GoDaddy, সবচেয়ে বড় ওয়েব হোস্টগুলির মধ্যে একটি, 17ই নভেম্বর, 2021-এ একটি ডেটা লঙ্ঘন আবিষ্কার করেছে৷ WordPress সম্প্রদায় Godaddy ডেটা লঙ্ঘন নিয়ে আলোচনা করছে৷ প্রভাব কারণ নিরাপত্তা লঙ্ঘনের প্রাথমিক লক্ষ্য ছিল GoDaddy-এর পরিচালিত ওয়ার্ডপ্রেস গ্রাহকরা।
এই ধরণের খবরের সমস্যা হল যে সবাই ব্যান্ডওয়াগনের উপর ঝাঁপিয়ে পড়ার কারণে সর্বদা প্রচুর শব্দ হয়। 10 বছরের মধ্যে, আমরা ম্যালকেয়ারে দেখেছি যে ওয়ার্ডপ্রেস সুরক্ষা কী গঠন করে সে সম্পর্কে লোকেদের বিভ্রান্তিকর ধারণা রয়েছে। প্রায়শই পরামর্শটি কার্যকর হয় না এবং কিছু ক্ষেত্রে এটি ওয়েবসাইটগুলির জন্য সক্রিয়ভাবে ক্ষতিকারক হতে পারে।
GoDaddy গ্রাহকরা স্পষ্টতই আতঙ্কিত এবং তাদের উদ্বেগের স্পষ্ট এবং সোজা উত্তর খুঁজছেন। এই নিবন্ধে, আমরা যতটা সম্ভব সহজভাবে কী ঘটেছে তা বিচ্ছিন্ন করি এবং আপনাকে বলি যে আপনার পরবর্তী পদক্ষেপগুলি কী হওয়া উচিত৷
Godaddy ডেটা লঙ্ঘন:কি ঘটেছে এবং কেন সবাই আতঙ্কিত হয়ে পড়েছে
GoDaddy-এর একটি গুরুতর ডেটা লঙ্ঘন হয়েছিল যা তারা 17 নভেম্বর আবিষ্কার করেছিল এবং 22শে নভেম্বর একটি বিবৃতি প্রকাশ করেছিল৷ এটি যা নিচে গেছে তার একটি দ্রুত সারাংশ:
- তাদের তদন্ত অনুসারে, ডেটা 2.5 মাসেরও বেশি সময় ধরে আপোস করা হয়েছিল , তারা বুঝতে পারার আগেই এটা ঘটছে।
- 1.2 মিলিয়নের SFTP এবং ডাটাবেস শংসাপত্র তাদের পরিচালিত ওয়ার্ডপ্রেস গ্রাহকদের আপস করা হয়েছে.
- কিছু ওয়ার্ডপ্রেস অ্যাডমিন পাসওয়ার্ড উদ্ভাসিত হয়েছিল। এগুলি হল অ্যাডমিন পাসওয়ার্ড যা ওয়েবসাইটটি প্রথম তৈরি করার সময় সিস্টেম দ্বারা স্বয়ংক্রিয়ভাবে সেট করা হয়েছিল৷
- SSL ব্যক্তিগত কী নির্দিষ্ট ব্যবহারকারীদের জন্য আপস করা হয়েছে. একটি SSL প্রাইভেট কী একটি SSL সার্টিফিকেটের সবচেয়ে গুরুত্বপূর্ণ অংশ, এবং এটি এটিকে সুরক্ষিত করে তোলে তার মেরুদণ্ড। আপস করা ব্যক্তিগত কীগুলি SSL শংসাপত্রকে অনিরাপদ এবং মূল্যহীন করে তোলে।
- পরে আবিষ্কৃত হয় যে রিসেলাররাও Godaddy ডেটা লঙ্ঘনের দ্বারা প্রভাবিত হয়েছিল৷
GoDaddy ক্ষতি কমানোর চেষ্টা করেছে, এবং সম্ভবত সরাসরি তাদের ক্ষতিগ্রস্ত গ্রাহকদের কাছে পৌঁছেছে। যাইহোক, এইরকম সময়ে, GoDaddy থেকে আশ্বাসগুলি ভালভাবে গ্রহণ করা হবে না। এছাড়াও, তারা ক্ষয়ক্ষতি নিয়ন্ত্রণ এবং গ্রাহকদের ধরে রাখার জন্য যথাসাধ্য চেষ্টা করবে, যারা বোধগম্যভাবে ক্ষতিপূরণ চাইবে বা GoDaddy সম্পূর্ণভাবে ছেড়ে দিতে চাইবে।
Godaddy ডেটা লঙ্ঘন কীভাবে আপনাকে প্রভাবিত করে এবং এটি সম্পর্কে আপনার কী করা উচিত
আপনি যদি একজন পরিচালিত ওয়ার্ডপ্রেস গ্রাহক হন, GoDaddy দ্বারা ইস্যু করা একটি SSL শংসাপত্র থাকে, বা GoDaddy রিসেলারের মাধ্যমে হোস্টিং কিনে থাকেন, তাহলে আপনি GoDaddy ডেটা লঙ্ঘনের দ্বারা সবচেয়ে বেশি প্রভাবিত হন৷
আপনি যদি একজন পরিচালিত ওয়ার্ডপ্রেস গ্রাহক হন, তাহলে আপনার কী করা উচিত?
GoDaddy-এর পরিচালিত ওয়ার্ডপ্রেস গ্রাহকরা স্পষ্টতই ডেটা লঙ্ঘনের দ্বারা সবচেয়ে বেশি ক্ষতিগ্রস্থ হয়েছেন। GoDaddy-এর SEC ফাইলিং-এ যেমন প্রকাশ করা হয়েছে, হ্যাকারদের কাছে SFTP-এর পাশাপাশি প্ল্যাটফর্মে হোস্ট করা প্রতিটি সাইটের ডেটাবেস শংসাপত্রের অ্যাক্সেস ছিল।
যদিও অনেক মানুষ SFTP শংসাপত্রগুলি পরিষ্কার পাঠ্যে সংরক্ষিত হওয়ার বিষয়ে বিরক্ত, যা নিশ্চিতভাবে অত্যন্ত বিপজ্জনক, আমরা মনে করি যে আপস করা ডেটাবেস শংসাপত্রগুলি উদ্বেগের সবচেয়ে বড় কারণ৷
ডাটাবেস শংসাপত্রের সাহায্যে, যেকোনো ওয়ার্ডপ্রেস সাইটে সম্পূর্ণ অ্যাক্সেস লাভ করা সম্ভব। এসকিউএল ইনজেকশন আক্রমণগুলি এত বিপজ্জনক হওয়ার কারণগুলির মধ্যে এটি একটি৷
৷হ্যাকাররা যেকোন সময় ফাইল এবং ডাটাবেসে কপি, পরিবর্তন এবং যোগ করতে পারত। অতএব, এগিয়ে যাওয়ার সবচেয়ে নিরাপদ উপায় হল সবচেয়ে খারাপ অনুমান করা- যে হ্যাকারদের বর্তমানে আপনার সাইটে অ্যাক্সেস রয়েছে এবং আপনার ওয়েবসাইটে সম্ভাব্য ম্যালওয়্যার রয়েছে।
কিভাবে আপনার ওয়েবসাইট পুনরুদ্ধার করবেন
সব হারিয়ে যায়নি, এবং যদি আপনার ওয়েবসাইট এখনও কাজ করে, এই পরিস্থিতি সমাধান করা যেতে পারে. হ্যাকারদের কাছ থেকে আপনার ওয়েবসাইট পুনরুদ্ধার করতে আপনার নেওয়া উচিত এমন পদক্ষেপগুলি এখানে রয়েছে৷
1. ম্যালওয়ারের জন্য আপনার ওয়েবসাইট স্ক্যান করুন
আপনার প্রথম অগ্রাধিকার হল আপনার ওয়েবসাইটকে গভীরভাবে স্ক্যান করা কারণ ম্যালওয়্যার একেবারে যেকোনো জায়গায় হতে পারে:মূল ওয়ার্ডপ্রেস ফাইল, প্লাগইন এবং থিম ফোল্ডার এবং ডাটাবেস। আপোসকৃত শংসাপত্রগুলির মাধ্যমে, হ্যাকাররা দীর্ঘ সময়ের জন্য আপনার ওয়েবসাইট ফাইল এবং ডাটাবেসে অ্যাক্সেস পেয়েছে। অতএব, একটি ফ্রন্টএন্ড-স্তরের স্ক্যানার এটি কাটাতে যাচ্ছে না।
২. ম্যালওয়্যার সরান৷
আপনার ওয়েবসাইট হ্যাক হয়ে থাকলে দেরি না করে ম্যালওয়্যার পরিষ্কার করুন। আপনি ইতিমধ্যে উপসর্গগুলি দেখেছেন এবং সম্ভবত বুঝতে পারেননি যে সেগুলি ম্যালওয়্যার দ্বারা সৃষ্ট। যদি Google আপনার সাইটটিকে কালো তালিকাভুক্ত না করে থাকে, তাহলে আপনি একটি বুলেট এড়িয়ে গেছেন এবং শুধুমাত্র ম্যালওয়্যারটি অবিলম্বে পরিষ্কার করার দিকে মনোযোগ দিতে হবে। এটি দ্রুত এবং দক্ষতার সাথে করতে MalCare ব্যবহার করুন, যাতে আপনার ওয়েবসাইট যত তাড়াতাড়ি সম্ভব ট্র্যাকে ফিরে আসে।
আমরা ম্যানুয়ালি ম্যালওয়্যার সরানোর চেষ্টা করার পরামর্শ দিই না। হ্যাকাররা প্রায়শই ওয়েবসাইট কোডে চতুরভাবে লুকানো ব্যাকডোর যোগ করে, যাতে ম্যালওয়্যার শনাক্ত করা এবং সরিয়ে দেওয়া হলেও, তারা ব্যাকডোর দিয়ে অ্যাক্সেস ফিরে পেতে পারে। ম্যালওয়্যার থেকে মুক্তি পাওয়ার সর্বোত্তম উপায় হল একটি নিরাপত্তা প্লাগইন ব্যবহার করা।
3. আপনার সমস্ত পাসওয়ার্ড পরিবর্তন করুন৷
আপনি ম্যালওয়্যার খুঁজে পান বা না পান, আপনাকে সমস্ত পাসওয়ার্ড পরিবর্তন করতে হবে:অ্যাডমিন অ্যাকাউন্ট, ডাটাবেস পাসওয়ার্ড, SFTP শংসাপত্র, কাজগুলি৷ GoDaddy ইতিমধ্যেই আপনার SFTP এবং ডাটাবেস শংসাপত্রগুলি পুনরায় সেট করেছে, তবে আপনার ওয়েবসাইটে ম্যালওয়্যার থাকলে তা আবার করা ভাল।
এটি দুটি কারণে একটি সতর্কতা:এক, যদি আপনার ওয়েবসাইট হ্যাক হয়ে থাকে, তবে এটি চেকলিস্টের অংশ; দুই, আপনি যদি নিজের SFTP পাসওয়ার্ড সেট করেন, তাহলে সম্ভাবনা হল আপনি পাসওয়ার্ডটি অন্য কোথাও পুনরায় ব্যবহার করেছেন এবং সেই অ্যাকাউন্টগুলিও আপস করা হয়েছে। এটি হ্যাক-পরবর্তী নিরাপত্তা চেকলিস্টে শুধুমাত্র একটি ধাপ , কিন্তু এটি একটি ভাল শুরু. এটি ক্ষতি আরও খারাপ হওয়া বন্ধ করবে৷
4. আরেকটি SSL শংসাপত্র পান
আপনার SSL শংসাপত্রের সাথে আপস করা হলে, GoDaddy সরাসরি আপনার সাথে যোগাযোগ করবে। এই ক্ষেত্রে, একটি ভিন্ন শংসাপত্র কর্তৃপক্ষের কাছ থেকে সম্পূর্ণভাবে অন্য SSL পাওয়া আপনার পক্ষে ভাল। যদিও GoDaddy শংসাপত্রগুলি পুনরায় সেট করছে, প্রক্রিয়াটি দ্রুত-ট্র্যাক করার জন্য, এটি নিজেরাই মোকাবেলা করা ভাল।
ইকমার্স স্টোর এবং সদস্যতা সাইট
যদি আপনার সাইটটি একটি ইকমার্স স্টোর বা একটি সদস্যপদ সাইট হয়, তাহলে আপনার জন্য জটিলতার একটি অতিরিক্ত স্তর রয়েছে৷ এই ক্ষেত্রে, আপনি অন্ততপক্ষে আপনার ভিজিটর ডেটা যেমন ইমেল এবং লগইন পাসওয়ার্ড সংরক্ষণ করছেন। হয়তো আপনি অন্যান্য তথ্যও সংরক্ষণ করছেন, যেমন ব্যক্তিগতভাবে শনাক্তযোগ্য ডেটা। এখানে একমাত্র সিলভার লাইনিং হল যে আপনি সম্ভবত কোনো ক্রেডিট কার্ডের বিশদ
সংরক্ষণ করছেন না5. আপনার ওয়েবসাইট ব্যবহারকারীদের সাথে যোগাযোগ করুন
এই ক্ষেত্রে, আপনাকে আপনার ওয়েবসাইট ব্যবহারকারীদের তাদের পাসওয়ার্ড পুনরায় সেট করতে বলুন যেমন. আসলে, আপনার এগিয়ে যাওয়া উচিত এবং যেভাবেই হোক তা করা উচিত এবং সেই অনুযায়ী তাদের জানানো উচিত। এটি একটি দায়িত্বশীল ঘোষণা, কারণ আপনার ধরে নেওয়া উচিত যে আপনার ওয়েবসাইটের ব্যবহারকারীর ডেটা আপস করা হয়েছে, সেইসাথে, আপনার ওয়েবসাইট ডাটাবেসে হ্যাকারের অ্যাক্সেসের কারণে। কিছু ক্ষেত্রে, আপনাকে আইনিভাবে এটি করার প্রয়োজন হতে পারে।
এছাড়াও আপনার ব্যবহারকারীদেরকে ফিশিং স্ক্যামগুলির সন্ধানে থাকতে সতর্ক করুন৷ . এই স্ক্যামগুলি আপনার ব্যবহারকারীদের বিশ্বাসযোগ্য ব্যবসা বা ব্র্যান্ডের ছদ্মবেশ ধারণ করে তাদের কাছ থেকে আরও তথ্য বের করার চেষ্টা করবে। একটি ভাল নিয়ম হল ইমেলের মাধ্যমে প্রেরিত কোনো লিঙ্কে ক্লিক না করা।
নিরাপত্তা লঙ্ঘনগুলি ভীতিজনক, এবং আপনি GoDaddy-এর সাথে সমস্ত জগাখিচুড়ি রেখে আপনার সাইটটিকে অন্য ওয়েব হোস্টে স্থানান্তর করতে চাইতে পারেন। সাবধানে একটি ওয়েব হোস্ট চয়ন করুন, তাদের নীতিগুলি দেখে এবং নিশ্চিত করুন যে এটি আপনার প্রয়োজনীয়তার সাথে খাপ খায়। আপনার নতুন হোস্টকে জিজ্ঞাসা করা প্রশ্নগুলি হল:আপনি কীভাবে ওয়েবসাইট নিরাপত্তা নিশ্চিত করবেন; আপনি কত দ্রুত গ্রাহকের অনুসন্ধানে সাড়া দেন; এবং তাই MigrateGuru প্লাগইনের মাধ্যমে ওয়েবসাইটটি নিজেই স্থানান্তর করা একটি সহজ কাজ৷
৷আপনার সাইট যদি GoDaddy-এ হোস্ট করা হয়, কিন্তু আপনি একজন পরিচালিত ওয়ার্ডপ্রেস গ্রাহক না হন তাহলে আপনার কী করা উচিত?
সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশন (এসইসি) এর কাছে তাদের ফাইলিং অনুসারে, GoDaddy বলছে যে শুধুমাত্র পরিচালিত ওয়ার্ডপ্রেস গ্রাহক এবং রিসেলার অ্যাকাউন্ট ডেটা লঙ্ঘনের সাথে জড়িত ছিল। অতএব, আপনার চিন্তা করার দরকার নেই, তবে আপনার সমস্ত পাসওয়ার্ড পরিবর্তন করা ভাল যে কোনো ক্ষেত্রে.
আপনি যদি ManageWP ব্যবহার করেন, আপনি কি প্রভাবিত হবেন?
এই নিবন্ধটি লেখার সময়, GoDaddy নির্দেশ করেনি যে ManageWP ব্যবহারকারীরা ডেটা লঙ্ঘনের দ্বারা প্রভাবিত হয়েছেন। যাইহোক, লঙ্ঘনের বিষয়ে তাদের তদন্ত অগ্রগতির সাথে সাথে এটি পরিবর্তন হতে পারে। তাই, নিরাপদে থাকার জন্য, আমরা আপনাকে আপনার সমস্ত পাসওয়ার্ড রিসেট করার পরামর্শ দিই।
এখানে জিজ্ঞাসা করার জন্য সবচেয়ে বড় প্রশ্ন হল যে আপনি যদি একজন ManageWP ব্যবহারকারী এবং একজন GoDaddy গ্রাহক হন, আপনার সমস্ত ডিম একই ঝুড়িতে রাখা কি নিরাপদ? যদি Godaddy ডেটা লঙ্ঘন আরও বড় হয় এবং হ্যাকাররা ওয়েবসাইটগুলি মুছে ফেলত, যেমন 2021 সালের আগস্টে ওয়েব হোস্টিং কানাডার সাথে ঘটেছিল, আপনি যতদূর ব্যাকআপগুলি যান ততটা খারাপ অবস্থানে থাকবেন। এই কারণেই, অন্য ব্যাকআপ প্রদানকারী থাকা নিরাপদ। আপনার ওয়েবসাইটের মতো একই সার্ভারে ব্যাকআপ রাখা ভালো অভ্যাস নয়৷
৷হিস্টেরিক ছাড়া নিরাপত্তা কোণ
GoDaddy is a prime target for hackers simply by the virtue of their size and popularity. Even though no system is 100% secure, GoDaddy should have taken strong measures to protect their customers, especially given their size and the resources at their disposal. Our major call out here is not that their system was breached, but that it took them over 2 months to find out. They should have processes in place to detect breaches much sooner. That is the scary aspect of this incident.
Where did GoDaddy go wrong, and why?
The general feeling about GoDaddy right now is extremely negative, and there are a lot of harsh opinions being bandied about. Some of it is unwarranted, and that is because WordPress security is not easily understood. Having said that, let’s be very clear: all security breaches are bad BUT to varying degrees.
Two problems have emerged from security researcher investigations:
- GoDaddy stored passwords in plaintext
- We can only speculate why, but generally we have seen most web hosts store SFTP passwords in plaintext. This is a convenience factor, because SFTP credentials are usually generated automatically, and not by the user. Therefore, for people to be able to use them, they are stored in plaintext.
- It took them over 2 months to detect the data breach
- As we said before, this is the real problem. Malware causes progressively more damage the longer it is left unaddressed. Hackers had access to website databases and their files for over 2 months. This is an unthinkable lapse.
What are the actions that GoDaddy is taking to resolve the issue?
GoDaddy has reset SFTP and database passwords for their customers, so all the sites should be scanned for malware and all other passwords should be changed. Additionally, GoDaddy is also in the process of reissuing SSL certificates for compromised accounts. If you have an SSL certificate issued by GoDaddy, don’t wait for them to resolve the issue. Please get a new one issued from a separate certificate authority right away.
Is GoDaddy secure? Should you change your hosting from GoDaddy?
The Godaddy data breach is serious, no doubt, and it should have been caught much earlier. However, you should make this decision based on several factors, not just this one.
SFTP and database credentials are almost always automatically generated during the setup of a website, and rarely by users.
This means two relevant things:
- The passwords are difficult to remember, and users are prone to forgetting or losing them
- The chances of these passwords being reused elsewhere is negligible.
Ideally, all stored passwords should be hashed, but in some cases this becomes impractical. And because auto-generated passwords are rarely used anywhere else, they preempt the real danger of breached credentials:passwords that have been reused on other accounts. That means, hackers cannot use these passwords to access any other account, and the damage is contained as a result.
SFTP credentials are needed for lots of admin tasks:backups, emergency cleanups, restoring websites, and much more—unless you are using a plugin that will take away that hassle. Therefore, GoDaddy, and other popular web hosts, make access to SFTP credentials easy for their customers.
Similarly with database credentials, web hosts prioritise making things easy for their customers. In fact, your wp-config file stores your database credentials in plaintext too.
So the bottom line is that all this GoDaddy bashing is focusing on the wrong problems. Plaintext passwords aren’t the issue; it is the lack of data breach detection processes that is. Web hosts are rarely the cause of websites getting hacked, so this is an aberration. It is a myth that web hosts are the entry points for malware for websites.
What about the threat of phishing?
If your email address was compromised, be aware of potential phishing scams. If you have an ecommerce store or a membership site hosted with GoDaddy, warn your website users that they should be on the lookout for phishing scams, and not to click on links sent via email.
Phishing is a type of social engineering attack, where people are fooled into giving up their data to hackers. Hackers use trusted brands to extract this information. The scam is usually two-fold:an email with bogus links, in addition to a spoofed web page with a form to collect the data.
What should I do to protect my website?
There are a few things you can do to protect your website, regardless of which web host you are using. Yes, a good web host is important from a security perspective, but up to a point. The lion’s share of the responsibility lies with you, the website owner.
Here are some things you can do right away:
- Install a security plugin with daily scans . A security plugin cannot protect you from a breach due to compromised passwords, but because you will have daily scans of your website, if there was malware on your website, you would have found out in less than 24 hours time, rather than 2 months. This is critical for malware detection and mitigating loss.
- Always opt for offsite and full backups. If anything at all happens to your web server and your backups are also stored there? That’s curtains for your website.
- Use strong and unique passwords. A compromised password is free entry into your account, and if you use the same password across multiple accounts you are essentially rolling out the red carpet to all those accounts. If there is one takeaway from this mess, it is to have different passwords for accounts. That way, even if there is a breach, the damage is contained and you are not scrambling around to secure everything else. Setting strong and unique passwords is tricky, so we recommend using a password manager.
Is WordPress secure?
Every time there is a security breach in the WordPress ecosystem, this old chestnut will reappear. People are entitled to their opinions, but the fact remains that WordPress is as secure as a system can get. It is a target for hackers because of its widespread popularity, and in fact, has evolved to resolve many of the security problems that still exist with other CMS.
As a website owner, you need to do your due diligence in making sure that the core, and all your plugins and themes are up to date.