WordPress में X-XSS HTTP सुरक्षा हेडर कैसे सेट करें?

क्या आपकी वेबसाइट धीमी हो गई है और आपका ट्रैफ़िक बिना किसी कारण के गिर गया है? क्या आपकी वेबसाइट अवांछित विज्ञापन प्रदर्शित कर रही है? क्या आप ऐसे पॉप-अप देख रहे हैं जिन्हें आपने सम्मिलित नहीं किया है? हो सकता है कि आपको WordPress में X-XSS-सुरक्षा की आवश्यकता हो।

यह आपकी WordPress साइट पर XSS हमले का परिणाम हो सकता है। ये हमले काफी सामान्य हैं लेकिन इनका विनाशकारी प्रभाव पड़ता है।

2009 के बाद से CVE विवरण ने 9,903 बड़े XSS हमले दर्ज किए हैं। लेकिन यह नहीं बताया गया है कि इनमें से कितने हमलों की रिपोर्ट नहीं की गई है।

हैकर्स XSS शोषण का उपयोग डेटा चोरी करने, अपने स्वयं के विज्ञापन (आमतौर पर अवैध ड्रग्स या वयस्क सामग्री के) प्रदर्शित करने के लिए, दुर्भावनापूर्ण गतिविधियों की एक लंबी सूची के बीच आपके ग्राहकों को धोखा देने के लिए करते हैं।

लेकिन आप चिंता करना बंद कर सकते हैं क्योंकि एक्सएसएस के खिलाफ आपकी वेबसाइट को आसानी से सुरक्षित रखने के तरीके हैं। आज, हम एक नज़र डालते हैं कि वर्डप्रेस में X-XSS सुरक्षा हेडर कैसे जोड़ें क्योंकि यह किसी भी XSS प्रयास को बलपूर्वक अवरुद्ध कर देगा।

आप सीखेंगे कि ये प्रतिक्रिया शीर्षलेख क्या हैं और उन्हें कैसे कार्यान्वित किया जाए। उसके बाद, हम आपको कुछ और वर्डप्रेस सुरक्षा टिप्स भी देंगे जो आपकी वर्डप्रेस वेबसाइट को XSS और किसी भी अन्य हमले के खिलाफ मजबूत बनाने के लिए हैं!

टीएल; डॉ: हमारे ऑल-इन-वन MalCare सुरक्षा समाधान के साथ अपनी वर्डप्रेस वेबसाइट को XSS हमलों और किसी भी अन्य प्रकार के मैलवेयर से सुरक्षित रखें। अपनी वर्डप्रेस वेबसाइट पर प्लगइन स्थापित करें और निश्चिंत रहें कि आपकी साइट की निगरानी की जाती है और इसे किसी भी दुर्भावनापूर्ण हमले से बचाने के लिए नियमित रूप से स्कैन किया जाता है।

WordPress में XSS (क्रॉस-साइट स्क्रिप्टिंग) क्या है?

क्रॉस-साइट स्क्रिप्टिंग (XSS) एक प्रकार का इंजेक्शन हमला है जिसमें हैकर्स सुरक्षा कमजोरियों का फायदा उठाते हैं जो किसी वेबसाइट पर उपयोगकर्ता इनपुट से उत्पन्न होती हैं। एक उपयोगकर्ता इनपुट कोई भी क्षेत्र हो सकता है जो वेबसाइट उपयोगकर्ता से डेटा स्वीकार करता है जैसे साइट खोज बार, एक टिप्पणी अनुभाग, एक संपर्क फ़ॉर्म, या एक लॉगिन फ़ील्ड।

वे इस बात का लाभ उठाते हैं कि उपयोगकर्ता इन क्षेत्रों में विभिन्न तरीकों से किस प्रकार की जानकारी दर्ज कर सकता है। तो, विभिन्न प्रकार के क्रॉस-स्क्रिप्टिंग हमले हैं। यहां, हम दो सबसे आम XSS हमलों का विवरण देंगे:

संग्रहीत या स्थायी XSS हमला

इस प्रकार का हमला किसी वेबसाइट के विज़िटर को लक्षित करता है। आइए देखें कि यह कैसे होता है।

आइए मान लें कि examplesite.com ब्लॉग पोस्ट पर टिप्पणियों के रूप में अपनी वेबसाइट पर उपयोगकर्ता इनपुट स्वीकार करता है। कोई आगंतुक किसी पोस्ट पर टिप्पणी करके अपने विचार साझा कर सकता है और प्रश्न पूछ सकता है। टिप्पणी सबमिट करने के बाद, इसे डेटाबेस में भेजा जाता है और संग्रहीत किया जाता है।

आमतौर पर, इस टिप्पणी फ़ील्ड में डेटाबेस को भेजे जाने से पहले डेटा को मान्य करने के लिए कॉन्फ़िगरेशन होना चाहिए।

लेकिन अगर कॉन्फ़िगरेशन सही नहीं हैं, तो यह नियमित टेक्स्ट कमेंट और कोड की एक पंक्ति के बीच अंतर नहीं कर पाएगा।

तो, मान लें कि एक हैकर ने यह पता लगा लिया है कि इस साइट का टिप्पणी अनुभाग किसी भी इनपुट को स्वीकार करता है। वे एक जावास्क्रिप्ट कोड दर्ज कर सकते हैं लेकिन आउटपुट एक नियमित टिप्पणी की तरह दिखेगा।

हो सकता है कि वेबसाइट के मालिक को यह न पता चले कि हैकर "मुझे क्लिक करें" बटन भी दर्ज करने में सक्षम है, जिसे आदर्श रूप से अनुमति नहीं दी जानी चाहिए।

इसके बाद, वेबसाइट का एक नियमित आगंतुक (लक्ष्य) इस पृष्ठ पर आता है। यदि यह उपयोगकर्ता बटन पर क्लिक करता है, तो दुर्भावनापूर्ण कोड चलेगा और विज़िटर के ब्राउज़र को संक्रमित कर देगा। हैकर तब विज़िटर की ब्राउज़र कुकीज़ से डेटा निकालने में सक्षम होगा।

कुकी सभी प्रकार की जानकारी संग्रहीत करती है जैसे कि संग्रहीत लॉगिन क्रेडेंशियल, क्रेडिट कार्ड की जानकारी, या व्यक्तिगत डेटा। जब आप किसी वेबसाइट में लॉग इन करते हैं, तो आपको ऐसा पॉप-अप दिखाई देगा, जिसमें पूछा जाएगा कि क्या आप चाहते हैं कि ब्राउज़र पासवर्ड याद रखे:

अब एक नियमित उपयोगकर्ता (लक्ष्य) के पास आमतौर पर एक ब्राउज़र पर कई टैब खुले होंगे जैसे कि फेसबुक, ईमेल, एक शॉपिंग साइट, एक कार्य वेबसाइट, YouTube, आदि। यदि कोई हैकर XSS हमले को चलाने में सक्षम है, तो वे चोरी कर लेंगे सभी साइटों की कुकीज़ ब्राउज़र पर खुलती हैं। इसलिए इसे 'क्रॉस-साइट' कहा जाता है। वे इस जानकारी का उपयोग ग्राहक को धोखा देने या बड़े हमले करने के लिए करते हैं।

भले ही यह हमला आपकी वेबसाइट को सीधे प्रभावित नहीं करता है, लेकिन इसके गंभीर परिणाम होते हैं। यह आपके हर एक आगंतुक को खतरे में डालता है। साथ ही, Google आपकी साइट को तुरंत काली सूची में डाल देगा और आपका वेब होस्ट आपके होस्टिंग खाते को निलंबित कर देगा।

चिंतनशील या गैर-स्थायी XSS हमला

इस अटैक में हैकर्स एक्सेस हासिल करने के लिए वेबसाइट को ही निशाना बनाते हैं। आइए आपको दिखाते हैं कि यह कैसे काम करता है:

मान लें कि आपकी वेबसाइट में एक खोज टैब है, जहां ग्राहक अपनी मनचाही चीज़ तुरंत ढूंढ सकते हैं. यह टैब आदर्श रूप से केवल वर्णमाला के अक्षरों को ही स्वीकार करना चाहिए। लेकिन इसे सही ढंग से कॉन्फ़िगर नहीं किया गया है और यह विशेष वर्णों और संख्याओं को भी स्वीकार करता है। साइट का खोज इंजन उपयोगकर्ता से टेक्स्ट इनपुट और हैकर द्वारा दुर्भावनापूर्ण कोड इनपुट के बीच अंतर नहीं कर पाएगा।

एक बार डालने के बाद, दुर्भावनापूर्ण कोड वेबसाइट के डेटाबेस में चला जाता है और निष्पादित हो जाता है। जब ऐसा होता है, हैकर वेबसाइट तक पहुंच प्राप्त कर लेता है और अपने दुर्भावनापूर्ण कृत्यों को चलाना शुरू कर सकता है! इससे भी बदतर, वे आपकी वेबसाइट का उपयोग DDoS हमले जैसे बड़े हैक हमलों को शुरू करने के लिए कर सकते हैं।

अब हम जानते हैं कि XSS हमला कितना गंभीर हो सकता है और हमें अपनी वेबसाइटों को इससे बचाने की आवश्यकता क्यों है। तो आइए जानें कि HTTP सुरक्षा हेडर XSS हमलों को क्यों रोकते हैं।

HTTP सुरक्षा शीर्षलेख क्या हैं?

HTTP हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल के लिए खड़ा है और परिभाषित करता है कि इंटरनेट पर संदेशों को कैसे प्रारूपित और प्रसारित किया जाता है।

Google क्रोम या मोज़िला फ़ायरफ़ॉक्स जैसे आधुनिक वेब ब्राउज़र में HTTP प्रतिक्रिया शीर्षलेख एन्कोड किए गए हैं। इन HTTP सुरक्षित हेडर में आमतौर पर मेटाडेटा होता है - जैसे स्थिति त्रुटि कोड, सामग्री-एन्कोडिंग, सामग्री सुरक्षा और कैश नियंत्रण।

प्रतिक्रिया शीर्षलेख ब्राउज़र को निर्देश देता है कि जब वह किसी वेबसाइट के साथ इंटरैक्ट करता है तो उसे कैसे कार्य करना चाहिए। उदाहरण के लिए, कोई उपयोगकर्ता Google Chrome खोलता है और किसी वेबसाइट पर जाता है, HTTP शीर्षलेख यह निर्धारित करने में भूमिका निभाते हैं कि ब्राउज़र, वेबसाइट और उसका वेब सर्वर कैसे संचार करता है।

हम आपको इसे बेहतर ढंग से समझने में मदद करने के लिए एक ऐसे HTTP प्रतिक्रिया शीर्षलेख की व्याख्या करने जा रहे हैं।

यदि आपने अपनी वेबसाइट पर एक एसएसएल या टीएलएस प्रमाणपत्र स्थापित किया है, तो इसका मतलब है कि आपकी वेबसाइट केवल एचटीटीपीएस पर पहुंच योग्य है (जो एक सुरक्षित कनेक्शन है जो डेटा को स्थानांतरित करते समय एन्क्रिप्ट करता है)। लेकिन हैकर्स HTTP पर आपकी साइट तक पहुंचने के तरीके ढूंढ सकते हैं। इंटरनेट पर कई स्क्रिप्ट आसानी से उपलब्ध हैं जिनका उपयोग एक हैकर HTTP पर आपकी साइट को खोलने और डेटा चोरी करने के लिए कर सकता है।

अपने एसएसएल प्रमाणपत्र को सुदृढ़ करने के लिए और यह सुनिश्चित करने के लिए कि आपकी साइट को कभी भी HTTP पर एक्सेस नहीं किया जाता है, आप 'सख्त परिवहन सुरक्षा' नामक एक प्रतिक्रिया शीर्षलेख जोड़ सकते हैं। यह सफारी, क्रोम और फ़ायरफ़ॉक्स जैसे सभी नवीनतम ब्राउज़रों को आपकी वेबसाइट के साथ केवल HTTPS पर संचार करने के लिए बाध्य करेगा। यह सामग्री सूँघने और पैकेट सूँघने की संभावना को समाप्त करता है।

यदि कोई हमलावर आपकी साइट को HTTP पर खोलने का प्रयास करता है, तो ब्राउज़र पृष्ठ को लोड नहीं करेगा।

अलग-अलग HTTP सुरक्षा हेडर हैं जिन्हें आप अपनी वर्डप्रेस वेबसाइट में जोड़ सकते हैं। आज, हम X-XSS सुरक्षा पर ध्यान केंद्रित कर रहे हैं जो क्रॉस-साइट स्क्रिप्टिंग को कम करेगा/रोकेगा।

HTTP सुरक्षा हैडर में X-XSS सुरक्षा कैसे सेट करें

HTTP सुरक्षा शीर्षलेख सेट करने के लिए, आपको .htaccess फ़ाइल को एक्सेस और संपादित करने और कोड की पंक्तियों को जोड़ने की आवश्यकता है। किसी भी समय वर्डप्रेस फाइलों को बदलना एक उच्च जोखिम रखता है। जरा सी चूक पूरी तरह से टूटी हुई वेबसाइट का कारण बन सकती है।

इसलिए, हम पूरा बैकअप लेने की जोरदार सलाह देते हैं आपकी वर्डप्रेस साइट का। आप कुछ ही मिनटों में अपनी वेबसाइट का पूरा बैकअप लेने के लिए BlogVault प्लगइन का उपयोग कर सकते हैं। अगर इस प्रक्रिया के दौरान कुछ भी गलत होता है, तो आप अपनी वेबसाइट को तुरंत सामान्य स्थिति में वापस ला सकते हैं।

चरण 1:हैडर मौजूद है या नहीं यह जांचने के लिए अपनी वेबसाइट को स्कैन करें

हम अनुशंसा करते हैं कि जांच करें कि आपकी वेबसाइट में पहले से ही शीर्षलेख सक्षम है या नहीं। आप अपने प्रबंधित वर्डप्रेस होस्ट से जांच कर सकते हैं या securityheaders.com जैसी वेबसाइट का उपयोग कर सकते हैं।

अपनी वेबसाइट का URL दर्ज करें और अभी स्कैन करें। आपको इस तरह की एक रिपोर्ट दिखाई देगी:

हम सुनिश्चित कर सकते हैं कि कोई X-XSS सुरक्षा हेडर सेट नहीं है।

नोट:अधिकांश ब्राउज़रों में डिफ़ॉल्ट रूप से X-XSS सुरक्षा सक्षम होती है। लेकिन इस सुरक्षा हेडर को वर्डप्रेस में जोड़ने से ब्राउज़र को XSS हैक प्रयासों को ब्लॉक करने का निर्देश मिलेगा।

चरण 2:अपनी WordPress .htaccess फ़ाइल तक पहुंचें

अपने वर्डप्रेस होस्टिंग खाते में प्रवेश करें। यहां cPanel> File Manager पर जाएं।

अंदर, आपको फ़ोल्डरों की एक सूची मिलेगी। दाएँ फलक पर, public_html . खोजें फ़ोल्डर। आपको यहां .htaccess फ़ाइल मिलेगी।

युक्ति:यदि आप .htaccess फ़ाइल नहीं देख सकते हैं, तो सेटिंग में जाएं और "छिपी हुई फ़ाइलें दिखाएं" चुनें।

चरण 3:वर्डप्रेस सुरक्षा हैडर डालें

इस फ़ाइल को संपादित करने के लिए, बस उस पर राइट-क्लिक करें और आपको इसे संपादित करने का विकल्प दिखाई देगा।

अपनी .htaccess फ़ाइल के अंत में कोड की निम्न पंक्ति जोड़ें:

हैडर सेट X-XSS-Protection “1; मोड =ब्लॉक”

फ़ाइल सहेजें।

चरण 4:जांचें कि HTTP प्रतिक्रिया शीर्षलेख काम करता है या नहीं

हेडर काम कर रहा है या नहीं, यह जांचने के लिए हम आपकी साइट को स्कैन करने के लिए सुरक्षा हेडर पर जाने की सलाह देते हैं।

और बस। आपने XSS हमलों को रोकने के लिए सुरक्षा शीर्षलेख लागू करके अपनी वेबसाइट पर सफलतापूर्वक सुरक्षा की एक परत जोड़ दी है।

निष्कर्ष:सभी हमलों से सुरक्षा

इस वर्डप्रेस सुरक्षा हेडर को लागू करने के बाद, हमें विश्वास है कि आपकी साइट अब XSS हमलों के खिलाफ सुरक्षित है। लेकिन XSS चिंता करने की एकमात्र भेद्यता नहीं है। आपकी वेबसाइट एक ऐसे डिजिटल क्षेत्र में रहती है जहां हैक और मैलवेयर संक्रमण जैसे जोखिमों की बाढ़ आ जाती है।

हैक के प्रयासों को रोकने और अपनी वेबसाइट को सुरक्षित रखने के लिए आपको पर्याप्त सुरक्षा उपाय करने की आवश्यकता है। अपनी WordPress साइट के लिए सर्वांगीण सुरक्षा प्राप्त करने के लिए MalCare स्थापित करें। यह आपकी वेबसाइट को नियमित रूप से स्कैन और मॉनिटर करेगा। यह एक फ़ायरवॉल भी प्रदान करता है जो दुर्भावनापूर्ण IP पतों को ब्लॉक कर देगा। MalCare स्थापित होने के साथ, आप निश्चिंत हो सकते हैं कि आपकी वेबसाइट सुरक्षित है। आप हमारी गाइड देख सकते हैं कि कैसे अपनी वर्डप्रेस साइट को सुरक्षित किया जाए।

<मजबूत>
अपनी वर्डप्रेस वेबसाइट को . से सुरक्षित रखें मैलकेयर !