ওয়ার্ডপ্রেস সিকিউরিটি অ আ ক খ – প্রাথমিক ধারনা

এই আর্টিকেলটি অতিথি লেখক অরিত্রর লেখা। ওর লেখার স্টাইল এবং বিষয়বস্তু আমার পছন্দ হয়েছে।   তাছাড়া এই আর্টিকেলটি ওয়ার্ডপ্রেসের সিকিউরিটির উপরে বেশ কিছু ইন্টারেস্টিং টপিকস নিয়ে আলোচনা করেছে যা আপনাদের ভালো লাগবে বলেই আমার বিশ্বাস। আমি আশা করব অরিত্র পরবর্তীতে আরও কিছু চমৎকার বিষয় নিয়ে হাজির হবে আপনাদের সামনে। পাশাপাশি আমাদের নিয়মিত প্রকাশনা তো রয়েছেই  – হাসিন হায়দার

ওয়ার্ডপ্রেস কি কেন, কিভাবে, এসব নিয়ে আলোচনা চলবে। তবে যখন আপনি দিন রাত পরিশ্রম করে একটা সাইট প্রস্তুত করবেন, এরপর কোন একদিন একজন হ্যাকার এসে সেটার ১২ টা বাজিয়ে দিয়ে যাবে, এরপর আবার আপনি বসে বসে পুনরায় সাইট ঠিক করবেন, এমনটা হলে ব্যাপারটা আসলেই বিরক্তিকর হবে। সাধের সাইট কেউ এসে অকারনে নষ্ট করে গেলে সেটা মেজাজ খারাপ করবে, স্বাভাবিক। এখন নিশ্চয়ই আপনি হ্যাকার চলে গেলে সাইট ঠিক করে ফেলবেন, এই আশায় তো বসে থাকবেন না। জীবনের সব ক্ষেত্রে একটা কথা খাটে, Prevention is Better then Cure. আমরাও এখানে কমবেশি সেই কাজটাই করবো।

কি করতে চাইছি আসলে?

এখানে ওয়ার্ডপ্রেস সিকিউরিটি নিয়ে একদম বেসিক দিক গুলো দেখবো আমরা। পর্যায়ক্রমে আমরা বাকি দিকগুলোর ওপরে আলোকপাত করবো। আপাতত, কিভাবে আপনার কষ্ট কমানো যায়, সেদিকে আমাদের মূল মনোযোগ থাকবে। প্রাথমিক কিছু ব্যাপার আছে, যেখানে আপনি অনেক কম পরিশ্রমে নিজের অনেক কষ্ট কমাতে পারেন। ধাপে ধাপে সমস্যা, কেন সমস্যা এবং সেটার সমাধান নিয়ে আলোচনা করবো আমরা।

যা যা দরকার

  • ঠান্ডা মাথায় পড়তে হবে। 
  • তার চেয়েও বেশী ঠান্ডা মাথায় অ্যাপ্লাই করতে হবে।
  • এবং চাইলে মাথা হালকা গরম করে এক মগ কফি খেতে পারেন এক ফাঁকে।

অ্যাডমিন ইউজার নেম কি দিয়েছেন?

ওয়ার্ডপ্রেস ইন্সটল করার সময় আপনাকে আপনার মেইন অ্যাডমিন অ্যাকাউন্ট এর ইউজারনেম দিতে হবে। অনেকেই সেখানে ইউজারনেম দেন admin. এটা করবেন না। প্রথমত, এটা ওয়ার্ডপ্রেস এর সবচেয়ে প্রচলিত অ্যাডমিন ইউজারনেম। তাই বেশিরভাগ বটকেও এই ইউজারনেমের ওপর ভিত্তিকরেই ব্রুট ফোর্স চালাতে বলা হয়। তাই এখানে যা ইচ্ছে দিন, admin দেবেন না।

এবং পরবর্তীতে কোন অ্যাডমিন আইডি খোলার সময় এ ব্যাপারে খেয়াল রাখবে।

আপডেট করেছেন তো?

খেয়াল করে থাকবেন, অ্যাডবোর্ডের ওপরের দিকে প্রায়ই একটা নোটিশ আছে, ওয়ার্ডপ্রেসের এর নতুন ভার্সন এসেছে। আপডেট করতে বলছে। এবং যদি সাইট সুস্থ রাখতে চান, আপডেট করুন। আপডেট সাধারনত দুইটি কারনে করা হয়ে থাকে। যখন ওয়ার্ডপ্রেস এর কোন ধরনের ত্রুটি বা বাগ কিংবা সিকিউরিটি সম্পর্কিত দূর্বলতা বা ভার্নাবিলিটি ধরা পরে অথবা নতুন কোন ফিচার যোগ করা হয়। আপডেট এর ডিটেইলসে এ ব্যাপারে যাবতীয় তথ্য থাকে।

আপডেট করাটা জরুরী কারন যদি আগের ভার্সনে কোন ধরনের বাগ বা এক্সপ্লয়েট থাকে, তাহলে নতুন ভার্সনে সেটা ঠিক করে পাবলিশ করা হয়। ফলে আপডেট করলে আপনি সেই বাগ বা ভার্নাবিলিটির হাত থেকে মুক্তি পেলেন। অথবা নতুন কিছু ফিচার পেলেন, লাভ আপনারই।

ঠিক একই ভাবে, প্লাগিন এর ক্ষেত্রেও ব্যাপারটা একই রকম। বাগ বা এক্সপ্লয়েট অথবা কোন নতুন ফিচার এর জন্য আপডেট আনা হয়। এবং সেটা করাটা জরুরী, কারন একটা ত্রুটি যুক্ত প্লাগিন আপনার এতো কষ্টের সাইটের ১২ টা বাজিয়ে দিতে পারে।

[att_highlight color=”yellow”] তবে, এরকম কিছু প্লাগিন আছে, যেগুলোর সেটিংস ডাটাবেজ নির্ভর নয় বা নতুন আপডেট পুরোনো ডাটাবেজ কে ওভাররাইট করে, ফলে আগের সেটিংসগুলো মুছে যায়। ফলে আপনাকে নতুন করে সেটিংস ঠিক করতে হবে। তাই আগে থেকেই একবার সেটিংস গুলো দেখে নেবেন। [/att_highlight]

হোষ্ট করছেন কাদের সার্ভারে?

হোষ্টিং নেওয়ার ক্ষেত্রে কিছু সাবধারনতা অবলম্বন করা জরুরী। ওয়ার্ল্ডক্লাস কিছু হোষ্টিং কোম্পানী রয়েছে, যাদের ওপরে আপনি মোটামুটি নিশ্চিন্তে নির্ভর করতে পারেন। তবে যেহেতু বাংলাদেশে পে-পাল নেই এবং বাহির থেকে প্রডাক্ট কেনার কিছু ঝামেলা রয়েছে, ফলে অনেকেই দেশি/সহজে কেনা যায়, এমন হোষ্টিং কোম্পানীর ওপর নির্ভরশীল। এক্ষেত্রে দেখা যায়, লোকাল অনেক হোষ্টিং কোম্পানী, যারা ভি পি এস বা ডেডিকেটেড সার্ভার কিনে চালায়, তারা অনেক সময় ঠিক মতো সার্ভারের সিকিউরিটি প্যাচ করে না। এটা ক্ষতিকর হতে পারে।

তবে, গুরুত্বপূর্ন হলো, আপনি নিজে কতোটা নিরাপত্তা দিতে পারছেন। যদি আপনি মোটামূটি জোরদার নিরাপত্তা দিতে পারেন, তবে সার্ভার এর ব্যাপারটা একটু লঘু করে দেখা যেতে পারে।

নিয়মিত ঝাড়ু দিন, সাইট নিরাপদ রাখুন

আপনি যখন একটা সাইট নিয়ে কাজ শুরু করবেন, স্বাভাবিক ভাবেই অনেক প্লাগিন ব্যবহার করবেন। প্রাথমিক অবস্থায় দেখা যায় কিছু প্লাগিন ইন্সটল করে সেটার কাজ পছন্দ না হলে ডি-অ্যাক্টিভেট করে রেখে দেওয়া হয়। এবং, এখানেই সমস্যা। প্লাগিং গুলো ডি-অ্যাক্টিভেট করা হলেও সেটা কিন্তু আপনার সাইটে রয়ে যায়। এবং এই প্লাগিনে যদি কোন ধরনের সিকিউরিটি ভার্নাবিলিটি থাকে, সেটাও আপনার সাইটের জন্য ক্ষতিকর হতে পারে। তো, মূল কথা হলো, যখন আপনি সিদ্ধান্ত নিয়ে ফেলেছেন এই প্লাগিন আর ব্যবহার করবেন না, ডিলিট করে ফেলুন, চিরতরে। লাগলে পরবর্তীতে আবার ইন্সটল করে নেবেন।

ব্যাকাপ রাখুন, সাইট বাঁচান

শুধু ওয়ার্ডপ্রেস বলে নয়, যে কোন ধরনের কাজে, গুরুত্বপূর্ন হলো ব্যাকাপ রাখা। স্পেশালী যখন সাইট হ্যাক হওয়ার কোন ওয়ার্নিং নাই ! তাই, যখনি সম্ভব, আপনার ওয়ার্ডপ্রেস সাইটের ডাটাবেজ এর ব্যাকাপ রাখুন। এ জন্য খুব বেশি কষ্ট করতে হবে না, হোষ্টিং এর কন্ট্রোল প্যানেল থেকে phpMyAdmin এ গিয়ে ওয়ার্ডপ্রেস এর ডাটাবেজ টা এক্সপোর্ট করে .sql ফাইল টা পিসিতে কিংবা কোন সেফ লোকেশনে রেখে দিন। পরবর্তীতে সাইট যদি কোন কারনে হ্যাক হয় বা কোন ধরনের সমস্যা হয়, ডাটাবেজ এর এই ব্যাকাপ আপনাকে সমূহ বিপদের হাত থেকে বাঁচাবে !

থিম / প্লাগিন কোথা থেকে নিচ্ছেন?

ওয়ার্ডপ্রেস এর নিজস্ব থিম গ্যালারী / প্লাগিন গ্যালারী রয়েছে। এর বাহিরে আপনি যদি প্রিমিয়াম থিম কিনতে চান, তাহলে ওয়ার্ডপ্রেস থিমের জন্য বিশ্বস্ত কিছু প্রিমিয়াম থিম মার্কেট প্লেস এর নাম ওয়ার্ডপ্রেস নিজেই দিয়েছে। এ বাদেও বেশ কিছু বিখ্যাত থিম/প্লাগিন মার্কেট প্লেস রয়েছে, যেখানে আপনি মোটামুটি নিশ্চিন্ত থাকতে পারেন যে আপনি যা কিনছেন, এর মাঝে ক্ষতিকর কিছু নেই। কিন্তু কেন শুধু এদের কাছ থেকেই ডাউনলোড / কেনা যাবে? বাকিরা নয় কেন?

অনেক সময় অনেক সোর্স থেকে ডাউনলোড করা থিমের সোর্স কোড চেক করলে দেখা যায়, থিমের কোন এক যায়গায় কিছু এনক্রিপ্টেড কোড। এর দুইটি কারন হতে পারে। প্রথমত, সেখানে এমন কিছু আছে যা থিমের ডেভেলপার কিংবা যে পরে মডিফাই করেছে, সে আপনাকে দেখতে দিতে চায় না। অথবা , ডেভেলপার চায় না আপনি তার নাম থিম থেকে সরিয়ে দিন। তাই এমন করে রেখেছে। যেহেতু এখনো পর্যন্ত বেসিক ধারনা নিয়ে লেখা হচ্ছে, তাই সবচেয়ে ভালো উপায় হলো, এই ধরনের থিম এড়িয়ে চলে। সহজ বাংলায়, ট্রাষ্টেড সাইট ছাড়া ওয়ার্ডপ্রেস থিম ডাউনলোড করবেন না। এতে শুধু আপনি নয়, আপনার সাইটের ভিজিটর রাও ক্ষতিগ্রস্থ হতে পারেন।

এমনও উদাহরন আছে, সাইটে এই এনক্রিপ্টেড কোডের মাঝে ম্যালওয়্যার ঢুকানো ছিলো, যা পরবর্তীতে সাইটকে শুধু ব্ল্যাকলিষ্টেড করে নাই, সেই সাথে অনেক ভিজিটর ক্ষতিগ্রস্থ হয়েছে। অতএব, সাইট বাঁচাতে হলে, চেষ্টা করুন ফ্রী থিম ওয়ার্ডপ্রেস এর অফিশিয়াল থিম গ্যালারী থেকে ডাউনলোড করতে।

 

আপাতত এই, এর পরের পর্বে থাকছে .htaccess দিয়ে কিভাবে হ্যাকারের সাথে জমপেশ ফাইট দেওয়া যায়, সে ব্যাপারে কিছু আলোচনা, পর্যালোচনা।

9 thoughts on “ওয়ার্ডপ্রেস সিকিউরিটি অ আ ক খ – প্রাথমিক ধারনা”

  1. লেখাটা অসাধারণ হয়েছে- সিম্পল ভাষা কিন্তু সবই অর্থবহ। ধন্যবাদ লেখককে।

    একটা অভিজ্ঞতা শেয়ার করতে চাই- ওয়ার্ডপ্রেস দিয়ে ওয়েবসাইট ডেভেলপমেন্ট-এর শুরুতে আমার কয়েকটা সাইটের ইউজার নেম এডমিন দিয়েছিলাম। যেহেতু তখন ব্যাপারটা আমার ভালো জানা ছিলো না। সিকিউরিটির ব্যাপারটা জানার পর; আমি ঐসব সাইটগুলোর জন্য নতুন ইউজার ক্রিয়েট করে এডমিনিস্ট্রেটর পাওয়ার দেই এবং এডমিন ইউজার নেমটি ডিলিট করে দিই।

    হয়তো এটা অনেকেই জানেন, তবু শেয়ার করলাম। ধন্যবাদ।

  2. অরিত্র ভাই এর লেখা আমার ভালো লাগে।অল্প কথায় খুব ভালো লিখেছেন।আশা করছি আরো অনেক লেখা পাবো।হাসিন হায়দার ভাই ও অরিত্র ভাই এর জন্য অনেক শুভ কামনা।

  3. সত্যি ঝরঝরে লেখা । ভাল লাগল । আশা করি ভবিষ্যতে আর ও সুন্দর লেখা পাব ।

Leave a Reply

Your email address will not be published. Required fields are marked *