क्या आपको संदेह है कि आपकी वेबसाइट में फ़ाइल अपलोड भेद्यता है? क्या आप चिंतित हैं कि हैकर्स आपकी साइट को हैक करने के लिए इसका फायदा उठाएंगे?
हम चाहते हैं कि हम आपको बता सकें कि चिंता की कोई बात नहीं है, लेकिन सच्चाई यह है कि फ़ाइल अपलोड भेद्यता एक गंभीर समस्या है।
यदि किसी हैकर को आपकी साइट पर यह भेद्यता मिलती है, तो वे आपकी साइट को हाईजैक कर सकते हैं और पूर्ण नियंत्रण ले सकते हैं। वे आपके पृष्ठों को विकृत करके, फ़ाइलें हटाकर, डेटा चुराकर और यहां तक कि आपके ग्राहकों को स्पैम ईमेल भेजकर आपकी साइट को गंभीर नुकसान पहुंचा सकते हैं। आप यहां शीर्ष वर्डप्रेस कमजोरियों की जांच कर सकते हैं।
इसके अलावा, चीजें बहुत बड़े सुरक्षा मुद्दों में स्नोबॉल कर सकती हैं। जब Google को हैक का पता चलता है, तो Google उपयोगकर्ताओं को इसे एक्सेस करने से रोकने के लिए वे आपकी वेबसाइट को तुरंत ब्लैकलिस्ट कर देंगे। इसके अलावा, आपका वेब सर्वर प्रदाता आपके खाते को निलंबित कर देगा।
लेकिन चिंता न करें, आप अपनी साइट पर फ़ाइल अपलोड कमजोरियों को ठीक करने और उन्हें रोकने के लिए सही कदम उठाकर ऐसा होने से रोक सकते हैं।
इस लेख में, हम समझाएंगे कि फ़ाइल अपलोड भेद्यता क्या है और आपको अपनी साइट को इससे बचाने के सबसे प्रभावी तरीके दिखाएंगे। आप यह भी जान सकते हैं कि हैकर्स वर्डप्रेस को कैसे हैक करते हैं।
फ़ाइल अपलोड भेद्यता क्या है?
कई वर्डप्रेस वेबसाइट आगंतुकों को विभिन्न उद्देश्यों के लिए फाइल अपलोड करने का विकल्प देती हैं। उदाहरण के लिए, एक जॉब पोर्टल उपयोगकर्ता को अपना बायोडाटा और प्रमाणपत्र अपलोड करने की अनुमति देगा। एक बैंकिंग वेबसाइट आपको पहचान, पता और आय प्रमाण जैसे सहायक दस्तावेज अपलोड करने की अनुमति देगी। जब आपकी साइट पर कोई फ़ाइल अपलोड की जाती है, तो वर्डप्रेस फ़ाइल की जांच करता है और उसे अपलोड निर्देशिका नामक एक विशिष्ट फ़ोल्डर में संग्रहीत करता है।
आम तौर पर, फ़ाइल अपलोडर द्वारा अपलोड किए जा रहे दस्तावेज़ या कुछ फ़ाइल एक ऐसे प्रारूप में होते हैं जो किसी भी त्रुटि संदेश को दिखाए बिना किसी भी कमांड को निष्पादित नहीं कर सकते हैं।
छवियों के लिए, स्वीकृत प्रारूपों में पीएनजी और जेपीईजी शामिल हैं। दस्तावेज़ों के लिए, प्रारूपों में PDF और Docx शामिल हैं। और वीडियो के लिए, इसमें mp3 और mp4 फाइल एक्सटेंशन शामिल हैं। प्रारूप या फ़ाइल प्रकार आपको केवल इन फ़ाइलों को देखने की अनुमति देते हैं।
जैसा कि हमने कहा, ये प्रारूप गैर-निष्पादन योग्य हैं, जिसका अर्थ है कि भले ही उनमें दुर्भावनापूर्ण कोड हो, कोड आपकी साइट पर किसी भी आदेश को निष्पादित नहीं कर सकता है।
आम तौर पर, किसी वेबसाइट पर अपलोड फ़ील्ड केवल गैर-निष्पादन योग्य फ़ाइलों को स्वीकार करते हैं। लेकिन अगर यह खराब हो जाता है, तो यह अप्रतिबंधित फ़ाइल अपलोड स्वीकार करना शुरू कर सकता है।
हैकर्स इसका लाभ उठा सकते हैं और PHP फ़ाइल, जावास्क्रिप्ट और exe जैसे फ़ाइल स्वरूपों में निष्पादन योग्य कोड अपलोड कर सकते हैं। ये फ़ाइलें आपकी वेबसाइट पर कहर बरपाते हुए कमांड चला सकती हैं। आप जांच सकते हैं कि SQL इंजेक्शन हमलों को कैसे रोका जाए।
इसे फ़ाइल अपलोड भेद्यता के रूप में जाना जाता है।
नीचे दिए गए अनुभागों में, आप सीखेंगे कि अपनी वेबसाइट को ऐसी भेद्यता से कैसे बचाया जाए।
सौभाग्य से, आप अपनी वेबसाइट को ऐसी भेद्यता से बचाने के लिए कुछ उपाय कर सकते हैं। हालाँकि, यह समझना महत्वपूर्ण है कि यह भेद्यता कैसे काम करती है। इसलिए इससे पहले कि हम सुरक्षात्मक उपायों पर चर्चा करें, हम अगले भाग में मूल फ़ाइल अपलोड भेद्यता पर गहराई से विचार करेंगे।
फ़ाइल अपलोड भेद्यता के विभिन्न प्रकार क्या हैं?
पहले हमने बताया कि फाइल अपलोड भेद्यता कैसे काम करती है। हमने कहा कि वर्डप्रेस वेबसाइट में फाइल अपलोड करने के लिए फील्ड होते हैं। आप केवल कुछ प्रकार की गैर-निष्पादन योग्य फ़ाइलें ही अपलोड कर सकते हैं। लेकिन अगर अपलोड फ़ील्ड में खराबी (भेद्यता के कारण) है, तो हैकर दुर्भावनापूर्ण निष्पादन योग्य फ़ाइलें अपलोड कर सकते हैं।
अब ऐसे दो तरीके हैं जिनसे कमजोर अपलोड फ़ील्ड किसी फ़ाइल को स्वीकार करता है।
1. यह किसी फाइल को सीधे वेबसाइट में स्वीकार कर सकता है। उस स्थिति में, हैकर्स सीधे दुर्भावनापूर्ण फ़ाइलें अपलोड कर सकते हैं। इसे स्थानीय फ़ाइल अपलोड भेद्यता . कहा जाता है ।
2. कुछ अपलोड फ़ील्ड सीधे अपलोड की अनुमति नहीं देते हैं। वे आपसे आपकी फ़ाइलों को किसी भिन्न वेबसाइट जैसे GDrive, Dropbox जैसी क्लाउड सेवाओं पर अपलोड करने के लिए कहते हैं।
इसके बाद, आपको URL के रूप में स्थान साझा करना होगा। वेबसाइट लोकेशन से फाइल लाएगी। यह फ़ाइलों को अपलोड करने का एक अप्रत्यक्ष तरीका है जो किसी हमलावर को वेबसाइट पर दुर्भावनापूर्ण फ़ाइलें अपलोड करने की अनुमति देता है। इसे दूरस्थ अपलोड भेद्यता . कहा जाता है ।
स्थानीय अपलोड भेद्यता और दूरस्थ अपलोड भेद्यता दो अलग-अलग प्रकार की फ़ाइलें अपलोड भेद्यताएं हैं।
रिमोट अपलोड भेद्यता का एक उदाहरण जो तुरंत दिमाग में आता है, वह है टिमथंब भेद्यता। यह एक लोकप्रिय छवि आकार बदलने वाला प्लगइन था और भेद्यता ने बड़ी संख्या में वर्डप्रेस वेबसाइटों को प्रभावित किया। इसने उपयोगकर्ताओं को छवि-होस्टिंग वेबसाइटों (जैसे imgur.com और फ़्लिकर.com) से छवियों को आयात करने की अनुमति दी। हालाँकि, सुरक्षा उपायों की कमी के कारण, हैकर्स छवियों के स्थान पर दुर्भावनापूर्ण फ़ाइलें भी अपलोड करने में सक्षम थे। उन फ़ाइलों का एक अलग फ़ाइल नाम या विभिन्न फ़ाइल आकार हो सकता है। लेकिन फ़ाइल सामग्री बहुत खतरनाक हो सकती है।
हैकर्स किसी फ़ाइल अपलोड भेद्यता का कैसे फायदा उठाते हैं?
वेबसाइट हैक करने की प्रक्रिया जटिल और तकनीकी है। हमने इसे यथासंभव सरल बनाया है और चरणों को इस तरह से निर्धारित किया है कि किसी के लिए भी इसे समझना आसान हो।
→ हैकर्स हमेशा कमजोरियों की तलाश में रहते हैं जिसके उपयोग से वे वेबसाइटों तक पहुंच प्राप्त कर सकते हैं।
→ वर्डप्रेस वेबसाइट में, प्लगइन्स और थीम में कमजोरियों का पता लगाना आम बात है . जब प्लगइन्स और थीम के डेवलपर्स ऐसी कमजोरियों के बारे में सीखते हैं, तो वे तुरंत एक अपडेट जारी करते हैं।
→ अपडेट में उस फिक्स का विवरण होता है जिससे हैकर्स को पता चलता है कि किसी विशिष्ट प्लगइन या थीम में एक भेद्यता है जिसका शोषण किया जा सकता है।
सामान्य वेबसाइट हैकिंग तकनीकों के बारे में अधिक जानें।
क्या होता है जब आप अपनी साइट को अपडेट नहीं करते हैं?
→ हैकर्स शायद ही कभी किसी एक वेबसाइट को निशाना बनाते हैं। वे कमजोर प्लगइन का उपयोग करके हजारों वेबसाइटों को खोजने के लिए इंटरनेट को खंगालते हैं। कई वेबसाइट मालिक अपडेट टाल देते हैं क्योंकि वे वर्डप्रेस अपडेट के महत्व से अनजान होते हैं। वे प्लगइन के पुराने संस्करणों पर चलते रहते हैं जो कमजोर होते हैं।
→ मान लें कि आप अपने ब्लॉग पर टिप्पणी अनुभाग को सक्षम करने के लिए एक प्लगइन का उपयोग कर रहे हैं। इस प्लगइन के डेवलपर्स ने हाल ही में एक फ़ाइल अपलोड भेद्यता की खोज की है। इसे ठीक करने के लिए, उन्होंने एक अद्यतन के माध्यम से एक पैच जारी किया। किसी कारण से, आप प्लगइन को अपडेट करने में असमर्थ थे। प्लगइन में भेद्यता बनी हुई है। हैकर्स को पता चलता है कि आपकी साइट टिप्पणी प्लगइन के पुराने संस्करण का उपयोग कर रही है। वे दुर्भावनापूर्ण फ़ाइलें आपकी वेबसाइट पर अपलोड करते हैं फ़ाइल अपलोड भेद्यता (प्रवेश परीक्षण) का शोषण करके। फ़ाइल में स्क्रिप्ट हैं जिनका उपयोग करके वे दुर्भावनापूर्ण गतिविधियों को अंजाम देना शुरू कर सकते हैं।
→ एक बार जब संक्रमित फाइलें आपकी वेबसाइट के अंदर होती हैं, हैकर्स कमांड निष्पादित करते हैं जो उन्हें संवेदनशील डेटा जैसे कि आपकी वेबसाइट के डेटाबेस लॉगिन क्रेडेंशियल्स को चोरी करने में सक्षम बनाता है। वे आपकी वेबसाइट में लॉग इन करने और आपकी साइट पर पूर्ण नियंत्रण हासिल करने के लिए डेटा का उपयोग करके हैक को और बढ़ा सकते हैं।
अपनी वेबसाइट को फ़ाइल अपलोड भेद्यता से कैसे सुरक्षित रखें?
जैसा कि हमने पहले उल्लेख किया है, फ़ाइल अपलोड भेद्यता का आपकी वेबसाइट पर विनाशकारी तकनीकी प्रभाव हो सकता है। हालांकि, यदि आप निम्न चरणों को लागू करते हैं, तो आप भेद्यता को ठीक कर सकते हैं और अपनी साइट को हैकर्स से बचा सकते हैं।
यहां 6 महत्वपूर्ण वेबसाइट सुरक्षा उपाय दिए गए हैं, जिन्हें हम आपको तुरंत अपनाने की सलाह देते हैं:
1. वर्डप्रेस सुरक्षा प्लगइन स्थापित करें
अपनी साइट पर वर्डप्रेस सुरक्षा प्लगइन स्थापित करना एक अच्छा विचार है। जैसा कि हमने पहले उल्लेख किया है, भेद्यताएं प्रकट होने के लिए बाध्य हैं और किसी कारण से, यदि आप प्लगइन को अपडेट करने में असमर्थ हैं, तो हैकर्स इसका लाभ उठाएंगे और आपकी साइट को हैक कर लेंगे।
हम अपने सुरक्षा प्लगइन - मालकेयर का उपयोग करने की सलाह देते हैं। यह स्कैनर और क्लीनर सहित अन्य चीजों के साथ आता है। छिपे हुए मैलवेयर को खोजने के लिए स्कैनर उन्नत पहचान तकनीकों का उपयोग करता है। और क्लीनर स्वचालित है जो आपको कुछ ही क्लिक में अपनी वेबसाइट को साफ करने की अनुमति देता है।
प्लगइन का भेद्यता स्कैनर हर दिन आपकी वेबसाइट को स्कैन करेगा और हैक के बारे में आपको तुरंत सचेत करेगा। इससे पहले कि हैकर्स आपकी साइट को नुकसान पहुंचा सकें, इससे एक मिनट के भीतर आपकी वेबसाइट को साफ करने में भी मदद मिलेगी।
इसके अलावा, सुरक्षा प्लग इन वर्डप्रेस फ़ायरवॉल के माध्यम से आपकी वेबसाइट की सुरक्षा करते हैं।
एक वर्डप्रेस फ़ायरवॉल आपके स्वयं के वेब सुरक्षा सुपरहीरो की तरह कार्य करता है जो दुर्भावनापूर्ण ट्रैफ़िक को आपकी वेबसाइट तक पहुँचने से रोकता है। यह आपकी वेबसाइट के सभी आने वाले ट्रैफ़िक की जाँच करता है। यह अच्छे ट्रैफिक को आपकी साइट तक पहुंचने देता है और खराब ट्रैफिक को तुरंत ब्लॉक कर दिया जाता है।
इसका मतलब है कि भले ही आपकी वेबसाइट में कमजोरियां हों, हैकर्स इसका फायदा नहीं उठा सकते क्योंकि उन्हें फ़ायरवॉल द्वारा वेबसाइट तक पहुंचने से रोका जा रहा है।
2. अपनी वेबसाइट को अपडेट रखें
हमने पहले चर्चा की थी कि जब डेवलपर्स अपने प्लगइन या थीम में फ़ाइल अपलोड भेद्यता की खोज करते हैं, तो वे इसे ठीक करते हैं और एक अद्यतन संस्करण जारी करते हैं। नए संस्करण में एक वेब एप्लिकेशन सुरक्षा पैच होगा। एक बार जब आप इस संस्करण में अपडेट हो जाते हैं, तो फ़ाइल अपलोड भेद्यता आपकी साइट पर ठीक हो जाएगी।
उस ने कहा, अपडेट कभी-कभी परेशानी का कारण बन सकते हैं। वे अक्सर उपलब्ध होते हैं और कभी-कभी आपकी साइट के टूटने या खराब होने का कारण बन सकते हैं। हम अनुशंसा करते हैं कि स्टेजिंग साइट का उपयोग करके अपनी वेबसाइट को सुरक्षित रूप से अपडेट करने के लिए हर सप्ताह अलग समय निर्धारित करें।
आप स्टेजिंग साइट सेट करने के लिए हमारे प्लगइन, मालकेयर का उपयोग कर सकते हैं, और अपडेट को अपनी लाइव साइट पर इंस्टॉल करने से पहले उनका परीक्षण कर सकते हैं। यदि आप कई वेबसाइट चलाते हैं, तो प्लगइन आपको एक केंद्रीकृत डैशबोर्ड से उन सभी को प्रबंधित और अपडेट करने में सक्षम बनाता है। यह अपडेट को आसान, तेज़ और परेशानी मुक्त बनाता है।
3. प्रतिष्ठित मार्केटप्लेस से प्लगइन्स और थीम खरीदें
कमजोरियां अक्सर खराब गुणवत्ता वाले विषयों और प्लगइन्स में विकसित होती हैं। यही कारण है कि हम केवल अच्छी गुणवत्ता वाली थीम और प्लगइन्स का उपयोग करने का सुझाव देते हैं। सॉफ़्टवेयर की गुणवत्ता निर्धारित करने का एक अच्छा तरीका उन्हें प्रतिष्ठित बाज़ारों जैसे थीमफ़ॉरेस्ट, कोडकैनियन, इवांटो, मोजो मार्केटप्लेस, आदि से खरीदना है।
प्रतिष्ठित मार्केटप्लेस में डेवलपर्स के लिए सख्त नीतियां और सुरक्षा प्रोटोकॉल हैं जिनका पालन करना चाहिए। इसलिए इन प्लेटफार्मों पर उपलब्ध उत्पादों को सावधानी से बनाया जाता है और अच्छी तरह से बनाए रखा जाता है।
4. फ़ाइल अपलोड करने का कार्य समाप्त करें (यदि संभव हो तो)
अगर आपको लगता है कि आपकी वेबसाइट पर फ़ाइल अपलोड फ़ंक्शन महत्वपूर्ण नहीं है, तो आप इस सुविधा को अक्षम करने पर विचार कर सकते हैं।
कुछ वेबसाइटों जैसे भर्ती साइटों के लिए, यह एक विकल्प नहीं हो सकता है। हालांकि, अगर आपकी वेबसाइट पर फ़ाइल अपलोड फ़ंक्शन की आवश्यकता नहीं है, तो हम दृढ़ता से सुझाव देते हैं कि आप इसे हटा दें।
यदि आप फ़ाइल अपलोड सुविधा को चलाने के लिए प्लग इन का उपयोग कर रहे हैं, तो हम प्लगइन को निष्क्रिय करने और हटाने का सुझाव देते हैं। यह फ़ाइल अपलोड भेद्यता की संभावना को पूरी तरह से हटा देगा।
5. अपलोड की गई फ़ाइलों का संग्रहण स्थान बदलें (जोखिम भरा)
आपकी वर्डप्रेस वेबसाइट पर अपलोड की गई हर चीज अपलोड फोल्डर में स्टोर हो जाती है। फ़ोल्डर public_html निर्देशिका के अंदर स्थित है जो आपकी वर्डप्रेस वेबसाइट की सभी महत्वपूर्ण फाइलों को संग्रहीत करता है।
जब हैकर्स किसी दुर्भावनापूर्ण फ़ाइल को अपलोड फ़ोल्डर में अपलोड करते हैं, तो यह उन्हें public_html निर्देशिका, यानी आपकी पूरी वेबसाइट तक पहुंच प्राप्त करने में सक्षम बनाता है।
यदि आप अपलोड फ़ोल्डर को इस निर्देशिका से बाहर ले जाते हैं, तो इससे आपकी वेबसाइट पर नियंत्रण प्राप्त करना बहुत कठिन हो जाएगा।
चेतावनी: अपलोड फ़ोल्डर को स्थानांतरित करने के लिए विशेषज्ञता की आवश्यकता होती है, इसलिए यदि आप वर्डप्रेस की आंतरिक कार्यप्रणाली से परिचित नहीं हैं, तो हमारा सुझाव है कि आप इस चरण को छोड़ दें। यहां तक कि अगर आपको वर्डप्रेस का ज्ञान है, तो भी हम . लेने की जोरदार सलाह देते हैं वेबसाइट का बैकअप पूरा करें कोई भी बदलाव करने से पहले। जरा सी चूक आपकी वेबसाइट को खराब कर सकती है।
ये 6 फ़ाइल अपलोड भेद्यता निवारण उपाय हैं। इन उपायों को करने से, आपकी साइट फ़ाइल अपलोड भेद्यताओं से सुरक्षित रहेगी। यह हमें आपकी वर्डप्रेस साइट पर फ़ाइल अपलोड कमजोरियों को रोकने के अंत में लाता है।
निष्कर्ष में
अपनी वर्डप्रेस साइट को फाइल अपलोड कमजोरियों से बचाना यह सुनिश्चित करने की दिशा में एक कदम है कि आपकी वेबसाइट हैक हमलों से सुरक्षित और सुरक्षित है।
हालांकि, हैकर्स के पास आपकी साइट में सेंध लगाने की कोशिश करने के कई अन्य तरीके हैं। आपकी वेबसाइट पर किसी भी प्रकार के हैक प्रयासों को रोकने के लिए, हम निम्नलिखित की अनुशंसा करते हैं -
1. अपनी साइट पर हमेशा MalCare जैसा सुरक्षा प्लग इन इंस्टॉल रखें। प्लगइन एक सुरक्षा स्कैनर के साथ आता है जो आपकी साइट को प्रतिदिन स्कैन और मॉनिटर करेगा। इसका फ़ायरवॉल हैकर्स को आपकी साइट तक पहुँचने से भी रोकेगा।
2. अपनी वर्डप्रेस साइट को नियमित रूप से अपडेट करना। यह सुनिश्चित करना कि आप वर्डप्रेस कोर के नवीनतम संस्करण और अपनी वेबसाइट पर इंस्टॉल किए गए सभी प्लगइन्स और थीम का उपयोग कर रहे हैं।
3. और अंत में, अपनी वर्डप्रेस साइट को सख्त करें। साइट सख्त करने के उपाय यह सुनिश्चित करेंगे कि हैकर्स के लिए आपकी साइट में सेंध लगाना मुश्किल है।
ये उपाय करें ताकि आपको यह जानकर शांति मिले कि आपकी साइट सुरक्षित है।
कोशिश करें मैलकेयर सुरक्षा प्लगइन अभी!