সেরা ওয়ার্ডপ্রেস সিকিউরিটি চেকলিস্ট [আলটিমেট গাইড]

আপনি যদি আপনার ওয়ার্ডপ্রেস সাইটকে সুরক্ষিত করতে চান, তাহলে আপনি অনলাইনে অনেক উপদেশ পাবেন, যার মধ্যে কিছু ভালো, এবং কিছু সম্পূর্ণ ক্ষতিকর, যদিও ভালো মানে।

যখন এটি ওয়ার্ডপ্রেস নিরাপত্তার ক্ষেত্রে আসে, তখন আপনাকে আপনার উত্সগুলিকে বিশ্বাস করতে এবং এমন তথ্য খুঁজে পেতে সক্ষম হতে হবে যা কেবল বিশ্বাসযোগ্য নয়, তবে সম্ভাব্য এবং প্রযোজ্যও। শুধুমাত্র 2020 সালে, ম্যালওয়্যার আক্রমণ 150% বৃদ্ধি পেয়েছে এবং সংখ্যাগুলি শীঘ্রই যে কোনও সময় ধীর হয়ে যাবে বলে মনে হচ্ছে না। তাই, আপনার ওয়ার্ডপ্রেস সাইট সুরক্ষিত করা আপনার এক নম্বর অগ্রাধিকার হওয়া দরকার।

আপনার ওয়ার্ডপ্রেস সাইট সুরক্ষিত করার সর্বোত্তম উপায় হল একটি নিরাপত্তা প্লাগইন ইনস্টল করা এবং এটিকে ভারী উত্তোলন পরিচালনা করতে দেওয়া। তবে একটি ছাড়াও, আপনি নীচে আলোচিত ওয়ার্ডপ্রেস নিরাপত্তা চেকলিস্ট অনুসরণ করে এখনও আপনার ওয়েবসাইটকে একটি বড় ডিগ্রিতে সুরক্ষিত করতে পারেন।

TL;DR: MalCare দিয়ে আপনার ওয়ার্ডপ্রেস সাইট সুরক্ষিত করুন এবং নিয়মিত নিরাপত্তা-সম্পর্কিত রক্ষণাবেক্ষণ এড়িয়ে চলুন। ওয়ার্ডপ্রেস সিকিউরিটি হল ফাঁকের গোলকধাঁধা যা আপনাকে প্যাচ করতে হবে। আপনি গুরুত্বপূর্ণ কিছু মিস করবেন না তা নিশ্চিত করতে আমাদের ওয়ার্ডপ্রেস নিরাপত্তা চেকলিস্ট দেখুন।

আপনার ওয়ার্ডপ্রেস সাইট সুরক্ষিত করার সবচেয়ে সহজ পদ্ধতি

যেমনটি আমরা বলেছি, আপনার ওয়ার্ডপ্রেস সাইটকে সুরক্ষিত করার সর্বোত্তম উপায় হল একটি নিরাপত্তা প্লাগইন ব্যবহার করা, বিশেষ করে, ম্যালকেয়ার। MalCare শুধুমাত্র স্বয়ংক্রিয়ভাবে ওয়ার্ডপ্রেস সিকিউরিটি চেকলিস্টের যত্ন নেয় না, এটি আপনাকে প্রতিটি সামান্য বিবরণের ট্র্যাক রাখার বিষয়ে চিন্তা না করেই করে।

MalCare-এর বেশ কিছু বৈশিষ্ট্য রয়েছে যা আপনার সাইটকে সুরক্ষিত রাখতে একসাথে কাজ করে। কিন্তু এর শীর্ষ তিনটি বৈশিষ্ট্য নিশ্চিত করে যে আপনার সাইটটি ম্যালওয়্যার-মুক্ত থাকবে—স্ক্যানিং, ফায়ারওয়াল এবং ক্লিনআপ। MalCare-এর সাহায্যে, আপনি আপনার ওয়ার্ডপ্রেস সাইটে স্বয়ংক্রিয় স্ক্যানের সময়সূচী করতে পারেন এবং সন্দেহজনক কিছু ধরা পড়লে সতর্কতা পেতে পারেন। এছাড়াও MalCare আপনার সাইটকে একটি বুদ্ধিমান ফায়ারওয়াল দিয়ে সুরক্ষিত করে যা বেশিরভাগ আক্রমণ থেকে রক্ষা করে। এবং সবচেয়ে গুরুত্বপূর্ণ, যদি আপনার সাইট হ্যাক হয়ে যায়—প্রদত্ত যে কোনো সাইট ফুলপ্রুফ হতে পারে না, ম্যালকেয়ার একটি বোতামের এক ক্লিকে কয়েক মিনিটের মধ্যে আপনার সাইটটি পরিষ্কার করে।

ম্যালকেয়ার বেছে নেওয়ার আরেকটি কারণ হ'ল ম্যানুয়াল নিরাপত্তা ব্যবস্থার সাথে, সর্বদা মানুষের ত্রুটির সম্ভাবনা থাকে। কিন্তু নিরাপত্তার ত্রুটি আপনাকে মাত্র কয়েক ডলারের চেয়েও বেশি ক্ষতির কারণ হতে পারে। হ্যাকগুলি আরও খারাপ হলে, সেগুলি ডেটা চুরি, ওয়েবসাইট বিকৃতকরণ, গ্রাহকের ক্ষতি এবং সবচেয়ে গুরুত্বপূর্ণভাবে বিশ্বাস হারাতে পারে যা আপনার ব্যবসার সম্মুখীন হয়৷

আল্টিমেট ওয়ার্ডপ্রেস সিকিউরিটি চেকলিস্ট

একটি ওয়ার্ডপ্রেস সাইটে অনেক উপাদান আছে যে সবকিছুর উপর নজর রাখা অপ্রতিরোধ্য হয়ে উঠতে পারে। আমরা আপনার জন্য একটি ওয়ার্ডপ্রেস সিকিউরিটি চেকলিস্ট সংকলন করেছি যে সময়ের ফ্রিকোয়েন্সির উপর ভিত্তি করে আপনাকে কাজটি যত্ন নিতে হবে।

প্রতিদিনের নিরাপত্তার জন্য

ওয়েবসাইট নিরাপত্তা একটি ধ্রুবক প্রক্রিয়া এবং এটি এককালীন প্রতিশ্রুতি হতে পারে না। কিন্তু এমন কিছু উপায় রয়েছে যার মাধ্যমে আপনি প্রতিদিনের কাজগুলিকে স্বয়ংক্রিয় করতে পারেন। এই কাজগুলি নিশ্চিত করে যে আপনার সাইট যে কোনও অপ্রত্যাশিত সমস্যা বা হুমকি থেকে সুরক্ষিত।

আপনার সাইট স্ক্যান করুন

ম্যালওয়্যারের জন্য প্রতিদিন আপনার সাইট স্ক্যান করা গুরুত্বপূর্ণ। ইন্টারনেটে প্রতি 38 সেকেন্ডে একটি ওয়েবসাইট হ্যাক হয়, এবং একটি ভাল সম্ভাবনা রয়েছে যে আপনি তাদের মধ্যে একজন হতে পারেন। আপনার সাইট নিয়মিত স্ক্যান করা নিশ্চিত করে যে আপনিই প্রথম ব্যক্তি যিনি আপনার সাইটের কোনো হুমকি বা ম্যালওয়্যার সম্পর্কে জানেন এবং আক্রমণকারী আপনার সাইটের কোনো ক্ষতি করার আগে আপনাকে ব্যবস্থা নিতে সাহায্য করে।

যদি আপনার সাইটটি প্রতিদিন ম্যানুয়ালি স্ক্যান করা আপনার কাছে ক্লান্তিকর মনে হয়, তাহলে আপনি ম্যালকেয়ারের মতো একটি সুরক্ষা সমাধান বেছে নিতে পারেন, যা আপনাকে প্রতিদিন স্বয়ংক্রিয় স্ক্যানের সময় নির্ধারণ করতে দেয়, যাতে আপনাকে স্ক্যান মিস করা বা ব্যক্তিগতভাবে চালানোর বিষয়ে চিন্তা করতে হবে না। .

আপনার ওয়েবসাইট ব্যাকআপ করুন

আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের ব্যাকআপ নেওয়ার জন্য বেশ কয়েকটি কারণ রয়েছে, তবে তাদের মধ্যে সবচেয়ে গুরুত্বপূর্ণ হল নিরাপত্তা। সময়মতো শনাক্ত না হলে, ম্যালওয়্যার আপনার ওয়ার্ডপ্রেস সাইটের বিপর্যয় ঘটাতে পারে এবং ফলস্বরূপ ডেটা ক্ষতি বা ওয়েবসাইট বিকৃত করতে পারে। প্রায়শই, ওয়েব হোস্ট তাদের সার্ভার থেকে সাইট মুছে দেয় যদি তারা সংক্রামিত হয়, এবং আপনার সাইটের একটি স্বাধীন ব্যাকআপ না থাকলে, আপনাকে স্ক্র্যাচ থেকে শুরু করতে হবে।

প্রতিদিন উচ্চ-মূল্যের ওয়েবসাইটগুলির ব্যাকআপ নেওয়া গুরুত্বপূর্ণ, যাতে গুরুত্বপূর্ণ কিছুই হারিয়ে না যায়৷ এটি বিশেষ করে WooCommerce সাইটগুলির জন্য সত্য যার জন্য রিয়েল-টাইম ব্যাকআপ প্রয়োজন৷ BlogVault এর মতো একটি সহজ সমাধান এই প্রক্রিয়াটিকে খুব সহজ করে তুলতে পারে। BlogVault আপনাকে আপনার প্রয়োজনীয়তার উপর নির্ভর করে প্রতিদিন, বা রিয়েল-টাইমে ব্যাকআপগুলি নির্ধারণ করতে দেয় এবং এই ব্যাকআপগুলিকে একটি বাহ্যিক সার্ভারে সংরক্ষণ করে যাতে আপনার ওয়েবসাইট সার্ভার হ্যাক হয়ে গেলেও, ব্যাকআপগুলি এখনও সুরক্ষিত থাকে৷

মাসিক নিরাপত্তার জন্য

অ্যাক্টিভিটি লগ চেক করুন

ম্যালওয়্যার, অ্যাডওয়্যার, বা অন্যান্য ধরণের দূষিত প্রোগ্রাম হ্যাক এবং ইনস্টলেশন সাধারণত গোপনে ঘটে। প্রায়শই, শুধুমাত্র দৃশ্যমান ট্রেস আপনার সাইটের কার্যকলাপ লগে পাওয়া যায়, সম্পাদিত কার্যকলাপের একটি কালানুক্রমিক রেকর্ড এবং করা পরিবর্তন। ফলস্বরূপ, কোনও অসঙ্গতি বা সন্দেহজনক কার্যকলাপের জন্য আপনার সাইটের কার্যকলাপ লগের মাসিক পরীক্ষা করা একটি ভাল ধারণা। আপনার সাইট হ্যাক হওয়ার ক্ষেত্রে এটি আপনাকে অনেকগুলি গুরুত্বপূর্ণ বিবরণ ট্রেস করতে সাহায্য করতে পারে, যেমন কোন আইপি ঠিকানাগুলি জড়িত ছিল এবং এটি কীভাবে ঘটেছে।

যদি আপনার একটি উচ্চ উত্পাদন সাইট হয় যেমন আপনি দৈনিক বা সাপ্তাহিক ভিত্তিতে সামগ্রী প্রকাশ করেন, মাসে একবার কার্যকলাপ লগ চেক করা অপ্রতিরোধ্য হতে পারে কারণ সাইটে অনেক পরিবর্তন রয়েছে৷ এই ক্ষেত্রে, আপনি সপ্তাহে একবার বা পাক্ষিক একবার কার্যকলাপ লগ পরীক্ষা করতে পারেন।

ওয়ার্ডপ্রেস ডিফল্টরূপে একটি কার্যকলাপ লগ অফার করে না তাই আপনাকে এটির জন্য একটি প্লাগইনের উপর নির্ভর করতে হবে। বিকল্পভাবে, MalCare আপনাকে সম্পূর্ণ ওয়ার্ডপ্রেস নিরাপত্তা সহ একটি বিশদ এবং সহজে বোঝার কার্যকলাপ লগ দেয়৷

আপনার ওয়েবসাইট আপডেট করুন

আদর্শভাবে, নতুন আপডেট প্রকাশিত হওয়ার সাথে সাথে আপনার ওয়ার্ডপ্রেস সাইট আপডেট করা উচিত, তবে মাসিক আপডেটগুলিও কাজ করে। একটি মাসিক আপডেটের সময়সূচী বজায় রাখার মাধ্যমে, আপনি নিশ্চিত হতে পারেন যে আপনার সাইটটি ভালভাবে সুরক্ষিত এবং যেকোন নতুন দুর্বলতাগুলি প্যাচ করা হয়েছে৷

আপডেটগুলি প্রায়শই ভীতিকর হয় কারণ সেগুলি সাইটগুলি ভাঙার জন্য পরিচিত৷ কিন্তু আপনি যদি BlogVault এর মত একটি প্লাগইন ব্যবহার করেন, তাহলে আপনি একটি স্টেজিং সাইটে আপনার আপডেটগুলি পরীক্ষা করতে পারেন এবং পরিবর্তনগুলিকে আপনার লাইভ সাইটের সাথে নির্বিঘ্নে মার্জ করতে পারেন৷

সার্চ কনসোল চেক করুন

Google এর সার্চ কনসোলে আপনার ওয়ার্ডপ্রেস সাইট যোগ করার ফলে এসইও-সম্পর্কিত অনেক সুবিধা রয়েছে, তবে এটি আপনার সাইটের নিরাপত্তাকেও সাহায্য করতে পারে। Google-এর সার্চ কনসোলে একটি নিরাপত্তা সমস্যা ট্যাব রয়েছে যা আপনার সাইটে শনাক্ত করা কোনো ম্যালওয়্যারকে পতাকাঙ্কিত করে, তাই সময়ে সময়ে এটি পরীক্ষা করা আপনাকে ম্যালওয়্যার শনাক্ত করতে সাহায্য করতে পারে।

আপনি যদি নিয়মিতভাবে MalCare দিয়ে আপনার সাইট স্ক্যান করেন, তাহলে আপনি ইতিমধ্যেই আপনার সাইটে ম্যালওয়্যার শনাক্ত করতে পারবেন। কিন্তু এখনও Google মনে করে আপনার সাইটে কোনো সন্দেহজনক কার্যকলাপ চলছে কিনা তা দেখা একটি ভাল অভ্যাস।

অব্যবহৃত থিম এবং প্লাগইনগুলি সরান

পুরানো এবং অব্যবহৃত থিম এবং প্লাগইনগুলি সরানো দুটি উদ্দেশ্যে কাজ করে। প্রথমটি হল আপনার সাইটের গতি বাড়ানো, কারণ অনেক বেশি ফাইল ব্লোট এবং সার্ভার স্লোডাউনের কারণ হতে পারে। দ্বিতীয়টি হ'ল নিশ্চিত করা যে তাদের মাধ্যমে আপনার সাইট আক্রমণ করা যাবে না। অব্যবহৃত থিম এবং প্লাগইনগুলি প্রায়শই উপেক্ষা করা হয় এবং আপডেট করা হয় না, দুর্বলতা তৈরি করে যা সহজেই সুবিধা নেওয়া যেতে পারে। তাই আপনার ব্যবহার করা সমস্ত থিম এবং প্লাগইনগুলির উপর একটি মাসিক পরীক্ষা চালানো নিশ্চিত করুন এবং যেগুলি তাদের উদ্দেশ্য পূরণ করেছে সেগুলি সরিয়ে দিন৷

দ্রষ্টব্য:এছাড়াও আপনার সাইটে কোন জাল প্লাগইন চেক করুন. ম্যালওয়্যার প্রায়শই একটি প্লাগইন ফোল্ডার হিসাবে লুকানো থাকে কিন্তু জাল প্লাগইনগুলিতে শুধুমাত্র একটি বা দুটি ফাইল থাকে, ওয়ার্ডপ্রেস রিপোজিটরিতে থাকা যায় না এবং 'azzz' বা 'tiff'-এর মতো অদ্ভুত নাম থাকে।

Update your credentials

Using the same credentials for too long or reusing them across multiple accounts is a major risk. To protect your WordPress site, update your passwords at least once a month. This ensures that any hacker who may have acquired your password cannot use it, and it also logs you out of your account on all devices. While slightly inconvenient, it ensures that you can control access to your website.

Check user roles and privileges

The user accounts on your WordPress site are as important as the admin account. If a hacker gets access to any account, they can infect your site, upgrade their role privileges, and even lock you out of your own site.

Make sure that every user on the site has only the necessary privileges, and old user accounts are deleted. Also check if any user privileges have been escalated without your authorization, it could be a sign of malware.

Block malicious IPs

Blocking or restricting malicious IPs can make life significantly easier for you. If you are getting hacked, you can trace the IP address it’s happening from, and simply block it. This stops anyone with that IP address from accessing your site. This method is used to combat hackers, stop bots or trolls, and keep unauthorized users out. If you use a firewall, it will automatically block malicious IPs for you.

You can also block an entire geographical area, if you are experiencing repeated attacks coming from the region.

Test your backups

If the worst should happen and your WordPress site goes down, you can rely on your backups to get it up and running again. But you need to make sure that your backups are safe as well. In case your backups have already been hacked, restoring them will be pointless. Similarly, you also need to test if they’re functional, or else you’ll be restoring a broken site. You can test your backups easily if you use BlogVault, and make sure that they are reliable.

Update WordPress salts

WordPress uses salts as part of its encryption process. A salt is a random string of characters that is added to a password before encryption. The resulting string is a hash, and that is what is stored in the database. That way, if a hacker is able to get the hashed passwords out of the database, AND decrypt them, they still don’t know what part of the password is actually the password and what is the salt. The only way they would know this is if they get access to the salts and security keys in the config file.

It is similar to how passwords are stored in browser cookies. The reason you can stay logged into any site is that the session information is stored in cookies. But if plaintext passwords were stored there, it would be dangerous. So WordPress stores the salted and hashed version instead. Having access to the salt doesn’t mean you can decrypt hashes, but it does reduce the level of security. Therefore, it is important to updates your WordPress salts periodically.

For long term security

Check SSL

SSL is a security protocol designed to encrypt any communication to and from your website server. This stops attackers from accessing, reading, or changing any information that is being transferred.

Usually, you secure your site with SSL when getting your domain or hosting plan. However, SSL certificates expire approximately every two years, and you need to ensure that it is renewed at the earliest. This is doubly important if users perform transactions on your website, as any security breach can lead to credit card details or bank account details getting leaked.

Check hosting plans

If you forget to renew your hosting plan on time, your WordPress account will be suspended. This can cause a number of issues. Your site traffic will take a hit, you’ll lose customers, and you might even wind up losing data. Checking your hosting services regularly also allows you to analyze your site traffic and server usage. Overly high server usage is a common symptom of a brute force attack, and catching such attacks earlier stands a better chance of stopping them. When you are alerted to a brute force attack early, you can act and secure your site before the hackers gain access to your site.

One-time measures for complete security

While WordPress security needs to be reviewed constantly, there are some measures that you can take once and not have to update constantly.

Invest in a strong firewall

A firewall protects your WordPress site by filtering out malicious traffic, and stopping most attacks before they can infect your website. There are several kinds of firewalls, like web application firewalls, network firewalls, or cloud-based firewalls. A strong web application firewall such as MalCare’s allows you to filter your website traffic, and block visitors by the number of login attempts or geographic location.

Implement HTTP Authentication

HTTP Authentication is a protocol that allows access to a web resource only to those who are meant to access it. HTTP authentication restricts access by asking for a username and password when a certain web page is requested. Now obviously, you cannot do this for your entire website, but implementing it for your admin dashboard or login page can significantly reduce the number of bot attacks.

Use Two-Factor Authentication

Two-factor authentication is a method that requires a user to present two separate keys to access an account. For example, if you are trying to access your email, usually you need to provide the username and password, but when you implement two-factor authentication, you will also have to provide a key that is created in real-time such as a one-time password or PIN. This lowers the number of login attempts and does not overwhelm your website server with login requests. It also protects your website against brute force attacks. You can use a plugin like 2FA to enable two-factor authentication for your site.

Limit login attempts

We’ve already talked about how login attempts need to be limited. WordPress, by default, allows unlimited login attempts, and this offers a ripe opportunity for hackers to try accessing your WordPress account with brute force attacks. The easiest way to limit login attempts is to use a security plugin like MalCare, or you can add custom code to your function.php file.

Disable XML-RPC

Similar to WP REST API, XML-RPC is a WordPress feature that allows you to publish content remotely. It is useful if you use the WordPress app or need to enable trackbacks and pingbacks but otherwise, it can be exploited by hackers to gain access to your site through brute force attacks. The easiest solution here is to disable it with a plugin or manually.

Disable Directory Browsing

When your server doesn’t find an index file for a website, it shows an index of the contents of the directory. If a hacker can access this information, they can check if you have any files that are vulnerable on your website. This opens your website to major security risks.

In order to avoid this, you can disable directory browsing by adding a line of code to your .htaccess file. Follow these steps to disable directory browsing on your WordPress site.

• Download the .htaccess file on your site through an FTP client.
• Open the file and add the following code to the bottom of the file:

Options All -Indexes

• Now save the file, and reupload it. You will have to delete the original file from your site first.

Restrict File Permissions

The file permissions on your site determine who can access what parts of your site and who can modify them. Usually, your web host configures all of this information for you. But it is still a good practice to understand file permissions and ensure that they are configured optimally.

If you want to understand how file permissions work and how you can optimize them for your site security, go through our guide which is detailed and beginner-friendly.

Hide wp-config file

The wp-config file on your website is full of sensitive information such as passwords, keys, and salts. If hackers gain access to the file, it will be like rolling a red carpet to the website for them. The wp-config file is located in the public_html folder by default, so hackers know where to look for it. But you can change the location of the file, and it still functions just as well, while hiding sensitive information effectively.

Disabling PHP Execution in Specific Folders

Hackers can upload PHP files on your site disguised as core WordPress files and gain access to your site. Some folders like wp-uploads shouldn’t have PHP files at all. So what do you do in this case?

You can disable PHP execution in these folders so that even if hackers manage to get in these files through any backdoors, they cannot gain access to your site.

Why Website Security is Important

WordPress is a secure platform, but it is very popular and attracts all sorts of attention. Some of which are nefarious. In order to make sure that hackers can’t gain access to your site, you need to ensure that your website security is up to date, or else you could face dire consequences like:

• Loss of customers
• Data loss
• Leaked private credentials
• Revenue loss
• Legal issues
• Hit to the brand reputation
• Loss of trust

চূড়ান্ত চিন্তা

WordPress security is not a mystery. If you take a few steps to secure your site, you will be able to fend off attacks and malware, and avoid any damages. We hope that this WordPress security checklist helps you tighten your security measures.

If you want a hassle-free solution that does not compromise your security, MalCare is the only option. With automated scans, an advanced firewall, and one-click cleanups, MalCare is a 360 degree solution that protects your site.

FAQs

How do I secure my WordPress site?

The easiest method to secure your WordPress site is to install a security plugin like MalCare. MalCare scans your website everyday to ensure that your website is safe, and protects your website with its advanced firewall. It also offers a one-click cleanup in case there is a hack.

Does WordPress have security issues?

WordPress is a secure platform used by over half of the websites on the internet. However, it is because of this popularity that it attracts the attention of hackers. You can secure your WordPress site with a security plugin to ensure that your site is safe from these elements.

How do I secure my WordPress site without plugins?

If you wish to secure your site without using plugins, you need to perform several security checks regularly. You will have to perform site scans, take backups, look for suspicious behavior in the site’s activity log, and manually clean up any malware that you may detect. The list of ways hackers can get into your site is endless, and the only way you can secure your site without having to constantly be on alert is to use a security plugin.