वर्डप्रेस फाइलें और निर्देशिकाएं आपकी साइट को सुरक्षित रखने में महत्वपूर्ण भूमिका निभाती हैं। वर्डप्रेस इंस्टाल करने के बाद उन्हें ठीक से सेट करना आपकी सबसे बड़ी प्राथमिकता में से एक होना चाहिए। उपयोगकर्ता कौन सी फ़ाइलें देख सकता है और कौन सी कार्रवाइयां कर सकता है, इसकी उचित अनुमति सेट करने से आपकी साइट की सुरक्षा स्थिति में उल्लेखनीय रूप से सुधार होता है। इस पोस्ट में, हम चर्चा करेंगे कि PHP निष्पादन और निर्देशिका ब्राउज़िंग दोनों को अक्षम करने से आपकी साइट की सुरक्षा कैसे बेहतर हो सकती है।
PHP निष्पादन अक्षम करें:क्यों और कैसे?
कुछ वर्डप्रेस फोल्डर जैसे अपलोड या थीम या प्लगइन्स डिफ़ॉल्ट रूप से लिखने योग्य होते हैं। इस प्रकार की अनुमति उपयोगकर्ताओं को साइट पर चित्र और वीडियो अपलोड करने की अनुमति देती है। या किसी साइट पर थीम और प्लगइन्स इंस्टॉल करें। हर बार जब हम कोई प्लगइन या थीम इंस्टॉल करते हैं, तो नई फाइलें उनके संबंधित फोल्डर में स्टोर हो जाती हैं। यह संभव नहीं होगा यदि थीम और प्लगइन्स फ़ोल्डर लिखने योग्य नहीं थे।
कई लोग अपनी साइट बनाने के लिए वर्डप्रेस का उपयोग करना पसंद करते हैं, इसका एक कारण थीम और प्लगइन्स की मदद से साइट को आसानी से अनुकूलित करने की क्षमता है। कोई भी अपनी वेबसाइट पर कोई भी थीम या प्लगइन स्थापित कर सकता है जो कि संभव है क्योंकि थीम और प्लगइन फ़ोल्डर डिफ़ॉल्ट रूप से लिखने योग्य होते हैं। लेकिन दुर्भाग्य से, इस प्रकार की अनुमति से फ़िशिंग हमले, SEO स्पैम, ब्रूट फ़ोर्स अटैक आदि जैसे हैक हमले की संभावना भी खुल जाती है। हैकर्स लाभ उठा सकते हैं और एक दुर्भावनापूर्ण स्क्रिप्ट अपलोड कर सकते हैं जिसे दूरस्थ रूप से निष्पादित किया जा सकता है। इससे उन्हें आपकी साइट तक पूर्ण पहुंच प्राप्त करने या यहां तक कि आपकी वेबसाइट को नष्ट करने में मदद मिलेगी।
कोई याद कर सकता है कि मेलपोएट हैक ने हैकर्स को एक दुर्भावनापूर्ण PHP कोड अपलोड फ़ोल्डर में अपलोड करने की अनुमति दी थी जिसे उन्होंने साइट पर नियंत्रण हासिल करने के लिए निष्पादित किया था।
लेखन अनुमति को हटाना सुविधाजनक नहीं है क्योंकि तब, आप छवियों को अपलोड नहीं कर सकते हैं, या यहां तक कि अपनी साइट पर प्लगइन्स और थीम भी स्थापित नहीं कर सकते हैं। लेकिन आप जो कर सकते हैं वह PHP निष्पादन को अक्षम करके एक सफल हमले के दायरे को कम कर सकता है। यह विशिष्ट फ़ोल्डरों में निष्पादित करने की अनुमति को हटा देगा।
PHP निष्पादन को अक्षम करने का एक आसान तरीका उस विशिष्ट फ़ोल्डर की .htacess फ़ाइल में एक विशेष कोड डालना है जहाँ आप PHP निष्पादन को अक्षम करना चाहते हैं।
नोट: फ़ाइलों को संशोधित करने से पहले अपनी साइट का बैकअप लें। हम जिस चरण का पालन करने जा रहे हैं उसमें एक भी गलती आपकी साइट को तोड़ सकती है या अन्य समस्याओं का कारण बन सकती है। बैकअप यह सुनिश्चित कर सकते हैं कि जब कोई समस्या आती है तो आप अपनी साइट की कार्यशील प्रतिलिपि पर तुरंत वापस लौट सकते हैं।
चरण 1: अपलोड फ़ोल्डर में PHP निष्पादन को अक्षम करने के लिए, अपलोड फ़ोल्डर में बस एक .htaccess फ़ाइल बनाएं। आप फ़ोल्डर को wp-content में public_html के अंतर्गत पा सकते हैं।
चरण 2: अब फाइल बनाने के लिए नोटपैड (विंडोज के लिए) या टेक्स्टएडिट (मैक के लिए) खोलें। निम्नलिखित कोड शामिल करें और इस फ़ाइल को .htaccess (.htaccess.txt नहीं) के रूप में सहेजें:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L] </IfModule>
# END WordPress चरण 3: कोड को सेव करें और फाइल को अपलोड फोल्डर में अपलोड करें।
चरण 4: अब आपके पास अपलोड फोल्डर में एक नई .htaccess फाइल है। राइट-क्लिक करें और संपादित करें चुनें। निम्नलिखित कोड को अपनी बिल्कुल नई .htaccess फ़ाइल में रखें।
<FilesMatch “\.(php|php\.)$”> Order Allow,Deny Deny from all </FilesMatch>
नीचे दी गई छवि में, हमने कोड को हमारी .htaccess फ़ाइल में रखा है।
यह सुनिश्चित करता है कि "PHP" वाली कोई भी फ़ाइल पकड़ी जाएगी और निष्पादन से रोकी जाएगी। यदि कोई हैकर “mailciousPHPFileDisguisedAsJPEFfile.php.jpg” जैसी फ़ाइल अपलोड करने में सफल हो जाता है, तो उसे निष्पादन से रोक दिया जाएगा।
अधिकतम सुरक्षा के लिए, आप प्लगइन और थीम फ़ोल्डर की .htaccess फ़ाइलों में भी कोड जोड़ सकते हैं।
PHP निष्पादन को मैन्युअल रूप से अक्षम करना थोड़ा जोखिम भरा है। फ़ाइल प्रबंधक में सावधानी से चलना चाहिए। आपकी एक गलती आपकी साइट को गंभीर नुकसान पहुंचा सकती है। प्लगइन का उपयोग करके PHP निष्पादन को अक्षम करना आसान और कम जोखिम भरा है। MalCare सुरक्षा सेवा साइट हार्डनिंग सुविधाओं के साथ आती है जो उपयोगकर्ताओं को PHP निष्पादन को ब्लॉक करने की अनुमति देती है।
इस सुविधा को सक्षम करने के लिए आपको अपने FTP विवरण की आवश्यकता होगी।
PHP निष्पादन को अक्षम करने से आपकी साइट की सुरक्षा सख्त हो जाती है लेकिन हम एक कदम आगे जाकर निर्देशिका ब्राउज़िंग को अक्षम कर सकते हैं।
निर्देशिका ब्राउज़िंग बंद करें:क्यों और कैसे?
कभी-कभी कोई विज़िटर किसी वर्डप्रेस साइट को सूचीबद्ध करने वाली निर्देशिका को आसानी से देख सकता है। उदाहरण के लिए, हमारी वेबसाइट Westworld Fansite के विज़िटर केवल ब्राउज़र में "https://westworldfansite.com/wp-includes/" खोलकर wp-includes फ़ोल्डर में सूचीबद्ध फ़ाइलों को देख सकते हैं।
यह हानिरहित लग सकता है लेकिन निर्देशिका सूचीकरण संवेदनशील जानकारी प्रकट कर सकता है जिसका उपयोग हैकर आपकी साइट तक पहुंच प्राप्त करने के लिए कर सकते हैं। इसलिए हमें लिस्टिंग छिपाने की जरूरत है। जबकि आमतौर पर अस्पष्टता से सुरक्षा पर ध्यान दिया जाता है, यथासंभव अधिक से अधिक जानकारी छिपाना सबसे अच्छा है। हैकर्स आपके बारे में जितना कम जानेंगे, उनके आप पर हमला करने की संभावना उतनी ही कम होगी।
हमारी साइट सुरक्षा को सख्त करने के लिए, हमने निम्नलिखित कोड को .htaccess फ़ाइल में रखकर निर्देशिका ब्राउज़िंग को अक्षम करने का निर्णय लिया।
.htaccess फ़ाइलों को संशोधित करने से पहले अपनी साइट का बैकअप लेना याद रखें। एक गलती आपकी साइट पर बड़ी समस्या खड़ी कर सकती है। बैकअप यह सुनिश्चित करेंगे कि जब कोई समस्या आती है तो आप अपनी साइट की कार्यशील प्रतिलिपि पर तुरंत वापस लौट सकते हैं।
उस निर्देशिका की .htaccess फ़ाइल को संपादित करना याद रखें जिसे आप चाहते हैं कि उपयोगकर्ता ब्राउज़िंग को रोकें। उदाहरण के लिए, आप wp-include फ़ोल्डर को सुरक्षित रखना चाहते हैं, निम्न पंक्ति को wp-include फ़ोल्डर की .htaccess फ़ाइल में रखें:
Options All –Indexes
कोड सहेजने के बाद, हमने निर्देशिका सूची देखने का प्रयास किया और एक 403 त्रुटि पृष्ठ दिखाई दिया।
आपके ऊपर
PHP निष्पादन और निर्देशिका ब्राउज़िंग को अक्षम करना निश्चित रूप से आपकी वेबसाइट की सुरक्षा में सुधार कर सकता है लेकिन यह वर्डप्रेस साइट को हैक प्रयासों से सुरक्षित करने के कई तरीकों में से एक है। कुछ अन्य सुरक्षा उपाय जो आप कर सकते हैं, उनमें एक सुरक्षा प्लगइन का उपयोग करना, एक एसएसएल प्रमाणपत्र का उपयोग करना, एक अद्वितीय और मजबूत उपयोगकर्ता नाम और पासवर्ड का उपयोग करना, HTTP प्रमाणीकरण को लागू करना और अन्य चीजों के साथ दो-कारक प्रमाणीकरण शामिल हैं।