क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ या एक्सएसआरएफ के रूप में जाना जाता है) वर्डप्रेस वेबसाइटों द्वारा सामना की जाने वाली सबसे गंभीर हैक में से एक है। यह हैक साइट पर स्थापित वर्डप्रेस प्लगइन्स में मौजूद कमजोरियों के कारण होता है।
यहां, हैकर्स वेबसाइट उपयोगकर्ताओं को धोखे से दुर्भावनापूर्ण कार्य करने के लिए प्रेरित करते हैं जो वेबसाइट के मालिक और उपयोगकर्ता दोनों के लिए हानिकारक हैं। CSRF के हमलों के दोनों पक्षों के लिए विनाशकारी परिणाम हो सकते हैं और इसे शुरू होने से रोकने की आवश्यकता है!
CSRF का उपयोग करके, एक हैकर आपकी वेबसाइट पर पूर्ण नियंत्रण प्राप्त कर सकता है और इसका उपयोग किसी भी प्रकार की दुर्भावनापूर्ण गतिविधि को चलाने के लिए कर सकता है जो वे चाहते हैं। वे आपके आगंतुकों को अन्य दुर्भावनापूर्ण साइटों पर पुनर्निर्देशित कर सकते हैं या उन्हें मैलवेयर डाउनलोड करने के लिए धोखा दे सकते हैं। वे आपसे और आपके ग्राहकों से धन की चोरी करने की हद तक जा सकते हैं!
इतना ही नहीं। चीजें आगे बढ़ सकती हैं और Google आपकी साइट को ब्लैकलिस्ट कर सकता है और आपका होस्टिंग प्रदाता आपकी साइट को निलंबित कर सकता है।
यदि आप इस हैक के शिकार हैं या इसे रोकना चाहते हैं, तो हमने आपको कवर कर दिया है। इस लेख में, हम आपको दिखाएंगे कि सीएसआरएफ हमले को कैसे ठीक किया जाए और इसे कैसे रोका जाए।
TL;DR: यदि आपकी वेबसाइट हैक कर ली गई है, तो आपको इसे तुरंत ठीक करना होगा। हमारा सुझाव है कि CSRF अटैक रिमूवल प्लगिन को डाउनलोड और इंस्टॉल करें अपनी वेबसाइट का गहन स्कैन चलाने और उसे तुरंत साफ करने के लिए अपनी वेबसाइट पर। एक बार आपकी वेबसाइट के साफ हो जाने पर, प्लगइन आपकी साइट को भविष्य में हैक करने के प्रयासों से बचाएगा।
सामग्री की तालिका
→ सीएसआरएफ अटैक (क्रॉस-साइट अनुरोध जालसाजी) क्या है?
→ आपकी साइट पर वर्डप्रेस सीएसआरएफ भेद्यता कैसे हुई?
→ वर्डप्रेस वेबसाइट पर सीएसआरएफ अटैक को कैसे रोकें?
→ प्लगइन डेवलपर्स के लिए सीएसआरएफ निवारक उपाय
→ WordPress साइट के मालिकों के लिए CSRF निवारक उपाय
सीएसआरएफ अटैक क्या है ( क्रॉस-साइट अनुरोध जालसाजी )?
सीएसआरएफ वर्डप्रेस हमले को समझना थोड़ा जटिल है लेकिन हम इसे जितना हो सके उतना कम करने जा रहे हैं।
ऐसी वेबसाइट पर जिसमें उपयोगकर्ता सदस्यता, सदस्य या लॉगिन हैं, प्रत्येक उपयोगकर्ता को साइट पर अपने स्वयं के खाते में विशेषाधिकार प्राप्त है। उदाहरण के लिए, एक अमेज़न खाता, जीमेल खाता या यहाँ तक कि एक ऑनलाइन बैंकिंग खाता।
ऐसी वेबसाइट अपने उपयोगकर्ताओं को लॉगिन क्रेडेंशियल - उपयोगकर्ता नाम और पासवर्ड देती है। यह उपयोगकर्ता को प्रमाणित करने के लिए किया जाता है। इसलिए, जब कोई उपयोगकर्ता लॉग इन करना चाहता है, तो वे स्वयं को सत्यापित करने के लिए उपयोगकर्ता नाम और पासवर्ड दर्ज करते हैं। इस तरह, वेबसाइट उपयोगकर्ता और उनके ब्राउज़र के साथ विश्वास स्थापित कर सकती है।
एक CSRF हमले में, एक हैकर इस प्रमाणित उपयोगकर्ता को दुर्भावनापूर्ण कार्य करने के लिए धोखा देता है।
1. 'क्रॉस साइट' को समझना
यह कैसे होता है यह समझाने के लिए, आइए एक उदाहरण का उपयोग करें। मान लीजिए, उपयोगकर्ता ने साइट ए में लॉग इन किया है और इसे ब्राउज़र में एक टैब पर खुला छोड़ दिया है। (याद रखें कि यह साइट ए लॉग इन है - यह महत्वपूर्ण है।)
अब, मान लें कि हैकर के पास उपयोगकर्ता का ईमेल पता है। वे उपयोगकर्ता को अविश्वसनीय छूट के बारे में एक ईमेल भेजते हैं जो अगले कुछ घंटों में समाप्त होने जा रहे हैं। उपयोगकर्ता को ईमेल में लिंक पर क्लिक करने के लिए धोखा दिया जाता है। यह साइट बी नामक एक वेबसाइट खोलता है (जो हैकर द्वारा चलाया जाता है)।
साइट बी पर, उन्हें छूट का दावा करने के लिए एक फॉर्म भरना होगा या अपना ईमेल पता दर्ज करना होगा। उपयोगकर्ता फ़ॉर्म को 'सबमिट' करने के लिए सामान्य दिखने वाले बटन पर क्लिक करता है।
लेकिन साइट बी पर इस 'सबमिट' बटन के पर्दे के पीछे, एक हैकर ने अपनी दुर्भावनापूर्ण स्क्रिप्ट डाली है।
अब साइट ए को याद रखें जो दूसरे टैब पर खुली है। यह स्क्रिप्ट साइट ए को एक अनुरोध भेजती है और उस पर दुर्भावनापूर्ण क्रियाएं चलाती है। यही कारण है कि इसे 'क्रॉस-साइट' के रूप में जाना जाता है।
2. अनुरोध को समझना
हैकर्स स्क्रिप्ट उपयोगकर्ता की ओर से साइट B से साइट A को एक अनुरोध भेजती है। अवांछित दुर्भावनापूर्ण कार्रवाई व्यवस्थापक पासवर्ड बदलने से लेकर बैंक खातों से धनराशि स्थानांतरित करने तक कुछ भी हो सकती है!
3. 'जालसाजी' को समझना
अंत में, क्योंकि हैकर साइट ए को मूर्ख बनाने के लिए उपयोगकर्ता के प्रमाणीकरण का उपयोग करता है, यह एक 'जालसाजी' है। इस प्रकार 'क्रॉस-साइट अनुरोध जालसाजी' नाम।
संक्षेप में, हैकर साइट ए को लगता है कि उनका दुर्भावनापूर्ण निर्देश प्रमाणित उपयोगकर्ता द्वारा भेजा गया एक वैध अनुरोध है। लेकिन साइट B के लिए साइट A को अनुरोध भेजना कैसे संभव है? यह कैसे होता है, इसके बारे में हम अगले भाग में विस्तार से जानेंगे।
नोट: यह खंड तकनीकी है और अनुभवी वर्डप्रेस उपयोगकर्ताओं या डेवलपर्स को पूरा करता है। अगर आप इसे छोड़ना चाहते हैं और सीधे अपनी साइट पर सीएसआरएफ हमलों को रोकना चाहते हैं, तो आगे बढ़ें WordPress साइट स्वामियों के लिए CSRF निवारक उपाय।
[वापस शीर्ष पर ]
वर्डप्रेस सीएसआरएफ भेद्यता आपकी साइट पर कैसे आई?
यह समझाने के लिए कि भेद्यता कैसे होती है, हमें यह समझने की आवश्यकता है कि उपयोगकर्ता का ब्राउज़र और वेबसाइट कैसे संवाद करते हैं।
1. ब्राउज़र अनुरोधों को समझना
यहां, हम दो प्रकार के HTTP अनुरोधों और ब्राउज़र कुकीज़ पर चर्चा करेंगे:
मैं. HTTP अनुरोध प्राप्त करें
जब आप किसी वेबसाइट पर जाते हैं, तो आप उस वेबसाइट के सर्वर पर एक HTTP GET अनुरोध भेजते हैं। यह अनुरोध उस डेटा के लिए पूछेगा जो साइट के फ्रंट-एंड को प्रदर्शित करने के लिए आवश्यक है। वेब सर्वर अनुरोधित डेटा का जवाब देगा और भेजेगा। फिर, वेबसाइट की सामग्री आपके ब्राउज़र पर लोड हो जाएगी।
जब कोई व्यक्ति किसी साइट में लॉग इन नहीं होता है, तो वे एक अनधिकृत उपयोगकर्ता होते हैं। इसलिए जब GET और POST अनुरोध भेजे जाते हैं, तो कुकीज़ का उपयोग नहीं किया जाता है। इस परिदृश्य में कोई सुरक्षा समस्या नहीं है। लेकिन जब उपयोगकर्ता ने लॉग इन किया है, तो वे अब एक प्रमाणित उपयोगकर्ता हैं।
वेबसाइट इस उपयोगकर्ता को पहचानने और उसे पूरा करने के लिए कुकीज़ का उपयोग करती है। यह इन कुकीज़ का उपयोग केवल उस विशिष्ट आईडी के लिए प्रासंगिक डेटा उत्पन्न करने के लिए कर सकता है। यह उन्हें उपयोगकर्ता में आसानी से लॉगिन करने, उपयोगकर्ता की पसंद के अनुरूप विज्ञापन प्रदर्शित करने, या उपयोगकर्ता को पसंद किए जाने वाले उत्पादों को प्रदर्शित करने आदि में मदद करता है।
ii. सीएसआरएफ प्रक्रिया
अब वापस आते हैं कि CSRF भेद्यता कैसे होती है। इस हमले के प्रभावी होने के लिए, हैकर को एक प्रमाणित उपयोगकर्ता का उपयोग करने की आवश्यकता है जो कुकीज़ का उपयोग करता है।
इसे हम एक उदाहरण से समझाएंगे। यहां, हम आपको दिखाएंगे कि कैसे एक हैकर किसी उपयोगकर्ता के खाते पर नियंत्रण कर सकता है और फिर सीएसआरएफ भेद्यता का उपयोग करके आपकी वेबसाइट को हैक करने के लिए इसका उपयोग कर सकता है।
→ उपयोगकर्ता पक्ष में क्या होता है?
- एक उपयोगकर्ता targetwebsite.com में लॉग इन है उनके ब्राउज़र पर।
- अगला, हैकर इस उपयोगकर्ता को trickwebsite.com पर क्लिक करने का लालच देता है उन्हें एक ईमेल भेजकर जो उन्हें इस साइट पर जाने और अपने खाते में $50 प्राप्त करने के लिए साइन अप करने के लिए कहता है। (ये लिंक अन्य कमजोरियों का उपयोग करके स्वयं targetwebsite.com पर भी डाले जा सकते हैं)
- हम यह मानने जा रहे हैं कि पीड़ित को लगता है कि यह ट्रिक वेबसाइट वैध है और घोटाले के लिए आती है . यहां, वे अपने विवरण के साथ एक फॉर्म भरते हैं और 'सबमिट' पर क्लिक करते हैं।
- trickwebsite.com पर , हैकर ने पहले ही इस 'सबमिट' बटन के पीछे HTML कोड डाल दिया है। क्लिक करने पर, यह एक POST अनुरोध targetwebsite.com . पर भेजेगा (जहां उपयोगकर्ता पहले से लॉग इन है) इस उपयोगकर्ता की ओर से।
→ वेबसाइट साइड पर क्या होता है?
- कुकी का उपयोग करना, targetwebsite.com उपयोगकर्ता (और ब्राउज़र) की पुष्टि करता है और अनुरोध की अनुमति देता है . यह अनुरोध वैध लगेगा क्योंकि यह प्रमाणित उपयोगकर्ता से आ रहा है।
- लेकिन भेजे गए POST अनुरोध में दुर्भावनापूर्ण स्क्रिप्ट है जो वेबसाइट को नुकसान पहुंचा सकती है। उदाहरण के लिए, स्क्रिप्ट में चालू खाता पासवर्ड को "newpassword123" में बदलने का आदेश हो सकता है ।
- जब अनुरोध targetwebsite.com द्वारा स्वीकार किया जाता है , कोड चलेगा और पासवर्ड बदल देगा। फिर, हैकर खाते में प्रवेश कर पाएगा नए पासवर्ड का उपयोग करें और पूर्ण नियंत्रण रखें।
- अगला, हैकर अब वेबसाइट पर और हमले कर सकता है। इस उपयोगकर्ता को दिए गए विशेषाधिकारों के आधार पर, वे targetwebsite.com तक पहुंचने में सक्षम हो सकते हैं डेटाबेस और कार्यक्षमता पर नियंत्रण रखें साथ ही।
यह सिर्फ एक उदाहरण है कि एक हैकर सीएसआरएफ हमलों का उपयोग करके क्या कर सकता है। बहुत सारे अन्य परिदृश्य हैं जो हो सकते हैं। लेकिन इस हैक से उपयोगकर्ता और वेबसाइट दोनों प्रभावित होंगे।
[वापस शीर्ष पर ]
सीएसआरएफ को कैसे रोकें किसी WordPress वेबसाइट पर हमला?
वर्डप्रेस वेबसाइटें सीएसआरएफ हमलों के संपर्क में आ जाती हैं क्योंकि प्लगइन्स में कमजोरियां होती हैं जो इसे होने देती हैं।
PluginVulnerabilities.com की एक पूर्ण प्रकटीकरण रिपोर्ट के अनुसार, उन्होंने जिन लोकप्रिय प्लगइन्स की जाँच की उनमें से कई में सुरक्षा समस्याएँ थीं, जो वेबसाइटों को CSRF हमलों के लिए असुरक्षित बनाती थीं। सीएसआरएफ हैक को रोकने के लिए, प्लगइन्स के डेवलपर्स को कुछ सुरक्षा उपायों को लागू करने की आवश्यकता है। हम इन उपायों पर संक्षेप में बात करेंगे और फिर आपको बताएंगे कि आप, एक वर्डप्रेस साइट के मालिक के रूप में, सीएसआरएफ हमलों को रोकने के लिए क्या कर सकते हैं।
- प्लगइन डेवलपर्स के लिए सीएसआरएफ निवारक उपाय
- WordPress साइट स्वामियों के लिए CSRF निवारक उपाय
मैं. प्लगइन डेवलपर्स के लिए सीएसआरएफ निवारक उपाय
यदि आप एक प्लगइन डेवलपर हैं, तो सीएसआरएफ हमलों को रोकने में मदद के लिए आप यहां कुछ उपाय कर सकते हैं:
1. एंटी-सीएसआरएफ टोकन
एक एंटी-सीएसआरएफ टोकन एक छिपा हुआ मूल्य है जो विशेष उपयोगकर्ता की कुकीज़ और अनुरोध के साथ भेजा जाता है। यह इस तरह काम करता है:
- वेब सर्वर इस टोकन को उत्पन्न करता है और छिपे हुए क्षेत्र के रूप में रखा जाता है फॉर्म पर।
- जब उपयोगकर्ता फ़ॉर्म भरता है और सबमिट करता है, तो टोकन को POST अनुरोध में शामिल किया जाता है ।
- सर्वर तुलना करेगा टोकन उत्पन्न और उपयोगकर्ता द्वारा भेजा गया टोकन।
यदि यह मेल खाता है, तो अनुरोध मान्य होगा। यदि यह मेल नहीं खाता है, तो अनुरोध को अमान्य माना जाता है। यह सीएसआरएफ हमलों को होने से रोकता है।
एक डेवलपर इन टोकन को अपना प्लगइन बनाते या अपडेट करते समय जोड़ सकता है।
2. गैर का उपयोग करना
हालांकि एक दूसरे के स्थान पर उपयोग किए जाने के बावजूद, एंटी-सीएसआरएफ टोकन और नॉन अलग-अलग हैं। एक गैर-मान (एक बार उपयोग की गई संख्या) एक बार के पासवर्ड की तरह है जो अनुरोध के लिए उत्पन्न होता है।
जब एक HTTP अनुरोध सबमिट किया जाता है, तो अनुरोध को सत्यापित करने के लिए गैर उत्पन्न होता है। लेकिन एक बार उपयोग करने के बाद, गैर अमान्य हो जाता है और उपयोगकर्ता उसी गैर मान का उपयोग करके फिर से फॉर्म जमा नहीं कर सकता है।
3. समान-साइट कुकीज़
सीएसआरएफ हमले समान कुकीज़ का उपयोग करके किए गए क्रॉस-साइट अनुरोधों के कारण संभव हैं। एक ही साइट वाली कुकी का मतलब है कि कुकी तभी भेजी जा सकती है जब अनुरोध उसी वेबसाइट से किया गया हो जिसे कुकी बनाई गई थी।
इस पद्धति के साथ समस्या यह है कि क्रोम और फ़ायरफ़ॉक्स और कुछ अन्य ब्राउज़रों की अपेक्षा करें, सभी ब्राउज़र समान-साइट कुकीज़ का समर्थन नहीं करते हैं।
इसका उपयोग एक अतिरिक्त रक्षा परत के रूप में किया जा सकता है लेकिन सीएसआरएफ हमलों को रोकने के लिए अकेले उपयोग नहीं किया जाना चाहिए।
हम इन निवारक उपायों के अधिक विवरण में नहीं जाएंगे क्योंकि आजकल लगभग सभी हैकर्स द्वारा बायपास किए जा सकते हैं। हैकर्स केवल दिन-ब-दिन स्मार्ट होते जा रहे हैं और हमारे द्वारा किए जाने वाले निवारक उपायों पर काबू पाने के लिए नई तकनीकों का विकास कर रहे हैं।
हम आगे बढ़ेंगे कि आप इन सीएसआरएफ हमलों से खुद को बचाने के लिए वर्डप्रेस साइट के मालिक के रूप में कौन से सक्रिय और प्रतिक्रियाशील उपाय कर सकते हैं।
[वापस शीर्ष पर ]
ii. WordPress साइट स्वामियों के लिए CSRF निवारक उपाय
जैसा कि हमने ऊपर उल्लेख किया है, प्लगइन्स के रचनाकारों को अपने एप्लिकेशन को सुरक्षित बनाने के लिए उपाय करने चाहिए। लेकिन क्या होगा अगर वे नहीं करते हैं? आप कैसे जानते हैं कि किन प्लगइन्स ने सीएसआरएफ विरोधी उपायों को लागू किया है?
वर्डप्रेस शायद ही कभी अपने आप खड़ा होता है। प्लगइन्स किसी वेबसाइट की कार्यक्षमता और डिज़ाइन में महत्वपूर्ण भूमिका निभाते हैं। इसलिए जब वर्डप्रेस साइटों को प्लगइन्स की आवश्यकता होती है, तो क्या आप आँख बंद करके भरोसा करते हैं कि इन प्लगइन्स ने उचित सुरक्षा उपाय किए हैं?
नहीं! वेबसाइट स्वामियों को सावधान रहने की जरूरत है और प्लगइन डेवलपर्स न करने पर भी अपने स्वयं के सुरक्षा उपाय करने चाहिए।
सीएसआरएफ हमलों से खुद को बचाने के लिए आप यहां क्या कर सकते हैं:
1. एंटी-सीएसआरएफ प्लगइन्स का प्रयोग करें
वर्डप्रेस रिपॉजिटरी में कई प्लगइन्स उपलब्ध नहीं हैं जो सीएसआरएफ हमलों के लिए समर्पित हैं। यहाँ दो हैं जो हमें मिले:
(ए) टिप्पणी प्रपत्र सीएसआरएफ सुरक्षा - यह वर्डप्रेस प्लगइन आपके कमेंट फॉर्म में एक एंटी-सीएसआरएफ टोकन जोड़ता है। टोकन का एक अनूठा मूल्य होता है जिसे गुप्त रखा जाता है और अनुमान लगाना अव्यावहारिक होता है। इसलिए यदि कोई उपयोगकर्ता फॉर्म जमा करता है, तो उसके साथ गुप्त टोकन जमा किया जाएगा। केवल अगर यह मेल खाता है, तो फॉर्म जमा करने का अनुरोध स्वीकार किया जाएगा।
(बी) समान-साइट कुकीज - यह प्लगइन समर्थित ब्राउज़र पर काम करता है जिसमें क्रोम, फ़ायरफ़ॉक्स, आईई और एज शामिल हैं। यह सुनिश्चित करता है कि जब HTTP अनुरोध सबमिट किए जाते हैं, तो भेजी जाने वाली कुकीज़ उसी साइट से होती हैं। यह किसी भी क्रॉस-साइट अनुरोध को रोकता है और इसलिए, सभी सीएसआरएफ हमलों को रोकता है।
2. एक संपूर्ण वर्डप्रेस सुरक्षा प्लगइन स्थापित करें
बहुत सारे सुरक्षा प्लगइन्स हैं वर्डप्रेस वेबसाइटों के लिए उपलब्ध है। ये प्लगइन्स आपकी साइट को CSRF प्रकार सहित सभी प्रकार के हैकर्स से सुरक्षित रख सकते हैं। लेकिन सभी सुरक्षा प्लग इन आपको समान स्तर की सुरक्षा प्रदान नहीं करते हैं।
साथ ही, सीएसआरएफ हमले का पता लगाना मुश्किल है। हैकर्स इसे साइट के मालिक और उपयोगकर्ता से अच्छी तरह छिपाते हैं, इसलिए यह किसी का ध्यान नहीं जाता है। आपको एक प्लग इन की आवश्यकता है जो ऐसे प्रच्छन्न मैलवेयर का पता लगाने में सक्षम हो।
सुरक्षा प्लगइन चुनते समय, आपको यह सुनिश्चित करने की आवश्यकता है कि यह CSRF हमलों से सुरक्षित रहने के लिए निम्नलिखित कार्य करता है:
- नियमित रूप से स्कैन किसी भी दुर्भावनापूर्ण स्क्रिप्ट के लिए आपकी वेबसाइट।
- सभी फाइलों और डेटाबेस के माध्यम से कॉम्ब्स करता है आपकी वेबसाइट का।
- इसमें किसी भी प्रकार के मैलवेयर का पता लगाने की क्षमता है - नया, छिपा हुआ या प्रच्छन्न सहित। (कुछ प्लगइन्स केवल पहले से खोजे गए मैलवेयर की खोज करते हैं।)
- आपको सचेत करता है अगर आपकी वेबसाइट पर कोई संदिग्ध गतिविधि है।
- आपको एक स्वतंत्र डैशबोर्ड देता है ताकि आप अपनी वेबसाइट को साफ कर सकें, भले ही कोई हैकर आपको आपके स्वयं के व्यवस्थापक खाते से लॉक कर दे।
एक प्लगइन जो आपको ऐसी सुरक्षा और सुविधाएँ देता है, वह है MalCare। एक बार जब आप अपनी वर्डप्रेस वेबसाइट पर प्लगइन स्थापित कर लेते हैं, तो यह आपको किसी भी सीएसआरएफ हमले से छुटकारा पाने में सक्षम बनाता है। यह WordPress मैलवेयर से छुटकारा दिलाएगा हो सकता है कि हैकर ने हैक के दौरान आपकी साइट पर जोड़ा हो।
आपकी वेबसाइट को एक सक्रिय फ़ायरवॉल से सुरक्षित किया जाएगा जो दुर्भावनापूर्ण आईपी पते और खराब बॉट्स को आपकी वेबसाइट पर आने से रोकेगा।
यदि कोई हैकर दुर्भावनापूर्ण क्रॉस-साइट अनुरोध का उपयोग करके आपकी साइट को हैक करने का प्रबंधन करता है, तो यह वर्डप्रेस सुरक्षा प्लगइन आपको तुरंत सचेत करेगा। फिर आप उसी प्लगइन का उपयोग करके तुरंत कार्रवाई कर सकते हैं।
3. अपनी वेबसाइट को सख्त करें
वर्डप्रेस अनुशंसा करता है कि आप अपनी वेबसाइट को सख्त करने के लिए कुछ उपाय करें। इससे हैकर्स के लिए इसमें घुसना बेहद मुश्किल हो जाएगा। हमने संक्षेप में कुछ उपायों को शामिल किया है लेकिन हम वर्डप्रेस हार्डनिंग की हमारी विस्तृत मार्गदर्शिका पढ़ने की सलाह देते हैं ।
चूंकि इनमें से कई बिंदु थोड़े तकनीकी हैं, विस्तृत मार्गदर्शिका आपको इसे बेहतर ढंग से समझने में मदद करेगी। सीएसआरएफ हमलों से होने वाले नुकसान को रोकने या कम करने के लिए यहां कुछ सख्त उपाय दिए गए हैं:
ए. दो-कारक प्रमाणीकरण का उपयोग करें
दो-कारक प्रमाणीकरण होने से उपयोगकर्ताओं के सत्यापन की एक अतिरिक्त परत जुड़ जाती है। एक उपयोगकर्ता को अपना लॉगिन क्रेडेंशियल दर्ज करना होगा, जिसके बाद एक दूसरे पासवर्ड की आवश्यकता होगी। यह उपयोगकर्ता के पंजीकृत ईमेल या फोन नंबर पर भेजा गया वन-टाइम पासवर्ड हो सकता है। यह Google Authenticator जैसे ऐप द्वारा जेनरेट की गई प्रमाणीकरण संख्या भी हो सकती है।
ख. अविश्वसनीय फ़ोल्डरों में PHP निष्पादन को ब्लॉक करें
यदि कोई CSRF हमला किसी हैकर को आपकी वेबसाइट की फ़ाइलों तक पहुँच प्राप्त करने में सक्षम बनाता है, तो वे दुर्भावनापूर्ण कार्यों को करने के लिए PHP फ़ंक्शन निष्पादित कर सकते हैं। (PHP फ़ंक्शन प्रोग्राम में लिखे गए कोड का एक ब्लॉक है)। आप उन जगहों पर PHP के निष्पादन को अक्षम भी कर सकते हैं जहां ऐसा होने की आवश्यकता नहीं है।
सी. फ़ाइल संपादक अक्षम करें
अगर किसी हैकर को आपके वर्डप्रेस एडमिनिस्ट्रेटर अकाउंट तक पहुंच मिलती है, तो वे आपकी वेबसाइट पर पूरा नियंत्रण ले सकते हैं। डैशबोर्ड पर, वे आपके प्लगइन्स या थीम के तहत “संपादक” तक पहुंच सकते हैं। यहां, वे अपनी सामग्री प्रदर्शित करने, आपकी साइट को ख़राब करने, आपके उपयोगकर्ताओं को SEO स्पैम करने आदि के लिए अपनी स्वयं की स्क्रिप्ट को संपादित या अपलोड कर सकते हैं।
डी. सुरक्षा कुंजियाँ बदलें
आपने देखा होगा कि हर बार जब आप अपने वर्डप्रेस खाते तक पहुंचना चाहते हैं तो आपको अपना लॉगिन क्रेडेंशियल दर्ज करने की आवश्यकता नहीं होती है। यह पहले से ही निर्दिष्ट क्षेत्रों में आबाद है। यह सुनिश्चित करने के लिए कि यह जानकारी हैकर्स से सुरक्षित है, वर्डप्रेस सुरक्षा कुंजियों का उपयोग करता है जो इस डेटा को एन्क्रिप्ट और संग्रहीत करता है। यदि कोई हैकर सीएसआरएफ हमले का उपयोग करके आपकी साइट में सेंध लगाता है, तो उन्हें इस जानकारी तक पहुंच प्राप्त हो सकती है . फिर वे इसे किसी और चीज़ में बदल सकते हैं और जब चाहें तब आपकी वेबसाइट के व्यवस्थापक खाते में लॉग इन करने के लिए इसका उपयोग कर सकते हैं।
- आप इन सख्त उपायों को मैन्युअल रूप से लागू कर सकते हैं जैसा कि हमारे द्वारा सुझाई गई मार्गदर्शिका में बताया गया है। या आप कुछ ही क्लिक में उन्हें लागू करने के लिए MalCare का उपयोग कर सकते हैं।
4. सभी अप्रयुक्त थीम और प्लगइन्स हटाएं
आपने अपनी वेबसाइट पर जितने अधिक प्लगइन्स और थीम इंस्टॉल किए हैं, हैकर्स को उतने ही अधिक अवसरों का फायदा उठाना होगा। किसी भी अप्रयुक्त प्लग इन और थीम को हटाना और केवल आपके द्वारा उपयोग किए जाने वाले प्लगइन्स को रखना सबसे अच्छा है।
इनके अलावा, आप कुछ और सुरक्षा उपाय भी कर सकते हैं जैसे अपनी साइट को HTTP से HTTPS में ले जाना, सुरक्षा प्लग इन स्थापित करना, और लॉगिन पृष्ठ की सुरक्षा करना।
[वापस शीर्ष पर ]
अंतिम विचार
सीएसआरएफ हमलों का उपयोगकर्ता और वेबसाइट दोनों पर गंभीर प्रभाव पड़ता है।
यदि कोई हैकर HTTP अनुरोध के माध्यम से अपनी स्क्रिप्ट चलाने में सफल होता है, तो वे आपकी वेबसाइट पर कब्जा कर सकते हैं। इसके बाद वे क्या कर सकते हैं, कुछ नहीं कहा जा सकता। वे अपने स्वयं के प्रचार को प्रदर्शित करने या अवैध उत्पादों या दवाओं को बेचने के लिए आपकी वेबसाइट को विकृत कर सकते हैं। वे आपकी वेबसाइट के विज़िटर को अपनी वेबसाइट पर रीडायरेक्ट भी कर सकते हैं।
ये साइटें आमतौर पर वयस्क साइटें होंगी, जो अवैध उत्पाद बेचती हैं, या वे साइटें जो आगंतुकों को मैलवेयर डाउनलोड करने के लिए धोखा देती हैं।
- एक वेबसाइट के मालिक के रूप में, आपको इन हमलों से सुरक्षित रहने के लिए उपाय करने होंगे। हम आपको सलाह देते हैं कि एक सुरक्षा प्लग इन रखें जैसे कि आपकी वर्डप्रेस साइट पर मालकेयर सक्रिय है क्योंकि यह आपको सर्वांगीण सुरक्षा प्रदान करेगा।
- हम अनुशंसा करते हैं कि वेबसाइट सख्त करने के उपाय लागू करें हैकर्स के लिए हैक करना मुश्किल बनाने के लिए।
- अंत में, प्लगइन्स और थीम का उपयोग करते समय सावधानी बरतें। विश्वसनीय थीम और प्लग इन इंस्टॉल करें WordPress रिपॉजिटरी या मार्केटप्लेस जैसे कि ThemeForest और CodeCanyon से।
हमें विश्वास है कि एक बार जब आप अपनी वर्डप्रेस वेबसाइट पर इन उपायों को लागू कर लेंगे, तो आप हैकर्स के खिलाफ सुरक्षित रहेंगे!
मालकेयर से अपनी वर्डप्रेस साइट को सुरक्षित रखें!