ভবিষ্যৎ আক্রমণ থেকে আপনার সাইটকে সুরক্ষিত রাখতে, আপনার সাইটটি কীভাবে হ্যাক হয়েছিল তা বোঝা জরুরি। এই নথিতে এমন কিছু নিরাপত্তা দুর্বলতা আলোচনা করা হয়েছে, যার ফলে আপনার সাইট হ্যাক হতে পারে।
নিম্নলিখিত ভিডিওটিতে বিভিন্ন ধরণের হ্যাক এবং হ্যাকাররা কীভাবে আপনার সাইটের নিয়ন্ত্রণ নেয়, তা তুলে ধরা হয়েছে।
ফাঁস হওয়া পাসওয়ার্ড
আক্রমণকারীরা সঠিক পাসওয়ার্ড অনুমান না করা পর্যন্ত বিভিন্ন পাসওয়ার্ড অনুমান করে আপনার পাসওয়ার্ডটি হাতিয়ে নিতে পারে। পাসওয়ার্ড অনুমানের এই আক্রমণে বিভিন্ন পদ্ধতি ব্যবহার করা হয়, যেমন—সাধারণ পাসওয়ার্ডগুলো চেষ্টা করা অথবা অক্ষর ও সংখ্যার এলোমেলো সংমিশ্রণ স্ক্যান করা। এটি প্রতিরোধ করতে, একটি শক্তিশালী ও সহজে অনুমান করা যায় না এমন পাসওয়ার্ড তৈরি করুন। শক্তিশালী পাসওয়ার্ড তৈরির জন্য বিভিন্ন পরামর্শ আপনি গুগলের হেল্প সেন্টার আর্টিকেলে খুঁজে পেতে পারেন।
দুটি বিষয় মনে রাখবেন।
- বিভিন্ন সার্ভিসে একই পাসওয়ার্ড ব্যবহার করা থেকে বিরত থাকুন। আক্রমণকারীরা একবার একটি কার্যকর ইউজারনেম ও পাসওয়ার্ডের সংমিশ্রণ শনাক্ত করতে পারলে, তারা যত বেশি সম্ভব সার্ভিসে সেই ক্রেডেনশিয়ালগুলো ব্যবহার করে চেষ্টা করে। অন্যান্য অ্যাকাউন্ট সুরক্ষিত রাখতে একটি অনন্য পাসওয়ার্ড ব্যবহার করুন।
- টু-ফ্যাক্টর অথেনটিকেশন (2FA) ব্যবহার করুন, যেমন গুগল টু-স্টেপ ভেরিফিকেশন । 2FA আপনার অ্যাকাউন্টে আক্রমণকারীদের প্রবেশ আটকাতে একটি টেক্সট মেসেজ কোড বা ডাইনামিকভাবে তৈরি হওয়া পিনের মাধ্যমে ক্রেডেনশিয়ালের একটি দ্বিতীয় স্তর যোগ করে। কিছু সিএমএস প্রোভাইডারের কাছে 2FA কনফিগার করার জন্য নির্দেশিকা রয়েছে:
নিরাপত্তা আপডেট বাদ পড়েছে
সফটওয়্যারের পুরোনো সংস্করণগুলোতে উচ্চ-ঝুঁকিপূর্ণ নিরাপত্তা দুর্বলতা থাকতে পারে, যা আক্রমণকারীদের একটি সম্পূর্ণ সাইটকে ক্ষতিগ্রস্ত করার সুযোগ করে দেয়। আক্রমণকারীরা সক্রিয়ভাবে দুর্বলতাযুক্ত পুরোনো সফটওয়্যার খুঁজে বেড়ায়। দুর্বলতা উপেক্ষা করলে আক্রমণের ঝুঁকি বেড়ে যায়।
উদাহরণস্বরূপ:
- ওয়েব সার্ভার সফটওয়্যার (যদি আপনি নিজের সার্ভার হোস্ট করেন)।
- আপনার কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (সিএমএস)। উদাহরণস্বরূপ, ওয়ার্ডপ্রেস , ড্রুপাল এবং জুমলা! -এর নিরাপত্তা রিলিজ।
- আপনার সাইটে ব্যবহৃত সমস্ত প্লাগইন এবং অ্যাড-অন।
অনিরাপদ থিম এবং প্লাগইন
সিএমএস প্লাগইন এবং থিম মূল্যবান ফিচার যোগ করে। তবে, পুরোনো বা প্যাচবিহীন থিম এবং প্লাগইনগুলো দুর্বলতার একটি প্রধান উৎস। থিম এবং প্লাগইন হালনাগাদ রাখুন। যে থিম বা প্লাগইনগুলোর আর রক্ষণাবেক্ষণ করা হয় না, সেগুলো সরিয়ে ফেলুন।
অবিশ্বস্ত সাইট থেকে পাওয়া ফ্রি প্লাগইন বা থিমের ব্যাপারে অত্যন্ত সতর্ক থাকুন। পেইড প্লাগইন বা থিমের ফ্রি ভার্সনে ক্ষতিকারক কোড যোগ করা আক্রমণকারীদের একটি সাধারণ কৌশল। কোনো প্লাগইন সরানোর সময়, শুধু নিষ্ক্রিয় না করে আপনার সার্ভার থেকে এর সমস্ত ফাইল মুছে ফেলা নিশ্চিত করুন।
সামাজিক প্রকৌশল
সোশ্যাল ইঞ্জিনিয়ারিং নিরাপত্তা ব্যবস্থা এড়িয়ে যাওয়ার জন্য মানুষের স্বভাবকে কাজে লাগায়। এই ধরনের আক্রমণে ব্যবহারকারীদের ধোঁকা দিয়ে পাসওয়ার্ডের মতো গোপনীয় তথ্য হাতিয়ে নেওয়া হয়। সোশ্যাল ইঞ্জিনিয়ারিংয়ের একটি সাধারণ রূপ হলো ফিশিং। ফিশিংয়ের ক্ষেত্রে, আক্রমণকারী কোনো বৈধ প্রতিষ্ঠানের ছদ্মবেশে গোপনীয় তথ্য চেয়ে ইমেল পাঠায়।
অনুরোধকারীর পরিচয় সম্পর্কে নিশ্চিত না হওয়া পর্যন্ত সংবেদনশীল তথ্য (যেমন, পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর, ব্যাংকিং তথ্য, বা এমনকি আপনার জন্ম তারিখ) কখনও শেয়ার করবেন না। যদি একাধিক ব্যক্তি আপনার সাইট পরিচালনা করেন, তবে সোশ্যাল ইঞ্জিনিয়ারিং সম্পর্কে সচেতনতা বাড়াতে প্রশিক্ষণের ব্যবস্থা করুন। ফিশিং থেকে সুরক্ষার প্রাথমিক পরামর্শের জন্য জিমেইল হেল্প সেন্টার দেখুন।
নিরাপত্তা নীতির ত্রুটি
আপনি যদি একজন সিস্টেম অ্যাডমিনিস্ট্রেটর হন বা নিজের সাইট হোস্ট করেন, তবে দুর্বল নিরাপত্তা নীতির কারণে আক্রমণকারীরা আপনার সাইট হ্যাক করতে পারে। উদাহরণস্বরূপ:
- ব্যবহারকারীদের দুর্বল পাসওয়ার্ড তৈরি করার সুযোগ দেওয়া।
- যেসব ব্যবহারকারীর প্রশাসনিক অ্যাক্সেসের প্রয়োজন নেই, তাদেরকে তা প্রদান করা।
- HTTPS সক্রিয় না করে ব্যবহারকারীদের HTTP ব্যবহার করে সাইন ইন করার অনুমতি দেওয়া হচ্ছে।
- টাইপ চেকিং ছাড়াই প্রমাণীকরণবিহীন ব্যবহারকারীদের ফাইল আপলোড করার অনুমতি দেওয়া হচ্ছে।
আপনার সাইট সুরক্ষিত রাখার জন্য এখানে কিছু পরামর্শ দেওয়া হলো:
- অপ্রয়োজনীয় পরিষেবাগুলো নিষ্ক্রিয় করে আপনার ওয়েবসাইটকে উচ্চ নিরাপত্তা ব্যবস্থায় সজ্জিত করুন।
- অ্যাক্সেস নিয়ন্ত্রণ এবং ব্যবহারকারীর বিশেষাধিকার পরীক্ষা করুন।
- যেসব পেজে সংবেদনশীল তথ্য থাকে, যেমন লগইন পেজ, সেগুলোর জন্য এনক্রিপশন ব্যবহার করুন।
- সন্দেহজনক কার্যকলাপের জন্য নিয়মিত আপনার লগ পরীক্ষা করুন।
ডেটা ফাঁস
গোপনীয় তথ্য আপলোড করা হলে এবং ভুলভাবে কনফিগার করার ফলে তা সর্বসাধারণের জন্য উন্মুক্ত হয়ে গেলে ডেটা ফাঁসের ঘটনা ঘটে। উদাহরণস্বরূপ, ওয়েব অ্যাপ্লিকেশনের ত্রুটির বার্তা থেকে কনফিগারেশন সংক্রান্ত তথ্য ফাঁস হতে পারে। 'ডর্কিং' নামে পরিচিত একটি পদ্ধতি ব্যবহার করে, ক্ষতিকারক ব্যক্তিরা এই ডেটা খুঁজে বের করার জন্য সার্চ ইঞ্জিনের কার্যকারিতা কাজে লাগাতে পারে।
নিয়মিত নিরীক্ষা চালিয়ে এবং গোপনীয় তথ্য সীমাবদ্ধ করে আপনার সাইট যাতে সংবেদনশীল তথ্য প্রকাশ না করে, তা নিশ্চিত করুন। যদি আপনার সাইটে এমন কোনো সংবেদনশীল তথ্য খুঁজে পান যা গুগল সার্চ থেকে জরুরিভাবে অপসারণ করা প্রয়োজন, তাহলে ইউআরএল রিমুভাল টুলটি ব্যবহার করুন।