Re: সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক
Better WP Security-টা পছন্দ হয়েছে, যদিও কিছু কিছু অপশন অ্যাকটিভ করতে ভয় পাচ্ছি। তবে এই প্লাগইনটা ব্যবহার করার পর মনে হচ্ছে এতোদিন আমার সাইট প্রায় ১০০ ভাগই ইনসিকিউরড ছিল।
আপনি প্রবেশ করেন নি। দয়া করে নিবন্ধন অথবা প্রবেশ করুন
প্রজন্ম ফোরাম » তথ্য ও যোগাযোগ প্রযুক্তি » সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক
Better WP Security-টা পছন্দ হয়েছে, যদিও কিছু কিছু অপশন অ্যাকটিভ করতে ভয় পাচ্ছি। তবে এই প্লাগইনটা ব্যবহার করার পর মনে হচ্ছে এতোদিন আমার সাইট প্রায় ১০০ ভাগই ইনসিকিউরড ছিল।
০১. প্লাগিনগুলো তো আছেই। তবে ওয়ার্ডপ্রেস ইন্সটলেশনের সময় কনফিগ ফাইলটি (wp-config.php) ম্যানুয়ালী এডিট করুন। ইনস্টলেশনের পূর্বে প্রথমে ডেটাবেজ ও ডেটাবেজ ইউজার তৈরি করুন তারপর ইউজার প্রেভিলেজগুলো সেট করুন। এবার ওয়ার্ডপ্রেস টারবল বা জিপ ফাইলটি এক্সট্রাক্ট করে "wordpress" ফোল্ডারের "wp-confige-sample.php" ফাইলটিকে রিনেইম করে "wp-config.php" লিখুন এবং সেটিতেই প্রয়োজনীয় এডিট সম্পন্ন করে ওয়ার্ডপ্রেস ইন্সটল করুন।
০২. প্রায় সময়েই কনফিগ ফাইলে (wp-config.php) সিকিউরিটি কী বা অথেন্টিকেশন কী জেনারেট করে তা যথাযথ ভাবে পরিবর্তন করা হয়না এবং অনেক জায়গাতেই আমি দেখেছি যে এই বিষয়ে কোন কিছু উল্লেখও করা হয়না। তবে আপনি অবশ্যই সেকাজটি করবেন। কনফিগ ফাইল এডিট কারার সময় ওয়ার্ডপ্রেস ডক্স বা কোডেক্স পেইজ ফলো করার পাশাপাশি কনফিগ ফাইলের বিভিন্ন সেকশনের প্রয়োজনীয় কমেন্টগুলো পড়তে ভুলবেননা। এগুলো আপনাকে সঠিক দিক নির্দেশনা দিবে ফলে কোন রকম সন্দেহ বা কনফিউশন ছাড়াই আপনি সফল ভাবে কনফিগ ফাইলটি এডিট করতে পারবেন।
০৩. ইন্সটলেশনের সময় ডিফল্ট এডমিন ইউজার নেম "admin" না ব্যবহার করে অন্য কিছু ব্যবহার করুন এবং ডেটাবেজ টেবিল প্রিফিক্স "wp_" থেকে পরিবর্তন করে যেকোন কিছু দিয়ে দিন (যেমন, "asUrcH0ice_")। এতে ডেটাবেজের সুরক্ষা ব্যবস্থা আরও মজবুত হবে।
০৪. আর বেশির ভাগ মানুষেরই দেখি ওয়ার্ডপ্রেস ডক্স এর প্রতি চরম অনিহা। কারণটা জানা নাই। আর ওয়ার্ডপ্রেসে পোস্ট রিভিশন ফিচ্যারটির জন্য ডেটাবেজের ওজন বেড়ে যায়। ডেটাবেজে অপ্রয়োজনীয়ভাবে পোস্ট রিভিশন কার্যকর হয় ফলে প্রতিটি পোস্টের জন্য অসংখ্য রিভিশন অটোম্যাটিক্যালী ব্যাক্ড আপ হয়। ফলে সকল পোস্টের রিভিশন ভার্সনগুলোসহ ডেটাবেজ অপ্রয়োজনীয়ভাবে বিরাট আকৃতি লাভ করে।
০৫. এর প্রতিকারও রয়েছে, যেমন ইন্সটলেশনের সময় কনফিগ ফাইলে (wp-config.php) পোস্ট রিভিশন ফিচ্যারে নির্দিষ্ট লিমিট সেট করে দিলেই হয়ে যায়। যে প্রক্রিয়ায় ওয়ার্ডপ্রেস পোস্ট রিভিশন লিমিটেড করে দিবেন।
০৬. অনেকেই ৪০৪ এরর পেইজটি ডিফল্ট রেখে দেয়ে যা সিকিউরিটি ইস্যুর জন্য মোটেই করা উচিৎ নয় বরং সেটিকে কাস্টমাইজ করে ইউনিক বা কাস্টমাইজড ৪০৪ এরর পেইজ টেমপ্লেট তৈরী করা উচিৎ।
০৭. ইন্সটলেশনের সময় "wp-config.php" ফাইলটি wp এর ইন্সটলেশন ডিরেক্টরির ওয়ান ডিরেক্টরী আপ ডিরেক্টরীতে অর্থাৎ "public_html" ডিরেক্টরীতে সরিয়ে রাখা ভালো। কেননা সেটির একসেস লিমিটেড থাকে যা কেবলই ওয়েব মাস্টার কিংবা সার্ভার এডমিন এর জন্য উন্মুক্ত থাকে। WordPress স্বয়ংক্রিয়ভাবে আগের ফোল্ডারটি থেকে "wp-config.php" ফাইলটি খুজে নিয়ে ইন্সটলেশনের ধাপগুলো সম্পন্ন করবে। যে প্রক্রিয়ায় এই কাজটি করতে হয়।
০৮. আর ওয়ার্ডপ্রেস সাইট এবং এর প্লাগিনগুলো যথা সম্ভব আপটুডেট রাখুন। কারণ ওয়ার্ডপ্রেস টিম নিয়মিত সিকিউরিটি আপডেটস প্রকাশ করে আর কোন বাগ ফিক্সিং থাকলে সেটিও প্রকাশ করে। তাই সবসময় ভিন্ন সোর্স এর নিউজ, ব্লগ কিংবা ফোরামের থেকে www.wordpress.org সাইটটির গুরুত্ব সর্বাধিক। তাই সবসময় সেটিতে চোখ রাখুন।
০৯. সঠিক পদ্ধতিতে WordPress ইন্সটল করুন, প্রয়োজনীয় প্লাগ-ইন্স ব্যবহার করুন। আর সব থেকে গুরুত্বপূর্ণ যে বিষয়টি সেটি হলো একটি মজবুত এবং ভালো দৈর্ঘের পাসওয়ার্ড ব্যবহার করুন যাতে থাকবে কেপিটাল এবং স্মল লেটারস, নাম্বারস, স্পেশাল ক্যারেকটারস যেমন এট, হ্যাশ, কমা, ডেশ, ডলার সাইন কিংবা ব্র্যাকেট ইত্যাদি। উদাহরণ স্বরূপ একটি পাসওয়ার্ড যেমন, Pr0J@nMo[2o!3] অর্থাৎ পাসওয়ার্ডটি এমন ভাবে তৈরি করুন যেটি একদিকে হবে স্ট্রং পাসওয়ার্ড এবং অন্য দিকে সেটি মনে রাখাটাও সহজ হবে। তাহলে ব্রুট ফোর্স কিংবা ক্রস সাইট স্ক্রিপ্টিং (XSS) কেন, অন্য যেকোন উপায়ে আর কোন হ্যাকারেরই সাধ্য নাই আপনার সেই সাইটটিকে হ্যাক করার যদি না সে কোন না কোন ভাবে আপনার সেই পাসওয়ার্ডটি চুরি করতে পারে।
১০. তাই নিজের পিসিকে সিকিউরড রাখুন আর নিজের পাসওয়ার্ডকে সুরক্ষিত রাখুন। তার পর নিশ্চিন্তে থাকুন। ধন্যবাদ
০১. প্লাগিনগুলো তো আছেই। তবে ওয়ার্ডপ্রেস ইন্সটলেশনের সময় কনফিগ ফাইলটি (wp-config.php) ম্যানুয়ালী এডিট করুন। ইনস্টলেশনের পূর্বে প্রথমে ডেটাবেজ ও ডেটাবেজ ইউজার তৈরি করুন তারপর ইউজার প্রেভিলেজগুলো সেট করুন। এবার ওয়ার্ডপ্রেস টারবল বা জিপ ফাইলটি এক্সট্রাক্ট করে "wordpress" ফোল্ডারের "wp-confige-sample.php" ফাইলটিকে রিনেইম করে "wp-config.php" লিখুন এবং সেটিতেই প্রয়োজনীয় এডিট সম্পন্ন করে ওয়ার্ডপ্রেস ইন্সটল করুন।
০২. প্রায় সময়েই কনফিগ ফাইলে (wp-config.php) সিকিউরিটি কী বা অথেন্টিকেশন কী জেনারেট করে তা যথাযথ ভাবে পরিবর্তন করা হয়না এবং অনেক জায়গাতেই আমি দেখেছি যে এই বিষয়ে কোন কিছু উল্লেখও করা হয়না। তবে আপনি অবশ্যই সেকাজটি করবেন। কনফিগ ফাইল এডিট কারার সময় ওয়ার্ডপ্রেস ডক্স বা কোডেক্স পেইজ ফলো করার পাশাপাশি কনফিগ ফাইলের বিভিন্ন সেকশনের প্রয়োজনীয় কমেন্টগুলো পড়তে ভুলবেননা। এগুলো আপনাকে সঠিক দিক নির্দেশনা দিবে ফলে কোন রকম সন্দেহ বা কনফিউশন ছাড়াই আপনি সফল ভাবে কনফিগ ফাইলটি এডিট করতে পারবেন।
০৩. ইন্সটলেশনের সময় ডিফল্ট এডমিন ইউজার নেম "admin" না ব্যবহার করে অন্য কিছু ব্যবহার করুন এবং ডেটাবেজ টেবিল প্রিফিক্স "wp_" থেকে পরিবর্তন করে যেকোন কিছু দিয়ে দিন (যেমন, "asUrcH0ice_")। এতে ডেটাবেজের সুরক্ষা ব্যবস্থা আরও মজবুত হবে।
০৪. আর বেশির ভাগ মানুষেরই দেখি ওয়ার্ডপ্রেস ডক্স এর প্রতি চরম অনিহা। কারণটা জানা নাই। আর ওয়ার্ডপ্রেসে পোস্ট রিভিশন ফিচ্যারটির জন্য ডেটাবেজের ওজন বেড়ে যায়। ডেটাবেজে অপ্রয়োজনীয়ভাবে পোস্ট রিভিশন কার্যকর হয় ফলে প্রতিটি পোস্টের জন্য অসংখ্য রিভিশন অটোম্যাটিক্যালী ব্যাক্ড আপ হয়। ফলে সকল পোস্টের রিভিশন ভার্সনগুলোসহ ডেটাবেজ অপ্রয়োজনীয়ভাবে বিরাট আকৃতি লাভ করে।
০৫. এর প্রতিকারও রয়েছে, যেমন ইন্সটলেশনের সময় কনফিগ ফাইলে (wp-config.php) পোস্ট রিভিশন ফিচ্যারে নির্দিষ্ট লিমিট সেট করে দিলেই হয়ে যায়। যে প্রক্রিয়ায় ওয়ার্ডপ্রেস পোস্ট রিভিশন লিমিটেড করে দিবেন।
০৬. অনেকেই ৪০৪ এরর পেইজটি ডিফল্ট রেখে দেয়ে যা সিকিউরিটি ইস্যুর জন্য মোটেই করা উচিৎ নয় বরং সেটিকে কাস্টমাইজ করে ইউনিক বা কাস্টমাইজড ৪০৪ এরর পেইজ টেমপ্লেট তৈরী করা উচিৎ।
০৭. ইন্সটলেশনের সময় "wp-config.php" ফাইলটি wp এর ইন্সটলেশন ডিরেক্টরির ওয়ান ডিরেক্টরী আপ ডিরেক্টরীতে অর্থাৎ "public_html" ডিরেক্টরীতে সরিয়ে রাখা ভালো। কেননা সেটির একসেস লিমিটেড থাকে যা কেবলই ওয়েব মাস্টার কিংবা সার্ভার এডমিন এর জন্য উন্মুক্ত থাকে। WordPress স্বয়ংক্রিয়ভাবে আগের ফোল্ডারটি থেকে "wp-config.php" ফাইলটি খুজে নিয়ে ইন্সটলেশনের ধাপগুলো সম্পন্ন করবে। যে প্রক্রিয়ায় এই কাজটি করতে হয়।
০৮. আর ওয়ার্ডপ্রেস সাইট এবং এর প্লাগিনগুলো যথা সম্ভব আপটুডেট রাখুন। কারণ ওয়ার্ডপ্রেস টিম নিয়মিত সিকিউরিটি আপডেটস প্রকাশ করে আর কোন বাগ ফিক্সিং থাকলে সেটিও প্রকাশ করে। তাই সবসময় ভিন্ন সোর্স এর নিউজ, ব্লগ কিংবা ফোরামের থেকে www.wordpress.org সাইটটির গুরুত্ব সর্বাধিক। তাই সবসময় সেটিতে চোখ রাখুন।
০৯. সঠিক পদ্ধতিতে WordPress ইন্সটল করুন, প্রয়োজনীয় প্লাগ-ইন্স ব্যবহার করুন। আর সব থেকে গুরুত্বপূর্ণ যে বিষয়টি সেটি হলো একটি মজবুত এবং ভালো দৈর্ঘের পাসওয়ার্ড ব্যবহার করুন যাতে থাকবে কেপিটাল এবং স্মল লেটারস, নাম্বারস, স্পেশাল ক্যারেকটারস যেমন এট, হ্যাশ, কমা, ডেশ, ডলার সাইন কিংবা ব্র্যাকেট ইত্যাদি। উদাহরণ স্বরূপ একটি পাসওয়ার্ড যেমন, Pr0J@nMo[2o!3] অর্থাৎ পাসওয়ার্ডটি এমন ভাবে তৈরি করুন যেটি একদিকে হবে স্ট্রং পাসওয়ার্ড এবং অন্য দিকে সেটি মনে রাখাটাও সহজ হবে। তাহলে ব্রুট ফোর্স কিংবা ক্রস সাইট স্ক্রিপ্টিং (XSS) কেন, অন্য যেকোন উপায়ে আর কোন হ্যাকারেরই সাধ্য নাই আপনার সেই সাইটটিকে হ্যাক করার যদি না সে কোন না কোন ভাবে আপনার সেই পাসওয়ার্ডটি চুরি করতে পারে।
১০. তাই নিজের পিসিকে সিকিউরড রাখুন আর নিজের পাসওয়ার্ডকে সুরক্ষিত রাখুন। তার পর নিশ্চিন্তে থাকুন। ধন্যবাদ
চমৎকার লিখেছেন,আমি যখন হ্যাকিংয়ের শিকার হয়েছিলাম তখন মোটামুটি সিকিঊরিটি অনেক শক্ত করে ফেলেছিলাম ধন্যবাদ আপনার এই লেখার জন্য....
Better WP Security-টা পছন্দ হয়েছে, যদিও কিছু কিছু অপশন অ্যাকটিভ করতে ভয় পাচ্ছি। তবে এই প্লাগইনটা ব্যবহার করার পর মনে হচ্ছে এতোদিন আমার সাইট প্রায় ১০০ ভাগই ইনসিকিউরড ছিল।
WP-Security Admin tools by WebsiteDefender এইটাও করে দেখতে পারেন আমি দুইটাই একসাথে ইউজ করছি অনেকদিন ধরে
ওয়ার্ডপ্রেস ব্যবহার করি নাই, তাই নাকে তেল দিয়া ঘুমাই
আমি ওয়ার্ডপ্রেস ফ্রি হোস্টিং চালাই। কিছু করতে হলে ওরাই বুঝুক।
কেনো ওরা শুধু ওয়ার্ড প্রেস হ্যাক করার চেষ্টা করছে ?? এটা ঠিক বোধগম্য হচ্ছেনা । যাই হোক , আমি এখানে যারা যারা এত কিছু শেয়ার করলেন , তাদেরকে অসংখ্য ধন্যবাদ জানাই । ভালো ধারনা হলো । আমি খুব ভালো ভাবেই সবসময় .htaccess সেট করি , তার পর ও প্লাগিন গুলা ট্রাই করলাম । ভালো জিনিশ কিন্তু একার পারসোনাল ব্লগ এর জন্য বাবর ভাই এর "সাইটে ইউজার আপনি একা হলে টেম্পোরারীলি wp-login.php তে একসেস অফ করে দিতে পারেন।" এর বিকল্প পাচ্ছিনা !!!
২৫-০৪-২০১৩ আপডেটঃ
এটাক ফ্লাড অনেকটা কমে এসেছে।
এপর্যন্ত মোটামুটি ৯০০০০ এর মত আইপি ক্যাপচার হইছে এই এটাক থেকে।
তারপরও কেউ নিরপত্তায় ঢিল দিয়েন না!।
আমি ওয়ার্ডপ্রেস ফ্রি হোস্টিং চালাই। কিছু করতে হলে ওরাই বুঝুক।
হাসতেই আছি।
এপর্যন্ত মোটামুটি ৯০০০০ এর মত আইপি ক্যাপচার হইছে এই এটাক থেকে।
তারপরও কেউ নিরপত্তায় ঢিল দিয়েন না!।
এত আইপি পায় কোথায়!
বাবর লিখেছেন:এপর্যন্ত মোটামুটি ৯০০০০ এর মত আইপি ক্যাপচার হইছে এই এটাক থেকে।
তারপরও কেউ নিরপত্তায় ঢিল দিয়েন না!।এত আইপি পায় কোথায়!
ম্যালওয়্যার আক্রান্ত পিসি/সার্ভার।
ইদানিং আমার সাইটে অদ্ভুত সব মেইল আইডি দিয়ে রেজিষ্ট্রেশন হচ্ছে।
ইদানিং আমার সাইটে অদ্ভুত সব মেইল আইডি দিয়ে রেজিষ্ট্রেশন হচ্ছে।
রেজিং বন্ধ করে দিন না। সিংগেল ইউজার হলে সাইটে রেজিস্টেশন, লগিন সব বন্ধ করে রাখাই ভাল। একটা প্লাগইন দেখলাম রেজিসট্রেশন ও লগিন এ লিমিট সেট করে, সাথে আইপি ব্ল্যাকলিস্ট করে। মনে হয় WP Better Security.
রেজিং বন্ধ করে দিন না।
দিলাম রেজিঃ বন্ধ করে।
Soon i will started a blog with wordpress that's type of information will helpful for me thanks@কাজী আলী নূর
প্রজন্ম ফোরাম » তথ্য ও যোগাযোগ প্রযুক্তি » সতর্কবার্তাঃ বিশ্বজুড়ে ওয়ার্ডপ্রেস সাইটগুলোর উপর ব্রুটফোর্স এটাক
০.১০৩৩৩৭০৪৯৪৮৪২৫ সেকেন্ডে তৈরী হয়েছে, ৮৮.০৩৯১৩৯৮২২৮৫৪ টি কোয়েরী চলেছে