ရြာ လံုျခံဳေရးအတြက္ security ပိုင္းဆိုင္ရာ

 

၁) Backup လုပ္ရန္
– ဘာပဲလုပ္လုပ္ မၿဖစ္မေန စတင္ေဆာင္ရြက္ရမည့္ ကိစၥကေတာ့ backup ဆိုတာ ဆိုက္ဒ္ေထာင္တဲ့လူအမ်ားစုသိၾကပါတယ္…..

၂) Update WordPress Version
– version ၿမင့္ေပးဖို ့ပါပဲ .. အသစ္ထြက္တဲ့ version တုိင္းဟာ အားနည္းခ်က္ေတြ bugs ေတြကို အတတ္ႏိုင္ဆံုးၿပင္ဆင္ၿပီး blogger ေတြ စိုးရိမ္ေနရတဲ့ ဟက္ခံရၿခင္းမွ အတတ္ႏိုင္ဆံုးကာကြယ္ဖို့လည္း သူလည္း တစ္ခ်က္အပါအဝင္ပါပဲ

၃) Change your Login/Password
– မိမိဘေလာ့ရဲ ့ အက္မင္ ေလာ့ဂ်င္ နာမည္နဲ့ pass ကို အတတ္ႏိုင္ဆံုး ခက္ေအာင္ထားထားပါ… ဥပမာ .. words+upper/lower keys+symbols+numbers ( ဥပမာဗ်ာ – biGb0ss!# ) .
– အက္မင္ login ကိုလည္း ၿပင္ဖို ့အေရးၾကီးပါတယ္.. default အေနနဲ ့သတ္မွတ္ထားတဲ့ admin ဆိုတာကို လံုးဝကို ၿပင္သင့္ပါတယ္… ဘာလို ့လဲဆိုေတာ့ ခုေနာက္ပိုင္းမွာ wp brute attack ကို wordlist နဲ ့လုပ္လာၾကတာေတြ ေတြ ့လာရပါတယ္.. admin default သာၿဖစ္ေနမယ္ဆို admin လို ့ခန္ ့မွန္းပီး wordlist နဲ ့ brute တိုက္ခ်သြားလို ့ကေတာ့ ကိုယ့္ blog security ေကာင္းလွပါခ်ည္ရဲ့ ဆိုတာေတာင္ ဘာ bugs မွမရွိပဲ ဟက္ခံရႏိုင္ပါတယ္…

၄) WordPress Keys in wp-config.php
– ဒီ keys ေတြကေတာ့ data encrypt လုပ္တဲ့ေနရာမွာ salt အေနဲ ့ပါဝင္တဲ့ အတြက္ ဒါလည္း security measures တစ္ခုအေနနဲ ့ ထည့္ပီးၿပင္ဆင္သင့္ပါတယ္.. ( ဒီ key ေတြၿပင္ခ်င္တယ္ဆိုရင္ေတာ့ ဘယ္လုိၿပင္ရတယ္ဆိုတာ နားလည္ေအာင္အရင္ၾကည့္သင့္ပါတယ္.. config ဖိုင္ေနရာမွာ ယူထားတယ္ဆိုကတည္းက သူ ့ဟာ အေရးၾကီးတယ္ဆိုတာ သိသာပါတယ္..)
ဥပမာ.

define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
https://api.wordpress.org/secret-key/1.1/

၅ ) Install WP Security Scan

ဒီ plugin ေလးလည္း သြင္းထားဖို ့ပါပါတယ္.. သူက မိမိ blog ရဲ ့ vulnerabilities ေတြ malicious codes ေတြကို automated stuff အေနဲ ့ scan မွာပါ.. အေပၚဆံုမွာၿပတဲ့အတိုင္း အစိမ္းေရာင္ေလးေတြပဲဆို အိုေကပါတယ္…

၆) Change Table Prefix

ဒီ table prefix ကိုလည္းၿပင္သင့္ပါတယ္.. default က wp- ပါ … SQL ေပါက္တယ္ဆိုတာေတာင္မွ wp table prefix ေလးၿပင္ထားရင္ ေဖာက္တဲ့သူကို အခက္ေတြ ့ေစမွာၿဖစ္ပါတယ္. အေပၚမွာ ၿပထားတဲ့ wp security scan plugin ေလးနဲ ့ အလြယ္တကူေၿပာင္းႏိုင္ပါတယ္..

၇) Prevent WordPress Hack by Blocking Search Engine Spiders from Indexing the Admin Section
ဒါေလးကေတာ့ search engine ေတြရဲ ့ bot ေတြက ေန့စဥ္နဲ ့အမွ် crawl လုပ္ေနမွာပါ … ကိုယ္က permission မပိတ္မွရမွာ.. ႏို ့မို ့ဆို admin section ပါ crawl လုပ္ေနလိမ့္မယ္.. ဒါေလးကို ကာကြယ္ဖို ့ disable indexing from crawler လုပ္ဖို ့ မိမိ panel ရဲ ့ (cpanel ကိုဆိုလိုတာပါ.. admin section မဟုတ္ပါ) ရဲ ့ root directory မွာ robot.txt ဖိုင္ေလးေဆာက္ပီးကာကြယ္ရပါမယ္.. ေအာက္မွာ..

#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

၈) htaccess Hacks
ဒီ hypertext access ကလည္း directroy level file ေတြကို ထိန္းခ်ဳပ္တဲ့ အေရးၾကီးတဲ့ ဖိုင္တစ္မ်ိဳးပါ .. ဒါေလးကိုမ်ားေသာအားၿဇင့္ေတာ့ web root folder မွာထားၾကပါတယ္.. /home/user/public_html ေအာက္မွာထားၾကပါတယ္ မ်ားေသာအားၿဖင့္ .. က်ေနာ္တို ့ symlink လုပ္တဲ့အခါ .. .htaccess ဖိုင္ကလည္း indexing လုပ္ဖို ့ တအပ္တအားပါတယ္ဆိုတာ .. hacker ေတြသိၾကတယ္မလား … Posted Image
ဒီဖိုင္ေလး အလုပ္လုပ္ပံုကိုေသခ်ာသိမွာ ၿပင္ဆင္ၾကပါ.. မဟုတ္ရင္ ဆိုက္ဒ္ပါက်သြားႏိုင္ပါတယ္.. panel ထဲကဝင္ၿပင္ေနရမယ္.. panel မရွိရင္ေတာ့ ေသပီဆရာပဲ Posted Image ( shell ေလးမသိမသာခိုးတင္ထားေပါ့ ဟိ . ဟိ … panel မရွိရင္ ) အယ္… security ကေန သူခိုးဘက္ ေရာက္ကုန္ပီ Posted Image Posted Image
http://mmdongoth.net…ccess/index.php

၉) Protect your htaccess
htaccess ကိုလည္း ကာကြယ္ထားဖို ့ေအာက္ကကုဒ္ေလးေတြ ထည့္ထးားသင့္ပါတယ္.. ( warning : htaccess ဖိုင္ကို မေသခ်ာပဲ မသံုးၾကပါနဲ ့.. ဆိုက္ဒ္အတက္အက်က သူ ့ေပၚမွာလဲ မူတည္ေနတယ္ .. သံုးတာမွားရင္ဆိုက္ဒ္ ေဒါင္းသြားႏိုင္ပါတယ္ )

# STRONG HTACCESS PROTECTION</code>
<Files ~ “^.*\.([Hh][Tt][Aa])”>
order allow,deny
deny from all
satisfy all
</Files>

၁၀ ) No Directory Browsing
– အေကာင္းဆံုးကေတာ့ ဘယ္ directory မွာ browsing မေပးထားတာအေကာင္းဆံုးပဲ .. ဒါေလးႏွစ္ေၾကာင္းေလာက္ .htaccess ထဲထည့္ထားေပါ့

# disable directory browsing
Options All -Indexes

၁၁) Secure wp-config.php
– ဆိုက္ဒ္ကို online တင္ေပးတာ wp-config.php ဖိုင္ပါ. hacker ေတြက ဒီဖိုင္ကေန code ေတြရယူပီး ဆိုက္ဒ္ကို ထိုးေဖာက္ဝင္ေရာက္ၾကပါတယ္.. ဒါေၾကာင့္ အဲ့ဖိုင္ကို ကာကြယ္ဖို ့လဲ .htacess ထဲမွာ ဒီ code ကိုထည့္ထားသင့္ပါတယ္

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>
The code denies access to the wp-config.php file to everyone!

၁၂) Limit Access to the Wp-Content Directory
– wp-content dir ကိုလည္းကာကြယ္ဖို ့ .htaccess ထဲမွာ

Order deny,allow
Deny from all
<Files ~ “.(xml|css|jpe?g|png|gif|js)$”>
Allow from all
</Files>

ၿဖည့္ပါ.

၁၃) Protect WordPress Admin Files
– wp-admin ဖိုင္ကို တၿခားလူ access မ၇ေအာင္ ဒီကုဒ္နဲ ့ကာထားပါ .. .htaccess ထဲမွာ

# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx # This is your static IP
deny from all

ၾကည့္လိုက္ရင္သိသာပါတယ္.. xx.xx.xx.xx IP မဟုတ္ရင္ browsing လုပ္ခြင့္မရပါဖူး ..

၁၄) Prevent script injection

ဒါေလးကို ၿပည့္စံုေအာင္ http://www.wprecipes…access]ဒီမွာဖတ္ လည္းရပါတယ္
Simple copy and paste the code below to your htaccess in the root
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

BONUS အေနနဲ ့ http://wordpress.org/extend/plugins/wordpress-firewall-2/ wp firewall plugins လည္းရွိပါတယ္.. ဒါေပမယ့္ ဒါကလည္း တခါတေလ ကုိယ့္ acttion ကိုေတာင္ block တတ္ပါသတဲ့ ဒါေၾကာင့္ စူူပါ ဟက္ကာေတြ စူပါ bot ေတြလာႏိုင္မယ္ဆိုမွ သံုးၾကပါ .. Posted Image

အၿပည့္အစံုေတာ့ မဟုတ္ေပမယ့္ ဒီေလာက္နဲ ့ဆိုလည္း security ေကာင္းႏိုင္မယ္ထင္ပါတယ္.. But there’s no 100% security လို ့ေတာ့ က်ေနာ္ကေတာ့ ခံယူထားပါတယ္ Posted Image
ေနာက္ထပ္ေကာင္းမယ္ထင္တာရွိရင္ ထပ္ၿဖည့္ေပးၾကေပါ့…

About Alpha Vanishing

Alpha Vanishing has written 12 post in this Website..