HTTP प्रमाणीकरण के साथ पासवर्ड सुरक्षित लॉगिन पृष्ठ: 60 मिलियन वर्डप्रेस वेबसाइटें हैं जो इसे दुनिया में सबसे लोकप्रिय वेबसाइट बिल्डिंग प्लेटफॉर्म बनाती हैं। लेकिन इस लोकप्रियता की एक कीमत है। वर्डप्रेस साइट पर दिन के हर एक मिनट में लगभग 90,978 हैक करने के प्रयास किए जाते हैं। जबकि ऐसी कई विधियां हैं जो हैकर्स एक वेबसाइट में सेंध लगाने के लिए नियोजित करते हैं, एक बहुत लोकप्रिय और व्यापक रूप से उपयोग की जाने वाली विधि को ब्रूट फोर्स अटैक कहा जाता है। इस प्रकार के हमलों में, हैकर्स आपके लॉगिन को क्रेडेंशियल्स में सही ढंग से अनुमान लगाने और अनुमान लगाने के लिए प्रोग्राम करते हैं, यही कारण है कि आपको अपने वर्डप्रेस लॉगिन पेज की रक्षा करनी चाहिए।
लॉगिन सुरक्षा के बारे में पिछली पोस्ट में, हमने एक अद्वितीय उपयोगकर्ता नाम के साथ आने और मजबूत पासवर्ड लागू करने पर चर्चा की। यह हैकर बॉट्स को आपकी साइट से बाहर रखने का एक प्रभावी तरीका है, लेकिन जब सुरक्षा की बात आती है, तो इस बात की कोई पूर्ण गारंटी नहीं है कि साइट सुरक्षित रहेगी। इंटरनेट कभी भी बहुत सुरक्षित स्थान नहीं रहा है, और सुरक्षा की कोई भी राशि पर्याप्त नहीं है। इसलिए आपकी साइट के लिए सुरक्षा के कई स्तरों का होना अच्छा है। जबकि एक अद्वितीय उपयोगकर्ता नाम और पासवर्ड महत्वपूर्ण हैं, लॉगिन पृष्ठ को लॉक करना भी सुरक्षा की दिशा में एक महत्वपूर्ण कदम है। ऐसा करने का एक तरीका HTTP प्रमाणीकरण के साथ लॉगिन पृष्ठ को पासवर्ड से सुरक्षित करना है। इस पोस्ट में, हम आपको दिखाएंगे कि आप इसे कैसे प्राप्त कर सकते हैं।
HTTP प्रमाणीकरण क्या है?
HTTP ऑथेंटिकेशन या HTTP बेसिक ऑथेंटिकेशन (BA) लॉगिन पेज पर प्रतिबंधात्मक एक्सेस को लागू करने की एक तकनीक है। एक साधारण सादृश्य बनाने के लिए, एक वेबसाइट को एक घर के रूप में सोचें। मुख्य द्वार लॉगिन पेज है। लोग घर में सेंध लगाने की कोशिश कर सकते हैं, इसलिए आपके पास एक मजबूत ताला होना चाहिए। लॉक लॉगिन क्रेडेंशियल के लिए खड़ा है, मुख्य दरवाजे से परे, एक बाड़ है जो घर को अतिरिक्त सुरक्षा प्रदान करती है। इसी तरह, HTTP प्रमाणीकरण आपके घर को अतिरिक्त सुरक्षा प्रदान करता है। इसका मतलब है कि जो कोई भी लॉगिन पेज तक पहुंचना चाहता है, उसे पहले HTTP प्रमाणीकरण (बाड़) और लॉगिन क्रेडेंशियल (मुख्य द्वार) से गुजरना होगा।
HTTP प्रमाणीकरण के साथ लॉगिन पृष्ठ को पासवर्ड कैसे सुरक्षित रखें ?
अपनी वर्डप्रेस साइट को HTTP प्रमाणीकरण के साथ सुरक्षित करने के लिए सबसे पहले आपको एक .htpasswd फ़ाइल जेनरेट करनी होगी। और फिर आपको .htpasswd फ़ाइल के स्थान के बारे में अपनी वेबसाइट की .htaccess फ़ाइल को सूचित करना होगा। और वह आपके लॉगिन पेज को लॉक कर देगा।
.htpasswd फ़ाइल कैसे बनाएं?
इस विशेष फ़ाइल में, आप उन लोगों के उपयोगकर्ता नाम और पासवर्ड संग्रहीत करेंगे जिन्हें आप लॉगिन पृष्ठ में एक्सेस करना चाहते हैं। अनिवार्य रूप से यह आपके घर के चारों ओर बाड़ के द्वार होने जैसा है। आप गेट की चाबी केवल उन लोगों को दे सकते हैं जिन्हें आप अपनी साइट तक पहुंच बनाना चाहते हैं। आइए जानें कि आप .htpasswd फ़ाइल कैसे बना सकते हैं।
एक नई .htpasswd फ़ाइल बनाने के लिए, आपको .htpasswd कमांड लाइन टूल का उपयोग करना होगा। ऑनलाइन कई टूल उपलब्ध हैं। जब आपको वह मिल जाए जिसका आप उपयोग करना चाहते हैं, तो उसे खोलें और कमांड लाइन में निम्नलिखित कोड लिखें:
htpasswd -c .htpasswd हरिणी
इस कमांड लाइन में, c का अर्थ है बनाना और हरिणी वह उपयोगकर्ता नाम है जिसे हम चुनते हैं। इस कोड को टाइप करने के बाद, जब आप एंटर दबाते हैं, तो आपको एक पासवर्ड बनाने के लिए कहा जाएगा जो इस उपयोगकर्ता नाम के लिए अद्वितीय होगा। चिंता मत करो; आपका पासवर्ड एन्क्रिप्ट किया जाएगा।
लेकिन अगर आपके पास पहले से .htpasswd फ़ाइल है, तो आपको बस एक नया उपयोगकर्ता नाम और पासवर्ड जोड़ना होगा। आप इसे निम्न कमांड लाइन लिखकर कर सकते हैं:
htpasswd .htpasswd राहुल
ध्यान दें कि हमने यहां -c का उपयोग कैसे नहीं किया क्योंकि हम कोई नई फ़ाइल नहीं बना रहे हैं।
आम तौर पर एक .htpasswd फ़ाइल कुछ इस तरह दिखाई देगी:उपयोगकर्ता नाम:एन्क्रिप्टेड_पासवर्ड। So if the username is harini and the password is dummy123pass, then the .htaccess file would be:harini:$apr1$50r17zis$lNbFJs4rQFfkp4ToO2/ZS/
The password has been encrypted. This .htaccess file is essentially your HTTP Basic Authentication credentials.
In case, you don’t want to use a tool or don’t know how to; you can use a .htpasswd generator. Open this link, and you should be able to see a window like an image below.
Type the username and password of your choice. There is an option to generate a random password too. Once done, hit the button that says Generate .htpasswd file. You should be able to see an output.
Modifying the .htaccess File
The .htaccess file is one of the most important files of your WordPress site. There are two things we’ll do with your .htaccess file. One, we’ll tell it what it needs to restrict and two, we tell it from where it could get the HTTP Basic Authentication credentials we just created in the steps above.
.htaccess is present in the public_html folder. To access it you will have to visit your web host account. Log in to your web host and go to a page called cPanel. There you should be able to find an option for File Manager. Select that, and a page will open, and in that page, you should be able to view the file.
Sometimes .htaccess is hidden and may not appear in the public_html folder. When that’s the case, what you need to do is go back to the cPanel, and click on File Manager. A popup will appear where you’ll have to select ‘Show Hidden Files.’
Next, you need download the file and then open it to add this code of line:
<Files wp-login.php> AuthUserFile /path/to/.htpasswd AuthName "Private access" AuthType Basic require valid-user </Files>
A few things you need to keep in mind when inserting this code: AuthUserFile /path/to/.htpasswd – is the path to the .htpasswd file you just created. Make sure the path is correct. The term ‘valid-user’ tells the system any user who has been mentioned in the .htpasswd file with access to the login page. But if you want to be selective about who you grant access to, then instead of using ‘valid-user’, you can just mention the usernames.
After you are done, save it and upload it to the same place from where you downloaded it. And that’s it. The next time you try to access the login page, you’ll see a small window appearing asking you for specific login credentials.
Besides HTTPS authentication, we suggest that you also implement two-factor authentication, which will add another layer of security to your WordPress login page.
Also take a few more security measures like moving your site from HTTP to HTTPS, installing a security plugin, protecting the login page, etc. While protecting your login page is a great idea, there are other ways in which hackers can gain access to your website. We strongly suggest that you take a more holistic approach to security by following our guide on Complete WordPress Security.