🎯 এই পর্বে যা জানবে:
- WordPress সিকিউরিটি কেন দরকার
- সাধারণ আক্রমণের ধরন
- অ্যাডমিন প্যানেল সুরক্ষা
- ফাইল ও সার্ভার পারমিশন
- সিকিউরিটি প্লাগইন
- ব্যাকআপ ও মনিটরিং টিপস
⚠️ কেন WordPress সিকিউরিটি এত গুরুত্বপূর্ণ?
WordPress পৃথিবীর সবচেয়ে জনপ্রিয় CMS — তাই হ্যাকারদের প্রিয় লক্ষ্যও এটি।
প্রতিদিন হাজার হাজার ওয়েবসাইট আক্রান্ত হয়, বেশিরভাগ সময়েই
সাধারণ misconfiguration বা পুরনো প্লাগইন কারণ হয় 😔
✅ তাই শুরু থেকেই সিকিউরিটি মজবুত করতে হবে।
🧠 সাধারণ হুমকি (Common Threats)
| হুমকি | কীভাবে ঘটে |
|---|---|
| 🔓 Brute Force Attack | বারবার লগইন চেষ্টা করে পাসওয়ার্ড ভাঙা |
| 🦠 Malware Injection | থিম/প্লাগইনে ক্ষতিকর কোড |
| 🧱 SQL Injection | ইনপুট ফিল্ডে হ্যাক কোড দেওয়া |
| 🔐 XSS Attack | স্ক্রিপ্ট দিয়ে ডেটা চুরি |
| 📦 Backdoor Access | সার্ভারে লুকানো ফাইল যোগ করা |
🧩 ১️। লগইন পেজ সুরক্ষা
✅ ইউজারনেম “admin” ব্যবহার কোরো না
সবচেয়ে বেশি হ্যাক হয় default admin ইউজারনেম দিয়ে।
সমাধান:
Dashboard → Users → Add New → নতুন ইউজার তৈরি করো
→ পুরোনো admin ডিলিট করে নতুনটিকে admin role দাও।
✅ শক্তিশালী পাসওয়ার্ড ব্যবহার
Password হতে হবে অন্তত ১২ অক্ষরের — বড় হাতের, ছোট হাতের, সংখ্যা ও চিহ্নসহ।
👉 উদাহরণ: N3t^Word@2025!
✅ লগইন URL পরিবর্তন করো
সাধারণত লগইন URL হয় /wp-admin বা /wp-login.php
এগুলো হ্যাকারদের টার্গেট।
🔹 প্লাগইন: WPS Hide Login
👉 Login URL বদলে যেমন করো /mysecret-login
🔒 ২️। ফাইল পারমিশন ও সার্ভার সিকিউরিটি
🔹 wp-config.php ফাইলটি সবচেয়ে গুরুত্বপূর্ণ
এতে থাকে ডাটাবেজ ইউজার ও পাসওয়ার্ড।
✅ পারমিশন সেট করো:
chmod 400 wp-config.php✅ .htaccess ফাইলে যোগ করো:
<files wp-config.php>
order allow,deny
deny from all
</files>এতে কেউ ব্রাউজার থেকে ফাইল অ্যাক্সেস করতে পারবে না।
🛡️ ৩️। Security Plugin ইনস্টল করো
🧰 জনপ্রিয় সিকিউরিটি প্লাগইনসমূহ:
- Wordfence Security 🦁
🔹 Firewall + Login Protection
🔹 File Scan + Country Block - iThemes Security 🔐
🔹 Two-Factor Authentication
🔹 Login Lockdown - All In One WP Security & Firewall 🧱
🔹 Brute Force Protection
🔹 Database Backup
✅ এগুলোর মধ্যে Wordfence সবচেয়ে জনপ্রিয় ও শক্তিশালী।
🧰 ৪️। Two-Factor Authentication (2FA)
যাতে হ্যাকার পাসওয়ার্ড পেলেও ঢুকতে না পারে।
প্লাগইন:
- Wordfence (2FA Option আছে)
- Google Authenticator
📱 লগইন করতে কোড লাগবে যা শুধু তোমার মোবাইলে থাকবে।
⚙️ ৫️। Auto Updates সক্রিয় রাখো
Dashboard → Updates → Enable Auto-Update
👉 থিম, প্লাগইন ও WordPress Core আপডেট থাকলে হ্যাকার এক্সপ্লয়েট করতে পারবে না।
🧩 ৬️। XML-RPC বন্ধ করো
XML-RPC অনেক সময় brute force অ্যাটাকের জন্য ব্যবহৃত হয়।
.htaccess এ যোগ করো 👇
# Disable XML-RPC
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>অথবা “Disable XML-RPC” প্লাগইন ব্যবহার করো।
🧱 ৭️। wp-admin ডিরেক্টরি প্রটেক্ট করো
cPanel → Directory Privacy → wp-admin → Password Protect
👉 এতে wp-admin এ ঢুকতে আলাদা পাসওয়ার্ড লাগবে।
🔍 ৮️। Security Monitoring
তোমার সাইটের ফাইল স্ক্যান ও লগ মনিটর করতে পারো:
- Sucuri Security
- Wordfence Scan
- MalCare
এগুলো malware শনাক্ত করে ও ইমেইল অ্যালার্ট দেয়।
🧰 ৯️। নিয়মিত ব্যাকআপ রাখো
Backup = তোমার জীবনরক্ষাকারী 💾
🔹 প্লাগইন:
- UpdraftPlus
- JetBackup (cPanel)
- Duplicator
✅ অফলাইন (Google Drive বা Dropbox)-এ ব্যাকআপ রাখো।
🚫 🔟 — অপ্রয়োজনীয় প্লাগইন/থিম ডিলিট করো
অচল থিম/প্লাগইন মানেই নিরাপত্তার ঝুঁকি।
সেগুলো শুধু “Deactivate” নয়, Delete করো।
🧠 অতিরিক্ত টিপস
💡 Admin নোটিফিকেশন ইমেইল পরিবর্তন করো
💡 Error display বন্ধ রাখো (display_errors = Off)
💡 SSL সার্টিফিকেট ব্যবহার করো (https সক্রিয় করো)
💡 File editing বন্ধ করতে wp-config.php এ যোগ করো 👇
define('DISALLOW_FILE_EDIT', true);
🏁 সারসংক্ষেপ
✅ শক্তিশালী পাসওয়ার্ড
✅ Login URL পরিবর্তন
✅ Security Plugin
✅ Firewall + Backup
✅ Auto Update
✅ File Editing Off
এই বেসিক বিষয়গুলো করলে তোমার সাইটের সিকিউরিটি ৮০–৯০% পর্যন্ত মজবুত হয়ে যাবে 🛡️
