আপনারা যারা ওয়ার্ডপ্রেস ব্যাবহার করেন, তারা সিপ্যানেল/সাইবারপ্যানেল/ডিরেক্টএডমিন বা যেটাই হোক, লগিন করে Public_html এর ভিতরে xmlrpc.php নামে একটা ফাইল পাবেন, ওয়ার্ডপ্রেসের রুট ডিরেক্টরীতেই। ৩০ সেকেন্ড সময় নষ্ট করে ফাইল টা ডিলেট করে দেন। আপনার সাইট টা খুশী থাকবে, আপনার হোস্টিং প্রভাইডার খুশী থাকবে, এমনকি আপনার সাইট যেই সার্ভারে আছে সেটাও খুশী হবে। পারবেন না?
পরের আপডেটে তো আবার চলে আসবে। সেজন্য .htaccess ফাইলে নিচের কোড টুকু বসিয়ে দেন, পারমানেন্ট সমাধান।
.
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
.
ওয়ার্ডপ্রেসে xmlrpc.php ফাইল কেন ডিলিট করবেন?
- xmlrpc.php ফাইলের মাধ্যমে রিমোট লোকেশন থেকে ওয়ার্ডপ্রেসের সাথে কমিউনিকেশনের জন্য ব্যাবহার করা হয়। আপনি যদি ওয়ার্ডপ্রেস ড্যাশবোর্ডে লগিন না করে ইমেইল পাঠিয়ে বা রিমোট সফটওয়্যারের মাধ্যমে পোষ্ট পাবলিশ করতে চান তখন xmlrpc.php ফাইলের মাধ্যমে প্রসেস হয়। এখন সাধারণত এভাবে কেউ ওয়ার্ডপ্রেসে পোষ্ট করেন না তাই এই ফাইলটি ডিলেট বা পারমিশন 000 সেট করে রাখলে আপনার ওয়েবসাইটের অন্য কোনো ফাংশনালিটিতে কোনো সমস্যা হবেনা।
- এখন কথা হচ্ছে কেনো এই ফাইল ডিলেট বা ডিসেবল করে রাখবেন? ওয়ার্ডপ্রেস সবচেয়ে জনপ্রিয় সিএমএস হওয়ায় এটা রিমোট অ্যাটাকার বা হ্যাকারদের তালিকায় শীর্ষে। অটোমেটেড বটের মাধ্যমে xmlrpc.php ফাইলে ব্রুট ফোর্স অ্যাটাক চালিয়ে আপনার হোস্টিং একাউন্টের জন্য বরাদ্ধকৃত রিসোর্সের বেশিরভাগ ব্যাবহার করে আপনার ওয়েবসাইটকে স্লো করে ফেলতে পারে। আমাদের সকল সার্ভারে xmlrpc ব্রুট ফোর্স প্রটেকশন দেয়া। এধরনের অ্যাটাক আপনার ওয়েবসাইট পর্যন্ত পৌঁছানোর আগেই ব্লক হয়ে যাবে।
- আমাদের সার্ভার মনিটরিং রিপোর্ট অনুযায়ী xmlrpc.php এর চেয়েও বেশি অ্যাটাক আসে wp-login.php এই ফাইলে। বারবার বিভিন্ন ইউজারনেম, পাসওয়ার্ড কম্বিনেশন দিয়ে বটের মাধ্যমে ওয়ার্ডপ্রেস ড্যাশবোর্ডের অ্যাকসেস নেয়ার চেষ্টা করা হয়। কমপ্লেক্স পাসওয়ার্ড ব্যাবহার করলে এধরনের অ্যাটাক থেকে আপনার ওয়ার্ডপ্রেস এডমিন ড্যাশবোর্ড সেফ থাকবে কিন্তু প্রতি মিনিটে কয়েকশোবার লগিন করার চেষ্টা করতে থাকায় এধনের অ্যাটাক ও আপনার হোষ্টিং একাউন্টের রিসোর্স ইউজেস হাই করে ওয়েবসাইট স্লো করে ফেলতে পারে। এটার জন্য আপনারা Wordfence প্লগিনটি ব্যাবহার করতে পারেন। এটা ইনস্টল করা থাকলে কয়েকবার ভুল লগিন ইনফরমেশন দিলে ওই আইপি অ্যাড্রেস ব্লক করে দিবে। আমাদের সার্ভারে wp-login.php অ্যাটাকের প্রটেকশন দেয়া আছে। আমাদের কোনো ক্লায়েন্টের ওয়ার্ডপ্রেস ওয়েবসাইটে কেউ বারবার ভুল লগিন ইনফরমেশন দিয়ে লগিন করার চেষ্টা করলে সার্ভারের ফায়ারওয়াল তার আইপি ব্লক করে দেয়।
.
ক্রেডিট: Shimul Shahriar and SBM Hosting.
Leave a Reply