क्रॉस-साइट स्क्रिप्टिंग रोकथाम कैसे लागू करें?

क्या आप अपनी वेबसाइट पर क्रॉस-साइट स्क्रिप्टिंग हमलों से चिंतित हैं? काश हम आपको बता पाते कि चिंता की कोई बात नहीं है!

लेकिन तथ्य यह है कि क्रॉस-साइट स्क्रिप्टिंग हमले बहुत आम हैं। और यह संभव है कि देर-सबेर आपकी वेबसाइट क्रॉस-साइट स्क्रिप्टिंग हमले से प्रभावित होगी।

इस तरह के अटैक में हैकर्स आपकी वेबसाइट पर हमला करने के लिए विजिटर के ब्राउजर का इस्तेमाल करते हैं। एक बार जब वे आपकी वेबसाइट तक पहुंच प्राप्त कर लेते हैं, तो वे संवेदनशील डेटा चुरा सकते हैं, अवैध फाइलों और फ़ोल्डरों को स्टोर कर सकते हैं, आपके आगंतुकों को अन्य दुर्भावनापूर्ण साइटों पर पुनर्निर्देशित कर सकते हैं, स्पैमयुक्त कीवर्ड के साथ खोज परिणामों में हेरफेर कर सकते हैं, अन्य वेबसाइटों पर हमले शुरू कर सकते हैं। ऐसी दुर्भावनापूर्ण गतिविधियों में आपकी वेबसाइट को नष्ट करने की क्षमता होती है।

हमला आपकी वेबसाइट को धीमा कर देगा और आपकी वेबसाइट खोज इंजन रैंकिंग को प्रभावित करेगा। आप ट्रैफ़िक में गिरावट का अनुभव करेंगे और अंत में, आपकी आय प्रभावित होगी।

चीजें बहुत आगे बढ़ सकती हैं, और उपयोगकर्ताओं को आगे भ्रामक साइट जैसी चेतावनियां दिखाई देंगी, इस साइट को खोज परिणामों में आपकी वेबसाइट पर हैक किया जा सकता है, Google आपकी साइट को ब्लैकलिस्ट कर सकता है, और आपका होस्टिंग प्रदाता आपकी साइट को निलंबित कर सकता है।

लेकिन चिंता न करें, आप अपनी वेबसाइट पर यह सब होने से रोक सकते हैं कुछ सरल क्रॉस साइट स्क्रिप्टिंग रोकथाम उपायों को अपनाकर।

इस लेख में, हम आपकी वेबसाइट को क्रॉस-साइट स्क्रिप्टिंग हमलों से बचाने के लिए सही कदमों को लागू करने में आपकी मदद करेंगे।

TL;DR: क्रॉस-साइट स्क्रिप्टिंग एक खतरनाक हैक है और इससे पीड़ित साइटों को गंभीर नुकसान होता है। लेकिन इसे आसानी से रोका जा सकता है। आप अपनी साइट को इस प्रकार के हमले से बचाने के लिए मालकेयर जैसा वर्डप्रेस सुरक्षा प्लग इन इंस्टॉल कर सकते हैं।

क्रॉस-साइट स्क्रिप्टिंग अटैक (XSS) क्या है?

क्रॉस-साइट स्क्रिप्टिंग हमले में, एक हैकर विज़िटर का रूप धारण करके वेबसाइट को हैक कर लेता है।

इस प्रकार के हमले को समझने का सबसे अच्छा तरीका हैकर द्वारा हमले को अंजाम देने के लिए उठाए जाने वाले कदमों का पालन करना।

→ अधिकांश वेबसाइटों में इनपुट फ़ील्ड . होते हैं (जैसे संपर्क या साइन अप फॉर्म या एक टिप्पणी अनुभाग) जो आगंतुकों को वेबसाइट में डेटा दर्ज करने की अनुमति देता है।

→ ये फ़ील्ड प्लग इन द्वारा सक्षम किए गए हैं . आम तौर पर, प्लगइन्स यह सुनिश्चित करते हैं कि फ़ील्ड में डाला गया डेटा कोड स्निपेट की तरह दुर्भावनापूर्ण नहीं है। लेकिन अगर प्लगइन्स XSS भेद्यता विकसित करते हैं, तो वे विज़िटर को दुर्भावनापूर्ण डेटा या अविश्वसनीय डेटा दर्ज करने की अनुमति दे सकते हैं।

उदाहरण के लिए, एक संवेदनशील टिप्पणी प्लगइन आगंतुकों को एक दुर्भावनापूर्ण लिंक डालने की अनुमति देता है।

→ जब आप लिंक पर क्लिक करें , दुर्भावनापूर्ण कोड या दुर्भावनापूर्ण जावास्क्रिप्ट सक्रिय है और आपसे आपकी ब्राउज़र कुकीज़ तक पहुँचने की अनुमति मांगी जाती है।

→ ऐसा लगता है कि आपकी वेबसाइट आपसे एक विशिष्ट कार्य निष्पादित करने के लिए कह रही है . यह बहुत संभव है कि आप इस चाल के लिए गिर जाएंगे और अपने ब्राउज़र कुकीज़ तक पहुंच की अनुमति देंगे।

अपनी ब्राउज़र कुकी तक पहुंच की अनुमति देकर आप संवेदनशील जानकारी को हैकर के सामने प्रकट करते हैं।

→ ब्राउज़र कुकीज़ आपके लॉगिन क्रेडेंशियल सहित सभी प्रकार की सूचनाओं को संग्रहीत करती हैं। एक बार जब वे आपके लॉगिन क्रेडेंशियल तक पहुंच प्राप्त कर लेते हैं, तो हैकर आपको प्रतिरूपित कर सकता है और आपकी वेबसाइट पर लॉग इन कर सकता है।

XSS या क्रॉस-साइट स्क्रिप्टिंग अटैक के विभिन्न प्रकार क्या हैं?

दो प्रकार के क्रॉससाइट स्क्रिप्ट हमले हैं। वे हैं:

• संग्रहीत (या लगातार) XSS अटैक - इसके लिए लक्ष्य साइट का आगंतुक है।
• प्रतिबिंबित (या गैर-निरंतर) XSS हमला - इस प्रकार के हमले का लक्ष्य वेबसाइट है।

संवेदनशील प्लगइन्स के कारण क्रॉस-साइट स्क्रिप्टिंग हमले होते हैं। हैकर्स फ़ॉर्म या कमेंट प्लग इन जैसे संवेदनशील प्लग इन का उपयोग करके वेबसाइट की तलाश में इंटरनेट को स्कैन करते हैं। ये प्लगइन्स आम तौर पर उपयोगकर्ता इनपुट सत्यापन के साथ समस्याएं विकसित करते हैं। एक बार जब वे एक कमजोर प्लगइन का उपयोग करके एक वेबसाइट खोज लेते हैं तो वे हमले को अंजाम देना शुरू कर देते हैं।

अंत तक, हैकर्स के पास पीड़ित की ब्राउज़र कुकीज़ तक पहुंच होती है जो वेबसाइट लॉगिन क्रेडेंशियल, ई-बैंकिंग क्रेडेंशियल, फेसबुक और ईमेल क्रेडेंशियल जैसी महत्वपूर्ण जानकारी को अन्य चीजों के साथ संग्रहीत करती है।

यदि हैकर का मुख्य लक्ष्य आपकी वेबसाइट को हैक करना है, तो वह साइट लॉगिन क्रेडेंशियल निकालेगा। इसे रिफ्लेक्टेड XSS अटैक कहा जाता है। लेकिन अगर हैकर साइट के उपयोगकर्ताओं या आगंतुकों को लक्षित कर रहा है, तो वह ई-बैंकिंग, फेसबुक और जीमेल क्रेडेंशियल निकालेगा। इसे संग्रहीत XSS या लगातार XSS हमला कहा जाता है।

अब जब आप क्रॉस-साइट स्क्रिप्टिंग और इसके विभिन्न रूपों को समझ गए हैं, तो आइए एक नज़र डालते हैं कि इस प्रकार के हैक हमले से अपनी वेबसाइट की सुरक्षा कैसे करें।

क्रॉस-साइट स्क्रिप्टिंग रोकथाम के उपाय

वर्डप्रेस साइट्स प्लगइन्स और थीम का उपयोग करके बनाई गई हैं। अधिकांश साइटों में एक इनपुट प्लगइन होता है जो एक संपर्क फ़ॉर्म या टिप्पणी अनुभाग को सक्षम करता है जो आगंतुकों को डेटा सम्मिलित करने की अनुमति देता है।

कई इनपुट प्लग इन समय के साथ XSS भेद्यता विकसित करते हैं। जैसा कि हमने पहले चर्चा की थी, हैकर आपकी साइट पर क्रॉससाइट स्क्रिप्टिंग हमले शुरू करने के लिए कमजोरियों का उपयोग कर सकते हैं। चूंकि प्लगइन वेबसाइट का एक महत्वपूर्ण हिस्सा है, आप इसे केवल हटा नहीं सकते हैं। आप अपनी वेबसाइट पर XSS हमलों को रोकने के उपाय कर सकते हैं।

हम आपको 5 उपाय दिखाएंगे जिन्हें आपको xss भेद्यताओं को रोकने और XSS हमलों से बचाने के लिए अपनी साइट पर लागू करने की आवश्यकता है।

1. सुरक्षा प्लगइन स्थापित करें
2. रोकें XSS भेद्यता प्लगइन स्थापित करें
3. टिप्पणियों को लाइव करने से पहले उनकी समीक्षा करें
4. अपने प्लगइन्स को अपडेट रखें
5. प्रतिष्ठित मार्केटप्लेस से प्लगइन्स का उपयोग करें

1. सुरक्षा प्लगइन स्थापित करें

मालकेयर जैसा एक अच्छा सुरक्षा प्लगइन आपकी वेबसाइट को वर्डप्रेस फ़ायरवॉल से सुरक्षित रखेगा और आपको साइट सख्त करने के उपायों को लागू करने में सक्षम बनाता है।

मैं. फ़ायरवॉल

वर्डप्रेस फ़ायरवॉल प्लगइन आने वाले ट्रैफ़िक की जाँच करता है और खराब ट्रैफ़िक को आपकी वेबसाइट तक पहुँचने से रोकता है। विज़िटर (हैकर्स सहित) स्मार्टफोन या लैपटॉप जैसे डिवाइस का उपयोग करके आपकी साइट तक पहुंचते हैं। हर डिवाइस एक यूनिक कोड से जुड़ा होता है जिसे आईपी एड्रेस कहा जाता है। MalCare का फ़ायरवॉल खराब IP पतों की तलाश में इंटरनेट को स्कैन करता है। पूर्व में दुर्भावनापूर्ण गतिविधियों से संबद्ध IP पतों को आपकी वेबसाइट तक पहुंचने से रोका गया है।

इस तरह, एक XSS हमले को लागू करने के लिए आपकी साइट तक पहुँचने का प्रयास करने वाले हैकर्स को शुरुआत में ही ब्लॉक कर दिया जाता है।

ii. साइट का सख्त होना

मालकेयर में कई वर्डप्रेस सख्त उपाय हैं और उनमें से एक सुरक्षा कुंजी बदल रहा है। हम जानते हैं कि एक क्रॉस-साइट स्क्रिप्टिंग XSS हमले में, हैकर्स उपयोगकर्ता के ब्राउज़र कुकीज़ को चुराने की कोशिश करते हैं जिसमें उपयोगकर्ता क्रेडेंशियल होते हैं। हालाँकि, वर्डप्रेस इन क्रेडेंशियल्स को एन्क्रिप्टेड तरीके से स्टोर करता है। यह आपके पासवर्ड में सुरक्षा कुंजी और लवण जोड़ता है जिससे इसे समझना मुश्किल हो जाता है।

यदि हैकर्स जानते हैं कि कुंजी और लवण क्या हैं, तो वे जान सकते हैं कि आपका लॉगिन पासवर्ड क्या है। यही कारण है कि वेब एप्लिकेशन सुरक्षा शोधकर्ता द्वि-वार्षिक या त्रैमासिक आधार पर वर्डप्रेस लवण और कुंजियों को बदलने की सलाह देते हैं। MalCare के साथ, आप एक बटन के क्लिक से अपनी सुरक्षा कुंजियों को बदल सकते हैं।

2. रोकें XSS भेद्यता प्लगइन स्थापित करें

एक बार आपके पास एक विश्वसनीय सुरक्षा प्लग-इन होने के बाद, हम अनुशंसा करते हैं कि XSS हमलों में आमतौर पर पाए जाने वाले पैरामीटर की पहचान करने के लिए Prevent XSS भेद्यता प्लगइन स्थापित करें।

उदाहरण के लिए इंजेक्टेड दुर्भावनापूर्ण लिंक में, जिसे हैकर्स आपके कमेंट सेक्शन पर छोड़ सकते हैं, विस्मयादिबोधक चिह्न, ओपनिंग राउंड ब्रैकेट्स आदि जैसे प्रतीकों का उपयोग कर सकते हैं। इन मापदंडों को अवरुद्ध करके, प्लगइन आपकी वर्डप्रेस वेबसाइट पर क्रॉस साइट स्क्रिप्टिंग हमलों को रोकने में मदद करेगा।

उस ने कहा, यह प्लगइन XSS के खिलाफ केवल सीमित सुरक्षा प्रदान कर सकता है। एक फ़ायरवॉल XSS हमलों को जल्दी से रोकने और उनका पता लगाने में महत्वपूर्ण भूमिका निभाता है। यही कारण है कि हम पहले सुरक्षा प्लग इन के अतिरिक्त इस प्लग इन का उपयोग करने की अनुशंसा करते हैं।

3. टिप्पणियों को लाइव करने से पहले उन्हें मैन्युअल रूप से स्वीकृत करें

क्रॉससाइट स्क्रिप्ट हमलों में, हैकर्स इस उम्मीद में टिप्पणी अनुभाग में दुर्भावनापूर्ण लिंक छोड़ देते हैं कि कोई लिंक पर क्लिक करेगा।

टिप्पणियों को अपनी वेबसाइट पर अनुमति देने से पहले उनकी जांच करना सबसे अच्छा है। वर्डप्रेस की मूल टिप्पणी प्रणाली के साथ-साथ लोकप्रिय टिप्पणी प्लगइन्स जैसे जेटपैक, थ्राइव कमेंट्स, डिस्कस, आदि आपको टिप्पणियों को स्वीकार करने और प्रकाशित करने से पहले मैन्युअल रूप से समीक्षा करने की अनुमति देते हैं।

उस ने कहा, दुर्भावनापूर्ण लिंक की पहचान करना आसान नहीं है। हैकर्स वैध दिखने के लिए प्रच्छन्न लिंक के साथ वास्तविक टिप्पणियां छोड़ते हैं। लिंक की जांच करते समय भी, यदि आप गलती से उस पर क्लिक कर देते हैं, तो यह हैक हमले की शुरुआत कर सकता है।

कई साइट स्वामी टिप्पणी प्लग इन का उपयोग करना पसंद करते हैं, न कि वर्डप्रेस की मूल टिप्पणी प्रणाली का। ऐसा इसलिए है क्योंकि टिप्पणी प्लगइन्स में स्पैम को प्रबंधित करने की बेहतर क्षमता होती है। लेकिन जैसा कि हमने उल्लेख किया है, प्लगइन्स समय के साथ कमजोरियां विकसित करते हैं और यह आपकी वेबसाइट को हैक हमलों के लिए खोल सकता है।

अपनी टिप्पणी प्लगइन को बनाए रखने और किसी भी सामग्री सुरक्षा कमजोरियों को दूर करने के लिए, हम आपको सलाह देते हैं कि आप अपने प्लगइन्स को अपडेट रखें। हम अगले भाग में क्यों चर्चा करते हैं।

4. अपने प्लगइन्स को अपडेट रखें

जब प्लगइन्स के डेवलपर अपने सॉफ़्टवेयर में XSS भेद्यताओं का पता लगाते हैं, तो वे इसे तुरंत ठीक कर देते हैं और एक सुरक्षा पैच जारी कर देते हैं।

यह पैच अपडेट के रूप में आता है।

एक बार जब आप अपनी साइट पर प्लगइन अपडेट कर लेते हैं, तो XSS भेद्यता पैच हो जाएगी। लेकिन अगर अपडेट को टाल दिया जाता है, तो आपकी वेबसाइट क्रॉस-साइट स्क्रिप्टिंग या XSS अटैक की चपेट में आ जाती है।

ऐसा इसलिए है क्योंकि एक बार सुरक्षा पैच जारी होने के बाद, भेद्यता सार्वजनिक जानकारी बन जाती है। इसका मतलब है कि हैकर्स जानते हैं कि प्लगइन के पुराने संस्करण में एक भेद्यता मौजूद है। हैकर्स बॉट्स और टूल्स का उपयोग करके इंटरनेट को स्कैन करते हैं ताकि वर्डप्रेस वेबसाइटों को प्लगइन के एक विशेष संस्करण का उपयोग करके खोजा जा सके जो कि असुरक्षित है।

अगर आप अपडेट को टालते हैं, तो आपकी वेबसाइट हैक का निशाना बन जाएगी।

फिर वे क्रॉस-साइट स्क्रिप्टिंग भेद्यता का फायदा उठा सकते हैं और आपकी वेबसाइट को हैक कर सकते हैं। इसलिए, एक नियम के रूप में, अपनी वेबसाइट को हमेशा अपडेट रखें।

5. विश्वसनीय मार्केटप्लेस से प्लगइन्स खरीदें

यदि आप Jetpack और Disqus जैसे मुफ्त प्लगइन्स का उपयोग कर रहे हैं, तो उन्हें आधिकारिक वर्डप्रेस रिपॉजिटरी से डाउनलोड करना सबसे अच्छा है। यदि आप थ्राइव कमेंट या WpDevArt जैसे प्रीमियम प्लगइन्स का उपयोग करने जा रहे हैं, तो उन्हें उनकी आधिकारिक वेबसाइट या कोड कैन्यन, थीमफ़ॉरेस्ट, इवान्टो, आदि जैसे विश्वसनीय बाज़ार से प्राप्त करें।

विश्वसनीय मार्केटप्लेस उच्च-गुणवत्ता वाले प्लग इन प्रदान करते हैं जो क्रॉस-साइट स्क्रिप्टिंग कमजोरियों के सामने आने की संभावना को कम करते हैं।

इन दिनों, बहुत सारी वेबसाइटें हैं जो प्रीमियम प्लगइन्स के पायरेटेड संस्करण मुफ्त में पेश करती हैं। इनमें से अधिकांश पायरेटेड प्लगइन्स मैलवेयर के साथ पहले से इंस्टॉल आते हैं। उन्हें अपनी साइट पर स्थापित करना हैकर्स के लिए दरवाजे खोलने के बराबर है। इसके अलावा, पायरेटेड प्लगइन्स को अपडेट प्राप्त नहीं होते हैं, जिसका अर्थ है कि प्लगइन्स में आने वाली कमजोरियां बनी रहती हैं, जिससे आपकी वेबसाइट हैक हमले की चपेट में आ जाती है।

अविश्वसनीय स्रोतों से पायरेटेड प्लगइन्स का उपयोग करने से बचें। केवल विश्वसनीय मार्केटप्लेस या वर्डप्रेस रिपॉजिटरी से प्लगइन्स का उपयोग करें।

इसके साथ, हम आपकी वर्डप्रेस वेबसाइट पर क्रॉस-साइट स्क्रिप्टिंग को रोकने के अंत में आ गए हैं। हमें विश्वास है कि यदि आप इन उपायों को लागू करते हैं, तो आपकी वेबसाइट क्रॉस-साइट स्क्रिप्टिंग हमलों से सुरक्षित रहेगी।

आपके जाने से पहले

अपनी वर्डप्रेस साइट को क्रॉस-साइट स्क्रिप्टिंग हमलों से बचाना वेबसाइट सुरक्षा के मामले में सही दिशा में एक कदम है।

हालाँकि, वर्डप्रेस साइटों पर क्रॉस-साइट स्क्रिप्टिंग केवल सामान्य प्रकार के हैक हमलों (जैसे SQL इंजेक्शन हमलों) में से एक है। हैकर्स के पास अपनी आस्तीन ऊपर करने के लिए बहुत सारी तरकीबें हैं। अन्य सभी प्रकार के वर्डप्रेस हमलों के साथ-साथ क्रॉस-साइट स्क्रिप्टिंग हमलों को रोकने के लिए अपनी वेबसाइट पर एक चौतरफा सुरक्षा समाधान लागू करना सबसे अच्छा है।

हम नियमित सुरक्षा परीक्षण के लिए आपकी साइट पर MalCare जैसा विश्वसनीय WordPress सुरक्षा प्लग इन स्थापित करने की अनुशंसा करते हैं। यह एक सुरक्षा स्कैनर या एक वेब भेद्यता स्कैनर के साथ आता है जो हैकर्स को इसे एक्सेस करने से रोकते हुए आपकी साइट को स्कैन और मॉनिटर करता है। यह आपको अपनी वेबसाइट को और अधिक सुरक्षित बनाने के लिए साइट सख्त करने के उपाय करने में भी सक्षम बनाता है। आप अपनी वेबसाइट को सुरक्षित होने के बारे में जानकर मन की शांति के साथ चला सकते हैं।

MalCare सुरक्षा प्लग इन को अभी आज़माएं!

अगर आपको यह लेख मददगार लगा, तो इसे अन्य लोगों के साथ साझा करें, जिन्हें अपनी वर्डप्रेस साइटों की सुरक्षा करने की आवश्यकता है।