এই পৃষ্ঠাটি Cloud Translation API অনুবাদ করেছে।

স্প্যামারদের দ্বারা সাইট হ্যাক হওয়ার সেরা উপায়

আপনার সাইটটি কীভাবে হ্যাক হয়েছে তা বোঝা, এটিকে আক্রমণ থেকে রক্ষা করার একটি গুরুত্বপূর্ণ অংশ। এই পৃষ্ঠায় এমন কিছু নিরাপত্তা দুর্বলতা নিয়ে আলোচনা করা হয়েছে, যার ফলে আপনার সাইট হ্যাক হতে পারে।

নিম্নলিখিত ভিডিওটিতে বিভিন্ন ধরণের হ্যাক এবং হ্যাকাররা কীভাবে আপনার সাইটের নিয়ন্ত্রণ নিতে পারে, সেই উপায়গুলো তুলে ধরা হয়েছে।

ফাঁস হওয়া পাসওয়ার্ড

আক্রমণকারীরা সঠিক পাসওয়ার্ডটি অনুমান করতে না পারা পর্যন্ত বিভিন্ন পাসওয়ার্ড চেষ্টা করে পাসওয়ার্ড অনুমানের কৌশল ব্যবহার করতে পারে। পাসওয়ার্ড অনুমানের আক্রমণ বিভিন্ন পদ্ধতির মাধ্যমে চালানো যেতে পারে, যেমন—সাধারণ পাসওয়ার্ড চেষ্টা করা অথবা পাসওয়ার্ডটি খুঁজে না পাওয়া পর্যন্ত অক্ষর ও সংখ্যার এলোমেলো সংমিশ্রণ স্ক্যান করা। এটি প্রতিরোধ করতে, একটি শক্তিশালী ও সহজে অনুমান করা যায় না এমন পাসওয়ার্ড তৈরি করুন। শক্তিশালী পাসওয়ার্ড তৈরির জন্য পরামর্শ আপনি গুগলের হেল্প সেন্টার আর্টিকেলে খুঁজে পেতে পারেন।

দুটি গুরুত্বপূর্ণ বিষয় মনে রাখতে হবে। প্রথমত, বিভিন্ন সার্ভিসে একই পাসওয়ার্ড ব্যবহার করা থেকে বিরত থাকা জরুরি। আক্রমণকারীরা একবার কোনো কার্যকর ইউজারনেম ও পাসওয়ার্ডের সমন্বয় শনাক্ত করতে পারলে, তারা যত বেশি সম্ভব সার্ভিসে সেই ইউজারনেম ও পাসওয়ার্ডের সমন্বয়টি ব্যবহার করার চেষ্টা করবে। সুতরাং, বিভিন্ন সার্ভিসে ভিন্ন ভিন্ন পাসওয়ার্ড ব্যবহার করলে অন্যান্য সার্ভিসের অ্যাকাউন্টগুলো হ্যাক হওয়া থেকে রক্ষা করা যায়।

দ্বিতীয়ত, যদি বিকল্পটি উপলব্ধ থাকে, তাহলে গুগল টু-স্টেপ ভেরিফিকেশনের মতো টু-ফ্যাক্টর অথেনটিকেশন (2FA) ব্যবহার করুন। 2FA লগইন ক্রেডেনশিয়ালের একটি দ্বিতীয় স্তর যোগ করে, যা সাধারণত একটি টেক্সট মেসেজ কোড বা অন্য কোনো ডাইনামিকভাবে তৈরি পিনের মাধ্যমে কাজ করে। এটি শুধুমাত্র একটি চুরি করা পাসওয়ার্ড দিয়ে আক্রমণকারীর আপনার অ্যাকাউন্টে প্রবেশ করার ক্ষমতা কমিয়ে দেয়। কিছু CMS প্রোভাইডারের 2FA কনফিগার করার বিষয়ে নির্দেশিকা থাকে: Joomla!, WordPress , বা Drupal- এর ডকুমেন্টেশন দেখুন।

নিরাপত্তা আপডেট বাদ পড়েছে

সফটওয়্যারের পুরোনো সংস্করণগুলো উচ্চ-ঝুঁকিপূর্ণ নিরাপত্তা দুর্বলতা দ্বারা প্রভাবিত হতে পারে, যা আক্রমণকারীদের একটি সম্পূর্ণ সাইটকে ক্ষতিগ্রস্ত করার সুযোগ করে দেয়। আক্রমণকারীরা সক্রিয়ভাবে দুর্বলতাযুক্ত পুরোনো সফটওয়্যার খুঁজে বেড়ায়। আপনার সাইটের কোনো দুর্বলতাকে উপেক্ষা করলে, আপনার সাইটটি আক্রান্ত হওয়ার সম্ভাবনা বেড়ে যায়।

যেসব সফটওয়্যার আপডেট রাখতে চাইবেন, তার কয়েকটি উদাহরণ হলো:

ওয়েব সার্ভার সফটওয়্যার, যদি আপনি নিজের সার্ভার পরিচালনা করেন।
আপনার কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (সিএমএস)। উদাহরণস্বরূপ: ওয়ার্ডপ্রেস , ড্রুপাল এবং জুমলা! -এর নিরাপত্তা রিলিজ।
আপনার সাইটে ব্যবহৃত সমস্ত প্লাগইন এবং অ্যাড-অন।

অনিরাপদ থিম এবং প্লাগইন

একটি সিএমএস-এর প্লাগইন এবং থিম মূল্যবান ও উন্নত বৈশিষ্ট্য যোগ করে। তবে, পুরোনো বা প্যাচবিহীন থিম এবং প্লাগইনগুলো ওয়েবসাইটে দুর্বলতার একটি প্রধান উৎস। আপনি যদি আপনার সাইটে থিম বা প্লাগইন ব্যবহার করেন, তবে সেগুলোকে হালনাগাদ রাখতে ভুলবেন না। যে থিম বা প্লাগইনগুলো তাদের ডেভেলপারদের দ্বারা আর রক্ষণাবেক্ষণ করা হয় না, সেগুলো সরিয়ে ফেলুন।

অবিশ্বস্ত সাইট থেকে পাওয়া ফ্রি প্লাগইন বা থিমের ব্যাপারে অত্যন্ত সতর্ক থাকুন। পেইড প্লাগইন বা থিমের ফ্রি ভার্সনে ক্ষতিকারক কোড যোগ করা আক্রমণকারীদের একটি সাধারণ কৌশল। কোনো প্লাগইন সরানোর সময়, শুধু নিষ্ক্রিয় না করে আপনার সার্ভার থেকে এর সমস্ত ফাইল মুছে ফেলা নিশ্চিত করুন।

সামাজিক প্রকৌশল

সোশ্যাল ইঞ্জিনিয়ারিং হলো অত্যাধুনিক নিরাপত্তা পরিকাঠামোকে পাশ কাটানোর জন্য মানুষের স্বভাবকে কাজে লাগানো। এই ধরনের আক্রমণে অনুমোদিত ব্যবহারকারীদেরকে ধোঁকা দিয়ে পাসওয়ার্ডের মতো গোপনীয় তথ্য হাতিয়ে নেওয়া হয়। সোশ্যাল ইঞ্জিনিয়ারিংয়ের একটি সাধারণ রূপ হলো ফিশিং। ফিশিংয়ের চেষ্টার সময়, একজন আক্রমণকারী কোনো বৈধ প্রতিষ্ঠানের ছদ্মবেশে ইমেল পাঠিয়ে গোপনীয় তথ্য চেয়ে থাকে।

মনে রাখবেন, অনুরোধকারীর পরিচয় সম্পর্কে নিশ্চিত না হওয়া পর্যন্ত কখনোই কোনো সংবেদনশীল তথ্য (যেমন, পাসওয়ার্ড, ক্রেডিট কার্ড নম্বর, ব্যাংকিং তথ্য, বা এমনকি আপনার জন্ম তারিখ) দেবেন না। যদি আপনার সাইটটি একাধিক ব্যক্তি দ্বারা পরিচালিত হয়, তবে সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণের বিরুদ্ধে নিরাপত্তা সচেতনতা বাড়াতে প্রশিক্ষণের ব্যবস্থা করার কথা বিবেচনা করুন। ফিশিং থেকে সুরক্ষার প্রাথমিক পরামর্শের জন্য, জিমেইল হেল্প সেন্টার দেখুন।

নিরাপত্তা নীতির ত্রুটি

আপনি যদি একজন সিস্টেম অ্যাডমিনিস্ট্রেটর হন বা নিজের সাইট চালান, তবে মনে রাখবেন যে দুর্বল নিরাপত্তা নীতির কারণে আক্রমণকারীরা আপনার সাইট হ্যাক করতে পারে। এর কিছু উদাহরণ হলো:

ব্যবহারকারীদের দুর্বল পাসওয়ার্ড তৈরি করার সুযোগ দেওয়া।
যেসব ব্যবহারকারীর প্রয়োজন নেই, তাদেরকে প্রশাসনিক অ্যাক্সেস দেওয়া।
আপনার সাইটে HTTPS সক্রিয় না করে ব্যবহারকারীদের HTTP ব্যবহার করে সাইন ইন করার অনুমতি দেওয়া হচ্ছে।
প্রমাণীকরণবিহীন ব্যবহারকারীদের ফাইল আপলোড করার অনুমতি দেওয়া, অথবা ফাইলের ধরন যাচাই না করা।

আপনার সাইট সুরক্ষিত রাখার জন্য কয়েকটি প্রাথমিক পরামর্শ:

অপ্রয়োজনীয় পরিষেবাগুলো নিষ্ক্রিয় করে আপনার ওয়েবসাইটটি যেন উচ্চ নিরাপত্তা ব্যবস্থায় সজ্জিত থাকে, তা নিশ্চিত করুন।
অ্যাক্সেস নিয়ন্ত্রণ এবং ব্যবহারকারীর বিশেষাধিকার পরীক্ষা করুন।
যেসব পেজে সংবেদনশীল তথ্য থাকে, যেমন লগইন পেজ, সেগুলোতে এনক্রিপশন ব্যবহার করুন।
কোনো সন্দেহজনক কার্যকলাপের জন্য আপনার লগ নিয়মিতভাবে পরীক্ষা করুন।

ডেটা ফাঁস

গোপনীয় ডেটা আপলোড করার সময় কোনো ভুল কনফিগারেশনের কারণে সেই গোপনীয় তথ্য সর্বজনীনভাবে উপলব্ধ হয়ে গেলে ডেটা ফাঁস হতে পারে। উদাহরণস্বরূপ, একটি ওয়েব অ্যাপ্লিকেশনের ত্রুটি পরিচালনা এবং মেসেজিং ব্যবস্থা থেকে কোনো অনিয়ন্ত্রিত ত্রুটি বার্তার মাধ্যমে কনফিগারেশন সংক্রান্ত তথ্য ফাঁস হয়ে যেতে পারে। 'ডর্কিং' নামে পরিচিত একটি পদ্ধতি ব্যবহার করে, ক্ষতিকারক ব্যক্তিরা এই ডেটা খুঁজে বের করার জন্য সার্চ ইঞ্জিনের কার্যকারিতা কাজে লাগাতে পারে।

নিয়মিত নিরীক্ষা চালিয়ে এবং নিরাপত্তা নীতির মাধ্যমে বিশ্বস্ত সত্তার কাছে গোপনীয় তথ্য সীমাবদ্ধ রেখে নিশ্চিত করুন যে আপনার সাইট অননুমোদিত ব্যবহারকারীদের কাছে সংবেদনশীল তথ্য প্রকাশ করছে না। যদি আপনি আপনার সাইটে এমন কোনো সংবেদনশীল তথ্য প্রদর্শিত হতে দেখেন যা গুগল সার্চ ফলাফল থেকে জরুরিভাবে অপসারণ করা প্রয়োজন, তাহলে আপনি গুগল সার্চ থেকে স্বতন্ত্র ইউআরএলগুলো সরানোর জন্য ইউআরএল রিমুভাল টুলটি ব্যবহার করতে পারেন।