WordPress Website নিঃসন্দেহে Recommended content management system-গুলির মধ্যে একটি। ব্যবসা, ব্লগ, এবং বিনোদন সহ ৭৫ মিলিয়ন ওয়েবসাইট বর্তমানে ওয়ার্ডপ্রেসে নির্মিত। অনলাইন আক্রমনের ক্ষেত্রে এটিকে সবচেয়ে ঝুঁকিপূর্ণ হিসাবে শ্রেণীবদ্ধ করে। যদিও বেশিরভাগ অনলাইন আক্রমন Unpatched version থেকে হয় এবং ওয়ার্ডপ্রেস ডাটা চুরির আরেকটি প্রধান উৎস হল Required WordPress components-এর প্রকাশের এক্সেস। উদাহরণস্বরূপ, Directory browsing নিন।
এটি প্রায়শই ঘটে যে, যখন আপনার ওয়েব সার্ভার একটি ইন্ডেক্স ফাইল (যেমন index.php বা index.html এর মতো একটি file ) খুঁজে পেতে অক্ষম হয় তখন By default এটি Contents of the directory প্রকাশ করে একটি ইন্ডেক্স পেইজ প্রদর্শন করে।
WP-Hardening plugin-এ আপনি সহজেই একটি বাটনে ক্লিক করে ডিরেক্টরি ব্রাউজিং ঠিক করতে পারেন । WP-Hardening হল আপনার WordPress Website security সংক্রান্ত সমস্যাগুলির বেশিরভাগ সমাধান করার জন্য একটি One-stop সমাধান।
এটা যেভাবে কাজ করেঃ
- “Security Fixers” tab এ যান।
- ‘Server hardening‘ এ নেভিগেট করুন এবং শুধু পাশের Key-টি toggle করে ‘WP-র directory listing’ hide করুন।
যেহেতু এটি Hacker-দের কাছে WordPress themes, plugins বা Server-এ সম্ভাব্য দুর্বলতা কাজে লাগাতে প্রয়োজনীয় গুরুত্বপূর্ণ তথ্য প্রকাশ করে।তাই এই ধরনের Rendered public তথ্য আপনার সাইটকে হ্যাকারদের জন্য ঝুঁকিপূর্ণ করে তুলতে পারে।
WordPress folder কেন জনসাধারণের কাছ থেকে Hide করবেন ?
WordPress CMS attack বাড়ার কারণে Directory browsing disabled করা অপরিহার্য। হ্যাকাররা পরিচিত দুর্বলতা সহ ফাইলগুলি প্রকাশ করতে Directory browsing-কে কাজে লাগাতে পারে এবং অনুমোদনহীন এক্সেস পেতে এটিকে কাজে লাগাতে পারে। তাছাড়া, Directory browsing আপনার ফাইলের বিষয়বস্তু অনুকরণ করতে, আপনার Directory structure এবং অন্যান্য তথ্য আবিষ্কার করতে বহিরাগতরা ব্যবহার করতে পারে। যে কারণে Directory indexing এবং browsing সীমাবদ্ধ করা অপরিহার্য।
সম্পর্কিত নির্দেশিকা – WordPress Malware অপসারণ
আপনার htaccess file পরিবর্তন করে করা যেতে পারে । htaccess File, Server configuration file যা মূলত ব্যবহারকারীকে তার server-এর ও website-এর জন্য অনুসরণ করার নিয়ম সংজ্ঞায়িত করতে দেয়। .htaccess file-টি আপনার WordPress website-এর root folder-এ অবস্থিত। এটি editing করতে আপনাকে একটি FTP client ব্যবহার করে আপনার ওয়েবসাইটের সাথে সংযোগ করতে হবে৷ এটা মনে রাখা প্রয়োজন যে, আপনার .htaccess file-টি এডিটিং শুরু করার আগে কিছু ভুল হলে ব্যাকআপ হিসাবে আপনার কম্পিউটারে এটির একটি অনুলিপি ডাউনলোড করা গুরুত্বপূর্ণ।
কিভাবে Public access থেকে WP Folder Hide করবেন ?
আপনার Website root-এ .htaccess file code-এ নিম্নলিখিত line যোগ করুনঃ
Options -Indexesএটি Website জুড়ে directory listing প্রতিরোধ করবে।
কিভাবে WordPress Website login URL Hide করবেন ?
WordPress login URL একাধিক পদ্ধতির মাধ্যমে Hide করা যেতে পারে:
- including WP-hardening: WP-hardening plugin আপনাকে আপনার WordPress login-এর জন্য একটি Custom URL নির্দিষ্ট করতে সক্ষম করে। Security Fixer WordPress settings বিভাগে নতুন URL ‘এর অধীনে নির্দিষ্ট করা যেতে পারে। ওয়েবসাইট -এ একটি Caching plugin ব্যবহার করা হলে নতুন login page-টি Caching থেকে বাদ দেওয়া পেইজ-গুলির তালিকায় যুক্ত করা উচিত।
- By whitelisting IP addresses: এই পদ্ধতিতে, শুধুমাত্র Whitelisted IP address-গুলি wp-login page-এ Access করতে পারে এবং অন্য প্রতিটি IP -তে একটি error message দেখানো হবে ৷ আপনার যদি Static IP থাকে এবং আপনার WordPress admin panel-এ Access প্রয়োজন হয় এমন সময় এই পদ্ধতিটি প্রস্তাব করা হয়। আপনাকে যা করতে হবে তা হল আপনার .htaccess file-এ নিম্নলিখিত কোডটি যোগ করুন এবং প্রতিস্থাপন করুন “!^123\.123\.123\.123$”
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>যদি একাধিক IP address যোগ করার প্রয়োজন হয় তবে প্রতিটির জন্য একটি নতুন line যোগ করুন, যেমনটি নীচে দেখানো হয়েছেঃ
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteCond %{REMOTE_ADDR} !^223\.223\.223\.223$আপনার login page-টি এখন শুধুমাত্র এই IP address-গুলিতে দৃশ্যমান হবে৷
আপনার WP admin page এখন সুরক্ষিত।
কিভাবে আপনার WordPress থেকে WP-Content/Upload Hide করবেন?
যেকোন WordPress website-এর root directory-তে wp- কন্টেন্ট ফোল্ডারটি – উপস্থিত হয়। এটি প্রতিটি WordPress installation-এর একটি গুরুত্বপূর্ণ অংশ এবং এতে প্লাগইনস, থিমস, আপলোড এবং debug.logs রয়েছে যা ব্যবহারকারী দ্বারা সরবরাহ করা হয় কিন্তু ডাটাবেজে সংরক্ষণ করা হয় না।
জনসাধারণের কাছ থেকে “Upload” folder-টি লুকাতেঃ
- আপনার FTP client খুলুন।
- wp-content/uploads-এ navigate করুন।
- একটি নতুন File তৈরি করুন এবং “.htaccess” নাম দিয়ে এটি খুলুন।
- File -টিতে নিম্নলিখিত code-টি Copy and paste করুন।
- পরিবর্তনগুলোর সংরক্ষন করুন।
- পরিবর্তনগুলি যাচাই করতে navigate করুন http://yourdomain.com/wp-content/uploads/, যেখানে আপনি এখন একটি 404 error বা একটি ফাঁকা page পাবেন যা আপনার upload Folder contents দেখায় না।
WordPress Directory listing disabled করা হচ্ছে-
কিভাবে আপনার WordPress থেকে WP-includes Hide করবেন?
WP-includes folder-এ এক্সেস সীমাবদ্ধ করা গুরুত্বপূর্ণ। কারণ এতে WordPress-এর original version চালানোর জন্য file strictly রয়েছে। কোনো plugin or theme ছাড়াই এটিতে Default theme রয়েছে ৷ wp-content/themes directory নিম্নলিখিত Code Snippet ব্যবহার করে include folder-এ Access disabled করা যেতে পারে৷ htaccess file–
# Block wp-includes folder and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/.*\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>কিভাবে WP-admin বা WP-Login Hide করবেন?
আমরা সবাই জানি যে, কোন WordPress website-এর login page visit করার জন্য Default URL হচ্ছে- site-name/wp-admin. যাইহোক, আপনার Default admin login page-টি উন্মুক্ত করা, Hacker-দের এটি পরিদর্শন করার জন্য আমন্ত্রণ জানাতে পারে। এমনকি আপনার সার্টিফিকেট-গুলিও বের করতে পারে। অতএব, আপনার wp-admin এবং wp-login page-টি লুকিয়ে রাখা অপরিহার্য।
সম্পর্কিত নির্দেশিকা – The Complete Guide to WordPress website Security (Risk of hacking 90% কমিয়ে দিন)
- আপনার Server Dashboard Login করুন। public_html Cpanel-এ folder এবং code editor-এ আপনার .htaccess file খুলুন। যদি এটি আপনার কাছে দৃশ্যমান না হয়, তাহলে “Show hidden files” option Enable করুন এবং তারপরে এটি editing করুন৷
- আপনার .htaccess file-এর শুরুতে নিম্নলিখিত code যোগ করুন। এটিতে কিছু code থাকতে পারে তবে আপনাকে প্রতিটি code -এর শুরুতে এটি paste করতে হবে।
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist <span style="color: #00ff00;">Prakhar IP</span> address allow from <span style="color: #00ff00;">xx.xx.xx.xxx</span> # whitelist <span style="color: #00ff00;">Satyansh IP</span> address allow from <span style="color: #00ff00;">xx.xx.xx.xxx</span> </LIMIT> - আপনার Device-এর (Computer, laptop, smartphone) নাম এবং IP address দিয়ে Green text Replace করুন।
