WP-Admin hack বা WordPress admin dashboard ঠিক করুন

Wp-Admin Hack

আপনার WP-Admin hack করা হয়েছে, এটি খুঁজে বের করা একজন website মালিক হিসাবে আপনি সবচেয়ে খারাপ অনুভূতি অনুভব করতে পারেন। যদি সক্রিয় security ব্যবস্থা গ্রহণ না করা হয়, তাহলে একজন Hacker, WordPress admin panel hack-এর মাধ্যমে Pharma attack, Phishing page, Japanese SEO Spam, Redirection malware ইত্যাদি চালু করতে সক্ষম হতে পারে।

একটি নতুন ধরনের WP-Admin hack সামনে এসেছে যা একটি অনুমোদনহীন WordPress admin user যোগ করে। এটি একটি Infected Pharma Hack. এই ধরনের hack-এর মাধ্যমে সাধারণত সম্পূর্ণ Website takeover, Data চুরি, Database compromise এবং SEO Hijacking ইত্যাদি হয়ে থাকে। WordPress admin হল আপনার website-এর সবচেয়ে গুরুত্বপূর্ণ অংশ – Admin থেকে Logout হওয়া মানে আপনার website-এ access হারানো!

WP-Admin hack এর লক্ষণ কি কি?

আপনার WordPress admin panel hack হয়েছে কিনা তা আপনি দেখতে পাবেন এমন কিছু লক্ষণ এখানে রয়েছেঃ

  1. আপনি যে Admin userদের সম্পর্কে আপনি জানেন না সেগুলুকে আপনার wordpress site-এ যোগ করা হয়েছে অথবা wordpress userদের প্রচুর spam তৈরি করা হয়েছে এরকম হলে বুঝবেন যে অবশ্যই wp-admin hack করা হয়েছে।
  2. Google Pharma Spam Page-গুলির সাথে আপনার site-কে ইনডেক্স করে।
  3. আপনার WordPress website খুব slow হয়ে যায়।
  4. আপনার website-এ Japanese text (Japanese SEO Spam Pages) সহ নতুন Web page যোগ করা হয়েছে।
  5. আপনি আপনার সাইটে যোগ করেছেন এমন যেকোনো WordPress Security Plugins স্বয়ংক্রিয়ভাবে নিষ্ক্রিয় হয়ে যাবে।
  6. আপনি admin.php, adminer.php এর মতো অজানা File-গুলি খুঁজে পাবেন৷ যেমন-/public_html folderবা /public_html/wp-admin folder.
  7. আপনার wp-admin page একটি ভিন্ন ফাঁকা UI load করে , বা BG Team File Manager নামে একটি File manager upload করা হয় এবং login page-এর পরিবর্তে আপনি server-এ file-গুলির একটি তালিকা সহ একটি Black/gray screen দেখতে পান।
Wp-Admin Hack
WP-Admin hack
  • আপনি wp-admin login করার পরে একটি PHP 500 অভ্যন্তরীণ server ত্রুটি পান।
  • WordPress Admin এলাকায় settings » সাধারণ page section থেকে ‘যে কেউ registration করতে পারেন’ option-টি enabled করা হয়েছে।
  • আপনিplugin add/remove করতে অক্ষম।
  • আপনার Hosting provider account স্থগিত করে
  • একটি web shell আপনার site-এ upload করা হয়।
  • আপনি base64 Encoded Code Theme/Core file-এ সন্দেহজনক কিছু পাবেন।
  • আপনার site-এর মূল WordPress file পরিবর্তন করা হয়েছে।

কিভাবে আমার Website থেকে wp-admin Malware code সরাতে পারি?

1. index.php file check করুন: প্রথম ধাপ হল index.php বা wp-admin/index.php পরিবর্তন করা হয়েছে কিনা দেখতে আপনার site-এর পরীক্ষা করা। সাধারণত, যদি আপনার site WP-Admin hack দ্বারা প্রভাবিত হয়, তাহলে index.php file code-এর নিম্নলিখিত লাইনটি উপরের অংশে যোগ করা হয় :

ক্ষতিকারক কোড অন্তর্ভুক্ত - Wp-Admin হ্যাক
ক্ষতিকারক কোড অন্তর্ভুক্ত - Wp-Admin হ্যাক

এখানে ‘required’/’included’ file-টিতে ক্ষতিকারক code রয়েছে যা প্রতিবার WordPress চালানোর সময় কার্যকর করা হয়। এই ধরনের code তৈরি করতে পারে Fake pharma page, Japanese SEO Spam Pages এবং অন্যান্য Malware সংক্রমণ

আপনি তাদের থেকে Main WP file-গুলির বিষয়বস্তুর সাথে তুলনা করার পরে file থেকে @require code-টি সরাতে পারেন

2. Malware দ্বারা তৈরি file-গুলি দেখুন: আপনি server-এর root-এ কোন নতুন file আছে কিনা তা পরীক্ষা করতে পারেন । ফাইলগুলির কিছু উদাহরণ যা আপনি খুঁজে পেতে পারেনঃ

  • Marvins.php
  • db_.php
  • 8c18ee
  • 83965
  • admin.php
  • buddy.zip
  • dm.php

আপনি যদি উপরের কোন সন্দেহজনক file খুঁজে পান, তাহলে আপনার site-এর একটি backup নিন এবং সেগুলি মুছে দিন। একটি Standard WordPress installation-এ সাধারণত server-এর rootঈ নিম্নলিখিত file-গুলি থাকে – এগুলি ছাড়া অন্য যেকোন file, যা আপনি তৈরি করেননি তা Malware হতে পারে ৷

সার্ভারের রুটে ওয়ার্ডপ্রেস ফাইল

3. SEO Spam খুঁজে দেখুন: আপনার Domain-এর জন্য Index করা page-গুলির তালিকা দেখতে আপনি Google search করতে পারেন, যেমন:

সাইট: <আপনার ডোমেইন নাম লিখুন>

গুগল অনুসন্ধান ফলাফলে জাপানি এসইও স্প্যাম

যদি আপনার website-এর search result screenshot-এর মতো হয় তবে আমাদের Japanese SEO Spam অপসারণের নির্দেশিকা দেখুন –

4. অজানা WordPress admin-দের Track করুন: আপনি যদি একাধিক admin খুঁজে পান তাহলে ব্যবহারকারীদের page থেকে অজানা WordPress account-গুলি মুছুন এবং Backdoor script-টি Track করুন যা আপনার WordPress website-এ admin user-দের যোগ করে।

user-দের page-এ যান (wp-admin/users.php?role=administrator). আপনার WordPress website-এ কোনো নতুন Administrator user যোগ করা হয়েছে কিনা তা দেখতে, এবং আপনি চিনতে পারেন না এমন account-গুলি মুছুন।

আপনি এখন WordPress backdoor script-টি search করতে পারেন, যা কার্যকর করা হলে Hacker-কে administrator সহ একটি নতুন WordPress User Insert করার অনুমতি দেয় ৷ Hacker চাইলে যেকোন সময় WordPress installation-এ access Restore করতে এই backdoor ব্যবহার করা যেতে পারে – তাই আপনার website-এর আরও ক্ষতি রোধ করতে এই code-টি সরিয়ে ফেলুন।

Wp অ্যাডমিন ব্যাকডোর স্ক্রিপ্ট
WP অ্যাডমিন ব্যাকডোর স্ক্রিপ্ট

5. Upload directory পরীক্ষা করুন: আপনার যে কোনো php file মুছে ফেলা উচিত যা ‘upload’ directory.

Security দুর্বলতার কারণে WordPress plugin অথবা মূল অংশে, একজন Hacker web server-এ ক্ষতিকর php file Upload করতে সক্ষম হতে পারে। আপনি যদি আপনার website-এর /uploads directory-র কোথাও .php, .php3, .php4, .php5, .py, .asp, .aspx file extension সহ কোনও Executable file খুঁজে পান তবে সেগুলি মুছুন।

আপনি htaccess root /upload করে PHP-কে এই directory-তে চলতে বাধা দিতে পারেন নিম্নলিখিত code ব্যবহার করেঃ

# Kill PHP Execution
<Files ~ "\.ph(?:p[345]?|t|tml)$">
   deny from all
</Files>

6. Malware scan করা আবশ্যক: আপনার server-এর সমস্ত file-এ একটি Malware scan চালানোর কথা বিবেচনা করা উচিত।

আপনার Web-hosting dashboard বা cPanel-এ আপনার ‘Virus scanner’ নামে একটি alternative থাকা উচিত। আপনি server-এ থাকা কোনো ক্ষতিকর file সনাক্ত করতে এটি চালাতে পারেন এবং এটি flagg করে এমন কোনো file যাচাই ও মুছে ফেলতে পারেন। আপনি আপনার ওয়েবসাইটের একটি সম্পূর্ণ Malware scanner-এর জন্য Astra Security use করতে পারেন।

গড়ে প্রতিদিন 30,000 Website hack হয়।

আপনি কি পরবর্তী? খুব দেরি হওয়ার আগে Website Security ব্যবহার করে Malware এবং Hacker-দের থেকে আপনার Website -কে সুরক্ষিত করুন৷

WP-Admin hack-এর একটি পুনরায় সংক্রমণ প্রতিরোধ এবং কারণ সনাক্ত করার পদক্ষেপসমুহ-

1. একটি Web application firewall install করার কথা বিবেচনা করুন যা security threat সনাক্ত করবে এবং তাদের block করবে.

যদিও এটি WordPress security-র কথা মাথায় রেখে তৈরি করা হয়েছে, তবে এর plugin-গুলি প্রায়শই সমস্ত ধরণের security threat-এর সম্মুখীন হয় – তাই আপনার WordPress website-টিকে সেখানে লুকিয়ে থাকা শত শত নতুন threat থেকে সক্রিয়ভাবে সুরক্ষিত করা গুরুত্বপূর্ণ।

2. নিয়মিতভাবেWordPress Core, Plugins এবং Theme update করুন

Hacker এবং Cyber-অপরাধীরা প্রায়ই plugin এবং theme-গুলিতে পরিচিত দুর্বলতাগুলিকে কাজে লাগানোর জন্য সরঞ্জাম তৈরি করে। সুতরাং, WordPress Core, Plugins এবং theme exploitation প্রতিরোধ করার জন্য update গ্রহণ করে। Hack হওয়া প্রতিরোধ করার সবচেয়ে সহজ উপায় হল আপনার Software up-to-date রাখা।

3. আপনার WordPress site-এ তৈরি করা Administrator accountগুলি Monitor করুন৷

4. আপনার WordPress file এবং database-এর নিয়মিত backup নিন।

5. Server-এ file এবং folder অনুমতি update করুন

file-এর অনুমতিগুলি খুবই গুরুত্বপূর্ণ, কারণ তারা নির্দিষ্ট করে যে কারা এটি পড়তে, লিখতে এবং কার্যকর করতে পারে। File অনুমতি WordPress Codex দ্বারা প্রস্তাবিত সাধারণ নির্দেশিকা এখানে আছেঃ

  • Folder- 755
  • File- 644
ওয়ার্ডপ্রেস ফাইল/ফোল্ডার অনুমতি
ওয়ার্ডপ্রেস ফাইল এবং ফোল্ডার অনুমতি

যাইহোক, যদি আপনি চান, আপনি command line-এর মাধ্যমে পুনরাবৃত্তিমূলকভাবে file-এর অনুমতি পরিবর্তন করতে পারেন:

Directory-র জন্য:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

File-এর জন্য:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

6. আপনার ওয়েবসাইটে ফাইল সম্পাদনা অক্ষম করুন।
WordPress Dashboard-এর মাধ্যমে File editing disabled করতে আপনার wp-config.php File -এর শেষে নিম্নলিখিত দুটি লাইন যুক্ত করুন:

## Disable Editing in Dashboard
define('DISALLOW_FILE_EDIT', true);
Icon Code -
Icon Code -

Astra Security Suite সম্পর্কে-

Astra হল অপরিহার্য Web security Suite যা আপনার জন্য Hacker, Internet threats এবং bot-দের বিরুদ্ধে লড়াই করে। আমরা WordPress OpenCart,Magento, ইত্যাদি জনপ্রিয় CMS-এর মতো আপনার website-গুলির জন্য সক্রিয় নিরাপত্তা প্রদান করি।

আমাদের Intelligent firewall এবং Malware scanner দেখুন

Free Website Toolkit

Money Back Guarantee

If you’re unhappy for any reason, let us know why. Our friendly support guy is standing by. If you do decide we’re not the right host for you though, we’ll give you a hassle-free refund. We may have to stock up on tissues if you cancel though because we hate break-ups, but we promise, no hard feelings. Just cancel your account within your first 30-days for a full refund, or receive a prorated refund of unused service after 30-days. It’s that easy.

Free Domain Registration

In order to qualify for (1) one free domain name registration, you must sign up for a 12, 24 or 36 month Bitbyhost Shared, Web hosting and WordPress plan. Offer only applies to domains available only .com at the time of hosting signup, and on their initial purchase term. This offer is NOT available under any other hosting plans, nor can it be combined with any other offers. After the first year, your domain will renew at the regular rate.
If your hosting plan includes a free domain and you cancel your hosting within the first year, a non-refundable $12.08 USD domain fee (+ any applicable taxes) for the domain name will apply. Please note that newly registered domains cannot be transferred to another registrar during the first 60 days of the registration period.

Discount will be automatically applied to your cart at checkout.