WordPress Admin को कैसे सुरक्षित करें पर एक गाइड

सुरक्षित WordPress व्यवस्थापक: क्या आप जानते हैं कि वर्डप्रेस वेबसाइटों पर दिन के हर एक मिनट में 90,000 से अधिक हैक करने के प्रयास किए जाते हैं? इसका तात्पर्य यह है कि आपकी वेबसाइटों पर हैक के प्रयास आसन्न हैं, भले ही साइट बड़ी हो या छोटी। सुरक्षा एक वेबसाइट के लिए सर्वोच्च चिंता का विषय है।

एक वर्डप्रेस वेबसाइट को हैक करने के लिए हैकर्स विभिन्न तकनीकों का सहारा लेते हैं और ब्रूट फोर्स अटैक एक ऐसी तकनीक है। इसमें वेबसाइट लॉगिन पेज पर आमतौर पर उपयोग किए जाने वाले उपयोगकर्ता नाम और पासवर्ड के संयोजन को आज़माना शामिल है।

एक सफल ब्रूट फोर्स अटैक आपको वर्डप्रेस एडमिन तक पहुंच प्रदान करता है। वर्डप्रेस एडमिन एरिया एक वर्डप्रेस संचालित वेबसाइट का प्रशासनिक केंद्र है। जिस किसी के पास व्यवस्थापक तक पूर्ण पहुंच है, उसका साइट पर पूर्ण नियंत्रण होगा। इसलिए, अपने वर्डप्रेस एडमिन को क्रूर बल के हमलों से बचाना महत्वपूर्ण है।

WordPress Admin को कैसे सुरक्षित करें?

हम कई तकनीकों के साथ आए हैं जो हैक प्रयासों के खिलाफ आपकी साइट के वर्डप्रेस व्यवस्थापक को सुरक्षित करने में आपकी सहायता करेंगे।

1. मजबूत पासवर्ड का प्रयोग करें

सबसे आम गलतियों में से एक जो वेबसाइट के मालिक करते हैं, वह है कमजोर पासवर्ड का उपयोग करना। वर्षों से, पासवर्ड क्रैकिंग तकनीक परिपक्व हो गई है। आसानी से लगने वाले पासवर्ड कुछ ही मिनटों में क्रैक हो जाते हैं। मजबूत पासवर्ड आपकी साइट को सामान्य पासवर्ड क्रैकिंग तकनीकों से बचाने में मदद करते हैं। अपनी वर्डप्रेस साइट के लिए वास्तव में मजबूत पासवर्ड कैसे बनाएं, इस पर एक उत्कृष्ट लेख यहां दिया गया है।

हालाँकि, मजबूत पासवर्ड याद रखना एक समस्या हो सकती है। यह पोस्ट बताती है कि मजबूत वर्डप्रेस पासवर्ड कैसे प्रबंधित करें।

एक और बहुत ही सामान्य गलती जो बहुत से लोग करते हैं, वह यह है कि जब वे एक ही पासवर्ड का उपयोग कई साइटों पर करते हैं। जब एक पासवर्ड से छेड़छाड़ की जाती है, तो पासवर्ड से जुड़े सभी खातों से छेड़छाड़ की जाती है। इसलिए, खातों के लिए अलग-अलग पासवर्ड का उपयोग करने से इस स्थिति से बचने में मदद मिल सकती है।

2. सामान्य उपयोगकर्ता नाम का उपयोग करने से बचें

वर्डप्रेस पासवर्ड सुरक्षित करना वर्डप्रेस लॉगिन क्रेडेंशियल हासिल करने की दिशा में एक महत्वपूर्ण कदम है। लॉगिन क्रेडेंशियल का दूसरा घटक उपयोगकर्ता नाम है। अगर आपके यूजरनेम का अंदाजा लगाना आसान है तो हैकर को सिर्फ पासवर्ड पर फोकस करने की जरूरत है।

सबसे आम वर्डप्रेस उपयोगकर्ता नामों में से एक "व्यवस्थापक" है। कुछ साल पहले तक, वर्डप्रेस ने एक उपयोगकर्ता नाम के रूप में "व्यवस्थापक" का स्वतः सुझाव दिया था। हालाँकि वर्डप्रेस ने "व्यवस्थापक" की सिफारिश करना बंद कर दिया, लेकिन कई साइट मालिक अभी भी इसका उपयोग कर रहे हैं। उपयोगकर्ता नाम के रूप में "व्यवस्थापक" का उपयोग करके कई नए उपयोगकर्ता खाते बनाए जा रहे हैं। ये सभी वेबसाइटें खुद को आसान निशाना बना रही हैं.

चूंकि वर्डप्रेस अद्वितीय उपयोगकर्ता नामों के उपयोग को लागू नहीं करता है, इसलिए आपको यह सुनिश्चित करने की आवश्यकता है कि आपका कोई भी उपयोगकर्ता सामान्य उपयोगकर्ता नाम का उपयोग नहीं कर रहा है और "व्यवस्थापक" के साथ कोई नया खाता नहीं बनाया जा रहा है। आमतौर पर उपयोग किए जाने वाले उपयोगकर्ता नाम की इस विस्तृत सूची पर एक नज़र डालें ताकि आप जान सकें कि किन उपयोगकर्ता नामों से बचना चाहिए।

3. अपना वर्डप्रेस लॉगिन पेज छुपाएं

वर्डप्रेस वेबसाइट पूर्व निर्धारित तरीके से काम करती है। उदाहरण के लिए, सभी वर्डप्रेस वेबसाइट एक डिफ़ॉल्ट लॉगिन पेज के साथ आती हैं जो कुछ इस तरह दिखता है “www.anysite.com/wp-admin”। इससे हैकर का काम आसान हो जाता है क्योंकि वे एक साथ कई लक्षित वर्डप्रेस साइटों पर एक स्वचालित हमला शुरू कर सकते हैं। लेकिन अगर आप लॉगिन पेज को बदलकर उसे छुपाते हैं, तो आप अपनी साइट पर इस तरह के हमलों को रोक सकते हैं।

ऐसे कई प्लगइन्स हैं जिनका उपयोग आप अपने लॉगिन पेज को बदलने के लिए कर सकते हैं और एक यूआरएल का उपयोग कर सकते हैं जो प्लगइन आपको सुझाता है। यह संभावना है कि समान प्लगइन का उपयोग करने वाली अन्य वेबसाइटें समान URL का उपयोग कर रही हों। और अगर हैकर्स यूआरएल फॉर्मेट को जानते हैं, तो आपके लॉगिन पेज को छिपाने का कोई मतलब नहीं होगा। इसलिए, एक उपकरण का उपयोग करें जो आपको अपना स्वयं का कस्टम लॉगिन पृष्ठ URL बनाने में सक्षम बनाता है।

4. HTTP प्रमाणीकरण लागू करें

वर्डप्रेस एडमिन को सिक्योर करने के लिए आप अपने पूरे wp-admin फोल्डर को पासवर्ड से प्रोटेक्ट कर सकते हैं। Wp-admin फ़ोल्डर में प्रशासनिक फ़ाइलें होती हैं जो वर्डप्रेस डैशबोर्ड को शक्ति प्रदान करती हैं। जिस किसी के पास इस फ़ोल्डर तक पहुंच है, वह पूरी साइट को नियंत्रित कर सकता है। यदि आपका पासवर्ड पूरे फ़ोल्डर की सुरक्षा करता है, तो हर बार जब कोई व्यवस्थापक अनुभाग के लिए अनुरोध करता है तो सर्वर एक प्रमाणीकरण प्रक्रिया शुरू करता है। ब्राउज़र उपयोगकर्ता से HTTP प्रमाणीकरण पासवर्ड मांगेगा। ऐसे कई टूल हैं जिनका उपयोग आप अपने WordPress व्यवस्थापक पर HTTP प्रमाणीकरण लागू करने के लिए कर सकते हैं जैसे HTTP Auth, AskApache पासवर्ड प्रोटेक्ट, आदि।

WordPress Admin को कैसे सुरक्षित करें पर एक गाइड

HTTP प्रमाणीकरण हमारे वर्डप्रेस पर सक्षम है लॉगिन पेज

5. Google प्रमाणक का प्रयोग करें

वेबसाइट हैक तकनीक इन दिनों अधिक से अधिक परिष्कृत होने के साथ, मजबूत उपयोगकर्ता क्रेडेंशियल्स के साथ लॉगिन सुरक्षा की एक और परत जोड़ना आम बात है। इस तकनीक को टू-फैक्टर ऑथेंटिकेशन (2FA) कहा जाता है। विधि में एक कोड भेजना शामिल है जिसे केवल आप अपने स्मार्टफोन पर प्राप्त कर सकते हैं। इससे पहले कि आपको अपने वर्डप्रेस डैशबोर्ड तक पहुंच प्रदान की जाए, आपको अपनी साइट पर अद्वितीय कोड दर्ज करना होगा। इस दृष्टिकोण का लाभ यह है कि भले ही हैकर्स आपके क्रेडेंशियल्स को हैक कर लेते हैं, फिर भी उन्हें आपके डिवाइस पर विशेष रूप से भेजे गए कोड की आवश्यकता होती है।

हमें भेजा गया पासकोड दर्ज करना था हमारे वर्डप्रेस डैशबोर्ड तक पहुंचने के लिए आपका स्मार्टफोन

कई वर्डप्रेस प्लगइन्स हैं जिनका उपयोग आप 2-कारक प्रमाणीकरण के लिए कर सकते हैं। हमने वर्डप्रेस एडमिन को सुरक्षित करने के लिए मिनी ऑरेंज का उपयोग करके अपनी साइट पर 2FA को सक्षम किया और उसी पर एक गाइड लिखा।

6. असफल लॉगिन प्रयासों की संख्या सीमित करना

क्रूर बल के हमलों के तहत वेबसाइटें सैकड़ों असफल लॉगिन प्रयासों का अनुभव करती हैं। अपने WordPress व्यवस्थापक पर इस निरंतर हमले को रोकने के लिए, आप अपनी साइट पर किए गए असफल लॉगिन प्रयासों की संख्या को सीमित कर सकते हैं। MalCare सुरक्षा प्लगइन 3 विफल लॉगिन प्रयासों के बाद उपयोगकर्ताओं को लॉग इन करने का प्रयास करने से रोकता है। वर्डप्रेस लॉगिन पेज को फिर से एक्सेस करने की अनुमति देने से पहले उन्हें एक कैप्चा को हल करना होगा। यह निर्धारित करने में मदद करता है कि उपयोगकर्ता मानव है या एक स्वचालित बॉट जो साइट पर क्रूर बल के हमले को अंजाम देने की कोशिश कर रहा है।

बॉट छवि-आधारित को बायपास करने में असमर्थ हैं कैप्चा

7. एसएसएल प्रमाणपत्र स्थापित करें

हमारी वेबसाइट यूआरएल देखें! क्या आप इसके बगल में "सुरक्षित" शब्द के साथ एक हरे रंग का ताला देख सकते हैं? हमारी साइट में एसएसएल प्रमाणपत्र स्थापित है, जिसका अर्थ है कि कोई भी हमारे उपयोगकर्ताओं के लॉगिन क्रेडेंशियल को नहीं पढ़ सकता है और न ही पढ़ सकता है। एसएसएल प्रमाणपत्र के बिना वेबसाइट अनजाने में साइट की संवेदनशील जानकारी को उजागर करने के खतरे में है।

एसएसएल प्रमाणपत्र इस वेबसाइट पर स्थापित है

पुराने दिनों में, एसएसएल प्रमाणपत्र या तो भुगतान पृष्ठों या वर्डप्रेस व्यवस्थापक क्षेत्रों के लिए थे। लेकिन अब एसएसएल सर्टिफिकेट आपकी पूरी साइट को सुरक्षित करने में मदद कर सकता है। वेब को एक सुरक्षित स्थान बनाने के अपने अभियान में, Google ने स्पष्ट रूप से कहा है कि SSL प्रमाणपत्र एक रैंकिंग कारक हैं। आप कोमोडो, लेट्स एनक्रिप्ट जैसे प्रदाताओं से एक एसएसएल प्रमाणपत्र प्राप्त कर सकते हैं और आपका वेब होस्ट आपकी साइट पर प्रमाणपत्र स्थापित करने में मदद करेगा।

8. दुर्भावनापूर्ण आईपी पते को ब्लैकलिस्ट करें

इंटरनेट का उपयोग करने वाले प्रत्येक व्यक्ति का एक आईपी पता होता है। यहां तक कि वर्डप्रेस वेबसाइटों पर हमले शुरू करने वाले हैकर के पास एक आईपी पता होता है। यदि आप इन IP पतों का रिकॉर्ड रखते हैं, तो आप उन्हें अपनी साइट तक पहुँचने से रोक सकते हैं। मालकेयर - सबसे अच्छे वर्डप्रेस सुरक्षा प्लगइन्स में से एक साइट पर किए गए असफल लॉगिन प्रयासों का विवरण (आईपी पते) प्रदान करता है। यदि आप देखते हैं कि लगभग नियमित रूप से एक ही आईपी से बहुत सारे असफल प्रयास किए जा रहे हैं, तो आप इन संदिग्ध आईपी को हमारी .htaccess फ़ाइल में निम्नलिखित कोड डालकर अपनी वेबसाइटों तक पहुँचने से रोक सकते हैं:

order allow,deny 

deny from 192.168.20.10 

allow from all

“192.168.20.10” is the IP address we wanted to block on one of our sites. You can replace it with the IP you want to block.

9. Change Security Keys

You don’t have to enter your login credentials every time you need to log in to your site. Ever wondered how your browser stores these credentials? After you sign into your account, your login information is stored in an encrypted manner in the browser cookie. Security keys are just random variables that help improve this encryption. If your site is hacked, changing the secret keys will invalidate cookie and force every active user to log out automatically. Once thrown out, the hacker losses access your WordPress admin.

Changing security keys with MalCare Security Service

Over to You

There is no one way to secure a WordPress admin hence be sure to use multiple methods. We shared with you some of the most recommended ways to secure WordPress admin. But before implementing any of these methods, you must back up your site. If something goes wrong, you can simply restore a backup and get our site up and running in no time.

Besides these, you can take a few more security measures like IP blocking, protecting the login page, securing site with wp-config.php, following this complete guide on WordPress security, and by installing a WordPress security plugin like MalCare.

MalCare will help you implement some of the measures we have mentioned above. For instance, MalCare Security Plugin will help you change security keys, limit the number of failed login attempts, keep your website update, among other things.

Try MalCare Security Plugin Right Now!