वर्डप्रेस कैसे सुरक्षित करें (2020)

वर्डप्रेस सबसे लोकप्रिय सामग्री प्रबंधन प्रणालियों में से एक है और वहां अच्छे कारण हैं। इसका उपयोग करना सरल है, इसके लिए हजारों थीम और प्लगइन्स उपलब्ध हैं, और आप इसके साथ किसी भी प्रकार की वेबसाइट बना सकते हैं। यह कोई आश्चर्य नहीं है कि फिर वर्डप्रेस शक्तियां सभी वेबसाइटों का 35.1% इंटरनेट पर.


लेकिन, इसकी लोकप्रियता एक लागत के साथ आती है। वर्डप्रेस को अक्सर हैकर्स द्वारा निशाना बनाया जाता है। इसके अनुसार Sucuri, 2018 में, सभी वेबसाइट क्लीनअप अनुरोधों में से 90% वर्डप्रेस, 2017 से 7% की वृद्धि के थे.

वेबसाइट हैक ट्रेंड रिपोर्ट 2018 - सुकुरी

जैसे, आपकी वर्डप्रेस वेबसाइट सुरक्षित करना आपकी सूची में सबसे ऊपर होना चाहिए, चाहे आपके पास एक व्यक्तिगत पोर्टफोलियो, एक व्यावसायिक वेबसाइट या ऑनलाइन स्टोर हो.

जब यह वर्डप्रेस सुरक्षा की बात आती है, तो उपयोगकर्ता आमतौर पर दो शिविरों में आते हैं: जो लोग सुरक्षा को गंभीरता से लेते हैं और एहतियाती उपाय करते हैं और जो मानते हैं या आशा करते हैं कि यह उनके लिए कभी नहीं होगा क्योंकि उनकी साइट पर्याप्त महत्वपूर्ण नहीं है.

वेबसाइटों से जुड़े सुरक्षा मुद्दों की गंभीरता को बेहतर ढंग से समझने के लिए, यात्रा करना सुनिश्चित करें इंटरनेट लाइव आँकड़े पृष्ठ कभी कभी। वहां, आप प्रत्येक दिन हैक की गई वेबसाइटों की एक सटीक संख्या देख सकते हैं और यहां तक ​​कि वास्तविक समय में बढ़ती संख्या भी देख सकते हैं.

रियल टाइम में वेबसाइट हैक हो गई

Contents

अपनी वर्डप्रेस वेबसाइट को सुरक्षित करने के लिए 22 कदम

इंटरनेट लाइव स्टैट्स पर अपनी साइट को समाप्त होने से रोकने के लिए, नीचे दिए गए सुझावों का पालन करें और अपनी वर्डप्रेस वेबसाइट को सुरक्षित करें.

1. सुरक्षा सुविधाओं के साथ एक होस्टिंग कंपनी के लिए ऑप्ट

अपनी वर्डप्रेस वेबसाइट हासिल करने का पहला कदम एक होस्टिंग कंपनी में निवेश करना है जो उचित सुरक्षा सुविधाओं को लागू करता है। इसमें PHP, MySQL और Apache के नवीनतम संस्करण के साथ-साथ फ़ायरवॉल और 24/7 सुरक्षा निगरानी के लिए समर्थन शामिल है.

यदि संभव हो, तो एक होस्टिंग कंपनी चुनें जो दैनिक बैकअप और नियमित मैलवेयर स्कैन करता है। तुम भी होस्टिंग कंपनियों है कि विभिन्न DDOS रोकथाम उपायों को रोजगार मिल सकता है.

आपकी होस्टिंग कंपनी आमतौर पर पहली दीवार हैकर है जिससे आपकी साइट तक पहुंचने के लिए ब्रेक लगाना पड़ता है इसलिए अधिक निवेश करना और अधिक महंगा होस्टिंग प्लान खरीदना निश्चित रूप से बंद हो जाएगा। हम अनुशंसा करते हैं एक प्रबंधित वर्डप्रेस होस्टिंग प्रदाता चुनना.

2. मजबूत पासवर्ड का उपयोग करें

सुनिश्चित करें कि आपकी वर्डप्रेस वेबसाइट के साथ-साथ आपके होस्टिंग खाते के क्षेत्र के पासवर्ड भी सुरक्षित हैं। एक मजबूत पासवर्ड के साथ आने के लिए अपरकेस और लोअरकेस अक्षरों, संख्याओं और प्रतीकों के मिश्रण का उपयोग करें। आपके लिए सुरक्षित पासवर्ड बनाने और संग्रहीत करने के लिए आप लास्टपास जैसे पासवर्ड मैनेजर का भी उपयोग कर सकते हैं.

3. एडमिन यूजरनेम को डिच करें

WordPress डिफ़ॉल्ट उपयोगकर्ता नाम को व्यवस्थापक के रूप में सेट करता था और अधिकांश उपयोगकर्ता इसे बदलने के लिए कभी भी परेशान नहीं होते थे। नतीजतन, व्यवस्थापक आमतौर पर पहला उपयोगकर्ता नाम हैकर्स कोशिश करेंगे जब वे एक क्रूर बल हमला करते हैं.

जैसे, आपको अपनी WordPress वेबसाइट के लिए व्यवस्थापक उपयोगकर्ता नाम का उपयोग कभी नहीं करना चाहिए। यदि आपने हाल ही में अपनी वर्डप्रेस वेबसाइट स्थापित की है, तो संभावना है कि आपको अपना उपयोगकर्ता नाम सेट करना होगा। लेकिन यदि आप लंबे समय तक वर्डप्रेस उपयोगकर्ता हैं, तो आप अभी भी व्यवस्थापक उपयोगकर्ता नाम का उपयोग कर सकते हैं.

अगर ऐसा है, तो जाकर अपनी साइट के लिए एक नया व्यवस्थापक उपयोगकर्ता नाम बनाएँ उपयोगकर्ता> नया जोड़ें और एक मजबूत उपयोगकर्ता नाम और पासवर्ड चुनना। व्यवस्थापक को भूमिका सेट करें और फिर क्लिक करें नई उपयोगकर्ता को जोड़ना बटन.

एक व्यवस्थापक खाता बनाना

फिर आप उन नए क्रेडेंशियल्स के साथ लॉगिन करेंगे और अपने पुराने व्यवस्थापक उपयोगकर्ता को हटा देंगे। पुराने को हटाने से पहले अपने सभी सामग्री को अपने नए व्यवस्थापक उपयोगकर्ता को सौंपना याद रखें.

4. अपनी साइट पर पोस्ट करने के लिए एक योगदानकर्ता या संपादक खाते का उपयोग करें

यदि आप उपरोक्त टिप को एक कदम आगे ले जाना चाहते हैं, तो अपनी साइट पर नए पोस्ट और लेख जोड़ने के लिए एक योगदानकर्ता या एक संपादक खाता बनाने पर विचार करें। ऐसा करने से हैकर्स के लिए आपकी साइट पर नुकसान पहुंचाना कठिन हो जाएगा क्योंकि आम तौर पर योगदानकर्ताओं और संपादकों के पास व्यवस्थापक विशेषाधिकार नहीं होते हैं.

एक संपादक खाता बनाना

5. एक बैकअप प्लगइन का उपयोग करें

यदि आप अभी तक अपनी वेबसाइट का समर्थन नहीं कर रहे हैं, तो आपको तुरंत शुरू करने की आवश्यकता है। एक बैकअप सिस्टम आपकी साइट को पुनर्स्थापित करने में मदद करेगा यदि सबसे खराब होता है और आपकी साइट हैक हो रही है.

अपनी वेबसाइट के लिए एक नियमित बैकअप शेड्यूल बनाने के लिए UpdateraftPlus जैसे प्लगइन का उपयोग करें और उन फ़ाइलों को सुनिश्चित करने के लिए बैकअप फ़ाइलों को स्टोर करना न भूलें जो संक्रमित होने के साथ-साथ समाप्त नहीं होती हैं।.

6. हार्डन द एडमिन एरिया

जब यह व्यवस्थापक क्षेत्र को सख्त करने की बात आती है, तो आपको डिफ़ॉल्ट व्यवस्थापक URL को बदलने और उपयोगकर्ता द्वारा आपकी साइट के लॉक होने से पहले विफल लॉगिन प्रयासों की संख्या को सीमित करने की आवश्यकता होगी।.

डिफ़ॉल्ट रूप से, आपकी वेबसाइट का व्यवस्थापक URL इस तरह दिखाई देगा: yourdomain.com/wp-admin. हैकर्स यह जानते हैं और सीधे इस URL तक पहुँचने का प्रयास करेंगे ताकि वे आपकी साइट तक पहुँच प्राप्त कर सकें.

आप इस URL को प्लगइन की तरह बदल सकते हैं लॉगिन लॉगिन करें.

लॉगिन लॉगिन करें

जहाँ तक विफल लॉगिन प्रयासों की संख्या को सीमित करने के लिए, आप उपयोग कर सकते हैं लॉकडाउन प्लगइन लॉगिन करें.

लॉगिन लॉकडाउन

7. फाइल को अद्यतन रखें

जैसा कि हमने पहले उल्लेख किया है, पुरानी फाइलें सुरक्षा जोखिम पैदा करती हैं क्योंकि वे आपकी साइट को अन्य कारनामों के लिए असुरक्षित बना देती हैं। इसलिए आपको रिलीज़ होते ही अपडेट इंस्टॉल करना होगा.

जब आप इस पर हैं, तो सुनिश्चित करें कि आप नियमित रूप से अपने इंस्टॉल किए गए प्लगइन्स के माध्यम से जाएं और उन प्लगइन्स को निष्क्रिय और निष्क्रिय कर दें जिन्हें आप अब उपयोग नहीं कर रहे हैं.

8. अपने कंप्यूटर को सुरक्षित रखें

आप सोच रहे होंगे कि आपके कंप्यूटर का आपकी वेबसाइट से क्या संबंध है। यदि आपका कंप्यूटर वायरस से संक्रमित है और आप अपनी साइट तक पहुँचते हैं या इसके लिए फाइलें अपलोड करते हैं, तो वे संक्रमित फाइलें आपकी वेबसाइट को भी संक्रमित कर सकती हैं। संक्षेप में, आप यह सुनिश्चित करना चाहते हैं:

  • अपनी साइट तक पहुँचने के लिए सार्वजनिक वाई-फाई नेटवर्क का उपयोग करने से बचें
  • एंटी-वायरस सॉफ़्टवेयर स्थापित करें और सुनिश्चित करें कि यह अद्यतित है

9. अपना डेटाबेस उपसर्ग बदलें

वर्डप्रेस हैकर्स द्वारा प्रसिद्ध एक अन्य तथ्य यह है कि आपका डेटाबेस उपसर्ग wp पर सेट है। यह तथ्य उनके लिए तालिका के उपसर्ग का अनुमान लगाना और आपकी साइट तक पहुंच प्राप्त करने के लिए स्वचालित SQL इंजेक्शन का उपयोग करना आसान बनाता है.

अपने डेटाबेस के उपसर्ग को बदलना एक मैन्युअल प्रक्रिया है जिसमें आपका संपादन शामिल है WP-config.php फ़ाइल और phpMyAdmin का उपयोग करके तालिका नामों को बदलना। परिवर्तन करने से पहले, निवारक उपाय के रूप में अपनी साइट का बैकअप लेना सुनिश्चित करें.

Wp-config का संपादन

आपको अपने होस्टिंग खाते में लॉगिन करने और अपने cPanel या आपके नियंत्रण कक्ष का उपयोग करने की आवश्यकता होगी, जिसका होस्ट उपयोग कर रहा है। फिर, फ़ाइल प्रबंधक तक पहुँचें और अपना पता लगाएँ WP-config.php वर्डप्रेस निर्देशिका में फ़ाइल.

तालिका उपसर्ग लाइन खोजें जो इस तरह दिखती है: $ table_prefix एक = चिन्ह और उसके बाद तालिका उपसर्ग। संख्या, अंडरस्कोर, और अक्षरों के संयोजन का उपयोग करके अपने स्वयं के उपसर्ग के साथ डिफ़ॉल्ट स्ट्रिंग को बदलें:

$ table_prefix = = hgwp_3456_ ‘;

एक बार आपने संपादन कर लिया WP-config.php फ़ाइल, फ़ाइल प्रबंधक से बाहर निकलें और phpMyAdmin तक पहुंचें ताकि आप सभी तालिका नामों को बदल सकें। इसे मैन्युअल रूप से करना थकाऊ हो सकता है क्योंकि कुल 11 टेबल हैं जिन्हें आपको संपादित करने की आवश्यकता है। इसके बजाय, आप SQL टैब पर जाकर SQL क्वेरी इनपुट कर सकते हैं

SQL क्वेरी चला रहा है

फिर इसे इनपुट करें:

RENAME तालिका `wp_commentmeta` को` hgwp_3456_commentmeta`;

RENAME तालिका `wp_comments` को` hgwp_3456_comments`;

RENAME तालिका `wp_links` को` hgwp_3456_links`;

RENAME तालिका `wp_options` को` hgwp_3456_options` करने के लिए;

RENAME तालिका `wp_postmeta` को` hgwp_3456_postmeta`;

RENAME तालिका `wp_posts` को` hgwp_3456_posts`;

RENAME तालिका `wp_terms` को` hgwp_3456_terms`;

RENAME तालिका `wp_termmeta` को` wp_a123456_termmeta`;

RENAME तालिका `wp_term_relationships`` को` hgwp_3456_term_relationships`;

RENAME तालिका `wp_term_taxonomy` को` hgwp_3456_term_taxonomy`;

RENAME तालिका `wp_usermeta` को` hgwp_3456_usermeta`;

RENAME तालिका `wp_users` TO` hgwp_3456_users`;

जबकि उपरोक्त क्वेरी को आपके डेटाबेस के उपसर्ग को हर जगह बदलना चाहिए, लेकिन पुराने डेटाबेस के उपसर्ग को अपडेट करने के लिए किसी भी अन्य फ़ाइलों को सुनिश्चित करने के लिए एक अन्य क्वेरी को चलाना एक अच्छा विचार है:

* से चुनें * hgwp_3456_options `जहां` विकल्प_नाम` '% wp_%' का चयन करें

आप टूसरमेटा को भी खोजना चाहेंगे और किसी भी बचे हुए पुराने उपसर्ग को नए के साथ बदलना चाहेंगे:

का चयन करें * से 'hgwp_3456_usermeta' जहां `meta_key` पसंद '% wp_%'

10. हार्डन योर .htaccess और wp-config.php फाइलें

.htaccess और WP-config.php आपके WordPress स्थापना में सबसे महत्वपूर्ण फाइलें हैं। जैसे, आपको यह सुनिश्चित करने की आवश्यकता है कि वे सुरक्षित और संरक्षित हैं.

प्रत्येक नए अपडेट के साथ परिवर्तन को सुनिश्चित करने के लिए, # BEGIN वर्डप्रेस और # END वर्डप्रेस टैग के बाहर, अपनी .htaccess फ़ाइल के नीचे दिए गए कोड जोड़ें।.



आदेश की अनुमति, इनकार

सब से इनकार





आदेश की अनुमति, इनकार

सब से इनकार





आदेश इनकार करते हैं, अनुमति देते हैं

सब से इनकार

# मेरे आईपी पते से पहुंच की अनुमति दें

192.168.1.1 से अनुमति दें

ऊपर दिए गए स्निपेट आपके wp-config और .htaccess के साथ-साथ सीमा तक पहुँच की रक्षा करेंगे WP-login.php स्क्रीन.

अंत में, PHP फ़ाइल निष्पादन को रोकने के लिए नीचे स्निपेट जोड़ें:



सब से इनकार

11. फ़ाइल अनुमतियों की जाँच करें और बदलें

जब आप अपने को सुरक्षित कर रहे हों .इनको तथा WP-config.php फ़ाइल, अपने cPanel में थोड़ी देर तक रहें और अपनी वर्डप्रेस वेबसाइट में फ़ाइलों और फ़ोल्डरों के लिए फ़ाइल अनुमतियों की जाँच करें.

फ़ाइल अनुमतियाँ

के मुताबिक वर्डप्रेस कोडेक्स, अनुमतियाँ निम्नानुसार सेट की जानी चाहिए:

  • सभी निर्देशिकाएं 755 या 750 होनी चाहिए
  • सभी फाइलें 644 या 640 होनी चाहिए
  • wp-config.php 600 होनी चाहिए

यदि आपकी सेटिंग्स अलग हैं, तो हैकर्स आसानी से सामग्री को पढ़ सकते हैं और साथ ही उन फ़ाइलों और फ़ोल्डरों की सामग्री को भी बदल सकते हैं, जो तब आपकी साइट के हैक होने के साथ-साथ उसी सर्वर पर मौजूद अन्य साइटों को हैक किए जा सकते हैं।.

12. टू-फैक्टर ऑथेंटिकेशन का इस्तेमाल करें

एक प्लगइन की तरह उपयोग करने पर विचार करें Google प्रमाणक अपनी साइट के लिए दो-कारक प्रमाणीकरण स्थापित करने के लिए। इसका मतलब यह है कि आपको अपना पासवर्ड दर्ज करने के अलावा, आपको अपनी साइट पर लॉग इन करने के लिए एक मोबाइल ऐप द्वारा उत्पन्न कोड भी दर्ज करना होगा। यह ब्रूट-फोर्स हमलों को रोक सकता है इसलिए इसे अभी स्थापित करना एक अच्छा विचार है.

Google प्रमाणक

13. XML-RPC को अक्षम करें

XML-RPC आपकी साइट को वर्डप्रेस मोबाइल एप्लिकेशन और जेटपैक जैसे प्लगइन्स के साथ संबंध स्थापित करने की अनुमति देती है। दुर्भाग्य से, यह वर्डप्रेस हैकर्स का भी पसंदीदा है क्योंकि वे एक साथ कई कमांड निष्पादित करने और आपकी साइट तक पहुंच प्राप्त करने के लिए इस प्रोटोकॉल का दुरुपयोग कर सकते हैं। एक प्लगइन का उपयोग करें XML-RPC प्लगइन अक्षम करें इस सुविधा को निष्क्रिय करने के लिए.

XML- RPC अक्षम करें

14. HTTPS और SSL का उपयोग करें

इंटरनेट HTTPS प्रोटोकॉल के महत्व के बारे में ब्लॉग पोस्ट और लेखों से गुलजार हो गया है और कुछ समय के लिए आपकी साइट पर SSL सुरक्षा प्रमाणपत्र जोड़ रहा है.

HTTPS का मतलब हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर है जबकि SSL का मतलब सिक्योर सॉकेट लेयर्स के लिए है। संक्षेप में, HTTPS आगंतुक के ब्राउज़र को आपके होस्टिंग सर्वर (और इसलिए, आपकी साइट) के साथ एक सुरक्षित कनेक्शन स्थापित करने की अनुमति देता है। HTTPS प्रोटोकॉल एसएसएल के माध्यम से सुरक्षित है। साथ में, HTTPS और SSL यह सुनिश्चित करते हैं कि एक विज़िटर के ब्राउज़र और आपकी साइट के बीच की सारी जानकारी एन्क्रिप्ट की गई है.

अपनी साइट पर दोनों का उपयोग करने से न केवल आपकी साइट की सुरक्षा बढ़ेगी, बल्कि यह आपके खोज इंजन रैंक को भी लाभान्वित करेगा, आपके आगंतुकों में विश्वास स्थापित करेगा और अपनी रूपांतरण दर में सुधार करें.

अपने होस्टिंग प्रदाता से बात करें और एक SSL प्रमाणपत्र प्राप्त करने की संभावना के बारे में पूछें या आपको एक सम्मानित कंपनी की दिशा में इंगित करें जहाँ आप उसे खरीद सकें.

15. अपने वर्डप्रेस डैशबोर्ड के माध्यम से थीम और प्लगइन संपादन अक्षम करें

जब आप जल्दी से कोड की एक पंक्ति को जोड़ने की जरूरत है अपने WordPress डैशबोर्ड के भीतर अपने विषय और प्लगइन फ़ाइलों को संपादित करने का विकल्प है। लेकिन इसका मतलब यह भी है कि जो भी आपकी साइट पर लॉग इन करता है, वह उन फाइलों तक पहुंच सकता है.

निम्न कोड को अपने साथ जोड़कर इस सुविधा को अक्षम करें WP-config.php फ़ाइल:

// फाइल एडिट को अलग करें

परिभाषित ('DISALLOW_FILE_EDIT', सत्य);

16. Wp-config.php फाइल को एक गैर-डब्ल्यूडब्ल्यूडब्ल्यू निर्देशिका में ले जाएं

जैसा कि पहले उल्लेख किया गया है, WP-config.php फ़ाइल आपके वर्डप्रेस इंस्टॉलेशन की सबसे महत्वपूर्ण फाइलों में से एक है। इसे रूट डायरेक्टरी से नॉन-www एक्सेसिबल डाइरेक्टरी में ले जाकर इसे एक्सेस करना कठिन बना दें.

  1. शुरुआत के लिए, अपनी सामग्री की प्रतिलिपि बनाएँ WP-config.php एक नई फ़ाइल में फ़ाइल करें और इसे wp-config.php के रूप में सहेजें.
  1. अपने पुराने पर वापस जाएं WP-config.php फ़ाइल और नीचे दी गई कोड की लाइन जोड़ें:
  1. अपलोड करें और नया सहेजें WP-config.php एक अलग फ़ोल्डर में फ़ाइल.

17. अपना वर्डप्रेस सुरक्षा कुंजी बदलें

वर्डप्रेस सुरक्षा कुंजी उपयोगकर्ता की कुकीज़ में संग्रहीत जानकारी को एन्क्रिप्ट करने के लिए जिम्मेदार हैं। वे में स्थित हैं WP-config.php फ़ाइल और इस तरह देखो:

परिभाषित ('AUTH_KEY', 'अपना अनूठा वाक्यांश यहां रखें');

परिभाषित ('SECURE_AUTH_KEY', 'अपना अनूठा वाक्यांश यहां डालें');

परिभाषित करें ('LOGGED_IN_KEY', 'अपना अनूठा वाक्यांश यहां डालें');

परिभाषित ('NONCE_KEY', 'अपना अनूठा वाक्यांश यहां डालें');

परिभाषित ('AUTH_SALT', 'अपना अनूठा वाक्यांश यहां डालें');

परिभाषित ('SECURE_AUTH_SALT', 'अपना अनूठा वाक्यांश यहां डालें');

परिभाषित करें ('LOGGED_IN_SALT', 'अपना अनूठा वाक्यांश यहां डालें');

परिभाषित ('NONCE_SALT', 'अपना अनूठा वाक्यांश यहां डालें');

उपयोग वर्डप्रेस साल्ट की जेनरेटर उन्हें बदलने के लिए और अपनी साइट को अधिक सुरक्षित बनाने के लिए.

18. त्रुटि रिपोर्टिंग अक्षम करें

त्रुटि रिपोर्टिंग समस्या निवारण और निर्धारित करने के लिए उपयोगी है कि कौन सा विशिष्ट प्लगइन या विषय आपकी वर्डप्रेस वेबसाइट पर त्रुटि पैदा कर रहा है। हालाँकि, सिस्टम द्वारा त्रुटि की रिपोर्ट करने के बाद, यह आपके सर्वर पथ को भी प्रदर्शित करेगा। कहने की जरूरत नहीं है, यह हैकर्स के लिए यह पता लगाने का एक सही मौका है कि वे आपकी साइट में कमजोरियों का कैसे और कहां फायदा उठा सकते हैं.

आप अपने नीचे दिए गए कोड को जोड़कर इसे अक्षम कर सकते हैं WP-config.php फ़ाइल:

error_reporting (0);

@ini_set (‘display_errors ', 0);

19. वर्डप्रेस वर्जन नंबर निकालें

जो कोई भी आपकी वेबसाइट के स्रोत कोड पर एक नज़र डालता है, वह बता सकता है कि आप किस वर्डप्रेस का उपयोग कर रहे हैं। चूंकि प्रत्येक वर्डप्रेस संस्करण में सार्वजनिक चैंज होते हैं जो बग और सुरक्षा पैच की सूची का विस्तार करते हैं, वे आसानी से यह निर्धारित कर सकते हैं कि वे कौन से सुरक्षा छेद ले सकते हैं.

वर्डप्रेस संस्करण

सौभाग्य से, वहाँ एक आसान तय है। आप अपने विषय के फंक्शन्स को संपादित करके वर्डप्रेस संस्करण संख्या को निकाल सकते हैं। फाइल को जोड़ने और निम्नलिखित को जोड़ सकते हैं:

remove_action ('wp_head', 'wp_generator');

20. सुरक्षा हेडर का उपयोग करें

अपनी वर्डप्रेस वेबसाइट को सुरक्षित करने का दूसरा तरीका सुरक्षा हेडर को लागू करना है। आमतौर पर हैकिंग हमलों को रोकने और सुरक्षा भेद्यता कारनामों की संख्या को कम करने के लिए उन्हें सर्वर स्तर पर सेट किया जाता है। आप अपनी थीम को संशोधित करके उन्हें स्वयं जोड़ सकते हैं functions.php फ़ाइल.

सुरक्षा प्रमुख

क्रॉस-स्क्रिप्टिंग हमले

श्वेतसूची अनुमत सामग्री, स्क्रिप्ट, शैलियों और अन्य सामग्री स्रोतों में निम्नलिखित कोड जोड़ें:

हेडर ('सामग्री-सुरक्षा-नीति: डिफ़ॉल्ट- src https:');

यह ब्राउज़र को दुर्भावनापूर्ण फ़ाइलों को लोड करने से रोकेगा.

Iframe क्लिकजैकिंग

ब्राउज़र को एक फ्रेम में रेंडर न करने का निर्देश देने के लिए नीचे दी गई लाइन जोड़ें: हेडर (IG एक्स-फ़्रेम-विकल्प: SAMEORIGIN ');

एक्स-एक्सएसएस-संरक्षण और एक्स-सामग्री-प्रकार-विकल्प

XSS हमलों को रोकने के लिए निम्न लाइनें जोड़ें और इंटरनेट एक्सप्लोरर को माइम के प्रकारों को सूँघने के लिए न कहें

हेडर ('एक्स-एक्सएसएस-संरक्षण: 1; मोड = ब्लॉक');

हेडर ('X-Content-Type-Options: nosniff');

HTTPS लागू करें

ब्राउज़र को केवल HTTPS का उपयोग करने का निर्देश देने के लिए नीचे दिया गया कोड जोड़ें:

हेडर ('सख्त-परिवहन-सुरक्षा: अधिकतम-आयु = 31536000; उपसमुदाय; पूर्वभार');

WordPress में HTTPOnly और Secure ध्वज के साथ कुकी 

ब्राउज़र को केवल सर्वर द्वारा निर्धारित कुकी पर भरोसा करने के लिए कहें और कुकी निम्नलिखित जोड़कर SSL चैनलों पर उपलब्ध है:

@ini_set ('session.cookie_httponly', true);

@ini_set ('session.cookie_secure', true);

@ini_set ('session.use_only_cookies', true);

यदि आप इन हेडर को मैन्युअल रूप से जोड़ना नहीं चाहते हैं, तो एक प्लगइन का उपयोग करने पर विचार करें सुरक्षा प्रमुख. सुरक्षा हेडर लागू करने के लिए आप किस विधि का चयन करते हैं, इसका उपयोग करके उनका परीक्षण करना सुनिश्चित करें https://securityheaders.io वेबसाइट और आपकी साइट का URL दर्ज करना.

21. हॉटलिंकिंग रोकें

हॉटलिंकिंग प्रति सुरक्षा सुरक्षा उल्लंघन नहीं है, लेकिन यह विचार करने के लिए कि यह आपकी छवि या किसी अन्य मीडिया फ़ाइल पर सीधे इंगित करने के लिए आपकी साइट के URL का उपयोग करके किसी अन्य वेबसाइट को संदर्भित करता है, इसे चोरी माना जाता है। इस प्रकार, हॉटलिंकिंग से न केवल अप्रत्याशित लागत हो सकती है, क्योंकि आपको कानूनी अड़चनों से निपटना होगा, बल्कि इसलिए भी कि आपका होस्टिंग बिल छत से गुजर सकता है यदि आपकी छवि को चुरा लेने वाली साइट को बहुत अधिक ट्रैफ़िक प्राप्त होता है.

यदि आप Apache सर्वर का उपयोग कर रहे हैं और अपने वास्तविक डोमेन नाम के साथ डमी डोमेन को बदल रहे हैं, तो अपने .htaccess फ़ाइल के नीचे कोड जोड़ें।

पर RewriteEngine

RewriteCond% {HTTP_REFERER}! ^ Http (s) ?: // (www \)।? Domain.com [NC]

RewriteRule \ ((jpg | jpeg | png | gif) $ - [NC, F, L]

वैकल्पिक रूप से, यदि आप NGINX सर्वर का उपयोग कर रहे हैं, तो आप निम्नलिखित के साथ अपनी कॉन्फिग फ़ाइल को संशोधित करना चाहते हैं:

स्थान ~। (gif | png | jpe? g) $ {

valid_referers किसी ने भी ~ .google को अवरुद्ध नहीं किया है। ~ .Bing। ~ .yahoo yourdomain.com * .yourdomain.com;

अगर ($ अमान्य_सेफ़र) {

वापसी 403;

}

}

22. लॉग आउट आइडल यूजर्स

अपनी साइट की सुरक्षा बढ़ाने के लिए इस गाइड में अंतिम टिप निष्क्रियता की अवधि के बाद निष्क्रिय उपयोगकर्ताओं को लॉग आउट करना है। आप एक प्लगइन का उपयोग कर सकते हैं जैसे निष्क्रिय लॉगआउट स्वचालित रूप से निष्क्रिय सत्र को समाप्त करने के लिए.

निष्क्रिय लॉगआउट

यह आवश्यक है क्योंकि यदि आप एक नए ब्लॉग पोस्ट को जोड़ने के लिए अपनी वेबसाइट में लॉग इन करते हैं और किसी अन्य कार्य से विचलित होते हैं, तो आपका सत्र अपहृत हो सकता है और हैकर्स आपकी साइट को संक्रमित करने के लिए स्थिति का दुरुपयोग कर सकते हैं। यदि आपके साइट पर कई उपयोगकर्ता हैं, तो निष्क्रिय सत्रों को समाप्त करना और भी महत्वपूर्ण है.

हैक से कैसे पुनर्प्राप्त करें

उपरोक्त सुरक्षा उपाय आपकी साइट को सुरक्षित करने का एक शानदार तरीका है। लेकिन क्या होगा अगर आपकी साइट वैसे भी हैक हो जाए? आपकी वेबसाइट हैक होने की स्थिति में अनुसरण करने के लिए यहां कुछ चरण दिए गए हैं.

1. हैक की पुष्टि करें और अपना पासवर्ड बदलें

यदि आपकी साइट हैक हो गई है, तो सबसे पहले, आतंक न करें। इससे आपको मदद नहीं मिली है और काम पूरा हो गया है इसलिए जल्दी से कार्य करना महत्वपूर्ण है। अपनी साइट की जाँच करके प्रारंभ करें और देखें कि क्या आप अपने डैशबोर्ड पर लॉग इन कर सकते हैं। जांचें कि क्या आपकी साइट किसी अन्य साइट पर पुनर्निर्देशित हो रही है या यदि आपको कोई संदिग्ध या अजीब लिंक या विज्ञापन दिखाई देता है.

अपना पासवर्ड तुरंत बदलें और फिर अगले चरण पर जाएं.

2. अपने होस्टिंग कंपनी के साथ संपर्क में जाओ

अपने होस्ट से संपर्क करें और उन्हें बताएं कि आपकी साइट हैक हो गई है। वे आपको हैक के स्रोत की पहचान करने में मदद कर सकते हैं। कुछ होस्ट आपकी साइट को भी साफ करेंगे और दुर्भावनापूर्ण कोड और फ़ाइलों को हटा देंगे.

अपनी साइट को पुनर्स्थापित करने के लिए एक बैकअप का उपयोग करें

यदि आप अपनी साइट का बैकअप लेने के बारे में मेहनती हैं, तो हैक से पहले बैकअप का पता लगाएं और अपनी साइट को पुनर्स्थापित करने के लिए इसका उपयोग करें। जब आप कुछ सामग्री खो सकते हैं, तो आप अपनी साइट को प्राप्त करने और चलाने में सक्षम होंगे जैसा कि हमले से पहले हुआ था.

3. मैलवेयर के लिए अपनी साइट को स्कैन करें

मैलवेयर के लिए अपनी साइट को स्कैन करने और समझौता किए गए फ़ाइलों की पहचान करने के लिए सुकुरी के मुफ्त स्कैनर का उपयोग करें। यदि आप स्वयं मालवेयर को निकालना नहीं जानते हैं तो आप उनकी साइट की सफाई सेवा का विकल्प भी चुन सकते हैं.

4. अपनी साइट उपयोगकर्ताओं की जाँच करें

अपनी वर्डप्रेस वेबसाइट पर लॉगिन करें और उपयोगकर्ता> सभी उपयोगकर्ताओं पर जाएं। सुनिश्चित करें कि ऐसे कोई उपयोगकर्ता नहीं हैं जो आवश्यक नहीं हैं और यदि आवश्यक हो तो उन्हें हटा दें.

5. अपनी गुप्त कुंजी बदलें

नई सुरक्षा कुंजी उत्पन्न करने और उन्हें अपनी wp-config.php फ़ाइल में जोड़ने के लिए उपरोक्त वर्डप्रेस साल्ट की जेनरेटर का उपयोग करें। चूँकि वे कुंजियाँ आपके पासवर्ड को एन्क्रिप्ट करती हैं, हैकर्स तब तक लॉग इन रहेंगे, जब तक कि उनके कुकीज़ अमान्य नहीं हो जाते। नई सुरक्षा कुंजियाँ बस यही करेंगी और हैकर को आपकी साइट से बाहर करने के लिए बाध्य करेंगी.

6. एक पेशेवर किराया

अंत में, हैक को साफ करने और अपनी साइट से मैलवेयर हटाने के लिए एक पेशेवर को किराए पर लें। ध्यान रखें कि हैकर्स कई फाइलों में दुर्भावनापूर्ण कोड छिपा सकते हैं, इसलिए यदि आप मैलवेयर हटाने का अनुभव नहीं करते हैं, तो संक्रमित फ़ाइल को याद करना आसान है। इससे हैकर्स के लिए आपकी साइट को फिर से हैक करना आसान हो जाता है इसलिए एक पेशेवर को काम पर रखने की अत्यधिक अनुशंसा की जाती है.

वर्डप्रेस कमजोरियों के 7 सबसे आम प्रकार

इस लेख के साथ आगे जाने से पहले, कमरे में हाथी का पता दें: क्या वर्डप्रेस सुरक्षित है? इस सवाल का जवाब हाँ है। वर्डप्रेस सॉफ्टवेयर का कोर सुरक्षित है और वर्डप्रेस के पीछे की कंपनी सुरक्षा को गंभीरता से लेती है.

जो अपने सुरक्षा दल बोर्ड पर 50 विशेषज्ञ हैं, जिसमें लीड डेवलपर्स और सुरक्षा शोधकर्ता शामिल हैं जो यह सुनिश्चित करने के लिए पर्दे के पीछे काम कर रहे हैं कि वर्डप्रेस सुरक्षित है.

वास्तव में, अधिकांश सुरक्षा घटनाएं और जोखिम सुरक्षा भेद्यता की उपस्थिति के साथ जोड़ी गई मानवीय त्रुटि का परिणाम हैं.

वर्डप्रेस भेद्यता के सात प्रकार हैं जिनसे आपको अवगत होना चाहिए:

  • आउटडेटेड वर्डप्रेस फाइलें
  • पिछले दरवाजे का शोषण
  • फार्मा हैक
  • कमजोर पासवर्ड
  • दुर्भावनापूर्ण पुनर्निर्देश
  • होस्टिंग प्लेटफ़ॉर्म में कमजोरियाँ
  • सेवा हमलों का इनकार

आइए उनके ऊपर जाएं और बताएं कि वे वास्तव में क्या हैं.

1. आउटडेटेड वर्डप्रेस फाइल्स

आउटडेटेड वर्डप्रेस फाइलें वर्डप्रेस वर्जन, थीम और प्लगइन फाइलों को संदर्भित करती हैं। वे एक सुरक्षा जोखिम पैदा करते हैं क्योंकि वे आपकी साइट को अन्य कमजोरियों जैसे कि पिछले दरवाजे के कारनामों और फार्मा हैक्स के संपर्क में छोड़ देते हैं.

जैसे, आपको यह सुनिश्चित करने की आवश्यकता है कि आपका वर्डप्रेस इंस्टॉलेशन अप करने के साथ-साथ आपके थीम और प्लगइन्स पर भी निर्भर है। आपको लगातार अपडेट जारी करना चाहिए क्योंकि वे जारी किए गए हैं क्योंकि वे न केवल नई सुविधाओं के साथ आते हैं, बल्कि उनमें विभिन्न सुरक्षा और बग फिक्स भी शामिल हैं.

2. बैकडोर एक्सप्लॉइट

जब यह पिछले दरवाजे के कारनामों की बात आती है, तो हैकर्स आपकी साइट तक पहुंच प्राप्त करने के लिए पुरानी वर्डप्रेस फ़ाइलों का लाभ उठाएंगे। पुरानी फ़ाइलों के अलावा, वे SFTP, FTP और इसी तरह के माध्यम से आपकी साइट तक पहुँच प्राप्त कर सकते हैं.

एक बार जब वे आपकी साइट पर पहुँच प्राप्त करते हैं, तो वे आपकी साइट को संक्रमित करेंगे और अन्य साइटों को भी संक्रमित कर सकते हैं जो आपकी साइट के समान सर्वर पर हैं। अनुभवहीन उपयोगकर्ता के लिए पिछले वर्डप्रेस इंजेक्शन नियमित वर्डप्रेस फ़ाइलों की तरह दिखते हैं। लेकिन पर्दे के पीछे, वे आपके डेटाबेस तक पहुंचने और आपकी साइट पर कहर बरपाने ​​के लिए पुरानी फाइलों में कीड़े का फायदा उठाते हैं और साथ ही हजारों अन्य वेबसाइटें भी।.

3. फार्मा हैक्स

फार्मा हैक्स पुरानी वर्डप्रेस फ़ाइलों में कमजोरियों के कारनामों को संदर्भित करता है जहां एक हैकर उन फाइलों में कोड सम्मिलित करता है। कोड डालने के बाद, खोज इंजन आपकी वेबसाइट के बजाय फ़ार्मास्युटिकल उत्पादों के विज्ञापन प्रदर्शित करते हैं। इससे खोज इंजन आपकी वेबसाइट को स्पैम के रूप में चिह्नित कर सकता है.

4. कमजोर पासवर्ड

कमजोर पासवर्ड याद रखने में आसान हो सकते हैं, लेकिन हैकर्स के लिए अपनी सेना के लिए एक ब्रूट फोर्स हमले के माध्यम से पहुँच प्राप्त करना आसान बनाते हैं। एक क्रूर बल का हमला तब होता है जब एक हैकर स्वचालित स्क्रिप्ट का उपयोग करता है जो विभिन्न उपयोगकर्ता नाम और पासवर्ड संयोजनों का प्रयास करने के लिए पृष्ठभूमि में चलते हैं जब तक कि वे एक काम करने वाले संयोजन को नहीं पाते हैं।.

5. दुर्भावनापूर्ण पुनर्निर्देश

इसी तरह पुरानी फाइलों और एफ़टीपी या एसएफटीपी प्रोटोकॉल का उपयोग करके कोड को इंजेक्ट किया जाता है, जिसके परिणामस्वरूप फार्मा हैक या बैकडोर शोषण होता है, हैकर्स आपके आगंतुकों को दुर्भावनापूर्ण वेबसाइट पर रीडायरेक्ट करने के लिए आपके वर्डप्रेस इंस्टॉलेशन में .htaccess फ़ाइल का उपयोग करेंगे।.

आपके आगंतुक तब वायरस के साथ समाप्त हो सकते हैं या फ़िशिंग के शिकार हो सकते हैं.

6. होस्टिंग प्लेटफ़ॉर्म में कमजोरियाँ

कभी-कभी, आपकी वेबसाइट की सुरक्षा से समझौता हो सकता है क्योंकि आप एक होस्टिंग कंपनी का उपयोग कर रहे हैं जिसमें फ़ायरवॉल या फ़ाइल मॉनिटरिंग जैसी सुरक्षा सुविधाएँ नहीं हैं। यह आमतौर पर सस्ता होस्टिंग प्रदाताओं के साथ होता है, जिसका मतलब है कि अगर आपकी साइट हैक हो जाती है, तो आपको एक सस्ता होस्ट चुनना होगा।.

ध्यान रखें कि सस्ता होस्टिंग प्लेटफ़ॉर्म भी एक उच्च सुरक्षा जोखिम पैदा करता है क्योंकि आपकी साइट संक्रमित हो सकती है या हैकर्स के परिणामस्वरूप हैक हो सकती है जो उसी वेबसाइट पर होस्ट की गई अन्य वेबसाइट पर कमजोरियों का फायदा उठाती है।.

7. सेवा हमलों से इनकार

सेवा हमलों या डीडीओएस हमलों से इनकार करना किसी भी वेबसाइट के मालिक के लिए सबसे खतरनाक खतरों में से एक है। DDOS हमले में, एक हैकर कोड में बग और त्रुटियों का शोषण करेगा, जिससे आपकी साइट की ऑपरेटिंग सिस्टम की मेमोरी अभिभूत हो जाएगी। डीडीओएस हमले आमतौर पर बड़ी संख्या में साइटों को नीचे लाते हैं जो वर्डप्रेस जैसे एक विशिष्ट मंच का उपयोग करते हैं.

अब जब आप जानते हैं कि वर्डप्रेस से जुड़ी आम कमजोरियां क्या हैं, तो आइए जानें टिप्स, बेस्ट प्रैक्टिस और सुरक्षा सिफारिशें जो आपकी वर्डप्रेस साइट को सुरक्षित बनाने में आपकी मदद करेंगी.

समेट रहा हु

वर्डप्रेस एक शक्तिशाली और लोकप्रिय सीएमएस है जो किसी के लिए भी वेबसाइट बनाना आसान बनाता है। लेकिन क्योंकि यह इतना लोकप्रिय है, यह हैकर्स के लिए एक पसंदीदा लक्ष्य भी है। सौभाग्य से, आपके वर्डप्रेस साइट को सुरक्षित रखने के लिए कई कदम हैं और यदि आप इस लेख में दिए गए सुझावों का पालन करते हैं, तो आप एक सुरक्षित वर्डप्रेस वेबसाइट होने के लिए अपने रास्ते पर रहेंगे।.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map