৬ টি ধাপে আপনার wordpress সাইটকে দিন বুলেটপ্রুভ সিকিউরিটি (ভিডিও সহ)
ধাপ ১: Secure installation
Wordpress সেটাপ দেবার সময় ডেটাবেজ নেম জটিল কিছু দিবেন, যারা softacolous ব্যবহার করেন তারা অবশ্যই নাম বদলাবেন, এছাড়াও database prefix ও বদলাবেন । কখনোই "wp_" prefix ব্যবহার করবেন না, এডমিন পাসওয়ার্ড জটিল কিছু দিবেন ।
ধাপ ২. Admin Panel সিকিউর করা
প্রথমে itheme security এবং wordfence প্লাগইন ২টি ইন্সটল করে নিন এরপর সেটিংস থেকে নিচের কাজ গুলো করুন:
> admin panel এ লগিন এর লিংক পরিবর্তন করুন ।
> wp-content ডিরেক্টরি এর নাম পরিবর্তন করুন ।
> লগিন লিমিটেশন অন করুন এটি brute force অ্যাটাক কে বন্ধ করবে ।
> XML-RPC disable করুন । তবে এটি বন্ধ করলে কিছু কিছু জিনিস কাজ না ও করতে পারে । তাই আগে দেখুন কি কি কাজ করছে না, যদি কোনো সমস্যা না থাকে তাহলে আর চিন্তা নেই ।
এখানে আরো কিছু সোটিং বন্ধ করার পদ্ধতি পাবেন: https://ithemes.com/tutorials/getting-started-ithemes-security-part-2-global-settings/
নিজের মত করে সেট করুন সমস্যা নেই, কনফিগারেশন করা খুবই সহজ তাই বর্ননাতে গেলাম না ।
ধাপ৩: wp-config ফাইলকে সিকিউর করা
এটা খুবই গুরুত্বপূর্ন এবং সহজ । এ্ই একটা কাজ করে আপনি আপনার সাইটকে ৭০% নিরাপত্তা নিশ্চিত করতে পারবেন এবং সিমলিংক অ্যাটাকে অন্যদের সাইট হ্যাক হলেও আপনার টাকে অক্ষত রাখতে পারবেন ।
প্রথমে cpanel এ লগিন করুন, এরপর ফাইল ম্যানেজারে গিয়ে wp-config.php ফাইল টি ডাউনলোড করে আপনার পিসিতে ব্যাকআপ নিন । এই ফাইল টা যে ডিরেক্টরিতে wordpress সেটাপ দিয়েছেন সেখানে পাবেন ।
ডাউনলোড হয়ে গেলে আবার সিপ্যানেলের ফাইল ম্যানেজারে যান । এবার ফাইলটি সিলেক্ট করে edit বাটনে ক্লিক করুন, এরপর ফাইলটির পুরো কোড কে কপি করুন এবং সেই কোড http://fopo.com.ar/
সাইটে পেস্ট করে এনক্রাইপ্ট করুন । এখন এনক্রাইপ্ট করা কোড কে public_html এর বাহিরে হোম ডিরেক্টরিতে greenweb.php লিখে save করুন ।
এবার wp-config.php ফাইলের সব কোড মুছে দিয়ে নিচের কোডটি দিন এবং সেভ করুন:
<?php
include("../greenweb.php");
শেষ ! এবার হ্যাকারকে চ্যালেন্জ দিন সিমলিংক করার দেখি কি করতে পারে সে হাহাহা ।
ধাপ ৪: Admin Login Approval চালু করুন
আপনি চাইলে ফ্রিতে duo security plugin ব্যবহার করে আপনার মোবাইলে লগিন ভেরিফিকেশন চালু করতে পারবেন, যদিও ফ্রি ভার্সনে কিছু লিমিটেশন আছে তবে যদি এডমিন ৫ জনের কম হয় তবে এটা ব্যবহার করতে পারেন ।
এছাড়াও গ্রিনওয়েবের বাল্ক এসএমএস এর wordpress plugin ব্যবহার করে লগিন অ্যাপ্রুভাল চালু করতে পারবেন, এতে এডমিন নয় শুধু ইউজারদেরও এই সুবিধা দিতে পারবেন । যখনই কেউ লগিন করবে তার মোবাইলে এসএমএসে একটি কোড যাবে আর এই কোড দিলে তারপর লগিন সম্ভব হবে ।
ধাপ ৫: Wordpress এর আপলোড ডিরেক্টরিতে htaccess ব্যবহার করে php execution বন্ধ করুন ।
/wp-content/uploads/
এই ডিরেক্টরিতে .htaccess ফাইল তৈরী করুন এবং নিচের কোডটি সেভ করুন ঐ ফাইলে
<Files *.php>
deny from all
</Files>
<Files *.php3>
deny from all
</Files>
<Files *.phtml>
deny from all
</Files>
php_flag engine off
ধাপ ৬: Directory Password
যদি মাল্টি ইউজার ব্লগ না হয় কিংবা অল্প কিছু নিজস্ব ইউজার এর ব্লগ হয় তবে wp-admin directory তে directory password দিন সিপ্যানেল থেকে (ভিডিওতে বিস্তারিত) ।
আপনার সাইট নিরাপদ এখন । যদিও প্লাগইন কিংবা এক্সপ্লয়েট বের হতে পারে যে কোনো সময়ে তবুও এটুকুই যথেস্ট আপনার সাইট কে সুরক্ষিত রাখতে ।
ভিডিও টিউটোরিয়াল:
এছাড়াও নিয়মিত ব্যাকঅাপ নিবেন, সাইটের ফাইল স্ক্যান করবেন ম্যালওয়্যার অাছে কিনা, Null script/plugin/theme ব্যবহার করবেন না । যদি করেনও প্রতিটা ফাইল চেক করবেন ম্যানুয়ালী open করে সন্দোহজনক কিছু অাছে কিনা ।
লেখাটি ভালো লাগলে শেয়ার করুন, কোথাও দিতে চাইলে ক্রেডিট সহ দিবেন এতে লেখক উৎসাহ পাবে নতুন কিছু শেয়ার করার । তবে যারা লেখা চোর তারা চুরি করুন নীতিবাক্য অাপনাদের জন্য প্রযোজ্য না :D
লিখেছেন:
মো: জোবায়ের অালম
ফাউন্ডার, গ্রিনওয়েব বাংলাদেশ লিমিটেড ।
Nahid (2017-05-27 13:19:45)
WP Config ফাইল কে সিকিউর করার ট্রিক্স টা ভালো ছিলো। নতুন কিছু শিখলাম। ^_^ XMLRPC নিয়ে একটু বিস্তারিত লিখলে ভালো হয় ভাই। কি কি কাজে এইটা লাগে আর হ্যাকার কে কিভাবে এইটা সুবিধা দেয় এন্ড এইটা বন্ধ থাকলে কি কি উপায় সিকিউর থাকব ইত্যাদি।
Sudoy (2017-05-27 19:23:30)
Thanks bhai... onek notun kichu jaanlaam ..
Fahad Muhammed (2017-10-14 00:04:50)
Null script/plugin/theme ব্যবহার করলে প্রতিটা ফাইল ম্যানুয়ালী চেক না করে অন্য কোন উপায় কি আছে... এতে কোন আনসিকিউর কোড আছে কিনা তা বের করার ????
Greenweb BD (2017-10-14 22:40:24)
Greenweb এর সিপ্যানেলে Virus Scanner পাবেন এটা অামরা মডিফাই করেছি অন্ততপক্ষে ৯০% ব্যাকডোর এটা ধরতে পারবে । তবে যদি অাপলোড কোড কিংবা এ ধরনের ব্যাকডোর থাকে তবে ম্যানুয়ালীই দেখতে হবে চেক করে ।
Leave A Feedback