16 वर्डप्रेस सुरक्षा मुद्दे (भेद्यताएं) और उन्हें ठीक करने के लिए टिप्स

वर्डप्रेस किसी के लिए भी जल्दी से एक वेबसाइट बनाना आसान बनाता है, लेकिन ऑनलाइन बहुत शोर होता है जो इस बारे में बात करता है कि इसमें कितने सुरक्षा मुद्दे हैं।

क्या वर्डप्रेस में सुरक्षा संबंधी समस्याएं हैं? हां
क्या वे दुर्गम हैं? नहीं
क्या यह आपको वर्डप्रेस के साथ अपनी वेबसाइट बनाने से रोकना चाहिए? बिल्कुल नहीं

एक रूढ़िवादी अनुमान वेबसाइटों की संख्या लगभग 2 बिलियन रखता है, और उनमें से लगभग 45% वर्डप्रेस की शक्तियाँ हैं। ऐसा इसलिए है क्योंकि वर्डप्रेस इतना विपुल है कि यह इतने सारे हैक के अधीन है। प्रत्यक्ष परिणाम के रूप में, वर्डप्रेस एक बहुत ही सुरक्षित प्रणाली के रूप में विकसित हुआ है। वास्तव में, कई सुरक्षा मुद्दों को वर्डप्रेस ने वर्षों से हल किया है जो अभी भी अन्य सीएमएस पर मौजूद हैं।

इस लेख में, हम समझाएंगे कि वर्डप्रेस सुरक्षा समस्याएं आपको इस बात पर ध्यान देना चाहिए, और इससे भी महत्वपूर्ण बात यह है कि आप अपनी वेबसाइट को उनसे कैसे सुरक्षित रख सकते हैं।

टीएल; डॉ: मालकेयर के साथ अपनी वेबसाइट को वर्डप्रेस सुरक्षा चिंताओं से सुरक्षित रखें। MalCare एक ऑल-इन-वन सुरक्षा प्लगइन है, जो एक ही स्थान पर मैलवेयर स्कैनर, ऑटो-क्लीनर और फ़ायरवॉल को जोड़ती है। इसके अलावा, आप अपनी वेबसाइट को सुरक्षित रूप से अपडेट कर सकते हैं और हैकर्स को सुरक्षा कमजोरियों का फायदा उठाने से रोक सकते हैं। यदि आप वर्डप्रेस सुरक्षा मुद्दों के लिए एक विशेषज्ञ समाधान की तलाश कर रहे हैं, तो आपको यह मालकेयर के साथ मिल गया है।

क्या वर्डप्रेस में सुरक्षा संबंधी समस्याएं हैं?

हां, वर्डप्रेस के साथ सुरक्षा संबंधी समस्याएं हैं, लेकिन अब इनसे निपटना मुश्किल नहीं है। खतरों का मुकाबला करने में सक्षम होने के लिए आपको विकास का अनुभव होने या वर्डप्रेस कोड के साथ छेड़छाड़ करने की आवश्यकता नहीं है। इस लेख में दिए गए सरल सुधारों का पालन करें, और आपके पास एक मजबूत, सुरक्षित वर्डप्रेस वेबसाइट होगी।

16 सामान्य वर्डप्रेस सुरक्षा समस्याएं जो आपकी वेबसाइट को प्रभावित कर सकती हैं

वर्डप्रेस में सुरक्षा के बहुत सारे मुद्दे हैं, लेकिन अच्छी बात यह है कि इन सभी को आसानी से हल किया जा सकता है। कोई भी अपनी वेबसाइट को बढ़ाने या अपना राजस्व बढ़ाने के बजाय उसकी सुरक्षा के प्रबंधन में समय नहीं लगाना चाहता।

वर्डप्रेस सुरक्षा कमजोरियों और समझौता किए गए पासवर्ड के अलावा, मैलवेयर और हमले भी सुरक्षा मुद्दे हैं। हालांकि मैलवेयर और वर्डप्रेस हमलों को कभी-कभी एक दूसरे के स्थान पर इस्तेमाल किया जाता है, वे अलग हैं। मैलवेयर वह दुर्भावनापूर्ण कोड है जो हैकर्स आपकी वेबसाइट में डालते हैं; जबकि हमले वे तंत्र हैं जिनका उपयोग वे मैलवेयर को इंजेक्ट करने के लिए करते हैं। नीचे दी गई सूची में, हमने सभी 4 प्रकार की वर्डप्रेस सुरक्षा समस्याओं को कवर किया है।

यहां उन सामान्य वर्डप्रेस सुरक्षा समस्याओं की सूची दी गई है जिन्हें आपको जानना आवश्यक है:

पुराने प्लग इन और थीम
कमजोर पासवर्ड
आपके WordPress वेबसाइट पर मैलवेयर
SEO स्पैम मैलवेयर
फ़िशिंग घोटाले
दुर्भावनापूर्ण रीडायरेक्ट
पुन:उपयोग किए गए पासवर्ड
अशक्त सॉफ़्टवेयर
आपके WordPress साइट पर पिछले दरवाजे
wp-vcd.php मैलवेयर
क्रूर बल के हमले
एसक्यूएल इंजेक्शन
क्रॉस-साइट स्क्रिप्टिंग हमले
वेबसाइट HTTP पर है HTTPS पर नहीं
WordPress से स्पैम ईमेल भेजे जा रहे हैं
निष्क्रिय उपयोगकर्ता खाते

<एच3>1. पुराने प्लग इन और थीम

वर्डप्रेस प्लगइन्स और थीम सभी कोड के साथ बनाए गए हैं और जैसा कि हमने पहले बताया, डेवलपर्स कभी-कभी कोड में गलतियां करते हैं। गलतियाँ सुरक्षा में चूक का कारण बन सकती हैं, जिन्हें भेद्यताएँ कहा जाता है।

इंटरनेट को एक सुरक्षित स्थान बनाने के लिए सुरक्षा शोधकर्ता लोकप्रिय सॉफ़्टवेयर में वर्डप्रेस सुरक्षा कमजोरियों की तलाश करते हैं। जब उन्हें कमजोरियों का पता चलता है, तो वे उन्हें ठीक करने के लिए डेवलपर्स के सामने प्रकट करते हैं। जिम्मेदार डेवलपर्स तब अपडेट के रूप में एक सुरक्षा पैच जारी करते हैं, जो भेद्यता को हल करता है। एक बार पर्याप्त समय बीत जाने के बाद, सुरक्षा शोधकर्ता अपने निष्कर्षों की घोषणा करेंगे।

16 वर्डप्रेस सुरक्षा मुद्दे (भेद्यताएं) और उन्हें ठीक करने के लिए टिप्स

आदर्श रूप से, इस समय तक, प्लगइन्स और थीम को अपडेट किया जाना चाहिए था। हालांकि, बहुत बार ऐसा नहीं होता है। और हैकर्स वेबसाइटों पर हमला करने और भेद्यता का फायदा उठाने की इस प्रवृत्ति को जानते हैं और उन पर भरोसा करते हैं।

अपडेट कभी-कभी साइट को तोड़ सकते हैं, जब तक कि आप उन्हें सावधानी से नहीं करते। अपडेट प्रबंधित करने के लिए BlogVault का उपयोग करें, ताकि अपडेट से पहले साइट का बैकअप लिया जा सके, और आप यह सुनिश्चित कर सकें कि लाइव साइट पर जाने से पहले सब कुछ स्टेजिंग पर पूरी तरह से काम करता है।

ठीक करें:अपनी वेबसाइट पर तुरंत अपडेट प्रबंधित करें।

<एच3>2. कमजोर पासवर्ड

हैकर्स लॉग इन पेजों पर हमला करने के लिए बॉट्स नामक प्रोग्राम का उपयोग करते हैं, वेबसाइट में सेंध लगाने के लिए यूजरनेम और पासवर्ड के कई संयोजनों को आजमाते हैं। अक्सर बॉट प्रति मिनट सैकड़ों संयोजनों की कोशिश कर सकते हैं, शब्दकोश शब्दों और आमतौर पर उपयोग किए जाने वाले पासवर्ड का उपयोग करके तोड़ने के लिए। एक बार जब वे सफल हो जाते हैं, तो हैकर के पास आपकी वेबसाइट पर ओपन-डोर एक्सेस होता है।

दूसरी तरफ, मजबूत पासवर्ड याद रखना मुश्किल होता है, इसलिए व्यवस्थापक याद रखने में आसान पासवर्ड चुनते हैं, जैसे पालतू जानवरों के नाम, जन्मदिन, या यहां तक कि 'पासवर्ड' शब्द के क्रमपरिवर्तन।

हालाँकि, यह साइट सुरक्षा को हमलों के प्रति संवेदनशील बनाता है। यह जानकारी वैध रूप से सोशल मीडिया और अन्य साइटों के माध्यम से ऑनलाइन उपलब्ध है, और अवैध रूप से डेटा उल्लंघनों या डार्क वेब के माध्यम से उपलब्ध है। सबसे अच्छी बात यह है कि अपने खाते को सुरक्षित रखने के लिए एक मजबूत, अद्वितीय पासवर्ड होना चाहिए और इसलिए वेबसाइट को सुरक्षित रखना चाहिए।

नोट: आपको अपने साइट खातों में मजबूत पासवर्ड सेट करने की आवश्यकता है, जिसमें आपका उपयोगकर्ता खाता और होस्टिंग खाता शामिल है। व्यवस्थापक अक्सर SFTP और डेटाबेस क्रेडेंशियल नहीं बदलते हैं, लेकिन यदि आपने ऐसा किया है, तो सुनिश्चित करें कि आपने इनके लिए भी मजबूत पासवर्ड सेट किए हैं।

इसके अतिरिक्त, आप वर्डप्रेस पर लॉगिन प्रयासों को सीमित कर सकते हैं। यदि किसी उपयोगकर्ता के पास बहुत अधिक गलत लॉगिन हैं, तो उन्हें अस्थायी रूप से लॉक कर दिया जाता है, या उन्हें यह साबित करने के लिए कैप्चा भरने की आवश्यकता होती है कि वे बॉट नहीं हैं। यह उपाय बॉट्स को बाहर रखता है, और मानवीय त्रुटि के लिए अनुमति देता है।

ठीक करें:मजबूत पासवर्ड लागू करें और बॉट्स को ब्लॉक करने के लिए लॉगिन प्रयासों को सीमित करें।

<एच3>3. आपकी वर्डप्रेस वेबसाइट पर मैलवेयर

मैलवेयर एक कैच-ऑल टर्म है जिसका उपयोग किसी भी कोड का वर्णन करने के लिए किया जाता है जो आपकी वेबसाइट पर अनधिकृत गतिविधि की अनुमति देता है। बाद के बिंदुओं में, हम विशिष्ट मामलों को भी देखेंगे, जैसे पिछले दरवाजे और फ़िशिंग घोटाले।

जब हम वर्डप्रेस सुरक्षा मुद्दों को संबोधित करने के बारे में बात करते हैं, तो लक्ष्य मैलवेयर से बचना होता है। हालाँकि, जैसा कि हमने पहले कहा है, कोई भी प्रणाली 100% बुलेटप्रूफ नहीं है। आप सब कुछ ठीक कर सकते हैं, और एक चतुर हैकर गढ़ में घुसने का एक नया तरीका खोज लेगा। यह दुर्लभ है, लेकिन ऐसा होता है। तो आप मैलवेयर से कैसे निपटते हैं, अगर यह पहले से ही आपकी वेबसाइट पर है?

सबसे पहले, आपको यह पुष्टि करने की आवश्यकता है कि मैलवेयर वास्तव में आपकी वेबसाइट पर है। मैलवेयर फ़ाइलों, फ़ोल्डरों और डेटाबेस में छिप सकता है। हमने मैलवेयर फ़ाइलों को वर्डप्रेस कोर फ़ाइलों के रूप में, छवि फ़ाइलों के रूप में, और यहां तक कि प्लगइन्स के रूप में भी देखा है। यह सुनिश्चित करने का एकमात्र तरीका है कि आपकी वेबसाइट संक्रमित है या नहीं, इसे दैनिक आधार पर डीप-स्कैन करना है। उसके लिए, आपको MalCare इंस्टॉल करना होगा।

आपकी वेबसाइट पर मैलवेयर का पता लगाने के लिए MalCare एक परिष्कृत एल्गोरिथम का उपयोग करता है। अन्य स्कैनर आंशिक रूप से प्रभावी तकनीकों का उपयोग करते हैं जैसे कि फ़ाइल तुलना और फ़्लैग मालवेयर से हस्ताक्षर मिलान। मालकेयर कोड के व्यवहार की जांच करने के लिए 100+ सिग्नल का उपयोग करता है, और फिर इसे मैलवेयर के रूप में फ़्लैग करता है यदि इरादा दुर्भावनापूर्ण है। इसके दो बड़े फायदे हैं:एक, कोई झूठी सकारात्मकता नहीं है, जिसे कस्टम कोड को मैलवेयर के रूप में फ़्लैग किया जा रहा है; और दो, यहां तक कि मैलवेयर के नवीनतम रूपों का भी सही ढंग से पता लगाया जाता है।

मैलवेयर के लिए स्कैन करते समय MalCare 95%+ सटीक होता है, और पूरी तरह से मुफ़्त है। यदि स्कैन के परिणाम दिखाते हैं कि आपकी वेबसाइट हैक हो गई है, तभी आपको इसे साफ करने के लिए अपग्रेड करने की आवश्यकता है। मालकेयर के साथ, ऑटो-क्लीन फीचर आपकी वर्डप्रेस वेबसाइट से मैलवेयर को सर्जिकल रूप से हटा देगा, जिससे आपकी वेबसाइट एक बार फिर से पुरानी हो जाएगी।

ठीक करें:MalCare से अपनी वेबसाइट को स्कैन और साफ़ करें।

<एच3>4. एसईओ स्पैम मैलवेयर

SEO स्पैम एक विशेष रूप से प्रबल मैलवेयर है जिसका उपयोग हैकर्स द्वारा आपकी वेबसाइट के ट्रैफ़िक को आपकी वेबसाइट से दूर उनकी छायादार और स्पैम वाली वेबसाइटों की ओर मोड़ने के लिए किया जाता है। वे Google पर आपके खोज परिणामों को हाईजैक करके, आपके मौजूदा पृष्ठों में कोड डालकर, या ट्रैफ़िक को अपनी वेबसाइटों पर पुनर्निर्देशित करके ऐसा करते हैं। कभी-कभी ये सब कुछ करते हैं। किसी भी मामले में, यह हमेशा बुरी खबर होती है।

SEO स्पैम मैलवेयर के कुछ सामान्य प्रकार हैं, जैसे जापानी कीवर्ड हैक और फ़ार्मा हैक। इन दोनों प्रकारों ने अपने आप में कुख्याति प्राप्त की है क्योंकि उनके लक्षण खोज परिणामों में विशेष रूप से जापानी वर्ण या फ़ार्मास्यूटिकल कीवर्ड हैं।

जापानी कीवर्ड हैक

फार्मा हैक

सभी प्रकार के SEO स्पैम मैलवेयर को मैन्युअल रूप से निकालना अविश्वसनीय रूप से कठिन होता है क्योंकि वे सैकड़ों हजारों नए स्पैम पेज बना सकते हैं, जिन्हें आसानी से हटाना असंभव है। साथ ही, वे महत्वपूर्ण वर्डप्रेस कोर फ़ाइलों और फ़ोल्डरों में मैलवेयर डालते हैं, जैसे .htaccess फ़ाइल, जो साइट को ठीक से साफ न करने पर तोड़ सकती है।

मैलवेयर के इन प्रकारों वाली साइटें हमेशा Google खोज कंसोल पर फ़्लैग हो जाती हैं, Google ब्लैकलिस्ट पर आ जाती हैं, और वेब होस्ट को आपके होस्टिंग खाते को निलंबित करने के लिए प्रेरित करती हैं। इसलिए, इस हैक से निपटने की कुंजी इसे विशेषज्ञों पर छोड़ना है, जो इस मामले में एक वर्डप्रेस सुरक्षा प्लगइन है जिसे मालकेयर कहा जाता है।

Google सर्च कंसोल सुरक्षा समस्याएं

MalCare न केवल मैलवेयर से छुटकारा दिलाएगा, बल्कि यह सुनिश्चित करेगा कि आपकी साइट एक उन्नत फ़ायरवॉल से सुरक्षित है।

ठीक करें:MalCare से SEO स्पैम मैलवेयर निकालें।

5. फ़िशिंग घोटाले

फ़िशिंग मैलवेयर एक दो-भाग वाला घोटाला है जो उपयोगकर्ताओं को विश्वसनीय ब्रांड के रूप में अपना गोपनीय विवरण देने के लिए प्रेरित करता है।

पहला भाग एक अनपेक्षित उपयोगकर्ता को आधिकारिक दिखने वाला ईमेल भेजना है, आमतौर पर एक सख्त चेतावनी के साथ कि अगर वे अपने पासवर्ड या कुछ तुरंत अपडेट नहीं करते हैं तो कुछ भयानक होगा। उदाहरण के लिए, जब कोई फ़िशिंग ईमेल किसी वेब होस्ट ग्राहक को धोखा देता है, तो वे कह सकते हैं कि साइट को हटाए जाने का खतरा है।

घोटाले की दूसरी छमाही एक वेबसाइट पर होती है। फ़िशिंग ईमेल में आमतौर पर एक लिंक होता है जो उपयोगकर्ता को एक आधिकारिक वेबसाइट पर ले जाता है, और उन्हें अपनी साख दर्ज करने के लिए कहता है। वेबसाइट स्पष्ट रूप से नकली है, और यह है कि कितने लोग अपने खातों से समझौता करते हैं।

एक परित्यक्त वर्डप्रेस वेबसाइट पर फ़िशिंग पेज

वर्डप्रेस वेबसाइटों पर, फ़िशिंग दो फ्लेवर में आती है, जो इस बात पर निर्भर करता है कि घोटाला किस हिस्से में हो रहा है। पहले मामले में, वर्डप्रेस व्यवस्थापक को फ़िशिंग ईमेल मिलते हैं कि उनकी वेबसाइट के लिए डेटाबेस अपडेट कैसे आवश्यक है, और उन्हें अपने लॉगिन विवरण में डालने के लिए धोखा दिया जाता है।

वहीं दूसरी तरफ हैकर्स आपकी वेबसाइट का इस्तेमाल फेक पेज के लिए कर सकते हैं। अक्सर वेबसाइट व्यवस्थापक को अपनी वेबसाइट पर बैंकिंग लोगो या ई-कॉमर्स वेबसाइट लोगो मिलते हैं, भले ही उनके पास होने का कोई कारण न हो। इनका इस्तेमाल लोगों को बरगलाने के लिए किया जाता है।

Google फ़िशिंग घोटालों पर और विशेष रूप से इन पृष्ठों को होस्ट करने वाली वेबसाइटों पर नकेल कसने के लिए बहुत तेज़ है। आपकी वेबसाइट को ब्लैक लिस्टेड कर दिया जाएगा और फ़िशिंग वेबसाइट डिटेक्ट नोटिस के साथ थप्पड़ मार दिया जाएगा, और यह विज़िटर के विश्वास और ब्रांडिंग के लिए भयानक है। भले ही आप निर्दोष हों, आपकी वेबसाइट एक घोटाले की मेज़बानी बन गई है। यह जरूरी है कि आप जल्द से जल्द इस मैलवेयर से छुटकारा पाएं, और क्षति नियंत्रण की दिशा में कदम उठाएं।

ठीक करें:MalCare के साथ अपनी वेबसाइट से फ़िशिंग मैलवेयर निकालें, और अपने उपयोगकर्ताओं को ईमेल के भीतर से किसी भी लिंक पर क्लिक न करने की सलाह दें।

<एच3>6. दुर्भावनापूर्ण रीडायरेक्ट

सबसे खराब वर्डप्रेस हैक में से एक दुर्भावनापूर्ण रीडायरेक्ट हैक है। अपनी वेबसाइट पर जाने के लिए अविश्वसनीय रूप से निराशाजनक है, केवल किसी अन्य स्पैमी या स्कैमी वेबसाइट पर जाने के लिए, संदिग्ध उत्पादों और सेवाओं को बेचने के लिए। अक्सर, हैक किए गए रीडायरेक्ट मैलवेयर के कारण वर्डप्रेस एडमिन अपनी वेबसाइटों में लॉग इन भी नहीं कर सकता है।

इस मैलवेयर के कई प्रकार हैं, और यह वेबसाइट की फाइलों और डेटाबेस को पूरी तरह से संक्रमित कर देता है। हमने 500 से अधिक पोस्ट वाली साइट की प्रत्येक पोस्ट में हैक किए गए रीडायरेक्ट मैलवेयर के उदाहरण देखे हैं। यह एक बुरा सपना था, और व्यवस्थापक काफी निराश था।

दुर्भावनापूर्ण रीडायरेक्ट मैलवेयर से छुटकारा पाने का एकमात्र तरीका सुरक्षा प्लगइन का उपयोग करना है। वास्तव में, आपको शायद प्लगइन को स्थापित करने में मदद की आवश्यकता होगी, क्योंकि आप अपनी वेबसाइट में लॉग इन नहीं कर सकते। यहीं पर MalCare की सहायता टीम मदद कर सकती है। वे संस्थापन प्रक्रिया में आपका मार्गदर्शन करेंगे, और यदि आवश्यक हो तो आपके लिए साइट को साफ करेंगे।

ठीक करें:MalCare से हैक किए गए रीडायरेक्ट मैलवेयर से छुटकारा पाएं।

<एच3>7. पुन:उपयोग किए गए पासवर्ड

पुन:उपयोग किए गए पासवर्ड मजबूत पासवर्ड हो सकते हैं, जैसा कि हमने पिछले अनुभाग में बात की थी, लेकिन जरूरी नहीं कि वे अद्वितीय हों।

उदाहरण के लिए, आपके सोशल मीडिया अकाउंट और वेबसाइट अकाउंट में पासवर्ड के लिए अक्षरों, वर्णों और संख्याओं की एक ही स्ट्रिंग है। आप इसे टाइप करने के आदी हो गए हैं, और आपको लगता है कि इसका अनुमान नहीं लगाया जा सकता है इसलिए यह एक अच्छा पासवर्ड है।

ठीक है, तुम आधे सही हो। यह एक अच्छा पासवर्ड है, लेकिन केवल एक खाते के लिए। अंगूठे का नियम खातों में कभी भी पासवर्ड का पुन:उपयोग नहीं करना है। और इसका कारण डेटा उल्लंघनों का संभावित खतरा है।

सितंबर 2021 में GoDaddy का उल्लंघन हुआ था, जिसे उन्होंने नवंबर 2021 में ही खोजा था। तब तक, 1.2 मिलियन उपयोगकर्ताओं के डेटाबेस और SFTP क्रेडेंशियल से समझौता किया जा चुका था। यदि उन उपयोगकर्ताओं में से किसी ने बैंक खाते की तरह कहीं और उन पासवर्ड का उपयोग किया था, तो वह जानकारी अब हैकर के हाथों में थी। अन्य खातों में सेंध लगाना इतना आसान हो जाता है।

हम अपने डेटा को सुरक्षित करने के लिए विभिन्न सेवाओं और वेबसाइटों पर भरोसा करते हैं, लेकिन कोई भी सिस्टम पूरी तरह से बुलेटप्रूफ नहीं है। अवसर पर चीजें टूट सकती हैं और टूटेंगी। लक्ष्य जितना संभव हो नुकसान को रोकना है। प्रत्येक खाते के लिए अद्वितीय और मजबूत पासवर्ड बनाने से आपको ऐसा करने में मदद मिलती है।

ठीक करें:अद्वितीय पासवर्ड सेट करें और उन्हें याद रखने के लिए पासवर्ड मैनेजर का उपयोग करें।

8. अशक्त सॉफ़्टवेयर

अशक्त प्लगइन्स और थीम मुफ्त ऑनलाइन उपलब्ध क्रैक किए गए लाइसेंस के साथ प्रीमियम संस्करण हैं। डेवलपर्स से चोरी करने के नैतिक आयाम के अलावा, शून्य सॉफ्टवेयर एक बहुत बड़ा वर्डप्रेस सुरक्षा जोखिम है।

अधिकांश अशक्त थीम और प्लगइन्स मैलवेयर से भरे हुए हैं। हैकर्स प्रीमियम उत्पाद पर अच्छा सौदा पाने के लिए लोगों पर भरोसा करते हैं, और उनके द्वारा इसे स्थापित करने की प्रतीक्षा करते हैं। वेबसाइट को मैलवेयर की एक खुराक हाथ से दी जाती है, और साइट अब हैक हो गई है। यही एकमात्र कारण है कि कोई भी पहली बार में प्रीमियम सॉफ्टवेयर को क्रैक करने की जहमत उठाता है। रॉबिन हुड वर्डप्रेस पारिस्थितिकी तंत्र में शामिल नहीं है।

भले ही अशक्त थीम और प्लगइन्स पर मैलवेयर न हो - जो बहुत दुर्लभ है - आप उन्हें अपडेट नहीं कर सकते। क्योंकि वे आधिकारिक संस्करण नहीं हैं, वे स्पष्ट रूप से डेवलपर्स से समर्थन प्राप्त नहीं करते हैं। इसलिए यदि एक भेद्यता की खोज की जाती है और डेवलपर्स एक सुरक्षा पैच जारी करते हैं, तो उस पर मैलवेयर स्थापित होने के अलावा, शून्य सॉफ़्टवेयर भी भेद्यता के साथ पुराना है।

ठीक करें:प्लेग जैसे अशक्त प्लग इन और थीम से बचें।

9. आपकी WordPress साइट पर पिछले दरवाजे

बैकडोर, जैसा कि नाम से ही स्पष्ट है, आपकी वेबसाइट के कोड तक पहुंचने के वैकल्पिक और अवैध तरीके हैं। मैलवेयर के साथ, हैकर आपकी वेबसाइट में पिछले दरवाजे का कोड डालते हैं, इसलिए यदि मैलवेयर का पता लगाया जाता है और उसे हटा दिया जाता है, तो वह पिछले दरवाजे का उपयोग करके फिर से पहुंच प्राप्त कर सकता है।

बैकडोर उन प्राथमिक कारणों में से एक हैं जिनकी हम अनुशंसा नहीं करते हैं कि हम कभी भी आपकी वेबसाइट से मैलवेयर को मैन्युअल रूप से साफ करें। आप मैलवेयर स्क्रिप्ट ढूंढने और उन्हें निकालने में सक्षम हो सकते हैं, लेकिन पिछले दरवाजे को बहुत चतुराई से छुपाया जा सकता है और लगभग अदृश्य हो सकता है।

अपनी वेबसाइट से पिछले दरवाजे को हटाने का एकमात्र तरीका मालकेयर जैसे वर्डप्रेस सुरक्षा प्लगइन का उपयोग करना है। मालकेयर ऑटो-क्लीन फीचर के साथ पिछले दरवाजे के साथ-साथ मैलवेयर से जल्दी और आसानी से छुटकारा पाता है।

ठीक करें:पिछले दरवाजे को हटाने के लिए सुरक्षा प्लगइन का उपयोग करें।

<एच3>10. wp-vcd.php मैलवेयर

Wp-vcd.php मैलवेयर आपकी वर्डप्रेस वेबसाइट पर स्पैम पॉपअप का कारण बनता है जो उपयोगकर्ताओं को अन्य वेबसाइटों पर निर्देशित करता है। इसका उद्देश्य SEO स्पैम हैक और दुर्भावनापूर्ण रीडायरेक्ट के समान है, लेकिन अलग तरह से काम करता है। इसके कुछ प्रकार हैं जैसे wp-tmp.php और wp-feed.php।

वर्डप्रेस थीम की फंक्शन्स.php फाइल में wp-vcd मालवेयर

wp-vcd.php मैलवेयर वेबसाइटों को कोड से संक्रमित करता है जो हर बार साइट लोड होने पर निष्पादित होता है। यह सबसे निराशाजनक हैक्स में से एक है जो वर्डप्रेस साइटों को संक्रमित करता है, क्योंकि जैसे ही आप इसे हटाते हैं, ऐसा लगता है कि यह ठीक वापस आ गया है; कुछ मामलों में, तुरन्त। अगर कभी मैलवेयर था जिसकी तुलना एक आवर्तक वायरस से की जा सकती है जिसे किक नहीं किया जा सकता है, तो wp-vcd.php एक है।

Wp-vcd.php मैलवेयर वेबसाइटों को मुख्य रूप से नल्ड प्लगइन्स और थीम के माध्यम से संक्रमित करता है। Wordfence इसे कॉल करने तक जाता है:"आपके द्वारा अपनी साइट पर इंस्टॉल किया गया मैलवेयर"; जो हमें लगता है कि थोड़ा कठोर है, लेकिन यह शून्य सॉफ्टवेयर के खतरे को रेखांकित करता है।

ठीक करें:MalCare के साथ अपनी वेबसाइट से wp-vcd.php मैलवेयर से तुरंत छुटकारा पाएं।

11. क्रूर बल के हमले

एक्सेस हासिल करने के लिए हैकर्स आपके लॉगिन पेज पर यूजरनेम और पासवर्ड कॉम्बिनेशन के साथ बॉट का इस्तेमाल करते हैं। इस विधि को एक क्रूर बल हमले के रूप में जाना जाता है, और यह सफल हो सकता है यदि पासवर्ड या तो कमजोर हैं, या डेटा उल्लंघन में पाए जाने वाले समान हैं।

MalCare का उपयोग करके सुरक्षा लॉगिन करें

जानवर बल के हमले न केवल सुरक्षा के लिए भयानक हैं, बल्कि आपकी साइट के सर्वर संसाधनों का भी उपभोग करते हैं। हर बार जब लॉगिन पृष्ठ लोड होता है, तो उसे कुछ संसाधनों की आवश्यकता होती है। आमतौर पर, डिस्क का उपयोग नगण्य होता है, इसलिए यह प्रदर्शन को विशेष रूप से प्रभावित नहीं करता है। लेकिन ब्रूट फोर्स बॉट्स लॉगिन पेज को कई सौ की दर से हथौड़े से मारते हैं - यदि हजार नहीं - प्रति मिनट। यदि आपकी साइट साझा होस्टिंग पर है, तो ध्यान देने योग्य परिणाम होंगे।

क्रूर बल के हमलों का प्रतिकार करने का तरीका यह है कि आपकी वेबसाइट के लिए बॉट सुरक्षा हो, साथ ही गलत लॉगिन प्रयासों को सीमित किया जाए। मालकेयर सुरक्षा प्लगइन में निर्मित बॉट सुरक्षा के साथ आता है।

आप अपने लॉगिन पेज पर कैप्चा को भी सक्षम कर सकते हैं। आप डिफ़ॉल्ट URL को बदलकर अपना लॉगिन पृष्ठ छिपाने की सलाह देख सकते हैं, लेकिन ऐसा न करें। यदि वह URL खो गया है, तो उसे पुनः प्राप्त करना अविश्वसनीय रूप से कठिन है, और आपको हैकर्स के साथ आपकी वेबसाइट से लॉक कर दिया जाएगा।

ठीक करें:लॉगिन प्रयासों को सीमित करें और अपनी वेबसाइट के लिए बॉट सुरक्षा प्राप्त करें।

<एच3>12. SQL इंजेक्शन

सभी वर्डप्रेस वेबसाइटों में डेटाबेस होते हैं जो वेबसाइट के बारे में महत्वपूर्ण जानकारी संग्रहीत करते हैं। उपयोगकर्ताओं, उनके हैश किए गए पासवर्ड, पोस्ट, पेज, टिप्पणियों जैसी चीजें टेबल में संग्रहीत की जाती हैं और वेबसाइट फाइलों द्वारा नियमित रूप से संपादित और पुनर्प्राप्त की जाती हैं। डेटाबेस शायद ही कभी सीधे पहुंच योग्य होता है, और सुरक्षा के लिए वेबसाइट फाइलों द्वारा नियंत्रित किया जाता है।

SQL इंजेक्शन विशेष रूप से खतरनाक हमले हैं, क्योंकि हैकर्स सीधे डेटाबेस से इंटरैक्ट कर सकते हैं। वे आपकी वेबसाइट पर SQL प्रश्नों को सम्मिलित करने के लिए प्रपत्रों का उपयोग करते हैं, जो उन्हें डेटाबेस से हेरफेर करने या पढ़ने की अनुमति देते हैं। SQL प्रोग्रामिंग भाषा है जिसका उपयोग डेटाबेस में परिवर्तन करने के लिए किया जाता है, जैसे डेटा जोड़ना, हटाना, संशोधित करना या पुनर्प्राप्त करना। यही कारण है कि SQL इंजेक्शन हमले इतने खतरनाक हैं।

इसका समाधान अपने प्लगइन्स और थीम को अपडेट रखना है, क्योंकि असुरक्षित इनपुट जैसी वर्डप्रेस सुरक्षा कमजोरियां सफल SQL इंजेक्शन हमलों की ओर ले जाती हैं। इसके अतिरिक्त, एक अच्छा फ़ायरवॉल खराब अभिनेताओं को आपकी वेबसाइट से दूर रखेगा।

ठीक करें:सब कुछ अपडेट रखें, और फ़ायरवॉल स्थापित करें।

13. क्रॉस-साइट स्क्रिप्टिंग हमले

Cross-site scripting, or XSS, attacks on websites are similar to the SQL injections, in that the hacker inserts code into the website. The difference is that the code targets the next visitor on your website, instead of your website database.

In an XSS attack, the malware is added to your website. A visitor comes along, and their browser thinks that the malware is part of your website, and thus the visitor is attacked. Generally, cross-site scripting attacks are used to steal data from unsuspecting visitors.

The way to protect your site visitors is to make sure that XSS vulnerabilities don’t exist on your website. The simplest way to do this is to make sure that your website is fully updated. You can take the security to the next level by installing a WordPress firewall plugin as well.

Fix:Install a WordPress firewall, and keep everything on the website updated.

<एच3>14. Website is on HTTP not HTTPS

You may have noticed that many websites now have a green lock near the URL bar. This is a trust badge for the visitor to say that the website is using SSL. SSL is a security protocol that encrypts traffic back and forth from a website.

A good analogy for this is to think of a telephone call. The data passing between two people on the line is intended to stay between them as a private conversation. However, if a third person was able to tap into that line, they would understand the data and therefore it is no longer private. However, if two original people were to use a code which only they are able to decipher, regardless of how much the third person overhears, the information’s true meaning is hidden from them.

This is how SSL works for websites. It encrypts the data being sent to and from the website, so that sensitive information cannot be read by a third party and used illegitimately.

The Internet as a whole has been moving towards data security and privacy in the recent decade, and SSL has emerged as one of the fundamental ways to achieve that purpose. Even Google strongly advocates for SSL-enabled websites, going as far as to penalise non-SSL websites on their search results.

Fix:Install an SSL certificate on your website.

15. Spam emails being sent from WordPress

Emails are a cornerstone of digital marketing, and it is a way to engage and interact with website visitors. People are also becoming increasingly judicious about the emails they want to receive, so there is an underlying trust that exists.

Given the delicate nature of trust, it is awful to think that a hacker can insert malware into your website and email spam to your visitors. And yet, that is exactly what some malware does. It hijacks the WordPress core function wp_mail() to send out spam emails.

Malware ordinarily causes Google blacklists and web host suspensions, but in the case of spam emails your web host will also blacklist your email service and you will see a bunch of other errors. In fact, if the spammer adds email addresses to your website as well, then you are in danger of having your email blacklisted altogether.

Spam emails hitting a spam trap and endangering email sending authority of a WordPress website

Fix:Clean the spam email malware from your website, and use an email marketing tool instead.

16. Dormant user accounts

Users on a website change constantly. If you run a blog with multiple authors and editors, for instance, chances are that new writers are added to the website often, while older writers leave.

The crux over here are the old user accounts that aren’t removed promptly become a WordPress security issue over time. Because the accounts exist but passwords aren’t updated regularly, they are vulnerable to attack. Dormant user accounts suffer from the same dangers of compromised passwords, so removing any accounts not in active use is necessary housekeeping.

Additionally, it is important to know who is doing what on your website. Unusual or unexpected user actions are an early signal of hacked accounts.

Fix:Remove inactive user accounts and use an activity log.

Best practices to prevent WordPress security concerns

WordPress security issues are constantly evolving, and it is hard to stay on top of them in addition to all the other work that goes into running a website. Therefore, here are a few good security practices that can help you protect your website from malware and hackers, without extra effort on your part.

Install a security plugin: The best defence your WordPress has against hackers is a good security plugin like MalCare. A WordPress security plugin should have a malware scanner and cleaner. Ideally, it should also come with a firewall, brute force protection, bot protection and an activity log. MalCare has all this, and security experts readily available for any help. It is a hands-off solution, only alerting you when action is necessary, and doesn’t hog up server resources in the bargain. Install MalCare now, and breathe a sigh of relief.

Use a firewall: A web application firewall protects your website from all kinds of bad actors. Hackers want to exploit vulnerabilities on your website, in addition to other WordPress security issues. A firewall prevents that, by only letting in legitimate visitors. It is a must-have for your website, and it is even better if it comes bundled with your security plugin.
Keep everything updated :Ensure that WordPress core, plugins and themes are always updated. Updates often contain security patches for vulnerabilities, and therefore it is critical to update as soon as possible. However, we know that applying updates is not always straightforward. To minimise risk, safely update your website using BlogVault. Your site is backed up just before the update, and you can see how the update performs on staging first before updating your live website.
Have two-factor authentication: Passwords can get cracked, especially if they aren’t particularly strong or have been reused. Two-factor authentication generates a real-time login token in addition to passwords that is much harder to crack. You can enable two-factor authentication using a plugin, like WP 2FA or another one off of this list.
Enforce strong password policies: We cannot stress the importance of strong and unique passwords enough. We recommend using a password manager. In order to protect your website from security issues, like brute force attacks, your security plugin should limit login attempts as well.
Regular backups: Sometimes backups are the last resort with a hack, and your website should always have a backup that is stored away from your website server. Learn more about how to backup your WordPress site.

Use SSL: Install an SSL certificate on your website to encrypt communication back and forth from it. SSL has become a de facto standard, and Google actively promotes its use for a safer browsing experience.

Conduct a security audit every few months: Review users and their actions on the website, with an activity log. Unusual activity can be an early warning signal of malware. It is also advisable to implement the least privileges policy for admin and user accounts. Finally, purge any unused plugins or themes on your website. Deactivated themes and plugins are overlooked for updates, and WordPess security vulnerabilities go unchecked causing websites to be hacked.
Choose reputable plugins and themes: This is slightly subjective as a security measure, but it is worth using the best plugins and themes on your website. Check if the developer regularly updates their product, for instance. In addition to online reviews and support experiences of other users, this is an important metric. Additionally, premium software is generally a better bet overall. But most crucially, never use nulled software. It often carries malware in the code, having been cracked for that very reason. It is just not a worthwhile risk.

You can also harden your WordPress website, and educate yourself on how WordPress security works.

Top causes of hacks on WordPress sites

There are two weak links in the security of your WordPress site:vulnerabilities and passwords . 90%+ of malware is injected via vulnerabilities, 5%+ because of compromised or weak passwords, and <1% are because of other causes, like poor web host services.

Reasons why website is hacked

Vulnerabilities

While WordPress itself is secure, websites are built with more than just core WordPress. We use plugins and themes to extend functionality of our websites, add features, have a nice design, and interact with website visitors. All this is achieved with plugins and themes.

Plugins and themes, like WordPress, are built with code. When developers write code, they can make mistakes that result in loopholes. Loopholes in code can be exploited by hackers to perform actions that were not intended by the developer.

For instance, if your website allows users to upload images, say for a profile picture, the upload should only be an image file. However, if the developer has not put in those constraints, a hacker can upload a PHP file full of malware instead. Once it is uploaded to the website, the hacker can then execute the file and the malware will spread to the rest of the site. These loopholes are vulnerabilities. There are other types, of course, but these are the major ones that afflict WordPress sites.

Compromised passwords

If a hacker has your account credentials, they don’t need to hack into your website. That’s why strong passwords are so important.

There are two principal ways that passwords become the weakest link in the WordPress security chain. One is by using easy-to-remember passwords, which are consequently easy for hackers and their bots to guess. And the second way is when users reuse passwords across websites and services.

Data breaches are all too common. For example, a user has the same password for two different accounts:an ecommerce website and their Twitter account. If the ecommerce website has a data breach, where user data is stolen, their Twitter account is now compromised. The hacker can log into the account and cause all manner of havoc.

Both vulnerabilities and compromised passwords are WordPress security risks you can deal with easily, with the right tools and the right advice. Fortunately, both of those things are here.

निष्कर्ष

WordPress security issues can be daunting to an inexperienced admin, but that doesn’t mean there is no solution to them. Security issues can be resolved easily, by listening to expert advice. We, at MalCare, firmly believe that WordPress security should be a hands-off affair, leaving you free to do other things with peace of mind.

We hope that the article helped allay any fears. If there is something we have not addressed, please do let us know. We would love to hear from you.

अक्सर पूछे जाने वाले प्रश्न

Does WordPress have security issues?

WordPress is a secure system, but like any other system, it is not perfect. Plugins and themes add functionality and complexity to a website, but also bring in security risks. However, there are ways to mitigate those successfully, so WordPress websites are protected from hackers.

Is WordPress easily hacked?

WordPress is not easily hacked, however, some of its plugins and themes may not be as secure. Installing a security plugin with an integrated firewall, like MalCare will make a WordPress website much more secure.

Is WordPress secure for commerce?

WordPress is secure for commerce, if the website has a security plugin with a firewall installed. The security plugin will perform daily scans to alert users of malware. MalCare is a great security plugin that not only scans the website, but provides a 1-click auto-clean option as well. MalCare also comes with a firewall to keep away bad traffic from the commerce website, in addition to protecting the website from bots that scrape data.

What are your must-have WordPress security requirements?

The must-have WordPress security requirements are:

मैलवेयर स्कैनर
Malware cleaner
WordPress firewall
क्रूर बल सुरक्षा
बॉट सुरक्षा
Activity log
दो चरणों वाला प्रमाणीकरण

These features go a long way toward protecting websites from WordPress security issues.

Are outdated WordPress plugins a security risk for a site?

Yes, outdated WordPress plugins are a security risk for a website. Plugin updates usually contain security patches that address errors in the plugin code. These errors are known as vulnerabilities and can be exploited by hackers to gain unauthorised access to a website. Therefore it is critically important to update WordPress plugins as soon as possible. Same goes for WordPress themes.