আপনার সাইট কিভাবে আপস করা হয়েছে তা বোঝা আপনার সাইটকে আক্রমণ থেকে রক্ষা করার একটি গুরুত্বপূর্ণ অংশ। এই পৃষ্ঠাটি কিছু নিরাপত্তা দুর্বলতা কভার করে যার ফলে আপনার সাইটের সাথে আপস করা হতে পারে।
নিম্নলিখিত ভিডিওতে বিভিন্ন ধরনের হ্যাক এবং হ্যাকাররা আপনার সাইটের নিয়ন্ত্রণ কীভাবে নিতে পারে তার রূপরেখা দেয়।
আপস করা পাসওয়ার্ড
আক্রমণকারীরা বিভিন্ন পাসওয়ার্ড চেষ্টা করে পাসওয়ার্ড অনুমান করার কৌশল ব্যবহার করতে পারে যতক্ষণ না তারা সঠিকটি অনুমান করে। পাসওয়ার্ড অনুমান আক্রমণ বিভিন্ন পদ্ধতির মাধ্যমে পরিচালিত হতে পারে যেমন সাধারণ পাসওয়ার্ড চেষ্টা করা বা পাসওয়ার্ডটি আবিষ্কৃত না হওয়া পর্যন্ত অক্ষর এবং সংখ্যার এলোমেলো সমন্বয়ের মাধ্যমে স্ক্যান করা। এটি প্রতিরোধ করতে, একটি শক্তিশালী পাসওয়ার্ড তৈরি করুন যা অনুমান করা কঠিন। আপনি Google এর সহায়তা কেন্দ্র নিবন্ধে একটি শক্তিশালী পাসওয়ার্ড তৈরি করার জন্য টিপস পেতে পারেন।
মনে রাখতে দুটি গুরুত্বপূর্ণ পয়েন্ট আছে। প্রথমত, সমস্ত পরিষেবা জুড়ে পাসওয়ার্ড পুনরায় ব্যবহার করা এড়ানো গুরুত্বপূর্ণ৷ একবার আক্রমণকারীরা একটি কার্যকরী ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংমিশ্রণ সনাক্ত করতে সক্ষম হলে, তারা যতটা সম্ভব পরিষেবাতে ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংমিশ্রণ ব্যবহার করার চেষ্টা করবে। তাই, বিভিন্ন পরিষেবায় আলাদা আলাদা পাসওয়ার্ড ব্যবহার করলে অন্যান্য পরিষেবার অন্য অ্যাকাউন্টগুলিকে আপস করা থেকে আটকাতে পারে৷
দ্বিতীয়ত, বিকল্পটি উপলব্ধ থাকলে Google 2-পদক্ষেপ যাচাইকরণের মতো দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) এর সুবিধা নিন। 2FA লগইন শংসাপত্রের একটি দ্বিতীয় স্তরের অনুমতি দেয়, সাধারণত একটি টেক্সট বার্তা কোড বা অন্যান্য গতিশীলভাবে জেনারেট করা পিনের মাধ্যমে, যা শুধুমাত্র একটি চুরি করা পাসওয়ার্ড দিয়ে আপনার অ্যাকাউন্টে অ্যাক্সেস করার আক্রমণকারীর ক্ষমতা হ্রাস করে। কিছু CMS প্রদানকারীর 2FA কনফিগার করার জন্য নির্দেশিকা রয়েছে: জুমলার জন্য ডকুমেন্টেশন দেখুন! , ওয়ার্ডপ্রেস , বা ড্রুপাল ।
মিস নিরাপত্তা আপডেট
সফ্টওয়্যারের পূর্ববর্তী সংস্করণগুলি উচ্চ-ঝুঁকির নিরাপত্তা দুর্বলতা দ্বারা প্রভাবিত হতে পারে যা আক্রমণকারীদের একটি সম্পূর্ণ সাইটকে আপস করতে সক্ষম করে। আক্রমণকারীরা সক্রিয়ভাবে দুর্বলতা সহ পুরানো সফ্টওয়্যার সন্ধান করে৷ আপনার সাইটে একটি দুর্বলতা উপেক্ষা করা আপনার সাইটে আক্রমণের সম্ভাবনা বাড়িয়ে দেয়।
আপনি আপডেট রাখতে চান এমন সফ্টওয়্যারের কিছু উদাহরণের মধ্যে রয়েছে:
- ওয়েব সার্ভার সফ্টওয়্যার, যদি আপনি নিজের সার্ভার চালান।
- আপনার কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (CMS)। উদাহরণ: Wordpress , Drupal , এবং Joomla থেকে নিরাপত্তা রিলিজ! .
- সমস্ত প্লাগইন এবং অ্যাড-অনগুলি আপনি আপনার সাইটে ব্যবহার করেন৷
অনিরাপদ থিম এবং প্লাগইন
CMS-এ প্লাগইন এবং থিম মূল্যবান, উন্নত বৈশিষ্ট্য যোগ করে। যাইহোক, পুরানো বা আনপ্যাচড থিম এবং প্লাগইনগুলি ওয়েবসাইটগুলির দুর্বলতার একটি প্রধান উত্স৷ আপনি যদি আপনার সাইটে থিম বা প্লাগইন ব্যবহার করেন, সেগুলি আপ টু ডেট রাখতে ভুলবেন না। থিম বা প্লাগইনগুলি সরান যা তাদের বিকাশকারীরা আর রক্ষণাবেক্ষণ করে না।
অবিশ্বস্ত সাইট থেকে বিনামূল্যের প্লাগইন বা থিম সম্পর্কে অত্যন্ত সতর্ক থাকুন। পেইড প্লাগইন বা থিমের ফ্রি সংস্করণে দূষিত কোড যোগ করা আক্রমণকারীদের জন্য এটি একটি সাধারণ কৌশল। একটি প্লাগইন অপসারণ করার সময়, এটি নিষ্ক্রিয় করার পরিবর্তে আপনার সার্ভার থেকে এর সমস্ত ফাইল মুছে ফেলার বিষয়টি নিশ্চিত করুন৷
সামাজিক প্রকৌশলী
সোশ্যাল ইঞ্জিনিয়ারিং হল অত্যাধুনিক নিরাপত্তা পরিকাঠামোকে বাইপাস করার জন্য মানুষের প্রকৃতিকে শোষণ করা। এই ধরনের আক্রমণ অনুমোদিত ব্যবহারকারীদের গোপনীয় তথ্য যেমন পাসওয়ার্ড প্রদানের জন্য প্রতারণা করে। সামাজিক প্রকৌশলের একটি সাধারণ রূপ হল ফিশিং। একটি ফিশিং প্রচেষ্টা চলাকালীন, একজন আক্রমণকারী একটি বৈধ সংস্থার ভান করে একটি ইমেল পাঠাবে এবং গোপন তথ্যের অনুরোধ করবে৷
আপনি অনুরোধকারীর পরিচয় সম্পর্কে নিশ্চিত না হওয়া পর্যন্ত কোনো সংবেদনশীল তথ্য (উদাহরণস্বরূপ, পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর, ব্যাঙ্কিং তথ্য, এমনকি আপনার জন্ম তারিখ) দিতে ভুলবেন না। যদি আপনার সাইটটি একাধিক ব্যক্তি দ্বারা পরিচালিত হয়, তাহলে সামাজিক প্রকৌশল আক্রমণের বিরুদ্ধে নিরাপত্তা সচেতনতা বাড়াতে প্রশিক্ষণ দেওয়ার কথা বিবেচনা করুন। মৌলিক ফিশিং সুরক্ষা টিপসের জন্য, Gmail সহায়তা কেন্দ্র দেখুন৷
নিরাপত্তা নীতি গর্ত
আপনি যদি একজন সিস্টেম অ্যাডমিনিস্ট্রেটর হন বা আপনার নিজের সাইট চালান, মনে রাখবেন দুর্বল নিরাপত্তা নীতি আক্রমণকারীদের আপনার সাইটের সাথে আপোস করার অনুমতি দিতে পারে৷ কিছু উদাহরণ অন্তর্ভুক্ত:
- ব্যবহারকারীদের দুর্বল পাসওয়ার্ড তৈরি করার অনুমতি দেয়।
- এটির প্রয়োজন নেই এমন ব্যবহারকারীদের প্রশাসনিক অ্যাক্সেস দেওয়া।
- আপনার সাইটে HTTPS সক্ষম না করা এবং ব্যবহারকারীদের HTTP ব্যবহার করে সাইন ইন করার অনুমতি দেওয়া।
- অপ্রমাণিত ব্যবহারকারীদের থেকে ফাইল আপলোড করার অনুমতি দেওয়া, বা কোন প্রকার পরীক্ষা ছাড়াই।
আপনার সাইট রক্ষা করার জন্য কয়েকটি প্রাথমিক টিপস:
- অপ্রয়োজনীয় পরিষেবাগুলি অক্ষম করে আপনার ওয়েবসাইটটি উচ্চ সুরক্ষা নিয়ন্ত্রণের সাথে কনফিগার করা হয়েছে তা নিশ্চিত করুন৷
- পরীক্ষা অ্যাক্সেস নিয়ন্ত্রণ এবং ব্যবহারকারীর বিশেষাধিকার.
- লগইন পৃষ্ঠাগুলির মতো সংবেদনশীল তথ্য পরিচালনা করে এমন পৃষ্ঠাগুলির জন্য এনক্রিপশন ব্যবহার করুন৷
- কোনো সন্দেহজনক কার্যকলাপের জন্য নিয়মিত আপনার লগ চেক করুন.
তথ্য ফাঁস
যখন গোপনীয় ডেটা আপলোড করা হয় এবং একটি ভুল কনফিগারেশন সেই গোপন তথ্যকে সর্বজনীনভাবে উপলব্ধ করে তখন ডেটা ফাঁস ঘটতে পারে। উদাহরণস্বরূপ, একটি ওয়েব অ্যাপ্লিকেশনে ত্রুটি পরিচালনা এবং মেসেজিং একটি আন-হ্যান্ডেল করা ত্রুটি বার্তায় সম্ভাব্য কনফিগারেশন তথ্য ফাঁস করতে পারে। "ডোরকিং" নামে পরিচিত একটি পদ্ধতি ব্যবহার করে, দূষিত অভিনেতারা এই ডেটা খুঁজে পেতে সার্চ ইঞ্জিন কার্যকারিতা ব্যবহার করতে পারে৷
নিশ্চিত করুন যে আপনার সাইট অননুমোদিত ব্যবহারকারীদের কাছে সংবেদনশীল তথ্য প্রকাশ না করে পর্যায়ক্রমিক চেক পরিচালনা করে এবং সুরক্ষা নীতির মাধ্যমে বিশ্বস্ত সংস্থার কাছে গোপনীয় ডেটা সীমাবদ্ধ করে। আপনি যদি আপনার সাইটে প্রদর্শিত এমন কোনো সংবেদনশীল তথ্য খুঁজে পান যা Google সার্চের ফলাফল থেকে অবিলম্বে সরানো প্রয়োজন, তাহলে আপনি Google সার্চ থেকে পৃথক URL গুলি সরাতে URL অপসারণ টুল ব্যবহার করতে পারেন।