आप शायद पहले से ही अपनी वर्डप्रेस वेबसाइट की सुरक्षा के लिए स्पष्ट सुरक्षा उपायों को जानते हैं।
संभवतः आप जानते हैं कि आपको अपनी साइट का पासवर्ड "मजबूत" बनाना है (विशेष वर्णों, अपरकेस अक्षरों, लोअरकेस अक्षरों और संख्याओं का मिश्रण)। आपको उपयोगकर्ता नाम के रूप में "व्यवस्थापक" का उपयोग नहीं करना चाहिए, और आपको अक्सर पासवर्ड बदलना चाहिए। आप शायद पहले से ही अपनी वर्डप्रेस साइट पर टू-फैक्टर ऑथेंटिकेशन का उपयोग कर रहे हैं और आपने अपनी साइट का बैकअप ले लिया है। और आप कभी भी प्रीमियम प्लगइन्स मुफ्त में या अज्ञात स्रोतों से डाउनलोड नहीं करते हैं। तो और क्या है?
यहां हम कुछ और वर्डप्रेस सुरक्षा युक्तियों पर चर्चा करेंगे जो कम ज्ञात, लेकिन गहन प्रभावी तरीकों का उपयोग करते हैं जो आप कर सकते हैं, और अपनी वर्डप्रेस साइट की सुरक्षा के लिए उपयोग करना चाहिए।
<एच2>1. अपने लॉगिन पृष्ठ का नाम बदलें या स्थानांतरित करें
आपकी साइट के लिए डिफ़ॉल्ट लॉगिन पृष्ठ "www.websitename.com/wp-login.php" (या "www.websitename.com/wp-admin") है। अपनी साइट को सुरक्षित रखने के तरीकों में से एक है लॉगिन पेज को छिपाना या अस्पष्ट करना ताकि हैकर्स इसे आसानी से नहीं ढूंढ सकें। हर बार लॉगिन परीक्षणों की संख्या और लॉगिन परीक्षणों के बीच के समय को सीमित करके अपनी लॉगिन पहुंच को नियंत्रित करने से सुरक्षा में भी सुधार होगा।
यदि आपके पास पहले से जेटपैक स्थापित है, तो आप इसके "ब्रूट फोर्स प्रोटेक्शन" मॉड्यूल को सक्रिय कर सकते हैं। इस मॉड्यूल के सक्रिय होने के साथ, जेटपैक आपकी वेबसाइट पर दुर्भावनापूर्ण लॉगिन प्रयासों की संख्या के साथ डैशबोर्ड को अपडेट करेगा। आपके पास कई IP पतों को श्वेतसूची में डालने का विकल्प भी है। जेटपैक से "सेटिंग" पर जाएं और फिर "प्रोटेक्ट" पर जाएं, उसके बाद "कॉन्फ़िगर करें" और आप देखेंगे कि नीचे दी गई छवि कैसी दिखती है।
Cerber Security and Limit Login Attempt Jetpack का एक वैकल्पिक प्लगइन है। यदि आप जेटपैक का उपयोग नहीं करना चाहते हैं, तो सीमा लॉगिन एक विकल्प है। लेखन की तारीख तक, प्लगइन को 40,000 से अधिक बार स्थापित किया गया है और लगभग 111 उपयोगकर्ताओं में से 108 के रूप में इसकी प्रतिष्ठा बनाए रखता है, इसे पांच सितारों का दर्जा दिया गया है।
सीमा लॉगिन का उपयोग करना काफी आसान है, लेकिन इसके "सख्त" अनुभाग को कॉन्फ़िगर करने से आपकी साइट की सुरक्षा में सुधार होता है। XML-RPC सर्वर तक सभी पहुंच, जिसमें ट्रैकबैक और पिंगबैक शामिल हैं, डिफ़ॉल्ट रूप से अवरुद्ध हैं। अगर किसी भी कारण से आप वर्डप्रेस के बाकी एपीआई (उदाहरण के लिए, आपके ब्लॉग के एंड्रॉइड या आईओएस ऐप को इसकी आवश्यकता है) तक पहुंच रहे हैं, तो WP आराम एपीआई और एक्सएमएल-आरपीसी को एक्सेस करने दें।
2. होस्ट करें जहां यह सुरक्षित है
चूंकि वर्डप्रेस साइटों के सुरक्षा उल्लंघनों का एक बड़ा इकतालीस प्रतिशत मेजबान के अंत से उत्पन्न होता है, न कि साइट से, यह सुनिश्चित करना सामान्य है कि आपका होस्ट सुरक्षित है। वास्तव में, जब सुरक्षा की बात आती है तो होस्टिंग सबसे अधिक भार वहन करती है। केवल आठ प्रतिशत हैक कमजोर पासवर्ड के कारण होते हैं, उनतीस प्रतिशत थीम के कारण और बाईस प्रतिशत प्लगइन्स के कारण होते हैं। तो आपकी साइट की लगभग आधी सुरक्षा होस्टिंग पर निर्भर करती है।
सुनिश्चित करें कि यदि आप साझा होस्टिंग का उपयोग करते हैं तो आपके खाते में खाता अलगाव शामिल है। अन्य लोगों की वेबसाइटों पर जो कुछ भी होता है, उससे आपका खाता सुरक्षित रहेगा। हालाँकि, यह सबसे अच्छा है कि आप ऐसी सेवा का उपयोग करें जो वर्डप्रेस उपयोगकर्ताओं को ध्यान में रखकर बनाई गई हो। ऐसी सेवाओं में वर्डप्रेस फ़ायरवॉल, जीरो-डे मालवेयर अटैक प्रोटेक्शन, अपडेटेड मायएसक्यूएल और पीएचपी, विशेष वर्डप्रेस सर्वर और एक वर्डप्रेस-प्रेमी ग्राहक सेवा शामिल होगी। WP इंजन, साइटग्राउंड और पेजली जैसे होस्ट के पास मजबूत सुरक्षा ट्रैक रिकॉर्ड हैं।
3. अद्यतित रहें और केवल अपडेट किए गए सॉफ़्टवेयर का उपयोग करें
आप जानते हैं कि आपको अपने कंप्यूटर के लिए अद्यतन एंटीवायरस और अन्य प्रासंगिक एंटी-मैलवेयर सुरक्षा का उपयोग करना होगा। यह सावधानी प्लगइन्स और थीम के लिए भी जाती है। उन्हें अप टू डेट रखें, और यदि आपके रिपॉजिटरी में कोई थीम या प्लगइन्स हैं जो उपयोग में नहीं हैं, तो उन्हें हटा दें। यदि यह आपकी साइट के लिए सही है, तो अपने प्लगइन्स और थीम को स्वचालित रूप से अपडेट करने के लिए सेट करने पर विचार करें। स्वचालित अपडेट सेट करने के लिए, अपने wp-config.php में कुछ कोड डालें। प्लगइन्स के लिए कोड निम्नलिखित है:
add_filter( 'auto_update_plugin', '__return_true' );
और थीम के लिए, इस कोड का उपयोग करें:
add_filter( 'auto_update_theme', '__return_true' );
यदि आप साइट रखरखाव के लिए व्यावहारिक दृष्टिकोण चाहते हैं, तो आप वर्डप्रेस अपडेट को स्वचालित करने पर विचार कर सकते हैं। हालांकि, ध्यान दें कि ऑटो-अपडेट सेट करने से आपकी साइट टूट सकती है, खासकर यदि प्लगइन्स आपकी साइट पर नवीनतम वर्डप्रेस अपडेट के साथ असंगत हैं। अपनी वर्डप्रेस साइट के लिए एक स्वचालित अपडेट सेट करने के लिए, नीचे दिए गए कोड को अपने wp-config.php में डालें। फ़ाइल:
# Enable all core updates, including minor and major: define( 'WP_AUTO_UPDATE_CORE', true );
4. प्लगइन थीम संपादक और PHP त्रुटि रिपोर्टिंग निकालें
यदि आप नियमित रूप से बदलाव नहीं करते हैं और सेटिंग्स नहीं बदलते हैं (या अपने प्लगइन्स और थीम पर कोई अन्य रखरखाव चलाते हैं) तो प्लगइन्स और थीम के लिए अपने अंतर्निहित संपादक को अक्षम करें। यह आपकी वेबसाइट की सुरक्षा के लिए है।
अधिकृत वर्डप्रेस उपयोगकर्ताओं के पास इस संपादक तक पहुंच है, जिससे आपकी साइट सुरक्षा उल्लंघन के प्रति संवेदनशील हो जाती है यदि उनके खाते हैक हो जाते हैं। वास्तव में, हैकर्स उस संपादक में कोड को संशोधित करके आपकी साइट को हटा सकते हैं। संपादक को अक्षम करने के लिए, नीचे दिए गए कोड को अपने wp-config.php . में डालें :
define( 'DISALLOW_FILE_EDIT', true );
त्रुटि रिपोर्टिंग अच्छी है। यह आपको समस्या निवारण में मदद करता है। एकमात्र समस्या (और यह एक बड़ी समस्या है) यह है कि त्रुटि संदेश आपके सर्वर पथ को भी अपने साथ ले जाते हैं। हैकर्स आपके सर्वर पथ को देख सकते हैं और आसानी से आपकी वेबसाइट की संरचना की स्पष्ट समझ हासिल कर सकते हैं। हालांकि PHP त्रुटि रिपोर्टिंग अच्छी है, यह BEST पूरी तरह से अक्षम है। अपने wp-config.php . के लिए नीचे दिए गए कोड स्निपेट का उपयोग करें फ़ाइल:
error_reporting(0); @ini_set(‘display_errors’, 0);
5. विशेष-उद्देश्य वाली फ़ाइलों की सुरक्षा के लिए .htaccess का उपयोग करें
.htaccess फ़ाइल महत्वपूर्ण है क्योंकि यह आपकी वर्डप्रेस वेबसाइट का दिल है। यह फ़ाइल आपकी साइट की परमालिंक संरचना और सुरक्षा के लिए ज़िम्मेदार है। #BEGIN WordPress के बाहर और #END WordPress टैग, कोड स्निपेट की संख्या की कोई सीमा नहीं है जिसे आप अपनी वेबसाइट की निर्देशिका के अंदर फ़ाइलों की दृश्यता को बदलने के लिए अपनी .htaccess फ़ाइल में जोड़ सकते हैं।
यदि आपने पहले से ऐसा नहीं किया है, तो अपनी साइट की wp-config.php फ़ाइल छुपाएं। वह फ़ाइल आपकी साइट की गतिविधियों के लिए महत्वपूर्ण है और इसमें आपकी व्यक्तिगत जानकारी के साथ-साथ आपकी साइट से संबंधित अन्य महत्वपूर्ण विवरण शामिल हैं। आप इसे छिपाने के लिए नीचे दिए गए कोड स्निपेट का उपयोग कर सकते हैं।
order allow,deny deny from all
व्यवस्थापक पहुंच को प्रतिबंधित करने के लिए, बस एक नई .htaccess फ़ाइल बनाएं और इसे अपनी "wp-admin" निर्देशिका में अपलोड करें। बाद में, यह कोड डालें:
order deny,allow allow from 192.168.5.1 deny from all
अपने आईपी पते को सही जगह पर इनपुट करें। एकाधिक IP पतों से अपने wp-admin तक पहुंच की अनुमति देने के लिए, उन IP पतों को सूचीबद्ध करें, उनमें से प्रत्येक एक अलग लाइन पर, allow from IP Address के रूप में . आप लगभग उसी तरह अपने wp-login.php तक पहुंच को प्रतिबंधित कर सकते हैं। बस इस कोड स्निपेट को अपने .htaccess में जोड़ें:
order deny,allow Deny from all # allow access from my IP address allow from 192.168.5.1
यदि आप सभी IP पतों को ब्लॉक नहीं करना चाहते हैं, केवल विशिष्ट IP पते जो आपके wp-admin या wp-login.php तक पहुँच प्राप्त करना चाहते हैं, तो आप इस कोड का उपयोग करके अलग-अलग IP पतों को ब्लॉक कर सकते हैं:
order allow,deny deny from 456.123.8.9 allow from all
आप लोगों को अपनी साइट निर्देशिका को देखने से रोक भी सकते हैं, इसे ब्राउज़ करने में सक्षम न बनाकर। ऐसा करने के लिए आप इस कोड स्निपेट का उपयोग कर सकते हैं:
Options All -Indexes
निष्कर्ष
यह आपकी वर्डप्रेस वेबसाइट की सुरक्षा को बेहतर बनाने में आपकी मदद करने के लिए एक कार्रवाई योग्य मार्गदर्शिका रही है। इनमें से सबसे महत्वपूर्ण विकल्प वह है जिसे अभी लागू करना काफी आसान है - सुरक्षा के लिए एक प्राचीन प्रतिष्ठा वाला एक होस्ट ढूंढें, क्योंकि आपकी साइट की आधी सुरक्षा आपके होस्ट पर टिकी हुई है।
कौन सी सुरक्षा युक्ति आपके लिए सर्वाधिक उपयोगी थी और क्यों? क्या आपके पास कोई अन्य सुरक्षा युक्तियाँ हैं जो यहाँ सूचीबद्ध नहीं हैं? टिप्पणियों में इसका (या उनका) उल्लेख करें।