সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক 2 পাতা থেকে পাতা 2

০১. প্লাগিনগুলো তো আছেই। তবে ওয়ার্ডপ্রেস ইন্সটলেশনের সময় কনফিগ ফাইলটি (wp-config.php) ম্যানুয়ালী এডিট করুন। ইনস্টলেশনের পূর্বে প্রথমে ডেটাবেজ ও ডেটাবেজ ইউজার তৈরি করুন তারপর ইউজার প্রেভিলেজগুলো সেট করুন। এবার ওয়ার্ডপ্রেস টারবল বা জিপ ফাইলটি এক্সট্রাক্ট করে "wordpress" ফোল্ডারের "wp-confige-sample.php" ফাইলটিকে রিনেইম করে "wp-config.php" লিখুন এবং সেটিতেই প্রয়োজনীয় এডিট সম্পন্ন করে ওয়ার্ডপ্রেস ইন্সটল করুন।

০২. প্রায় সময়েই কনফিগ ফাইলে (wp-config.php) সিকিউরিটি কী বা অথেন্টিকেশন কী জেনারেট করে তা যথাযথ ভাবে পরিবর্তন করা হয়না এবং অনেক জায়গাতেই আমি দেখেছি যে এই বিষয়ে কোন কিছু উল্লেখও করা হয়না। তবে আপনি অবশ্যই সেকাজটি করবেন। কনফিগ ফাইল এডিট কারার সময় ওয়ার্ডপ্রেস ডক্স বা কোডেক্স পেইজ ফলো করার পাশাপাশি কনফিগ ফাইলের বিভিন্ন সেকশনের প্রয়োজনীয় কমেন্টগুলো পড়তে ভুলবেননা। এগুলো আপনাকে সঠিক দিক নির্দেশনা দিবে ফলে কোন রকম সন্দেহ বা কনফিউশন ছাড়াই আপনি সফল ভাবে কনফিগ ফাইলটি এডিট করতে পারবেন।

০৩. ইন্সটলেশনের সময়  ডিফল্ট এডমিন ইউজার নেম "admin" না ব্যবহার করে অন্য কিছু ব্যবহার করুন এবং ডেটাবেজ টেবিল প্রিফিক্স "wp_" থেকে পরিবর্তন করে যেকোন কিছু দিয়ে দিন (যেমন, "asUrcH0ice_")। এতে ডেটাবেজের সুরক্ষা ব্যবস্থা আরও মজবুত হবে।

০৪. আর বেশির ভাগ মানুষেরই দেখি ওয়ার্ডপ্রেস ডক্স এর প্রতি চরম অনিহা। কারণটা জানা নাই। আর ওয়ার্ডপ্রেসে পোস্ট রিভিশন ফিচ্যারটির জন্য ডেটাবেজের ওজন বেড়ে যায়। ডেটাবেজে অপ্রয়োজনীয়ভাবে পোস্ট রিভিশন কার্যকর হয় ফলে প্রতিটি পোস্টের জন্য অসংখ্য রিভিশন অটোম্যাটিক্যালী ব্যাক্ড আপ হয়। ফলে সকল পোস্টের রিভিশন ভার্সনগুলোসহ ডেটাবেজ অপ্রয়োজনীয়ভাবে বিরাট আকৃতি লাভ করে।

০৫. এর প্রতিকারও রয়েছে, যেমন ইন্সটলেশনের সময় কনফিগ ফাইলে (wp-config.php) পোস্ট রিভিশন ফিচ্যারে নির্দিষ্ট লিমিট সেট করে দিলেই হয়ে যায়। যে প্রক্রিয়ায় ওয়ার্ডপ্রেস পোস্ট রিভিশন লিমিটেড করে দিবেন।

০৬. অনেকেই ৪০৪ এরর পেইজটি ডিফল্ট রেখে দেয়ে যা সিকিউরিটি ইস্যুর জন্য মোটেই করা উচিৎ নয় বরং সেটিকে কাস্টমাইজ করে ইউনিক বা কাস্টমাইজড ৪০৪ এরর পেইজ টেমপ্লেট তৈরী করা উচিৎ।

০৭. ইন্সটলেশনের সময় "wp-config.php" ফাইলটি wp এর ইন্সটলেশন ডিরেক্টরির ওয়ান ডিরেক্টরী আপ ডিরেক্টরীতে অর্থাৎ "public_html" ডিরেক্টরীতে সরিয়ে রাখা ভালো। কেননা সেটির একসেস লিমিটেড থাকে যা কেবলই ওয়েব মাস্টার কিংবা সার্ভার এডমিন এর জন্য উন্মুক্ত থাকে। WordPress স্বয়ংক্রিয়ভাবে আগের ফোল্ডারটি থেকে  "wp-config.php" ফাইলটি খুজে নিয়ে ইন্সটলেশনের ধাপগুলো সম্পন্ন করবে। যে প্রক্রিয়ায় এই কাজটি করতে হয়।

০৮. আর ওয়ার্ডপ্রেস সাইট এবং এর প্লাগিনগুলো যথা সম্ভব আপটুডেট রাখুন। কারণ ওয়ার্ডপ্রেস টিম নিয়মিত সিকিউরিটি আপডেটস প্রকাশ করে আর কোন বাগ ফিক্সিং থাকলে সেটিও প্রকাশ করে। তাই সবসময় ভিন্ন সোর্স এর নিউজ, ব্লগ কিংবা ফোরামের থেকে www.wordpress.org সাইটটির গুরুত্ব সর্বাধিক। তাই সবসময় সেটিতে চোখ রাখুন।

০৯. সঠিক পদ্ধতিতে WordPress ইন্সটল করুন, প্রয়োজনীয় প্লাগ-ইন্স ব্যবহার করুন। আর সব থেকে গুরুত্বপূর্ণ যে বিষয়টি সেটি হলো একটি মজবুত এবং ভালো দৈর্ঘের পাসওয়ার্ড ব্যবহার করুন যাতে থাকবে কেপিটাল এবং স্মল লেটারস, নাম্বারস, স্পেশাল ক্যারেকটারস যেমন এট, হ্যাশ, কমা, ডেশ, ডলার সাইন কিংবা ব্র্যাকেট ইত্যাদি। উদাহরণ স্বরূপ একটি পাসওয়ার্ড যেমন, Pr0J@nMo[2o!3]  অর্থাৎ পাসওয়ার্ডটি এমন ভাবে তৈরি করুন যেটি একদিকে হবে স্ট্রং পাসওয়ার্ড এবং অন্য দিকে সেটি মনে রাখাটাও সহজ হবে। তাহলে ব্রুট ফোর্স কিংবা ক্রস সাইট স্ক্রিপ্টিং (XSS) কেন, অন্য যেকোন উপায়ে আর কোন হ্যাকারেরই সাধ্য নাই আপনার সেই সাইটটিকে হ্যাক করার যদি না সে কোন না কোন ভাবে আপনার সেই পাসওয়ার্ডটি চুরি করতে পারে।

১০. তাই নিজের পিসিকে সিকিউরড রাখুন আর নিজের পাসওয়ার্ডকে সুরক্ষিত রাখুন। তার পর নিশ্চিন্তে থাকুন। ধন্যবাদ

ওয়ার্ডপ্রেস ব্যবহার করি নাই, তাই নাকে তেল দিয়া ঘুমাই    

কেনো ওরা শুধু ওয়ার্ড প্রেস হ্যাক করার চেষ্টা করছে ?? এটা ঠিক বোধগম্য হচ্ছেনা । যাই হোক , আমি এখানে যারা যারা এত কিছু শেয়ার করলেন , তাদেরকে অসংখ্য ধন্যবাদ জানাই । ভালো ধারনা হলো । আমি খুব ভালো ভাবেই সবসময় .htaccess সেট করি , তার পর ও প্লাগিন গুলা ট্রাই করলাম । ভালো জিনিশ কিন্তু একার পারসোনাল ব্লগ এর জন্য বাবর ভাই এর "সাইটে ইউজার আপনি একা হলে টেম্পোরারীলি wp-login.php তে একসেস অফ করে দিতে পারেন।" এর বিকল্প পাচ্ছিনা !!!

হাসতেই আছি। 

এত আইপি পায় কোথায়! 

ইদানিং আমার সাইটে অদ্ভুত সব মেইল আইডি দিয়ে রেজিষ্ট্রেশন হচ্ছে।

দিলাম রেজিঃ বন্ধ করে।