আপনি যদি ওয়ার্ডপ্রেস এক্সএমএল-আরপিসি শোষণ থেকে আপনার ওয়েবসাইট সুরক্ষিত করার জন্য আর নিষ্ক্রিয় করার উপায় অনুসন্ধান করে থাকেন, তবে এই আর্টিকেলটি আপনার জন্য। কিন্তু XML-RPC নিষ্ক্রিয় করার আগে আপনাকে এই প্রশ্নগুলোর উত্তর জানতে হবে।
- XML-RPC.php কি?
- কিভাবে XML-RPC শোষণ ঝুঁকির মধ্যে আপনার ওয়েবসাইটকে ফেলতে পারে?
- XML-RPC শোষণ যা নিষ্ক্রিয় করছে সবকিছু সমাধান করতে যাচ্ছেন?
- XML-RPC নিষ্ক্রিয় করার বিকল্প বৈশিষ্ট্য কি হতে পারে?
এই নিবন্ধটির মাধ্যমে, আমরা এই সমস্ত প্রশ্নের উত্তর এবং আরও অনেক কিছু জানার চেষ্টা করব।
ওয়ার্ডপ্রেস এক্সএমএল-আরপিসি কি?
ওয়ার্ডপ্রেস এক্সএমএল-আরপিসি হল একটি API (অ্যাপ্লিকেশন প্রোগ্রাম ইন্টারফেস)। যা আপনার ওয়ার্ডপ্রেস ওয়েবসাইট এবং অন্যান্য সিস্টেমের মধ্যে ডেটা স্থানান্তর করতে সক্ষম করে।
যদিও এটি এখন মূলত ওয়ার্ডপ্রেস দ্বারা প্রকাশিত REST API দ্বারা প্রতিস্থাপিত হচ্ছে। তাও এটি এখনও পশ্চাদগামী সামঞ্জস্যের জন্য ব্যবহৃত হয়। অর্থাৎ, ওয়ার্ডপ্রেস এক্সএমএল-আরপিসি সেই ওয়েবসাইটগুলির জন্য বোঝানো হয়েছে, যেগুলি এখনও ওয়ার্ডপ্রেসের পুরানো সংস্করণগুলি ব্যবহার করছে৷
আপনি যদি একটি পুরানো সংস্করণ ব্যবহার করেন, আমরা দৃঢ়ভাবে এটি আপডেট করার সুপারিশ করি৷ একটি ওয়ার্ডপ্রেস ওয়েবসাইটের একটি পুরানো সংস্করণ চালানো হ্যাকাররা লঞ্চ করার চেষ্টা করার চেয়ে আপনার বেশি ক্ষতি করতে পারে, নৃশংস শক্তি আক্রমণ XML-RPC এর মাধ্যমে।
সম্পর্কিত নির্দেশিকা – টিতিনি আলটিমেট ওয়ার্ডপ্রেস হ্যাক অপসারণ গাইড
XML-RPC আপনার ওয়েবসাইটকে ঝুঁকিতে ফেলতে পারে
নিম্নলিখিত পরিচিত দুর্বলতাগুলিকে কাজে লাগিয়ে, ওয়ার্ডপ্রেস এক্সএমএল-আরপিসি আপনার ওয়েবসাইটকে ঝুঁকিতে ফেলতে পারে।
DDoS পিংব্যাক এবং ট্র্যাকব্যাকের মাধ্যমে আক্রমণ করে
ডাটা ট্রান্সফার ছাড়াও, xmplrpc.php পিংব্যাক এবং ট্র্যাকব্যাক সক্রিয় করার জন্যও দায়ী। যখন একটি ব্লগ বা তৃতীয় পক্ষের ওয়েবসাইট আপনার ওয়েবসাইটের সাথে লিঙ্ক করে, তখন আপনি এই বিজ্ঞপ্তিগুলি পান৷
কিছু ওয়েবসাইট এখনও ব্যাকওয়ার্ড সামঞ্জস্যের জন্য XML-RPC.php ব্যবহার করে, যদিও এটি প্রতিস্থাপন করা হয়েছে। আপনি যদি তাদের একজন হন, হ্যাকাররা DDoS আক্রমণ শুরু করতে পারে। xmlrpc.php প্রচুর সংখ্যক পিংব্যাক পাঠিয়ে আপনার সাইটকে কর্মের বাইরে রাখুন বা আপনি বলতে পারেন। আর এটি আপনার ব্যবহারকারীদের জন্য unavailabe করে দিন।
XML-RPC এর মাধ্যমে ব্রুট-ফোর্স আক্রমণ
XML-RPC (XML-রিমোট প্রসেসিং কল) এনকোডেড রিমোট কলগুলিকে HTTP এর মাধ্যমে পরিবহনের অনুমতি দেয়। যা আপনাকে আপনার WordPress ওয়েবসাইট থেকে একটি ফাইল বা সামগ্রী দূরবর্তীভাবে পোস্ট করতে, সম্পাদনা করতে বা মুছতে সক্ষম করে। প্রতিটি অনুরোধের সাথে, xmplrpc.php প্রমাণীকরণ তথ্য পাঠায়। এটি এক সময়ে প্রচুর পরিমাণে ডেটা পুশ করা সহজ করে তোলে।
কিন্তু একবারে প্রচুর পরিমাণে ডেটা পুশ করার ক্ষমতা বলতে বোঝায় যে, হ্যাকাররা এটিতে বেশ কয়েকটি পাসওয়ার্ড লুকিয়ে রাখতে পারে। যদি একজন হ্যাকার ব্যবহারকারীর নাম এবং পাসওয়ার্ডের ভিন্ন সংমিশ্রণে যথেষ্ট প্রমাণীকরণের অনুরোধ পাঠায়। তাহলে তারা শেষ পর্যন্ত এটি সঠিকভাবে পেতে পারে। এরই ফলস্বরূপ, আপনার সাইটটি আপস করে।
xmlrpc.php একটি ওয়েবসাইটে চলছে কি না কিভাবে পরীক্ষা করবেন?
XML-RPC নিষ্ক্রিয় করার আগে, প্রথমে আপনাকে পরীক্ষা করতে হবে কি না xmlrpc.php আপনার ওয়েবসাইটে চলছে।
আপনি আপনার ওয়েবসাইটে API সক্ষম করা আছে কি না, তা ওয়ার্ডপ্রেস XML-RPC ভ্যালিডেশন সার্ভিস এর মাধ্যমে পরীক্ষা করতে পারেন।
আপনি যদি এটি আবিষ্কার করেন xmlrpc.php এখনও আপনার ওয়েবসাইটে চলছে, পরবর্তী বিভাগে যান এবং নির্দেশাবলী সাবধানে অনুসরণ করুন।
কিভাবে XML-RPC পরিষেবা নিষ্ক্রিয় করবেন?
1. একটি প্লাগইনের মাধ্যমে XML-RPC নিষ্ক্রিয় করুন
ওয়ার্ডপ্রেস প্লাগইন ডিরেক্টরি থেকে ডাউনলোড করুন WP সিকিউরিটি হার্ডেনিং প্লাগইন । আপনার ওয়ার্ডপ্রেস ব্যাকএন্ডে লগইন করুন। আর নেভিগেট করুন প্লাগইনস>>নতুন যোগ করুন এবং প্লাগইন ফাইল আপলোড করুন। আপলোড হয়ে গেলে, প্লাগইনটি সক্রিয় করুন। এটি আপনার WP ড্যাশবোর্ডের বাম নীচে প্রতিফলিত হবে।
তারপর, WP-Hardening প্লাগইন দিয়ে XML-RPC নিষ্ক্রিয় করতে এই পদক্ষেপগুলি অনুসরণ করুন:
- ‘WP হার্ডেনিং’ আইকনে যান।
- প্লাগইনে ‘নিরাপত্তা সংশোধন’ ট্যাবটি নির্বাচন করুন৷
- এবং ‘XML-RPC নিষ্ক্রিয় করুন’ বিকল্পের পাশে কীটি টগল করুন এবং আপনার কাজ শেষ/।
xmlrpc.php অক্ষম করা ছাড়া আপনি আরও ব্যবহার করতে পারেন WP সিকিউরিটি হার্ডেনিং প্লাগইনটি। আপনার ওয়েবসাইটে অন্যান্য নিরাপত্তা ক্ষেত্রগুলিকে সুরক্ষিত করার জন্য – অ্যাডমিন URL পরিবর্তন করা, ফাইল এডিটর অক্ষম করা, WP-JSON অক্ষম করা, গুরুত্বপূর্ণ ফাইল লুকানো, ব্যবহারকারীর গণনা বন্ধ করা ইত্যাদি। এটি অনুসরণ করুন জ্ঞানভিত্তিক WP-হার্ডেনিং কনফিগারেশন সম্পর্কে আরও জানতে।
2. প্লাগইন ছাড়াই XML-RPC নিষ্ক্রিয় করুন
- একটি ফিল্টারের মাধ্যমে: আপনি ব্যবহার করতে পারেন xmlrpc_enabled আপনার ওয়ার্ডপ্রেস ওয়েবসাইটে এই পরিষেবাটি নিষ্ক্রিয় করতে ফিল্টার করুন। আপনাকে যা করতে হবে তা হল একটি প্লাগইনে নিম্নলিখিত কোড যোগ করুন এবং এর মাধ্যমে আপনি যেতে পারবেন:
add_filter( ‘xmlrpc_enabled’, ’_return_false’ );
- .htaccess ফাইলের মাধ্যমে: আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের .htaccess ফাইলে এই কোডগুলি যোগ করুন:
<Files xmlrpc.php>
Order Allow, Deny
Deny from all
</Files>
আমরা জানি আপনি নিশ্চয়ই এটা অনেকবার শুনেছেন, সমস্ত গুরুত্বপূর্ণ ফাইলের ব্যাকআপ নিন , ম্যানুয়ালি কোনো কাজ করার চেষ্টা করার আগে। আপনি যখন ভুল করেন বা আপনার ওয়েবসাইট হ্যাক হয়ে যায় তখন এটি কাজে আসতে পারে।
যদিও আমরা xmlrpc.php নিষ্ক্রিয় করার প্রক্রিয়াটি ব্যাখ্যা করেছি। তবে এটা সবসময় সব সমস্যার একটি বুদ্ধিমান সমাধান না। কোন না কোন উপায়ে, একজন হ্যাকার আপনার ওয়েবসাইটে অন্য কোন দুর্বলতাকে কাজে লাগাতে পারে।
সম্পর্কিত নির্দেশিকা – ওয়ার্ডপ্রেস ম্যালওয়্যার অপসারণ
আমরা সুপারিশ করি যে আপনি এটি ইনস্টল করুন নিরাপত্তা ফায়ারওয়াল বট এবং হ্যাকারদের দ্বারা করা সমস্ত হ্যাকিং প্রচেষ্টা ব্লক করতে।
Astra-এর নিরাপত্তা ফায়ারওয়ালের সাহায্যে, আপনি XSS, CSRF, SQLi, ইত্যাদির সমস্ত প্রচেষ্টাকে ব্লক করতে পারেন৷ 24*7 গ্রাহক সহায়তার মাধ্যমে, আপনি আপনার ওয়েবসাইটে সমস্ত অনুপস্থিত নিরাপত্তা অনুশীলনগুলি বাস্তবায়ন করতে সক্ষম হবেন৷