প্রচুর শেয়ার্ড হোস্টিং সার্ভারের সুরক্ষার জন্য আমি দায়বদ্ধ। তাদের বেশিরভাগের ওয়ার্ডপ্রেস ওয়েবসাইট রয়েছে। প্রতিটি সার্ভারের কমপক্ষে 500 ওয়ার্ডপ্রেস ওয়েবসাইট রয়েছে।

আমার প্রবাসে, ওয়ার্ডপ্রেস সহ সমস্যাটি দুর্বল পাসওয়ার্ড দিয়ে শুরু হয়। বেশিরভাগ ওয়েবসাইট অ্যাডমিন পাসওয়ার্ড অত্যন্ত দুর্বল এবং দুর্বল পাসওয়ার্ড ওয়েবসাইটটি ব্যবহার করে বিভিন্ন দূষিত ক্রিয়াকলাপের জন্য ব্যবহার করা হয়।

এখন আমার পরিকল্পনা হ'ল ওয়ার্ডপ্রেস ওয়েবসাইটটির দুর্বল পাসওয়ার্ড সন্ধান করা এবং জোর করে প্রশাসনের পাসওয়ার্ডটি অন্য কোনও শক্ত পাসওয়ার্ডে পরিবর্তন করা। যাতে ওয়ার্ডপ্রেস সুরক্ষিত হতে পারে এবং আমার সার্ভার কোনও সমস্যায় পড়বে না।

সঞ্চিত ওয়ার্ডপ্রেস পাসওয়ার্ডটির শক্তি জানার উপায় কী?

ব্রুটফোর্স হ্যাশ

আপনি হ্যাশটি ডেটাবেজে সঞ্চিত রাখতে পারেন।

ওয়ার্ডপ্রেস হ্যাশিংয়ের জন্য phpass ব্যবহার করে। ডিফল্টরূপে, ওয়ার্ডপ্রেস ব্লোফিশ বা অনুরূপ ব্যবহার করে না, তবে 8192 এর পুনরাবৃত্তি গণনা সহ কেবল এমডি 5 you আপনি যদি সত্যিই খারাপ পাসওয়ার্ডগুলি সন্ধান করতে চান তবে অবশ্যই ব্রুটফোর্সিং সম্ভাব্য।

তবে আমি এটি ব্যবহারকারীদের যে আস্থা রেখেছিল তার একটি বরং লঙ্ঘন হিসাবে বিবেচনা করব, তাই আমি এই পদ্ধতির প্রস্তাব দেব না।

লগ ইন করার সময় তাদের পাসওয়ার্ড বিশ্লেষণ করুন

আপনি এমন একটি স্ক্রিপ্ট যুক্ত করতে পারেন যা ওয়ার্ডপ্রেস লগইন স্ক্রিপ্টগুলিতে সমস্ত অনুরোধকে বাধা দেয় এবং পাসওয়ার্ডগুলি লগ করতে বা বিশ্লেষণ করতে পারে, কারণ তারা সেই সময়ে সরলখণ্ডে রয়েছে।

অবশ্যই, কোনও ব্যবহারকারী যখন আসলে লগইন করে এটি কেবল দুর্বল পাসওয়ার্ডগুলি ধরে। যদি তারা তাদের সাইটটি ত্যাগ করে বা বরং নিষ্ক্রিয় হয়, তবে তারা দুর্বল পাসওয়ার্ড ব্যবহার করে তা আবিষ্কার করতে আপনার কিছুটা সময় লাগতে পারে।

আমি হ্যাশগুলিকে জালিয়াতির চেয়েও এটি আরও বড় লঙ্ঘন হিসাবে বিবেচনা করব এবং এটি এর সাথে সুরক্ষা সংক্রান্ত কিছু উদ্বেগও বহন করবে (আপনি যদি সরল ভাষায় পাসওয়ার্ডগুলি সংরক্ষণ করেন তবে এটি অবশ্যই উদ্বেগজনক হবে, তবে তা না হলেও আপনি দুর্ঘটনাক্রমে কিছু তথ্য সঞ্চয় করতে পারেন বিশ্লেষণ যা আক্রমণকারীকে সহায়তা করতে পারে)।

একটি পাসওয়ার্ড নীতি প্রয়োগ করুন (এবং ব্যবহারকারীদের তাদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য করুন)

আপনি একটি পাসওয়ার্ড নীতি প্রয়োগ করতে পারেন। যখন কোনও ব্যবহারকারী কোনও নতুন পাসওয়ার্ড জমা দেয়, আপনি এটি পরীক্ষা করে দেখেন যে এটি আপনার নীতিমালা মেনে চলে কিনা বা না (আদর্শভাবে, এটি সার্ভার-সাইডে ঘটবে, জাভাস্ক্রিপ্টের মাধ্যমে ক্লায়েন্ট-সাইড নয়)।

একটি ভাল পাসওয়ার্ড নীতি লিখতে অসুবিধা হয়, তাই এখানে আপনাকে সহায়তা করার জন্য বিদ্যমান নীতিগুলি একবার দেখুন।

অবশ্যই, পুরানো পাসওয়ার্ডগুলি নীতি দ্বারা প্রভাবিত হয় না, তাই আপনাকে নীতিমালা মেনে চলতে ব্যবহারকারীদের তাদের পুরানো পাসওয়ার্ডগুলি পরিবর্তন করতে বাধ্য করতে হবে

সীমাবদ্ধ ক্ষয়ক্ষতি

শক্তিশালী পাসওয়ার্ড প্রয়োগ করা অবশ্যই একটি ভাল ধারণা হতে পারে তবে আদর্শভাবে, একটি হ্যাকড ওয়ার্ডপ্রেস উদাহরণটি ওয়েবমাস্টার হিসাবে আপনাকে সত্যই প্রভাবিত করা উচিত নয়।

একবার আক্রমণকারী কোনও ওয়ার্ডপ্রেস ইনস্টলেশনটিতে অ্যাক্সেস পেয়ে গেলে আপনার ক্ষতির সীমাবদ্ধ করতে হবে। আদর্শভাবে, আপনি চাইবেন যে কেবলমাত্র একটি উদাহরণ প্রভাবিত হয়, আপনার পুরো সার্ভারটি নয় (যাতে আপনি কোনও আক্রমণকারী কোনও ওয়েবসাইটে অশালীন বিষয়বস্তু রাখার বিষয়ে উদ্বিগ্ন হতে পারেন - ঠিক যেমন কোনও বৈধ ব্যবহারকারীর পারে - তবে কোড সম্পাদন, বা অন্যান্য দূষিত সম্পর্কে নয়) কার্যকলাপ)।

এটি বরং বিস্তৃত বিষয়, তবে কয়েকটি পয়েন্টের মধ্যে রয়েছে: DISALLOW_FILE_EDITপ্লাগইনগুলির ব্যবহার সীমিত করুন (যেহেতু তারা ওয়ার্ডপ্রেস থেকে নিজের চেয়ে কম সুরক্ষিতভাবে কোডেড), জাভাস্ক্রিপ্টকে মঞ্জুরি দেয় না (যেমন মাল্টিসাইটগুলির সাথে, কেবলমাত্র সুপার-অ্যাডমিনদের জাভাস্ক্রিপ্ট পোস্ট করার অধিকার রয়েছে, না প্রশাসক) ইত্যাদি

আমি নিশ্চিত যে এটি এমনকি সম্ভব কিনা। আপনি যখন নিজের পাসওয়ার্ডটি নির্বাচন করেন, এটি ডাটাবেজে হ্যাশযুক্ত থাকে। হ্যাশ অ্যালগোরিদম এলে কোনও বিপরীত ইঞ্জিনিয়ারিং নেই।

আমার অভিজ্ঞতা, পাসওয়ার্ড ক্ষমতা জন্য স্ক্রিপ্টের মধ্যে অবস্থিত www.example.com/wp-admin/js/password-strength-meter.js, এবং এই এটা লিংক।

আপনি এখানে পাসওয়ার্ডের জন্য স্তর এবং শতাংশ পরিবর্তন করতে পারেন, সুতরাং আপনি বাধ্যতামূলক পাসওয়ার্ড 100/100 এ সেট করতে পারেন।

এবং আপনি যদি নিজের ক্লায়েন্টকে পাসওয়ার্ড স্ট্রিংহিট পরীক্ষা করতে চান তবে এমন সুন্দর অ্যাপ্লিকেশন রয়েছে যা আপনাকে এখানে পাসওয়ার্ড পাসওয়ার্ড দিতে পারে।

এখানে কিছু বিপরীত ইঞ্জিনিয়ারিং করা অসম্ভব এবং এছাড়াও, কয়েকটি প্লাগইন রয়েছে যা ব্যবহারকারীদের শক্তিশালী পাসওয়ার্ড পেতে বাধ্য করছে cing

সুসংবাদটি হ'ল আপনি ব্যবহারকারীর পাসওয়ার্ড পরিবর্তন করতে পারেন, খারাপ খবর হ'ল আপনি সেগুলি দেখতে পারবেন না।
ওয়ার্ডপ্রেস এত শক্তিশালী যে এমনকি ডাটাবেসে এটি পাসওয়ার্ডকে এক উপায় এনক্রিপশন দিয়ে সংরক্ষণ করে এটি কেবল একটি এমডি 5 হ্যাশ নয় যা আপনি রূপান্তর করতে পারেন, এটি এমনকি সিরিয়ালযুক্ত ডেটাও নয়, পাসওয়ার্ডের জন্য test123আপনি এমন কিছু পাবেন যা $P$BjW8o9Dm1vC5bwAcP1iAdNVm0lbvnআপনি পাসওয়ার্ডের ক্ষেত্র পরিবর্তন করলেও এনক্রিপশন ব্যবহার না করে ডাটাবেসে, এটি কাজ করবে না।

কিভাবে পাসওয়ার্ড পরিবর্তন করতে হয়

আমি বিশ্বাস করি আপনি এটি সম্পর্কে অবগত তবে আমি এটি এখানেই রেখে দেব। আপনি প্রশাসনের সুবিধার্থে আপনার ওয়ার্ডপ্রেস ড্যাশবোর্ড প্রবেশ করতে পারেন, ব্যবহারকারীদের কাছে যেতে পারেন, একজন ব্যবহারকারীকে খুঁজে পেতে পারেন এবং এই অংশটি আপনার উদ্দেশ্যগুলির জন্য খারাপ কারণ আপনি অবশ্যই নতুন পাসওয়ার্ড তৈরি করতে ক্লিক করতে পারেন, এটি আপনাকে অক্ষর এবং চিহ্নগুলির কিছু এলোমেলো স্যুপ দেয় এবং আপনি এটি করতে পারেন এটি নিজের সাথে সম্পাদনা করুন তবে তারপরেও আপনি পাসওয়ার্ডটি দেখতে পাচ্ছেন না।

পাসওয়ার্ডগুলি হ্যাশ হয়ে যাওয়ার সাথে সাথে তাদের সুরক্ষা পরীক্ষা করার একমাত্র উপায় হ'ল তাদেরকে জোর করা। সাধারণত ব্যবহৃত, দুর্বল পাসওয়ার্ডগুলির একটি তালিকা সংগ্রহ করুন এবং আপনার ডাটাবেজে থাকা হ্যাশগুলির বিরুদ্ধে তাদের পরীক্ষা করুন।

আপনি যদি খুব পরিশ্রমী পাসওয়ার্ডের তালিকাটি ব্যবহার না করেন তবে এটি সমস্ত দুর্বল পাসওয়ার্ডকে ধরে ফেলবে না তবে এটি তাদের মধ্যে দুর্বলতম ফিল্টার করে দেবে।

Phpmyadmin- এ সংরক্ষিত প্রতিটি ওয়ার্ডপ্রেস ডাটাবেসে আপনার কোনও নিয়ন্ত্রণ না থাকলে আপনি জোর করে ডাব্লুপি অ্যাডমিন পাসওয়ার্ড পরিবর্তন করতে পারবেন না।

এবং না, 500 ওয়ার্ডপ্রেস সাইটে সপ্তাহের পাসওয়ার্ড খুঁজে পাওয়ার কোনও দ্রুত উপায় নেই। জোসিপ পাসওয়ার্ড শক্তি চেকআউট করার জন্য একটি লিঙ্ক উল্লেখ করেছে, কিন্তু সেই সাইটটি md5 ক্রিপ্টো আলগো ব্যবহার করে পাসওয়ার্ড শক্তি চেকআউট করতে পারেনি।

এই এসও লিঙ্কটি চেকআউট করুন ( MD5 ব্যবহার করে ওয়ার্ডপ্রেস ) এবং আপনি দেখতে পাবেন যে অ্যাপ্লিকেশনটির চেয়ে আউটপুট আলাদা। আপনি যেহেতু দেখতে পাচ্ছেন সেহেতু p#aSS*Word14সুরক্ষিত নয় Dance With Me Tonightতাই আপনার ওয়ার্ডপ্রেস পাসওয়ার্ড চেক করতে থার্ট পার্টি অ্যাপ্লিকেশনটি ব্যবহার করবেন না কারণ তারা পাসওয়ার্ডের শক্তি পরীক্ষা করতে / ধরে নিতে অন্য ক্রিপ্টো অ্যালগরিদম ব্যবহার করছে।

এছাড়াও আপনার সমস্ত পাসওয়ার্ড থাকা উচিত এবং এটি একে একে পরীক্ষা করে নেওয়া উচিত, দ্রুত খুঁজে পাওয়ার কোনও যাদু কৌশল নেই।

আরেকটি বিষয় হ'ল, যদি একটি ওয়ার্ডপ্রেস সাইট হ্যাক হয় তবে এটি একই সার্ভারের অন্যান্য ডাব্লুপি সাইটগুলিতে প্রভাব ফেলেনি (ডস আক্রমণ ছাড়া)। আমি অনেক লোককে শেয়ার্ড হোস্টিংয়ে ডাব্লুপিপি শুরু করতে দেখেছি এবং তাদের সাইট হ্যাক হচ্ছে, তবে এখনও তাদের প্রতিবেশী সাইটটি ভাল চলছে, কারণ প্রতিটি ডাব্লুপিপি-র phpmyadmin এ তার নিজস্ব ডাটাবেস রয়েছে।

পূর্ববর্তী উত্তরগুলি যেমন উল্লেখ করেছে: আপনি সঞ্চিত পাসওয়ার্ডগুলি পড়তে পারবেন না।

বিকল্প সমাধান হতে পারে:

1. দ্বারা প্রস্তাবনা বাস্তবায়ন Josip Ivic শক্তিশালী পাসওয়ার্ড জোরদার করা।
2. সমস্ত পাসওয়ার্ড মুছে ফেলুন (বা কিছু বিশেষাধিকারযুক্ত ব্যবহারকারীদের জন্য কেবল পাসওয়ার্ড)।
3. এবং পরিশেষে, ক্ষতিগ্রস্ত ব্যবহারকারীদের জানান যে একটি নতুন পাসওয়ার্ড নীতি কার্যকর হয়েছে এবং /wp-login.php?action=lostpasswordতাদের পাসওয়ার্ডগুলি পুনরায় সেট করার জন্য তাদের নির্দেশ দিন ।

ওয়ার্ডপ্রেস পাসওয়ার্ডগুলি হ্যাশ করা হয়, যেমন কোনও বুদ্ধিমান অ্যাপ্লিকেশন যেমন পাসওয়ার্ডগুলি সংরক্ষণ করার ক্ষেত্রে আসে কারণ স্পষ্ট পাঠ্য পাসওয়ার্ড সংরক্ষণ করা খুব নিরাপদ কারণ আপনার ব্যবহারকারীদের অন্যান্য পরিষেবার জন্য একই পাসওয়ার্ড থাকতে পারে (ভাবুন জিমেইল?)

হ্যাশটিকে আবার পাসওয়ার্ডে রূপান্তর করা সম্ভব নয়, অন্যথায় কেউ এগুলি পরিষ্কার লেখায় সংরক্ষণ করতে পারে। পাসওয়ার্ডগুলি আগে হ্যাশ করা হত MD5তবে এটি কোনও সুরক্ষা দল দ্বারা নিরাপত্তাহীন প্রমাণিত হয়েছিল, তাই হ্যাশিং অ্যালগরিদম আপডেট করা হয়েছিল phpass।

টিপ: আপনি এমডি 5 (% পাসওয়ার্ড%) এসকিএল কলামে আপডেট করলেও ওয়ার্ডপ্রেস এটি সঠিকভাবে হ্যাশ করতে পারে।

এখন আপনি কোনও একক সাইটের জন্য যা করার চেষ্টা করছেন তার কাছে যাওয়ার ব্যবহারিক উপায়টি হ'ল কলামটি অন্য কিছুতে পরিবর্তন করে পাসওয়ার্ড পরিবর্তন করতে বাধ্য করা এবং যেখানে তারা তাদের পাসওয়ার্ড আপডেট করতে চলেছে সেখানে পাসওয়ার্ড শক্তি প্রয়োজনীয়তা প্রয়োগ করে। তবে আপনার ব্যবহারের ক্ষেত্রে এটি অনেকগুলি WP ইনস্টলগুলিতে করা দরকার এবং সেই সাইটের মালিকরা তাদের সম্মতি ছাড়াই এটি করার প্রশংসা করতে পারেন। সুতরাং, আপনাকে অবশ্যই আপনার ক্রিয়াকলাপের প্রভাবের সীমাটি সীমাবদ্ধ করতে হবে।

1) কেবল অ্যাডমিন, সম্পাদকদের জন্য পাসওয়ার্ড আপডেট করুন তবে সেই ব্যবহারকারীরা কারা তা আপনাকে খুঁজে বার করতে হবে। তাদের ইমেল করুন এবং তারপরে পুনরায় সেট করা পাসওয়ার্ড পৃষ্ঠা / নিবন্ধকরণ পৃষ্ঠা ইত্যাদিতে পাসওয়ার্ডের সীমাবদ্ধতা প্রয়োগ করুন Remember মনে রাখবেন যে কারও কাছে সেই ফর্মগুলি অন্য কোথাও থাকতে পারে (মনে করুন এজেএক্স ফর্মগুলিও)। একটি WP-CLI কমান্ড তৈরি করা যা এই পরিকল্পনাটি কার্যকর করতে আপনাকে এখানে সহায়তা করবে, ডাব্লুপি পরিবেশ এনভায়রনমেন্ট লোড করা এবং স্ক্রিপ্ট চালানোর চেয়ে।

২) একটি রেইনবো টেবিল তৈরি করা যা একটি পরিচিত স্ট্রিং (পাসওয়ার্ড) এর জন্য একটি হ্যাশ পাসওয়ার্ড ধারণ করে। এবং তারপরে আপনাকে মূলত কোনও নির্দিষ্ট ব্যবহারকারীর পাসওয়ার্ডের সাথে হ্যাশিংয়ের সাথে মিল রাখতে হবে এবং সেই পাসওয়ার্ডটির শক্তি মূল্যায়ন করতে হবে। টেবিল তৈরি করা এখানে ধীরতম পদক্ষেপ কারণ আপনার প্রতিটি সম্ভাব্য পাসওয়ার্ড হ্যাশ করতে হবে, এটি ডিস্কে সঞ্চয় করতে হবে (আপনি যে অ্যাকাউন্টটির জন্য পাসওয়ার্ডের দৈর্ঘ্য এবং সংমিশ্রণের উপর নির্ভর করে বেশ কয়েকটি জিবি) এবং তারপরে ফলাফলগুলি কার্যকর করুন। আপনার প্রয়োজনের জন্য এটি ওভারকিল সমাধান 99% নিশ্চিত।

টিপ: আমাদের wp-config.phpফাইলে থাকা সেই সল্ট এবং গোপনীয়তাগুলি আপনি জানেন । তাদের পরিবর্তন করা সেশনগুলিতে লগডকে অবৈধ করে দেয়, কেবল আপনার যদি প্রয়োজন হয়।

অভিধানের আক্রমণ ব্যবহার করে এটিকে নিষ্ঠুর করার চেষ্টা করুন

আপনার পাসওয়ার্ডের শক্তি নির্ধারণের জন্য এর চেয়ে ভাল উপায় কী? :-) হ্যাঁ আমি জানি, এতে কিছুটা সময় লাগবে ...

অন্যথায়, আপনি কেবল ধরে নিতে পারেন যে সমস্ত পাসওয়ার্ড দুর্বল (আমি বলব যে এটি একটি খুব সঠিক ধারণা হবে) এবং নিজের পাসওয়ার্ড তৈরি করুন, ডাটাবেজে হ্যাশগুলি সংরক্ষণ করুন এবং "সুরক্ষিত" ব্যবহার করে প্রশাসকদের সরল পাঠ্য পাসওয়ার্ড দিন চ্যানেল

অন্যথায়, আবার ধরে নিন যে সমস্ত পাসওয়ার্ড দুর্বল এবং অ্যাডমিনদের এগুলি পরিবর্তন করতে বাধ্য করুন এবং ওয়েবসাইটে নিজেই খুব পিক পাসওয়ার্ড শক্তি যাচাইকারী ব্যবহার করুন।