Tips Wordpress WordPress လုံခြုံရေးဆိုင်ရာ နည်းလမ်းများ (၂)

WordPress လုံခြုံရေးဆိုင်ရာ နည်းလမ်းများ (၂)

July 1, 2010Wordpress

ကိုသီဟက Article တွေဖက် အာရုံစိုက် နေရတဲ့အတွက် WordPress Security နောက်ဆက်တွဲကို ကျွန်တော်ဖက် လွှဲပေးလိုက်ပါတယ်။ ကိုသီဟရဲ့ Article ဖြစ်တဲ့ WordPress လုံခြံုရေးဆိုင်ရာ နည်းလမ်းများ မှာ WordPress လုံးခြံုရေးအတွက် လိုက်နာသင့်တဲ့ အချက် (၇) ချက်ကို ပြောပြထား ပြီးပါပြီ။ အချက် နှစ်ခုကိုလဲ ရှင်းပြ ထားပြီးပါပြီ။ အခု ကျွန်တော်က ကျန်တဲ့ (၅) ချက်ကို ဆက်ရှင်းပါမယ်။

(၃) ကိုယ်ဆိုက်ထဲ ဝင်ရောက် အသုံးပြုခွင့်ကို permissions, robots.txt, .htaccess စတာတွေနဲ့ ကန့်သတ်ပါ

၉၅ ရာခိုင်နှုန်းသော WordPress Web Sites တွေက Apache Web Server ကို သုံးပြီး Linux Server ပေါ်မှာ Run နေကြတာ ဖြစ်ပါတယ်။ ဒီတော့ .htaccess ဆိုတဲ့ ဖိုင်ထဲမှာ mod_rewrite rule ကို အသုံးချပြီး ပြန်ရေးဖို့လိုပါတယ်။ အဲဒီလို ပြန်ရေးလိုက် ခြင်းအားဖြင့် လုံခြံုရေးဆိုင်ရာမှာ ပိုပြီး ကောင်းမွန် လာစေပါတယ်။ အဲဒီလို ရေးဖို့အတွက် ဒီနေရာမှာ သွားပြီး ဖတ်နိုင်ပါတယ်။

robots.txt ဆိုတဲ့ ဖိုင်ကလည်း Search Engine တွေရဲ့ Crawler bot တွေကို ကိုယ့်ရဲ့ Site မှာရှိတဲ့ ဘယ် Directory ကိုတော့ Index လုပ်ခွင့် ပေးမယ်/ မပေးဘူး ဆိုတာတွေ ကန့်သတ်ပေးလို့ရပါတယ်။ robots.txt file က ကိုယ့်ဆိုက်ရဲ့ root directory (www.yoursite.com/robots.txt) မှာ ရှိရမှာဖြစ်ပါတယ်။ အောက်မှာ robots.txt file ရဲ့ နမူနာကို ကြည့်ပါ။

User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: /feed
Disallow: /comments
Disallow: /category/*/*
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Disallow: /*?*
Disallow: /*?
Allow: /wp-content/uploads

# Google Image
User-agent: Googlebot-Image
Disallow:
Allow: /*

# Google AdSense
User-agent: Mediapartners-Google*
Disallow:
Allow: /*

# digg mirror
User-agent: duggmirror
Disallow: /

Sitemap: http://www.example.com/sitemap.xml

ဒီနေရာမှာ User-agent: ဆိုတာက Crawler bot အမျိုးအစားတွေကို ပြောတာပါ။  * ဆိုတော့ အားလုံးလို့ ဆိုလိုပါတယ်။ Dissallow: ဆိုတော့ Index လုပ်ခွင့်မပေးဘူး။ /wp-admin ဆိုတော့ wp-admin directory ကိုပေါ့။ နားလည်ကြမှာပါ။

(၄) ကိုယ့် Web Host ရဲ့ Security ပိုင်းကို စစ်ဆေးပါ

Web Host တွေရဲ့ Security က သူတို့ကို ပေးရတဲ့ တန်ဖိုးနဲ့ မသက်ဆိုင်ပါဖူး။ စျေးကြီးတိုင်း ကောင်းတာ မဟုတ်ပါဖူး။ တကယ်လို့ ကိုယ့်မှာ host တစ်ခုရှိမယ်၊ ဒါမှမဟုတ် host တစ်ခု ဝယ်ဖို့ စဉ်းစားနေတယ်ဆိုရင် အရင်ဆုံး အဲဒီ host နဲ့ ပတ်သက်လို့ ရေးထားတဲ့ ဆိုးကွက်တွေ ရှိမရှိ Google မှာ အရင်ရှာဖတ်ပါ။ ဘယ်လိုရှာမလဲဆိုတော့ ဥပမာ hosting company က Hostmonster ဆိုပါတော့၊ Google မှာ “hostmonster sucks”, “hostmonster hacked” စသည်ဖြင့် ရှာကြည့်ပါ။ သူနဲ့ဆိုင်တဲ့ ပြသနာတွေ အချိန်နည်းနည်း ပေးပြီး လိုက်ဖတ်ကြည့်ပါ။ နောက်ပီးတော့ လက်ရှိ (သို့) ဝယ်ဖို့ စိတ်ကူးနေတဲ့ hosting company ကို ဆက်သွယ်ပြီး အောက်ပါ ရေးကြီးတဲ့ မေးခွန်းတွေ မေးပါ။

  • Backup တွေကို ဘယ်လောက်ကြာကြာမှာ ပုံမှန်လုပ်သလဲ။ (တကယ်လို့ ကိုယ့်ဆိုက် hack ခံထိတယ် ဆိုရင်တောင်မှ latest data တွေ မြန်မြန် restore လုပ်လို့ ရအောင်ပါ)
    • Backup တွေကို ဘယ်လောက်ကြာကြာထိ သိမ်းပေးထားလဲ။
    • နေ့တစ်နေ့ရဲ့ ဘယ်အချိန်မှာ Backup လုပ်သလဲ။
    • Restore ပြန်လုပ်တဲ့ အခါမှာ ကိုယ်ကြိုက်တဲ့ နေ့ရက်၊ အချိန် စတာတွေ ပေးလို့ရသလား။
  • “SFTP” or “Secure FTP” ကို support လုပ်သလား။
  • Apache server က page တွေ အတွက် ဘယ်လို အကောင့်မျိုးကို သုံးတာလဲ။ “www-data” လား။ (ဒီအမျိုးအစားကို သုံးမှ shared hosting တွေမှာ cross-account attack တွေကို ကာကွယ်ပေးနိုင်မှာ ဖြစ်ပါတယ်။)
  • MySQL server က ဒီ Web server တစ်လုံးထဲပေါ်မှာ Run တာလား။ (ပိုကောင်းတဲ့ host တွေက MySQL server ကို တခြား server တစ်လုံးနဲ့ ပေးတတ် ကြပါတယ်)
  • Host က “777″ file permission (writable by all groups) ကို ခွင့်ပြုသလား။ အဲဒါက အရမ်း အန္တရာယ် များတဲ့အပြင် လိုလဲ မလိုအပ်ပါဖူး။ ပုံမှန်အားဖြင့် “755″ permission ဆိုရင် website တိုင်းအတွက် လုံလောက်ပါပီ။
  • တခြား web site က virus တွေ ကိုယ့်ဆီမှာ လာကူးနိုင်သလား။ မကူးနိုင်ပါဘူးပြောရင် ဘာလို့လဲ ဆက်မေးပါ။ အဲဒါကို ကောင်းကောင်း ရှင်းမပြနိုင်ရင်တော့ သူတို့နဲ့ အလုပ်မလုပ်တာ အကောင်းဆုံးပါ။

အဲဒါတွေအပြင် တစ်ခုခု ပြဿနာဖြစ်ခဲ့ရင် 24/7 support ပေးရဲ့လား။ Live chat 24/7 ရရဲ့လား ဆိုတာတွေလဲ သေချာအောင် မေးသင့်ပါတယ်။

(၅) user names တွေ passwords တွေနဲ့ login တွေကို ပိုပြီး လုံခြံုစိတ်ချရအောင် စစ်ဆေးပါ

Username နဲ့ Password တွေ အရေးကြီးတယ် ဆိုတာကိုတော့ အားလုံး သိကြပြီးသား ဖြစ်မှာပါ။ WordPress site တစ်ခု အတွက်အနေနဲ့ အကျဉ်း ထပ်ပြောချင်ပါတယ်။

Default အနေနဲ့ WordPress site တွေမှာ “Admin” ဆိုတဲ့ အကောင့်နဲ့ စပါတယ်။ အဲဒီအကောင့် ရှိနေမှန်းကို Hacker တွေမပြောနဲ့ ကျွန်တော်တို့လို ဘာမဟုတ်တဲ့ သူတွေတောင် သိပါတယ်။ အဲဒီတော့ ပထမဆုံး လုပ်ရမှာက Administrator access ရတဲ့ အကောင့် အသစ်တစ်ခု ဆောက်ပါ။ ပြီးရင် အဲဒီ အကောင့်အသစ်နဲ့ ဝင်ပြီး Default Admin account ကို ဖျက်လိုက်ပါ။

Username ပေးတဲ့အခါမှာလဲ password မှာလိုပဲ letter တွေ number တွေ ရောပေးတာ ပိုကောင်းပါတယ်။ Username ကိုပါ မခန့်မှန်းနိုင်လေ ပိုကောင်းလေပါပဲ။ ၈ လုံးနဲ့ အထက်လောက် ထားပေးပါ။ အဲဒီ username ကလဲ unique ဖြစ်ပါစေ။ ဆိုလိုတာက တခြား email, cpanel, MySQL database login တွေနဲ့ မတူပါစေနဲ့။

Password strong ဖြစ်ဖို့အတွက်ကတော့ ၈ လုံးနဲ့ အထက်ပေးပြီး capital and small letter, numbers and special character တွေ ရောပေးပါ။ Strong password အကြောင်း အသေးစိတ်ကို ှQ&A က strong password ဖြစ်အောင်ဘယ်လိုလုပ်မလဲ ပို့စ်မှာ သွားဖတ်ကြည့်လိုက်ပါ။ username တုန်းကလိုပါပဲ တခြား login တွေနဲ့ ကွဲပြားပါစေ။

ဒီလို login တွေအတွက် မတူတဲ့ username password တွေ သုံးဖို့ ပြောနေရတာက၊ တကယ်လို့ hacker က အကောင့်တစ်ခုကို ဖောက်လို့ ရသွားတယ် ထားဦး၊ သူ့အနေနဲ့ ကျန်တဲ့ အကောင့်တွေကို access လုပ်လို့ မရနိုင်ပါဘူး။ နောက်ဆုံးတစ်ချက်က တစ်လတစ်ခါလိုမျိုး ပုံမှန်အချန်တစ်ခု သတ်မှတ်ပြီး password ကို ပြောင်း ပြောင်းပေးပါ။ ဘဏ်အကောင့်တွေမှာဆို အဲလိုမျိုး ပြောင်းဖို့ ခိုင်းပါတယ်။ အခု hosting အကောင့်လဲ ခိုးခံရရင် ပိုက်ဆံ ကုန်တာနဲ့ အတူတူပါပဲ။ အဲဒီတော့ ကိုယ့် host အကောင့်ကို ဘဏ်အကောင့်လိုမျိုး သဘောထားကြပါ။

(၆) spam accounts တွေ spam comments တွေရဲ့ ရန်ကနေ ကာကွယ်ထားပါ

Spam comment တွေကလဲ စိတ်ညစ်စရာပါ။ ကိုယ့် site မှာ user တွေကို register လုပ်ခွင့် ပေးထားမယ်ဆိုရင် Bot တွေကပါ register ဝင်လုပ်ပီး spam တွေ ပို့တတ်ကြပါတယ်။ comment ကို public ဖွင့်ပေးထားရင် register မလုပ်ဘဲလဲ ဝင်ရေးလို့ရပါတယ်။ အဲဒါတွေကို ခွင့်မပြုသင့်ပါဖူး။

WordPress မှာ Spam filter ဖြစ်တဲ့ Askimet plugin ပါပြီးသား ဖြစ်ပါတယ်။ ဒါပေမယ့် သူက API key ထည့်ပြီး Activate ဖြစ်အောင် လုပ်ဖို့လိုပါတယ်။ Askimet ကိုက အတော်လေး ကောင်းပါတယ်။ အဲဒါမှ မလုံလောက်သေးဘူး ထင်တယ် ဆိုရင်တော့ WP Spamfree တို့လိုမျိုး plug-in တွေ သုံးကြည့်ပါ။

နောက်တစ်ခုက သေချာစစ်မထားရင် Comment form တွေကနေ တဆင့် XSS attack (Cross-Site Scripting) လုပ်နိုင်ပါသေးတယ်။ အဲဒါကို ကာကွယ်ဖို့ HTML Purified plug-in ကို သုံးနိုင်ပါတယ်။ သူကတော့ comment form တွေကို ကိုယ်ပေးသုံး စေချင်တဲ့ HTML tag တွေပဲ ပေးသုံးလို့ ရပါတယ်။ <script> tag တွေ မသုံးနိုင်အောင် ပိတ်ထားနိုင်လို့ XSS ရန်ငြိမ်းပါတယ်။

(၇) ကိုယ့်ရဲ့ Personal Computer ကို လုံခြံုမှု ရှိအောင် အမြဲ up-to-date ဖြစ်နေအောင် ဆောင်ရွက်ပါ

ဒီအချက်ဟာလဲ အရေးကြီးပါတယ်။ ဘာလို့လဲဆိုတော့ ကိုယ့်ရဲ့ကွန်ပျူတာမှာ Keylogger ပါတဲ့ Trojan လို ကောင်မျိုး ကပ်နေရင် ကိုယ့်ရဲ့ information တွေ ပါသွားနိုင်ပါတယ်။ အဲဒီတော့ Anti-Virus program တွေ အမြဲ update ဖြစ်နေအောင်၊ Operating System ကိုလဲ latest patch တွေနဲ့ up-to-date ဖြစ်အောင် လုပ်ထားဖို့လည်း လိုအပ်ပါတယ်။

Facebook comments:

2 Responses

  1. Thiha says:
    July 1, 2010 at 9:26 AM

    ကျေးဇူးတင်ပါတယ် Goo Goo ရေ

    Reply
  2. paingsoethu says:
    October 11, 2011 at 7:17 PM

    Goo Goo ရေ php အကြောင်းဆက်ရေးပါအုံးနော် mail function နဲ့ရေးပြီးမေးပို့တာ error ပြနေလို့ရှေ့ဆက်မတက်နိုင်လို့ ရေးတင်ပေးပါအုံး ကျေးဇူးပါ error ကတော့ Failed to connect to mailserver at “localhost” port 25, verify your “SMTP” and “smtp_port” ဘာဖြစ်တာလဲဆိုတာ ရှငး်ပြပေးပါ…..

    Reply

Leave a comment


CAPTCHA Image
*

Categories

Releases

Site Informations

MT Community

Copyright © MyanmarTutorials 2012