইস, জাদু লিঙ্ক এবং আরও অনেক কিছু। এগুলি লগ ইন করার প্রক্রিয়াকে মসৃণ করার জন্য উপযোগী হলেও, তারা দ্বি-ফ্যাক্টর প্রমাণীকরণের উদ্দেশ্যকে হারায়।
আমরা যখন সুকুরি পরীক্ষা করেছি তখন আমরা দ্বি-ফ্যাক্টর প্রমাণীকরণের সন্ধান করেছি। আমরা খুঁজে পেয়েছি এটি Sucuri ড্যাশবোর্ডে বিদ্যমান। যাইহোক, আমরা উভয়েই বিস্মিত এবং বিস্মিত হয়েছি এই উপলব্ধি দ্বারা যে দ্বি-ফ্যাক্টর প্রমাণীকরণ আপনার Sucuri অ্যাকাউন্টের জন্য উপলব্ধ, আপনার WordPress ওয়েবসাইটের জন্য নয়।
সার্ভার সম্পদ ব্যবহার
iThemes আপনার সার্ভারের সংস্থানগুলিকে একেবারেই নিষ্কাশন করবে না, কারণ এটি কিছুই করে না। Sucuri এর স্ক্যানের মাধ্যমে আপনার ওয়েবসাইটের কর্মক্ষমতা নষ্ট করে দেবে।
মজার বিষয় হল, লোকেরা প্রায়শই নিরাপত্তার প্রসঙ্গে সার্ভারের সংস্থান সম্পর্কে আমাদের জিজ্ঞাসা করে না। কিন্তু আদর্শভাবে, আপনি চান আপনার ওয়েবসাইট সুরক্ষিত থাকুক এবং প্রক্রিয়ায় ক্রল করার জন্য ধীরগতি না হোক। সুকুরির স্ক্যানার আপনার সাইটে এটি করবে।
সুকুরি স্ক্যানগুলি ওয়েবসাইটের সার্ভার সংস্থানগুলি সরাসরি ব্যবহার করার দাবি করে। আসলে, তারা সেই কারণে ঘন ঘন স্ক্যানকে নিরুৎসাহিত করে বলে মনে হচ্ছে। সত্যি বলতে কি, এটা ভয়ানক। কেন একদিকে পারফরম্যান্স এবং যুক্তিসঙ্গত সার্ভার বিল এবং অন্যদিকে নিরাপত্তার মধ্যে কাউকে বেছে নিতে হবে? যদিও তারা মজা করছিল না। আমরা সুকুরি ইনস্টল করার সাথে সাথে সার্ভারের সংস্থানগুলিতে একটি বিশাল স্পাইক হয়েছিল এবং তারপরে একটি দ্বিতীয় স্ক্যান চালানো হয়েছিল। যদি একটি ছোট সাইটে পার্থক্য এত লক্ষণীয় হয়, একটি বড় সাইটে এটি যথেষ্ট বেশি হবে।
অতিরিক্তভাবে, ড্যাশবোর্ডে সাধারণ সেটিংসে, ডেটা স্টোরেজের জন্য একটি সেটিংস রয়েছে যা নির্দেশ করে যে Sucuri ওয়েবসাইটেই প্রচুর ডেটা (বেশিরভাগই এটির চেহারা দ্বারা লগ করে) সঞ্চয় করে। এই কারণেই সম্ভবত একটি API কী প্রয়োজনীয়, কারণ এটি সবই ডিফল্টরূপে আপলোড ফোল্ডারে থাকে, যা একটি সর্বজনীনভাবে অ্যাক্সেসযোগ্য ফোল্ডার৷ একটি অ-সর্বজনীনভাবে অ্যাক্সেসযোগ্য ফোল্ডারে সঞ্চয়স্থান পরিবর্তন করার একটি বিকল্প রয়েছে, তবে এটি শুরু করার জন্য ডিফল্ট হওয়া উচিত ছিল৷
iThemes আপনার সার্ভার সংস্থান নিষ্কাশন করবে না। এটা কিভাবে করতে পারে, যখন এটি কিছুই করে না?
সতর্কতা
iThemes আপনাকে কিছুর জন্য সতর্ক করে না। সুকুরি করে, তবে আপনি কী সতর্কতা পেতে চান সে সম্পর্কে আপনাকে সতর্ক থাকতে হবে। আপনার ইনবক্স ঘন্টার মধ্যে পূর্ণ হতে পারে.
সুকুরি আপনাকে নির্দিষ্ট লোকেদের কাছে পাঠানোর জন্য সতর্কতা সেট আপ করতে, সতর্কতার ফর্ম্যাট কাস্টমাইজ করতে এবং আরও অনেক কিছু করতে দেয়। আপনি আইপি ঠিকানা ব্যাপ্তি যোগ করতে পারেন যাতে সেই ঠিকানাগুলি সতর্কতার জন্য পতাকাঙ্কিত না হয়। যদিও পরিভাষায় ভরা বর্ণনার জন্য সতর্ক থাকুন। শ্রেণিহীন আন্তঃ ডোমেইন রাউটিং কি '? আমরা জানতে চাইনি, শুধু ওয়েবসাইট রক্ষা করতে চেয়েছিলাম।
সতর্কতার জন্য দানাদার সেটিংস দ্বারা বিচার করে, সুকুরি তীব্রভাবে সচেতন বলে মনে হচ্ছে যে তারা সম্ভাব্য অনেকগুলি সতর্কতা পাঠায়। এক ঘন্টার মধ্যে প্রাপ্ত সর্বাধিক সতর্কতা কনফিগার করার জন্য একটি সেটিং রয়েছে, বলুন 5টি পর্যন্ত ইমেল৷ এর সাথে সমস্যা হল:ধরুন প্রথম 5টি মিথ্যা ইতিবাচক ছিল, এবং 6 তমটি নয়? সেখানে একটি দাবিত্যাগ আছে—কিন্তু আবার—একটি অকেজো বৈশিষ্ট্য বনাম প্রকৃত তথ্য থাকা ভালো। এখানে আমাদের টেকঅ্যাওয়ে হল যে কোনও অ্যাডমিন গাছের জন্য বন দেখতে যাচ্ছে না। শুধু উপায় অত্যধিক শব্দ আছে.
আশ্চর্যজনকভাবে, আমরা এখনও iThemes পর্যালোচনা করছি, হারিয়ে যাওয়া কারণের জন্য এটি ছেড়ে দিচ্ছি না। iThemes আমাদের ফাইল পরিবর্তন বিজ্ঞপ্তি রিপোর্ট, ডাটাবেস ব্যাকআপ, এবং আমাদের সেটিংস অন্যান্য নিশ্চিতকরণ পাঠিয়েছে. আমরা আমাদের ওয়েবসাইট সম্পর্কে একটি দৈনিক নিরাপত্তা ডাইজেস্ট এবং সপ্তাহে একবার একটি দুর্বলতার প্রতিবেদনে সদস্যতা পেয়েছি, সম্ভবত তাই আমরা আমাদের ওয়েবসাইটের বিরুদ্ধে সেগুলি পরীক্ষা করতে পারি। এটি একটি সাইটের সাথে যথেষ্ট খারাপ ছিল, আরও সাইটগুলির সাথে এটি সম্পূর্ণরূপে হাতের বাইরে চলে যেতে পারে৷
ইনস্টলেশন, কনফিগারেশন, এবং ব্যবহারযোগ্যতা
বিভ্রান্তিকর কনফিগারেশন বিকল্পগুলির কারণে iThemes ইনস্টলেশন আশ্চর্যজনকভাবে কঠিন ছিল। সুকুরি মোটামুটি সোজা ছিল, কিন্তু প্লাগইনের কনফিগারেশন বিকল্পগুলি ভয়ঙ্করভাবে ভয়ঙ্কর ছিল।
iThemes ছিল প্রথম প্লাগইন যা আমরা পরীক্ষা করেছি, তাই এটি প্রাথমিকভাবে সহজ বলে মনে হয়েছিল। এটি সবচেয়ে অকেজো সেটিংসের জন্য বার সেট করে। একটি নিরাপত্তা ড্যাশবোর্ড তৈরি করতে সক্ষম হওয়ার জন্য আপনাকে একটি কনফিগারেশনের মধ্য দিয়ে যেতে হবে। আমরা প্রতিটি সেটিংসের মধ্য দিয়ে গিয়েছিলাম, কিন্তু সেগুলির কোনোটিরই নিরাপত্তার উপর প্রকৃত প্রভাব নেই, তাই আমরা সেগুলিকে এলোমেলোভাবে সেট করে রেখেছি।
Sucuri কোনো ঝামেলা ছাড়াই ইনস্টল করা হয়েছে, এবং প্লাগইনটি নিজেরাই সেট আপ করা হয়েছে। প্রদত্ত বৈশিষ্ট্যগুলি অ্যাক্সেস করার জন্য আমাদের সুকুরির সাথে একটি অ্যাকাউন্ট তৈরি করতে হয়েছিল। এছাড়াও, এটি উল্লেখ করার মতো যে সার্ভার সাইড স্ক্যানার ইনস্টল করতে, আপনাকে সুকুরি বাহ্যিক ড্যাশবোর্ড ব্যবহার করতে হবে। আপনার কাছে FTP বিশদ সহজেই উপলব্ধ থাকলে এটি করা কঠিন নয়, যদিও আমরা খুব বেশি পয়েন্ট দেখতে পাই না কারণ এটি কোনও ম্যালওয়্যার সনাক্ত করেনি।
আপনার wp-admin-এ iThemes ড্যাশবোর্ড হল শব্দ। প্রাসঙ্গিক কোনো নিরাপত্তা-সম্পর্কিত তথ্য নেই।
সুকুরির ড্যাশবোর্ড এবং সেটিংস অত্যন্ত জটিল। তারা যে প্রযুক্তিগত শব্দগুলি ব্যবহার করে তার দ্বারা তারা কী বোঝায় তা নির্ধারণ করার জন্য আমরা ঘন্টার পর ঘন্টা ব্যয় করেছি। কিছু ক্ষেত্রে, প্লাগইন আপনাকে প্রস্তাবিত সেটিং বলে, তাই ব্যবহারকারী মূলত অন্ধ বিশ্বাসে কাজ করছে। একমাত্র সমস্যা হল Sucuri অন্ধ বিশ্বাসকে অনুপ্রাণিত করে না, কারণ তাদের ম্যালওয়্যার স্ক্যানার কাজ করে না!
আমরা এই প্লাগইন বুঝতে সহজ হতে চান. এটি দেখতে খুব জটিল এবং অনেক কিছু করে বলে মনে হচ্ছে, কিন্তু আমরা নিশ্চিত হতে পারি না কারণ কিছু জিনিস যা আমরা গুরুত্বপূর্ণ বলে জানি, যেমন ব্রুট ফোর্স প্রোটেকশন, কাজ করছে বলে মনে হয় না।
ফায়ারওয়াল এবং সার্ভার সাইড স্ক্যানার আলাদাভাবে সক্রিয় করতে হবে। 3টি ওয়েবসাইট সহ এই প্লাগইনটি বের করতে আমাদের এক সপ্তাহের বেশি সময় লেগেছে। আমরা কেঁপে কেঁপে উঠি এই ভেবে যে কেউ বেশি সামলালে কি হবে। এটা সেট আপ করা তাই ক্লান্তিকর.
আমরা আবার বলতে চাই যে অ-প্রযুক্তি ব্যবহারকারীদের জন্য সেটিংস বোঝা কঠিন। আমরা জানতাম না যে লগ বিশ্লেষণ সফ্টওয়্যার বলে কিছু আছে। আমরা বিপরীত প্রক্সির জন্য আকর্ষণীয় মেসেজিংও দেখেছি, যেখানে সুকুরি সাহায্য করে আমাদেরকে এই বিকল্পটি সম্পর্কে চিন্তা না করার জন্য বলেছে যদি না আমরা জানি এটি কী। সংবেদনশীলতার সাথে বিভ্রান্তির জন্য ধন্যবাদ৷
iThemes:অতিরিক্ত
iThemes-এ একটি অত্যন্ত বিস্তৃত শ্বেততালিকা বৈশিষ্ট্য রয়েছে, যা আশ্চর্যজনক ছিল যতক্ষণ না আমরা বুঝতে পারি যে আমরা দেখেছি এমন সাইট লকআউট অভিযোগের একটি অত্যধিক সংখ্যক বলে মনে হচ্ছে। এর সাথে দুটি সমস্যা রয়েছে:একটি হল ডিভাইসের আইপি পরিবর্তিত হয়, তাই আপনার আইপিকে হোয়াইটলিস্ট করা ততটা নিরাপদ নয় যতটা আপনি মনে করেন; এবং দুই, আমরা লকআউট চালু করার জন্য যথাসাধ্য চেষ্টা করেছি। কিন্তু তা হয়নি।
ফাইল পরিবর্তন মনিটর আরেকটি বৈশিষ্ট্য যা একটি ভাল ধারণা মত শোনাচ্ছে, যদি না আপনি নিরাপত্তা সম্পর্কে কিছু জানেন। হ্যাকাররা ফাইলের টাইমস্ট্যাম্পগুলি পরিবর্তন করতে পারে, এমনকি এটি এমনভাবে দেখায় যে ফাইলটি কয়েক বছর ধরে সম্পাদনা করা হয়নি। অতিরিক্তভাবে এই মনিটরের জন্য একটি ফাইল টাইপ বর্জনের তালিকা রয়েছে। সত্যি বলতে, এটি ম্যালওয়্যার সম্পর্কে বোঝার অভাব দেখায়। ম্যালওয়্যার যেকোন ফাইলে লুকিয়ে রাখতে পারে, উদাহরণস্বরূপ .ico ফাইলগুলি সহ৷
iThemes এর একটি ভাল পাসওয়ার্ড ম্যানেজমেন্ট সিস্টেম আছে। আপনি শক্তিশালী পাসওয়ার্ড প্রয়োগ করতে পারেন এবং আপস করা পাসওয়ার্ডগুলিকে অনুমতি দিতে অস্বীকার করতে পারেন৷ আপনি চাইলে XML-RPC-এর জন্য অ্যাপ্লিকেশন পাসওয়ার্ড সেট করাও সম্ভব।
সবশেষে, iThemes এর কিছু শক্ত বৈশিষ্ট্য রয়েছে, যার বেশিরভাগই আমরা সুপারিশ করি না। আপলোড ফোল্ডারে পিএইচপি এক্সিকিউশনকে ব্লক করাই একমাত্র বোধগম্য। এটি একটি নির্দিষ্ট ধরণের ম্যালওয়্যার আক্রমণ প্রতিরোধ করে। অন্যদের, আমরা সম্পূর্ণ উপেক্ষা করার পরামর্শ দিই।
সুকুরি:অতিরিক্ত
wp-admin-এ Sucuri এর ড্যাশবোর্ডটি বেশ চিত্তাকর্ষক দেখাচ্ছে, কিন্তু ব্যাট থেকে আমরা দেখেছি যে সবচেয়ে বড় তথ্যবক্স হল ওয়ার্ডপ্রেস অখণ্ডতা। আশা করি এটি শুধুমাত্র বিনামূল্যের সংস্করণের জন্য যা আমরা বর্তমানে ব্যবহার করছি, কারণ এটি মূলত ওয়ার্ডপ্রেসের মূল ফাইলগুলির জন্য ফাইল পরিবর্তন মনিটরের একটি সাজানো সংস্করণ৷
কিছু ক্ষেত্রে, মূল ফাইলগুলিতে প্রচুর ম্যালওয়্যার প্রবেশ করে বিবেচনা করে আমরা এটি দরকারী হতে দেখতে পারি। বিপরীতভাবে, আমরা এটাও দেখতে পারি যে এটি একটি সিনকিউর হতে পারে কারণ অনভিজ্ঞ লোকেরা বিশ্বাস করতে পারে যে এটি ম্যালওয়্যারের পরিমাণ যা একটি ভীতিকর চিন্তা। মজার ব্যাপার হল, এটি পতাকাঙ্কিত 3টি ওয়ার্ডপ্রেস ইন্টিগ্রিটি ফাইলের মধ্যে 2টি ছিল MalCare থেকে:জরুরী সংযোগকারী এবং ফায়ারওয়াল।
সেটিংসের আরও গভীরে, মূল ফাইলগুলির তুলনা করতে এবং পার্থক্যগুলি খুঁজে পাওয়ার জন্য একটি অখণ্ডতা ডিফ ইউটিলিটি রয়েছে। এটি একটি অনলাইন ডিফচেকার ইউটিলিটির চেয়ে ব্যবহার করা সহজ হতে পারে।
প্রচুর পরিমাণে শক্ত করার বিকল্প ছিল:কিছু দরকারী, অন্যগুলি এত বেশি নয়। আমরা আপলোড ফোল্ডারে, ফায়ারওয়ালে পিএইচপি ব্লক করতে এবং স্বয়ংক্রিয় গোপন কী আপডেট সক্রিয় করতে পেরে পছন্দ করেছি, যা ওয়ার্ডপ্রেস সল্ট পরিবর্তন করে।
যাইহোক, ওয়ার্ডপ্রেস সংস্করণ যাচাই করা, ওয়ার্ডপ্রেস সংস্করণ অপসারণ করা, তথ্য ফাঁস এড়ানো (রিডমি ফাইলটি সরিয়ে দেয় যা ওয়ার্ডপ্রেস কেবল পুনরায় তৈরি করে), এবং ডিফল্ট অ্যাডমিন অ্যাকাউন্ট যাচাই করা হল ক্ষুদ্র নিরাপত্তা প্রভাব সহ নির্বোধ বৈশিষ্ট্য। সত্যি বলতে, পুরো নিরাপত্তা শিল্প এই কৌশলগুলি থেকে এগিয়েছে।
আপনি যদি প্লাগইন এবং থিম এডিটর অক্ষম করতে চান, তাহলে আপডেট করা কঠিন হবে। এটি এই ফোল্ডারগুলিতে পিএইচপি ফাইলগুলিতে অ্যাক্সেসের প্রয়োজন এমন কিছু প্লাগইন এবং থিম সম্পর্কে সতর্কতা অন্তর্ভুক্ত করে। This is inadequate. Case in point:Sucuri themselves save PHP files in the uploads folder. Do they not want access to their own files from their external dashboard? Or is that an exception to the rule? In which case, the rule seems flexible in ways that are hidden from the user.
We were interested to check out the post-hack feature on the wp-admin dashboard. After cleaning, you want to make sure you do everything to protect your website from future hacks. We liked the idea, until we looked a little further.
You can update secret keys—change wordpress salts—from the dashboard. The only problem with this is that it is in plaintext, visible to every admin logged into wp-admin. If a hacker has an account with admin access, this is ridiculously dangerous. This feature only makes sense if a user has verified that none of the admin accounts are compromised, and then changes the salts. A point which is not mentioned anywhere.
You can reset user passwords. Again, a seemingly good feature until you read the fine print:“Select users from the list in order to change their passwords, terminate their sessions and email them a password reset link. Please be aware that the plugin will change the passwords before sending the emails, meaning that if your web server is unable to send emails, your users will be locked out of the site.”
There is a place to see available plugin and theme updates, which is basic version management. It doesn’t add anything to the existing admin dashboard functionality. However, it may serve to educate people that outdated plugins and themes are connected to security.
What’s missing from iThemes Security and Sucuri
iThemes doesn’t have a firewall, which is a serious lacuna for your WordPress security. Firewalls protect sites from certain types of attacks, and are invaluable if your website has vulnerabilities.
Sucuri’s malware scanner is not adequate. So, even though the malware removal service is great, you have to guess that there is malware on your website because the scanner is not going to flag it.
iThemes Security vs Sucuri:Pricing
Sucuri’s Basic Platform plan at $199.99 a year per site is a good deal for unlimited malware removal services. However, considering it is supposed to have a working scanner as well, that’s all your sub will get for you. iThemes is not worth anything. Just don’t bother.
We’ve made our opinion about iThemes abundantly clear in this article. The only feature worth mentioning in iThemes is the two-factor authentication, which is available on the free plan. We definitely do not recommend the Pro plan.
Sucuri’s pricing is a steal for a malware removal service, but the fly in the ointment is the scanner. If you don’t know you have malware, you can’t submit a request for removal.
Better alternative to iThemes Security and Sucuri:MalCare
Invest in a good security plugin that will scan, clean and protect your website from hackers. Of all the plugins we tested for this series, MalCare stands out as the best option. MalCare trumps iThemes in, well, everything, and scans for malware better than Sucuri.
In fact MalCare’s $99 Basic plan is better than Sucuri’s $199.99 Basic Platform plan, with instant malware removal as well. It also includes unlimited cleanups
উপসংহার
The security of your website is of paramount importance. We’ve seen many customers skimp out on a security plugin, only to face devastating losses after a hack. One customer gave up after a point, and decided to rebuild his website from scratch. Malware is expensive, MalCare is not.
Did the article help you make a decision? We’d love to know! Do drop us a line.
