Tips to improve your wordpress Blog

၁။ WordPress Version Update ျဖစ္ေနပါေစ ဒါကေတာ့ သိပ္ေတာ့ေျပာဖို႕လိုမယ္မထင္ပါဘူး လူတုိင္းလည္းသိမွာပါ Security Reason အပါအ၀င္အေၾကာင္းအမ်ိဳးမ်ိဳးေၾကာင့္ Update လုပ္ထားတဲ့ ေနာက္ဆုတ္ Version ကိုအသံုးျပဳပါ

၂။ admin Name ကို admin မျဖစ္ေစပါနဲ႕ WordPress ကို စသြင္းတဲ့အခ်ိန္မွာ Default Admin Name ဟာ Admin ပဲျဖစ္ပါတယ္ ဒီ Admin ကို အျခားေသာ Name တစ္ခုခုကိုျပဳလုပ္ျခင္းျဖင့္ Attacker ဟာ Password ကို Guess လုပ္ႏိုင္ရင္ ျဖစ္ျဖစ္ Shoulder Surfing လုပ္သြားလို႕သိရင္ျဖစ္ျဖစ္ အလြယ္တကူ၀င္ႏုိင္မွာမဟုတ္ပါဘူး ;-)

၃။ Data Base Table ကို wp_ မျဖစ္ပါေစနဲ႕ ပံုမွန္ WordPress Installation လုပ္တဲ့အခါမွာ Database Table မွာ wp_ ပါ ဒီလိုမ်ိဳး wp_ table Name Style ကို SQL Injecting Tool ေတာ္ေတာ္မ်ားမ်ားမွာ Feature တစ္ခုအေနနဲ႕ပါပါတယ္ ဒါေၾကာင့္ တျခားနာမည္ဆို Tool ေတြန႕ဲ Inject လုပ္လုိ႕ရမွာမဟုတ္ေတာ့ပါဘူး

၄။ WP Version ကို Public မျဖစ္ေစပါနဲ႕ အကယ္၍ ကိုယ္သံုးေနတဲ့ Version ကို အေၾကာင္းအမ်ိဳးမ်ိဳးေၾကာင့္ Update လုပ္ႏိုင္ျခင္းမရွိဘူး Update မလုပ္ျဖစ္တဲ့အခါမွာ အကူအညီေပးႏုိင္ပါတယ္ ဥပမာ ကၽြန္ေတာ့္ဆိုဒ္ကို မအားလို႕ဆိုျပီး WordPress 3.3.1 Update မလုပ္ျဖစ္ေသးပါဘူး ဆိုဒ္ Admin Panel ထဲ မအားလို႕မ၀င္ျဖစ္တာကိုးဗ် ဒီေတာ့ ဆုိဒ္က WP Version 3.3 ပဲရွိေသးတယ္ ကိုယ္က Update ထြက္တာကိုလည္းမသိဘူး ဟိုမွာ Version 3.3 က တသီၾကီးေပါက္ေနတယ္ တကယ္လို႕ဟက္ကာက ကိုယ့္ဆုိဒ္ကို စစ္လုိ႕ version 3.3 ၾကီးမွန္းေတြ႕တာနဲ႕ၾကိတ္ခံရျပီ ဒီေတာ့ သူတို႕မသိေအာင္ ပိတ္ထားႏုိင္ရင္ Update မျဖစ္မွန္းမသိဘဲနဲ႕ေနာက္ဆုံး Version ပဲမွတ္ျပီး လက္ေလွ်ာ့သြားေရာ ဒီလိုေပါ့ :-D ကိုယ့္ဆိုဒ္ရဲ႕ WP Version ကိုမသိေအာင္ www.yoursite.com/readme.html က readme.html ကို ဖ်က္လိုက္ပါ license.txt ကိုလည္း ဖ်က္လုိက္ပါ ဒါ့အျပင္ Theme ေတြမွာလည္း WP Version ေတြပါတတ္ပါတယ္ ဒီလိုမ်ိဳးဟာေတြအတြက္ေတာ့ Design->Theme Editor က header file ထဲက ” /> ကို ရွာျပီး ဖ်က္ပစ္လုိက္ပါ

၅။ wp- directory ေတြအကုန္ကို Permission ပိတ္ပါ  ပိတ္ရမယ့္ ဟာေတြကေတာ့ wp-admin , wp-includes နဲ႕ wp-content ပါ .။ ဘာေၾကာင့္လဲဆိုေတာ့ wp-includes ကိုၾကည့္ုလိုက္ပါ www.yoursite.com/wp-includes ေပါ့ ဒါဆို wp-includes Folder ေအာက္က ဖုိင္ေတြေတြ႕ရပါ့မယ္ wp-content လည္းထိုနည္းလည္းေကာငး္ပါပဲ wp-admin ဆုိရင္ပိုဆုိးတာေပါ့ လံုး၀မျပသင့္တာေပါ့ Search Engine က ေနေတာင္ရွာခြင့္မေပးသင့္ပါဘူး ဒါေတြကို FTP ကေန Permission ပိတ္လိုက္ပါ ဒါမွမဟုတ္ရင္လည္း “AskApache Password Protect” plugin ကို အသံုးျပဳႏိုင္ပါတယ္

၆။ Theme ေတြ Update ျဖစ္ေနပါေစ ဟိုတစ္ခါကျဖစ္သြားဖူးပါတယ္ Timthumb Plugin ေပါက္သြားတာေလ Theme ေတြမွာအသံုးျပဳတဲ့ timthumb.php ကေန RFI ဆန္ဆန္ေပါက္သြားတဲ့ Vuln ကေနျပီးမွ WordPress Blog ေတာ္ေတာ္မ်ားမ်ားတုိက္ခိုက္ခံခဲ့ရပါတယ္ လူေတာ္ေတာ္မ်ားမ်ားကလည္း WP Core Version ႏွင့္  Plugin ေလာက္ကိုသာ Update လုပ္ဖို႕ အားသန္ၾကတာပါ Theme ဆိုရင္ Update လုပ္ဖို႕ေမ့ေနတတ္ၾကပါတယ္  ;-) ဒါေၾကာင့္ ဒါေလးလည္း မေမ့သင့္ပါဘူး

၇။ wp-config File ကုိ သတိျပဳပါ အားလံုးသိၾကတဲ့ အတိုင္း wp-config ဆိုတာ wordpress blog တစ္ခုရဲ႕ အေရးၾကီးဆံုးေနရာလို႕ေျပာလို႕ရပါတယ္ ဒီလိုမ်ိဳး ဖိုင္ကို ေသခ်ာထိန္းသိမ္းသင့္ပါတယ္ Permission ပိတ္ပါ ျပီးေတာ့ Directory ေျပာင္းထားပါ ဥပမာ www.yoursite.com/wp-config.php လိုမ်ိဳးကို www.yoursite.com/ghostarea/wp-config.php လိုမ်ိဳးေပါ့

၈။ Comment ေတြမွာ html code လက္မခံပါနဲ႕Comment ေပးတဲ့ေနရာမွာ html code အသြင္းမခံပါနဲ႕ Hacker ရန္က မေအးျဖစ္ႏုိင္ပါတယ္ ဒါကေတာ့ လြယ္ပါတယ္ Setting မွာ ျပင္လို႕ရတာပဲ ;-)

၉။ Plugin Directory ကို သတိျပဳပါwww.yoursite.com/wp-content/plugins ဆိုရင္ ကၽြန္ေတာ္တို႕ဆုိဒ္မွာ သြင္းထားသမွ် Plugin ေတြကို တသီတတန္းၾကီးျမင္ရမွာပါ အကယ္၍မ်ား Plugin ေတြကို Exploit စစ္ျပီး အေဖာက္ခံရႏုိင္ပါတယ္ ဒါေၾကာင့္ www.yousite.com/wp-content/plugins က index File ကို ဆိုဒ္ရဲ႕ www.yousite.com က index file နဲ႕အစားထိုးထားပါ

၁၀။ WP-content/plugins ေအာက္ကမဟုတ္တဲ့ plugin ေတြကို သတိထားပါShell လိုဖိုင္မ်ိဳးလည္းျဖစ္တတ္ပါတယ္ ဒါေပမယ့္ ပံုမွန္အားျဖင့္ေတာ့ wp-content/plugins ေအာက္က ဖုိင္ေတြကိုသာ Anti-virus ကစစ္ေလ့ရွိပါတယ္ ဒါေၾကာင့္ ပိုျပီး စိတ္ခ်ရေအာင္ wp-content/plugins ထဲကမဟုတ္တဲ့ Plugin ေတြကို ဖ်က္ပစ္ပါ

၁၁။ Login ကို Encrypted လုပ္ျပီး ၀င္ပါပံုမွန္အတိုင္းကၽြန္ေတာ္တုိ႕ Login ၀င္တဲ့အခါမွာ Public Network ကသံုးရင္ Sniff ခံရႏိုင္ပါတယ္ SNiff ခံရရင္လည္း Plain Text ၾကီးနဲ႕သာျဖစ္တဲ့အတြက္ Password ခိုးယူခံရႏုိင္ပါတယ္ ဒါေၾကာင့္ (http://wordpress.org/extend/plugins/chap-secure-login/) Chap Secure Login လို Plugin မ်ိဳးကို အသံုးျပဳျပီး Login ၀င္တဲ့ Password မ်ားကို Encrypt လုပ္ျပီးသြားႏိုင္ပါတယ္ Chap Secure Login Plugin ဟာ CHAP Protocol ကိုအသံုးျပီး Random Hash ျဖင့္ Encrypt လုပ္ျပီး Password ေတြကိုသယ္ေဆာင္ပါတယ္

၁၂။ Sorry,Brute ForceHacker ေတြရဲ႕ Brute Force ရန္မွ ကာကြယ္ဖို႕အတြက္ Login Lock Down Plugin ကိုအသံုးျပဳျပီး http://wordpress.org/extend/plugins/login-lockdown/ ကာကြယ္ပါ Login Lock Down Plugin ဟာ သတ္မွတ္ထားတဲ့ အခ်ိန္အတြင္းမွာ သတ္မွတ္ထားတဲ့အေရအတြက္ထက္ပိုျပီး Login ၀င္ေရာက္ျခင္းကိုကာကြယ္ပါတယ္ လုိအပ္ရင္ IP ပါ Deny ေပးပါတယ္

၁၃။ login Link ျပင္ပါပံုမွန္အားျဖင့္ www.yoursite.com/wp-admin ဟာ Admin Login Page ပါ ဒါကို Hide-login လုိ plugin လိုမ်ိဳးသံုးျပီး ဆုိဒ္ရဲ႕ Login Page Directory ကိုျပင္ႏိုင္ပါတယ္ ဥပမာ www.yoursite.com/loginarea လိုမ်ိဳးေပါ့

၁၄။ ဆိုဒ္ကို Scan ဖတ္ေနပါBlog ကို အပတ္စဥ္ျဖစ္ျဖစ္ လစဥ္ျဖစ္ျဖစ္ Scan လုပ္တာဟာ မလြန္ပါဘူး ဥပမာ wordpress Firewall 2 လို Plugin လိုမ်ိဳးသြင္းထားျပီး အျမဲ Scan ဖတ္ေနပါေစ ဟိုတစ္ေန႕ကပဲ ဆုိဒ္တစ္ခုမွာ အသစ္တင္လုိက္တဲ့ Plugin မွာ RFI ေပါက္ေနပါတယ္ ခ်က္ခ်င္းပဲ Firewall က  Exploit ျပျပီး ဖ်က္ပစ္လိုက္ေၾကာင္း ေမးလ္ပို႕ပါတယ္ အဲ့ဒီလိုမ်ိဳး Plugin ေတြျဖစ္တဲ့ wp-scan security လိုမ်ိဳး Plugin ေတြသံုးျပီး Blog ကို စစ္ေနသင့္ပါတယ္

၁၅။ Anti-virusWP မွာ Anti-virus ဆိုတဲ့ plugin ရွိပါတယ္ အဲ့ဒီ့ Plugin ဟာဆိုရင္ Spam Injection လိုမ်ိဳး Exploit ေတြလိုမ်ိဳးအျပင္ Shell Link ေတြကိုပါ စစ္ေပးပါတယ္

၁၆။ ပံုမွန္ BackUp လုပ္ပါအကယ္၍ ကိုယ့္ Host Server ၾကီးတစ္ခုလံုး Root အထုိင္ခံရတဲ့အခါမ်ိဳးမွာ ကိုယ့္ဆိုဒ္ပါ Hack ခံရသြားႏုိင္ပါတယ္ ဒါေၾကာင့္ပံုမွန္ Back Up လုပ္တာကိုေတာ့ လံုး၀မလြန္ပါဘူး

 

WordPress ဟာ ပံုမွန္အတုိင္းဆိုရင္ေတာင္ အလြန္ စိတ္ခ်ဖြယ္ေကာင္းတဲ့ CMS တစ္ခုပါ ဘာမွဂရုမစိုက္ဘဲေတာင္သံုးလို႕ရပါတယ္ သို႕ေသာ္လည္း ကိုယ့္ဆိုဒ္ဟာ ပစ္မွတ္တစ္ခုသဖြယ္ တုိက္ခုိက္ခံရသူေတြအတြက္ Security ဟာ အသက္လို အေရးပါတဲ့သူေတြအတြက္ေတာ့ အသံုး၀င္မယ္ထင္ပါတယ္ ေက်းဇူးတင္ပါတယ္……

About Alpha Vanishing

Alpha Vanishing has written 12 post in this Website..