हमलों से आपकी उच्च प्रोफ़ाइल वर्डप्रेस वेबसाइट को कैसे सुरक्षित रखें
वर्डप्रेस सुरक्षा की आवश्यकता तेज गति से बढ़ रही है। रिपोर्टों का कहना है कि वर्डप्रेस साइट्स प्रति मिनट 9 0, 9 78 हमलों का अनुभव करती हैं। इसकी रिलीज के बाद से, वर्डप्रेस ने 2, 450 से अधिक भेद्यताएं जुड़ी हैं। उन बुनियादी सुरक्षा उपायों के अतिरिक्त जो आप पहले से ही अपनी साइट की सुरक्षा के लिए ले रहे हैं, यहां कुछ उन्नत वर्डप्रेस सुरक्षा उपाय हैं, जिनमें आपकी वेबसाइट पर वर्डप्रेस डीडीओएस (सेवा का वितरित अस्वीकार) को रोकने के तरीके शामिल हैं।
1. HTTP ट्रेस कार्यक्षमता बंद करें
क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस) और क्रॉस साइट ट्रेसिंग (एक्सएसटी) जैसे हमले सक्षम HTTP ट्रेस कार्यक्षमता वाले सिस्टम की ओर तैयार हैं। अधिकांश वेब सर्वर डिफ़ॉल्ट रूप से HTTP ट्रेस के साथ काम करने के लिए सेट होते हैं जो इसे डिबगिंग जैसी गतिविधियों के लिए उपयोग करता है। हेडर अनुरोधों का उपयोग करके, हैकर क्रॉस साइट ट्रेसिंग हमले को निष्पादित करके कुकीज़ जैसे संवेदनशील जानकारी चुरा लेते हैं। ओडब्ल्यूएएसपी टॉप टेन प्रोजेक्ट कमजोरियों की व्यापक सूचियां और वर्डप्रेस वेबसाइटों पर हमलों की पेशकश करता है।
सभी भेद्यता प्रकारों में से, क्रॉस साइट स्क्रिप्टिंग नंबर एक है। वास्तव में, सभी वेबसाइटों का 46.9% इस प्रकार के हमले के लिए कमजोर हैं। HTTP ट्रेस कार्यक्षमता को निष्क्रिय करने के लिए, निम्न कोड को अपनी .htaccess फ़ाइल में जोड़ें।
रिवाइटइंजिन ऑन रीवाइटकंड% {REQUEST_METHOD} ^ ट्रेस रीवाइट्रूल। * - [एफ]
2. वर्डप्रेस स्थापना हेडर आउटपुट निकालें
आपकी वर्डप्रेस वेबसाइट के विभिन्न हिस्सों के लिए विशिष्ट सेवाएं हेडर में बहुत सारे आउटपुट जोड़ने की आवश्यकता है। आप नीचे दिए गए कोड को अपनी थीम के "functions.php" फ़ाइल में जोड़कर इन आउटपुट को हटा सकते हैं।
remove_action ('wp_head', 'index_rel_link'); remove_action ('wp_head', 'feed_links', 2); remove_action ('wp_head', 'feed_links_extra', 3); remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'parent_post_rel_link', 10, 0); remove_action ('wp_head', 'start_post_rel_link', 10, 0); remove_action ('wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0); remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0); remove_action ('wp_head', 'noindex', 1);
3. वर्डप्रेस के लिए डिफ़ॉल्ट डेटाबेस उपसर्ग बदलें
वर्डप्रेस डेटाबेस टेबल के लिए डिफ़ॉल्ट उपसर्ग मान "wp_" है। हैकर्स और हानिकारक बॉट्स इस उपसर्ग मान का उपयोग अपने डेटाबेस तालिका नामों को सफलतापूर्वक अनुमान लगाने के लिए कर सकते हैं। चूंकि wp-config.php फ़ाइल है जहां आपका वर्डप्रेस डेटाबेस उपसर्ग मान सेट है, वर्डप्रेस स्थापित करने पर इस उपसर्ग मान को बदलना आसान है। आप चेंज टेबल उपसर्ग प्लगइन का उपयोग कर सकते हैं, या यदि आप इसे मैन्युअल रूप से करना पसंद करते हैं, तो नीचे दिए गए चरणों का पालन करें:
1. अपने डेटाबेस का पूरी तरह से बैक अप लें और बैकअप को कहीं सुरक्षित से सुरक्षित रखें। यहां कुछ बैकअप प्लगइन्स हैं जिनका आप उपयोग कर सकते हैं।
2. अपने वर्डप्रेस डेटाबेस को टेक्स्ट फ़ाइल में पूरी तरह से डंप करने के लिए अपने वेब होस्ट कंट्रोल पैनल में "phpmyadmin" का उपयोग करें। इस पाठ फ़ाइल का बैकअप लें।
3. इसके बाद, अपने स्वयं के उपसर्ग के साथ सभी "wp_" उपसर्ग मानों को प्रतिस्थापित करने के लिए कोड संपादक का उपयोग करें।
4. अपने व्यवस्थापक पैनल में सभी प्लगइन्स निष्क्रिय करें।
5. अब, ऊपर दिए गए तीसरे चरण में आपके द्वारा संपादित की गई फ़ाइल का उपयोग करके, पुराने डेटाबेस को phpMyAdmin के माध्यम से हटाए जाने के बाद नया डेटाबेस आयात करें।
6. नए डेटाबेस उपसर्ग मान का उपयोग करके, "wp-config.php" फ़ाइल संपादित करें।
7. अब, अपने वर्डप्रेस प्लगइन्स को पुनः सक्रिय करें।
8. परमालिंक सेटिंग्स को सहेजने के लिए, सेटिंग्स पर जाएं और फिर पर्मलिंक्स पर जाएं; यह आपकी वेबसाइट की परमालिंक संरचना को रीफ्रेश करता है। ध्यान दें कि डेटाबेस उपसर्ग को बदलना आपके डोमेन नाम, यूआरएल और परमालिंक सेटिंग्स को नहीं बदला जाना चाहिए।
4. ब्लॉक क्वेरी स्ट्रिंग जो संभावित रूप से खतरनाक हैं
क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस) हमलों को रोकने के लिए, निम्न कोड को अपनी .htaccess फ़ाइल में जोड़ें। सबसे पहले, कोड जोड़ने से पहले, क्वेरी स्ट्रिंग्स की पहचान करें जो संभावित रूप से खतरनाक हैं। यूआरएल अनुरोध नियमों के इस सेट द्वारा कई दुर्भावनापूर्ण इंजेक्शन से छीन लिया जाता है। यहां ध्यान देने के लिए दो महत्वपूर्ण बातें हैं:
- कुछ प्लगइन्स या थीम कार्यक्षमताओं को तोड़ते हैं यदि आप पहले से उपयोग किए गए तारों को बहिष्कृत नहीं करते हैं।
- यद्यपि नीचे दिए गए तार सबसे आम हैं, फिर भी आप अधिक तार जोड़ना चुन सकते हैं।
पुनर्लेखन% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC] पुनर्लेखन% {QUERY_STRING} ../ [NC, OR] पुनर्लेखन% {QUERY_STRING} boot.ini [NC, OR] पुनर्लेखन% {QUERY_STRING} टैग = [एनसी, या] पुनर्लेखन% {QUERY_STRING} ftp: [एनसी, या] पुनर्लेखन% {QUERY_STRING} http: [एनसी, या] पुनर्लेखन% {QUERY_STRING} https: [एनसी, या] पुनर्लेखन% {QUERY_STRING} mosConfig [NC, या] पुनर्लेखन% {QUERY_STRING} ^। * ([|] | (|) || '| "|; | | * *)। * [एनसी, या] पुनर्लेखन% {QUERY_STRING} ^। * (% 22 | % 27 |% 3 सी |% 3 ई |% 5 सी |% 7 बी |% 7 सी)। * [एनसी, या] पुनर्लेखन% {QUERY_STRING} ^। * (% 0 |% ए |% बी |% सी |% डी |% ई |% एफ | 127.0)। * [एनसी, या] रिवाइटकंड% {QUERY_STRING} ^। * (ग्लोबल्स | एनकोड | कॉन्फ़िगर | लोकलहोस्ट | लूपबैक)। * [एनसी, या] रिवाइटकंड% {QUERY_STRING} ^। * (अनुरोध | select | insert | union | declare | ड्रॉप)। * [एनसी] रिवाइट्रूल ^ (। *) $ - [एफ, एल]
5. डीडीओएस हमले को रोकने के लिए Deflect का उपयोग करें
Fledgling वेबसाइटों, स्वतंत्र मीडिया समूहों, और अधिकांश मानवाधिकार कार्यकर्ताओं / समूहों की साइटों में आमतौर पर एक वितरित अस्वीकार सेवा (डीडीओएस) हमले का सामना करने के लिए तकनीकी और वित्तीय संसाधन नहीं हैं। यही वह जगह है जहां Deflect आती है। स्थिति को खुद को ऐसे समाधान के रूप में हटाएं जो व्यावसायिक डीडीओएस शमन विकल्पों से बेहतर है।
वाणिज्यिक डीडीओएस शमन विकल्पों के लिए बहुत पैसा खर्च होता है और यदि उनकी सुरक्षा के तहत कोई वेबसाइट नियमित रूप से डीडीओएस हमलों को आकर्षित करती है तो उनकी सेवा की शर्तों को बदल सकता है। निरंतर सुरक्षा के तहत वेबसाइटों को रखकर डीडीओएस हमलों को रोकता है।
आपकी वेबसाइट पर Deflect का उपयोग करने का एक साइड लाभ यह है कि यह आपके ग्राहक के सर्वर और sysadmin संसाधनों पर तनाव को कम करके आपको पैसे बचाता है। Deflect क्रिएटिव कॉमन्स लाइसेंस के तहत सार्वजनिक डोमेन में उनके सभी स्रोत कोड और दस्तावेज डालता है; यह किसी को भी अपने स्वयं के deflect नेटवर्क स्थापित करके डीडीओएस हमलों को कम करने की अनुमति देता है। आप अपनी वेबसाइट पर मुफ्त में साइन अप कर सकते हैं और तुरंत सेवा का उपयोग शुरू कर सकते हैं।
6. सिक्योर सॉकेट लेयर (एसएसएल) और फ़ायरवॉल संरक्षण का उपयोग करें
सुकुरी जैसी सुरक्षा सेवाएं सुरक्षा विकल्प प्रदान करती हैं जैसे सिक्योर सॉकेट लेयर (एसएसएल) प्रमाणपत्र और फ़ायरवॉल सुरक्षा जो पीसीआई अनुपालन करती है। गैर-तकनीकी लोगों सहित सभी के लिए यह आसानी से सुलभ विकल्प है।
आप आसानी से इस तरह के सुरक्षा समाधान स्थापित कर सकते हैं और इसे पृष्ठभूमि में काम करने देते हैं, और कुछ मामलों में, खुद को आवश्यक (जैसे सुकुरी) अपडेट करें। यह एक बेहद प्रभावी, कम रखरखाव सुरक्षा विकल्प है।
आपकी साइट पर सुरक्षित सॉकेट परत (एसएसएल) प्रमाण पत्र जोड़ने के लिए कई वर्डप्रेस प्लगइन्स का उपयोग किया जा सकता है। कुछ सबसे अनुशंसित वर्डप्रेस एसएसएल प्लगइन्स में सीएम एचटीटीपीएस प्रो, वास्तव में सरल एसएसएल, डब्ल्यूपी फोर्स एसएसएल, एसएसएल असुरक्षित सामग्री फिक्सर, और आसान HTTPS पुनर्निर्देशन शामिल हैं।
काम ख़त्म करना
आप उपरोक्त उल्लिखित बिंदुओं का उपयोग करके चिह्नित साइट सुरक्षा सुधार का अनुभव करेंगे। यह ध्यान रखना उपयोगी है कि वर्डप्रेस सुरक्षा हमेशा विकसित हो रही है। लक्ष्य जोखिम को कम करना है, उन्हें खत्म नहीं करना, क्योंकि ऐसा करना लगभग असंभव है। वर्डप्रेस सुरक्षा गतिशील है और परतों में काम करती है, इसलिए कोई भी प्लग-फिट नहीं है-सभी या एक-रणनीति-फिट-सब।
छवि क्रेडिट: डीडीओएस अटैक रोडसाइन