ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন? কিভাবে একটি HTTP Security Headers কনফিগার করা যায়?

ওয়েবসাইটে HTTP Security Headers কি এবং কেন প্রয়োজন?
HTTP Headers Security হল ওয়েবসাইটের নিরাপত্তার একটি গুরুত্বপূর্ণ অংশ। যখন একজন ওয়েবসাইট ব্যবহারকারী একটি Page অ্যাক্সেস করার চেষ্টা করে, তখন তার ব্রাউজার এটি একটি ওয়েব সার্ভার কে রিকোয়েস্ট পাঠায়। সার্ভার তারপর মেটা ডেটা, স্ট্যাটাস error কোড, cache rules ইত্যাদি ধারণ করে উপযুক্ত HTTP Response Headers এর মাধ্যমে Response করে। HTTP Security Headers ব্রাউজার কে বোঝায় আসলে কিভাবে সে ওয়েবসাইটটি দেখাবে।

Header Security না থাকলে আমাদের ওয়েবসাইট যেকোনো ধরনের অ্যাটাকের সম্মুখীন হতে পারে। এই শিরোনামগুলি XSS, কোড ইনজেকশন, ক্লিকজ্যাকিং ইত্যাদি থেকে রক্ষা করে। যেমন XSS, code injection, clickjacking অ্যাটাক।

HTTP Headers Security বলতে নিচের সিকিউরিটি কে বোঝায়:

● Cross Site Scripting Protection (X-XSS)
● Content Security Policy (CSP)
● Browser Sniffing Protection (X-Content-Type-Options)
● Clickjacking Prevention (X-Frame-Options)
● HTTP Strict Transport Security (HSTS)
● HTTP Public Key Pinning (HPKP)
● Referring Settings (Referrer-Policy)
● Cookie Settings (Set-Cookie)

HTTP Headers Security চেক করার জন্য আমরা নিজের টুলগুলো ব্যবহার করতে পারি:

● Check HTTP Security Headers: www.securityheaders.com
● Check HTTP Strict Transport Security / HSTS: www.hstspreload.org
● Check WebPageTest: www.webpagetest.org
● Check HSTS test website: https://gf.dev/hsts-test

● Check website header security status: https://securityheaders.com/

Protect Websites With .htaccess in cPanel

আমাদের ওয়ার্ডপ্রেসের ওয়েবসাইটে রুট ডাইরেক্টরি এর ভিতরে অনেক সেনসিটিভ একটা ফাইলের নাম হল .htaccess.
আমরা অনেকে ওয়ার্ডপ্রেস ওয়েবসাইট ডিজাইন করি এবং প্লাগিন নিয়ে কাজ করি কিন্তু আমাদের .htaccess ফাইলটির কথা কেউ ভাবি না অথবা অনেকেই চিনি না।

আজকে আমরা .htaccess এর মাধ্যমে ওয়ার্ডপ্রেসের বিভিন্ন ধরনের সিকিউরিটি কিভাবে কনফার্ম করা যায় তা দেখব।

1. Configuring the .htaccess file

আমাদের ডিফল্ট ওয়ার্ডপ্রেসের দেওয়া .htaccess কোডগুলো নিচে দেওয়া হল। প্রথমে আমাদের কাজ ওয়েবসাইটের .htaccess ফাইল টি এডিট করে এই কোডগুলো বসিয়ে দেওয়া:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

কিভাবে ওয়ার্ডপ্রেস ওয়েবসাইটের লগইন পেইজ সুরক্ষিত করা যায়?How To Hide Wp-admin in WordPress site

আমাদের মধ্যে অনেক ওয়ার্ডপ্রেস ব্যবহারকারীরা নিজের WordPress dashboard login এর URL চেঞ্জ করেননা।এতে, brute force attacker এবং যেকোনো ব্যক্তি যে আপনার WordPress সাইটে লগইন করতে চাচ্ছেন, তারা অনেক সহজেই আপনার লগইন পেজে এসে user এবং password অনুমান করার চেষ্টা করতে পারবেন। সাধারণত পাসওয়ার্ড করে অথবা বিভিন্ন ধরনের Leaked পাসওয়ার্ডের মাধ্যমে এই ব্রুট ফোর্স অ্যাটাক হয়ে থাকে।
আমাদের প্রত্যেকের WordPress login page এর default URL হলো:

● www.domain.com/wp-admin
● www.domain.com/wp-login.php

এবং এই default login URL change না করার সুযোগ নিয়ে hacker রা brute force attack আমাদের ওয়েবসাইটে করেন।

Hackers Target Scanner:

এছাড়াও বিভিন্ন ধরনের ওয়েবসাইট স্ক্যানারের মাধ্যমে সহজেই আমাদের ওয়ার্ডপ্রেসের ইউজারনেম বের করা যায় :
https://hackertarget.com/wordpress-security-scan/

Hidden Defender

Hi, I am

Sadequr Rahman

ABOUT ME

Sadequr Rahman

My Professional Skills

Services

Wordpress Security

Malware Removal

Website Security Testing

website vulnerability test

Ethical Hacking

Fast and Reliable Service

Portfolio