ऐसी प्रणालियाँ हैं जिन्हें हैक करना कठिन है, लेकिन अधिक बार नहीं, वेबसाइटों को हैक कर लिया जाता है क्योंकि वे असुरक्षित हैं, और उनके पास बुनियादी सुरक्षा नहीं है।
इस लेख में, हम बात करने जा रहे हैं कि अपनी वर्डप्रेस साइट को कैसे सख्त किया जाए।
TL;DR: मालकेयर के साथ अपनी वेबसाइट को सुरक्षित करें, वर्डप्रेस के लिए एक ऑल-इन-वन सुरक्षा सूट। मालकेयर के साथ, आप 1-क्लिक में वर्डप्रेस सुरक्षा को भी सख्त कर सकते हैं।
शुरू करने से पहले
हमने कार्यान्वयन में आसानी के द्वारा सूची को व्यवस्थित किया है, ताकि आप सबसे ऊपर से शुरू कर सकें और सूची के नीचे अपना काम कर सकें। हम अनुशंसा करते हैं कि आप MalCare को स्थापित करके, और वहां साइट हार्डनिंग विकल्प का उपयोग करके प्रारंभ करें। यह सही दिशा में एक बड़ा कदम है, और फिर आप और उपायों के लिए यहां वापस आ सकते हैं।
प्रो टिप:हम हमेशा अनुशंसा करते हैं कि आप कोई भी बदलाव करने से पहले अपनी वेबसाइट का बैकअप लें, यहां तक कि सुरक्षा वाले भी। सॉरी से बेहतर सुरक्षित!
अपनी WordPress सुरक्षा को सख्त करने के 5 आसान तरीके
आइए इस सूची की शुरुआत कुछ कम लटकने वाले फलों से करते हैं। इन बुनियादी सेटिंग्स को रास्ते से हटा दें, और हम सभी को वर्डप्रेस को सख्त करने के साथ प्रगति करने में अच्छा लगेगा।
मजबूत पासवर्ड सेट करें
पासवर्ड शायद सभी कम लटकने वाले फलों में सबसे कम हैंगिंग हैं। शायद इसीलिए उन्हें अक्सर नज़रअंदाज़ किया जाता है। और यही कारण है कि वे आपकी वर्डप्रेस साइट सूची को सख्त करने के तरीके में सबसे ऊपर हैं।
पासवर्ड याद रखना कठिन है, और हाँ कुछ सर्वोत्तम अभ्यास थकाऊ हैं:कोई डुप्लिकेट पासवर्ड नहीं; आसान पासवर्ड नहीं; अक्षरों, संख्याओं और प्रतीकों का मिश्रण; सूची वास्तव में कठिन है, खासकर जब आप यह गिनना बंद कर देते हैं कि आप कितनी सेवाओं का उपयोग करते हैं।
हम सहानुभूति रखते हैं, और इसलिए हम लास्टपास जैसे पासवर्ड मैनेजर का उपयोग करने का सुझाव देते हैं। अपने खाते को सुरक्षित रखने के लिए संख्याओं, अक्षरों और प्रतीकों की स्वचालित रूप से जेनरेट की गई स्ट्रिंग का उपयोग करें। हालांकि संभावनाएं छोटी हैं, क्रूर बल के हमले अब पासवर्ड का अनुमान लगाने के लिए शब्दकोश हमलों का उपयोग करते हैं।
मजबूत पासवर्ड के उपयोग की आवश्यकता है
मजबूत पासवर्ड की हमारी थीम को जारी रखते हुए, यह आपकी टू-डू सूची में अगला आइटम होना चाहिए।
जब आपकी वेबसाइट को संभालने वाले कई उपयोगकर्ता हों, तो आपको यह सुनिश्चित करना होगा कि प्रत्येक उपयोगकर्ता एक मजबूत पासवर्ड बनाए रखे और इसे नियमित रूप से बदलता रहे। अब, यह छोटे स्तर पर आसान हो सकता है, लेकिन जब बड़ी टीम की बात आती है, तो बेहतर होगा कि आपके पास ऐसा सॉफ़्टवेयर हो जो आपके लिए इसे स्वचालित कर सके।
यदि आप कमजोर पासवर्ड चुनते हैं तो वर्डप्रेस डिफ़ॉल्ट रूप से आपको सचेत करेगा:
हालाँकि, आप 'कमजोर पासवर्ड के उपयोग की पुष्टि' की जाँच करके इसे ओवरराइड करना चुन सकते हैं। ऐसा करने से, आप अपनी वेबसाइट को हमलों के प्रति संवेदनशील बना रहे हैं।
यूजर्स को अपना पासवर्ड अपडेट करने के लिए बाध्य करने के लिए एक्सपायर पासवर्ड जैसे प्लगइन्स हुआ करते थे। यह आपको पासवर्ड समाप्त होने से पहले अधिकतम दिनों की संख्या निर्धारित करने की अनुमति देगा। हालाँकि, इनमें से अधिकांश प्लगइन्स लंबे समय से अपडेट नहीं किए गए हैं, इसलिए हम उनका उपयोग करने की अनुशंसा नहीं करेंगे।
कम से कम विशेषाधिकार अनुमतियां लागू करें
एक वर्डप्रेस वेबसाइट पर आपकी 6 पूर्व-निर्धारित भूमिकाएँ हो सकती हैं:सुपर एडमिन, एडमिनिस्ट्रेटर, एडिटर, ऑथर, कंट्रीब्यूटर और सब्सक्राइबर। प्रत्येक भूमिका में अनुमतियों का एक सेट होता है, और इसलिए कुछ कार्य कर सकता है। इन कार्यों को क्षमता कहा जाता है। भूमिकाओं और क्षमताओं की पूरी सूची यहाँ है।
नोट:किसी एक वेबसाइट के लिए व्यवस्थापक की भूमिका सबसे शक्तिशाली होती है, जबकि एक मल्टीसाइट के लिए यह सुपर व्यवस्थापक भूमिका होती है।
यदि आपके पास एक ही वेबसाइट है, तो आपको केवल सीमित संख्या में व्यवस्थापकों की आवश्यकता है। वास्तव में, यहां अंगूठे का नियम है कि आपके पास जितने संभव हो उतने प्रशासक हों। तर्क सीधा है:आप हैकर्स द्वारा व्यवस्थापक क्रेडेंशियल्स को चुराने के जोखिम को कम कर रहे हैं।
SSL इंस्टॉल करें
एसएसएल एक एन्क्रिप्टेड कनेक्शन पर उपयोगकर्ता से सर्वर तक सुरक्षित रूप से डेटा संचारित करने और फिर से वापस आने का एक तरीका है।
इस तथ्य के अलावा कि यह एक अच्छा सुरक्षा अभ्यास है, Google के लिए आवश्यक है कि वेबसाइटों में SSL हो। यह सुखद हरे रंग के लॉक के बजाय ब्राउज़र में "सुरक्षित नहीं" दिखा कर वेबसाइटों को दंडित करता है, जो इंगित करता है कि वेबसाइट HTTP के बजाय HTTPS पर चलती है।
एसएसएल प्रमाणपत्र स्थापित करना काफी जटिल हुआ करता था, लेकिन अब नहीं। हमारे पास एसएसएल स्थापित करने के लिए एक पूरी गाइड है, और दूसरा यह सुनिश्चित करने के लिए है कि आपके सभी पेज एचटीटीपीएस भी हैं।
WordPress सुरक्षा प्लग इन सेट करें
हमारी सूची में अब तक की अन्य सभी प्रविष्टियाँ आपके द्वारा अपनी वेबसाइट पर किए गए मैन्युअल जोड़ हैं। निश्चिंत रहें, वे आसान हैं जिन्हें बहुत अधिक कॉन्फ़िगरेशन, या प्लगइन्स की स्थापना की आवश्यकता नहीं है।
इस सूची के बाकी हिस्से बिल्कुल सीधे नहीं हैं। कई उपाय MalCare की साइट हार्डनिंग विशेषता में शामिल हैं।
आप प्लगइन स्थापित करके और उपायों को स्थापित करने के लिए हमारे डैशबोर्ड का उपयोग करके काफी समय बचाएंगे। इसे अभी आज़माएं।
वर्डप्रेस को सख्त करने के लिए 6 मध्यम उपाय
इस खंड में हमने जिन वर्डप्रेस सख्त उपायों को शामिल किया है उनमें से प्रत्येक में एक प्लगइन की स्थापना शामिल है। हम प्लगइन्स को हल्के ढंग से स्थापित करने की अनुशंसा नहीं करते हैं, क्योंकि उनमें अक्सर कमजोरियां होती हैं, और वे संक्रमण के प्रवेश बिंदु बन जाते हैं। कृपया निम्नलिखित सुरक्षा उपायों को करने के लिए प्लगइन चुनते समय विवेक का उपयोग करें।
2-कारक प्रमाणीकरण
हैकर्स वेबसाइटों में सेंध लगाने के सबसे आम तरीकों में से एक लॉगिन पेज के माध्यम से है। वे ब्रूट फोर्स अटैक नामक एक तकनीक का उपयोग करते हैं जिसमें वे किसी वेबसाइट के लॉगिन क्रेडेंशियल का अनुमान लगाने के लिए बॉट्स का उपयोग करते हैं। एक और तरीका हैकर्स इसमें प्रवेश कर सकते हैं यदि आपका डेटा किसी अन्य वेबसाइट से लीक किया गया था। हैकर्स जानते हैं कि कई लोग इंटरनेट पर कई खातों के लिए एक ही उपयोगकर्ता नाम और पासवर्ड का उपयोग करते हैं, और इसलिए, अनुमान लगाने का खेल खेलना आसान हो जाता है!
अपनी सुरक्षा के लिए, आप प्रत्येक उपयोगकर्ता के लिए दो-कारक सत्यापन जोड़ सकते हैं - चाहे वे सुपर व्यवस्थापक, व्यवस्थापक, संपादक, लेखक, योगदानकर्ता, या सदस्य हों।
उदाहरण के लिए, कई वेबसाइटें, जीमेल, उपयोगकर्ताओं को अपने खातों में लॉग इन करने के लिए 2-चरणीय सत्यापन का विकल्प देती हैं। इसके लिए उपयोगकर्ता को पहले अपना लॉगिन विवरण प्रदान करना होगा, और फिर एक पासवर्ड दर्ज करना होगा जो वास्तविक समय में उत्पन्न होता है (आमतौर पर पंजीकृत फोन नंबर पर भेजा जाने वाला एक बार का पासवर्ड)। यह आपके खाते को हैकर्स के लिए क्रैक करना, या उनके लिए आपके वर्डप्रेस डैशबोर्ड तक पहुंच प्राप्त करना कठिन बना देता है।
लॉगिन प्रयास सीमित करें
एक कारण है कि वेबसाइटें, विशेष रूप से बैंक, उपयोगकर्ताओं को अपना उपयोगकर्ता नाम और पासवर्ड सही करने के लिए केवल तीन प्रयास देते हैं। उसके बाद, आपको 'पासवर्ड भूल गए' का विकल्प दिया जाता है या यहां तक कि अपने खातों को लॉक कर दिया जाता है। नीचे दी गई छवि एक चेतावनी का एक उदाहरण है जो तब उत्पन्न होती है और लॉगिन स्क्रीन पर प्रदर्शित होती है जब उपयोगकर्ता ने गलत क्रेडेंशियल के साथ लॉगिन करने का प्रयास किया है।
यह अनिवार्य रूप से क्रूर बल के हमलों को खत्म करने और हैकर्स और धोखेबाजों की सफलता को कम करने के लिए है।
डिफ़ॉल्ट रूप से, वर्डप्रेस असीमित संख्या में लॉगिन प्रयासों की अनुमति देता है। आपकी वेबसाइट पर सीमित लॉगिन प्रयासों को सक्षम करने से इसकी सुरक्षा बढ़ जाती है और यह सुनिश्चित हो जाता है कि हैकर्स हजारों संयोजनों में प्रवेश करने का प्रयास नहीं कर सकते हैं। ऐसे तीन तरीके हैं जिनसे आप अपनी वेबसाइट पर लॉगिन प्रयासों को सीमित कर सकते हैं।
- आप सीमा लॉगिन प्रयास रीलोडेड जैसे प्लगइन स्थापित कर सकते हैं।
- यदि आपकी वेबसाइट पर पहले से ही MalCare सुरक्षा प्लग इन सक्रिय है, तो आपके पास विफल प्रयासों के विरुद्ध स्वचालित रूप से सीमित लॉगिन सुरक्षा है। प्लगइन कैप्चा-आधारित सुरक्षा लागू करता है जो खराब बॉट्स को आपकी साइट तक पहुंचने से रोकेगा।
- functions.php फ़ाइल में मैन्युअल रूप से कोड डालकर। आपको संबंधित कॉलबैक फ़ंक्शन के साथ एक वर्डप्रेस क्रिया और हुक फ़िल्टर जोड़ने की आवश्यकता है। यह तरीका तकनीकी और जोखिम भरा है। यदि आप कोडिंग के जानकार नहीं हैं, तो यह प्रयास न करना ही सबसे अच्छा है।
लॉगिन प्रयासों को सीमित करने के बारे में हमारे लेख में आपको तीसरे विकल्प के लिए कोड और अधिक विस्तृत विवरण मिलेगा।
ऑडिट लॉग रखें
यह एक वर्डप्रेस सख्त उपाय नहीं हो सकता है, लेकिन यह एक पूर्ण सुरक्षा उपाय होना चाहिए।
बस WP सिक्योरिटी ऑडिट लॉग जैसा प्लगइन इंस्टॉल करें जो आपकी वेबसाइट पर होने वाली हर चीज को ट्रैक करेगा। और इस तरह, आपको पता चल जाएगा कि आपके उपयोगकर्ता क्या कर रहे हैं और कब कर रहे हैं। फिर आप अपनी वेबसाइट पर क्या हो रहा है, इसकी निगरानी कर सकते हैं और उपयोगकर्ताओं को उनके कार्यों के लिए जवाबदेह ठहरा सकते हैं।
प्लगइन सब कुछ का ट्रैक रखेगा - लॉगिन, लॉगआउट, किए गए परिवर्तन, निर्माण, संशोधन, विलोपन, जोड़, अपडेट, आदि। यदि आपको हैक किया गया है, तो आप किसी भी संदिग्ध गतिविधि या किए गए परिवर्तनों की पहचान करने के लिए गतिविधि लॉग का उल्लेख कर सकते हैं।
यदि आपकी वेबसाइट में कोई महत्वपूर्ण परिवर्तन किए गए हैं तो आप तुरंत सूचनाएं प्राप्त कर सकते हैं। आप किसी भी उपयोगकर्ता को केवल एक क्लिक से लॉग ऑफ या ब्लॉक भी कर सकते हैं।
स्वतः लॉगआउट निष्क्रिय उपयोगकर्ता
यह सुविधा मुख्य रूप से बैंक वेबसाइटों और ऐप्स के साथ देखी जाती है जो निष्क्रियता की अवधि के बाद आपको लॉग आउट कर देती हैं। यह आपके खाते को किसी भी अनधिकृत पहुंच से बचाने के लिए है।
इसे सेट अप करने के लिए, आप एक ऐसे प्लग इन का उपयोग कर सकते हैं जिसमें एक निष्क्रिय सत्र लॉगआउट सुविधा है।
संदिग्ध वर्डप्रेस लॉगिन के लिए अलर्ट सेट करें
हैकर्स लगातार सुरक्षा सुविधाओं को दरकिनार करने के तरीके खोज रहे हैं, और इस तरह हमें सतर्क रहना चाहिए। किसी भी संदिग्ध गतिविधि के होने पर सूचित करने के लिए अपनी वेबसाइट पर अलर्ट सेट करने की सलाह दी जाती है।
ऐसा करने के लिए आपको MalCare जैसे सुरक्षा प्लगइन का उपयोग करना होगा। यह आपकी साइट को लगातार स्कैन करता है और अगर यह किसी मैलवेयर या कुछ भी संदिग्ध का पता लगाता है तो आपको अलर्ट करता है।
वेब एप्लिकेशन फ़ायरवॉल सेट करें
एक वेब एप्लिकेशन फ़ायरवॉल आपकी वेबसाइट पर आने से पहले ही हैकर्स को ब्लॉक कर देगा। वे आईपी पते को ट्रैक करके ऐसा करते हैं - एक संख्यात्मक पहचानकर्ता जो इंटरनेट से जुड़े हर डिवाइस को सौंपा गया है।
यदि आईपी ने पहले दुर्भावनापूर्ण गतिविधियां की हैं, तो उन्हें चिह्नित कर दिया जाएगा और आपकी साइट पर आने से रोक दिया जाएगा।
सुरक्षा प्लग इन का उपयोग करके फ़ायरवॉल सेट करें, और निश्चिंत रहें कि आपके पास अपनी वेबसाइट के लिए सर्वोत्तम संभव सुरक्षा है।
7 जटिल वर्डप्रेस सख्त तरीके
अब हम वर्डप्रेस को सख्त करने के लिए असली स्क्रैपी सामान पर आते हैं। निम्नलिखित उपायों के लिए कुछ कोडिंग या विकास अनुभव की आवश्यकता होती है, अन्यथा गलतियाँ साइट क्रैश और ब्रेकडाउन का कारण बन सकती हैं।
इन सख्त तरीकों के साथ कुछ सावधानी के साथ आगे बढ़ें, और यदि आपने पहले से ऐसा नहीं किया है, तो कृपया अपनी वेबसाइट का बैकअप लें।
अविश्वसनीय फ़ोल्डरों में PHP निष्पादन को ब्लॉक करें
यह थोड़ा तकनीकी है लेकिन आइए इसे यथासंभव सरल बनाने का प्रयास करें।
सबसे पहले, आपको यह जानना होगा कि PHP एक स्क्रिप्टिंग भाषा है जिसका उपयोग वेब विकास में किया जाता है। एक PHP फ़ंक्शन एक प्रोग्राम में लिखे गए कोड का एक ब्लॉक है जिसे एक निश्चित कार्य करने के लिए निष्पादित किया जा सकता है। इसके बाद, आपकी WP वेबसाइट फाइलों और फ़ोल्डरों से बनी होती है। हालाँकि, केवल कुछ फ़ाइलें और फ़ोल्डर php फ़ंक्शन का उपयोग करते हैं। एक बार जब कोई हैकर आपकी वेबसाइट तक पहुंच प्राप्त कर लेता है, तो वे अपने स्वयं के फ़ोल्डर बना सकते हैं, या वे अपने PHP कार्यों को आपके मौजूदा लोगों में सम्मिलित कर सकते हैं।
ऐसी हैक को रोकने के लिए, आप किसी भी अज्ञात फ़ोल्डर से PHP फ़ंक्शन के निष्पादन को ब्लॉक कर सकते हैं। और आप उन जगहों पर PHP के निष्पादन को अक्षम भी कर सकते हैं जहां ऐसा होने की आवश्यकता नहीं है।
इसके लिए इन चरणों का पालन करें:
सावधानी: वर्डप्रेस की बैकएंड फाइलों और डेटाबेस टेबल के साथ हस्तक्षेप करना जोखिम भरा व्यवसाय है और इससे आपकी साइट टूट सकती है। इसके लिए तकनीकी ज्ञान की आवश्यकता होती है। अगर आप नहीं जानते कि आप क्या कर रहे हैं, तो पेशेवर मदद लेना सबसे अच्छा है।
1. cPanel . के माध्यम से अपनी वेबसाइट की फाइलों तक पहुंचें> फ़ाइल प्रबंधक . यदि आपके पास cPanel तक पहुंच नहीं है, तो आप FileZilla जैसे FTP क्लाइंट का उपयोग कर सकते हैं। अपनी फ़ाइलों तक पहुँचने के लिए आपको अपने FTP क्रेडेंशियल की आवश्यकता होगी।
2. public_html . पर जाएं और आपको wp-includes . नामक तीन फ़ोल्डर दिखाई देंगे , wp-admin , और wp-content , इस तरह:
3. इसके बाद, .htaccess . देखें फ़ाइल। यदि यह मौजूद नहीं है, तो आप नोटपैड जैसे टेक्स्ट एडिटर को खोलकर और इसे .htaccess के रूप में सहेज कर एक बना सकते हैं।
4. आपको निम्न कोड को अपने .htaccess . में पेस्ट करना होगा फ़ाइल।
<फ़ाइलें *.php>
सब से इनकार
5. यदि आप एक नई फ़ाइल बना रहे हैं, तो आपको इसे दो फ़ोल्डरों में अपलोड करना होगा:wp-includes और wp-content/uploads
यह फ़ाइल अनुमतियों को बदल देगा और किसी भी PHP फ़ाइल को इन निर्देशिकाओं में चलने से रोकेगा। यदि यह सब बहुत अधिक तकनीकी है, तो MalCare जैसे सुरक्षा प्लग इन आपके लिए इसे स्वचालित करते हैं।
फ़ाइल संपादक अक्षम करें
अगर किसी हैकर को वर्डप्रेस एडमिनिस्ट्रेटर अकाउंट का एक्सेस मिल जाता है, तो वे आपकी वेबसाइट पर पूरा कंट्रोल कर सकते हैं। डैशबोर्ड से, वे “संपादक” के विकल्प के माध्यम से आपकी थीम और प्लगइन्स की कोडिंग को संपादित कर सकते हैं। वे अपनी सामग्री प्रदर्शित करने, आपकी साइट को खराब करने, अपने उपयोगकर्ताओं को स्पैम करने आदि के लिए अपनी स्क्रिप्ट भी अपलोड कर सकते हैं। इन संपादकों के माध्यम से होने वाली सबसे आम हैक में SQL इंजेक्शन, SEO स्पैम हैक और जापानी SEO स्पैम शामिल हैं।
संपादक को खोजने के लिए, उपस्थिति . पर जाएं> संपादक . और प्लगइन्स> प्लगइन संपादक इस तरह:
संपादक को अक्षम करने के लिए, आपको अपनी wp-config फ़ाइल को एक्सेस करना होगा। जिस तरह से हमने फाइल मैनेजर या एफ़टीपी का उपयोग करके वेबसाइट की फाइलों को एक्सेस किया है, उसी तरह यहां भी इस्तेमाल किया जा सकता है।
अगले भाग में तकनीकी कोडिंग ज्ञान की आवश्यकता होती है और यदि सही तरीके से नहीं किया गया तो आपकी साइट को तोड़ने का संभावित जोखिम आता है। यदि आप नहीं जानते कि आप क्या कर रहे हैं, तो बेहतर है कि इसे करने का प्रयास न करें, भले ही यह इतना आसान लगता हो। हम MalCare में 'फ़ाइल संपादक अक्षम करें' सुविधा का उपयोग करने की सलाह देते हैं।
अगर आप मैन्युअल तरीके से आगे बढ़ना चाहते हैं, तो हमने आपको उन चरणों के बारे में बताया है जिन्हें आपको पूरा करने की ज़रूरत है।
1. आपके फ़ाइल प्रबंधक . में , अपना wp-config . ढूंढें फ़ाइल और संपादित करें . प्राप्त करने के लिए राइट-क्लिक करें विकल्प।
2. यहां, आपको इसके बारे में अधिक जानकारी दिखाई देगी और आप एन्कोडिंग जांच अक्षम करें . का चयन कर सकते हैं . फिर संपादित करें के लिए आगे बढ़ें ।
3. अब, यह आपके wp-config . को खोलता है फ़ाइल और आपको यह सोचकर छोड़ देता है कि आगे क्या करना है! तनाव मत करो। नीचे स्क्रॉल करें और लाइन ढूंढें:
/* बस इतना ही, संपादन बंद करो! शुभ प्रकाशन। */
4. इसके ऊपर निम्न कोड पेस्ट करें
परिभाषित करें ('DISALLOW_FILE_EDIT', सत्य);
5. परिवर्तन सहेजें और संपादक बंद करें।
6. अपने डैशबोर्ड पर लौटें और आप देखेंगे कि अब आपको संपादक विकल्प नहीं मिलेगा।
नोट:यदि आपके पास cPanel तक पहुंच नहीं है, तो आप FTP के माध्यम से अपनी wp-config फाइल डाउनलोड कर सकते हैं। इसे किसी भी टेक्स्ट एडिटर में खोलें और कोड की लाइन जोड़ें। इसे उसी तरह वापस वेबसाइट पर अपलोड करें जैसे आपने इसे डाउनलोड किया था। आप पुरानी फ़ाइल को अधिलेखित कर सकते हैं।
सुरक्षा कुंजियां बदलें
आसानी से लॉग इन करने के लिए, वर्डप्रेस आपके क्रेडेंशियल्स को स्टोर करता है ताकि आपको हर बार लॉग इन करने के लिए अपनी साख दर्ज न करनी पड़े। लेकिन यहां महत्वपूर्ण बात यह है कि इसे एन्क्रिप्टेड रूप में संग्रहीत किया जाता है।
यदि डेटा को सादे पाठ में संग्रहीत किया जाता है, जब किसी हैकर के पास डेटा हो जाता है, तो वे इसे पढ़ सकते हैं। यदि डेटा एन्क्रिप्ट किया गया है, तो यह यादृच्छिक पाठ जैसा दिखेगा जिसका वे उपयोग नहीं कर सकते।
डेटा को एन्क्रिप्ट करने के लिए, वर्डप्रेस को सुरक्षा कुंजियों और लवणों के रूप में जानी जाने वाली किसी चीज़ का उपयोग करना पड़ता है। सरल शब्दों में, कुंजियाँ यादृच्छिक चर होती हैं जो आपके व्यवस्थापक उपयोगकर्ता नाम और पासवर्ड को एन्कोड करती हैं, और लवण मूल रूप से एक कदम आगे एन्क्रिप्शन को बेहतर बनाने में मदद करते हैं।
अगर हैकर्स आपकी सुरक्षा चाबियों और लवणों को अपने हाथों में लेने में सक्षम हैं, तो वे एन्क्रिप्ट किए गए डेटा को समझ सकते हैं और आपके खाते को हैक कर सकते हैं।
समय-समय पर अपनी पुरानी चाबियों और लवणों को बदलने की सिफारिश की जाती है। चाबियों और लवणों का एक नया सेट प्राप्त करने के लिए आप इस लिंक का उपयोग कर सकते हैं:गुप्त कुंजी। आपको इस तरह दिखने वाला पेज मिलेगा:
अब उपरोक्त विधि का उपयोग करते हुए, अपनी फाइलों तक पहुंचें और उन मानों को कॉपी-पेस्ट करें जो आपके wp-config में जेनरेट किए गए हैं। फ़ाइल, यहाँ:
यहां भी, चूंकि इसके लिए कोड को बदलने की आवश्यकता होती है, हम वर्डप्रेस वेबसाइट के मालिकों को सावधान करते हैं कि यदि वे तकनीक-प्रेमी नहीं हैं तो वे इसका प्रयास न करें। सुरक्षा प्लगइन का उपयोग करना सबसे अच्छा है जो आपके लिए इसे संभाल लेगा।
प्लगइन इंस्टॉलेशन की अनुमति न दें
ऐसे मौके आते हैं जब कोई उपयोगकर्ता या क्लाइंट प्लगइन की संगतता या विश्वसनीयता की जांच किए बिना प्लगइन स्थापित कर सकता है, जैसा कि आप कर सकते हैं। इससे आपकी वेबसाइट पर कई समस्याएं हो सकती हैं, इसलिए उनके लिए ऐसा करने की क्षमता को पूरी तरह से हटा देना सबसे अच्छा है।
आप प्लगइन और थीम अपडेट और इंस्टॉलेशन को दो तरह से अक्षम कर सकते हैं:
अपनी wp_config php फ़ाइल में कोड की एक पंक्ति जोड़कर
पिछले अनुभाग में वर्णित विधि का पालन करें, आपको निम्न पंक्ति जोड़ने की आवश्यकता है:
परिभाषित करें ('DISALLOW_FILE_MODS', सच);
कृपया ध्यान दें:कृपया ध्यान रखें कि थीम और प्लग इन को अपडेट करने के लिए, और नए इंस्टॉल करने के लिए, आपको वापस जाकर कोड की इस लाइन को हटाना होगा।
सुरक्षा प्लग इन का उपयोग करना
प्लगइन का उपयोग करके इस फ़ंक्शन को सक्षम और अक्षम करने का सबसे आसान तरीका है। यदि आप MalCare का उपयोग कर रहे हैं, तो आपको इसे सक्षम करने के लिए बस एक बटन पर क्लिक करना होगा और उसके बाद इसे अक्षम करना होगा।
यह एक चरम उपाय है, लेकिन उन मामलों में एक आवश्यक है जहां आपकी साइट को संभालने वाले कई उपयोगकर्ता हैं; या उस स्थिति में जब आप अपने क्लाइंट को अनावश्यक रूप से प्लग इन इंस्टॉल करने से सीमित करना चाहते हैं।
अपनी wp-config.php फ़ाइल सुरक्षित करें
आपके वर्डप्रेस इंस्टॉलेशन में अधिक महत्वपूर्ण फाइलों में से एक, wp-config.php हैकर्स के लिए एक प्रमुख लक्ष्य है। आपकी वेबसाइट पर डेटाबेस एक्सेस क्रेडेंशियल रखने के अलावा, wp-config एक वर्डप्रेस वेबसाइट फ़ंक्शन बनाने के लिए ज़िम्मेदार है।
फ़ाइल संपादन को अक्षम करने के अलावा, आप यहां दो काम कर सकते हैं:सुरक्षा कुंजी बदलें और प्लगइन स्थापना को अस्वीकार करें।
wp-config.php छुपाएं
सबसे पहले wp-config.php फाइल को एक लेवल ऊपर ले जाना है। यह एक सुरक्षा कदम नहीं है, लेकिन मैलवेयर के लिए फ़ाइल को ढूंढना कठिन बनाने के लिए और अधिक है। फ़ाइल को स्थानांतरित करना हालांकि इसे अभेद्य नहीं बनाता है, इसलिए तदनुसार अपेक्षाएं निर्धारित करें।
नोट:फ़ाइल को स्थानांतरित करना एक अच्छा विचार है या नहीं, इस बारे में डेवलपर्स के बीच कोई सहमति नहीं है। कुछ मामलों में, जैसे संपर्क फ़ॉर्म 7 भेद्यता, यह उपाय पूरी तरह से अप्रभावी हो सकता है। हालांकि, हम हैक-एज़-हैक-एज़-हैक्ड-एज़-पॉसिबल के पक्ष में गलती करना पसंद करते हैं।
wp-config.php तक पहुंच से इनकार करें
पहुंच से इनकार करना एक अधिक ठोस उपाय है, और यदि आप ऐसा करते हैं, तो आपको फ़ाइल को बिल्कुल भी स्थानांतरित नहीं करना पड़ेगा। अपनी .htaccess फ़ाइल पर जाएं और निम्न कोड जोड़ें, ठीक ऊपर:
<फ़ाइलें wp-config.php>
आदेश की अनुमति दें, इनकार करें
सब से इनकार
अपनी wp-config.php फ़ाइल को सुरक्षित रखने के लिए आप कुछ चीज़ें कर सकते हैं। इस लेख में उन सभी के लिए एक चेकलिस्ट है जिसे आप एक सत्र में तैयार कर सकते हैं।
डेटाबेस को अलग करना
यदि आप वर्डप्रेस के अलग-अलग इंस्टॉलेशन के साथ एक से अधिक वेबसाइट चलाते हैं, तो डेटाबेस को एक-दूसरे से अलग रखना और अलग-अलग स्थानों में संग्रहीत करना बुद्धिमानी है। इसलिए यदि हैकर्स एक वेबसाइट तक पहुंच प्राप्त करते हैं, तो आपकी अन्य वेबसाइटें अप्रभावित रहेंगी-कम से कम सैद्धांतिक रूप से, क्योंकि बहुत कुछ अन्य वेबसाइटों की सुरक्षा पर निर्भर करता है।
यद्यपि यह स्थापना के दौरान सबसे अच्छा पूरा किया जाता है, इसे बाद में किया जा सकता है और यह प्रयास के लायक है। हालाँकि, इसके लिए MySQL और इसके कॉन्फ़िगरेशन के साथ कुछ परिचित होने की आवश्यकता है।
wp-admin सुरक्षित करना
लॉगिन सुरक्षा को अगले स्तर तक ले जाने के लिए—जो आपको पूरी तरह से करना चाहिए—आप लॉगिन को एसएसएल पर प्रसारित करने के लिए बाध्य कर सकते हैं। सुनिश्चित करें कि आपने एसएसएल स्थापित किया है और किसी भी मिश्रित सामग्री के मुद्दों को संबोधित किया है।
फिर उस wp-config.php फ़ाइल पर नेविगेट करें जिसके साथ आप अब तक सहज हैं, और यह कोड जोड़ें:
परिभाषित करें ('FORCE_SSL_ADMIN', सत्य);
हम जानते हैं कि यह एक बहुत ही सरल कदम है, लेकिन एक कारण है कि इसे यहां जटिल खंड में शामिल किया गया है। प्लगइन्स हमेशा एसएसएल के साथ अच्छा नहीं खेलते हैं, और कभी-कभी एसएसएल को असामान्य तरीकों से कॉन्फ़िगर किया जा सकता है। यह कैसे काम करता है और इसके लिए क्या देखना है, इसकी पूरी व्याख्या के लिए, इस लेख को देखें।
WordPress सुरक्षा प्लगइन का उपयोग करना
हमने ऊपर जो सुझाव दिया है, उसे आसानी से और शीघ्रता से पूरा करने के लिए, MalCare इंस्टॉल करें।
अच्छे वर्डप्रेस सुरक्षा प्लगइन्स एक वेब एप्लिकेशन फ़ायरवॉल, बॉट सुरक्षा और स्कैनर के साथ, आपकी वेबसाइट पर लागू करने के लिए आवश्यक वेबसाइट सख्त उपायों को जोड़ते हैं। तो अब, आपको इसके तकनीकी पहलुओं का पता लगाने में बहुत समय बिताने के बारे में चिंता करने की ज़रूरत नहीं है।
हालांकि, सभी प्लगइन्स समान सुविधा और लाभ प्रदान नहीं करते हैं। वहाँ काफी कुछ प्लगइन्स हैं, लेकिन हम MalCare की अनुशंसा केवल इसलिए करते हैं क्योंकि यह कुछ ही क्लिक में काम जल्दी और आसानी से कर देता है।
एक बार जब आप प्लगइन स्थापित कर लेते हैं, तो आपकी वेबसाइट पहले से ही सुरक्षित होती है। यहां बताया गया है:
- आपकी वेबसाइट को नियमित रूप से स्कैन करता है और किसी भी संदिग्ध गतिविधि की जांच करता है
- प्रोएक्टिव फ़ायरवॉल जो दुर्भावनापूर्ण ट्रैफ़िक को आपकी साइट पर आने से रोकता है
- आपकी वेबसाइट पर मौजूद किसी भी मैलवेयर के लिए रीयल-टाइम सूचनाएं
- 1-क्लिक मैलवेयर क्लीनअप
इन सभी सुविधाओं के अलावा, वेबसाइट सख्त करने के विभिन्न स्तर हैं जिन्हें आप अपनी वेबसाइट पर लागू कर सकते हैं। ये उपाय वैकल्पिक हैं क्योंकि सभी वेबसाइट स्वामी अपनी वेबसाइट पर इन सुरक्षा उपायों को निष्पादित नहीं करना चाहेंगे। आप चुन सकते हैं कि आपकी आवश्यकताओं के अनुसार क्या करना है।
वेबसाइट सख्त करने के तीन स्तर आप लागू कर सकते हैं:
आवश्यक
यह आपको अविश्वसनीय फ़ोल्डरों में PHP निष्पादन को अवरुद्ध करने में सक्षम बनाता है। आप फ़ाइल संपादन को अक्षम भी कर सकते हैं। जैसा कि हमने पहले चर्चा की, यह एक ऐसा कदम है जो आपको बिल्कुल उठाना चाहिए।
सामान्य परिस्थितियों में, आप वास्तव में वर्डप्रेस की फाइलों और फ़ोल्डरों के साथ हस्तक्षेप नहीं करेंगे। आप अपनी वेबसाइट को केवल wp-admin डैशबोर्ड से संचालित करेंगे। आपको थीम और प्लगइन्स के फाइल एडिटर में कुछ भी संपादित करने की आवश्यकता नहीं है। उन्हें अक्षम करने से कुछ दरवाजे बंद हो जाते हैं, जिनका उपयोग हैकर आपकी साइट पर हमला करने के लिए कर सकते हैं।
उन्नत
आप प्लगइन और थीम इंस्टॉलेशन को ब्लॉक कर सकते हैं जिसका मतलब है कि कोई भी आपकी वेबसाइट पर नए इंस्टॉल नहीं कर सकता है। यह उपाय थोड़ा चरम है और इसे तभी लिया जाना चाहिए जब आपको किसी हैक का संदेह हो या आपके पास वेबसाइट पर काम करने वाले बहुत से लोग हों। यदि आप एक नया प्लगइन/थीम स्थापित करना चाहते हैं, तो आपको इसे MalCare डैशबोर्ड से अक्षम करना होगा।
पागलपन
यहां, आप सुरक्षा कुंजी बदल सकते हैं और सभी उपयोगकर्ताओं के लिए पासवर्ड रीसेट कर सकते हैं। अक्सर वर्डप्रेस वेबसाइटें लोगों की एक टीम द्वारा संचालित की जाती हैं, जिसमें प्रत्येक व्यक्ति का अपना लॉगिन होता है। इससे हैकर्स के लिए क्रेडेंशियल्स का अनुमान लगाने और आपकी साइट तक पहुंचने के अवसर बढ़ जाते हैं।
सभी सुरक्षा कुंजियों और पासवर्डों को नियमित अंतराल पर बदलना महत्वपूर्ण है। यदि आपके पास एक बड़ी टीम है, तो यह प्रक्रिया को स्वचालित करने और इसे तेज़ बनाने में मदद करती है।
यदि आप किसी हैक से उबर रहे हैं, तो यह सुनिश्चित करने के लिए एक आवश्यक कदम है कि आप फिर से हैक न हों।
इसके अलावा, आप अपनी वेबसाइट पर निम्नलिखित वर्डप्रेस सुरक्षा सुविधाओं से लाभान्वित होते हैं:
- सीमित लॉगिन प्रयास
- कैप्चा-आधारित लॉगिन
- अनधिकृत पहुंच के लिए अलर्ट
- एक गतिविधि लॉग जो आपकी साइट पर फ़ाइल संशोधन/अपडेट दिखाता है
- यह आपको क्रूर बल के हमलों जैसे हैक से बचाने के लिए प्रत्येक आईपी अनुरोध का विश्लेषण भी करता है
- यह सामान्य वर्डप्रेस सुरक्षा खतरों जैसे SQL इंजेक्शन हमलों, SEO स्पैम, और आपकी वेबसाइट का DDOS हमलों में उपयोग होने से रोकता है
एक पूर्ण विशेषताओं वाला वर्डप्रेस सुरक्षा प्लगइन इसके भागों के योग से अधिक है। भले ही ये उपाय अपने आप में खतरों के खिलाफ प्रभावी सुरक्षा हैं, लेकिन जब एक साथ उपयोग किए जाते हैं तो वे दुर्भावनापूर्ण गतिविधियों के खिलाफ एक दुर्जेय बाधा उत्पन्न करते हैं। अभी MalCare इंस्टॉल करें, और इस ज्ञान में आराम करें कि आपने अपनी वेबसाइट की सुरक्षा के लिए हर संभव प्रयास किया है।
अतिरिक्त क्रेडिट के लिए
निम्नलिखित युक्तियाँ वर्डप्रेस सख्त की श्रेणी में नहीं आती हैं, लेकिन वे अभी भी सुरक्षा-सचेत वेबसाइट व्यवस्थापक के लिए सर्वोत्तम अभ्यास हैं। एक बार जब आप ऊपर दी गई सूची के साथ समाप्त कर लेते हैं, तो हम इन उपायों को करने की अत्यधिक अनुशंसा करते हैं।
अपनी वेबसाइट का बैकअप लें
इस सूची में निश्चित रूप से अप्रत्याशित प्रविष्टि:बैकअप। हम जानते है; हम वर्डप्रेस के लिए सर्वश्रेष्ठ-इन-क्लास बैकअप प्लगइन विकसित करते हैं।
एक अच्छे बैकअप का महत्व एक बुरे परिदृश्य से सबसे अच्छी तरह से स्पष्ट होता है। कल्पना कीजिए कि आपने अपनी वेबसाइट बनाने में महीनों और वर्षों का समय लगाया है। इसमें ग्राहक हैं, आकर्षक सामग्री है, विज्ञापनों के साथ राजस्व उत्पन्न करता है, और इसकी प्रतिष्ठा है। और पूफ, एक दिन वह गायब हो गया। यह एक मैलवेयर संक्रमण या आपके वेब होस्ट के साथ सर्वर की विफलता हो सकती है; लाख कारणों में से कोई एक। कल्पना करना। उन परिस्थितियों में बैकअप लेने के लिए आप क्या देंगे?
बैकअप महत्वपूर्ण हैं। यह सिर्फ सामान्य ज्ञान है।
अपने कंप्यूटर को मैलवेयर से साफ़ रखें
यह कभी-कभी स्पष्ट चीजें होती हैं जो हमें परेशान करती हैं। आप जिस भी कंप्यूटर का उपयोग करते हैं—या वास्तव में वाईफाई—का आपकी वेबसाइट की सुरक्षा पर प्रभाव पड़ता है। अगर आपके कंप्यूटर पर कीलॉगर है तो वर्डप्रेस को सख्त करने का कोई मतलब नहीं है; आपने अपना लॉगिन क्रेडेंशियल एक हैकर को सौंप दिया है।
सब कुछ हमेशा अपडेट रखें
खुद वर्डप्रेस के अलावा थीम और प्लगइन्स को अपडेट रखना जरूरी है। हर दिन कमजोरियों की खोज की जाती है, और प्लगइन्स के डेवलपर्स उन कमजोरियों को दूर करने के लिए पैच जारी करते हैं।
यदि आप किसी प्लगइन्स या थीम का उपयोग नहीं कर रहे हैं, तो उनसे छुटकारा पाएं। यदि आपको उनकी फिर से आवश्यकता हो, तो आप उन्हें बाद में कभी भी पुनः स्थापित कर सकते हैं।
एक तरफ के रूप में, यह प्लगइन्स खरीदने का एक मुख्य कारण है। एक सशुल्क प्लगइन अक्सर सक्रिय रूप से बनाए रखा जाता है और आपके सामने आने वाली समस्याओं के लिए एक समर्थन चैनल होता है। MalCare में, हम हर दिन अपने सुरक्षा प्लगइन को बेहतर बनाने के लिए हैक की गई वेबसाइटों के साथ अपने अनुभव का उपयोग करते हैं। एक सक्रिय रूप से बनाए रखा प्लगइन सुरक्षा में एक निवेश है।
एसएफ़टीपी का इस्तेमाल करें
यदि आप अपने सर्वर पर फ़ाइलें स्थानांतरित करने के लिए FTP का उपयोग करते हैं, तो इसके बजाय SFTP पर स्विच करने पर विचार करें। यह फाइलों को स्थानांतरित करने के लिए उसी तरह से काम करता है, सिवाय इसके कि यह एसएसएच का उपयोग करके ऐसा करता है। स्थानांतरित किया गया डेटा एन्क्रिप्ट किया गया है और पारगमन के दौरान पढ़ा नहीं जा सकता है। साथ ही, SFTP उपयोगकर्ता और सर्वर दोनों के लिए प्रमाणीकरण का उपयोग करता है।
SFTP नया मानक बन रहा है, और परिणामस्वरूप FTP की जगह ले रहा है। कॉन्फ़िगरेशन व्यावहारिक रूप से समान है, इसलिए लीगेसी प्रोटोकॉल के साथ जारी रखने का कोई अच्छा कारण नहीं है।
विश्वसनीय वेब होस्ट का उपयोग करें
अधिकांश सुरक्षा लेख (जैसे यह वाला) इस बात पर बहुत अधिक ध्यान केंद्रित करेंगे कि एक वेबसाइट व्यवस्थापक के रूप में आप अपनी वेबसाइट को सुरक्षित रखने के लिए क्या कर सकते हैं। दी, आप बहुत कुछ कर सकते हैं, और अधिकांश भेद्यताएं इंस्टॉल किए गए एप्लिकेशन द्वारा लाई जाती हैं। हालाँकि, इसका मतलब यह नहीं है कि सर्वर अजेय है।
यदि आपका वेब होस्ट अपने सर्वर की सुरक्षा में अपनी भूमिका नहीं निभाता है तो आप बहुत कम कर सकते हैं। सर्वर भी हमले की चपेट में हैं, न कि केवल डिजिटल किस्म के। उदाहरण के लिए, क्या सर्वर भौतिक रूप से सुरक्षित स्थान पर हैं? क्या कोई हैकर कमरे तक पहुंच सकता है और इस तरह से डेटा चुरा सकता है? ये महत्वपूर्ण विचार हैं, लेकिन फिर से एक वेबसाइट व्यवस्थापक का इस संबंध में सीमित नियंत्रण होता है।
तो आप क्या कर सकते हैं? एक विश्वसनीय वेब होस्ट चुनें। एक अच्छा वेब होस्ट अपनी प्रथाओं के बारे में पारदर्शी होता है, और इसमें अपने सर्वर को हमले से बचाने के लिए किए गए ठोस उपाय शामिल होंगे। यह लागत में कटौती करने का स्थान नहीं है, क्योंकि एक सस्ता वेब होस्ट लंबे समय में बहुत महंगा निर्णय साबित हो सकता है।
निष्कर्ष
हम पर्याप्त रूप से वर्डप्रेस सुरक्षा प्लगइन स्थापित करने के महत्व पर जोर नहीं दे सकते।
मैलवेयर हटाना एक श्रमसाध्य और कठिन प्रक्रिया है, जो गलत कदमों और महंगी त्रुटियों के अधीन है। केवल विशेषज्ञों को ही प्रक्रिया पूरी करनी चाहिए, और यह एक महंगा प्रस्ताव हो सकता है। साथ ही, आप उस बिंदु तक पहले ही डेटा, ट्रैफ़िक, प्रतिष्ठा और बहुत कुछ खो चुके होंगे।
तो हाँ, सुरक्षा के लिए एक पूर्वव्यापी दृष्टिकोण अपनाएं, और एक अच्छा वर्डप्रेस सुरक्षा प्लगइन स्थापित करें। फिर इस लेख पर वापस आएं और सख्त उपायों को लागू करें, और फिर अंत में सामान्य वर्डप्रेस सख्त गलतियों की जांच के लिए अपनी वेबसाइट का ऑडिट करें।
आपकी दूरदर्शिता के लिए आपका भविष्य स्वयं आपको धन्यवाद देगा।
अक्सर पूछे जाने वाले प्रश्न
वर्डप्रेस हार्डनिंग क्या है?
वर्डप्रेस हार्डनिंग एक कैच-ऑल टर्म है जिसका उपयोग सेटिंग्स और कॉन्फ़िगरेशन का वर्णन करने के लिए किया जाता है जो आपकी वेबसाइट की सुरक्षा को बढ़ाते हैं। ये तकनीकें संक्रमण के जोखिम को कम करने के लिए वेबसाइट संपत्तियों की व्यापकता को कवर करती हैं और ज्ञात कमजोर प्रवेश बिंदुओं को मजबूत करती हैं।
मुझे WordPress को सख्त क्यों करना चाहिए?
यदि आप अपनी वेबसाइट की सुरक्षा की परवाह करते हैं, और अपने आगंतुकों के डेटा की सुरक्षा को बढ़ाते हैं, तो इसलिए आपको वर्डप्रेस को सख्त करना चाहिए। कमजोरियों को दूर करने और मैलवेयर संक्रमण के जोखिम को कम करने के लिए ये सरल उपाय हैं।
याद रखें कि मैलवेयर से छुटकारा पाना उसके संक्रमण को रोकने से कहीं अधिक कठिन है।
क्या वर्डप्रेस को सख्त करना मुश्किल है?
वर्डप्रेस को सख्त करने के लिए आप कुछ उपाय कर सकते हैं जो सरल हैं और आपके डैशबोर्ड के माध्यम से किए जाते हैं। वे कठिन नहीं हैं। कुछ और भी हैं जो थोड़े अधिक जटिल हैं, लेकिन वर्डप्रेस सुरक्षा प्लगइन स्थापित करना उस जटिलता को कम करने के लिए एक लंबा रास्ता तय करेगा। और इसका सामना करते हैं:प्लगइन स्थापित करना बिल्कुल भी मुश्किल नहीं है।
यदि मेरे पास सुरक्षा प्लगइन है तो क्या मुझे वर्डप्रेस को सख्त करने की आवश्यकता है?
हां, क्योंकि भले ही एक अच्छे वर्डप्रेस सुरक्षा प्लगइन में कुछ महत्वपूर्ण वर्डप्रेस सख्त उपाय शामिल होंगे, वे उन सभी को करने में सक्षम नहीं होंगे। यह बहुत सरल है क्योंकि एक मजबूत पासवर्ड चुनने या मजबूत प्रमाणीकरण प्रोटोकॉल लागू करने जैसी चीजें सुरक्षा प्लगइन के दायरे से बाहर हैं।