আমাদের দেশের ওয়েবামাস্টাররা ভারতীয় হ্যাকারদের আক্রমণ থেকে নিজের ওয়েবসাইট কে বাঁচতে যা করবেন:
To Our Webmasters :
প্রতিরোধ :
সিস্টেম ও নেটওয়ার্ক সিকুরিটি:
১. প্রথমেই ওয়েব সাইটটি যে ওয়েব সার্ভারে আছে, তাতে কোনো ভালনারেবিলিটি আছে কিনা তা পরীক্ষা করতে হবে। কোনো ত্রুটি পাওয়া গেলে তা ফিক্স করতে হবে । যত দ্রুত পারা যায় লেটেস্ট ওয়েব সার্ভারে আপগ্রেড করা। সম্ভব হলে আপারেটিং সিস্টেমেরও লেটেস্ট ভার্সনে আপগ্রেড করা ।লিনাক্স সার্ভারে হলে এর Kernel নিয়মত আপগ্রেড করতে হবে। এবং সিস্টেমের জন্য কোনো সিকিউরিটি প্যাচ থাকলে তা ইন্সটল করতে হবে।
২. সার্ভারের ফায়ারওয়ালটি চেক করা ও শক্তিশালী করা । নেটওয়ার্ক এবং আ্যপ্লিকেশন ২ লেভেল এই ফায়ারওয়াল ব্যাবহার করা। সার্ভারে Ddos Protection ব্যাবহার করা।
৩. সার্ভারের অব্যবহৃত পোর্টগুলো এবং সারভিস গুলো বন্ধ করে রাখা । এবং নিয়মত সারভিস এর সফ্টয়ার আপগ্রেড করা। এবং ভালো IDS/IPS আর Webproxy সেটাপ দেয়া।
ওয়েব অ্যাপ্লিকেশন লেভেল সিকুরিটি :
৪. যে ওয়েব সাইটটি বা ওয়েব অ্যাপ্লিকেশনটি আছে তার ভালনারেবিলিটি চেক করা । বিশেষ করে, SQL Injection, Cross Site Scripting, Cross Site Request Forgery, File Inclusion, Remote code Executation, Web Backdore, Remote File upload এই ধরনের ভালনারেবিলিটি চেক করা ও ফিক্স করা । যারা এই সব বিষয়ে একদম নতুন তারা ভালো Vulnerability Scanner এর হেল্প নিতে পারেন।
৫. ওয়েব সাইটটি যদি কোনো ফ্রেমওয়ার্কের ওপর ভিত্তি করে তৈরি করা হয়। (যেমন: WordPress, Joomla, PunBB, MyBB) তবে তা দ্রুত লেটেস্ট ভার্সনে আপগ্রেড করা ও কোনো সিকিউরিটি প্যাচ থাকলে তা ইন্সটল করা । CMS এর সব প্লাগইন চেক করা এবং ওই গুলার কোন Vulnerability আছে কিনা তা দেখা। এবং এর Exploit আছে কিনা তা চেক করা। Exploit থাকলে তা Fix করা, অথবা ওই প্লাগইন বাদ দেয়া। CMS এর Congif File এ Cpanel থেকে Chmod 640 or 600 করে দিন।
৬. অ্যাডমিন ও সিপ্যানেলের (সার্ভার অ্যাডমিনিস্ট্রেশন) পাসওয়ার্ড পরিবর্তন ও শক্তিশালী করা । Password minimum ১২ Character করা, এবং সংখ্যা, নাম্বার, ছোট এবং বড় হাতের Letter এর মিশ্রণ করা।
৭. সকল ধরনের ফাইলের বিশেষ করে কনফিগারেশন ফাইলের রাইট (write) অ্যাকসেস না দেয়া। কোনো ড্রাইভেও রাইট (write) অ্যাকসেস না দেয়া। Directory Listing বন্ধ করা, এবং Directory Bruteforcing বন্ধ করা। কাজের প্রয়োজনে দিতে হলেও কাজ শেষ হলে সেই অ্যাকসেস রিভোক করা।
প্রতিকার:
৮. নিয়মিত সাইটের ব্যাকআপ রাখা। ব্যাকআপ ফাইল সিকিউরড প্লেসে ও সিকিউরডভাবে রাখা। যাতে ডিরেক্টরি ব্রাউজিংয়ের মাধ্যমে তা পাওয়া সম্ভব না হয়। সবচেয়ে ভালো Offline এ অথবা Public_html Directory এর বাইরে রাখা।
৯. দুর্ভাগ্যবশত সাইটটি হ্যাক হলে, সাইটের সব কনটেন্ট ডিলিট করে দিতে হবে। তারপর ব্যাকআপ থেকে পুরো সাইটটি আবার চালাতে হবে। কোনোভাবেই শুধু ডিফেসমেন্ট করা পেজটি রিপ্লেস করে সন্তুষ্ট থাকা যাবে না। কারণ হ্যাকাররা অন্য ডিরেক্টরিতে কোনো ম্যালেশিয়াস(খারাপ) কোড রেখে দিতে পারে। এবং সঙ্গে সঙ্গে অ্যাডমিন ও সিপ্যানেলের পাসওয়ার্ড চেন্জ করতে হবে ।
১০. সাইট কিভাবে হ্যাক হলো তা Detect করতে হবে, এর জন্য Server লগ Follow করতে পারেন। এবং ওই মতাবেক সাইট কে পুরা Patch করতে হবে, যাতে আবার হ্যাক না হয়।
