ঝুঁকিপূর্ণ ওয়ার্ডপ্রেস সাইট থেকে কিভাবে পিএইচপি কোড এক্সিকিউশন সুরক্ষিত করবেন?

  • Home
  • CMS
  • ঝুঁকিপূর্ণ ওয়ার্ডপ্রেস সাইট থেকে কিভাবে পিএইচপি কোড এক্সিকিউশন সুরক্ষিত করবেন?
ওয়ার্ডপ্রেস ওয়েবসাইট পিএইচপি কোড এক্সিকিউশন থেকে ঝুঁকিপূর্ণ

অসমাপ্ত ওয়ার্ডপ্রেস ইনস্টলেশনের কারণে বিশ্বের সবচেয়ে জনপ্রিয় সিএমএস ওয়ার্ডপ্রেস পিএইচপি কোড এক্সিকিউশন ইনজেকশন আক্রমণের ঝুঁকিতে রয়েছে। এর জন্য় ওয়ার্ডপ্রেস সাইটকে সবসময় লক্ষ্য করেছে ইন্টারনেট প্রতারকদল। এটি প্রতারানার লক্ষ্য বস্তুতে পরিণত হয়েছে কারণ এর আছে বিশাল ব্যবহারকারী বেস এবং কার্যকারি বিস্তৃত পরিসর। এছাড়া ওয়ার্ডপ্রেস সাইটগুলিতে বিপুল সংখ্যক আক্রমণের অন্যতম কারণগুলো হলঃ দুর্বল প্লাগইন ব্যবহার করা, সাম্প্রতিক সংস্করণে সময়মতো আপডেট না করা, নিয়মিত প্যাচ প্রয়োগ না করা এবং নিরাপত্তা ব্যবস্থায় অসতর্কতা।

জুন ২০১৭-এ ৭.২ মিলিয়নেরও বেশি ওয়ার্ডপ্রেস সাইট আক্রমণের হয়। বিশেষ করে মে এবং জুন মাসে ওয়ার্ডপ্রেস কোড ইনজেকশন প্রচারাভিযান শীর্ষে উঠেছিল। কারন আক্রমণকারীরা তখন সম্প্রতি ইনস্টল করা ওয়ার্ডপ্রেস ইনস্টলেশনকে লক্ষ্য করে, কিন্তু কনফিগার লক্ষ্য করে না। তাই এই PHP কোড এক্সিকিউশন অ্যাটাকে, আক্রমণকারীকে অ্যাডমিন অ্যাক্সেস প্রদান করে। যার ফলে যেকোনো সময়ের মধ্যেই তারা ওয়েবসাইটের সম্পূর্ণ নিয়ন্ত্রণ পেয়ে যায়।

সম্পর্কিত নির্দেশিকা – ওয়ার্ডপ্রেস নিরাপত্তা সম্পূর্ণ গাইড (হ্যাকিংয়ের ঝুঁকি 90% কমিয়ে দিন)

ওয়ার্ডপ্রেস কেন পিএইচপি কোড এক্সিকিউশন করে?

ওয়ার্ডপ্রেস বিশ্বের বিখ্যাত কিছু ওয়েবসাইট যেমন বিবিসি আমেরিকা, টেকক্রাঞ্চ, সনি মিউজিক ইত্যাদি হোস্ট করে। ফলস্বরূপ, এর জনপ্রিয়তা ভালো এবং খারাপ উভয়কেই আমন্ত্রণ জানায়। উইন্ডোজ ওএস যেমন ম্যালওয়্যারের জন্য প্রাথমিক লক্ষ্য এবং তেমনি মোবাইল ম্যালওয়্যারের জন্য অ্যান্ড্রয়েড ওএস। আর তাই বেশি চাওয়া-পাওয়ার প্ল্যাটফর্মগুলির মধ্যে একটি হল ওয়ার্ডপ্রেস সিএমএস। যার প্রায় 59 শতাংশ শেয়ার রয়েছে৷

ওয়ার্ডপ্রেস-ভিত্তিক সাইটগুলির অল্প কিছু কারনে তাদের সাইটকে স্প্যামার এবং সাইবার অপরাধীদের জন্য স্বাভাবিক লক্ষ্য করে তোলে। তাই যারা তাদের নিজস্ব ম্যালওয়্যার বিনামূল্যে রাখার জন্য বৈধ কাউকে খুঁজে তখন তারা ওয়ার্ডপ্রেস সাইটগুলির সাথে আপস করে।

পিএইচপি কোড এক্সিকিউশন
পিএইচপি কোড এক্সিকিউশন

কোড ইনজেকশন: কিভাবে ওয়ার্ডপ্রেস সাইট আক্রমণ করা হয়?

বেশিরভাগ ওয়ার্ডপ্রেস ব্যবহারকারীরা তাদের একটি ডিরেক্টরিতে হোস্টিং অ্যাকাউন্টের সংরক্ষণাগারটি আনজিপ করে রাখে। অথবা হোস্টিং প্রদানকারীর থেকে এক-ক্লিক ইনস্টলার ব্যবহার করে প্ল্যাটফর্মটি ইনস্টল করে। কিন্তু ব্যবহারকারী যদি একটি কনফিগারেশন ফাইল তৈরি না করা পর্যন্ত এই প্রক্রিয়াটি অসম্পূর্ণ রাখে, তবে ওয়ার্ডপ্রেস সাইটে যারা ইনস্টলেশনটি অসম্পূর্ণ রাখে, তাদের জন্য এটি আক্রমণের প্রধান কারণ হয়ে উঠে।

আক্রমণ শুরু করতে তারা আক্রমণকারীর সেটআপের জন্য URL-এর স্ক্যান করবে। এবং ওয়ার্ডপ্রেস এইভাবেই দৃষ্টান্তগুলি সনাক্ত করবে যেখানে ইনস্টলেশনের কনফিগারেশন অংশটি অসম্পূর্ণ রেখে দেওয়া হয়েছে। এটি সাইটটিকে বাইরের পরিচালনার জন্য উন্মুক্ত করে দেয়। আর এইভাবে বহিরাগত দলগুলিকে তারা ব্যবহারকারীর পক্ষে ইনস্টলেশনটি অ্যাক্সেস করতে এবং সম্পূর্ণ করার অনুমতি দেয়।

পিএইচপি কোড এক্সিকিউশন

আপনি যেখান থেকে ছেড়েছিলেন সেখান থেকে আনকনফিগার করা সাইটটি তুলে তারা আপনার ওয়ার্ডপ্রেস সাইটটি দখল করবে। তারপর তারা একটি থিম এবং একটি PHP কোড সন্নিবেশ চালু করবে। অথবা একটি কাস্টম প্লাগ-ইন তৈরি করবে যেন তারা সেটি পরে আপলোড করতে পারে৷ একবার আক্রমণকারী অ্যাডমিন অ্যাক্সেস লাভ করলে, সে সহজেই পিএইচপি কোড এক্সিকিউশন বাস্তবায়ন করতে পারে। এবং তারা খারাপ কার্যকলাপের একটি সিরিজ চালু করতে পারে। তখন অ্যাডমিন হিসাবে, আক্রমণকারী হোস্টিং সার্ভারে সমস্ত ফাইল, ওয়েবসাইট এবং এমনকি ডাটাবেস অ্যাক্সেস করতে পারে।

আমাদের ব্লগঃ আপনার ওয়ার্ডপ্রেস সুরক্ষিত করার জন্য সেরা নিরাপত্তা অনুশীলন চেক করুন।

এই ত্রুটি প্রশমিত করার একটি সুস্পষ্ট উপায় হল, ইনস্টলেশনের সময় আপনার ওয়ার্ডপ্রেস কনফিগারেশন সম্পূর্ণ হয়েছে কিনা তা নিশ্চিত করা। কারন ওয়েবসাইট অ্যাডমিনদের জন্য এখন আগের চেয়ে বেশি সাইট স্ক্যান করা ও অসম্পূর্ণ ইনস্টলেশন চেক করা অপরিহার্য হয়ে উঠেছে। নিয়মিত মনিটরিং এবং অডিটিং ভবিষ্যতে এই ধরনের আক্রমণ থেকে আপনার সাইটকে সুরক্ষিত করতে পারেন।

ট্যাগ: কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (সিএমএস), দূষিত কোড, পিএইচপি, পিএইচপি কোড এক্সিকিউশন, ওয়ার্ডপ্রেস, ওয়ার্ডপ্রেস নিরাপত্তা

Free Website Toolkit

Money Back Guarantee

If you’re unhappy for any reason, let us know why. Our friendly support guy is standing by.

If you do decide we’re not the right host for you though, we’ll give you a hassle-free refund. We may have to stock up on tissues if you cancel though because we hate break-ups, but we promise, no hard feelings. Just cancel your account within your first 30-days for a full refund, or receive a prorated refund of unused service after 30-days. It’s that easy.

Free Domain Registration

In order to qualify for (1) one free domain name registration, you must sign up for a 12, 24 or 36 month Bitbyhost Shared, Web hosting and WordPress plan. Offer only applies to domains available only .com at the time of hosting signup, and on their initial purchase term. This offer is NOT available under any other hosting plans, nor can it be combined with any other offers. After the first year, your domain will renew at the regular rate.
If your hosting plan includes a free domain and you cancel your hosting within the first year, a non-refundable $12.08 USD domain fee (+ any applicable taxes) for the domain name will apply. Please note that newly registered domains cannot be transferred to another registrar during the first 60 days of the registration period.

Discount will be automatically applied to your cart at checkout.