HTTP Security Headers কি? ওয়ার্ডপ্রেস ওয়েবসাইট হেডার সিকিউরিটি বাড়ানোর পদ্ধতি।

HTTP Security Headers কি? কিভাবে কনফিগার করবেন?

যে কোনো ওয়েবসাইটের নিরাপত্তা নিশ্চিত করণে HTTP Security Headers খুবই গুরুত্বপূর্ণ। এটি ওয়েবসাইটকে হ্যাকারদের বিভিন্ন আক্রমণ থেকে সুরক্ষা প্রদান করে।

যখন কোনো ভিজিটর বা হ্যাকার কোনো ওয়েবসাইটের পেজ এক্সেস করতে চায়, তখন ব্রাউজার প্রথমেই ওয়েব সার্ভারে একটি রিকোয়েস্ট পাঠায়।

তারপর উক্ত রিকোয়েস্টের ভিত্তিতে সার্ভার ওয়েব পেজের Meta ডেটা, স্ট্যাটাস Error কোড, Cache রুলস ইত্যাদি ধারণ করে স্বয়ংক্রিয় ভাবে তার উপযুক্ত HTTP Response Headers এর মাধ্যমে রেসপন্স করে।

এটি মূলত ব্যবহারকারীর ব্রাউজারকে বলে দেয় কাঙ্খিত ওয়েব পেজটি ব্রাউজারে কিভাবে প্রদর্শন করবে। কোনো ওয়েবসাইটে যদি  Headers Security না থাকে তবে সেই ওয়েবসাইটে যে কোনো ধরণের সাইবার ক্রাইম হতে পারে।

বিশেষ করে নতুন ওয়েবসাইট মালিকেরা বেশিরভাগ ক্ষেত্রে হ্যাকিংয়ের শিকার হয়ে থাকে। কেননা, নতুন ওয়েবসাইট গুলোর Header এর HTTP Security খুব ভালো থাকে না।

হ্যাকারেরা এই সুযোগকে কাজে লাগিয়ে XSS, কোড ইনজেকশন, ক্লিকজ্যাকিং ইত্যাদি পদ্ধতি ব্যবহার করে বিভিন্ন ওয়েবসাইটে সাইবার আক্রমণ করে।

আপনি যদি একজন ওয়েব মাস্টার বা ওয়েবসাইটের owner (মালিক) হয়ে থাকেন, তবে আপনার ওয়েবসাইটের নিরাপত্তা প্রদানে HTTP Security Headers নিশ্চিত করা আবশ্যক।

আমি ওয়ার্ডপ্রেস সিকিউরিটির বিষয়টা নিচে উপস্থাপন করেছি এবং কিভাবে আপনার ওয়েবসাইটের এইচটিটিপি সিকিউরিটি হেডারকে কনফিগার করবেন তা টিউটোরিয়াল আকারে বলে দিয়েছি।

HTTP Security Headers বলতে কি বুঝায়?

হেডার বলতে ওয়েবসাইটের উপরের অংশকে বুঝানো হয়। যেখানে ওয়েবসাইটের নাম, লোগো, মেনু ইত্যাদি প্রদর্শন করা হয়। হেডারের উপরের অংশে ওয়েবসাইটের ডোমেইন নাম HTTP সহ থাকে।

HTTP এর পূর্ণরূপ হলো Hyper Text Transfer Protocol. অর্থাৎ, এই প্রটোকলের মাধ্যমে ইন্টারনেটের সাহায্যে ওয়ার্ল্ড ওয়াইড ওয়েবে ডেটা আদান-প্রদানের কাজ করে।

HTTP এর মাধ্যমে প্রসেসিং হওয়ার ডেটা গুলোকে সুরক্ষিত করার বিষয়কে মূলত HTTP Security Headers বলা হয়। যার মূল বৈশিষ্ট্যগুলো হলোঃ-

  • Cross Site Scripting Protection (X-XSS)
  • HTTP Strict Transport Security (HSTS)
  • HTTP Public Key Pinning (HPKP)
  • Content Security Policy (CSP)
  • Browser Sniffing Protection (X-Content-Type-Options)
  • Clickjacking Prevention (X-Frame-Options)
  • Cookie Settings (Set-Cookie)
  • Referring Settings (Referrer-Policy)

ওয়েবসাইট Header HTTP Security চেকার টুলস

ওয়েবসাইটের সিকিউরিটি সমস্যা গুলো স্বাভাবিক ভাবে ফাইন্ড আউট করা অনেকটা কষ্টসাধ্য ব্যাপার। তবে ইথিক্যাল হ্যাকিংয়ে যারা এক্সপার্ট তার খুবই সহজেই সমস্যাগুলো বুঝতে পারে।

সাধারণত ইথিক্যাল হ্যাকাররা ওয়েবসাইটের সিকিউরিটি সমস্যা গুলো বের করার জন্য বিভিন্ন টুলস ব্যবহার করে। নিচে এমনই একটি চমৎকার টুলসের লিংক দেওয়া হলো।

▷  HTTP Security Headers চেকার টুলসঃ https://securityheaders.com/

উপরোক্ত টুলসটি ব্যবহার করে আপনার ওয়েবসাইটের হেডার সিকিউরিটির বর্তমান অবস্থা সম্পর্কে জানতে পারবেন।

Security Headers টুলসের ব্যবহার

ওয়েবসাইট Header HTTP Security চেকার টুলস

Security Headers ওয়েব টুলসে আপনার ওয়েবসাইটের ডোমেইন নামটি লিখুন এবং Scan বাটনে ক্লিক করুন। তাহলেই আপনার ওয়েবসাইটের হেডারের বর্তমান সিকিউরিটির অবস্থা সম্পর্কে জানতে পারবেন।

উপরের ছবিতে দেখতে পাচ্ছেন আমরা আমাদের আইটি নির্মাণ ওয়েবসাইটটিকে Scan করেছি। রেজাল্টে সমস্যা গুলোর বর্ণনা দেওয়া আছে এবং আমাদের ওয়েবসাইটের বর্তমান হেডার সিকিউরিটির স্কোর F, এজন্য সবকিছুই লাল দেখাচ্ছে।

আপনার ওয়েবসাইটটি যদি ওয়ার্ডপ্রেস (WordPress CMS) দ্বারা তৈরি করে থাকেন, তবে Headers Security Advanced & HSTS WP নামের একটি plugins ব্যবহার করে খুব সহজেই আপনার ওয়েবসাইটের হেডারকে সিকিউর করে নিতে পারবেন।

Headers Security Advanced প্লাগইনের ব্যবহার

Headers Security Advanced & HSTS WP
Headers Security Advanced & HSTS WP

আপনার ওয়েবসাইটের হেডার সিকিউরিটি নিশ্চিত করার জন্যে প্রথমেই আপনার ওয়ার্ডপ্রেস ওয়েবসাইটের ডেশবোর্ডে প্রবেশ করুন। তারপর বামপাশের মেনু থেকে plugins > Add New -এ যান।

অতঃপর সার্চবক্সে টাইপ করুন Headers Security Advanced & HSTS WP লিখে। তাহলেই প্লাগইনটি চলে আসবে। প্লাগইনটি ইনিস্টল করার আগে প্লাগইন এর লোগো ও অথরের নাম দেখে নেবেন।

Headers Security Advanced প্লাগইনের বৈশিষ্ট্য

  • HSA Limit Login to block brute force attacks.
  •  X-XSS-Protection
  • Strict-dynamic
  • Content-Security-Policy
  • Cross-Origin-Embedder-Policy
  • Expect-CT
  • HTTP Strict Transport Security / HSTS
  • Access-Control-Allow-Origin
  • Access-Control-Allow-Methods
  • Access-Control-Allow-Headers
  • Content-Security-Policy
  • X-Content-Security-Policy
  • Strict-Transport-Security
  • Clear-Site-Data
  • X-Content-Type-Options
  • X-Frame-Options
  • Permissions-Policy
  • X-Permitted-Cross-Domain-Policies
  • X-Powered-By
  • Referrer-Policy
  • HTTP Strict Transport Security / HSTS
  • FLoC (Federated Learning of Cohorts)
  • Cross-Origin-Embedder-Policy-Report-Only
  • Cross-Origin-Resource-Policy
  • Cross-Origin-Opener-Policy-Report-Only
  • Cross-Origin-Resource-Policy
  • Cross-Origin-Opener-Policy

Headers Security Advanced প্লাগইনটি খুবই শক্তিশালী হেডার সিকিউরিটি প্রদান করে। এটি মূলত OWASP CSRF এর উপর Base করে তৈরি করা হয়েছে।

এতে রয়েছে FLoC (Federated Learning of Cohorts) ফিচার, যা ব্যবহারকারীর ব্রাউজারে cohort calculation” on FLoC (Federated Learning of Cohorts) এ ওয়েবসাইটটিকে ইনক্লুড করতে বাধা দেয়।

তাছাড়া, প্লাগিনটিতে HSTS (HTTP Strict Transport Security) ফিচার রয়েছে, যা protocol downgrade attack এবং কুকি হাইজাকিং থেকে ওয়েবসাইটকে সুরক্ষা প্রদান করে।

প্লাগইনটির ব্যবহার পদ্ধতি খুবই সিম্পল। প্লাগইনটি ইনিস্টল করার পর আপনাকে কিছুই করতে হবে না। এটি স্বয়ংক্রিয় ভাবে নিজ থেকেই আপনার ওয়েবসাইটের HTTP Security Headers অটোমেটিক কনফিগার করে নেবে। বাড়তি কোনো ঝামেলা নেই।

প্লাগইন ব্যবহারের পর Headers Security চেক

ওয়েবসাইট HTTP Security Headers চেকার টুলসHeaders Security Advanced & HSTS WP প্লাগইনটি আমাদের ওয়েবসাইটে ইনিস্টল করার পর পুণরায় https://securityheaders.com/ এই টুলসের মাধ্যমে Scan করা হয়েছে।

উপরের ছবিতে দৃশ্যমান যে, প্লাগইনটি আমাদের ওয়েবসাইটের HTTP সিকিউরিটি হেডারের সমস্যাগুলো স্বয়ংক্রিয় ভাবে সমাধান করার পাশাপাশি ওয়েবসাইটকে প্রোটেক্ট করছে।

তাছাড়া, প্লাগইনটি ব্যবহারের আগে ওয়েবসাইটের কালার ছিল লাল এবং প্লাগইন ব্যবহারের পর ওয়েবসাইটির কালার সবুজ দেখাচ্ছে এবং সিকিউরিটি স্কোর A+ হয়ে গেছে।

প্লাগইন ছাড়াও ম্যানুয়াল ভাবে WordPress ওয়েবসাইটের .htaccess ফাইলে কোড বসিয়ে HTTP Security Headers এর সুরক্ষা নিশ্চিত করা যায়।

তবে .htaccess ফাইলে কোড বসিয়ে কাজ করাটা নতুনদের জন্য খুবই কমপ্লিকেটেড মনে হবে। তাই এটিকে সম্পূর্ণ রূপে ইগনোর করলাম।

ভিডিও টিউটোরিয়াল

এই ভিডিও টিউটোরিয়ালটিতেও ওয়েবসাইটের HTTP সিকিউরিটি হেডারের বিস্তারিত বর্ণনা রয়েছে। সুযোগ হলে দেখতে পারেন।

 গুরুত্বপূর্ণ কিছু কথাঃ

প্রিয় পাঠক, ইথিক্যাল হ্যাকিং এর আজকের পর্বটি ছিল ওয়েবসাইটের HTTP সিকিউরিটি হেডার সম্পর্কে। আপনি যদি পুরো আর্টিকেলটি মনোযোগ দিয়ে পড়ে থাকেন, তবে নিশ্চই আপনার ওয়েবসাইটের হেডার সিকিউরিটি বাড়াতে পারবেন।

আপনার ওয়েবসাইট যদি ওয়ার্ডপ্রেস সিএমএস দ্বারা তৈরি করে থাকেন, তবে Headers Security Advanced & HSTS WP প্লাগইনটি আপনার জন্য খুবই ইউজফুল হবে।

যাইহোক, আমি আশা করছি আর্টিকেলটি থেকে আপনারা উপকৃত হবেন। এই বিষয়ে আপনার যদি কোনো প্রশ্ন থাকে তবে অবশ্যই কমেন্ট করবেন। আমি যথা সম্ভব আপনার প্রশ্নের উত্তর দেবো ইনশাআল্লাহ।

Add comment

Posts

Your Header Sidebar area is currently empty. Hurry up and add some widgets.