वर्डप्रेस सुरक्षा गलतियाँ: क्या आप जानते हैं कि वर्डप्रेस वेबसाइटों पर हर मिनट लगभग 90,978 हैक करने के प्रयास किए जाते हैं? एक बार आपकी साइट हैक हो जाने के बाद, हैकर्स इसका उपयोग सभी प्रकार की दुर्भावनापूर्ण गतिविधियों को अंजाम देने के लिए करते हैं जैसे स्पैम ईमेल भेजना (पढ़ें - फ़िशिंग हैक), अन्य वेबसाइटों पर हमला करना, स्पैम लिंक इंजेक्ट करना, आगंतुकों को पुनर्निर्देशित करना आदि।
यही कारण है कि आपके जैसे वर्डप्रेस साइट मालिकों को अपनी सुरक्षा चिंताओं को गंभीरता से लेना होगा। कोई भी चांदी की गोली नहीं है जिसका उपयोग आप अपनी सभी सुरक्षा आवश्यकताओं को हल करने के लिए कर सकते हैं, बल्कि आपको कई चीजों को सही ढंग से करने की आवश्यकता है। इंटरनेट पर, आपकी साइट को सुरक्षित और सुरक्षित रखने के बारे में असंख्य सलाहें हैं। उनमें से कुछ परस्पर विरोधी सलाह हैं और कुछ अभी पुरानी हैं। एक साइट के मालिक को क्या करना चाहिए और क्या नहीं करना चाहिए, इस पर कई राय और उस सभी भ्रम के बीच, गलतियाँ अपरिहार्य हैं।
किसी साइट की सुरक्षा बनाए रखना आसान काम नहीं है, खासकर नए साइट-मालिकों के लिए, जो ऐसी गलतियाँ करने के लिए प्रवृत्त होते हैं जो उन्हें आम हैक हमलों के लिए असुरक्षित बना सकती हैं। वेबसाइट स्वामियों द्वारा की जाने वाली सामान्य सुरक्षा गलतियों को जानने से उनसे बचने में मदद मिलेगी। और यही कारण है कि हम इस सूची के साथ आए हैं ताकि अधिकांश वर्डप्रेस साइट के मालिक गलतियां करना बंद कर सकें।
शीर्ष WordPress सुरक्षा गलतियाँ साइट स्वामी करें:
हमारा सुझाव है कि नीचे दिए गए उपायों में से कोई भी उपाय करने से पहले एक वर्डप्रेस सुरक्षा ऑडिट चलाएँ –
1. वर्डप्रेस कोर, प्लगइन और थीम अपडेट नहीं कर रहा है
वर्डप्रेस कोर और ऐड-ऑन (यानी थीम और प्लगइन्स) को अपडेट रखना एक अच्छा सुरक्षा उपाय है। उन्हें अपडेट करने से न केवल साइट में और अधिक सुविधाएं जुड़ती हैं बल्कि कमजोरियों को दूर करने में भी मदद मिलती है। इकोसिस्टम के कारण वर्डप्रेस काम करता है, कमजोरियों के बारे में खबरें बहुत तेजी से फैलती हैं और हैकर स्थिति का फायदा उठाने की कोशिश करता है। यदि आप अपनी साइट को अपडेट नहीं करते हैं, जिससे भेद्यता को ठीक करने में मदद मिलती, तो आपकी साइट में प्रवेश करना आसान हो जाएगा।
जबकि कुछ साइट स्वामी अपनी साइट को अपडेट नहीं करते हैं क्योंकि वे इस बात से अनजान होते हैं कि अपडेट सुरक्षा से कैसे जुड़े हैं, अन्य लोग असंगति से डरते हैं। वर्डप्रेस कोर, और इसके ऐड-ऑन को अपडेट करने के बाद वर्डप्रेस वेबसाइटें टूट सकती हैं।
वर्डप्रेस अपग्रेड को सभी पिछले संस्करणों के साथ संगत होने के लिए डिज़ाइन किया गया है। इस प्रकार यदि आपकी साइट संस्करण 4.1 चला रही है, तब भी आप इसे नवीनतम संस्करण में अपडेट कर सकते हैं, जो कि 4.9 है। लेकिन तमाम सावधानियों के बावजूद हर अपडेट वेबसाइट क्रैश होने की खबर लाता है। यहां नवीनतम वर्डप्रेस संस्करण 4.9.6 से एक उदाहरण दिया गया है।
वर्डप्रेस ऐड-ऑन, यानी थीम और प्लगइन्स को अपडेट करते समय आपको इसी तरह की समस्याओं का सामना करना पड़ सकता है। अक्सर थीम और प्लग इन में असंगति की समस्या उत्पन्न होती है क्योंकि डेवलपर को एक नया अपडेट जारी करने के लिए जल्दी किया गया था या शायद डेवलपर अक्षम था। प्लगइन्स और थीम का वास्तव में प्रतिस्पर्धी बाजार है और बाकी से बाहर खड़े होने के लिए, डेवलपर्स को कम से कम समय में अधिक से अधिक नई सुविधाएँ जोड़ने के लिए प्रेरित किया जाता है। कभी-कभी उन्हें यह देखने के लिए पर्याप्त समय नहीं दिया जाता है कि संस्करण वर्डप्रेस के हर पिछले संस्करण के साथ संगत है या नहीं। और इसलिए यदि कोई बहुत जल्दी वर्डप्रेस संस्करण का उपयोग कर रहा है, और एक प्लगइन अपडेट करता है जो केवल नवीनतम कुछ वर्डप्रेस संस्करणों के साथ काम करता है, तो उसकी साइट टूट जाती है।
वर्डप्रेस कोर और ऐड-ऑन के बीच संगतता मुद्दों के बारे में चिंताएं साइट मालिकों को सुरक्षा अपडेट छोड़ने के लिए प्रेरित कर सकती हैं।
इसे कैसे ठीक करें: एक मंचन सेवा इस समस्या का समाधान कर सकती है। WordPress core और उसके ऐड-ऑन की स्थापना के परीक्षण के उद्देश्य से एक डुप्लिकेट साइट बनाने की प्रक्रिया को स्टेजिंग कहा जाता है। BlogVault जैसी बैकअप सेवाएं या यहां तक कि Kinsta जैसे वेब होस्ट प्रदाता स्टेजिंग वातावरण प्रदान करते हैं। अपने वेब होस्ट या बैकअप सेवाओं (यदि आप एक का उपयोग कर रहे हैं) से यह देखने के लिए जांचें कि क्या उनके पास साइट को चरणबद्ध करने का विकल्प है। यदि नहीं, तो उस सेवा के साथ साइन अप करें जो आपको किसी साइट को मंचित करने की अनुमति देती है।
अपने प्लगइन्स, थीम और कोर को अपडेट रखने के अलावा, हम दृढ़ता से सुझाव देते हैं कि आप अपने वर्डप्रेस सॉल्ट्स और सुरक्षा कुंजियों को अपडेट रखें।
2. खराब गुणवत्ता वाले ऐड-ऑन का उपयोग करना
सभी वर्डप्रेस प्लगइन्स और थीम अच्छी तरह से नहीं बने हैं। कुछ गुणवत्ता आश्वासन जांच को अनदेखा करते हैं, जबकि अन्य शौकिया प्रोग्रामर द्वारा विकसित किए जाते हैं। यह महत्वपूर्ण है कि उपयोगकर्ता इस बात पर ध्यान दें कि वह क्या उपयोग करना या खरीदना चाहता है। लेकिन दुर्भाग्य से, कई वर्डप्रेस उपयोगकर्ताओं के पास कोई तकनीकी ज्ञान नहीं है जो उन्हें यह पता लगाने के लिए अक्षम बनाता है कि प्लगइन या थीम कितना अच्छा है।
इसे कैसे ठीक करें: ऐसे उपयोगकर्ताओं की मदद करने के लिए, हमने कुछ विशेषताओं को सूचीबद्ध किया है जो एक अच्छी थीम या प्लगइन को खोजने में मदद करेंगे:
मैं। सुनिश्चित करें कि आपको ऐड-ऑन प्रतिष्ठित स्रोत . से प्राप्त होते हैं जैसे वर्डप्रेस प्लगइन रिपॉजिटरी या लोकप्रिय विक्रेता जैसे एलिगेंट थीम्स, थीमफ़ॉरेस्ट, आदि।
ii. सुनिश्चित करें कि ऐड-ऑन की वर्डप्रेस रिपॉजिटरी पर अच्छी रेटिंग है और उन्हें उन लोगों द्वारा देखा जाता है, जिन्होंने अपनी साइट पर थीम/प्लगइन का उपयोग किया है . एक त्वरित Google खोज आपको समीक्षाएं ढूंढने में सहायता करेगी।
iii. सत्यापित करें कि प्लगइन को काफी समय हो गया है और समय की कसौटी पर खरा उतरा है। वर्डप्रेस रिपॉजिटरी या आधिकारिक वेबसाइट में सूचीबद्ध सुरक्षा अपडेट और बग फिक्स देखें।
iv. और सुनिश्चित करें कि वेअक्सर अपडेट किए जाते हैं और हालिया अपडेट 2 महीने से भी कम समय पहले किया गया है।
3. अवैध प्लगइन्स और थीम का उपयोग करना
बहुत सारी वेबसाइटें प्रीमियम थीम और प्लगइन मुफ्त में बेचती हैं। इन मुफ्त उत्पादों का उपयोग करना आपदा का कारण बन सकता है क्योंकि इनमें से कई वर्डप्रेस ऐड-ऑन में जानबूझकर मैलवेयर डाला गया है। इन अवैध ऐड-ऑन को आपकी साइट में स्थापित करना दरवाजे खोलने और आपकी साइट पर हैकर्स को आमंत्रित करने जैसा है। एक बार जब कोई हमलावर आपके द्वारा इंस्टॉल किए गए थीम/प्लगइन में खराब कोड का उपयोग करके आपकी साइट में सेंध लगाने का प्रबंधन करता है, तो वे आपकी साइट का उपयोग स्पैम ईमेल भेजने या अन्य साइटों पर हमला करने जैसी कई दुर्भावनापूर्ण गतिविधियों को अंजाम देने के लिए करेंगे। इसके अलावा, आपकी साइट पर मैलवेयर होने से यह समझौता हुआ है जिसके कारण होस्टिंग प्रदाता आपकी साइट को ब्लैकलिस्ट करने के लिए Google जैसे आपके खाता खोज इंजन को निलंबित कर देते हैं, और आपके AdWords खाते को निलंबित कर देते हैं।
इसे कैसे ठीक करें: थीमफ़ॉरेस्ट, एलिगेंट थीम्स आदि जैसे लोकप्रिय बाज़ारों से मूल थीम और प्लगइन्स खरीदें। बिक्री अवधि के दौरान, कोई भी बहुत कम कीमतों पर थीम और प्लगइन खरीद सकता है। कोई हमारी पसंद की थीम या प्लगइन की आधिकारिक वेबसाइट देख सकता है।
4. अप्रयुक्त प्लगइन्स और थीम को अपनी साइट पर रखना
वेबसाइट पर अप्रयुक्त थीम और प्लगइन्स रखने से हैकर्स को आपकी साइट में घुसपैठ करने का अवसर मिलता है। कई साइट स्वामी निष्क्रिय ऐड-ऑन अपडेट नहीं करते हैं क्योंकि वे सुरक्षा लाभों से अनजान हैं। उनके लिए, अपडेट नई सुविधाएँ लाते हैं, और चूंकि वे प्लगइन का उपयोग नहीं कर रहे हैं, उन्हें लगता है कि उन्हें नई सुविधाओं की आवश्यकता नहीं है। यदि किसी भेद्यता को ठीक करने के लिए कोई अपडेट जारी किया गया था, तो आपकी साइट तब तक जोखिम में रहती है जब तक आप उसे अपडेट नहीं करते।
इसे कैसे ठीक करें: यहां एकमात्र समाधान निष्क्रिय वर्डप्रेस थीम और प्लगइन से छुटकारा पाना है। यहां बताया गया है:
अपनी साइट के वर्डप्रेस डैशबोर्ड से 'इंस्टॉल किए गए प्लगइन्स' पेज पर जाएं।
पृष्ठ में, 'निष्क्रिय' नामक एक विकल्प है। उसे चुनें।
यह दूसरे पेज पर ले जाएगा जहां से आप निष्क्रिय प्लग इन को हटा सकते हैं . लेकिन 'निष्क्रिय' बटन को हिट करने से पहले, हमारा सुझाव है कि आप सुनिश्चित करें कि निकट भविष्य में आपको उस विशेष प्लगइन की आवश्यकता नहीं होगी।
5. खराब वेबसाइट लॉगिन प्रथाओं का उपयोग करना
दो सामान्य और अभी तक बहुत खतरनाक लॉगिन प्रथाएं लॉगिन क्रेडेंशियल का अनुमान लगाने में आसान हैं और जब साइट का उपयोग नहीं किया जा रहा है तो लॉग आउट नहीं करना है। आक्रमणकर्ता प्रोग्राम बॉट जो किसी साइट को हैक करने के लिए याद रखने में आसान उपयोगकर्ता नाम (जैसे व्यवस्थापक) और पासवर्ड (जैसे पासवर्ड123) के संयोजन का उपयोग करके आपकी साइट में प्रवेश करने का प्रयास करते हैं। किसी साइट को हैक करने के इस अजीबोगरीब तरीके को ब्रूट फोर्स अटैक कहा जाता है।
इसे कैसे ठीक करें: यह अनुशंसा की जाती है कि आप एक अद्वितीय उपयोगकर्ता नाम और पासवर्ड . का उपयोग करें (अनुशंसित पढ़ें - वर्डप्रेस लॉगिन पेज सुरक्षा गाइड)। यहां एक नकारात्मक पहलू यह है कि अद्वितीय साख याद रखना मुश्किल है। इसलिए आपको इन क्रेडेंशियल्स वाले दस्तावेज़ को बनाए रखना चाहिए। और सुनिश्चित करें कि अनधिकृत पहुंच को रोकने के लिए दस्तावेज़ एन्क्रिप्ट किया गया है।
6. प्रत्येक उपयोगकर्ता को व्यवस्थापकीय पहुंच प्रदान करना
प्रत्येक उपयोग को एक व्यवस्थापक बनाना एक बुरा विचार है, विशेष रूप से उन वेबसाइटों के लिए जहां बड़ी संख्या में ऐसे उपयोगकर्ता हैं जिन्हें साइट स्वामी व्यक्तिगत रूप से नहीं जानता है। वर्डप्रेस साइट मालिकों को उपयोगकर्ताओं को निम्नलिखित भूमिकाएँ सौंपने की अनुमति देता है - प्रशासक, संपादक, लेखक, योगदानकर्ता, सब्सक्राइबर, एसईओ प्रबंधक, एसईओ संपादक। सभी को व्यवस्थापक बनाना जोखिम भरा है क्योंकि यह साइट के सभी क्षेत्रों तक पहुंच प्रदान करता है।
उपयोगकर्ताओं को पूरी साइट पर अप्रतिबंधित पहुंच प्रदान करने से शोषण होता है जैसा कि इस मामले में TechCrunch (एक लोकप्रिय तकनीकी साइट) के साथ देखा गया था, जिन्हें OurMine (एक हैकर का समूह) द्वारा हैक किया गया था। एक उपयोगकर्ता खाते तक पहुंच प्राप्त करने के बाद, OurMine साइट पर पोस्ट करने में सक्षम हो गया। टेकक्रंच के हैक होने के बाद पाठकों के जागने पर होम पेज का स्क्रीनशॉट यहां दिया गया है:
इसे कैसे ठीक करें: वर्डप्रेस पर प्रत्येक उपयोगकर्ता भूमिका साइट के केवल विशिष्ट क्षेत्रों तक पहुंच की अनुमति देती है। उपयोगकर्ता को अपनी साइट पर क्या करने की आवश्यकता है, इसके आधार पर आप इन भूमिकाओं को असाइन कर सकते हैं। इस सिद्धांत का पालन करना सुनिश्चित करता है कि केवल वे लोग ही पूरी साइट तक पहुंच सकते हैं जिन पर आप भरोसा करते हैं। और अगर कुछ गलत होता है, तो आप जानते हैं कि कौन जवाबदेह है।
7. बैकअप नहीं लेना
बैकअप आपका सुरक्षा जाल है। आपदा आने पर एक जगह न होना आपको परेशानी में डाल सकता है। यदि आपकी साइट हैक हो जाती है और पोस्ट डिलीट हो जाती हैं, तो आप बैकअप का उपयोग करके आसानी से अपनी साइट को वापस सामान्य स्थिति में ला सकते हैं। लेकिन किसी भी बैकअप सेवा का उपयोग करना उचित नहीं है क्योंकि कई बैकअप सेवाएं कुशल नहीं हैं। उदाहरण के लिए, कई बैकअप प्लग इन आपके वेब सर्वर में बैकअप संग्रहीत करते हैं। उनमें से कुछ बैकअप को एक ही स्थान पर संग्रहीत करते हैं। आपका वेबसाइट सर्वर बैकअप स्टोर करने के लिए एक आदर्श स्थान नहीं है क्योंकि सर्वर नियमित प्रक्रियाओं को करने के शीर्ष पर बैकिंग का बोझ उठाता है। यह आपकी साइट की गति को कम कर देता है। केवल एक बैकअप संग्रहीत करने का अर्थ है कि यदि आप उस बैक को खो देते हैं, तो आपके पास वापस आने के लिए कोई अन्य बैकअप नहीं होगा।
इसे कैसे ठीक करें: बैकअप सेवा चुनने से पहले, यह देखने के लिए सुविधाओं की जाँच करें कि वे बैकअप कहाँ संग्रहीत करते हैं। यदि आपको उचित जानकारी नहीं मिलती है, तो उन्हें सीधे प्रश्न पूछने के लिए एक मेल शूट करें कि वे बैकअप कहाँ संग्रहीत करते हैं और यदि वे इसे कई स्थानों पर संग्रहीत करते हैं। विश्वसनीय बैकअप कैसे चुनें, इसके बारे में अधिक जानने के लिए, इस पोस्ट को देखें।
8. सुरक्षा सेवा का उपयोग नहीं करना
कई वेबसाइट के मालिक, विशेष रूप से जिनके पास छोटी वेबसाइटें हैं, जो कम ट्रैफ़िक में आकर्षित करती हैं, उन्हें लगता है कि उनकी साइट महत्वहीन है और इसलिए हैकर का ध्यान आकर्षित नहीं करेंगे। लेकिन आज हैकर्स के पास छोटी वेबसाइट पर हमला करने के कई कारण हैं। वे इसका इस्तेमाल फाइलों को स्टोर करने या अन्य चीजों के साथ स्पैम मेल भेजने के लिए कर रहे होंगे। कई हैकिंग समूह, वास्तव में, छोटी साइट पर हमला करना पसंद करते हैं क्योंकि छोटी वेबसाइटें अपनी सुरक्षा के प्रति लापरवाह होती हैं और इसलिए उन्हें हैक करना आसान होता है। वे बड़े पैमाने पर क्रूर बल के हमले शुरू करते हैं जहां बॉट्स साइट में सेंध लगाने के लिए सही उपयोगकर्ता नाम और क्रेडेंशियल का अनुमान लगाने की कोशिश करते हैं। सबसे पसंदीदा हैकिंग तकनीकों में से एक में कमजोर प्लगइन्स और थीम का लाभ उठाना शामिल है।
इसे कैसे ठीक करें: एक मानक सुरक्षा सेवा वर्डप्रेस फ़ायरवॉल जैसी आवश्यक सुरक्षा सुविधाएँ प्रदान करती है जो हैकर्स को आपकी साइट पर जबरदस्ती करने से रोकने में मदद करती है।
अपनी साइट को ठीक करने के लिए उपरोक्त उपाय करने के अलावा, आप कुछ और सुरक्षा उपाय भी कर सकते हैं। हम दृढ़ता से इस गाइड का पालन करने का सुझाव देते हैं - अपनी वर्डप्रेस साइट को wp-config.php के साथ सुरक्षित करें।
जब भी प्लगइन या थीम या यहां तक कि कोर क्रॉप में कोई भेद्यता होती है, तो डेवलपर्स अपडेट के माध्यम से एक पैच जारी करते हैं। इसलिए अपने सभी विषयों और प्लगइन्स और वर्डप्रेस कोर को अपडेट रखना एक अच्छा सुरक्षा अभ्यास है। मैलकेयर - सबसे अच्छे वर्डप्रेस सुरक्षा प्लगइन्स में से एक साइट प्रबंधन सुविधा प्रदान करता है जो आपको मालकेयर डैशबोर्ड से प्लगइन्स, थीम और वर्डप्रेस कोर को अपडेट करने की अनुमति देता है। यह उन लोगों के लिए विशेष रूप से सहायक है जिनके पास बनाए रखने के लिए कई वेबसाइटें हैं। प्रत्येक वेबसाइट में लॉग इन करना और थीम, प्लगइन्स और कोर को अपडेट करना एक समय लेने वाला काम है। मालकेयर जैसी सेवाएं साइट स्वामियों के लिए अच्छी सुरक्षा प्रथाओं का पालन करना आसान बनाती हैं।
फ़ायरवॉल और साइट प्रबंधन के अलावा, एक सुरक्षा प्लगइन दैनिक स्कैनिंग सेवाएं भी प्रदान करता है। यदि आपकी वेबसाइट मैलवेयर से संक्रमित है, तो प्लगइन आपकी हैक की गई वेबसाइट को सुधारने में आपकी सहायता करेगा। यदि आप अपनी वेबसाइट सुरक्षा को पूरी तरह से प्रबंधित करने के लिए सीधे आपको वर्डप्रेस वेबसाइट रखरखाव सेवाएं प्रदान करने वाली टीम के साथ अधिक सहज महसूस करते हैं, तो WP बफ़्स एक बढ़िया विकल्प होने जा रहा है। चाहे आप 1 वेबसाइट का प्रबंधन कर रहे हों या 1000!
आगे क्या?
एक अच्छे वर्डप्रेस सुरक्षा प्लगइन का उपयोग करना एक सुरक्षित वेबसाइट बनाने या वर्डप्रेस को सुरक्षित रखने की दिशा में पहला कदम है। कुछ और सुरक्षा उपाय जो आप कर सकते हैं, उनमें शामिल हैं आईपी ब्लॉक करना, लॉगिन पेज की सुरक्षा करना, और आगे जानने के लिए वर्डप्रेस सुरक्षा पर इस पूरी गाइड का पालन करना शामिल है। अपनी वर्डप्रेस साइट को कैसे सुरक्षित करें।
यदि आपने अतीत में इनमें से कोई भी गलती की है, तो उम्मीद है कि पोस्ट ने यह देखने में मदद की कि आप क्या गलत कर रहे थे और उन्हें कैसे ठीक किया जाए। हम इन वर्डप्रेस सुरक्षा गलतियों और उनके सुधारों के बारे में आपके किसी भी प्रश्न का स्वागत करते हैं। कृपया हमारे संपर्क पृष्ठ के माध्यम से हमसे संपर्क करें।