টপিকঃ জুমলা সিকিউরিটি ও সাইট হোস্টিং বিষয়ে কিছু জিজ্ঞাসা

শুনেছি জুমলা দিয়ে করা সাইটে বিভিন্ন সিকিউরিটি সমস্যা থাকে। এটি আসলে কী ধরনের সমস্যা? আমি যদি জুমলা দিয়ে একটি সাইট তৈরি করি, তাহলে সিকিউটিতে কী কী সমস্যা হতে পারে? এমনকি কি হতে পারে যে কেউ একজন অ্যাডমিন পাসওয়ার্ড হ্যাক করে সাইটের নিয়ন্ত্রণ নিয়ে নিলো? সিকিউরিটি সমস্যাগুলো কীভাবে দূর করা যেতে পারে?

এছাড়া জুমলা সাইট হোস্টিঙের ব্যাপারে কী কী বিষয়ের প্রতি লক্ষ্য রাখতে হয়? আমি লোকালহোস্টে যে সাইটটি তৈরি করেছি, সেখানে এটি প্রায় ১৮ মেগাবাইট দেখাচ্ছে। এখন সাইট হোস্ট করার জন্য ৫০ মেগাবাইট জায়গা কি যথেষ্ট? হোস্টিং সার্ভার পিএইচপি ৫ ও মাইএসকিউএল সাপোর্ট করতে হবে- এটি ছাড়া হোস্টিং সাইটের আর কোনো বিশেষ বৈশিষ্ট্য কি দেখতে হবে?

পাশাপাশি অনেকে বলে থাকেন, বেশি ব্যান্ডউইথ নেওয়া ভালো। এটি দ্বারা আসলে কী বুঝায়? যদি একটি ওয়েব সাইট প্রতিদিন গড়ে ১০০০ বার দেখা হয়, তাহলে ব্যান্ডউইথ কতো হলে ভালো হয়? এছাড়া সার্ভারে হোস্টিং করার সময় জিপ ফাইল সরাসরি আনজিপ করা যায়?

আপনাদের সাহায্যের অপেক্ষায় রইলাম। ধন্যবাদ।

আমার সকল টপিক

কোনো কিছু বলার নেই আজ আর...

Re: জুমলা সিকিউরিটি ও সাইট হোস্টিং বিষয়ে কিছু জিজ্ঞাসা

ওপেন সোর্স সফটওয়্যারের সমস্যা হল এর বাগগুলো ওপেন! অথ্যাৎ যে কেউ এর বাগগুলো সম্পর্কে জেনে আপনার ক্ষতি করতে পারে। সেক্ষেত্রে একমাত্র উপায় নতুন সংস্করণ আসার সাথে সাথে সফটওয়্যারটি আপগ্রেড করে ফেলা।

তবে সাধারণত সবচেয়ে বেশি যে পদ্ধতিতে আক্রমণ করা হয় সেটার প্রতিরোধ ব্যবস্থা জুমলা বর্তমান সংস্করণগুলো যুক্ত থাকে। .htaccess ফাইল দিয়েই অনেক আক্রমন ঠেকায়!

সার্ভারে কি কি লাগবে, আর কি কি নেই সেটা তো ইনস্টলের সময়ই বলে দেয়! ১৮ মেগার সাইটের জন্য ৫০ মেগা যথেষ্ট।

৩নম্বরটি বলা কঠিন। বেশির ভাগ সার্ভারেই জিপ আপজিপ করা যায়!

[img]http://twitstamp.com/thehungrycoder/standard.png[/img]
what to do?

Re: জুমলা সিকিউরিটি ও সাইট হোস্টিং বিষয়ে কিছু জিজ্ঞাসা

ধন্যবাদ। .htaccess ফাইল দিয়ে কীভাবে আক্রমণ ঠেকানো যায়? জুমলা দিয়ে কাজ করার সময় সেখানে এই নামে একটি ফাইল দেখেছি। সাইটকে নিরাপদে রাখার জন্য এই ফাইলে কি আলাদাভাবে কিছু করতে হবে? আর সার্ভারের ব্যাপারে জানতে চাচ্ছিলাম, আমার দিক থেকে এমন কি কোনো বৈশিষ্ট্য দেখতে হবে যেটা জুমলা সাইটের জন্য গুরুত্বপূর্ণ?

৫০ মেগাবাইট স্পেসের বিষয়টি সম্পর্কে ধারণা পেলাম। কিন্তু ব্যান্ডউইথের বিষয়টি কি বুঝিয়ে বলবেন? ব্যান্ডউইথের কারণে নাকি অনেক সময় শেয়ারড সার্ভার থেকে ডেডিকেটেড সার্ভার নিতে হয়।

আমি আপনাকে সম্মাননা দিতে চাচ্ছিলাম। কিন্তু নতুন বলে বোধহয় সম্মাননা দেওয়ার অধিকারী হই নি এখনও। তবে সাহায্যের জন্য ধন্যবাদ, অসংখ্য।

আমার সকল টপিক

কোনো কিছু বলার নেই আজ আর...

Re: জুমলা সিকিউরিটি ও সাইট হোস্টিং বিষয়ে কিছু জিজ্ঞাসা

গৌতম লিখেছেন:

ধন্যবাদ। .htaccess ফাইল দিয়ে কীভাবে আক্রমণ ঠেকানো যায়? জুমলা দিয়ে কাজ করার সময় সেখানে এই নামে একটি ফাইল দেখেছি। সাইটকে নিরাপদে রাখার জন্য এই ফাইলে কি আলাদাভাবে কিছু করতে হবে? আর সার্ভারের ব্যাপারে জানতে চাচ্ছিলাম, আমার দিক থেকে এমন কি কোনো বৈশিষ্ট্য দেখতে হবে যেটা জুমলা সাইটের জন্য গুরুত্বপূর্ণ?

৫০ মেগাবাইট স্পেসের বিষয়টি সম্পর্কে ধারণা পেলাম। কিন্তু ব্যান্ডউইথের বিষয়টি কি বুঝিয়ে বলবেন? ব্যান্ডউইথের কারণে নাকি অনেক সময় শেয়ারড সার্ভার থেকে ডেডিকেটেড সার্ভার নিতে হয়।

আমি আপনাকে সম্মাননা দিতে চাচ্ছিলাম। কিন্তু নতুন বলে বোধহয় সম্মাননা দেওয়ার অধিকারী হই নি এখনও। তবে সাহায্যের জন্য ধন্যবাদ, অসংখ্য।

একটা ডিসক্লেইমার:
.htaccess ফাইল ব্যবহার করলেই যে সিকিউর তা কিন্তু নয়। বরং এটা দিয়ে কিছু কমন স্ক্রিপ্ট কিডি'র কাজকে আটকানো যায়! কিন্তু আর কিছু বিষয়ের উপর নিরাপত্তা নির্ভর করছে:
১. জুমলা নিজে
২. কি এক্সটেনশন ব্যবহার করছেন; সেগুলো কতটা নিরাপদ
৩. সবচেয়ে বড় কথা আপনার সার্ভারের নিরাপত্তা!
৪. আপনার ব্যবহার করা পাসওয়ার্ড!

ফাইলটি প্রথম htaccess.txt নামে থাকে যাকে .htaccess নামে রিনেম করতে হবে।

কি কি লাগবে তার জন্য এটা দেখুন: http://www.joomla.org/technical-requirements.html

যে সাইট ৫০ মেগায় চলে তার জন্য মাসিক সর্বোচ্চ ৫গিগাই যথেষ্ট হতে পারে। তবে সময়ের প্রয়োজনেই আপনি বুঝতে পারবেন কত লাগবে। বর্তমান ৩-১০গিগাই যথেষ্ট।

[img]http://twitstamp.com/thehungrycoder/standard.png[/img]
what to do?

সর্বশেষ সম্পাদনা করেছেন invarbrass (০৯-০৩-২০০৯ ১১:২৮)

Re: জুমলা সিকিউরিটি ও সাইট হোস্টিং বিষয়ে কিছু জিজ্ঞাসা

আজকাল অনেক সাইট হ্যাক হয় SQL injection-এর মাধ্যমে। এছাড়া FTP, SSH এর লগইন-ও ব্রুট-ফোর্সিং এর মাধ্যমে হ্যাক তো হয়ই।

আপনার অ্যাডমিন পাসওয়ার্ড শক্তিশালী করুন - নূন্যতম ৮ ডিজিটের হওয়া উচিত। পাসওয়ার্ডে আপার ও লোয়ারকেস, নুমেরিকাল ডিজিট এবং কিছু সিম্বল (যেমন @#$%) থাকলে ভালো হয়। যতগুলো সফল হ্যাকিং হয়, তার বেশিরভাগই হয় দূর্বল পাসোয়ার্ড (পড়ুন অ্যাডমিন-এর স্টুপিডিটি) এর কারণে। আপনার FTP এবং SSH পাসওয়ার্ড-ও একইভাবে শক্তিশালী করুন।

যদি হোস্টিং মেশিনে আপনার রূট অ্যাক্সেস থাকে (শেয়ার্ড হোস্টিং-এ থাকেনা) তাহলে আরো কিছু স্টেপ নিতে পারেনঃ SSH-এর মাধ্যমে root login disable করুন (ঘরের পিসির উবুন্তু-তে যেমন থাকে wink)। mysql-এর টিসিপি/আইপি নেটওয়ার্কিং ডিজেবল করে দিন, ইউনিক্স সকেট এনাবল করুন যেন কেবল লোকালহোস্ট-এর মধ্য থেকে মাইসিক্ল অ্যাক্সেস করা যায়। অনেকে সবকিছুই সিকিউর করেন, কিন্তু ডেটাবেইজ সার্ভারটাই আন্সিকিউরড অবস্থায় রয়ে যায় - হ্যাকারদের জন্য ওপেন বুফে মেজবান। সিস্টেম থেকে সব অপ্রয়োজনীয় সার্ভিস/ডীমন বন্ধ করে দিন। ফায়ারওয়াল ইন্সটল করুন। পুরো চাইনীজ এবং রাশান নেটওয়ার্ক ব্লক করে দিন - ৯০% হ্যাকিং অ্যাটেম্পট, স্প্যামিং ওইসব দেশ থেকেই আসবে (ব্যক্তিগত অভিজ্ঞতা ghusi)। আরও সিকিউর করতে চাইলে ইস্টার্ণ ইউরোপিয়ান ব্লকের কিছু দেশ, তাইওয়ান-ও ব্লক করে দিতে পারেন।

SQL injection-এর ব্যাপারে আপনার করার কিছু নেই (যেহেতু আপনি প্রোগ্রামার নন)। সেক্ষেত্রে আপনার দায়িত্ব হবে রেগুলার লেটেস্ট ভার্সণে আপডেট করা।

কোডার ভাই যেমন বললেন, সব ফোল্ডারে .htaccess ফাইল রেখে ডাইরেক্টরী ব্রাউজিং ডিজেবল করুন। না থাকলে নিজেই .htaccess ফাইল বানিয়ে তাতে নীচের কোডটি লিখুনঃ

Options -Indexes

তাও যদি সম্ভব না হয় তাহলে অন্তত ব্ল্যাঙ্ক index.html ফাইল বানিয়ে রাখুন (নাই মামার চেয়ে কানা মামা ভালো)।

কিছু হোস্টিং কোম্পানী ক্লায়েন্ট বাগানোর ফন্দি হিসাবে ওয়ার্ডপ্রেস, ড্রুপাল, জুম্লার "1 click install" টাইপের সার্ভিস দেয় - এগুলো থেকে যত দূরে থাকবেন ততই ভালো। সরাসরি অফিশিয়াল সাইট থেকে ডাউনলোড করে নিজের হাতে ইন্সটল করুন। গত মাসে একটি হোস্টিং কোম্পানীর বিরুদ্ধে অসংখ্য অভিযোগ আসতে থাকে। পরে দেখা যায়, হ্যাকাররা ওই কোম্পানীর সার্ভারে ঢুকে এই ধরণের "১ ক্লিক ইন্সটলার"-এর মধ্যে ব্যাকডোর ঢুকিয়ে দিয়েছিলো। যারা যারা ওইগুলো ব্যবহার করে সাইট/ব্লগ বানিয়েছিলেন, তাদের সবার পাসওয়ার্ড লীক হয়ে গিয়েছিলো! crying

নেট-এ অনেক (বেশিরভাগই কমার্শিয়াল sad, তবে কিছু ফ্রী/ওপেন্সোর্স টুলসও আছে) সিকিউরিটি/ভালনারেবিলিটি স্ক্যানার পাওয়া যায়, সেগুলো দিয়েও সাইটের সিকিউরিটি স্ট্যাটাস চেক করতে পারেন।

ব্যান্ডুইডথ এস্টিমেশন এক এক সাইটের ক্ষেত্রে এক এক রকম হবে। কেবল "দৈনিক ভিজিট ১০০০" এই তথ্য যথেষ্ট নয়। প্রতি ভিজিটে কয়টি ফাইল হিট করছে, ফাইলগুলোর অ্যাভারেজ সাইজ কত তাও জানা উচিত। ১০০০-এর মধ্যে কত পার্সেন্ট ইউনিক ভিজিটর তাও জানতে হবে (রিপিটিং ভিজিটরদের ক্ষেত্রে অনেক স্ট্যাটিক ফাইল আপনার সার্ভার থেকে ডাউনলোড করবে না, ব্রাউজারের ক্যাশ থেকেই লোড করবে)। এছাড়া ডাউনলোড করার মত কোন বড় ফাইল (zip, mp3, exe) থাকলে তাও হিসাবে রাখুন। দিনের কোন সময়টা পীক টাইম সেটাও ধারণা রাখা ভালো। আন্দাজে বলা যায়, নতুন সাইটের ক্ষেত্রে ৫০-১০০ গিগা ব্যান্ডুইদথ থাকলেই যথেষ্ট।

Cpanel থেকে সরাসরি সার্ভারেই আনযিপ করা যায় (শেল অ্যাক্সেস থাকলে তো কথাই নেই)। কাজেই আপনি নিশ্চিন্তে যিপ হিসাবে আপলোড করতে পারেন।

Calm... like a bomb.

Re: জুমলা সিকিউরিটি ও সাইট হোস্টিং বিষয়ে কিছু জিজ্ঞাসা

জুমলাম সাইট হ্যাক হতে পারে মূলত এর পাসওয়ার্ডের কারণে। আমার ২ টা সাইট হয়েছিল এবং মূল সমস্যা ছিল পাসওয়ার্ড এক এবং খুব সহজ ছিল। এখন কঠিন পাসওয়ার্ড দেই দেখে আর হচ্ছে না।

Re: জুমলা সিকিউরিটি ও সাইট হোস্টিং বিষয়ে কিছু জিজ্ঞাসা

invarbrass লিখেছেন:

আপনার অ্যাডমিন পাসওয়ার্ড শক্তিশালী করুন - নূন্যতম ৮ ডিজিটের হওয়া উচিত। পাসওয়ার্ডে আপার ও লোয়ারকেস, নুমেরিকাল ডিজিট এবং কিছু সিম্বল (যেমন @#$%) থাকলে ভালো হয়। যতগুলো সফল হ্যাকিং হয়, তার বেশিরভাগই হয় দূর্বল পাসোয়ার্ড (পড়ুন অ্যাডমিন-এর স্টুপিডিটি) এর কারণে। আপনার FTP এবং SSH পাসওয়ার্ড-ও একইভাবে শক্তিশালী করুন।

দারুণ পরামর্শ।(y)

invarbrass লিখেছেন:

যদি হোস্টিং মেশিনে আপনার রূট অ্যাক্সেস থাকে (শেয়ার্ড হোস্টিং-এ থাকেনা) তাহলে আরো কিছু স্টেপ নিতে পারেনঃ SSH-এর মাধ্যমে root login disable করুন (ঘরের পিসির উবুন্তু-তে যেমন থাকে wink)। mysql-এর টিসিপি/আইপি নেটওয়ার্কিং ডিজেবল করে দিন, ইউনিক্স সকেট এনাবল করুন যেন কেবল লোকালহোস্ট-এর মধ্য থেকে মাইসিক্ল অ্যাক্সেস করা যায়। অনেকে সবকিছুই সিকিউর করেন, কিন্তু ডেটাবেইজ সার্ভারটাই আন্সিকিউরড অবস্থায় রয়ে যায় - হ্যাকারদের জন্য ওপেন বুফে মেজবান। সিস্টেম থেকে সব অপ্রয়োজনীয় সার্ভিস/ডীমন বন্ধ করে দিন। ফায়ারওয়াল ইন্সটল করুন। পুরো চাইনীজ এবং রাশান নেটওয়ার্ক ব্লক করে দিন - ৯০% হ্যাকিং অ্যাটেম্পট, স্প্যামিং ওইসব দেশ থেকেই আসবে (ব্যক্তিগত অভিজ্ঞতা ghusi)। আরও সিকিউর করতে চাইলে ইস্টার্ণ ইউরোপিয়ান ব্লকের কিছু দেশ, তাইওয়ান-ও ব্লক করে দিতে পারেন।

এগুলো করার মত যোগ্যতা কবে হবে কে জানে!:-?

invarbrass লিখেছেন:

কোডার ভাই যেমন বললেন, সব ফোল্ডারে .htaccess ফাইল রেখে ডাইরেক্টরী ব্রাউজিং ডিজেবল করুন। না থাকলে নিজেই .htaccess ফাইল বানিয়ে তাতে নীচের কোডটি লিখুনঃ

Options -Indexes

তাও যদি সম্ভব না হয় তাহলে অন্তত ব্ল্যাঙ্ক index.html ফাইল বানিয়ে রাখুন (নাই মামার চেয়ে কানা মামা ভালো)।

invarbrass লিখেছেন:

নেট-এ অনেক (বেশিরভাগই কমার্শিয়াল sad, তবে কিছু ফ্রী/ওপেন্সোর্স টুলসও আছে) সিকিউরিটি/ভালনারেবিলিটি স্ক্যানার পাওয়া যায়, সেগুলো দিয়েও সাইটের সিকিউরিটি স্ট্যাটাস চেক করতে পারেন।

খুঁজে দেখতে হবে।

invarbrass লিখেছেন:

ব্যান্ডুইডথ এস্টিমেশন এক এক সাইটের ক্ষেত্রে এক এক রকম হবে। কেবল "দৈনিক ভিজিট ১০০০" এই তথ্য যথেষ্ট নয়। প্রতি ভিজিটে কয়টি ফাইল হিট করছে, ফাইলগুলোর অ্যাভারেজ সাইজ কত তাও জানা উচিত। ১০০০-এর মধ্যে কত পার্সেন্ট ইউনিক ভিজিটর তাও জানতে হবে (রিপিটিং ভিজিটরদের ক্ষেত্রে অনেক স্ট্যাটিক ফাইল আপনার সার্ভার থেকে ডাউনলোড করবে না, ব্রাউজারের ক্যাশ থেকেই লোড করবে)। এছাড়া ডাউনলোড করার মত কোন বড় ফাইল (zip, mp3, exe) থাকলে তাও হিসাবে রাখুন। দিনের কোন সময়টা পীক টাইম সেটাও ধারণা রাখা ভালো। আন্দাজে বলা যায়, নতুন সাইটের ক্ষেত্রে ৫০-১০০ গিগা ব্যান্ডুইদথ থাকলেই যথেষ্ট।

Cpanel থেকে সরাসরি সার্ভারেই আনযিপ করা যায় (শেল অ্যাক্সেস থাকলে তো কথাই নেই)। কাজেই আপনি নিশ্চিন্তে যিপ হিসাবে আপলোড করতে পারেন।

অসংখ্য ধন্যবাদ।

আমার সকল টপিক

কোনো কিছু বলার নেই আজ আর...

Re: জুমলা সিকিউরিটি ও সাইট হোস্টিং বিষয়ে কিছু জিজ্ঞাসা

সামিউল লিখেছেন:

জুমলাম সাইট হ্যাক হতে পারে মূলত এর পাসওয়ার্ডের কারণে। আমার ২ টা সাইট হয়েছিল এবং মূল সমস্যা ছিল পাসওয়ার্ড এক এবং খুব সহজ ছিল। এখন কঠিন পাসওয়ার্ড দেই দেখে আর হচ্ছে না।

ধন্যবাদ, সামিউল ভাই।

আমার সকল টপিক

কোনো কিছু বলার নেই আজ আর...