Pages - Menu

Saturday, March 8, 2014

সিকিউর করুন আপনার ওয়ার্ডপ্রেস সাইট-১







ওয়ার্ডপ্রেস সম্পর্কে আমরা সবাই কম বেশী জানি। তবে ওয়েব জগতে যারা একেবারে নতুন, এবং চান যে আমারও একটি সাইটের দরকার, তাহলে তাদের জানা জরুরী। আজ আমি ওয়ার্ডপ্রেস দিয়ে বানানো সাইটের সিকিউরিটি নিয়ে আলোচনা করব। পরবর্তীতে ওয়ার্ডপ্রেস এর ধারাবাহিক এ টু জেড টিউটোরিয়াল দেওয়ার চেষ্টা করব, আপনাদের মতামতের ভিত্তিতে। আপনারা মেইলের মাধ্যমে আমাদের ফীডব্যাক দেবেন, আপনাদের কি কি নিয়ে জানা জরুরী। পরবর্তীতে আমরা তা দেওয়ার চেষ্টা করব। তো চলুন শুরু করা যাক।

ওয়ার্ডপ্রেস কিঃ 

ওয়ার্ডপ্রেস বর্তমান সময়ের সবচেয়ে জনপ্রিয় মুক্ত একটি ব্লগিং প্লাটফর্ম বা সিএমএস (কনটেন্ট ম্যানেজমেন্ট সিস্টেম) যা সম্পূর্ণ বিনামুল্যে সরবরাহ করা হয়। অনেকই হয়ত আবার প্রশ্ন করে বসবেন,  সিএমএস কি জিনিষ? তাদের জন্যই বলছি, সিএমএস হলো একটি প্রোগ্রাম যা দিয়ে একটি সাইটের রক্ষানাবেক্ষন, পরিচালনা, আর্টিকেল পাবলিশিং, এডিটিং,  যাবতীয়

এডমিনিস্ট্রিটিভ কাজ করা যায়। এটি হল অনেকটা অফিসের ব্যাক অফিসের মত। অনেক প্রতিষ্ঠানের সামনে থাকে তাদের ব্যবসায়ীক পণ্য, এবং পিছনে থাকে অফিস, যেখান থেকে সব কার্যক্রম পরিচালনা করা হয়। এ ক্ষেত্রে আমরা সুপার মার্কেটের কথা ভাবতে পারি।

ওয়ার্ডপ্রেস হল, পিএইচপি এবং মাই এস্.কিউএল  এর সমন্নয়ে প্রস্তুত একটি সিএমএস। যা দিয়ে একজন ব্যবহারকারী কোন ধরনের প্রোগ্রামিং ল্যাংগুয়েজ না জানা সত্ত্বেও খুব সহজে নিজের একটি সাইট বানাতে পারে। ওয়ার্ডপ্রেসের দুটি সেবা, 1.wordpress.org & 2.wordpress.com . অনেকেই এই দুইটার সম্পর্ক বুঝতে পারেন না, গুলিয়ে ফেলেন। সেটা ক্লিয়ার করি,   wordpress.org তে আপনি আপনার ইচ্ছা মত হোস্টিং, ডোমেইন, এবং অন্যান্য সুবিধা ব্যবহার করতে পারেন। এজন্য আপনার অবশ্যই ডোমেইন এবং হোস্টিং থাকতে হবে। এখানে আপনি ওয়ার্ডপ্রেসের ফ্রি এবং প্রিমিয়াম থীম ও ব্যবহার করতে পারেন। চাইলে নিজের বানানো  বা থীম ফরেস্ট থেকে কিনেও থীম ও ব্যবহার করতে পারবেন।  কিন্তু wordpress.com এ আপনি নিজের ইচ্ছা মত ডোমেইন ব্যবহার করতে পারবেন না। মানে yoursite.com এ রকম পাবেন না ।


আপনি পেতে পারেন, blackexplorer.wordpress.com। এইখানে কোন ধরনের ডোমেইন বা হোস্টিং কিনার কোন ঝামেলা নেই। শুধু মাত্র নিজের পছন্দ মত নাম দিয়ে একটা সাইট খুলবেন  , যেমন  http://yourname.wordpress.com  এর পর সব শুধু লগিন করে, নিজের সাইট চালাতে পারবেন! ইচ্ছা মত ব্লগিং করতে পারবেন। কিছু সীমাবদ্ধতা আছে, যেমন, এখানে আপনার নিজের ইচ্ছা মত থীম ব্যবহার করতে পারবেন না। শুধু মাত্র ওয়ার্ডপ্রেসের যে সব ফ্রী এবং প্রিমিয়াম থীম আছে, ওই গুলো ফ্রিতেই ব্যবহার করতে পারবেন। নাউ  চয়েস ইস ইউর’স! আপনার যেটা সুবিধা ওইটাই ব্যবহার করুণ ।  ওয়ার্ডপ্রেস প্রথম রিলিজ হয় ২০০৩ সালের ২৭ মে।  এটি তৈরি করেন Matt Mullenweg এবং Mike Little. ওয়ার্ডপ্রেসে ৩ ফেব্রুয়ারী ২০১৪ তারিখে  সর্বশেষ নতুন ভার্সন ৩.৮ আপডেট হয়েছে এবং এটি ফেব্রুয়ারী ২০১৪ তে মোট ডাওনলোড করেছেন ১৬ মিলিয়ন+ ব্যবহারকারী!!!!  (তথ্যঃ উইকিপিডিয়া) এবার চিন্তা করুন ওয়ার্ডপ্রেসের জনপ্রিয়তা সম্পর্কে।

ওয়ার্ডপ্রেস সিকিউরিটিঃ 

ওয়ার্ডপ্রেস ব্যবহার করা যেমন সহজ, তেমনি এর রক্ষানাবেক্ষন করাও একটু ঝামেলার। কারণ আপনার সাধের ওয়েব সাইট যে কোন মুহূর্তে হ্যাকার দের আক্রমণের লক্ষ্য বস্তু হতে পারে। হ্যাকার ছাড়াও আপনার যে কোন শত্রু হয়ত আপনার ব্যবসায়িক বা ব্যক্তিগত ক্ষতি করার জন্যও আপনার সাইটের উপর হামলা করতে পারে। কিভাবে? আপনার ওয়ার্ডপ্রেস সাইটের সঠিক রক্ষানাবেক্ষনের সীমাবদ্ধ জ্ঞানের কারণে। একজন হ্যাকারের অন্যতম জনপ্রিয় সিএমএস হলো  ওয়ার্ডপ্রেস। এজন্য আবার কেউ ভেবে বসবেন না ওয়ার্ডপ্রেসেরই সিকিউরিটির সমস্যা আছে। এটা মোটেও সঠিক নয়। আপনি যদি বেড প্র্যাকটিস করেন, সব সময় আপডেট না থাকেন, নরমাল পাসওয়ার্ড ব্যবহার করেন,  এর পর ওয়ার্ডপ্রেস কে ব্লেম করেন, তাহলে তা হয় না। আপনাকে আপনার জায়গা থেকে সতর্ক হতে হবে। সিকিউরিটি ইস্যুগুলো জানতে হবে।


একজন হ্যাকার তার দক্ষতা দিয়ে আপনার সাইটের বাগ, বা ত্রুটি,  (হ্যাকারদের ভাষায় যাকে আমরা এক্সপ্লয়ট বলি) এবং আপনার সাইটের দুর্বলতা বা Vulnerability বের করতে পারে এবং খুব সহজেই আপনার সাইটের পুরো নিয়ন্ত্রন নিতে পারে!!!  এছাড়া Xss (Cross Site Scripting), Sql Injection, Malware, Plugin upload vulnerability, image upload vulnerability সহ আরও অনেক রকম পদ্ধতি। তাই বলে কি আপনি ওয়ার্ডপ্রেস ব্যবহার  করবেন না? হ্যাঁ, অবশ্যই করবেন। কিন্তু এ জন্য আপনার কিছু উপায় জানা দরকার, যা জানলে সহজে আপনার সাইটকে বাচাতে পারবেন। মনে রাখবেন, মাথা ব্যাথা করলেই, মাথা ফেলে দেওয়াটা সমাধান নয়, বরং মাথা ব্যাথার কারণ খুঁজে বের করে এর সমাধান করাটাই যুক্তিযুক্ত। এজন্যই বলে, Prevention is better than Cure. বেশী বক বকানোর জন্য দুঃখিত :P ।

যাইহউক এবার আসা যাক আসল কাজে। আসলে সিকিউরিটি এর ব্যাপারটা অনেক সেন্সেটিভ। তাই আপনি নিশ্চিত করে বলতে পারেন না, আপনার সাইটে কেঊ ক্ষতি করতে পারবেনা। লীড হ্যাকাররা তাদের অপরিসীম মেধা দিয়ে নিত্যনতুন তৈরি করে এক্সপ্লয়ট। তার পরও কেউ যেন সহজে আপনার সাইটের ক্ষতি করতে না পারে, এর জন্য সিকিউরিটি টিপস গুলো শেয়ার করলাম। এতে আপনার সাইটের ৭০% সিকিউরিটি নিশ্চিত হবে xD  । তো চলুন শুরু করা যাক।

১. ওয়ার্ডপ্রেস আপডেটঃ

আপনার উচিত হবে , সব সময় ওয়ার্ডপ্রেসের আপডেট ভার্সন ব্যবহার করা। অনেকেই জানেন না, ভার্সন আপডেট কেন করা হয়? অনেকেই না জেনে আগের ভার্সনই ব্যবহার করে যায় বছরের পর বছর। মূলত যে কোন ডেভেলপার আপডেট করেন, আগের ভার্সনের বাগ গুলো ফিক্সড করে আরও নতুন নতুন ফিচার এবং আগের থেকে বেশি সিকিউর করার পর। ওয়ার্ডপ্রেস ডেভেলপাররা কোন ধরনের ত্রুটি, নতুন কোন ফিচার যোগ করলেই ভার্সন আপডেট করে দেয়। এতে মেজর অনেক সিকিউরিটি সমস্যা সমাধান হয়ে যায়।  সুতরাং আপনার ওয়ার্ডপ্রেস সাইট সহজে সিকিউর করার উপায় হল, সব সময় আপডট ভার্সন ব্যবহার করা। এজন্য আপনার DeshBoard এ WordPress Upadte এর একটি অপশন পাবেন, যা দিয়ে আপনি আপনার ওয়ার্ডপ্রেস ভার্সন আপডেট করে নিতে পারেন।

২. ডিফল্ট এডমিন নেইম পরিবর্তন:

আমরা ওয়ার্ডপ্রেস ইন্সটলের পর, অলসতা করে ডিফল্ট এডমিন নেইম রেখে দেই। ফলে একজন হ্যাকারের আক্রমণ করাটা খুব সহজ হয়ে যায় :P  যেমন, আপনি যদি আপনার লগইন এ ইউজার রাখেন এডমিন, তাহলে এটা খুবই বোকামি । আমাদের দেশের  সরকারী সাইটের  এডমিনরা যেমন অনেক সময় রাখেন, ইউজারঃ এডমিন, পাসঃ এডমিন  । এজন্যই অন্য দেশের হ্যাকারদের কাছে আমাদের মাথা নত করতে হয়, কারণ তারা খুব সহজে আমাদের সাইটের নিয়ন্ত্রন নিতে পারে। যাইহউক, এজন্য ডিফল্ট নেইম ছাড়া অন্য কোন নাম ব্যবহার করুন। ডিফল্ট নেইম ইউজ করলে খুব সহজে ব্রুট ফোর্সিং অ্যাটাক এর শিকার হতে পারেন। এজন্য ওয়ার্ডপ্রেস ইন্সটল করার সময় এই ব্যাপারটা লক্ষ্য রাখবেন।

 ৩.স্ট্রং পাসওয়ার্ড ব্যবহার:

আপনার পাসওয়ার্ড  যদি হয় - admin, 123456, 01738445…., (আপনার মোবাইল ন্ং,) pasword123 তাহলে পাসওয়ার্ড থাকা আর না থাকা একই কথা । কারণ হ্যাকাররা খুব সহজে আপনার এই পাসওয়ার্ড ব্রেক করতে সক্ষম! পাসওয়ার্ড কমপক্ষে ১৫ অক্ষরের, আরও ভাল হয় যদি তা ২৫-৩০ হয়! এনক্রিপ্টেড এবং তাতে সিম্বলিক কোড সহ নাম্বার ব্যবহার করতে পারেন। তাতে পাসওয়ার্ড অনেক স্ট্রং হবে। যেমনঃ This!s_P@sWorD&^%$#123#@!. এছাড়া এই সাইটটিও ব্যবহার করতে পারেন-  http://strongpasswordgenerator.com  । সব সময় চেষ্টা করবেন আপনার পাসওয়ার্ডটি যেন সাধারণ না হয়। ফ্ল্যাট না হয়।

 অনেকেই পাসওয়ার্ড হিসেবে নিজের নাম, মোবাইল নাম্বার, নিজের জম্মদিনের তারিখ এরকম কিছু কমন জিনিষ ব্যবহার করেন যা চরম বোকামি। এক্ষেত্রে আপনি সোসিয়াল ইঞ্জিনিয়ারিং হ্যাকিং এর কবলে পড়তে পারেন। সোসিয়াল ইঞ্জিনিয়ারিং  হল একটি পদ্ধতি যা দিয়ে কেউ কৌশলে আপনার এসব কমন জিনিষ জেনে গেল বা আপনি সরল মনে বলে দিলেন আর সে সুযোগ এর সৎব্যবহার করে আপনার ফেসবুক একাউন্ট বা অন্য কোন একাউন্ট হ্যাক করে নিল। সুতরাং পাসওয়ার্ড  হিসেবে কখনই এসব কমন জিনিষ ব্যবহার করা যাবে না।

৪. ডিফল্ট টেবিল প্রিফিক্স পরিবর্তনঃ

ওয়ার্ডপ্রেস ইন্সটলের সময় আমরা অনেক সময় ডিফল্ট প্রিফিক্স “WP_” রেখে দেই। এটা অনেক বড় ভুল। আপনার প্রিফিক্স পরিবর্তন করুন,  হ্যাকাররা ঠিকি জানে :P তারা এসকিউএল করে সহজেই ডাটা বের করে ফেলতে পারবে। তাই ডিফল্ট প্রিফিক্স “WP_” ব্যবহার না করে জটিল কিছু দিন। যেমন আমি দিলাম  ‘Bl@ck3xPloR3r_’ . ইন্সটলেশনের সময় টেবিল প্রিফিক্স এর ব্যাপারে সতর্ক থাকুন।

৫. কনফিগ ফাইল প্রটেক্ট করা:

 ধরে নিলাম, আপনার ওয়ার্ডপ্রেস ইন্সটেলেশন শেষ । এখন আপনাকে করতে হবে আরও অনেক গুরুত্বপূর্ণ কাজ। আপনার প্রথম কাজ হবে wp-config.php ফাইলকে প্রটেক্ট করা। এই ফাইলে আপনার সাইটের অনেক অনেক সেনসিটিভ ইনফো আছে। ডাটাবেস নেইম, ইউজার নেইম, পাসওয়ার্ড  ইত্যাদি। এজন্য আপনাকে এই ফাইলটির নিরাপত্তা বিধান করা জরুরী।  এজন্য এই ফাইলটাকে  Root folder এ রাখা যাবে না। অন্য জায়গায় নিয়ে রাখতে হবে। এজন্য আপনাকে আরও কিছু কাজ করতে হবে।  আপনার সার্ভারের .htaccess ফাইলে কিছু কোড লিখতে হবে।




<Files wp-config.php?

Order allow, deny

Deny from all

</Files>

  

 এর পর সেইভ করুন, কাজ শেষ J  এর পর আরও একটি কাজ করবেন, wp-config.php ফাইলের পারমিশন পরিবর্তন করুন। ডিফল্ট  644 থাকে, পরিবর্তন করে  400 করুন. তাহলে এইটা শুধু মাত্র রুটের জন্য পারমিশন পাবে।

৬.htaccess ফাইল্কেই রক্ষা করুনঃ

এতক্ষন দেখলাম অন্য ফাইলের নিরাপত্তার জন্য আমরা .htaccess এর  মধ্যে  কোডিং করলাম। এখন কথা হল, আমি তো সব নিরাপত্তার জন্য ওইটাতে কোডিং করলাম, কিন্তু ওই ফাইলটাকেই নিরাপদ করলাম না! তা হলে কি হবে? যেই লাউ সেই কদু আর কি? :P  যাই হোক, বুঝতেই পারছেন কেন আমাদের .htaccess ফাইলটিকে রক্ষা করা খুব জরুরী। এই ফাইলটিকে রক্ষার মাধ্যমে আপনার সাইটের অনেক নিরাপত্তা বেড়ে যাবে। এই কাজের জন্য আমাদের কিছু কোডিং করা লাগবে। এজন্য নিচের কোড গুলো লিখতে হবে।

<Files ~ "^.*\.([Hh][Tt][Aa])">

order allow, deny

deny from all

satisfy all

</Files>

  আরো ভাল হয় যদি আপনি .htaccess ফাইলের নামটাই পরিবর্তন করে দেন।  যেমন  ht.access  এরকম।

৭.কিছু ফাইল ডিলিট করুনঃ   আপনার হোস্টিং এর কন্ট্রোল প্যানেলে প্রবেশ করুন, তারপর  Filemanager থেকে  licence.html এবং  readme.html ফাইল দুটি মুছে দিন। এই ফাইল গুলোতে আপনার সাইটের বর্তমান ওয়ার্ডপ্রেস ভার্সন সহ আরও কিছু তথ্য থাকে। যা জানলে এক জন হ্যাকার আপনার সাইটের কিছু সিকিউরিটি প্রব্লেম ধরতে পারবে।

৮.ওয়ার্ডপ্রেসের ভার্সন হাইড করুনঃ 

আপনি ওয়ার্ডপ্রেসের কোন ভার্সন ব্যবহার করছেন, তা লুকানোর জন্য  আপনার এক্টিভ থীমের functions.php ফাইলে  নিচের কোড গুলো যুক্ত করুন।

remove_action('p_header', 'wp_generator'); এছাড়া আর এস এস ফীড থেকে হাইড করতে নিচের কোড গুলা এড করে দিন।




Function wpt_remove_version()

{

Return ' ';

}

 Add_filter('the_generator', 'wpt_r')




৯.Robot.txt ফাইলের সঠিক ব্যবহারঃ
সার্চ ইঞ্জিন অপটিমাইজেশন এর জন্য Robot.txt অত্যন্ত গুরুত্বপূর্ণ। Robot.txt হোল এমন একটি ফাইল যা দিয়ে সার্চ ইঞ্জিন এর বট বা রোবট গুলোকে  বলে দেওয়া যায়, কোনটিকে সে crawl করবে, কোনটিকে crawl করবেনা।   এটি ব্যবহার করার মাধ্যমে হ্যাকাররা বটের মাধ্যমে সাইট হ্যাক করতে পারবেনা। সার্চ ইঞ্জিনের বটগুলো সারাক্ষন ইন্টারনেটে বিচরণ করে। যখনই তারা নতুন কোন সাইট খুঁজে পায়, তখন সে সাথে সাথে ইনডেক্সিং করে রাখে। এই রোবটগুলো ওয়েব স্পাইডার নামে পরিচিত। তাদের crawl না করার জন্য কিছু কোড লিখতে হয়। এতে ওয়েব স্পাইডার গুলো বুঝে নেয়, এই ডিরেক্টরিকে ইন্ডেক্সিং না করার জন্য বলছে। যদি আমরা চাই আমাদের এডমিন এর ডিরেক্টরীতে crawl করব না, তাহলে Robot.txt তে লিখতে হবে Disallow: /wp-admin/  তাহলে সে বুঝে নেবে, এই ডিরেক্টরীতে crawl না করার জন্য বলছে। Robot.txt এর ব্যাপারটি আরও ভালভাবে জানতে গুগলে সার্চ করুন।

Robot.txt এর কমন কিছু জিনিষঃ
Disallow:  ==> crawl করার পারমিশন না দেওয়ার জন্য
Allow: ==> crawl করার পারমিশন দেওয়ার জন্য
User-agent: রোবট সমুহকে নির্দেশ করে।
*==> এর মানে সকল প্রকার রোবট
# ==> Robot.txt  ফাইলে কমেন্ট করার জন্য

একটি কমন  যা Robot.txt  আপনারা চাইলে ব্যবহার করতে পারেন।











Sitemap: http://yoursite.com/sitemap.xml.gz

User-agent: Googlebot-Image

Disallow:

User-agent:Mediapartners-Google

Disallow:

User-agent: *

Disallow:/index.php/

Disallow: /cgi-bin/

Disallow:/wp-admin/

Disallow:/wp-includes/

Disallow:/trackback/

Disallow:/feed/
এই কাজটি চাইলে .htaccess দিয়েও করতে পারেন।



১০.নিয়মিত ডাটা ব্যাকআপ রাখুনঃ

এটি করা অনেক ইম্পরট্যান্ট! নিয়মিত সাইটের ডাটাবেইজের ব্যাকআপ রাখুন। কারন আপনার সাইট যে কোন মুহূর্তে হ্যাক বা অন্য কোন সমস্যা হতেই পারে। এর জন্য কিছু প্লাগিন আছে, যা নিজ থেকেই প্রতিদিন আপনার সাইটের ডাটাবেইজ ব্যাকআপ রাখবে, আপনাকে কিছু করতে হবেনা। J আর আপনি চাইলে সার্ভার থেকেও করতে পারেন, এই জন্য আপনাকে হোস্টিং এর পিএইচপি মাই-এডমিন এ গিয়ে ওয়ার্ডপ্রেসের ডাটাবেইজ এক্সপোর্ট করে .sql ফাইলটা আপনার পিসিতে সেইফ কোন জায়গায় রেখে দিন। এছাড়াও আছে ডাটা রাখার অনেক জায়গা। যেমন, ড্রপ বক্স, মিডিয়া ফায়ার, বক্স ইত্যাদি। এখানে একাউন্ট করে আপনার ডাটা রাখতে পারেন। পরবর্তীতে যদি কোন সমস্যাও হয়, আপনার ডাটা গুলো থাকবে সুরক্ষিত। যার ফলে আপনি বেঁছে যাবেন অনেক বড় ক্ষতির মুখ থেকে। সুতরাং এই ব্যাপারে কোন অলসতা করতে যাবেন না।

১১.ওয়ার্ডপ্রেসের লগিন এরর হাইড করাঃ

আমরা অনেক সময় যখন সাইটে লগিন এর সময় ইউজার আইডি বা পাসওয়ার্ড ভুল করি। এতে এরর দেখায় এরকমঃ  ERROR: The Password you entered for the user name admin is incorrect.

দেখে কি মনে হয়? :D  খুব ভাল, তাই না? :P  আসলে ব্যাপারটা তা না। আপাত দৃষ্টিতে এটা ইউজারকে সাহায্য করবে, কিন্তু সব চেয়ে বেশী সাহায্য করবে হ্যাকার দের :P কারণ হ্যাকাররা তখন ব্রুটফোর্স এট্যাক করে সাইটের ইনফো পেয়ে যেতে পারে । বা অন্যভাবে সাইটের বাগ ধরে সাইটে ঢুকতে পারে। তাই এই এরর গুলো হাইড করা দরকার।  এজন্য একটিভ থীমের functions.php তে এই কোড গুলো যোগ করে নিন।

function themepacific_login_errors() {

return 'Nice Try!!!  Go Ahead!!';

}

add_filter ('login_errors', 'themepacific_login_errors');

১২.প্লাগিন ফোল্ডার লুকানোঃ

  প্লাগিন এর মাধ্যমে আপনার সাইটের বারেটা বেজে যেতে পারে, যদি ঠিক মত প্লাগিন ব্যবহার না করেন। আপনার অব্যবহৃত প্লাগিন ডিলিট করে দিন। সাধারণত আপনার সাইটের প্লাগিন পাবেন এই ডিরেক্টতে http://yoursite.com/ wp-content/plugins/

এখন যদি আপনার প্লাগিন ফোল্ডার হাইড না থাকে তাহলে নিচের মত দেখাবে। যা মোটেও ভাল কথা নয়।




এজন্য আপনার প্লাগিন ফোল্ডারটা হাইড করে ফেলুন। হাইড করার জন্য আপনাকে http://yoursite.com/ wp-content/plugins/ লোকেশনে /plugins/ ফোল্ডারের ভিতর একটি খালি index.html আপলোড করুন। এখন থেকে আপনার প্লাগিন ফোল্ডারটি আর দেখা যাবে না J




১৩. ফায়ার ওয়াল ব্যবহার করুনঃ
আপনার সাইটের সুরক্ষার জন্য ফায়ারওয়াল ব্যবহার করুন।


১৪. ভাল মানের ওয়েব হোস্টিং ব্যবহার করুনঃ

হোস্টিং এর ব্যাপারটা অনেক গুরুত্বপূর্ণ। সব সময় চেষ্টা করবেন, সেরা ওয়েব হোস্টিং ব্যবহার করতে। গো ড্যাডি’র মত উন্নত হোস্টিং ব্যবহার করতে পারেন। এছাড়া আরও অনেক ভাল  ওয়ার্ল্ড ক্লাস ওয়েব হোস্টিং কোম্পানি আছে। কিন্তু যেহেতু আমাদের দেশে পেপাল নেই, তাই অনেক সময় ঐসব হোস্টিং ব্যবহার করা সম্ভব হয়না। তাছাড়া হোস্টিং নিরুপনে বাজেট ও একটা ফ্যাক্ট। তাই চেষ্টা করবেন সব মিলিয়ে যেন ভাল হোস্টিংটিই ব্যবহার করতে পারেন। অনেকই খুশিতে কটমট হয়ে কম দামে দেশি হোস্টিং ব্যবহার করে নিজেকে অনেক চালাক মনে করতে পারেন। কিন্তু আসল কথা হল, সস্তার আসলে তিন অবস্থা না, বলা যায় সস্তার ১০০ দশা :P ।  আর ফ্রি হোস্টিং এর কথা ভুলে যান। ফ্রি হোস্টিং এর সীমা বদ্ধ ব্যান্ডওয়াইথ, লিমিটেড স্টোরেজ, হাজারো সমস্যা থাকবে। সুতরাং ফ্রির কথা ভুলে যান :P ।
সবচেয়ে ভাল হয় ডেডিকেটেড সার্ভার ব্যবহার করা। কিন্তু অনেক দাম বলে অনেকের পক্ষে কেনা সম্ভব হয়না। আবার অনেকেই কম দামে হোস্টিং পেয়ে খুশিতে লাফাতে থাকেন। কিন্তু এটা আসলে খুশির কিছু না। যাইহউক , আপনার সাইটের হোস্টিং এর ব্যাপারে ভাল ওয়েব ডেভেলপারের পরামর্শ নিতে পারেন। আর যে হোস্টিং নিচ্ছেন তাদের কাছে কিছু কিছু সিকিউরিটির ব্যাপারে আপনাকে  জিজ্ঞেস করে নিতে হবে। যেমন, .htaccess, raw logs ইত্যাদি ফাইলের ব্যাপারে জেনে নেবেন।

১৫. লগিন ফর্মে ক্যাপচা যোগ করুনঃ
আপনার সাইটের লগিন ফর্মে ক্যাপচা যোগ করে নিন। যা আপনাকে ব্রুটফোর্স  টুলসের হামলা থেকে রক্ষা করবে। এজন্য লগিন ফর্মে যোগ, বিয়োগ, গুন,ভাগ ইত্যাদি দিতে পারেন। ক্যাপচা যোগ করার জন্য প্রথমে এই লিংকে গিয়ে প্লাগিনটি ডাওনলোড করে নিন http://www.wordpress.org/plugins/all-in-one-wp-security-and-firewall/.  এই প্লাগিনসে আপনি অনেক কিছু পাবেন।  ডেসক্রিপশন দেখলে বুঝতে পারবেন, প্লাগিনটি আপনার কি কাজে লাগবে।  যাইহউক, All in one wp security and firewall  প্লাগিনটি ইন্সটল এবং একটিভ  করুন সিকিউরিটি মেনু থেকে user login সিলেক্ট করুন। এইবার উপড়ের  ট্যাব থেকে login captch সিলেক্ট করুন। Enable Captcha on Login  চেক বক্সে চেক করে দিন। এইবার সেইভ করুন এখন থেকে আপনার লগিন ফর্মে সব সময় ক্যাপচা দিতে হবে  প্লাগিন কিন্তু অনেক সময় হ্যাকারদের সুবিধা দিয়ে থাকে অনেক সময় হ্যাকার নিজের প্লাগিন ও ঢুকিয়ে দিতে পারে সুতরাং প্লাগিন ব্যবহারে সর্তক হবেন পরের পর্বে এই সব বিষয় নিয়ে লিখব




আসলে ওয়ার্ডপ্রেসের সিকিউরিটি নিয়ে আরও অনেক অনেক ব্যাপার আছে। যা আজ আর লিখতে পারলাম না। আগামী সংখ্যায় আবারো হাজির হব আপনাদের সামনে ওয়ার্ডপ্রেসের আরও অনেক সিকিউরিটি রিলেটেড বিষয় নিয়ে। যাইহউক, নিজের মত করে লিখার চেষ্টা করলাম। ভুল ভ্রান্তি থাকতে পারে,  কারণ আমিও মানুষ :P  ।  আশা করছি , আপনাদের একটু হলেও উপকারে আসবে। আপনাদের মতামত জানান আমাদের। আমাদের মেইল করুণ। আমাদের সাথেই থাকুন।  সবাইকে পরের পর্বের আমন্ত্রণ। আজ এই টুকুই, ভাল থাকবেন। ধন্যবাদ।

2 comments:

  1. অনেক অনেক উপকার হলো। ধন্যবাদ আপনাকে।

    ReplyDelete