वर्डप्रेस: सुरक्षा की दृष्टि से 10 सर्वश्रेष्ठ अभ्यास
वर्डप्रेस (WP) के रूप में जाना जाता है सबसे लोकप्रिय सीएमएसकई चीजों में से, निरंतर विकास में होने, पहुंच, प्रदर्शन और उपयोग में आसानी पर जोर देने के साथ डिजाइन किया गया है (वर्तमान संस्करण 5.2), कई भाषाओं में उपयोगकर्ताओं का एक विशाल समुदाय है और स्वयं या तृतीय-पक्ष थीम और ऐड-ऑन के उपयोग के माध्यम से एक विशाल अनुकूलन क्षमता है।
साथ ही बहुत सुरक्षित होने के लिए, लेकिन इसके लिए, किसी भी अनुप्रयोग या प्रणाली के रूप में, एक लंबी अवधि के कार्यान्वयन को प्राप्त करने के लिए अच्छी प्रथाओं का पालन किया जाना चाहिए। और इस पोस्ट में हम इस संबंध में कुछ बुनियादी सिफारिशें प्रदान करना चाहते हैं।
परिचय
वेबसाइटों के निर्माण के लिए WP सबसे लोकप्रिय CMS है, आमतौर पर कंप्यूटर हमलों का लगातार लक्ष्य होता है, इसलिए इसके निरंतर अद्यतन के अलावा, लगातार रखरखाव, अद्यतन करने और सुरक्षा प्रक्रियाओं की आवश्यकता होती है के लिए इस प्रकार, कई अन्य कारणों के साथ, ऐड-ऑन, कमजोर पासवर्ड, पुराने सॉफ़्टवेयर में कमजोरियों के कारण कमजोरियों से बचें, हासिल करना किसी भी इच्छित या अप्रत्याशित हमले के लिए अपनी भेद्यता को बहुत कम करें।
इसके अलावा, WP किसी भी अन्य सामग्री प्रबंधन प्रणाली (CMS) की तरह आपको जल्दी और कुशलता से एक वेबसाइट बनाने और फिर इसे ऑनलाइन डालने की अनुमति देता है। मॉड्यूल, पूरक विषयों के माध्यम से काम और विकास के लिए इसकी अत्यधिक क्षमता, इस कार्य को प्राप्त करने के लिए पहले से कहीं अधिक आसान बनाती है, लेकिन सीखने के लंबे वर्षों की आवश्यकता के बिना जो आमतौर पर इसके लिए आवश्यक हैं।
हालांकि, एक साइड इफेक्ट सुखद कुछ भी नहीं है कि इससे उत्पन्न हो सकता है, यह हो सकता है कि उक्त उपकरण के कुछ प्रबंधक, आमतौर पर बायपास, यह सुनिश्चित करने के लिए आवश्यक उपाय कि वेबसाइट बनाई गई या बनाए रखी गई सुरक्षित है। इस कारण से, कुछ सामान्य और विशिष्ट उपायों (अच्छी प्रथाओं), WP या किसी अन्य CMS और वेबसाइट को सुरक्षित रखने के लिए इसे ध्यान में रखना आवश्यक है।
अच्छे आचरण
1.- अपनी सुरक्षा को सामान्य रूप से मजबूत करें
इंटरनेट पर सक्रिय वेबसाइटों के आधार पर WP आज आसानी से 30% से अधिक है, जो इसे अच्छे या बुरे इरादों के साथ आक्रमणकारियों और / या हमलावरों (हैकर्स / क्रैकर्स) के लिए एक पसंदीदा लक्ष्य बनाता है। इसलिए, एक समान WP साइट पर एक ज्ञात और पहले से सफलतापूर्वक शोषित भेद्यता अन्य समान WP साइटों पर प्रयास किया जाएगा।
इसलिए यदि आप WP के साथ एक या एक से अधिक वेबसाइट का प्रबंधन और / या उपयोग करते हैं, तो सुनिश्चित करें कि आप उनकी ऑनलाइन सुरक्षा के बारे में अधिक सावधान, संपूर्ण और जागरूक हैं। ध्यान रखें कि WP के साथ वेबसाइटों पर विश्लेषण और रिपोर्ट किए जाने वाले अधिकांश सुरक्षा उल्लंघनों का अनुप्रयोग के मूल के साथ बहुत कम या कुछ भी नहीं है, लेकिन इसके कार्यान्वयन, कॉन्फ़िगरेशन और सामान्य रखरखाव से संबंधित सभी चीजों के साथ बहुत कुछ करना है, डेवलपर्स या प्रशासकों द्वारा गलत तरीके से किया गया। '
2.- अपनी कमजोरियों को जानें
वर्डप्रेस की लगभग 4.000 ज्ञात सुरक्षा कमजोरियां हैं, जिन्हें निम्नानुसार वितरित किया गया है: WP कोर (37%), प्लगइन्स (52%) और थीम्स (11%), WPScans वेबसाइट की एक हालिया रिपोर्ट के अनुसार, जिसे अब कहा जाता है डब्ल्यूपीएसईसी (01-05-2019 से)। अपनी वेबसाइट के सामने आने वाली सुरक्षा कमजोरियों की जांच करें और इन मुद्दों को हल करने के लिए एक समाधान खोजें। WP कोर, या इसके प्लगइन्स और थीम के असुरक्षित संस्करण चलाने से बचें।
अपने WP या वेबसाइट पर निम्नलिखित सुरक्षा विषयों पर ध्यान दें, जो कि, पर है के विभिन्न प्रकार से हमलों:
- पाशविक बल: अपने लॉगिन पृष्ठ पर सुरक्षा को फिर से लागू करना।
- फ़ाइल शामिल करना: अपने wp-config.php कॉन्फ़िगरेशन फ़ाइल की सुरक्षा को मजबूत करना।
- एसक्यूएल इंजेक्षन: WP से जुड़े अपने MySQL डेटाबेस की सुरक्षा को मजबूत करना।
- क्रॉस साइट स्क्रिप्टिंग: प्रयुक्त WP प्लगइन्स की सुरक्षा को मजबूत करना।
- मैलवेयर संक्रमण: अनधिकृत पहुँच, मालवेयर की प्रविष्टि और इन दुर्भावनापूर्ण कोड द्वारा गोपनीय डेटा के संग्रह को रोकने के लिए अपनी वेबसाइट की सामान्य सुरक्षा को पुन: लागू करना। सबसे अक्सर मैलवेयर या हमले आमतौर पर प्रकार के होते हैं: पिछले दरवाजे, एसईओ स्पैम, हैकटूल, मेलर, डीफेसमेंट और फ़िशिंग। प्रत्येक प्रकार के मैलवेयर या हमले के खिलाफ अपनी साइट की रक्षा करना देखें।
याद रखें कि एक बार किसी भी वेबसाइट से छेड़छाड़ करने पर उसकी एसईओ रैंकिंग को नुकसान हो सकता है। क्योंकि खोज इंजन समझौता किए गए वेबसाइटों को जल्दी से लॉग इन करने की प्रवृत्ति रखते हैं ताकि ब्राउज़र या तो आगंतुकों को चेतावनी के संकेत देगा या उन साइटों को नेविगेट करने की क्षमता को पूरी तरह से अवरुद्ध कर देगा।
3.- अपने होस्टिंग प्रदाता के बुनियादी ढांचे को जानें
यदि आपकी वेबसाइट बाहरी होस्टिंग का उपयोग करती है, जो आपके बुनियादी ढांचे के बाहर किराए पर है, अपने होस्टिंग प्रदाता से सेवा की गुणवत्ता सुनिश्चित करने के लिए लागतों पर कंजूसी न करें। इन सबसे ऊपर, यदि वह "साझा होस्टिंग" योजना के तहत अपनी साइट होस्ट करता है।
जैसे खराब गुणवत्ता वाली 'साझा होस्टिंग' आपकी साइट को अधिक असुरक्षित बना सकती है जब एक ही सर्वर पर संग्रहीत कई वेबसाइटों में से एक से समझौता किया जाता है। यही है, अगर एक वेबसाइट "साझा होस्टिंग" के साथ एक सर्वर पर हैक की गई है, तो हमलावर अन्य वेबसाइटों और उनके डेटा तक भी पहुंच प्राप्त कर सकते हैं।
4.- ई जानोवेब तकनीकी विनिर्देश अपने होस्टिंग प्रदाता से
जब एक होस्टिंग प्रदाता का मूल्यांकन करने की बात आती है, तो इसका बुनियादी ढांचा सब कुछ नहीं है। होस्ट की गई वेबसाइटों की बेहतर सुरक्षा प्राप्त करने के लिए आपके होस्टिंग प्रदाता द्वारा उपयोग किए जाने वाले तकनीकी वेब स्पेसिफिकेशन भी महत्वपूर्ण हैं। सुनिश्चित करें कि यह आपकी वेबसाइट की मेजबानी के लिए निम्नलिखित अनुशंसित सुरक्षा दिशानिर्देशों का पालन करता है:
- एसएसएल प्रमाणपत्रों की आसान स्थापना
- वेब सर्वर सॉफ्टवेयर संस्करणों का सक्रिय प्रबंधन।
- फ़ायरवॉल सुरक्षा
- वेबसाइट तक पहुंच का रिकॉर्ड
- नियमित सुरक्षा ऑडिट
- दुर्भावनापूर्ण गतिविधि का पता लगाना
- SFTP के लिए समर्थन (न केवल एफ़टीपी), टीएलएस 1.2 और 1.3, और PHP 5.6 के लिए, कम से कम, हालांकि 7.0 के बाद की सिफारिश की जाती है।
यह सब आवश्यक है, कम से कम, एक प्रयुक्त सीएमएस के रूप में WP के साथ या बिना अपनी वेबसाइट की सुरक्षा बढ़ाने के लिए।
5. उपयोग किए गए थीम्स और पूर्णताओं से सावधान रहें
प्लगइन्स और थीम जो इंस्टॉल किए गए हैं वे सुरक्षा स्तर पर बहुत मायने रखते हैं। केवल आधिकारिक WP या सामुदायिक प्रमाणित थीम और प्लगइन्स, प्रसिद्ध वाणिज्यिक रिपॉजिटरी या सीधे प्रतिष्ठित डेवलपर्स से उपयोग करें। चूंकि उनमें से कई (प्रमाणित नहीं) दुर्भावनापूर्ण कोड हो सकते हैं।
यदि आप मैलवेयर इंस्टॉल करते हैं तो इससे कोई फर्क नहीं पड़ता कि आप अपनी वेबसाइट को WP से कैसे बचाते हैं। किसी भी थीम और प्लगइन्स, या उनके डेवलपर या प्रमोटर वेबसाइट को डाउनलोड करने और स्थापित करने से पहले अपना शोध करें और मुफ्त या रियायती लोगों के साथ अपना आरक्षण करें।
6.- अपने सीएमएस को बार-बार अपडेट करने का प्रयास करें
आपकी सुरक्षा के लिए आपके वेब प्लेटफ़ॉर्म पर अपडेट बहुत महत्वपूर्ण हैं। भी आपके CMS, नहीं, आपके कोर, थीम या प्लगइन्स के पुराने संस्करण WP आपकी वेबसाइट पर ज्ञात कमजोरियों को परेशान कर सकते हैं। WP के मामले में, जो खुला स्रोत है, एक टीम है जो विशेष रूप से इस मुद्दे के लिए समर्पित है आवेदन के कोर के भीतर।
WP में खोजी गई प्रत्येक सुरक्षा भेद्यता को ठीक किया जाता है और तुरंत समाप्त कर दिया जाता है WP में खोजी गई प्रत्येक नई सुरक्षा समस्या को हल करने के लिए। उस अपडेट की वजह से WP और नवीनतम संस्करण के लिए अपने सभी विषयों और प्लगइन्स एक सफल सुरक्षा रणनीति का एक महत्वपूर्ण घटक है।
7.- मुझे एक उपयुक्त पासवर्ड मिला
वेबसाइटों पर हमारे पासवर्ड की गुणवत्ता या मजबूती बहुत महत्वपूर्ण है। हमारी वेबसाइट में लॉग इन करना कमजोरियों का शोषण करने के लिए एक प्रमुख लक्ष्य है, क्योंकि यह आपकी वेबसाइट के प्रशासन पृष्ठ तक सबसे आसान पहुँच प्रदान करता है।
अपने प्रवेश का फायदा उठाने के लिए क्रूर बल हमले सबसे आम तरीका है, वेबसाइट तक पहुँचने के लिए उपयोगकर्ता नाम और पासवर्ड संयोजन की खोज। WP के विशिष्ट मामले में, डिफ़ॉल्ट रूप से यह विफल लॉगिन प्रयासों की संख्या को सीमित नहीं करता है जो कोई भी कर सकता है, इसलिए, सबसे अधिक अनुशंसित आपके WP व्यवस्थापक के लॉगिन के लिए एक जटिल पासवर्ड का उपयोग है।
पासवर्ड चुनते समय, CLU प्रारूप के आधार पर इन 3 मूलभूत आवश्यकताओं को ध्यान में रखें (जटिल, लंबा, अनोखा):
- कम्प्लेक्स: पासवर्ड वेब व्यवस्थापक या वेबसाइट से यथासंभव कम से कम यादृच्छिक होना चाहिए।
- लंबा: पासवर्ड लंबाई में 12 या अधिक वर्ण होना चाहिए। और असफल कनेक्शन प्रयासों की संख्या पर प्रतिबंध या सीमाओं के साथ दृढ़।
- केवल: पासवर्ड का पुन: उपयोग न करें। प्रत्येक पासवर्ड समय में अद्वितीय होना चाहिए। यह सरल नियम नाटकीय रूप से समझौता किए गए किसी भी पासवर्ड के प्रभाव को सीमित करता है।
सिफारिश: एक एन्क्रिप्टेड प्रारूप में अपने सभी पासवर्ड बनाने और संग्रहीत करने के लिए "लास्टपास" (ऑनलाइन) और "कीपास 2" (ऑफलाइन) जैसे पासवर्ड प्रबंधक का उपयोग करें।
8.- हमेशा अपनी आपदा-विरोधी योजना तैयार करें
यदि आप WP का उपयोग करते हैं, तो याद रखें कि इसमें बिल्ट-इन बैकअप सिस्टम नहीं है। प्राथमिकता के रूप में एक को शामिल करें, इसलिए आपके पास हमेशा अपनी वेबसाइट का अप-टू-डेट बैकअप होता है। बैकअप महत्वपूर्ण हैं और लागू करने के लिए एक सामान्य सुरक्षा रणनीति।
मत भूलो कि तुम ही नहीं होना चाहिए अपनी उपयोग की गई वेबसाइटों और डेटाबेस का बैकअप लेंलेकिन सभी सेटिंग्स पूरे सर्वर का स्क्रिप्ट के साथ स्वचालित कार्यों के माध्यम से या क्लोन किए गए छवि सिस्टम, आवश्यक पुनर्संस्थापन और पुन: स्थापना को कम से कम संभव समय में सुविधाजनक बनाने के लिए।
9.- 2FA का उपयोग करके अपनी सुरक्षा बढ़ाएं
दो-कारक प्रमाणीकरण (2FA) तंत्र का उपयोग करके अपने WP व्यवस्थापक लॉगिन या अपनी वेबसाइट को मजबूत करें, जो आज आपकी वेबसाइट को सुरक्षित करने के सर्वोत्तम तरीकों में से एक है। टू-फैक्टर ऑथेंटिकेशन आपकी वेबसाइट लॉगिन में सुरक्षा की एक अतिरिक्त परत जोड़ता है, यह आवश्यकता होती है कि आपके पासवर्ड के उपयोग के लिए किसी अन्य डिवाइस, जैसे आपके स्मार्टफोन, से सफलतापूर्वक लॉग-इन करने के लिए अतिरिक्त समय-संवेदी कोड की आवश्यकता होती है। ।
WP के मामले में डिफ़ॉल्ट रूप से यह कार्यक्षमता प्रदान नहीं करता है एक प्लगइन का उपयोग करके एक ही एम्बेड करेंइसे जोड़ने के लिए iThemes Security जैसे।
10.- किसी भी आवश्यक सुरक्षा सामान का उपयोग करें
WP जैसे अधिकांश CMS खुद की सुरक्षा क्षमता को बढ़ाने के लिए प्लगइन्स का उपयोग करते हैं। WP के विशिष्ट मामले में, iThemes Security नामक सुरक्षा प्लगइन के उपयोग की सिफारिश की जाती है। अपनी वेबसाइट पर और अधिक सुरक्षा जोड़ने के लिए। यह प्लगइन WP को ब्लॉक करता है, ज्ञात छेदों को ठीक करता है, स्वचालित हमलों को रोकता है, और उपयोगकर्ता क्रेडेंशियल्स को मजबूत करता है।
इसका एक निःशुल्क संस्करण है (iThemes Security) और एक सशुल्क संस्करण (iThemes Security Pro) जो स्पष्ट रूप से 2FA, अनुसूचित मैलवेयर स्कैन, उपयोगकर्ता पंजीकरण, जैसे अन्य चीजों के साथ अधिक सुरक्षा सुविधाएँ प्रदान करता है।
निष्कर्ष
चाहे यह WP या किसी अन्य CMS से अधिक हो, आप इन सर्वोत्तम या अच्छे सुरक्षा अभ्यासों का पालन करके अपनी अधिकांश वेबसाइट सुरक्षा समस्याओं से बच सकते हैं। आपकी वेबसाइट योग्य है और हैकर्स और पटाखे की गतिविधि से परेशान इन समय में इसकी सुरक्षा की गारंटी देने या कम करने के लिए आवश्यक सुरक्षा उपाय होने चाहिए।
अंत में और इसके अलावा, हम आपको हमारे ब्लॉग पर इस अन्य लेख को पढ़ने की सलाह देते हैं अपनी वेबसाइट की सुरक्षा को मजबूत करने के लिए विषय पर, कहा जाता है: सिस्टम प्रशासक और डेवलपर्स के लिए लिनक्स अनुमतियाँ.