ကျွန်တော် ဒီပို့စ်မှာ WordPress သုံးနေသူတွေအတွက် လုံခြုံရေးဆိုင်ရာ နည်းလမ်းတွေကို ဆွေးနွေးချင်ပါတယ်။ အရင်က Goo Goo ရေးထားတဲ့

• WordPress: The Perfect Setup

ဆိုတဲ့ ပို့စ်မှာ WordPress Installation ကို ဘယ်လို အကောင်းဆုံး Install လုပ်မလဲဆိုတာကို ရေးထားပြီးသားပါ။ ကျွန်တော်ကတော့ ကိုယ့် WordPress ကို လုံခြုံစိတ်ချရမှု ရှိအောင် ဘယ်လိုလုပ်မလဲ ဆိုတဲ့ အပိုင်းကို အဓိကထား ရေးမှာ ဖြစ်ပါတယ်။ ကိုယ့် WordPress ကို လုံခြုံ စိတ်ချရအောင်

(၁) WordPress နဲ့ Plugins တွေကို အချိန်မှန် Upgrade လုပ်ပါ

(၂) ကိုယ့် WordPress ရဲ့ လုံခြုံရေးကို အမြဲ စစ်ဆေးပါ

(၃) ကိုယ့်ဆိုက်ထဲ ဝင်ရောက် အသုံးပြုနိုင်ခွင့်ကို permissions, robots.txt, .htaccess စတာတွေနဲ့ ကန့်သတ်ပါ

(၄) ကိုယ့် Web Host ရဲ့ Security ပိုင်းကို စစ်ဆေးပါ

(၅) user names တွေ passwords တွေနဲ့ login တွေကို ပိုပြီး လုံခြုံစိတ်ချရအောင် စစ်ဆေးပါ

(၆) spam accounts တွေ spam comments တွေရဲ့ ရန်ကနေ ကာကွယ်ထားပါ

(၇) ကိုယ့်ရဲ့ Personal Computer ကို လုံခြုံမှု ရှိအောင် အမြဲ up-to-date ဖြစ်နေအောင် ဆောင်ရွက်ပါ

စတဲ့ အချက်တွေကို လိုက်နာဖို့ လိုပါမယ်။

ကျွန်တော် တစ်ခု တောင်းပန်ထားချင်တာက အခု လုပ်မယ့် Security Feature တွေကို WordPress အကြောင်း၊ WordPress Database အကြောင်း၊ MySQL Database အကြောင်း၊ phpMyAdmin အကြောင်း၊ Hosting အကြောင်း အတိုင်းအတာ တစ်ခုအထိ သိထားမှသာ လုပ်သင့်ပါတယ်။ အဲဒီလို မသိဘူးဆိုရင်တော့ မလုပ်ပါနဲ့၊ Seurity ပိုင်းကို သေသေချာချာ ဂရုစိုက်ဖို့ လိုတဲ့သူတွေသာ အဓိကထား လုပ်သင့်ပါတယ်။ ဒီအတိုင်းသုံးနေတာ အကောင်း၊ သွားလုပ်လိုက်မှ ပျက်သွားတာမျိုး ဖြစ်မှာ စိုးလို့ပါ၊ တားမရဘူးဆိုရင်တော့ သဘောပေါ့ခင်ဗျာ … ကျွန်တော်နဲ့ တော့ မဆိုင်ဘူးနော် …

အဲဒီလို Security Features တွေကို ကိုယ့်ဆိုက်ထဲ ပေါင်းထည့်တော့မယ် ဆိုရင် အရင်ဆုံး ကိုယ့်ဆိုက်ကို Backup လုပ်ဖို့ လိုပါမယ်။ Backup လုပ်တဲ့နေရာမှာ Database Backup နဲ့ Root Backup ဆိုပြီး နှစ်မျိုး လုပ်ပေးဖို့ လိုပါမယ်။ နှစ်ခုလုံးကို Hosting မှာ လုပ်ရမှာ ဖြစ်ပါတယ်။ Hosting Feature တွေ တစ်ခုနဲ့ တစ်ခု မတူတတ်ပါဘူး။ တစ်ချို့ Hosting တွေမှာတော့ Backup ကို အလွယ်တကူ လုပ်လို့ရအောင် စီစဉ်ပေးထားတတ်ပေမယ့် တစ်ချို့တွေကတော့ မလုပ်ပေးထားပါဘူး။ ဒါကြောင့် Hosting အပေါ်မူတည်ပြီး Backup လုပ်ရတာ ကွာခြားပါတယ်။ Database အတွက် Backup လုပ်မယ်ဆိုရင်လည်း Hosting Feature တွေ အပေါ်မူတည်ပြီး ကွဲပြားကြပါသေးတယ်။ ဒါကြောင့် အဲဒီအတွက် အသေးစိတ် ရေးဖို့ မလွယ်ပါဘူး။ Hosting Feature တစ်ခုခြင်းစီအလိုက် သိချင်တယ်ဆိုရင် Q&A မှာ အသေးစိတ် မေးမြန်းနိုင်ပါတယ်။ WordPress Backup ဆိုတဲ့ Plugin ကိုလည်း သုံးလိုက သုံးနိုင်ပါတယ်။ အကောင်းဆုံးကတော့ Root Folder တစ်ခုလုံး ကိုယ့်စက်ထဲ ဆွဲချလိုက်တာ အကောင်းဆုံးပါပဲ။ အဲဒီလို WordPress Backup ကို အပတ်စဉ်ဖြစ်ဖြစ်၊ လစဉ်ဖြစ်ဖြစ် လုပ်ပေး သင့်ပါတယ်။

(၁) WordPress နဲ့ Plugins တွေကို အချိန်မှန် Upgrade လုပ်ပါ

ဒီနေရာမှာတော့ WordPress က အားသာချက်တွေ အများကြီး ရှိပါတယ်။ WordPress မှာ WordPress ဗားရှင်း အသစ်တစ်ခု ထွက်တိုင်း၊ Plugins ဗားရှင်း အသစ်တစ်ခု ထွက်တိုင်း အသိပေးမယ့် Notification System တစ်ခုပါပါတယ်။ အဲဒီလို WordPress တို့ Plugins တို့ အနေနဲ့ Version အသစ်ထွက်တယ်ဆိုတာ Features အသစ်တွေ ထပ်တိုးတာလည်း ဖြစ်နိုင်သလို Security အတွက်လည်း ဖြစ်နိုင်ပါတယ်။ ဒါကြောင့် ဘာကြောင့်ပဲ အသစ်ထွက်ထွက် Upgrade လုပ်ထားတာ အကောင်းဆုံးပါပဲ။ WordPress မှာ Admin Panel ဝင်လိုက်တာနဲ့ WordPress Version အတွက် ဆိုရင်

အပေါ်မှာ ပြထားသလိုမျိုး ပေါ်နေပါလိမ့်မယ်။ Please update now ဆိုတာနဲ့ တစ်ခါတည်း နောက်ဆုံး ဗားရှင်းကို Upgrade လုပ်ပေး သွားပါလိမ့်မယ်။ Upgrade Automatically က WordPress Version တစ်ဆင့်ကနေ တစ်ဆင့် ပြောင်းတာလောက်တော့ ပြဿနာ မရှိတာ များပါတယ်။ Plugin မှာ ဆိုရင်လည်း ဒီအတိုင်းပါပဲ။

Plugin တွေကိုလည်း Upgrade Automatically ဆိုပြီး လုပ်ပေးလို့ ရနိုင်ပါတယ်။

(၂) ကိုယ့် WordPress ရဲ့ လုံခြုံရေးကို အမြဲ စစ်ဆေးပါ

ဒါကတော့ ကိုယ့် WordPress ရဲ့ လုံခြုံရေးကို စစ်ဆေးတဲ့ အပိုင်းပါ။ အဲဒီလို စစ်ဆေးဖို့အတွက် အကောင်းဆုံး Plugin တွေ ရှိပါတယ်။

• WP Security Scan
• WordPress Exploit Scanner
• WP Antivirus
• Secure WordPress

စတာတွေ သုံးပြီး စစ်ဆေးနိုင်ပါတယ်။ WP Security Scan ဆိုတဲ့ Plugin ကို သုံးပြီး စစ်မယ်ဆိုရင်

အဲဒီလို စစ်ဆေးပေးပါလိမ့်မယ်။ table prefix ကို Perfect Installation မှာတုန်းကတော့ ပြောင်းဖို့ သတိပေးထားပါတယ်။ ကိုယ်က မပြောင်းမိပဲ wp_ နဲ့ စထားမယ်ဆိုရင်တော့ SQL Injection Attack တွေ ဝင်လာနိုင်ပါတယ်။ ဒါကြောင့် Table Prefix ကို ပြန်ပြောင်းပေးဖို့ လိုပါတယ်။ အဲဒီလို ပြောင်းတဲ့နေရာမှာ သူပြောတဲ့အတိုင်း Click Here နဲ့ ပြောင်းလို့ မရပါဘူး။ အဲဒီလို ပြောင်းနိုင်ဖို့ အတွက် အဆင့် ခြောက်ဆင့် လိုမှာ ဖြစ်ပါတယ်။

1. ထုံးစံအတိုင်း Database Backup လုပ်ပါ။ ကိုယ်လုပ်တာ တစ်ခုခုမှားသွားခဲ့ရင် ပြန်ပြီး နဂိုအတိုင်း ဖြစ်နိုင်အောင်လို့ပါ။
2. wp-config.php ဖိုင်ကို ဖွင့်ပြီး အောက်မှာ ပြထားတဲ့ စာကြောင်းကို ရှာပါ။

   $table_prefix = 'wp_';

   အဲဒီ နေရာမှာ ကိုယ်ပြောင်းလိုတဲ့ (ဥပမာ – m681rt_) လိုမျိုး ပြောင်းလို့ရပါတယ်။

3. နောက်တစ်ဆင့် အနေနဲ့ WordPress Database ထဲက File တွေအားလုံး Prefix ပြောင်းပေးပါ။ ဘယ်လို ပြောင်းရမလဲဆိုတာကို နောက်ဆက်တွဲ အနေနဲ့ ရေးပေးပါ့မယ်။
4. wp_options ဆိုတဲ့ Table ကို (ခုတော့ m681rt_options ဖြစ်သွားပါပြီ၊ အရင်ကတော့ wp_options ပေါ့) Browse လုပ်ပါ။ အားလုံး phpmyadmin မှာ လုပ်ရမှာ ဖြစ်ပါတယ်။ ပြီးရင် option_name column မှာ wp_user_roles ဆိုတာကို ရှာပြီး m681rt_user_roles ဆိုပြီး ပြောင်းပေးပါ။
5. wp_usermeta (အခုတော့ m681rt_usermeta) မှာ wp_ နဲ့ စတာတွေ အားလုံး ပြောင်းပေးဖို့ လိုပါမယ်။ အဲဒီနေရာမှာတော့ user များလေ ပြောင်းရတာ များလေ ဖြစ်နေပါလိမ့်မယ်။ (ဥပမာ -
   wp_capabilities to m681rt_capabilities
   wp_autosave_draft_ids to m681rt_autosave_drafts
   wp_user_level to m681rt_user_level
   wp_usersettings to m681rt_usersettings
6. အဲဒီလို ပြောင်းပြီးပြီ ဆိုရင်တော့ ဆိုက်ကို စမ်းသပ်ကြည့်လို့ ရပါပြီ။

* phpMyAdmin တွင် Table Prefix များ ပြောင်းလဲခြင်း

phpMyAdmin မှာ ကိုယ့် WordPress ရဲ့ Database ကို ဖွင့်လိုက်ရင် အောက်မှ ပြထားတဲ့ ပုံအတိုင်း မြင်ရပါလိမ့်မယ်။

ဘေးမှာလည်း File တွေကို List နဲ့ ပြထားပါလိမ့်မယ်။

အဲဒီ List ထဲမှာ ပါတဲ့ Table တစ်ခုကို ကလစ်ခေါက်လိုက်ရင်

နောက် မျှားပြထားတဲ့ Operations ကို ကလစ်ခေါက်ပါ။

Rename table to ဆိုတဲ့ နေရာမှာ ကိုယ်ပြောင်းချင်တဲ့ m681rt_ ဆိုပြီး ပြောင်းလိုက်ပါ။ ပုံထဲမှာ ဆိုရင်တော့ m681rt_commentmeta ဆိုပြီး ပြောင်းရမှာ ဖြစ်ပါတယ်။ ပြီးရင် Go ကို နှိပ်ပါ။ နောက်တစ်ဖိုင်ကို ရွေးပါ။ အဲဒီ အဆင့်တွေအတိုင်း တစ်ဖိုင်ခြင်း ပြောင်းပေးပါ။

WP Security Scan မှာ .htaccess ဖိုင်က wp-admin/ ထဲမှာ မရှိဘူးဆိုပြီး ပြနေပါတယ်။ အဲဒီအတွက် .htaccess ဆိုတဲ့ ဖိုင်ကို ထည့်ပေး ရပါမယ်။ အဲဒီအတွက် .htaccess file generator ကို သုံးနိုင်ပါတယ်။ ဒါပေမယ့် .htaccess ဆိုတဲ့ ဖိုင်ပါရုံလောက်ပဲ ကျွန်တော် ထည့်ထားပါတယ်။ Group Blog ဖြစ်တာကြောင့် Password တွေ မသုံးချင်လို့ပါ။ WP Security Scan မှာ Scanner ဆိုတာ တစ်ခုလည်း ရှိပါ သေးတယ်။ ဖိုင်တွေကို Permission ပေးတဲ့ဟာတွေ ကို စစ်တာပါ။

ကျွန်တော့်မှာ စစ်တာတော့ အားလုံးက ပြောင်းပြီးသားဆိုတော့ စိမ်းနေပါတယ်။ မပြောင်းရသေးတာဆိုရင် အနီရောင်နဲ့ ပြနေတတ်ပါတယ်။ အဲဒီမှာ တစ်ခုခြင်းစီ ပြောင်းပေးပါ။ net2ftp နဲ့လည်း ပြောင်းပေးလို့ ရနိုင်သလို FTP Client တစ်ခုခုနဲ့လည်း ပြောင်းပေးနိုင်ပါတယ်။ CHMOD လို့ ခေါ်တဲ့ Command နဲ့ပါ။ အောက်မှာ နှစ်ခုလုံးအတွက် နမူနာတွေ ပြပေးထားပါတယ်။

net2ftp နဲ့ ပြောင်းတဲ့ ပုံစံက

CuteFTP မှာ သုံးတဲ့ ပုံစံကတော့

အဲဒီလို ပြောင်းပေးလိုက်ရင် Security Scanner Passed ဖြစ်သွားပါလိမ့်မယ်။ ရှေ့ဆက်ပြီး WordPress Exploid Scanner တို့ WordPress Antivirus တို့ Secure WordPress တို့ သုံးပြီးလည်း ကာကွယ်နိုင်ပါတယ်။ တစ်ခုခြင်းကို ရှေ့ဆက်ပြီး စမ်းသပ်ကြည့်ပါလို့ တိုက်တွန်း ချင်ပါတယ်။ WP Security Scan တစ်ခုက လွဲပြီး ကျန်တာတွေက လွယ်ပါတယ်။ Plugin တွေ သွင်းပြီး စမ်းရုံပါပဲ။

အပိုင်း (၂) ဆက်လက်ဖတ်ရှုပါရန် …

3 Responses

1. saturngod says:

   June 15, 2010 at 4:20 PM

   UPDATE `prefix_usermeta` SET `meta_key` = REPLACE( `meta_key` , ‘wp_’, ‘prefix_’ );

   UPDATE `prefix_options` SET `option_name` = ‘prefix_user_roles’ WHERE `option_name` =’wp_user_roles’ AND `blog_id` =0;

   အဲလို ရေးလိုက်တယ်။ တစ်ခါတည်း ပြီးသွားတယ်။ တစ်ဆင့်ခြင်းဆီ သွားစရာမလိုတော့ဘူး။

   table prefix ပြောင်းတာကိုတော့

   RENAME TABLE old_table TO new_table,
   old_table TO new_table,
   old_table TO new_table,
   old_table TO new_table;

   အဲလို ပုံစံနဲ့ sql တစ်ကြောင်းတည်းနဲ့ ရတယ်။

   Reply
   • Thiha says:

     June 15, 2010 at 4:33 PM

     ကိုစေတန်ရေ ကျေးဇူးပဲဗျ .. ကိုစေတန့် အင်္ဂလိပ် ဘလော့မှာ ရေးထားတာတွေ့တယ်။ ကျွန်တော် ညွှန်းမလို့ မေ့သွားတယ်ဗျ …

     Reply
2. Wordpress လုံခြုံရေးဆိုင်ရာ နည်းလမ်းများ (၂) | Myanmar Tutorials says:

   July 1, 2010 at 5:17 AM

   [...] ကိုသီဟရဲ့ Article ဖြစ်တဲ့ WordPress လုံခြုံရေးဆိုင်ရာ နည်းလမ်းများ မှာ WordPress လုံးခြုံရေးအတွက် [...]

   Reply