वर्डप्रेस साइट को सुरक्षित कैसे बनाएं

इन दिनों अपनी खुद की वर्डप्रेस(WordPress) साइट लॉन्च करना बहुत आसान है। दुर्भाग्य से, हैकर्स को आपकी साइट को लक्षित करना शुरू करने में देर नहीं लगेगी।

वर्डप्रेस(WordPress) साइट को सुरक्षित बनाने का सबसे अच्छा तरीका यह है कि वर्डप्रेस(WordPress) साइट चलाने से आने वाली भेद्यता के हर बिंदु को समझें । फिर उनमें से प्रत्येक बिंदु पर हैकर्स को ब्लॉक करने के लिए उपयुक्त सुरक्षा स्थापित करें।

इस लेख में आप सीखेंगे कि कैसे अपने डोमेन, अपने वर्डप्रेस लॉगिन और अपनी (WordPress)वर्डप्रेस(WordPress) साइट को सुरक्षित करने के लिए उपलब्ध टूल और प्लगइन्स को बेहतर तरीके से सुरक्षित किया जाए।

एक निजी डोमेन बनाएँ

इन दिनों एक उपलब्ध डोमेन खोजना(find an available domain) और उसे बहुत सस्ते दाम पर खरीदना बहुत आसान हो गया है। अधिकांश लोग अपने डोमेन के लिए कभी भी कोई डोमेन एडऑन नहीं खरीदते हैं। हालाँकि, एक ऐड-ऑन जिसे आपको हमेशा ध्यान में रखना चाहिए, वह है गोपनीयता सुरक्षा(Privacy Protection)

GoDaddy के साथ गोपनीयता सुरक्षा के तीन बुनियादी स्तर हैं , लेकिन ये अधिकांश डोमेन प्रदाताओं की पेशकशों से भी मेल खाते हैं।

  • बुनियादी : (Basic)WHOIS निर्देशिका से अपना नाम और संपर्क जानकारी छुपाएं । यह तभी उपलब्ध होता है जब आपकी सरकार आपको डोमेन संपर्क जानकारी छिपाने की अनुमति देती है।
  • पूर्ण(Full) : अपनी वास्तविक पहचान छिपाने के लिए अपनी स्वयं की जानकारी को किसी वैकल्पिक ईमेल पते और संपर्क जानकारी से बदलें।
  • अल्टीमेट(Ultimate) : अतिरिक्त सुरक्षा जो दुर्भावनापूर्ण डोमेन स्कैनिंग को रोकती है, और इसमें आपकी वास्तविक साइट के लिए वेबसाइट सुरक्षा निगरानी शामिल है।

आमतौर पर, अपने डोमेन को इन सुरक्षा स्तरों में से किसी एक में अपग्रेड करने के लिए बस अपने डोमेन लिस्टिंग पेज पर ड्रॉपडाउन से अपग्रेड करना चुनना होता है।

मूल(Basic) डोमेन सुरक्षा काफी सस्ती है (आमतौर पर लगभग $9.99/वर्ष), और उच्च स्तर की सुरक्षा अधिक महंगी नहीं होती है।

यह स्पैमर्स को आपकी संपर्क जानकारी को WHOIS डेटाबेस, या अन्य दुर्भावनापूर्ण इरादे से स्क्रैप करने से रोकने का एक शानदार तरीका है जो आपकी संपर्क जानकारी तक पहुंच प्राप्त करना चाहते हैं।

(Hide)wp-config.php और .htaccess फ़ाइलें छुपाएं

जब आप पहली बार वर्डप्रेस इंस्टॉल(install WordPress) करते हैं, तो आपको wp-config.php फाइल में  अपने वर्डप्रेस SQL(WordPress SQL) ​​डेटाबेस के लिए एडमिनिस्ट्रेटिव आईडी और पासवर्ड को शामिल करना होगा ।

स्थापना के बाद वह डेटा एन्क्रिप्ट हो जाता है, लेकिन आप हैकर्स को इस फ़ाइल को संपादित करने और अपनी वेबसाइट को तोड़ने में सक्षम होने से रोकना चाहते हैं। ऐसा करने के लिए, अपनी साइट के रूट फोल्डर पर .htaccess फ़ाइल को ढूँढें और संपादित करें और फ़ाइल के नीचे निम्न कोड जोड़ें।

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

.htaccess में परिवर्तन को रोकने के लिए, फ़ाइल के निचले भाग में भी निम्नलिखित जोड़ें।

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

फ़ाइल सहेजें और फ़ाइल संपादक से बाहर निकलें।

आप प्रत्येक फ़ाइल पर राइट-क्लिक करने और सभी के लिए राइट(Write) एक्सेस को पूरी तरह से हटाने के लिए अनुमतियों को बदलने पर भी विचार कर सकते हैं ।

wp-config.php फ़ाइल पर ऐसा करते समय कोई समस्या नहीं होनी चाहिए, इसे .htaccess पर करने से समस्याएँ हो सकती हैं। विशेष रूप से यदि आप कोई सुरक्षा वर्डप्रेस(WordPress) प्लगइन्स चला रहे हैं जिसे आपके लिए .htaccess फ़ाइल को संपादित करने की आवश्यकता हो सकती है।

यदि आपको वर्डप्रेस(WordPress) से कोई त्रुटि प्राप्त होती है , तो आप .htaccess फ़ाइल पर फिर से लिखने(Write) की अनुमति देने के लिए अनुमतियों को हमेशा अपडेट कर सकते हैं ।

अपना वर्डप्रेस लॉगिन यूआरएल बदलें

चूंकि हर वर्डप्रेस(WordPress) साइट के लिए डिफ़ॉल्ट लॉगिन पेज yourdomain/wp-admin.php है, हैकर्स इस यूआरएल का इस्तेमाल आपकी साइट को हैक करने की कोशिश करने के लिए करेंगे।

वे इसे "ब्रूट फोर्स" हमलों के रूप में जाना जाता है, जहां वे विशिष्ट उपयोगकर्ता नाम और पासवर्ड की विविधताएं भेजेंगे जो आमतौर पर कई लोग उपयोग करते हैं। हैकर्स उम्मीद करते हैं कि वे भाग्यशाली होंगे और सही संयोजन प्राप्त करेंगे।

आप अपने WordPress लॉगिन URL(WordPress login URL) को कुछ गैर-मानक में बदलकर इन हमलों को पूरी तरह से रोक सकते हैं ।

ऐसा करने में आपकी मदद करने के लिए बहुत सारे वर्डप्रेस(WordPress) प्लगइन्स हैं। WPS Hide Login सबसे आम में से एक है ।

यह प्लगइन वर्डप्रेस में सेटिंग्स के तहत (Settings)सामान्य(General) टैब में एक सेक्शन जोड़ता है ।

वहां, आप अपनी इच्छानुसार कोई भी लॉगिन URL टाइप कर सकते हैं और इसे सक्रिय करने के लिए परिवर्तन सहेजें(Save Changes) का चयन कर सकते हैं। अगली बार जब आप अपनी वर्डप्रेस(WordPress) साइट में लॉग इन करना चाहें, तो इस नए URL का उपयोग करें ।

यदि कोई आपके पुराने wp-admin URL को एक्सेस करने का प्रयास करता है , तो वे आपकी साइट के 404 पेज पर रीडायरेक्ट हो जाएंगे।

नोट(Note) : यदि आप कैश प्लग इन का उपयोग करते हैं, तो सुनिश्चित करें कि आपका नया लॉगिन URL उन साइटों की सूची में शामिल है जिन्हें कैश नहीं करना है। (not)फिर अपनी वर्डप्रेस(WordPress) साइट पर फिर से लॉग इन करने से पहले कैशे को शुद्ध करना सुनिश्चित करें।

वर्डप्रेस सुरक्षा प्लगइन स्थापित करें

चुनने के लिए बहुत सारे वर्डप्रेस सुरक्षा प्लगइन्स(WordPress security plugins) हैं। उन सभी में से, Wordfence अच्छे कारणों से सबसे अधिक डाउनलोड किया जाने वाला एक है।

Wordfence के मुफ्त संस्करण में एक शक्तिशाली स्कैन इंजन शामिल है जो पिछले दरवाजे के खतरों, आपके प्लगइन्स में(malicious code in your plugins) या आपकी साइट पर दुर्भावनापूर्ण कोड, MySQL इंजेक्शन खतरों और बहुत कुछ की तलाश करता है। इसमें डीडीओएस(DDOS) हमलों  जैसे सक्रिय खतरों को रोकने के लिए फ़ायरवॉल भी शामिल है ।

यह आपको लॉगिन प्रयासों को सीमित करके और बहुत से गलत लॉगिन प्रयास करने वाले उपयोगकर्ताओं को लॉक करके क्रूर बल के हमलों को रोकने देगा।

मुफ्त संस्करण में काफी कुछ सेटिंग्स उपलब्ध हैं। छोटी से मध्यम वेबसाइटों को अधिकांश हमलों से बचाने के लिए पर्याप्त से अधिक।

एक उपयोगी डैशबोर्ड पृष्ठ भी है जिसकी समीक्षा आप हाल के खतरों और अवरुद्ध किए गए हमलों की निगरानी के लिए कर सकते हैं।

वर्डप्रेस पासवर्ड जेनरेटर(WordPress Password Generator) और 2FA का प्रयोग करें

आखिरी चीज जो आप चाहते हैं वह है हैकर्स के लिए आपके पासवर्ड का आसानी से अनुमान लगाना। दुर्भाग्य से, बहुत से लोग बहुत ही सरल पासवर्ड का उपयोग करते हैं जिनका अनुमान लगाना आसान होता है। कुछ उदाहरणों में वेबसाइट के नाम या पासवर्ड के हिस्से के रूप में उपयोगकर्ता के स्वयं के नाम का उपयोग करना, या किसी विशेष वर्ण का उपयोग न करना शामिल है।

यदि आपने वर्डप्रेस के नवीनतम संस्करण में अपग्रेड किया है, तो आपके पास अपनी (WordPress)वर्डप्रेस(WordPress) साइट  को सुरक्षित करने के लिए शक्तिशाली पासवर्ड सुरक्षा टूल तक पहुंच है ।

अपनी पासवर्ड सुरक्षा को बेहतर बनाने के लिए पहला कदम यह है कि आप अपनी साइट के प्रत्येक उपयोगकर्ता के पास जाएं, खाता प्रबंधन(Account Management) अनुभाग तक नीचे स्क्रॉल करें, और पासवर्ड जेनरेट(Generate Password) करें बटन का चयन करें।

यह एक लंबा, बहुत सुरक्षित पासवर्ड उत्पन्न करेगा जिसमें अक्षर, संख्याएं और विशेष वर्ण शामिल हैं। इस पासवर्ड को कहीं सुरक्षित रखें, अधिमानतः किसी बाहरी ड्राइव पर किसी दस्तावेज़ में जिसे आप ऑनलाइन रहते हुए अपने कंप्यूटर से डिस्कनेक्ट कर सकते हैं।

यह सुनिश्चित करने के लिए कि सभी सक्रिय सत्र बंद हैं, हर जगह लॉग आउट(Log Out Everywhere Else) करें चुनें ।

अंत में, यदि आपने Wordfence सुरक्षा प्लगइन स्थापित किया है, तो आपको एक सक्रिय 2FA(Activate 2FA) बटन दिखाई देगा। अपने उपयोगकर्ता लॉगिन के लिए दो-कारक प्रमाणीकरण सक्षम करने के लिए इसे चुनें।

यदि आप Wordfence का उपयोग नहीं कर रहे हैं , तो आपको इनमें से कोई भी लोकप्रिय 2FA प्लग इन इंस्टॉल करना होगा।

अन्य महत्वपूर्ण सुरक्षा विचार(Important Security Considerations)

अपनी वर्डप्रेस(WordPress) साइट को पूरी तरह से सुरक्षित करने के लिए आप कुछ और चीजें कर सकते हैं ।

वर्डप्रेस प्लगइन्स और (WordPress plugins)वर्डप्रेस(WordPress) के संस्करण दोनों को हर समय अपडेट किया जाना चाहिए। हैकर्स अक्सर आपकी साइट पर कोड के पुराने संस्करणों में कमजोरियों का फायदा उठाने की कोशिश करते हैं। यदि आप इन दोनों को अपडेट नहीं करते हैं, तो आप अपनी साइट को जोखिम में डाल रहे हैं।

1. अपने WordPress व्यवस्थापक पैनल में नियमित रूप से प्लगइन्स(Plugins) और इंस्टॉल किए गए प्लगइन्स का चयन करें। (Installed Plugins)स्थिति के लिए सभी प्लगइन्स की समीक्षा करें(Review) जो कहते हैं कि एक नया संस्करण उपलब्ध है।

जब आपको कोई पुराना दिखाई दे, तो अभी अपडेट(update now) करें चुनें । आप अपने प्लग इन के लिए ऑटो-अपडेट सक्षम करें का चयन करने पर भी विचार कर सकते हैं। 

हालाँकि, कुछ लोग ऐसा करने से सावधान रहते हैं क्योंकि प्लगइन अपडेट कभी-कभी आपकी साइट या थीम को तोड़ सकते हैं। इसलिए अपनी लाइव साइट पर सक्षम करने से पहले स्थानीय वर्डप्रेस परीक्षण साइट(local WordPress test site) पर प्लगइन अपडेट का परीक्षण करना हमेशा एक अच्छा विचार है ।

2. जब आप अपने वर्डप्रेस(WordPress) डैशबोर्ड में लॉग इन करते हैं, तो आपको एक सूचना दिखाई देगी कि यदि आप एक पुराना संस्करण चला रहे हैं तो वर्डप्रेस पुराना हो गया है।(WordPress)

फिर से, साइट का बैकअप लें और इसे अपने पीसी पर एक स्थानीय परीक्षण साइट पर लोड करें ताकि यह परीक्षण किया जा सके कि वर्डप्रेस(WordPress) अपडेट आपकी साइट को आपकी लाइव वेबसाइट पर अपडेट करने से पहले नहीं तोड़ता है।

3. अपने वेब होस्ट की मुफ्त सुरक्षा सुविधाओं का लाभ उठाएं। अधिकांश वेब होस्ट आपके द्वारा वहां होस्ट की जाने वाली साइटों के लिए विभिन्न प्रकार की निःशुल्क सुरक्षा सेवाएं प्रदान करते हैं। वे ऐसा इसलिए करते हैं क्योंकि यह न केवल आपकी साइट की सुरक्षा करता है, बल्कि यह पूरे सर्वर को सुरक्षित रखता है। यह विशेष रूप से तब महत्वपूर्ण होता है जब आप एक साझा होस्टिंग खाते पर होते हैं जहां अन्य क्लाइंट की वेबसाइटें उसी सर्वर पर होती हैं।

इनमें अक्सर आपकी साइट के लिए मुफ्त एसएसएल सुरक्षा(free SSL security) इंस्टॉल, मुफ्त बैकअप(free backups) , दुर्भावनापूर्ण आईपी पते को ब्लॉक करने की क्षमता और यहां तक ​​कि एक मुफ्त साइट स्कैनर भी शामिल होता है जो किसी भी दुर्भावनापूर्ण कोड या कमजोरियों के लिए आपकी साइट को नियमित रूप से स्कैन करेगा।

वेबसाइट चलाना कभी भी उतना आसान नहीं होता जितना कि वर्डप्रेस(WordPress) इंस्टाल करना और सिर्फ कंटेंट पोस्ट करना। अपनी वर्डप्रेस(WordPress) वेबसाइट को यथासंभव सुरक्षित बनाना महत्वपूर्ण है। उपरोक्त सभी टिप्स आपको बिना ज्यादा मेहनत किए ऐसा करने में मदद कर सकते हैं।



Vicky Krishnan

About the author

मैं 10 से अधिक वर्षों के अनुभव के साथ एक कंप्यूटर पेशेवर हूं। अपने खाली समय में, मुझे ऑफिस डेस्क पर मदद करना और बच्चों को इंटरनेट का उपयोग करना सिखाना पसंद है। मेरे कौशल में बहुत सी चीजें शामिल हैं, लेकिन सबसे महत्वपूर्ण बात यह है कि मुझे पता है कि लोगों को समस्याओं को हल करने में कैसे मदद करनी है। अगर आपको किसी ऐसे व्यक्ति की ज़रूरत है जो आपकी किसी अत्यावश्यक चीज़ में मदद कर सके या बस कुछ बुनियादी सुझाव चाहते हों, तो कृपया मुझसे संपर्क करें!


Related posts