২১

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

Better WP Security-টা পছন্দ হয়েছে, যদিও কিছু কিছু অপশন অ্যাকটিভ করতে ভয় পাচ্ছি। তবে এই প্লাগইনটা ব্যবহার করার পর মনে হচ্ছে এতোদিন আমার সাইট প্রায় ১০০ ভাগই ইনসিকিউরড ছিল।

আমার সকল টপিক

কোনো কিছু বলার নেই আজ আর...

২২ সর্বশেষ সম্পাদনা করেছেন কাজী আলী নূর (১৪-০৪-২০১৩ ০৫:২২)

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

০১. প্লাগিনগুলো তো আছেই। তবে ওয়ার্ডপ্রেস ইন্সটলেশনের সময় কনফিগ ফাইলটি (wp-config.php) ম্যানুয়ালী এডিট করুন। ইনস্টলেশনের পূর্বে প্রথমে ডেটাবেজ ও ডেটাবেজ ইউজার তৈরি করুন তারপর ইউজার প্রেভিলেজগুলো সেট করুন। এবার ওয়ার্ডপ্রেস টারবল বা জিপ ফাইলটি এক্সট্রাক্ট করে "wordpress" ফোল্ডারের "wp-confige-sample.php" ফাইলটিকে রিনেইম করে "wp-config.php" লিখুন এবং সেটিতেই প্রয়োজনীয় এডিট সম্পন্ন করে ওয়ার্ডপ্রেস ইন্সটল করুন।


০২. প্রায় সময়েই কনফিগ ফাইলে (wp-config.php) সিকিউরিটি কী বা অথেন্টিকেশন কী জেনারেট করে তা যথাযথ ভাবে পরিবর্তন করা হয়না এবং অনেক জায়গাতেই আমি দেখেছি যে এই বিষয়ে কোন কিছু উল্লেখও করা হয়না। তবে আপনি অবশ্যই সেকাজটি করবেন। কনফিগ ফাইল এডিট কারার সময় ওয়ার্ডপ্রেস ডক্স বা কোডেক্স পেইজ ফলো করার পাশাপাশি কনফিগ ফাইলের বিভিন্ন সেকশনের প্রয়োজনীয় কমেন্টগুলো পড়তে ভুলবেননা। এগুলো আপনাকে সঠিক দিক নির্দেশনা দিবে ফলে কোন রকম সন্দেহ বা কনফিউশন ছাড়াই আপনি সফল ভাবে কনফিগ ফাইলটি এডিট করতে পারবেন।


০৩. ইন্সটলেশনের সময়  ডিফল্ট এডমিন ইউজার নেম "admin" না ব্যবহার করে অন্য কিছু ব্যবহার করুন এবং ডেটাবেজ টেবিল প্রিফিক্স "wp_" থেকে পরিবর্তন করে যেকোন কিছু দিয়ে দিন (যেমন, "asUrcH0ice_")। এতে ডেটাবেজের সুরক্ষা ব্যবস্থা আরও মজবুত হবে।


০৪. আর বেশির ভাগ মানুষেরই দেখি ওয়ার্ডপ্রেস ডক্স এর প্রতি চরম অনিহা। কারণটা জানা নাই। আর ওয়ার্ডপ্রেসে পোস্ট রিভিশন ফিচ্যারটির জন্য ডেটাবেজের ওজন বেড়ে যায়। ডেটাবেজে অপ্রয়োজনীয়ভাবে পোস্ট রিভিশন কার্যকর হয় ফলে প্রতিটি পোস্টের জন্য অসংখ্য রিভিশন অটোম্যাটিক্যালী ব্যাক্ড আপ হয়। ফলে সকল পোস্টের রিভিশন ভার্সনগুলোসহ ডেটাবেজ অপ্রয়োজনীয়ভাবে বিরাট আকৃতি লাভ করে।


০৫. এর প্রতিকারও রয়েছে, যেমন ইন্সটলেশনের সময় কনফিগ ফাইলে (wp-config.php) পোস্ট রিভিশন ফিচ্যারে নির্দিষ্ট লিমিট সেট করে দিলেই হয়ে যায়। যে প্রক্রিয়ায় ওয়ার্ডপ্রেস পোস্ট রিভিশন লিমিটেড করে দিবেন।


০৬. অনেকেই ৪০৪ এরর পেইজটি ডিফল্ট রেখে দেয়ে যা সিকিউরিটি ইস্যুর জন্য মোটেই করা উচিৎ নয় বরং সেটিকে কাস্টমাইজ করে ইউনিক বা কাস্টমাইজড ৪০৪ এরর পেইজ টেমপ্লেট তৈরী করা উচিৎ।


০৭. ইন্সটলেশনের সময় "wp-config.php" ফাইলটি wp এর ইন্সটলেশন ডিরেক্টরির ওয়ান ডিরেক্টরী আপ ডিরেক্টরীতে অর্থাৎ "public_html" ডিরেক্টরীতে সরিয়ে রাখা ভালো। কেননা সেটির একসেস লিমিটেড থাকে যা কেবলই ওয়েব মাস্টার কিংবা সার্ভার এডমিন এর জন্য উন্মুক্ত থাকে। WordPress স্বয়ংক্রিয়ভাবে আগের ফোল্ডারটি থেকে  "wp-config.php" ফাইলটি খুজে নিয়ে ইন্সটলেশনের ধাপগুলো সম্পন্ন করবে। যে প্রক্রিয়ায় এই কাজটি করতে হয়।


০৮. আর ওয়ার্ডপ্রেস সাইট এবং এর প্লাগিনগুলো যথা সম্ভব আপটুডেট রাখুন। কারণ ওয়ার্ডপ্রেস টিম নিয়মিত সিকিউরিটি আপডেটস প্রকাশ করে আর কোন বাগ ফিক্সিং থাকলে সেটিও প্রকাশ করে। তাই সবসময় ভিন্ন সোর্স এর নিউজ, ব্লগ কিংবা ফোরামের থেকে www.wordpress.org সাইটটির গুরুত্ব সর্বাধিক। তাই সবসময় সেটিতে চোখ রাখুন।


০৯. সঠিক পদ্ধতিতে WordPress ইন্সটল করুন, প্রয়োজনীয় প্লাগ-ইন্স ব্যবহার করুন। আর সব থেকে গুরুত্বপূর্ণ যে বিষয়টি সেটি হলো একটি মজবুত এবং ভালো দৈর্ঘের পাসওয়ার্ড ব্যবহার করুন যাতে থাকবে কেপিটাল এবং স্মল লেটারস, নাম্বারস, স্পেশাল ক্যারেকটারস যেমন এট, হ্যাশ, কমা, ডেশ, ডলার সাইন কিংবা ব্র্যাকেট ইত্যাদি। উদাহরণ স্বরূপ একটি পাসওয়ার্ড যেমন, Pr0J@nMo[2o!3]  অর্থাৎ পাসওয়ার্ডটি এমন ভাবে তৈরি করুন যেটি একদিকে হবে স্ট্রং পাসওয়ার্ড এবং অন্য দিকে সেটি মনে রাখাটাও সহজ হবে। তাহলে ব্রুট ফোর্স কিংবা ক্রস সাইট স্ক্রিপ্টিং (XSS) কেন, অন্য যেকোন উপায়ে আর কোন হ্যাকারেরই সাধ্য নাই আপনার সেই সাইটটিকে হ্যাক করার যদি না সে কোন না কোন ভাবে আপনার সেই পাসওয়ার্ডটি চুরি করতে পারে।


১০. তাই নিজের পিসিকে সিকিউরড রাখুন আর নিজের পাসওয়ার্ডকে সুরক্ষিত রাখুন। তার পর নিশ্চিন্তে থাকুন। ধন্যবাদ big_smile

হে আল্লাহ, তুমি সকলের মঙ্গল কর; তোমার রহমতের আশ্রয়ে আশ্রিত কর..... আমীন
সঠিক পদ্ধতিতে ওয়ার্ডপ্রেস ইন্সটল করুন এবং আপনার ওয়ার্ডপ্রেস সাইটটিকে সুরক্ষিত রাখুন

কাজী আলী নূর'এর ওয়েবসাইট

লেখাটি GPL v3 এর অধীনে প্রকাশিত

২৩ সর্বশেষ সম্পাদনা করেছেন ইফতেখার আলম (১৫-০৪-২০১৩ ০২:২২)

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

কাজী আলী নূর লিখেছেন:

০১. প্লাগিনগুলো তো আছেই। তবে ওয়ার্ডপ্রেস ইন্সটলেশনের সময় কনফিগ ফাইলটি (wp-config.php) ম্যানুয়ালী এডিট করুন। ইনস্টলেশনের পূর্বে প্রথমে ডেটাবেজ ও ডেটাবেজ ইউজার তৈরি করুন তারপর ইউজার প্রেভিলেজগুলো সেট করুন। এবার ওয়ার্ডপ্রেস টারবল বা জিপ ফাইলটি এক্সট্রাক্ট করে "wordpress" ফোল্ডারের "wp-confige-sample.php" ফাইলটিকে রিনেইম করে "wp-config.php" লিখুন এবং সেটিতেই প্রয়োজনীয় এডিট সম্পন্ন করে ওয়ার্ডপ্রেস ইন্সটল করুন।


০২. প্রায় সময়েই কনফিগ ফাইলে (wp-config.php) সিকিউরিটি কী বা অথেন্টিকেশন কী জেনারেট করে তা যথাযথ ভাবে পরিবর্তন করা হয়না এবং অনেক জায়গাতেই আমি দেখেছি যে এই বিষয়ে কোন কিছু উল্লেখও করা হয়না। তবে আপনি অবশ্যই সেকাজটি করবেন। কনফিগ ফাইল এডিট কারার সময় ওয়ার্ডপ্রেস ডক্স বা কোডেক্স পেইজ ফলো করার পাশাপাশি কনফিগ ফাইলের বিভিন্ন সেকশনের প্রয়োজনীয় কমেন্টগুলো পড়তে ভুলবেননা। এগুলো আপনাকে সঠিক দিক নির্দেশনা দিবে ফলে কোন রকম সন্দেহ বা কনফিউশন ছাড়াই আপনি সফল ভাবে কনফিগ ফাইলটি এডিট করতে পারবেন।


০৩. ইন্সটলেশনের সময়  ডিফল্ট এডমিন ইউজার নেম "admin" না ব্যবহার করে অন্য কিছু ব্যবহার করুন এবং ডেটাবেজ টেবিল প্রিফিক্স "wp_" থেকে পরিবর্তন করে যেকোন কিছু দিয়ে দিন (যেমন, "asUrcH0ice_")। এতে ডেটাবেজের সুরক্ষা ব্যবস্থা আরও মজবুত হবে।


০৪. আর বেশির ভাগ মানুষেরই দেখি ওয়ার্ডপ্রেস ডক্স এর প্রতি চরম অনিহা। কারণটা জানা নাই। আর ওয়ার্ডপ্রেসে পোস্ট রিভিশন ফিচ্যারটির জন্য ডেটাবেজের ওজন বেড়ে যায়। ডেটাবেজে অপ্রয়োজনীয়ভাবে পোস্ট রিভিশন কার্যকর হয় ফলে প্রতিটি পোস্টের জন্য অসংখ্য রিভিশন অটোম্যাটিক্যালী ব্যাক্ড আপ হয়। ফলে সকল পোস্টের রিভিশন ভার্সনগুলোসহ ডেটাবেজ অপ্রয়োজনীয়ভাবে বিরাট আকৃতি লাভ করে।


০৫. এর প্রতিকারও রয়েছে, যেমন ইন্সটলেশনের সময় কনফিগ ফাইলে (wp-config.php) পোস্ট রিভিশন ফিচ্যারে নির্দিষ্ট লিমিট সেট করে দিলেই হয়ে যায়। যে প্রক্রিয়ায় ওয়ার্ডপ্রেস পোস্ট রিভিশন লিমিটেড করে দিবেন।


০৬. অনেকেই ৪০৪ এরর পেইজটি ডিফল্ট রেখে দেয়ে যা সিকিউরিটি ইস্যুর জন্য মোটেই করা উচিৎ নয় বরং সেটিকে কাস্টমাইজ করে ইউনিক বা কাস্টমাইজড ৪০৪ এরর পেইজ টেমপ্লেট তৈরী করা উচিৎ।


০৭. ইন্সটলেশনের সময় "wp-config.php" ফাইলটি wp এর ইন্সটলেশন ডিরেক্টরির ওয়ান ডিরেক্টরী আপ ডিরেক্টরীতে অর্থাৎ "public_html" ডিরেক্টরীতে সরিয়ে রাখা ভালো। কেননা সেটির একসেস লিমিটেড থাকে যা কেবলই ওয়েব মাস্টার কিংবা সার্ভার এডমিন এর জন্য উন্মুক্ত থাকে। WordPress স্বয়ংক্রিয়ভাবে আগের ফোল্ডারটি থেকে  "wp-config.php" ফাইলটি খুজে নিয়ে ইন্সটলেশনের ধাপগুলো সম্পন্ন করবে। যে প্রক্রিয়ায় এই কাজটি করতে হয়।


০৮. আর ওয়ার্ডপ্রেস সাইট এবং এর প্লাগিনগুলো যথা সম্ভব আপটুডেট রাখুন। কারণ ওয়ার্ডপ্রেস টিম নিয়মিত সিকিউরিটি আপডেটস প্রকাশ করে আর কোন বাগ ফিক্সিং থাকলে সেটিও প্রকাশ করে। তাই সবসময় ভিন্ন সোর্স এর নিউজ, ব্লগ কিংবা ফোরামের থেকে www.wordpress.org সাইটটির গুরুত্ব সর্বাধিক। তাই সবসময় সেটিতে চোখ রাখুন।


০৯. সঠিক পদ্ধতিতে WordPress ইন্সটল করুন, প্রয়োজনীয় প্লাগ-ইন্স ব্যবহার করুন। আর সব থেকে গুরুত্বপূর্ণ যে বিষয়টি সেটি হলো একটি মজবুত এবং ভালো দৈর্ঘের পাসওয়ার্ড ব্যবহার করুন যাতে থাকবে কেপিটাল এবং স্মল লেটারস, নাম্বারস, স্পেশাল ক্যারেকটারস যেমন এট, হ্যাশ, কমা, ডেশ, ডলার সাইন কিংবা ব্র্যাকেট ইত্যাদি। উদাহরণ স্বরূপ একটি পাসওয়ার্ড যেমন, Pr0J@nMo[2o!3]  অর্থাৎ পাসওয়ার্ডটি এমন ভাবে তৈরি করুন যেটি একদিকে হবে স্ট্রং পাসওয়ার্ড এবং অন্য দিকে সেটি মনে রাখাটাও সহজ হবে। তাহলে ব্রুট ফোর্স কিংবা ক্রস সাইট স্ক্রিপ্টিং (XSS) কেন, অন্য যেকোন উপায়ে আর কোন হ্যাকারেরই সাধ্য নাই আপনার সেই সাইটটিকে হ্যাক করার যদি না সে কোন না কোন ভাবে আপনার সেই পাসওয়ার্ডটি চুরি করতে পারে।


১০. তাই নিজের পিসিকে সিকিউরড রাখুন আর নিজের পাসওয়ার্ডকে সুরক্ষিত রাখুন। তার পর নিশ্চিন্তে থাকুন। ধন্যবাদ big_smile

চমৎকার লিখেছেন,আমি যখন হ্যাকিংয়ের শিকার হয়েছিলাম তখন মোটামুটি সিকিঊরিটি অনেক শক্ত করে ফেলেছিলাম ধন্যবাদ আপনার এই লেখার জন্য....

গৌতম লিখেছেন:

Better WP Security-টা পছন্দ হয়েছে, যদিও কিছু কিছু অপশন অ্যাকটিভ করতে ভয় পাচ্ছি। তবে এই প্লাগইনটা ব্যবহার করার পর মনে হচ্ছে এতোদিন আমার সাইট প্রায় ১০০ ভাগই ইনসিকিউরড ছিল।

WP-Security Admin tools by WebsiteDefender এইটাও করে দেখতে পারেন আমি দুইটাই একসাথে ইউজ করছি অনেকদিন ধরে

আমার বাংলা ব্লগ-  http://www.mynetwall.info
আমার পোর্টফোলিও-  http://efthaqur.mynetwall.info

২৪

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

ওয়ার্ডপ্রেস ব্যবহার করি নাই, তাই নাকে তেল দিয়া ঘুমাই   sleeping  sleeping

Sohel Rana
Web Designer & Developer

২৫

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

আমি ওয়ার্ডপ্রেস ফ্রি হোস্টিং চালাই। কিছু করতে হলে ওরাই বুঝুক। tongue

২৬ সর্বশেষ সম্পাদনা করেছেন obakfahad (১৮-০৪-২০১৩ ১৯:০০)

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

কেনো ওরা শুধু ওয়ার্ড প্রেস হ্যাক করার চেষ্টা করছে ?? এটা ঠিক বোধগম্য হচ্ছেনা । যাই হোক , আমি এখানে যারা যারা এত কিছু শেয়ার করলেন , তাদেরকে অসংখ্য ধন্যবাদ জানাই । ভালো ধারনা হলো । আমি খুব ভালো ভাবেই সবসময় .htaccess সেট করি , তার পর ও প্লাগিন গুলা ট্রাই করলাম । ভালো জিনিশ কিন্তু একার পারসোনাল ব্লগ এর জন্য বাবর ভাই এর "সাইটে ইউজার আপনি একা হলে টেম্পোরারীলি wp-login.php তে একসেস অফ করে দিতে পারেন।" এর বিকল্প পাচ্ছিনা !!! big_smile

সত্যি বলতে ভয় পাওয়াটা আমাকে জয় করতেই হবে !!!

২৭

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

২৫-০৪-২০১৩ আপডেটঃ
এটাক ফ্লাড অনেকটা কমে এসেছে।
এপর্যন্ত মোটামুটি ৯০০০০ এর মত আইপি ক্যাপচার হইছে এই এটাক থেকে।

তারপরও কেউ নিরপত্তায় ঢিল দিয়েন না!। smile

২৮

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

forhan লিখেছেন:

আমি ওয়ার্ডপ্রেস ফ্রি হোস্টিং চালাই। কিছু করতে হলে ওরাই বুঝুক। tongue

হাসতেই আছি।  lol2 lol2

বাবর লিখেছেন:

এপর্যন্ত মোটামুটি ৯০০০০ এর মত আইপি ক্যাপচার হইছে এই এটাক থেকে।
তারপরও কেউ নিরপত্তায় ঢিল দিয়েন না!। smile

এত আইপি পায় কোথায়!  thinking

মিনহাজুল হক শাওন'এর ওয়েবসাইট

লেখাটি GPL v3 এর অধীনে প্রকাশিত

২৯

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

মিনহাজুল হক শাওন লিখেছেন:
বাবর লিখেছেন:

এপর্যন্ত মোটামুটি ৯০০০০ এর মত আইপি ক্যাপচার হইছে এই এটাক থেকে।
তারপরও কেউ নিরপত্তায় ঢিল দিয়েন না!। smile

এত আইপি পায় কোথায়!  thinking

ম্যালওয়্যার আক্রান্ত পিসি/সার্ভার।  sad

৩০

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

ইদানিং আমার সাইটে অদ্ভুত সব মেইল আইডি দিয়ে রেজিষ্ট্রেশন হচ্ছে।

৩১

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

ইলিয়াস লিখেছেন:

ইদানিং আমার সাইটে অদ্ভুত সব মেইল আইডি দিয়ে রেজিষ্ট্রেশন হচ্ছে।

রেজিং বন্ধ করে দিন না। সিংগেল ইউজার হলে সাইটে রেজিস্টেশন, লগিন সব বন্ধ করে রাখাই ভাল। একটা প্লাগইন দেখলাম রেজিসট্রেশন ও লগিন এ লিমিট সেট করে, সাথে আইপি ব্ল্যাকলিস্ট করে। মনে হয় WP Better Security.

মিনহাজুল হক শাওন'এর ওয়েবসাইট

লেখাটি GPL v3 এর অধীনে প্রকাশিত

৩২

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

মিনহাজুল হক শাওন লিখেছেন:

রেজিং বন্ধ করে দিন না।

দিলাম রেজিঃ বন্ধ করে।

৩৩

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

ওয়ার্ডপ্রেসের জন্য কাস্টম লগইন লোকেশন (দ্য ডার্টি ওয়ে) tongue

৩৪

Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক

Soon i will started a blog with wordpress that's type of information will helpful for me thanks@কাজী আলী নূর