Bangla programming tutorials

৬ টি ধাপে আপনার wordpress সাইটকে দিন বুলেটপ্রুভ সিকিউরিটি (ভিডিও সহ)

এবার সময় হয়েছে হ্যাকারদেরকে চ্যালেন্জ করার !

৬ টি ধাপে আপনার wordpress সাইটকে দিন বুলেটপ্রুভ সিকিউরিটি (ভিডিও সহ)

ধাপ ১: Secure installation

Wordpress সেটাপ দেবার সময় ডেটাবেজ নেম জটিল কিছু দিবেন, যারা softacolous ব্যবহার করেন তারা অবশ্যই নাম বদলাবেন, এছাড়াও database prefix ও বদলাবেন । কখনোই "wp_" prefix ব্যবহার করবেন না, এডমিন পাসওয়ার্ড জটিল কিছু দিবেন ।

ধাপ ২. Admin Panel সিকিউর করা

প্রথমে itheme security এবং wordfence প্লাগইন ২টি ইন্সটল করে নিন এরপর সেটিংস থেকে নিচের কাজ গুলো করুন:
> admin panel এ লগিন এর লিংক পরিবর্তন করুন ।
> wp-content ডিরেক্টরি এর নাম পরিবর্তন করুন ।
> লগিন লিমিটেশন অন করুন এটি brute force অ্যাটাক কে বন্ধ করবে ।
> XML-RPC disable করুন । তবে এটি বন্ধ করলে কিছু কিছু জিনিস কাজ না ও করতে পারে । তাই  আগে দেখুন কি কি কাজ করছে না, যদি কোনো সমস্যা না থাকে তাহলে আর চিন্তা নেই ।

এখানে আরো কিছু সোটিং বন্ধ করার পদ্ধতি পাবেন:  https://ithemes.com/tutorials/getting-started-ithemes-security-part-2-global-settings/
নিজের মত করে সেট করুন সমস্যা নেই, কনফিগারেশন করা খুবই সহজ তাই বর্ননাতে গেলাম না ।


ধাপ৩: wp-config ফাইলকে সিকিউর করা 


এটা খুবই গুরুত্বপূর্ন এবং সহজ । এ্ই একটা কাজ করে আপনি আপনার সাইটকে ৭০% নিরাপত্তা নিশ্চিত করতে পারবেন এবং সিমলিংক অ্যাটাকে অন্যদের সাইট হ্যাক হলেও আপনার টাকে অক্ষত রাখতে পারবেন ।

প্রথমে cpanel এ লগিন করুন, এরপর ফাইল ম্যানেজারে গিয়ে wp-config.php ফাইল টি ডাউনলোড করে আপনার পিসিতে ব্যাকআপ নিন । এই ফাইল টা যে ডিরেক্টরিতে wordpress সেটাপ দিয়েছেন সেখানে পাবেন ।

ডাউনলোড হয়ে গেলে আবার সিপ্যানেলের ফাইল ম্যানেজারে যান । এবার ফাইলটি সিলেক্ট করে edit বাটনে ক্লিক করুন, এরপর ফাইলটির পুরো কোড কে কপি করুন এবং সেই কোড http://fopo.com.ar/
সাইটে পেস্ট করে এনক্রাইপ্ট করুন । এখন এনক্রাইপ্ট করা কোড কে public_html এর বাহিরে হোম ডিরেক্টরিতে greenweb.php লিখে save করুন ।

এবার wp-config.php ফাইলের সব কোড মুছে দিয়ে নিচের কোডটি দিন এবং সেভ করুন:

<?php
include("../greenweb.php");


শেষ ! এবার হ্যাকারকে চ্যালেন্জ দিন সিমলিংক করার দেখি কি করতে পারে সে হাহাহা ।

ধাপ ৪: Admin Login Approval চালু করুন

আপনি চাইলে ফ্রিতে duo security plugin ব্যবহার করে আপনার মোবাইলে লগিন ভেরিফিকেশন চালু করতে পারবেন, যদিও ফ্রি ভার্সনে কিছু লিমিটেশন আছে তবে যদি এডমিন ৫ জনের কম হয় তবে এটা ব্যবহার করতে পারেন ।
এছাড়াও গ্রিনওয়েবের বাল্ক এসএমএস এর wordpress plugin ব্যবহার করে লগিন অ্যাপ্রুভাল চালু করতে পারবেন, এতে এডমিন নয় শুধু ইউজারদেরও এই সুবিধা দিতে পারবেন । যখনই কেউ লগিন করবে তার মোবাইলে এসএমএসে একটি কোড যাবে আর এই কোড দিলে তারপর লগিন সম্ভব হবে ।

ধাপ ৫: Wordpress এর আপলোড ডিরেক্টরিতে htaccess ব্যবহার করে php execution বন্ধ করুন ।

/wp-content/uploads/


এই  ডিরেক্টরিতে .htaccess ফাইল তৈরী করুন এবং নিচের কোডটি সেভ করুন ঐ ফাইলে


<Files *.php>
deny from all
</Files>
<Files *.php3>
deny from all
</Files>
<Files *.phtml>
deny from all
</Files>


php_flag engine off


ধাপ ৬: Directory Password

যদি মাল্টি ইউজার ব্লগ না হয় কিংবা অল্প কিছু নিজস্ব ইউজার এর ব্লগ হয় তবে wp-admin directory তে directory password দিন সিপ্যানেল থেকে (ভিডিওতে বিস্তারিত) ।

আপনার সাইট নিরাপদ এখন । যদিও প্লাগইন কিংবা এক্সপ্লয়েট বের হতে পারে যে কোনো সময়ে তবুও এটুকুই যথেস্ট আপনার সাইট কে সুরক্ষিত রাখতে ।


ভিডিও টিউটোরিয়াল:


 

 

 

এছাড়াও নিয়মিত ব্যাকঅাপ নিবেন, সাইটের ফাইল স্ক্যান করবেন ম্যালওয়্যার অাছে কিনা, Null script/plugin/theme ব্যবহার করবেন না । যদি করেনও প্রতিটা ফাইল চেক করবেন ম্যানুয়ালী open করে সন্দোহজনক কিছু অাছে কিনা ।

লেখাটি ভালো লাগলে শেয়ার করুন, কোথাও দিতে চাইলে ক্রেডিট সহ দিবেন এতে লেখক উৎসাহ পাবে নতুন কিছু শেয়ার করার । তবে যারা লেখা চোর তারা  চুরি করুন নীতিবাক্য অাপনাদের জন্য প্রযোজ্য না  :D

লিখেছেন:

মো: জোবায়ের অালম

ফাউন্ডার, গ্রিনওয়েব বাংলাদেশ লিমিটেড ।


Share This Post to Keep This Site Alive

Like FanPage: Like Post:

Comments

Nahid

Nahid (2017-05-27 13:19:45)

WP Config ফাইল কে সিকিউর করার ট্রিক্স টা ভালো ছিলো। নতুন কিছু শিখলাম। ^_^ XMLRPC নিয়ে একটু বিস্তারিত লিখলে ভালো হয় ভাই। কি কি কাজে এইটা লাগে আর হ্যাকার কে কিভাবে এইটা সুবিধা দেয় এন্ড এইটা বন্ধ থাকলে কি কি উপায় সিকিউর থাকব ইত্যাদি।

Sudoy

Sudoy (2017-05-27 19:23:30)

Thanks bhai... onek notun kichu jaanlaam ..

Fahad Muhammed

Fahad Muhammed (2017-10-14 00:04:50)

Null script/plugin/theme ব্যবহার করলে প্রতিটা ফাইল ম্যানুয়ালী চেক না করে অন্য কোন উপায় কি আছে... এতে কোন আনসিকিউর কোড আছে কিনা তা বের করার ????

Greenweb BD

Greenweb BD (2017-10-14 22:40:24)

Greenweb এর সিপ্যানেলে Virus Scanner পাবেন এটা অামরা মডিফাই করেছি অন্ততপক্ষে ৯০% ব্যাকডোর এটা ধরতে পারবে । তবে যদি অাপলোড কোড কিংবা এ ধরনের ব্যাকডোর থাকে তবে ম্যানুয়ালীই দেখতে হবে চেক করে ।

Leave A Feedback


Captch(Enter the number on the below field): 587