এখন পর্যন্ত ওয়ার্ডপ্রেসই সবচাইতে জনপ্রিয় সিএমএস, যেকোনো টাইপের ওয়েবসাইট বিল্ড করার সবচাইতে জনপ্রিয় উপায়। কিন্তু পাশাপাশি ওয়ার্ডপ্রেস হ্যাকারদের ও প্রধান টার্গেট! — দুঃখের সংবাদ হচ্ছে, প্রত্যেক বছর লাখো ওয়ার্ডপ্রেস সাইট হ্যাকিং এর কবলে পরে। ব্যাপারটা বয়াবহ, তাই না? কিন্তু ভালো সংবাদ হচ্ছে, ওয়ার্ডপ্রেস সাইট এই জন্য হ্যাক হয় না যে এর সফটওয়্যার কোরে বিশেষ দুর্বলতা রয়েছে। কোন ওয়ার্ডপ্রেস সাইট এজন্য হ্যাক হয়, বরং ওয়ার্ডপ্রেস বা সাইটের প্লাগিন গুলো আপডেটেড না রাখার জন্য বা সস্তা অনিরাপদ হোস্টিং কোম্পানি ইউজ করার জন্য!
এই আর্টিকেল থেকে জানবো, ওয়ার্ডপ্রেস সাইট কিভাবে হ্যাক হয়, যদি দুর্ভাগ্যবশত আপানার ওয়ার্ডপ্রেস সাইট হ্যাক হয়, সেক্ষেত্রে কি কি পদক্ষেপ গ্রহণ করবেন? — তো চলুন, শুরু করা যাক…
ওয়ার্ডপ্রেস সাইট কিভাবে হ্যাক হয়?
তো ওয়ার্ডপ্রেস সাইট হ্যাক হয় কিভাবে? এর হ্যাক হওয়ার পেছনের মূল কারণ গুলো কি কি? অন্তত ডাটা কি বলছে? ওয়েল, ডাটা অনুসারে বেশিরভাগ ওয়ার্ডপ্রেস সাইট ব্যাকডেটেড কোর এবং প্ল্যাগইন এর জন্য হ্যাক হয়ে থাকে। Sucuri এর ২০১৭ সালের রিপোর্ট অনুসারে, Sucuri যতো গুলো হ্যাক হওয়া ওয়ার্ডপ্রেস সাইট যাচায় করেছে এর মধ্যে ৩৯.৩% ওয়েবসাইট গুলো আউট-অফ-ডেট ওয়ার্ডপ্রেস কোর সফটওয়্যার ইউজ করছিলো। তো বুঝতেই পারছেন, ব্যাক ডেটেড কোর সফটওয়্যার ইউজ আর হ্যাক হওয়ার মধ্যে কতো মধুর সম্পর্ক!
আরো অনেক ডাটা রয়েছে, যেমন- WPScan এর ডাটাবেজ অনুসারে ~৭৪% ওয়ার্ডপ্রেস সাইটের ত্রুটি খুঁজে পাওয়া যায় কেবল কোর সফটওয়্যার এর জন্য, বিশেষ করে ওয়ার্ডপ্রেস ভার্সন 3.X পেছনের দিকে বেশি সমস্যা খুঁজে পাওয়া যায়। তবে ওয়ার্ডপ্রেস কোর আপ-টু-ডেট থাকার পরে আপনার সাইট হ্যাক হওয়ার জন্য ত্রুটি যুক্ত হতে পারে যদি আপনি ব্যাক-ডেটেড প্লাগইন বা থিম ইউজ করে থাকেন।
অনেক সময় অনেকে ক্র্যাকড থিম বা প্লাগইন ইউজ করে থাকেন, এসকল থিম বা প্লাগইন এর মধ্যে হ্যাকার ম্যালিসিয়াস কোড ইঞ্জেক্ট করে রাখে। আপনি নিজেই চিন্তা করে দেখুন কেউ আপনাকে পেইড জিনিষ কেন ফ্রিতে দেবে? এর মানে প্রোডাক্ট হচ্ছেন আপনি নিজেই। তবে লেজিটভাবে প্লাগিন বা থিম ইউজ করার পরেও সমস্যা থাকতে পারে। হতে পারে ডেভেলপার তার থিম বা প্লাগিন এর সাপোর্ট বাদ দিয়ে দিয়েছে। হতে পারে আপনার থিম বা প্লাগইন অনেক বেশি ইউজার ইউজ করে ফলে হ্যাকারের নজর বেশি। আবার এটাও হতে পারে ডেভেলপার প্লাগিন এর সিকিউরিটি প্যাচ রিলিজ করেছে কিন্তু আপনি এখনো আপডেটই করেন নি কিন্তু এর মধ্যেই হ্যাক হয়ে গেছেন!
ওয়ার্ডপ্রেস সাইট হ্যাক হওয়ার আরেকটি বড় এবং অন্যতম কারণ হচ্ছে সস্তা আর ব্যাকডেটেড হোস্টিং কোম্পানি থেকে সার্ভিস গ্রহণ করা। আমি বেশিরভাগ বাঙ্গালি কাস্টমারদের দেখেছি তারা সর্বদাই সস্তা হোস্টিং খোঁজে, ঠিক আছে সস্তা খোঁজায় কোন পাপ নেই, কিন্তু আপনি যে কোম্পানি থেকে সার্ভিস নিচ্ছেন সেখানে ওয়েবসাইট হোস্ট করার পূর্বে তাদের নুন্যতম যোগ্যতা তো চেক করতে হবে তাই না? আপনার হোস্টিং কোম্পানি লেটেস্ট PHP ভার্সন ইউজ করছে কিনা, তাদের প্যানেল, ওয়েব সার্ভার, ডাটাবেজ সার্ভার সবকিছু লেটেস্ট আপডেটেড কিনা। তাছাড়া আরো অনেক ম্যাটার রয়েছে যেগুলোর উপরে বিশেষ ধ্যান রাখা প্রয়োজনীয়।
PHP ভার্সন 5 থেকে PHP 7 এ অনেক সিকিউরিটি আপডেট আনা হয়েছে, কিন্তু কেবল ~৩৩% ওয়ার্ডপ্রেস সাইট PHP 7 বা উপরের ভার্সন ইউজ করছে। এদিকে PHP 5.6 এর সাপোর্ট ২০১৮ এর শেষের দিকে অফিশিয়ালভাবে শেষ হয়ে গেছে। এর মানে আপনার হোস্টিং কোম্পানি যদি এখনো PHP 5.6 ভার্সনে পরে থাকে তো আপনি এবার নিজেই চিন্তা করে দেখুন।
আপনার ওয়ার্ডপ্রেস সাইট হ্যাক হওয়ার পরে কি করবেন?
অনেক সিকিউর থাকা সত্বেও আপনি বা আপনার ওয়াবসাইট টি হ্যাক হয়ে যেতেই পারে। কিন্তু হ্যাক হয়ে যাওয়ার পরে আপনি কি করবেন?
প্রথম কথা হচ্ছে শান্ত থাকতে হবে। হ্যাক হয়ে গেছে এর অর্থ এই নয় আপনার সব শেষ হয়ে গেছে, তাই ভয় পাবেন না। একটু শান্ত থাকুন। নিরাশ হয়ে পরবেন না, নিজের মাঝে এনার্জি নিয়ে আসুন। কেননা নিরাশ হইলে বা ভয় পেয়ে গেলে আপনি সঠিক সিন্ধান্ত নিতে ভুল করবেন! 😛
হ্যাক হয়ে যাওয়ার পরে সর্বপ্রথম আপনি আপনার ওয়েবসাইটির ব্যাক আপ ফাইলটি ইন্সটল দিয়ে নিন। যদি আপনি ব্যাক আপের জন্য কোন প্লাগিন ব্যবহার করেন তাহলে সেই প্লাগিনের ডকুমেন্টারিতেই দেয়া থাকবে কিভাবে আপনাকে ব্যাক আপ ইন্সটল দিতে হবে। যেটা বিভিন্ন প্লাগিনের বিভিন্ন রকমের হয়ে থাকে।
তাই কিভাবে ইন্সটল দিবেন সেটা এইখানে বলা সম্ভব না। যদি আপনি ব্যাক আপ না করে থাকেন বা ব্যাক আপের জন্য কোন প্লাগিন ব্যবহার না করে থাকেন, তবে আপনার হোস্টিং প্রোভাইডারের সাথে যোগাযোগ করুন। তাদের কাছে আপনার ওয়েবসাইটের দৈনিক, সাপ্তাহিক ও মাসিক ব্যক আপ থাকে। তাদের থেকেই আপনার সাইটের ব্যাক আপ ইন্সটল করে নিন।
ব্যাক আপ ইন্সটল করার পরেই আপনার সাইটির ডাটাবেজে লগিন করুন। আপনার ডাটাবেজের নাম, প্রিফিক্স সব কিছুই চেঞ্জ করে ফেলুন। আপনার যে ইউজার নেম দেয়া আছে সেটা পরিবর্তন করুন, সাথে আপনার পাসওয়ার্ড টিও। সাথে দেখে নিন এডমিন হিসাবে অন্য কোন ইউজার আছে কিনা। অনেক সময় হ্যাকার নিজের জন্য আলাদা করে এডমিন একাউন্ট বানিয়ে রাখে, যেন পরবর্তীতে আবার হ্যাক করতে পারে। তাই বিষয় টা অবশ্যই লক্ষ রাখবেন।
সেফ ব্রাউজার চেক করুন
আপনার সাইট টি রান করার পরে এবার আপনাকে দেখতে হবে সাইট টি গুগলের কাছে সেফ কি না! কেননা অনেক সময় ফিশিং পেজ কোন এক ফোল্ডারে আপলোড করে রাখতে পারে। এই জন্য আপনি এই ইউআরএল টা কপি করে নিন, ও example.com টি কেটে আপনার ওয়েব সাইট টি দিন ও ভিজিট করুন।
http://www.google.com/safebrowsing/diagnostic?site=http://example.com
ইউজার পারমিশন চেক করুন
আপনার সাইটে যদি বেশি ইউজার বেশি হয়ে থাকে তাহলে আপনার সকল ইউজারের পারমিশন গুলো চেক করে নিন। ইউজার রোলের জন্য অনেক সময় আপনার সাইট টি হ্যাক হয়ে যেতে পারে, তাই এইদিকে একটু লক্ষ রাখবেন। আর হ্যাঁ, আপনার ইউজারদের তাদের ইউজারনেম এবং পাসওয়ার্ড চেঞ্জ করতে বলে দেবেন।
সল্ট বা সিক্রেট কি চেঞ্জ করুন
সল্ট বা সিক্রেট কি আপনার গুরুত্বপুর্ণ তথ্য গুলোকে এনক্রিপ্ট করে রাখে। যেটা আপনার wp-config.php এই ফোল্ডারে থাকে। অনেক সময় হ্যাকার নিজের বানানো সল্ট wp-config ফাইলের মাঝে বসিয়ে রাখে যা দিয়ে সে আপনার গোপন ইনফরমেশন গুলো ডিক্রিপ্ট করতে পারে।
তাই দ্রুত https://api.wordpress.org/secret-key/1.1/salt/ এই লিংকে গিয়ে একটি সল্ট বানিয়ে নিন ও সেটা wp-config.php ফাইলে গিয়ে পেস্ট করে দিন।
অপ্রয়োজনীয় প্লাগিন ও থিম ডিলিট করুন
যে প্লাগিন গুলো আপনি ব্যবহার করেন না, যতদ্রুত সম্ভব সেই গুলো ডিলিট করে দিন। সাথে দেখে নিন আপডেট দেয়া যাবে এমন কোন থিম বা প্লাগিন আছে কিনা। যদি থেকে থাকে তবে সেই গুলো দ্রুত আপডেট করে নিন।
মনে রাখবেন ওয়ার্ডপ্রেস সাইট হ্যাক হবার ৫০% কারণ হচ্ছে এই ব্যাকডেটেড প্লাগিন ও থিম গুলো। বেশির ভাগ সময় থিম ও প্লাগিন এর কারণেই সাইট হ্যাক হয়ে থাকে। আর ন্যাল্ড থিম বা প্লাগইন থেকে ১০০ গজ দূরে অবস্থান করায় ভালো!
স্ক্যান করুন
আপনার সাইটে কোন মালওয়্যার আছে কি না সেটা জানার জন্য আপনার সাইটি সম্পুর্ন স্ক্যান করুন। আপনি যদি আগে থেকে কোন সিকিউরিটি প্লাগিন ব্যবহার করে থাকেন তাহলে সেটা দিয়েই আপনি স্ক্যান করতে পারেন। যদি আপনি কোন সিকিউরিটি প্লাগিন ব্যবহার না করেন তবে একটা সিকিউরিটি প্লাগিন ইন্সটল করে নিন। আমার রিকোমেন্ড আপনি ওয়ার্ডফেন্স প্লাগিন টি ব্যবহার করতে পারেন। এছাড়া এই ওয়েব সাইট গুলো ব্যবহার করে আপনি স্ক্যান করতে পারেন!
হোস্টিং ব্যবহারে সচেতন হোন
আপনার সাইটি যে হোস্টিং কম্পানির কাছে থেকে নেয়া তাদের সম্পর্কে একটু ভালভাবে খোঁজ নিয়ে দেখুন। অনেক সময় সার্ভারের দূর্বলতার জন্য সাইট হ্যাক হয়ে যেতে পারে। যেমন তেমন কম্পানির কাছে থেকে হোস্টিং কিনবেন না। বিশেষ করে শেয়ার্ড হোস্টিং যারা ব্যবহার করেন তাদের জন্য এই দিক টা লক্ষ রাখা একটু বেশি গুরুত্বপূর্ণ।
শেয়ার্ড হোস্টিং এর একটা ওয়েব সাইট হ্যাক হয়ে গেলে অনেক সময় সেই সার্ভারের বাকি সাইট গুলো হ্যাক হয়ে যায়। সব থেকে ভাল হয় শেয়ার্ড হোস্টিং ব্যবহার না করলে। যদিও সবার পক্ষে ভিপিএস বা ডেটিকেড সার্ভার ব্যবহার করা সম্ভব না, তাই ভাল কোম্পানি থেকে হোস্টিং কেনাটাই মনে হয় ভাল।
এই আর্টিকেলটি ভালো লেগেছে? তাহলে আমাদের এক্সেলনোড ম্যানেজড ওয়ার্ডপ্রেস হোস্টিং প্যাকের ও আপনি প্রেমে পরতে বাধ্য! আমাদের ম্যানেজড ওয়ার্ডপ্রেস হোস্টিং সাধারণ হোস্টিং থেকে ১০ গুন বেশি ফাস্ট! সাথে আমাদের ২৪/৭ সাপোর্ট তো থাকছেই! সেরা বাংলা ব্লগে প্রকাশিত আমাদের সম্পূর্ণ রিভিউটি এখানে পড়তে পারেন এবং এখান থেকে আমাদের হোস্টিং প্ল্যান চেক করতে পারেন!