वर्डप्रेस वेबसाइट का होना बहुत अच्छा है, लेकिन डिजिटल दुनिया में, अच्छे और बुरे लोगों के बीच हमेशा एक लड़ाई चलती रहती है ... लेकिन, यह हकीकत है! अच्छे लोग - सुरक्षा शोधकर्ता और डेवलपर, आपकी वेबसाइट को सुरक्षित रखना चाहते हैं। और बुरे लोग - हैकर्स और स्पैमर, इसे अवैध रूप से दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग करना चाहते हैं।
आइए गहराई से जानें...
“हर 39 सेकंड में एक वेबसाइट पर हमला होता है और 98% वर्डप्रेस कमजोरियाँ प्लगइन्स से संबंधित होती हैं "
जब आप इसे पढ़ रहे होते हैं, तो एक हमलावर कहीं न कहीं किसी प्लगइन की भेद्यता का फायदा उठाकर किसी वर्डप्रेस वेबसाइट को अवैध रूप से एक्सेस करने का प्रयास कर रहा होता है।
अप्रैल 2019 में, अच्छे लोगों, उर्फ सुरक्षा शोधकर्ताओं ने WP लाइव चैट सपोर्ट प्लगइन में लगातार क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की खोज की। . इसने बुरे लोगों, उर्फ हैकर्स को इस भेद्यता का फायदा उठाने और वेबसाइट पर दुर्भावनापूर्ण स्क्रिप्ट डालने के लिए प्रेरित किया, जिससे वेबसाइट पर नियंत्रण हो गया। WP लाइव चैट सपोर्ट प्लगइन एक वर्डप्रेस प्लगइन है, जो सगाई और रूपांतरण के लिए अन्य पूरी तरह कार्यात्मक लाइव चैट समर्थन प्लगइन्स के लिए एक मुफ्त विकल्प है। प्लगइन में 60,000 से अधिक सक्रिय इंस्टॉल . थे , जिसने हजारों उपयोगकर्ताओं को जोखिम में डाल दिया है।
यह भेद्यता क्या थी और यह आपको कैसे प्रभावित करती है?
WP लाइव चैट सपोर्ट प्लगइन में भेद्यता एक हमलावर को लक्ष्य वेबसाइट पर क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों को अंजाम देने की अनुमति देती है।
एक XSS हमले में, हैकर आपकी जानकारी के बिना आपकी वेबसाइट पर एक दुर्भावनापूर्ण स्क्रिप्ट या कोड डाल देता है। यह कोड, तब, संभवतः उपयोगकर्ता डेटा एकत्र करता है (उह-ओह!), आपकी वेबसाइट सामग्री को संशोधित करता है या उन्हें किसी अन्य समझौता किए गए वेबपेज पर भेजता है। यदि हैकर आपकी वेबसाइट के उस हिस्से पर अपना कोड डालने का प्रबंधन करता है, जो सर्वर पर संग्रहीत है (उदा:उपयोगकर्ता टिप्पणियाँ), तो यह Persistent XSS बन जाता है ।
'निरंतर', क्योंकि जब भी कोई उपयोगकर्ता संक्रमित वेबपेज को लोड करता है, तो ब्राउज़र उस दुर्भावनापूर्ण कोड को निष्पादित करता है जिससे हमला पूरा हो जाता है'
हम सभी सर्च इंजन को जानते हैं, खासकर गूगल साइट सुरक्षा को बहुत गंभीरता से लेता है। और इसलिए, इस तरह की कोई भी भेद्यता आपके SEO पर बहुत बुरा प्रभाव डालेगी। इतना ही नहीं, यह आपके उपयोगकर्ताओं के बीच विश्वास के मुद्दे भी पैदा करता है। बदतर मामलों में, आप अपनी वेबसाइट तक पहुंच खो भी सकते हैं या आपकी साइट पर स्पैम लिंक और मैलवेयर होने के कारण आपके वेब होस्ट द्वारा निलंबित किया जा सकता है।
इस भेद्यता का एक बड़ा कारण यह है कि इसके लिए किसी प्रमाणीकरण की आवश्यकता नहीं होती है और उन उपयोगकर्ताओं द्वारा इसका फायदा उठाया जा सकता है जिनके पास संक्रमित वेबसाइट पर खाता भी नहीं है। प्रमाणीकरण की आवश्यकता के बिना, बड़ी संख्या में साइटों को प्रभावित करने के लिए हमले को स्वचालित करना आसान हो जाता है, इस मामले में 60,000 से अधिक !
हमला
एक असुरक्षित 'admin_init हुक . के कारण हमला संभव हुआ है '। यह वह जगह है जहां से अधिकांश हमलावर अपने हमले शुरू करते हैं और जब वर्डप्रेस प्लगइन हमलों की बात आती है तो यह काफी आम है।
आइए पहले समझते हैं कि हुक का क्या अर्थ है। एक हुक कोड के एक टुकड़े के साथ बातचीत करने और दूसरे को बदलने का एक साधन है। जब कोई साइट के एडमिन पेज पर जाता है तो वर्डप्रेस आमतौर पर इस हुक को कॉल करता है। इस हुक का उपयोग डेवलपर्स द्वारा उस समय विभिन्न कार्यों पर कॉल करने के लिए किया जा सकता है। मुद्दा यह है कि हुक को किसी प्रमाणीकरण की आवश्यकता नहीं है और जो कोई भी व्यवस्थापक URL पर जाता है वह कोड को चलाने के लिए इसका उपयोग कर सकता है। WP लाइव चैट का एडमिन हुक wplc_head_basic नामक एक क्रिया को कॉल करता है जो उपयोगकर्ता के विशेषाधिकारों की जांच नहीं करता है और बस प्लगइन सेटिंग्स को अपडेट करता है।
एक हैकर इस दोष का उपयोग wplc_custom_js नामक एक जावास्क्रिप्ट विकल्प को अपडेट करने के लिए कर सकता है जो उस सामग्री को नियंत्रित करता है जिसे प्लगइन लाइव चैट विंडो के प्रकट होने पर प्रदर्शित करता है। अब, इसके बारे में सोचें - लाइव चैट विजेट उपयोगकर्ता को आपकी वेबसाइट पर आने वाले लगभग हर पेज पर फॉलो करता है, और इसलिए, हैकर्स के लिए इस पद्धति का उपयोग करके कई पेजों को लक्षित करना एक केक का एक टुकड़ा है!
तो, आप अपनी साइट को इससे कैसे सुरक्षित रखते हैं?
WP लाइव चैट सपोर्ट प्लगइन के पीछे डेवलपर्स ने एक पैच जारी किया है जो इस भेद्यता का ख्याल रखता है . इसलिए, अपनी वेबसाइट को हैक होने से बचाने का सबसे अच्छा उपाय है कि इसे नवीनतम संस्करण में अपडेट किया जाए।
अपनी वेबसाइट को हैक होने से बचाने का सबसे अच्छा उपाय है WP लाइव चैट सपोर्ट प्लगइन को उसके नवीनतम संस्करण में अपडेट करना। ट्वीट करने के लिए क्लिक करें8.0.27 के बाद का कोई भी संस्करण सुरक्षित है , लेकिन फिर भी हम आपको नवीनतम संस्करण में बार-बार अपडेट करने की सलाह देंगे। नवीनतम संस्करण 8.0.33 . है और यहांउपलब्ध है ।
भविष्य में आप अपनी साइट को कैसे सुरक्षित रखते हैं?
चरण 1:प्लग इन और थीम केवल विश्वसनीय स्रोतों से प्राप्त करें!
किसी वेबसाइट या टोरेंट फ़ाइल से उस प्रीमियम प्लगइन को मुफ्त में प्राप्त करना काफी लुभावना है, है ना? आप प्रीमियम सुविधाओं के बारे में सोच रहे होंगे और आप कितना पैसा बचा सकते हैं ... गलत ... या आप वास्तव में करेंगे?
जब भी आप अविश्वसनीय स्रोतों से प्लगइन्स डाउनलोड करते हैं, तो आप उनके मैलवेयर या वायरस से संक्रमित होने के जोखिम को भी स्वीकार करते हैं। जबकि आप उस प्रीमियम प्लगइन पर कुछ रुपये बचा सकते हैं, यदि संभव हो तो आप अपनी वेबसाइट को पुनर्प्राप्त करने के लिए हजारों खर्च कर सकते हैं। इसलिए, हमेशा विश्वसनीय स्रोतों से प्लग इन इंस्टॉल करें, अधिमानतः प्रमाणित कंपनी, और जांचें कि क्या उन्हें विशेषज्ञों और समुदाय के सदस्यों द्वारा दुर्भावनापूर्ण कोड के लिए जांचा गया है।
विश्वसनीय वर्डप्रेस मार्केट प्लेस प्लगइन्स:
- वर्डप्रेस
- CodeCanyon
- पिकप्लग-इन
- मोजो मार्केटप्लेस
- MyThemeshop
- Themeisle
- ThemeForest
चरण 2:एक विश्वसनीय सुरक्षा प्लग इन प्राप्त करें
वर्डप्रेस की अपनी सभी वेबसाइटों के लिए एक बहुत प्रभावी सुरक्षा प्रणाली है। हालांकि, ऊपर बताई गई भेद्यता सभी सुरक्षा जांचों को दरकिनार कर सकती है और आपकी साइट के लिए खतरा पैदा कर सकती है। इसलिए एक सुरक्षा प्लगइन महत्वपूर्ण है।
जब सुरक्षा प्लगइन्स की बात आती है, तो एक ऐसा प्लग-इन प्राप्त करना बेहतर होता है जो किसी संदिग्ध हमले के बाद आपकी वेबसाइट को भेद्यता के लिए स्कैन नहीं करता है, बल्कि एक प्लगइन जो सक्रिय रूप से सुनिश्चित करता है कि आपकी साइट हर समय सुरक्षित और सुरक्षित है। आपको एक प्लग इन की आवश्यकता है जो मैलवेयर स्कैनिंग, मैलवेयर हटाने के साथ-साथ वर्डप्रेस फ़ायरवॉल और वेबसाइट प्रबंधन के साथ 24/7 सुरक्षा प्रदान करता है ... सभी एक में, एक किफायती मूल्य पर!
MalCare एक प्लगइन है जिसे ठीक इन बातों को ध्यान में रखकर विकसित किया गया है और यह सुनिश्चित करता है कि आपकी वेबसाइट की सुरक्षा हमेशा बनी रहे।
यहां बताया गया है कि मालकेयर क्या प्रदान करता है…
मैलवेयर स्कैन:
MalCare आपकी वेबसाइट को 100+ सिग्नल के साथ स्कैन करता है और हस्ताक्षर सत्यापन से आगे जाता है। यह बाजार में उपलब्ध किसी भी अन्य प्लगइन की तुलना में मैलवेयर की बेहतर पहचान करने में सक्षम बनाता है। यह अज्ञात मैलवेयर की भी पहचान कर सकता है जिसका हस्ताक्षर किसी डेटाबेस में मौजूद नहीं है।
MalCare आपकी पूरी साइट के साथ समन्वयित करता है और किसी भी परिवर्तन के लिए 24/7 ट्रैक करता है . किसी भी अनधिकृत परिवर्तन को उसके सटीक स्थान पर ट्रैक किया जाता है और इससे मैलवेयर के स्रोत की पहचान करने में मदद मिलती है। आपकी साइट को 24/7 ट्रैक करने के बाद भी, आपके सर्वर पर शून्य लोड हैं के रूप में मालकेयर अपने सर्वर पर सभी फाइलों को स्कैन करता है। आपकी वेबसाइट हमारे साथ कभी धीमी नहीं होगी!
आप सेटिंग्स में केवल एक शेड्यूल निर्दिष्ट करके दैनिक स्वचालित स्कैन करने के लिए MalCare को सेटअप कर सकते हैं। आपके पास असीमित ऑन-डिमांड स्कैन करने का विकल्प भी है जब भी आप चाहें और मैलवेयर पाए जाने पर तुरंत सूचना प्राप्त करें।
हम यह भी समझते हैं कि आपकी वेबसाइट के संक्रमित होने की सूचना प्राप्त करना कितना डरावना और परेशान करने वाला है, केवल यह पता लगाने के लिए कि यह सच नहीं था। MalCare इसका भी ख्याल रखता है। इसमें उद्योग की कम से कम झूठी सकारात्मकता . है ... जिसका अर्थ है कि हम पूरी तरह से जांच के बाद ही आपको सूचित करते हैं।
मैलवेयर हटाना:
MalCare के एक-क्लिक मैलवेयर हटाने . के साथ , आपकी साइट मैलवेयर मुक्त हो जाएगी 60 सेकंड से भी कम समय में !
MalCare आपकी वेबसाइट को प्रभावित नहीं करता जब यह इसे मैलवेयर से साफ करता है। अगर कोई फ़ाइल संक्रमित हो गई है, तो MalCare समझदारी से केवल संक्रमित हिस्से को हटाता है और आपके डेटा को बरकरार रखता है . आपकी वेबसाइट कभी भी खराब नहीं होगी, भले ही मालकेयर बैकएंड में मैलवेयर को हटाने के लिए उग्र रूप से काम कर रहा हो।
एक बार MalCare एक निश्चित मैलवेयर की पहचान कर उसे हटा देता है, यह आपकी साइट को फिर कभी संक्रमित नहीं कर सकता है। कभी। हम इसकी गारंटी देते हैं। जिस तरह आपका शरीर चिकन पॉक्स को पकड़ने के बाद उससे बचना जानता है, उसी तरह मालकेयर जानता है कि अगर आपकी वेबसाइट वापस आने की कोशिश करती है तो उसी तरह के हमले और मैलवेयर से कैसे बचा जाए। आपके पास भविष्य के हमलों से प्रतिरक्षा है।
वर्डप्रेस फ़ायरवॉल:
यदि आप बुरे लोगों को बाहर रख सकते हैं और केवल अच्छे इंटरनेट ट्रैफ़िक को अंदर आने दे सकते हैं, तो क्या यह बहुत अच्छा नहीं होगा? MalCare फ़ायरवॉल ठीक यही करता है, और भी बहुत कुछ!
यह फ़ायरवॉल अपने नेटवर्क में ज्ञात दुर्भावनापूर्ण IP पतों की सूची के विरुद्ध आपके आने वाले वेब ट्रैफ़िक को 24/7 ट्रैक करता है और खतरनाक IP को आपकी साइट तक पहुँचने से रोकता है . यदि कोई हमलावर आपकी वेबसाइट तक नहीं पहुंच सकता है, तो उसके लिए उस पर हमला करना मुश्किल हो जाता है। यह जियो-ब्लॉकिंग का भी समर्थन करता है अतिरिक्त सुरक्षा के लिए। MalCare के साथ, आपको कैप्चा-आधारित लॉगिन सुरक्षा भी मिलती है जो आपकी वेबसाइट को क्रूर बल के हमलों से बचाता है। यदि मालकेयर किसी भी संदिग्ध लॉगिन का पता लगाता है, तो आपको तुरंत सूचित किया जाता है ताकि आप उचित कार्रवाई कर सकें।
साथ ही, हमारे पास दो चरणों वाला प्रमाणीकरण है यह सुनिश्चित करता है कि कोई भी उचित पासवर्ड और कोड के बिना आपकी वेबसाइट तक पहुंच न पाए।
वेबसाइट प्रबंधन:
नवीनतम संस्करण में आपके सभी प्लगइन्स होना आवश्यक है। जैसा कि हमने देखा, वर्डप्रेस लाइव चैट सपोर्ट प्लगइन भेद्यता से सुरक्षित रहने का सबसे सरल उपाय डेवलपर्स द्वारा पैच जारी करते ही इसे अपडेट करना था। MalCare के प्रबंधन टूल आपकी सभी वेबसाइटों पर आपकी सभी थीम और प्लग इन को अपडेट करेंगे . इसके वर्डप्रेस कोर मैनेजर का उपयोग करना , आप मुख्य संशोधनों को अपडेट कर सकते हैं, वर्डप्रेस को अपग्रेड कर सकते हैं और अपनी वेबसाइटों पर PHP संस्करण की जांच कर सकते हैं।
साथ ही, ऐसे परिदृश्य में जब आप किसी क्लाइंट को एक्सेस देना चाहते हैं, लेकिन नहीं चाहते कि वे साइट की किसी भी कार्यक्षमता के साथ हस्तक्षेप करें, MalCare का प्रबंधन टूल आपको विशिष्ट उपयोगकर्ता भूमिकाएं और एक्सेस अनुमतियां असाइन करने देता है ताकि कोई भी अनजाने में कोई बदलाव न कर सके। आप आसानी से टीम के सदस्यों और ग्राहकों को जोड़ सकते हैं आपकी सभी वेबसाइटों के लिए।
इसके अलावा, आप MalCare के साथ असीमित वेबसाइटों का प्रबंधन कर सकते हैं।
इसके अलावा, आप अपने साइट अपटाइम . की निगरानी कर सकते हैं , स्लैक पर डाउनटाइम अलर्ट प्राप्त करें और प्रदर्शन जांच भी करें आपकी वेबसाइट के लिए। बेहतर, ऑन-डिमांड और शेड्यूल्ड क्लाइंट रिपोर्टिंग से, आप समय बचा सकते हैं सभी डेटा को संकलित करके और अंतर्दृष्टि को केंद्रीकृत करके।
और आप इसे एक केंद्रीकृत डैशबोर्ड से नियंत्रित कर सकते हैं!
जब वेब सुरक्षा की बात आती है, तो कोई समझौता नहीं होना चाहिए। आखिर डिजिटल दुनिया में आपकी वेबसाइट ही आपकी पहचान है। इस बात का ध्यान रखना चाहिए कि इसे किसी भी चीज से किसी भी तरह का नुकसान न हो, चाहे वह मालवेयर हो, वायरस हो या हैक्स। MalCare आपकी वेबसाइट को सभी मौजूदा और भविष्य के खतरों से सुरक्षित रखेगा। जितना कम . के लिए विश्व स्तरीय सुरक्षा प्राप्त करें $8.25 प्रति माह ! ऊपर बताई गई सभी सुविधाएं बिना किसी अतिरिक्त लागत के किसी भी योजना के साथ मुफ्त में उपलब्ध हैं।
मालकेयर आपकी साइट को चौबीसों घंटे सभी खतरों से सुरक्षित रखने में आपकी मदद करता है।