ওপেন সোর্স এবং ইউজার ফ্রেন্ডলি বলে ওয়ার্ডপ্রেস হচ্ছে পৃথিবীর সবচাইতে জনপ্রিয় কন্টেন্ট ম্যানেজমেন্ট সিস্টেম। এর জনপ্রিয়তার আরেকটা কারন এটি এমন একটি সিএমএস যা দিয়ে আপনি একটু টেকনিক্যাল নলেজ থাকলে খুব সহজেই তৈরি করতে পারবেন যেকোনো ধরনের ওয়েবসাইট, হোক সেটি ব্লগ, ই-শপ কিংবা লার্নিং ম্যানেজমেন্ট সিস্টেম।
ওয়ার্ডপ্রেস সাইট হ্যাকিং থেকে বাঁচানোর ১০টি ওয়ার্ডপ্রেস সিকিউরিটি টিপস
১. ‘admin’ নামের ইউজারনেম ব্যাবহার করবেন না
এই কাজটি একমাত্র তারাই করে থাকেন যারা ওয়ার্ডপ্রেস ব্যাবহারের ক্ষেত্রে একদম নতুন। কিন্তু কথা হল পৃথিবীতে বিপুল সংখ্যক সাইটের ইউজারনেম এটাই। এর কারন ওয়ার্ডপ্রেসের আগের ভার্সন গুলোতে এটা ডিফল্ট ইউজারনেম হিসেবে থাকতো। যদিও এটা ব্যাবহার করে যারা হ্যাক করেন তাদেরকে আমি হ্যাকারের উপাধি দিতে রাজি নই। তবুও বলতে হবে প্রতি বছর বেশ কিছু সাইট হ্যাক হয় শুধুমাত্র এই ইউজারনেম ব্যাবহারের কারনে। সুতরাং এড়িয়ে যাওয়ার কিছু নেই এখানে।
২. লগ-ইন লকডাউন সিস্টেম ব্যাবহার করুন
ওয়েবসাইট হ্যাকারদের একটা প্রিয় হ্যাকিং সিস্টেম হচ্ছে brute force (ব্রুট ফোর্স)। যেখানে তারা একটাই ওয়েবসাইটে বহুসংখ্যক সম্ভাব্য ইউজারনেম এবং পাসওয়ার্ড কম্বিনেশন ব্যাবহার করে লগ-ইন এর চেষ্টা চালায়। আপনার কাছে এভাবে হ্যাক করা হয়তো অসম্ভব মনে হতে পারে। কিন্তু তাদের কাছে এটা খুবই সোজা। কারন তারা এই কাজটি করতে বিভিন্ন সফটওয়্যার ব্যাবহার করে যেইগুলা খুব দ্রুত বেশকিছু(এমনকি ঘণ্টায় কয়েক হাজার) লগ-ইন এটেম্প চালাতে পারে। এবং এইধরনের পদ্ধতিতে বার বার লগ-ইন চেষ্টা করা যায় এইধরনের যেকোনো সাইট হ্যাক করা যায়। এমনকি ডিকশনারি অ্যাটাক(dictionary attack) (মানে বিশেষ কিছু ইউজার এবং পাস কম্বিনেশন যা পৃথিবীব্যাপী বহুল প্রচলিত) ব্যাবহার করেই বেশ কিছু সাইট হ্যাক করে ফেলে হ্যাকাররা। এখন কথা হল আপনি কিভাবে বাঁচবেন? খুব সহজ পদ্ধতি অনুসরন করুন। সাইটে লগ-ইন লিমিট রাখুন। অর্থাৎ কেউ যদি ৩ বারের বেশি লগ-ইন হওয়ার চেষ্টা করে কিন্তু সফল না হয় তাহলে সে হয়তো পরের বার একটা কেপচা কোড দেখতে পাবে। কিংবা তার আইপি ব্লক হয়ে যাবে। বেশকিছু নির্ভরযোগ্য প্লাগিন আছে যা দিয়ে আপনি এই কাজটি করতে পারেন।
৩. ভিসিটরের প্রয়োজন নেই এইধরনের তথ্য লুকিয়ে রাখুন
এমন অনেক তথ্য আছে যা ওয়ার্ডপ্রেস সাইটে শেয়ার করে কিন্তু যেইগুলা ভিসিটর জানার কোন প্রয়োজন নেই। কিন্তু এই তথ্যগুলোর মধ্যে বেশ কিছু শেয়ার করা আপনার জন্য বিপদজনক। যেমন, ওয়ার্ডপ্রেস ভার্সন। এধরনের তথ্যগুলো লুকানোর জন্যও অনেক প্লাগিন আছে।
৪. wp-config.php ফাইলটি সরিয়ে নিন
যারা ওয়ার্ডপ্রেস ব্যাক-ইন্ড সম্পর্কে অবগত না তাদেরকে আগে wp-config.php এর সাথে পরিচয় করিয়ে দেই। এটি ওয়ার্ডপ্রেস রুট ডিরেক্টরিতে থাকা এমন একটা ফাইল যেটা আপনার ওয়ার্ডপ্রেস ডিরেক্টরির সাথে ডাটাবেজ কে যুক্ত করে। এখানে আপনার ওয়ার্ডপ্রেস সংশ্লিষ্ট ডাটাবেজ এর নাম, ইউজারনেম, পাসওয়ার্ড, সার্ভার, টেবিল নেম ইত্যাদি থাকে। মানে এই ফাইলটি যদি কারো হাতে যায় তবে আপনার সাইট এর যেকোনো জায়গায় সে প্রবেশ এবং পরিবর্তন করতে পারবে। তাই ওয়ার্ডপ্রেস এর রুট ডিরেক্টরি থেকে আপনার wp-config.php ফাইলটি সরিয়ে অন্য কোন ফোল্ডারে নিয়ে যান। এতে ওয়ার্ডপ্রেস এর কোন সমস্যা হবে না। যেখানেই থাকুক ওয়ার্ডপ্রেস এটাকে খুজে বের করবে। অবশ্য ওয়ার্ডপ্রেস ২.৬ এর আগের ভার্সনে এই সুবিধা নেই।
৫. table prefix পরিবর্তন করে দিন
সাধরন ভাবে আপনি যখন ওয়ার্ডপ্রেস ইন্সটল করেন তখন এটার টেবিল গুলার প্রিফিক্স হয় wp_। যেটা আপনার wp-config.php ফাইলে উল্লেখ আছে। এটা যেহেতু ওপেন সোর্স তাই আপনি প্রিফিক্স এভাবে রেখে দিলে হ্যাকার ইতিমধ্যে জানে যে আপনার টেবিল গুলোর প্রিফিক্স কি। তাই এথেকে বাঁচতে হলে ওয়ার্ডপ্রেস ইন্সটল করার আগে wp-config.php থেকে আপনার টেবিল প্রিফিক্স পরিবর্তন করে অন্য কিছু দিন।
৬. সিক্রেট কী ব্যাবহার করুন
আপনি যখন wp-config.php ফাইলটি খুলবেন তখন নিচের ৪টি লাইন দেখতে পাবেন।