WordPress एक ऐसा नाम जिसने वेबसाइट बनाने के काम को इतना आसान बना दिया गया कि अपने आप को Web Designer बोलने वालो की वैल्यू ख़तम हो गयी | आज के टाइम में हर कोई अपनी वेबसाइट पर अपनी मनचाही Theme लगाकर उसे मनचाहा Look दे सकता है | WordPress की अपनी दो सगी Problems है – Performance और Security.
WordPress की Default Setting सिक्योर नहीं होती है | WordPress की Default Setting के साथ वेबसाइट को अनेको प्रकार के Threads का सामना करना पड़ता है | इसलिए आज इस आर्टिकल में ऐसे Top 10 Website Issues देखेंगे जो आपकी WordPress Website की security को काफी हद तक बढ़ाकर आपकी वेबसाइट जो सिक्योर कर देंगे |
How To Increase Website Security:
Website की Security एक ऐसा पार्ट है जिसे हर कोई तब तक Seriously नहीं लेता जब तक वो किसी प्रकार की प्रॉब्लम में खुद फंस नहीं जाता है ! मान लो आपकी वेबसाइट अच्छी-खासी चल रही है और अचानक से किसी दिन आपको ये पता चलता है कि आपकी वेबसाइट हैक हो गयी है | अब ऐसे में आप खुद सोचिये कि आप इसकी कहाँ रिपोर्ट दर्ज करेंगे ?
यहाँ पर एक और पॉइंट है कि 80-90 % टाइम यही वो दिन होता है जब आपको ये याद आता है कि आपने अपनी वेबसाइट का Backup भी कभी नहीं लिया था, इसलिए आप अपनी वेबसाइट के डाटा को restore भी नहीं कर सकते है ! जरा सोचिये, जिस दिन आपके साथ ऐसा हो गया उस दिन आपका मन उदास होगा या खुश होगा ?
इसलिए अब हम इस Website Security Checklist को Step By Step देखेंगे कि कैसे आप इन Top 10 Website Issues का कैसे पता लगाकर इन्हें Solve कर सकते है |
Top 10 Website Issues:
इस आर्टिकल में हम इन 10 Website Issues को देखेंगे –
- XML – RPC Issue
- Web Directory Listing Issue
- Internal Path Disclosure
- Server Signature
- SQL Injection
- Clickjacking
- WordPress Version
- Login URL Exposed
- Robots.txt Disclosure
- 2FA Unavailability
अब हम इन सभी पॉइंट्स को क्रमानुसार विस्तार से देखेंगे –
1. XML – RPC Issue
XML – RPC यानि XML Remote Procedure Call. ये WordPress वेबसाइट से रिमोट कनेक्शन Establish करने का एक Method होता है | जब आप अपनी wordpress Website को अपने मोबाइल में एक Normal App से यानि मोबाइल में चलने वाले wordpress App से किसी पोस्ट को पब्लिश करते है, तो वो XML – RPC मेथड Use करता है |
इसलिए अगर Technically देखा जाये तो ये एक Usefull आप्शन है, लेकिन इसी मेथड का use करके आपकी वेबसाइट पर DDOS Attack किया जा सकता है | इसलिए अपनी Website protection के लिए अगर आप अपने मोबाइल में WordPress App का इस्तेमाल नहीं करते है या कोई भी ऐसा Third Party App या plugin इस्तेमाल नहीं कर रहे है जो आपको WordPress से कनेक्ट करता है तो आप XML – RPC को Disable कर दीजिये |
XML – RPC हर वेबसाइट में By Default ON रहता है जब तक कि आपकी Hosting company ने इसे बंद ना किया हो| आप इसे आसानी से चेक कर सकते है कि XML – RPC आपकी वेबसाइट में Enable है या Disable.
सबसे पहले अपने ब्राउज़र में जाईये और वहां पर अपनी वेबसाइट का URL टाइप कीजिये, इसके बाद ‘/’ लगाईये इसके बाद टाइप करिये ‘xmlrpc.php’ जैसे – Example.com/xmlrpc.php और इसके बाद Enter press करिये | अगर आपको इस तरह का Window दिखाई देता है जैसा निचे दिखाया गया है तो आप समझ जाईये कि आपकी वेबसाइट में XML – RPC Enable है |
अच्छी बात ये है कि इसे बंद करने का तरीका बड़ा ही आसान है | आपको इसके लिए Disable XML-RPC नाम का प्लगइन इनस्टॉल करना है और इसकी कुछ Basic सी Settings को ON करके आप इस रिस्क को ख़त्म कर सकते है |
लेकिन अगर आप इतनी सी चीज के लिए एक और Plugin install नहीं करना चाहते है तो आपको अपनी वेबसाइट के Control Panel में htaccess फाइल में निचे दिए गए कोड को Paste कर दीजिये, इससे आपका XML – RPC Function बंद हो जायेगा |
Paste This Code ↓
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>लेकिन यहाँ पर एक बात का अवश्य ध्यान रखे कि htaccess फाइल में कोई भी बदलाव करने से पहले आपको इस फाइल का एक बार Backup जरुर ले लेना है क्यूंकि ये एक बहुत ही इम्पोर्टेन्ट फाइल होती है | अगर आपको htaccess फाइल के बारे मे ज्यादा इनफार्मेशन नहीं है तो सबसे पहले आपको htaccess फाइल के बारे में अच्छे से जानकारी ले और इसके बाद आप अपनी htaccess फाइल में उपर दिए गए कोड को पेस्ट करके XML – RPC फंक्शन को बंद कर सकते है| इस आर्टिकल में जो भी Top 10 Website Issues बताये गए है, उन सभी पर आपके लिए विचार करना बेहद आवशयक है |
2. Web Directory Listing Issue
Web Directory Listing में कोई भी Attacker आपकी वेबसाइट के सभी Internal Folders और Files को देख सकता है | मान लीजिये आपकी वेबसाइट है – Example.com तो Attacker अपने ब्राउज़र में अगर टाइप करेगा – ‘Example.com/wp-content/uploads/2017/03’ (इस underline वाले सेक्शन में Attacker आपकी वेबसाइट के किसी भी URL को डाल सकता है ) तो वो किसी भी URL पर जाकर उसमे मौजूद किसी भी Directory, Folder या Files को देख सकता है |
Wp-Content के Uploads वाले फोल्डर में जाकर कोई भी आपकी अपलोड की हुई फाइल्स को Access कर सकता है, यहाँ पर भी आपको Website protection की बहुत ज्यादा Need रहती है | इस प्रॉब्लम से बचने का एक ही तरीका है वो है – Web Directory Listing को Disable कर देना |
इसे भी आप अपनी htaccess फाइल के जरिये ही प्राप्त कर सकते है | आपो सिर्फ अपनी htaccess फाइल के बिलकुल लास्ट में इस एक लाइन वाले कोड को पेस्ट करना है जिससे आपका Web Directory Listing का ये Issue ख़त्म हो जायेगा | इस स्टेप को फोलो करके भी आप अपनी Website security Increase कर सकते हो|
Paste This Code ↓
Options - Indexes3. Internal Path Disclosure
ये Issue देखने में Top 10 Website Issues के उपर वाले Web Directory Listing इशू जैसा ही प्रतीत होता है लेकिन इसके काम करने का तरीका उससे अलग है और इसका असर भी ज्यादा Serious है | Internal Path Disclosure, Attacker को सर्वर के Roots Structure की इनफार्मेशन देता है जो सिर्फ आपके WordPress के Installation को ही नहीं बल्कि पुरे के पुरे सर्वर के Setup को ही Expose कर देता है |
इसके लिए Attacker या Hacker जान-बुझकर Fatal एरर Generate करते है और ये Php सर्वर के Errors को Expose कर देता है |
अगर आप इसका Solution चाहते है तो आपको अपनी वेबसाइट के php के ये बताना है कि Errors को डिस्प्ले नहीं करना है और ये आप अपनी htaccess फाइल के जरिये ही कर सकते है | आपको फिर से अपनी वेबसाइट की htaccess फाइल में जाना है और इस निचे दिए गए कोड को पेस्ट कर देना है, जिससे आपका ये Issue Solve हो जायेगा |
Paste This Code ↓
php_flag display_errors Off
4. Server Signature
WordPress Website कई अलग-अलग तरीके से अपने Server और Operating System की इनफार्मेशन को लिक्क करते है जैसे – http Header, वेबसाइट का Source Code आदि | वैसे देखा जाये तो ये इनफार्मेशन Normal होती है लेकिन Attacker इसका Use कर सकते है लेकिन अच्छी बात ये है कि इस website security issues को भी आप बड़ी ही आसानी से Solve कर सकते है |
इसके लिए आपको फिर से अपनी htaccess फाइल में जाना होगा और निचे दिए गए कोड को वहां पर पेस्ट करना होगा, इससे इस Top 10 Website Issues का ये पार्ट भी Solve हो जायेगा|
Paste This Code ↓
# START - Disable server signature #
ServerSignature Off
# END - Disable server signature #
सिर्फ htaccess फाइल के जरिये अभी तक आप Top 10 Website Issues के चार Issues को Solve कर चुके है | आप इसी से अंदाज़ा लगा सकते है कि htaccess कितनी महत्वपूर्ण होती है |
5. SQL Injection
SQL Injection अटैक WordPress Websites के लिए एक बड़ा Risk फैक्टर होता है क्यूंकि WordPress Website का जो Database होता है वो SQL में होता है | एक Insecure WordPress Website में कोई Attacker, Contact Form, Subscribe Now वाले फॉर्म में Malicious Code को यूज करके आपकी wordpress वेबसाइट के database से इनफार्मेशन को Delete कर सकता है, Change कर सकता है या जोड़ सकता है |
उदहारण के लिए, आपकी वेबसाइट का जो Login पेज है (wp-admin) , वहां पर कोई जाकर SQL Injection के जरिये आपके Admin Account का Password निकाल सकता है या उसे बदल भी सकता है और आपके अकाउंट को भी Delete कर सकता है | देखा जाये तो ये एक ऐसा रिस्क है जिसका स्कोप काफी बड़ा है | एक skilled Hacker आपकी वेबसाइट के Search फंक्शन को ही यूज करके SQL Injection से कोई भी छेड़-छाड़ कर सकता है |
इसलिए इस तरह के अटैक को रोकने के लिए कोई एक स्टेप नहीं Use किया जा सकता है इसलिए इसके काफी सारे स्टेप्स है –
A. आप अपनी वेबसाइट में Security Plugins जैसे Wordfence, WP Scan का इस्तेमाल करके आप अपनी वेबसाइट के Weak Points को Strong बना सकते है |
B. आप अपनी वेबसाइट पर Firewall को Implement करिये जिससे आपकी How To Increase Website Security की समस्या काफी हद तक Solve हो जाएगी |
C. अपनी वेबसाइट के Plugins, Theme और Core wordpress को हमेशा Updated रखिये | जब भी आपके पास इनमे से किसी से भी सम्बंधित अपडेट आये आप इन्हें जरुर अपडेट करिये क्यूंकि Developers मजाक-मजाक में इन Updates को लांच नहीं करते है, इन Updates में कई बार Important Security Features मौजूद होते है | Hackers या Attackers, Outdated Themes और Plugins का फायदा अक्सर उठाते रहते है |
D. अपने सर्वर पर Php को Updated रखिये | Top 10 Website Issues के इस आर्टिकल में हमको इसे शायद अलग स्टेप देना चाहिए था |
E. अपनी वेबसाइट में कभी भी Nulled Themes या Plugins का कभी भी उपयोग ना करे | GPL License वाली Themes और Plugins भी आपकी वेबसाइट को खतरा पहुंचा सकते है इसलिए इनसे अच्छा है कि आप Free Themes और Plugins के साथ ही अपनी शुरुआत करे |
F. अपनी वेबसाइट का हमेशा अपने पास Updated Backup जरुर रखिये | ये Backup आपकी वेबसाइट को हैक होने से तो नहीं बचा सकता है लेकिन हैक होने के बाद जो Damage होता है ये कम से कम उसे कण्ट्रोल कर सकता है|
6. Clickjacking
Clickjacking एक ऐसा Security Thread है जिसमे एक Attacker आपकी वेबसाइट को Iframe के जरिये किसी और Domain पर लोड करके दिखा सकता है | आप सोच रहे होंगे की अगर कोई आपकी वेबसाइट को अपने Domain पर दिखा रहा है तो इससे क्या नुकसान होगा ?
इसका नुकसान ये है की इस तरह से हैकर आपकी वेबसाइट के Users को धोखा देकर अपनी Login Id, Password या कोई और Information डालने पर मजबूर कर सकता है या उसे चुरा सकता है | इस तरह के अटैक को ही Clickjacking कहा जाता है |
इस Clickjacking को रोकने का तरीका भी बेहद आसान है | इसके लिए आपको अपनी WordPress Website के Control Panel में Function.php फाइल में निचे दिया हुआ कोड डाल देना है | इतना ही काफी है आपकी वेबसाइट को इस खतरे से बचाने के लिए !
Paste This Code ↓
function wc_prevent_clickjacking() {
header( 'X-FRAME-OPTIONS: SAMEORIGIN' );
}
add_action( 'send_headers', 'wc_prevent_clickjacking', 10 );7. WordPress Version
WordPress Websites कई तरीके से अपना Version बताती रहती है जैसे Generator Tag, CSS और JS Files और इसी के साथ RSS FEED में भी ये इनफार्मेशन होती है | Hackers पुराने Version पर चल रही आपकी WordPress Website पर आसानी से अटैक कर सकते है |
काफी सारे लोग WordPress को जल्दी से अपडेट नहीं करते है क्यूंकि कई बार उसमे Bugs होते है, कई बार आपके Plugins और Themes इस नए version पर काम कर रहे है या नहीं कर रहे है ये टेस्ट करना जरुरी होता है और कई बार बड़ी Websites को उपर से इसके लिए Approval लेने होते है _ अब इसमें से कारण चाहे जो भी हो | अगर WordPress का कोई नया version Publically मौजूद है तो आपको इसे जरुर अपडेट करना चाहिए |
How To Increase Website Security के अंतर्गत आने वाले इस WordPress Version को सिर्फ किसी एक लाइन के सहारे नहीं छुपाया जा सकता है इसलिए इसका सबसे अच्छा इलाज है Wp Hardening प्लगइन | ये Plugin आपको आपकी Website protection के लिए कई सारे आप्शन देता है | आपको इन सभी Options को ON करना है जिससे आपकी WordPress Website का Version छिप जायेगा और ये आपकी वेबसाइट पर नहीं दिखाई देगा |
8. Login URL Exposed
WordPress Website के Login पेज का जो लिंक होता है Wp-Admin ये एक दम कॉमन Address होता है| ये Login URL एक Hacker का काम काफी हद तक आसान बना देता है | अगर आपकी वेबसाइट का भी लॉग इन पेज Wp-Admin से खुलता है तो आपको इसे जरुर बदलना चाहिए क्यूंकि Attacker इस चीज को सबसे पहले Try करता है | अगर आपकी वेबसाइट का Login URL भी WP-Admin है तो ये एक Attacker का काम काफी ज्यादा आसान बना देता है |
इसलिए अगर आप अपनी वेबसाइट के Entry Point को ही बदल देते है तो आपकी वेबसाइट का Base काफी ज्यादा सुरक्षित हो जायेगा | ये Issue भी Top 10 Website Issues का Most Important Issue है | आपको अपनी वेबसाइट का Login URL बदलने के लिए WPS Hide Login नाम के प्लगइन को अपनी वेबसाइट में Install करना है और इसकी Setting में जाकर अपना इच्छा के अनुसार अपना Log In URL डाल सकते है |
इसके बाद Hackers एक वेबसाइट को हैक करने के लिए सबसे पहले जो ट्रिक अपनाते है आपकी वेबसाइट उससे मुक्त ही जाएगी |
9. Robots.txt Disclosure
Robots.txt फाइल में हम तीन तरह की इनफार्मेशन देते है –
A. वेबसाइट के किस पार्ट या फाइल्स को आप Search Engine के लिए Allow करना चाहते है |
B. वेबसाइट के किस पार्ट या फाइल्स को आप Search Engine के लिए Disallow करना चाहते है |
C. इसके जरिये आप बताते है कि आपके Sitemap का URL क्या है |
वैसे तो Robots.txt से directly कोई Security Thread नहीं आता है लेकिन Robots.txt फाइल Public होती है | कोई भी बन्दा आपके वेबसाइट URL के आगे Robots.txt लगाकर उसे आसानी से पढ़ सकता है |
मान लो आपकी वेबसाइट में कोई एक गुप्त फोल्डर है और उसे आप Publically नहीं दिखाना चाहते है तो आप उस फोल्डर के लिए Robots.txt फाइल में Disallow रूल सेट कर देते है और SEO के नज़रिये से ये एक दम परफेक्ट स्टेप है लेकिन इसी के साथ आप पूरी दुनिया को ये भी बता रहे हो की मेरी वेबसाइट पर ये एक Confidential Folder है और मैं इसे छुपाना चाहता हु और ये फिर से एक Attacker के लिए एक टारगेट बन जाता है कि इस फोल्डर में जो भी इनफार्मेशन है वो Useful और Valuable दोनों हो सकती है | यहाँ पर हमारे मन में ये सवाल जरुर आएगा कि Make Your Website Safe.
अब इस Issue का कोई Technical समाधान नहीं है लेकिन यहाँ पर आपको Planing करने कि जरुरत है | आपको अपनी वेबसाइट का Structure कुछ ऐसा बनाना होगा जिसमे आपकी वेबसाइट के जो Private Folders और Files है उनका नाम Directly आपकी Robots.txt फाइल ना आये| आपकी वेबसाइट में जो भी Private Areas है आपको उनकी Security को बढ़ाना होगा या आपको उन्हें किसी अलग Server पर रखना होगा जिससे आपकी वे फाइल्स Inaccessible हो जाये, जिससे आपकी Website protection Increase हो सके लेकिन Robots.txt में Publically अपनी Secret Files कि इनफार्मेशन मत फैलाईये |
Top 10 Website Issues के इस Issue को भी हम Steps के सहारे समझ सकते है –
A. अपनी Wordress Website को सिर्फ एक Password के सहारे मत छोडिये क्यूंकि आपका पासवर्ड लिक या चोरी हो सकता है या कॉपी किया जा सकता है | इसलिए ये जरुरी है की आप अपनी वेबसाइट में 2 Factor Authentication(2FA) को जरुर Use करे ताकि अगर आपका Password चोरी हो भी जाता है तो भी आपकी वेबसाइट में कोई Login ना कर पाए|
B. WordPress खुद से 2FA का फंक्शन नहीं देता है लेकिन ऐसे बहुत सारे Free Plugins है जो आपको 2 Factor Authentication कि सुविधा देते है | ऐसे किसी भी Free Plugin का use करके आप अपनी वेबसाइट में 2 Factor Authentication को ON करके आप अपनी वेबसाइट में एक और Security Layer जोड़ सकते है|
निष्कर्ष:
Website Security Checklist
तो दोस्तों ये थे वे Top 10 Website Issues जिन्हें आप अपनी वेबसाइट में Use करके अपनी वेबसाइट कि Security को Increase कर सकते है | आप इन सभी स्टेप्स को फॉलो अपनी wordpress वेबसाइट के लिए हैक होना मुश्किल बना सकते है | उपर बताये सभी स्टेप में से कोई भी काम ज्यादा मुश्किल नहीं है |
आप इन सभी Points को अपनी वेबसाइट में बड़ी आसानी से Implement कर सकते है, जो की आपको अच्छे Results ही प्रदान करेंगे | आपको हमेशा अपनी Website protection के बारे में सबसे पहले विचार करना चाहिए क्यूंकि यही आपके Bloggingके करियर का आधार है | Website Security के लिए लगभग सभी Options फ्री में Available है, जिनका आप फायदा उठा सकते है| इनके आलावा और भी Security Steps है जिन्हें आपको अपनी वेबसाइट में Use करना चाहिए लेकिन उनमे से जो सबसे जरुरी पॉइंट्स थे उनको हमने इस आर्टिकल मे Cover किये है |
अगर आपको लगता है की हमने कोई इम्पोर्टेन्ट स्टेप अपने इस आर्टिकल में Miss कर दिया है तो आप हमे Comment के माध्यम से जरुर बताये |
FAQ :
How to Secure a Website: 7 Simple Steps
– अपनी वेबसाइट में सबसे पहले SSL Certificate जरुर इनस्टॉल करे क्यूंकि ये हर वेबसाइट के लिए अनिवार्य होता है|
– अपनी वेबसाइट पर Anti- Malware Software का इस्तेमाल करे |
– अपने WordPress पासवर्ड को अटूट बनाने का प्रयास कीजिये |
– अपनी वेबसाइट या ब्लॉग को हमेशा Up To Update रखिये |
– अपनी वेबसाइट पर किसी भी प्रकार कि लापरवाही बरत कर Hackers कि मदद ना करे |
– अपनी वेबसाइट के आर्टिकल्स में आने वाली सभी Comments को आप Manually – — Accept करे | इससे आपकी वेबसाइट गलत प्रकार के कमेंट्स का शिकार नहीं होगी |
– अपनी वेबसाइट या ब्लॉग का हमेशा अपने पास Backup रखिये |
Why is website security important?
Hackers और साइबर चोरो तक सीक्रेट इनफार्मेशन को पहुँचने से रोकने के लिए Website Security अति-आवश्यक है | एक सक्रिय सुरक्षा Strategy के बिना, Business को मैलवेयर के प्रसार और वृद्धि, अन्य वेबसाइटों, नेटवर्कों और अन्य आईटी अवसंरचनाओं पर हमलों का Risk होता है। इसलिए अपनी वेबसाइट को Hackers कि और सेबार-बार आने वाले झटको से मुक्त करने के लिए उपर दिए गए स्टेप्स का अनुसरण करे |
