RevealTheme logo

गाइड · अपडेट किया गया 2026

WordPress सुरक्षा जाँच-सूची: 30 चरण जो वास्तव में मायने रखते हैं

अधिकांश WordPress सुरक्षा सलाह सामान्य, भयभीत करने वाली और जो वास्तव में मायने रखता है उसे भूल जाने वाली होती है। यह सूची सुरक्षा उपायों को वास्तविक प्रभाव के अनुसार क्रमबद्ध करती है, WordPress साइटों के विरुद्ध उपयोग किए जाने वाले वास्तविक हमले पैटर्न (ब्रूट फ़ोर्स, भेद्य प्लगइन्स, कमज़ोर क्रेडेंशियल, पुराने कोर) पर आधारित।

5 आवश्यक: इन्हें पहले करें

  1. WordPress कोर, थीम और प्लगइन्स को अपडेट रखें। भेद्य प्लगइन्स हमले का वेक्टर नंबर 1 हैं। माइनर संस्करण के स्वचालित अपडेट सक्षम करें (WordPress 5.6+ इसे डिफ़ॉल्ट रूप से करता है)। मेजर संस्करणों के लिए, रिलीज़ के 7 दिनों के भीतर अपडेट करें। प्लगइन्स के लिए, विश्वसनीय वालों का स्वचालित अपडेट सक्षम करें; महत्वपूर्ण प्लगइन्स के रिलीज़ नोट्स की मैन्युअल रूप से समीक्षा करें।
  2. हर WordPress खाते के लिए मज़बूत, अद्वितीय पासवर्ड का उपयोग करें। विशेष रूप से एडमिन वाले। एक पासवर्ड मैनेजर (1Password, Bitwarden) का उपयोग करें। «admin» उपयोगकर्ता नाम निष्क्रिय करें: एक नया एडमिन बनाएँ और पुराने को हटा दें।
  3. दो-कारक प्रमाणीकरण सक्षम करें। Wordfence Login Security (मुफ़्त) या किसी भी TOTP ऐप के साथ हमारे 2FA QR जनरेटर का उपयोग करें। 2FA क्रेडेंशियल स्टफ़िंग हमलों के 99% से अधिक को विफल कर देता है।
  4. एक विश्वसनीय सुरक्षा प्लगइन इंस्टॉल करें। Wordfence (मुफ़्त संस्करण अधिकांश साइटों के लिए पर्याप्त है) या Solid Security। कई न जमाएँ: वे टकराते हैं। प्लगइन लॉगिन प्रयास सीमा, फ़ाइल अखंडता निगरानी और मैलवेयर स्कैनिंग का प्रबंधन करता है।
  5. दैनिक ऑफ़-साइट बैकअप। UpdraftPlus → Dropbox/Google Drive। बैकअप की ज़रूरत पड़ने से पहले लें। पुनर्स्थापना प्रक्रिया का कम से कम एक बार परीक्षण करें।

अगले 10: अतिरिक्त उच्च-प्रभाव उपाय

  1. HTTPS लागू करें। Let's Encrypt हर आधुनिक होस्टिंग पर मुफ़्त है। HTTP को सर्वर स्तर पर HTTPS पर रीडायरेक्ट करें।
  2. डेटाबेस टेबल प्रीफ़िक्स बदलें। WordPress डिफ़ॉल्ट रूप से wp_ का उपयोग करता है; इंस्टॉलेशन के दौरान इसे कुछ कस्टम में बदलें। यह हमलों को नहीं रोकता, पर कुछ हमले पैटर्न को कठिन बनाता है।
  3. यदि उपयोग न करें तो XML-RPC निष्क्रिय करें। XML-RPC ब्रूट-फ़ोर्स एम्प्लीफ़िकेशन का एक सामान्य वेक्टर है। यदि आप Jetpack मोबाइल ऐप या रिमोट पब्लिशिंग का उपयोग नहीं करते, तो इसे .htaccess या एक प्लगइन के माध्यम से निष्क्रिय करें।
  4. लॉगिन प्रयास सीमित करें। Wordfence इसे स्वचालित रूप से करता है। यह ब्रूट-फ़ोर्स क्रेडेंशियल स्टफ़िंग को रोकता है।
  5. WordPress प्रमाणीकरण कुंजियाँ/salts रोटेट करें। हमारे WordPress Salt जनरेटर का उपयोग करें। किसी भी संदिग्ध समझौते के बाद, किसी समझौता किए गए एडमिन को हटाने के बाद और हर 6-12 महीनों में नियमित रूप से इन्हें रोटेट करें।
  6. फ़ाइल स्थानांतरण के लिए SSH या SFTP का उपयोग करें, कभी सादा FTP नहीं। FTP क्रेडेंशियल को सादे टेक्स्ट में प्रसारित करता है।
  7. यदि संभव हो तो IP द्वारा wp-admin एक्सेस प्रतिबंधित करें। यदि आपकी टीम स्थिर IP (कार्यालय, VPN) का उपयोग करती है, तो wp-admin को केवल उन IP तक सीमित करें। .htaccess या Nginx कॉन्फ़िगरेशन के माध्यम से।
  8. wp-config.php में फ़ाइल संपादन निष्क्रिय करें। जोड़ें: define('DISALLOW_FILE_EDIT', true); यदि वे किसी खाते से समझौता कर लें तो हमलावरों को पैनल से थीम/प्लगइन्स संपादित करने से रोकता है।
  9. WordPress संस्करण संख्या छिपाएँ। meta generator टैग हटाएँ। यह हमलों को नहीं रोकता, पर फ़िंगरप्रिंटिंग कम करता है।
  10. फ़ाइल अनुमतियाँ लॉक करें। फ़ाइलें 644, डायरेक्टरी 755, wp-config.php 600। अधिकांश प्रबंधित होस्टिंग इसे स्वचालित रूप से करती हैं; VPS पर, इसे स्पष्ट रूप से कॉन्फ़िगर करें।

परिष्करण: अच्छा पर महत्वपूर्ण नहीं

  1. कस्टम लॉगिन URL (जैसे, WPS Hide Login)। यह मुख्य रूप से बॉट ट्रैफ़िक का शोर कम करता है; वास्तविक सुरक्षा नहीं।
  2. लॉगिन फ़ॉर्म पर CAPTCHA। स्वचालित हमलों के लिए हल्का घर्षण।
  3. /uploads/ में PHP निष्पादन निष्क्रिय करें। अपलोड किए गए PHP शेल को चलने से रोकता है।
  4. Cloudflare WAF (मुफ़्त स्तर) का उपयोग करें। आपके सर्वर तक पहुँचने से पहले दुर्भावनापूर्ण ट्रैफ़िक फ़िल्टर करता है।
  5. प्लगइन/कोर अपडेट के लिए एडमिन ईमेल अलर्ट कॉन्फ़िगर करें।
  6. ब्राउज़र स्तर पर HTTPS लागू करने के लिए HSTS प्रीलोड का उपयोग करें।
  7. REST API के माध्यम से उपयोगकर्ता गणना निष्क्रिय करें (Solid Security या Wordfence इसे संभालते हैं)।
  8. Content Security Policy (CSP) हेडर का उपयोग करें।
  9. डायरेक्टरी ब्राउज़िंग निष्क्रिय करें (अधिकांश होस्टिंग इसे डिफ़ॉल्ट रूप से करती हैं)।
  10. किसी बाहरी सेवा के साथ अपटाइम + अखंडता की निगरानी करें (UptimeRobot मुफ़्त स्तर + साप्ताहिक Sucuri SiteCheck)।
  11. उपयोगकर्ता भूमिकाओं को न्यूनतम विशेषाधिकार तक सीमित करें। अधिकांश योगदानकर्ताओं को एडिटर-स्तरीय एक्सेस की ज़रूरत नहीं होती।
  12. डेटाबेस बैकअप एन्क्रिप्शन (UpdraftPlus Premium इसे प्रदान करता है)।
  13. CDN के माध्यम से डोमेन के बाहर इमेज होस्टिंग (हमले की सतह कम करता है)।
  14. सुरक्षा ऑडिट लॉग की आवधिक समीक्षा।
  15. यदि साइट महत्वपूर्ण राजस्व उत्पन्न करती है तो वार्षिक पेनिट्रेशन टेस्ट।

WordPress सुरक्षा मिथक: इन्हें छोड़ें

कई अत्यधिक-अनुशंसित «सुरक्षा» उपाय न्यूनतम वास्तविक सुरक्षा प्रदान करते हैं: (1) «WordPress संस्करण छिपाएँ»: आपका संस्करण जानना लक्षित हमलों में थोड़ी मदद करता है, पर वास्तविक समाधान अपडेट करना है, छिपाना नहीं। (2) «wp-config.php को public_html के ऊपर ले जाएँ»: मूल रूप से शून्य सुरक्षा लाभ देता है; फ़ाइल पहले से ही .htaccess द्वारा संरक्षित है। (3) «REST API निष्क्रिय करें»: कई प्लगइन्स को तोड़ देता है और थोड़ा ही रोकता है। इसके बजाय विशिष्ट एंडपॉइंट सीमित करें। (4) «कई सुरक्षा प्लगइन्स जमाएँ»: वे टकराते हैं और ओवरलैप करते हैं। एक विश्वसनीय प्लगइन (Wordfence या Solid Security) वह कवर करता है जो तीन करते। (5) «wp-login.php का नाम बदलें»: अस्पष्टता के माध्यम से सुरक्षा; हमलावर रीडायरेक्ट के माध्यम से नया URL आसानी से ढूँढ लेते हैं।

यदि आप हैक हो गए हैं: पुनर्प्राप्ति सूची

  1. घबराएँ नहीं; तुरंत चीज़ें न हटाएँ। फ़ॉरेंसिक विश्लेषण के लिए पहले वर्तमान स्थिति का स्नैपशॉट लें।
  2. साइट को ऑफ़लाइन करें (मेंटेनेंस मोड प्लगइन या किसी स्टैटिक पेज पर .htaccess रीडायरेक्ट)।
  3. सभी एडमिन पासवर्ड बदलें और WordPress salts रोटेट करें।
  4. उपयोगकर्ता खातों का ऑडिट करें: अपरिचित एडमिन खातों को तुरंत हटाएँ।
  5. Wordfence Premium या Sucuri के साथ मैलवेयर के लिए स्कैन करें।
  6. वर्तमान फ़ाइलों की तुलना WordPress के एक साफ़ डाउनलोड से करें: diff संशोधित कोर फ़ाइलों को प्रकट करता है।
  7. अप्रत्याशित प्रविष्टियों के लिए डेटाबेस की wp_options टेबल की समीक्षा करें (अक्सर इंजेक्ट किया गया JS होता है)।
  8. सबसे हालिया साफ़ बैकअप से पुनर्स्थापित करें (इसीलिए दैनिक बैकअप मायने रखते हैं)।
  9. पुनर्स्थापना के बाद, हर प्लगइन का ऑडिट करें: अप्रयुक्त हटाएँ, सभी अपडेट करें और सार्वजनिक CVE वाले किसी भी प्लगइन को बदलें।
  10. WordPress कोर को नवीनतम संस्करण में अपडेट करें।
  11. साइट को फिर से सक्षम करें और 30 दिनों तक पुनः-संक्रमण पर नज़र रखें।
अभी नए WordPress salts जनरेट करें

अक्सर पूछे जाने वाले प्रश्न

क्या WordPress अन्य CMS की तुलना में कम सुरक्षित है?
स्वाभाविक रूप से नहीं। सुरक्षा जोखिम के रूप में WordPress की प्रतिष्ठा दो कारकों से आती है: यह वेब के 43% को चलाता है, इसलिए हमलावर इसे लक्षित करते हैं; और सामान्य उपयोगकर्ता बिना ऑडिट किए भेद्य प्लगइन्स इंस्टॉल करते हैं। सत्यापित प्लगइन्स के साथ एक रखरखाव की गई WordPress साइट Drupal या Joomla जितनी ही सुरक्षित है। 30 पुराने प्लगइन्स वाली एक परित्यक्त WordPress साइट एक आसान निशाना है।
क्या मुझे भुगतान किए गए सुरक्षा प्लगइन की ज़रूरत है?
अधिकांश साइटों को नहीं। Wordfence Free वह कवर करता है जिसकी 90% WordPress साइटों को ज़रूरत होती है: फ़ायरवॉल, मैलवेयर स्कैनिंग, लॉगिन सुरक्षा, फ़ाइल अखंडता। Premium संस्करण रियल-टाइम खतरा अपडेट (बनाम 30-दिन की देरी), देश-वार ब्लॉकिंग और प्राथमिकता सपोर्ट जोड़ता है: वास्तविक राजस्व वाली साइटों के लिए लायक, अन्य मामलों में वैकल्पिक।
मुझे WordPress कितनी बार अपडेट करना चाहिए?
माइनर संस्करण (5.6.1 → 5.6.2): स्वचालित रूप से, तुरंत। मेजर संस्करण (5.x → 6.x): रिलीज़ के 7 दिनों के भीतर। प्लगइन अपडेट: साप्ताहिक समीक्षा; यदि आपके पास बैकअप है तो स्वचालित अपडेट; महत्वपूर्ण प्लगइन्स (सुरक्षा, ई-कॉमर्स, कस्टम कोड) के लिए मैन्युअल समीक्षा।
WordPress साइटें सबसे आम तरीके से कैसे हैक होती हैं?
भेद्य प्लगइन्स, जो Wordfence की वार्षिक रिपोर्टों के अनुसार सफल WordPress हमलों के ~55% के लिए ज़िम्मेदार हैं। प्लगइन के कोड में ही एक भेद्यता होती है जिसका हमलावर शोषण करता है। शमन: प्लगइन्स को अपडेट रखें, अप्रयुक्त हटाएँ और केवल विश्वसनीय डेवलपर्स के प्लगइन्स इंस्टॉल करें।
क्या मुझे एकीकृत WordPress सुरक्षा वाली होस्टिंग का उपयोग करना चाहिए?
प्रबंधित WordPress होस्टिंग (Kinsta, WP Engine, Pressable) में WAF, मैलवेयर स्कैनिंग और स्वचालित कोर अपडेट शामिल हैं: महत्वपूर्ण जोड़। वे प्रीमियम मूल्य को उचित ठहराते हैं या नहीं यह आपके ट्रैफ़िक और ख़तरा प्रोफ़ाइल पर निर्भर करता है। एक छोटे-व्यवसाय की साइट के लिए, शेयर्ड होस्टिंग पर एक मुफ़्त Wordfence इंस्टॉलेशन अधिकांश ख़तरों को कवर करता है।

संबंधित पठन

अपडेट के लिए सब्सक्राइब करें

हम आपका ईमेल नहीं बेचते। हम स्पैम नहीं करते।

© 2026 RevealTheme. All rights reserved.