৬ টি ধাপে আপনার wordpress সাইটকে দিন বুলেটপ্রুভ সিকিউরিটি (ভিডিও সহ)

ধাপ ১: Secure installation

Wordpress সেটাপ দেবার সময় ডেটাবেজ নেম জটিল কিছু দিবেন, যারা softacolous ব্যবহার করেন তারা অবশ্যই নাম বদলাবেন, এছাড়াও database prefix ও বদলাবেন । কখনোই "wp_" prefix ব্যবহার করবেন না, এডমিন পাসওয়ার্ড জটিল কিছু দিবেন ।

ধাপ ২. Admin Panel সিকিউর করা

প্রথমে itheme security এবং wordfence প্লাগইন ২টি ইন্সটল করে নিন এরপর সেটিংস থেকে নিচের কাজ গুলো করুন:
> admin panel এ লগিন এর লিংক পরিবর্তন করুন ।
> wp-content ডিরেক্টরি এর নাম পরিবর্তন করুন ।
> লগিন লিমিটেশন অন করুন এটি brute force অ্যাটাক কে বন্ধ করবে ।
> XML-RPC disable করুন । তবে এটি বন্ধ করলে কিছু কিছু জিনিস কাজ না ও করতে পারে । তাই  আগে দেখুন কি কি কাজ করছে না, যদি কোনো সমস্যা না থাকে তাহলে আর চিন্তা নেই ।

এখানে আরো কিছু সোটিং বন্ধ করার পদ্ধতি পাবেন:  https://ithemes.com/tutorials/getting-started-ithemes-security-part-2-global-settings/
নিজের মত করে সেট করুন সমস্যা নেই, কনফিগারেশন করা খুবই সহজ তাই বর্ননাতে গেলাম না ।

ধাপ৩: wp-config ফাইলকে সিকিউর করা 

এটা খুবই গুরুত্বপূর্ন এবং সহজ । এ্ই একটা কাজ করে আপনি আপনার সাইটকে ৭০% নিরাপত্তা নিশ্চিত করতে পারবেন এবং সিমলিংক অ্যাটাকে অন্যদের সাইট হ্যাক হলেও আপনার টাকে অক্ষত রাখতে পারবেন ।

প্রথমে cpanel এ লগিন করুন, এরপর ফাইল ম্যানেজারে গিয়ে wp-config.php ফাইল টি ডাউনলোড করে আপনার পিসিতে ব্যাকআপ নিন । এই ফাইল টা যে ডিরেক্টরিতে wordpress সেটাপ দিয়েছেন সেখানে পাবেন ।

ডাউনলোড হয়ে গেলে আবার সিপ্যানেলের ফাইল ম্যানেজারে যান । এবার ফাইলটি সিলেক্ট করে edit বাটনে ক্লিক করুন, এরপর ফাইলটির পুরো কোড কে কপি করুন এবং সেই কোড http://fopo.com.ar/
সাইটে পেস্ট করে এনক্রাইপ্ট করুন । এখন এনক্রাইপ্ট করা কোড কে public_html এর বাহিরে হোম ডিরেক্টরিতে greenweb.php লিখে save করুন ।

এবার wp-config.php ফাইলের সব কোড মুছে দিয়ে নিচের কোডটি দিন এবং সেভ করুন:

<?php
include("../greenweb.php");


শেষ ! এবার হ্যাকারকে চ্যালেন্জ দিন সিমলিংক করার দেখি কি করতে পারে সে হাহাহা ।

ধাপ ৪: Admin Login Approval চালু করুন

আপনি চাইলে ফ্রিতে duo security plugin ব্যবহার করে আপনার মোবাইলে লগিন ভেরিফিকেশন চালু করতে পারবেন, যদিও ফ্রি ভার্সনে কিছু লিমিটেশন আছে তবে যদি এডমিন ৫ জনের কম হয় তবে এটা ব্যবহার করতে পারেন ।
এছাড়াও গ্রিনওয়েবের বাল্ক এসএমএস এর wordpress plugin ব্যবহার করে লগিন অ্যাপ্রুভাল চালু করতে পারবেন, এতে এডমিন নয় শুধু ইউজারদেরও এই সুবিধা দিতে পারবেন । যখনই কেউ লগিন করবে তার মোবাইলে এসএমএসে একটি কোড যাবে আর এই কোড দিলে তারপর লগিন সম্ভব হবে ।

ধাপ ৫: Wordpress এর আপলোড ডিরেক্টরিতে htaccess ব্যবহার করে php execution বন্ধ করুন ।

/wp-content/uploads/


এই  ডিরেক্টরিতে .htaccess ফাইল তৈরী করুন এবং নিচের কোডটি সেভ করুন ঐ ফাইলে

<Files *.php>
deny from all
</Files>
<Files *.php3>
deny from all
</Files>
<Files *.phtml>
deny from all
</Files>


php_flag engine off

ধাপ ৬: Directory Password

যদি মাল্টি ইউজার ব্লগ না হয় কিংবা অল্প কিছু নিজস্ব ইউজার এর ব্লগ হয় তবে wp-admin directory তে directory password দিন সিপ্যানেল থেকে (ভিডিওতে বিস্তারিত) ।

আপনার সাইট নিরাপদ এখন । যদিও প্লাগইন কিংবা এক্সপ্লয়েট বের হতে পারে যে কোনো সময়ে তবুও এটুকুই যথেস্ট আপনার সাইট কে সুরক্ষিত রাখতে ।


ভিডিও টিউটোরিয়াল:

এছাড়াও নিয়মিত ব্যাকঅাপ নিবেন, সাইটের ফাইল স্ক্যান করবেন ম্যালওয়্যার অাছে কিনা, Null script/plugin/theme ব্যবহার করবেন না । যদি করেনও প্রতিটা ফাইল চেক করবেন ম্যানুয়ালী open করে সন্দোহজনক কিছু অাছে কিনা ।

লেখাটি ভালো লাগলে শেয়ার করুন, কোথাও দিতে চাইলে ক্রেডিট সহ দিবেন এতে লেখক উৎসাহ পাবে নতুন কিছু শেয়ার করার । তবে যারা লেখা চোর তারা  চুরি করুন নীতিবাক্য অাপনাদের জন্য প্রযোজ্য না  :D

লিখেছেন:

মো: জোবায়ের অালম

ফাউন্ডার, গ্রিনওয়েব বাংলাদেশ লিমিটেড ।

Share This Post to Keep This Site Alive