ورڈپریس سکیوریٹی، ایک مکمل گائیڈ

1,876

آئی تھیمز سکیوریٹی (بیٹر ڈبلیو پی سکیوریٹی)

ithemes-security

wordpress.org/extend/plugins/better-wp-security

آئی تھیمز سکیوریٹی پلگ اِن میری پہلی ترجیح ہوتی ہے۔ میں ہمیشہ سب کو اسی پلگ اِن کو انسٹال کرنے کا مشورہ دیتا ہوں۔ یہ پلگ اِن بھی نمبر ون ورڈپریس سکیوریٹی پلگ اِن ہونے کا دعویٰ کرتا ہے۔ اگر اس کی کارکردگی اور ڈاؤن لوڈ ہونے کے اعداد دیکھے جائیں تو یہ سچ بھی لگتا ہے۔ گزشتہ کئی سالوں سے میں سیکڑوں کلائنٹس کو یہ پلگ اِن انسٹال کر کے دے چکا ہوں اور ہمیشہ اسے کارآمد ہی پایا ہے۔ آئی تھیمز سکیوریٹی پہلے بیٹر ڈبلیو پی سکیوریٹی کے نام سے موجود تھا جس کا نام اب بدل دیا گیا ہے۔

اس پلگ اِن کو واقعی ’’آل ان ون‘‘ سکیوریٹی پلگ اِن کہا جا سکتا ہے۔ اس کے فیچرز کی ایک طویل لسٹ ہے۔ اس کے چند خاص خاص فیچرز درج ذیل ہیں:

بیک اپ
یہ پلگ اِن ویب سائٹ کا مکمل بیک اپ بنا کر آپ کو بھیج سکتا ہے۔

ورڈپریس ڈیش بورڈ کے یوآرایل کی تبدیلی
ورڈپریس میں لاگ اِن ہونے کے لیے ہمیشہ ویب سائٹ کے یوآرایل کے بعد /wp-admi کا اضافہ کیا جا تا ہے اور لاگ اِن صفحہ سامنے آجاتا ہے۔ اب چونکہ یہ سبھی کو پتا ہے اس لیے اسپیم بوٹس ہر ورڈپریس ویب سائٹ کے اس صفحے پر جا کر لاگ اِن ہونے کی کوشش کرتی رہتی ہیں۔ اس طرح کے حملوں سے بچنے کا سب سے آسان طریقہ یہ ہے کہ ورڈپریس ڈیش بورڈ میں لاگ ان ہونے کا ربط بدل دیا جائے۔ یہ فیچر آئی تھیمز سکیوریٹی میں دستیاب ہے۔

لاگ اِنگ (Logging)
404 ایررز، غلط لاگ اِن کوششیں، آپ کی اجازت کے بغیر فائلوں میں ہونے والی تبدیلی اور اس طرح کی کئی چیزیں یہ اپنے پاس نوٹ کر لیتا ہے۔ اس طرح آپ فوراً جان سکتے ہیں کہ کوئی ویب سائٹ کے ساتھ چھیڑ چھاڑ کی کوشش کر رہا ہے۔

فٹ پرنٹس
ورڈپریس اکثر اس وجہ سے نشانہ بنتا ہے کہ ویب سائٹ کے سورس کوڈ سے پتا چلایا جا سکتا ہے کہ ورڈپریس کا کون سا ورژن استعمال کیا جا رہا ہے۔ یہ پلگ اِن ورژن کی معلومات اور تھیم کی کوڈنگ سے ظاہر ہونے والی معلومات کو غائب کر دیتا ہے۔

ایڈمن یوزرنیم کی تبدیلی
ورڈپریس عام انسٹالیشن کے دوران ایڈمنسٹریٹر یوزر جس کے پاس ورڈپریس منیجمنٹ کے تمام حقوق موجود ہوتے ہیں، admin یوزرنیم متعین کرتا ہے۔ اسے اسی طرح چھوڑ دینا سکیوریٹی کے نظریئے سے ایک غلطی ہے۔ لہٰذا اسے فوراً تبدیل کردیان چاہئے۔ اس کام کی سہولت بھی اس پلگ اِن میں موجود ہے۔

کونٹینٹ ڈائریکٹری کو ری نیم کرنا
جیسا کہ ہم نے ذکر کیا wp-content ڈائریکٹری کے نام کی تبدیلی ویب سائٹ کو کافی محفوظ بنا دیتی ہے۔ یہ کام بھی اسی پلگ اِن سے کیا جا سکتا ہے۔

اپ ڈیٹس نوٹی فیکشنز کا خاتمہ
ورڈپریس اور اس کے پلگ اِنز کی اپ ڈیٹس آئے دن ریلیز ہوتی رہتی ہیں۔ یہ پلگ اِن تمام اپ ڈیٹس کی نوٹی فیکیشنز کو غیرفعال کر دیتا ہے۔ اس طرح کوئی نہیں جان سکتا کہ آپ کوئی آؤٹ ڈیٹڈ پلگ اِن استعمال کر رہے ہیں۔

حملے کی اطلاع اور حفاظت
اس پلگ اِن کی موجودگی سے آپ جان سکتے ہیں کہ ویب سائٹ پر ہیکنگ کے حملے ہو رہے ہیں۔ حملہ آور بوٹس اور فالتو ہوسٹس کو اس کی مدد سے جانا اور ban یا بلاک کیا جا سکتا ہے تاکہ مستقبل میں ایسے حملوں سے محفوظ رہا جا سکے۔

تھیم کی تدوین
جیسا کہ ہم نے پہلے ذکر کیا کہ ورڈپریس ایڈمن پینل میں تھیم ایڈیٹنگ کی سہولت موجود ہوتی ہے۔ اگر ہیکر ایڈمن پینل میں لاگ اِن ہو جائے تو وہ تھیم فائل میں تبدیلی کر کے فوراً ویب سائٹ ہیک کر سکتا ہے۔ اس پلگ ان سے تھیم ایڈیٹنگ کی سہولت باآسانی غیرفعال کی جا سکتی ہے۔

غرض اس پلگ اِن میں ورڈپریس ویب سائٹ کو محفوظ بنانے کا تقریباً سارا سامان موجود ہے اور یہ بالکل مفت بھی دستیاب ہے۔ اگر آپ ورڈپریس ویب سائٹ رکھتے ہیں یہ ہمیں یقین ہے کہ آپ ضرور اس پلگ اِن کو اپنی ویب سائٹ میں شامل کریں گے اور اگر آپ ایک نئی ورڈپریس ویب سائٹ بنانے کا سوچ رہے ہیں تو ان تمام باتوں کا خیال رکھ کر آپ ایک انتہائی محفوظ ویب سائٹ تشکیل دے سکتے ہیں۔

ورڈ فینس (Wordfence)

Wordfence-Security

wordpress.org/extend/plugins/wordfence

آئی تھیمز سکیوریٹی پلگ اِن میں بہت ہی بنیادی قسم کا وائرس اسکین موجود ہے، جبکہ اس حوالے سے ورڈفینس کی کارکردگی لاجواب ہے۔ یہ ورڈپریس ویب سائٹ کو چند منٹوں میں مکمل اسکین کر کے تفصیلی رپورٹ فراہم کر دیتا ہے کہ فلاں فلاں سکیوریٹی خطرات موجود ہیں اور فلاں فائلز وائرس زدہ ہیں۔
اس کے علاوہ یہ ویب سائٹ پر موجود ورڈپریس کی فائلز کو ورڈپریس کی اصل فائلز سے موازنہ کر کے بتا دیتا ہے کہ فلاں فائل میں تبدیلی ہو چکی ہے، ورڈفینس تبدیل کیے گئے حصے کو نشان زدہ کر کے دِکھاتا بھی ہے تاکہ آپ اسے صحیح طریقے سے سمجھ سکیں۔ اس کے بعد یہ تبدیل کی گئی فائلز کو واپس اصل فائلز سے بدل بھی سکتا ہے اور اگر فائل مکمل طور پر وائرس ہو تو اسے حذف بھی کر سکتا ہے۔
ویب سائٹ کے ساتھ ساتھ یہ ڈیٹا بیس کو بھی اسکین کر سکتا ہے اور ورڈپریس سے باہر سرور پر موجود فائلز کو بھی وائرس کے لیے اسکین کر سکتا ہے۔ ویب سائٹ پر ہونے والی کسی بھی مشکوک سرگرمی کو یہ فوراً ای میل کے ذریعے ایڈمن تک پہنچا دیتا ہے۔
ورڈفینس کو استعمال کرتے ہوئے کسی بھی فائل کو حذف کرنے سے پہلے اس کا بیک اپ ضرور بنا لیں کہ اس کے ذریعے حذف کی گئی فائل پھر واپس نہیں آسکے گی۔

سوکوری اسکینر (Sucuri Security)

sucuri-plugin

wordpress.org/plugins/sucuri-scanner

جیسا کہ ہم نے ذکر کیا سوکوری سروس بھی لاجواب سروس ہے۔ ان کا سکیوریٹی پلگ اِن ویب سائٹ کی سکیوریٹی کے حوالے سے زبردست آڈٹ رپورٹ فراہم کر سکتا ہے۔ یہ ویب سائٹ پر ہونے والی تمام سرگرمیوں پر نظر رکھتا ہے۔ کون کس آئی پی سے ویب سائٹ پر لاگ ان ہوا اور کس فائل میں کیا تبدیلی ہوئی یہ تمام باتیں نوٹ رکھتا ہے۔
اس کے علاوہ یہ ویب سائٹ کو ہیک ہونے سے بچانے کے لیے اہم سیٹنگز کر سکتا ہے اور ہیک شدہ ویب سائٹ کو صفائی کے بعد ضروری آپشنز فراہم کرتا ہے تاکہ دوبارہ یہ نوبت نہ دیکھنی پڑے۔
ورڈفینس کی طرح یہ بھی ویب سائٹ کی فائلوں کو ورڈپریس کی اصلی فائلوں سے موازنہ کرتا ہے اور تمام فالتو فائلوں کی لسٹ فراہم کرتا ہے جن کا ورڈپریس سے تعلق نہیں ہوتا لیکن سرور پر موجود ہوتی ہیں۔