Tips to improve your wordpress Blog

Alpha VanishingSeptember 24, 20122min2718

Tips to improve your wordpress Blog

၁။ WordPress Version Update ဖြစ်နေပါစေ ဒါကတော့ သိပ်တော့ပြောဖို့လိုမယ်မထင်ပါဘူး လူတိုင်းလည်းသိမှာပါ Security Reason အပါအဝင်အကြောင်းအမျိုးမျိုးကြောင့် Update လုပ်ထားတဲ့ နောက်ဆုတ် Version ကိုအသုံးပြုပါ

၂။ admin Name ကို admin မဖြစ်စေပါနဲ့ WordPress ကို စသွင်းတဲ့အချိန်မှာ Default Admin Name ဟာ Admin ပဲဖြစ်ပါတယ် ဒီ Admin ကို အခြားသော Name တစ်ခုခုကိုပြုလုပ်ခြင်းဖြင့် Attacker ဟာ Password ကို Guess လုပ်နိုင်ရင် ဖြစ်ဖြစ် Shoulder Surfing လုပ်သွားလို့သိရင်ဖြစ်ဖြစ် အလွယ်တကူဝင်နိုင်မှာမဟုတ်ပါဘူး 😉

၃။ Data Base Table ကို wp_ မဖြစ်ပါစေနဲ့ ပုံမှန် WordPress Installation လုပ်တဲ့အခါမှာ Database Table မှာ wp_ ပါ ဒီလိုမျိုး wp_ table Name Style ကို SQL Injecting Tool တော်တော်များများမှာ Feature တစ်ခုအနေနဲ့ပါပါတယ် ဒါကြောင့် တခြားနာမည်ဆို Tool တွေနဲ့ Inject လုပ်လို့ရမှာမဟုတ်တော့ပါဘူး

၄။ WP Version ကို Public မဖြစ်စေပါနဲ့ အကယ်၍ ကိုယ်သုံးနေတဲ့ Version ကို အကြောင်းအမျိုးမျိုးကြောင့် Update လုပ်နိုင်ခြင်းမရှိဘူး Update မလုပ်ဖြစ်တဲ့အခါမှာ အကူအညီပေးနိုင်ပါတယ် ဥပမာ ကျွန်တော့်ဆိုဒ်ကို မအားလို့ဆိုပြီး WordPress 3.3.1 Update မလုပ်ဖြစ်သေးပါဘူး ဆိုဒ် Admin Panel ထဲ မအားလို့မဝင်ဖြစ်တာကိုးဗျ ဒီတော့ ဆိုဒ်က WP Version 3.3 ပဲရှိသေးတယ် ကိုယ်က Update ထွက်တာကိုလည်းမသိဘူး ဟိုမှာ Version 3.3 က တသီကြီးပေါက်နေတယ် တကယ်လို့ဟက်ကာက ကိုယ့်ဆိုဒ်ကို စစ်လို့ version 3.3 ကြီးမှန်းတွေ့တာနဲ့ကြိတ်ခံရပြီ ဒီတော့ သူတို့မသိအောင် ပိတ်ထားနိုင်ရင် Update မဖြစ်မှန်းမသိဘဲနဲ့နောက်ဆုံး Version ပဲမှတ်ပြီး လက်လျှော့သွားရော ဒီလိုပေါ့ 😀 ကိုယ့်ဆိုဒ်ရဲ့ WP Version ကိုမသိအောင် www.yoursite.com/readme.html က readme.html ကို ဖျက်လိုက်ပါ license.txt ကိုလည်း ဖျက်လိုက်ပါ ဒါ့အပြင် Theme တွေမှာလည်း WP Version တွေပါတတ်ပါတယ် ဒီလိုမျိုးဟာတွေအတွက်တော့ Design->Theme Editor က header file ထဲက ” /> ကို ရှာပြီး ဖျက်ပစ်လိုက်ပါ

၅။ wp- directory တွေအကုန်ကို Permission ပိတ်ပါ  ပိတ်ရမယ့် ဟာတွေကတော့ wp-admin , wp-includes နဲ့ wp-content ပါ .။ ဘာကြောင့်လဲဆိုတော့ wp-includes ကိုကြည်ု့လိုက်ပါ www.yoursite.com/wp-includes ပေါ့ ဒါဆို wp-includes Folder အောက်က ဖိုင်တွေတွေ့ရပါ့မယ် wp-content လည်းထိုနည်းလည်းကောင်းပါပဲ wp-admin ဆိုရင်ပိုဆိုးတာပေါ့ လုံးဝမပြသင့်တာပေါ့ Search Engine က နေတောင်ရှာခွင့်မပေးသင့်ပါဘူး ဒါတွေကို FTP ကနေ Permission ပိတ်လိုက်ပါ ဒါမှမဟုတ်ရင်လည်း “AskApache Password Protect” plugin ကို အသုံးပြုနိုင်ပါတယ်

၆။ Theme တွေ Update ဖြစ်နေပါစေ ဟိုတစ်ခါကဖြစ်သွားဖူးပါတယ် Timthumb Plugin ပေါက်သွားတာလေ Theme တွေမှာအသုံးပြုတဲ့ timthumb.php ကနေ RFI ဆန်ဆန်ပေါက်သွားတဲ့ Vuln ကနေပြီးမှ WordPress Blog တော်တော်များများတိုက်ခိုက်ခံခဲ့ရပါတယ် လူတော်တော်များများကလည်း WP Core Version နှင့်  Plugin လောက်ကိုသာ Update လုပ်ဖို့ အားသန်ကြတာပါ Theme ဆိုရင် Update လုပ်ဖို့မေ့နေတတ်ကြပါတယ်  😉 ဒါကြောင့် ဒါလေးလည်း မမေ့သင့်ပါဘူး

၇။ wp-config File ကို သတိပြုပါ အားလုံးသိကြတဲ့ အတိုင်း wp-config ဆိုတာ wordpress blog တစ်ခုရဲ့ အရေးကြီးဆုံးနေရာလို့ပြောလို့ရပါတယ် ဒီလိုမျိုး ဖိုင်ကို သေချာထိန်းသိမ်းသင့်ပါတယ် Permission ပိတ်ပါ ပြီးတော့ Directory ပြောင်းထားပါ ဥပမာ www.yoursite.com/wp-config.php လိုမျိုးကို www.yoursite.com/ghostarea/wp-config.php လိုမျိုးပေါ့

၈။ Comment တွေမှာ html code လက်မခံပါနဲ့Comment ပေးတဲ့နေရာမှာ html code အသွင်းမခံပါနဲ့ Hacker ရန်က မအေးဖြစ်နိုင်ပါတယ် ဒါကတော့ လွယ်ပါတယ် Setting မှာ ပြင်လို့ရတာပဲ 😉

၉။ Plugin Directory ကို သတိပြုပါwww.yoursite.com/wp-content/plugins ဆိုရင် ကျွန်တော်တို့ဆိုဒ်မှာ သွင်းထားသမျှ Plugin တွေကို တသီတတန်းကြီးမြင်ရမှာပါ အကယ်၍များ Plugin တွေကို Exploit စစ်ပြီး အဖောက်ခံရနိုင်ပါတယ် ဒါကြောင့် www.yousite.com/wp-content/plugins က index File ကို ဆိုဒ်ရဲ့ www.yousite.com က index file နဲ့အစားထိုးထားပါ

၁၀။ WP-content/plugins အောက်ကမဟုတ်တဲ့ plugin တွေကို သတိထားပါShell လိုဖိုင်မျိုးလည်းဖြစ်တတ်ပါတယ် ဒါပေမယ့် ပုံမှန်အားဖြင့်တော့ wp-content/plugins အောက်က ဖိုင်တွေကိုသာ Anti-virus ကစစ်လေ့ရှိပါတယ် ဒါကြောင့် ပိုပြီး စိတ်ချရအောင် wp-content/plugins ထဲကမဟုတ်တဲ့ Plugin တွေကို ဖျက်ပစ်ပါ

၁၁။ Login ကို Encrypted လုပ်ပြီး ဝင်ပါပုံမှန်အတိုင်းကျွန်တော်တို့ Login ဝင်တဲ့အခါမှာ Public Network ကသုံးရင် Sniff ခံရနိုင်ပါတယ် SNiff ခံရရင်လည်း Plain Text ကြီးနဲ့သာဖြစ်တဲ့အတွက် Password ခိုးယူခံရနိုင်ပါတယ် ဒါကြောင့် (http://wordpress.org/extend/plugins/chap-secure-login/) Chap Secure Login လို Plugin မျိုးကို အသုံးပြုပြီး Login ဝင်တဲ့ Password များကို Encrypt လုပ်ပြီးသွားနိုင်ပါတယ် Chap Secure Login Plugin ဟာ CHAP Protocol ကိုအသုံးပြီး Random Hash ဖြင့် Encrypt လုပ်ပြီး Password တွေကိုသယ်ဆောင်ပါတယ်

၁၂။ Sorry,Brute ForceHacker တွေရဲ့ Brute Force ရန်မှ ကာကွယ်ဖို့အတွက် Login Lock Down Plugin ကိုအသုံးပြုပြီး http://wordpress.org/extend/plugins/login-lockdown/ ကာကွယ်ပါ Login Lock Down Plugin ဟာ သတ်မှတ်ထားတဲ့ အချိန်အတွင်းမှာ သတ်မှတ်ထားတဲ့အရေအတွက်ထက်ပိုပြီး Login ဝင်ရောက်ခြင်းကိုကာကွယ်ပါတယ် လိုအပ်ရင် IP ပါ Deny ပေးပါတယ်

၁၃။ login Link ပြင်ပါပုံမှန်အားဖြင့် www.yoursite.com/wp-admin ဟာ Admin Login Page ပါ ဒါကို Hide-login လို plugin လိုမျိုးသုံးပြီး ဆိုဒ်ရဲ့ Login Page Directory ကိုပြင်နိုင်ပါတယ် ဥပမာ www.yoursite.com/loginarea လိုမျိုးပေါ့

၁၄။ ဆိုဒ်ကို Scan ဖတ်နေပါBlog ကို အပတ်စဉ်ဖြစ်ဖြစ် လစဉ်ဖြစ်ဖြစ် Scan လုပ်တာဟာ မလွန်ပါဘူး ဥပမာ wordpress Firewall 2 လို Plugin လိုမျိုးသွင်းထားပြီး အမြဲ Scan ဖတ်နေပါစေ ဟိုတစ်နေ့ကပဲ ဆိုဒ်တစ်ခုမှာ အသစ်တင်လိုက်တဲ့ Plugin မှာ RFI ပေါက်နေပါတယ် ချက်ချင်းပဲ Firewall က  Exploit ပြပြီး ဖျက်ပစ်လိုက်ကြောင်း မေးလ်ပို့ပါတယ် အဲ့ဒီလိုမျိုး Plugin တွေဖြစ်တဲ့ wp-scan security လိုမျိုး Plugin တွေသုံးပြီး Blog ကို စစ်နေသင့်ပါတယ်

၁၅။ Anti-virusWP မှာ Anti-virus ဆိုတဲ့ plugin ရှိပါတယ် အဲ့ဒီ့ Plugin ဟာဆိုရင် Spam Injection လိုမျိုး Exploit တွေလိုမျိုးအပြင် Shell Link တွေကိုပါ စစ်ပေးပါတယ်

၁၆။ ပုံမှန် BackUp လုပ်ပါအကယ်၍ ကိုယ့် Host Server ကြီးတစ်ခုလုံး Root အထိုင်ခံရတဲ့အခါမျိုးမှာ ကိုယ့်ဆိုဒ်ပါ Hack ခံရသွားနိုင်ပါတယ် ဒါကြောင့်ပုံမှန် Back Up လုပ်တာကိုတော့ လုံးဝမလွန်ပါဘူး

 

WordPress ဟာ ပုံမှန်အတိုင်းဆိုရင်တောင် အလွန် စိတ်ချဖွယ်ကောင်းတဲ့ CMS တစ်ခုပါ ဘာမှဂရုမစိုက်ဘဲတောင်သုံးလို့ရပါတယ် သို့သော်လည်း ကိုယ့်ဆိုဒ်ဟာ ပစ်မှတ်တစ်ခုသဖွယ် တိုက်ခိုက်ခံရသူတွေအတွက် Security ဟာ အသက်လို အရေးပါတဲ့သူတွေအတွက်တော့ အသုံးဝင်မယ်ထင်ပါတယ် ကျေးဇူးတင်ပါတယ်……

8 comments

  • Alpha Vanishing

    September 24, 2012 at 8:36 pm

    သဂျီးရေ…… စေတနာနဲ ့ပါ
    ဂေဇက် ရွာက လုံခြုံးရေး အပိုင်းမှာ တော်တော် အားနည်းနေပါတယ်

  • ဘဲရှုပ်

    September 24, 2012 at 8:51 pm

    စိတ် ရှည် သည်း ခံ လမ်းကြောင်း အမှန်နဲ့ ပြောပြပေးတာပေါ့နော် ၊
    ရွာသားတယောက်အနေနဲ့ ဝမ်းမြောက်ဝမ်းသာ အားပေးပါတယ်ဗျာ ၊
    ကိုုယ်တော်လေး အသက်ရှည်ကျန်းမာလန်းဖြာပါစေ ။

  • မောင်ပေ

    September 24, 2012 at 9:01 pm

    သဂျီးအတွက် စေတနာ
    အယ်လဖာ ပေးလာတာ
    မေတ္တာဝေဖြာ စဉ်ကာဗာ
    ဂေဇက် သာယာမှာ

  • မဟာရာဇာ အံစာတုံး

    September 24, 2012 at 9:34 pm

    ကောင်းတယ်ဗျာ ..
    WP အတွက် ဒါတွေက လုပ်ထားသင့်တဲ့ အချက်တွေပဲ ..
    သို့ပေမယ့် နည်းနည်း ဝင်ပြီး လျှာရှည်ရရင် ..
    Design->Theme Editor က header file ထဲက ” /> ကို ရှာပြီး ဖျက်ပစ်လိုက်ပါ
    ဆိုတဲ့ နေရာမှာ ဖျက်ရမယ့်ဟာက အဲ့ဒါလေးပဲလား၊ ကျန်ခဲ့တာများလား၊ မပေါ်ဘူး ဖြစ်နေတာလားလို့ပါ …
    ပြီးတော့လည်း …
    ကွန်မန့်ထဲ HTML ကုတ်တွေ ထည့်ပြီး ဟက်တယ် ဆိုတာ ဘယ်လိုမျိုးလည်း ဆိုတာ နည်းနည်းတော့ သိချင်မိသွားတယ် …

    • Alpha Vanishing

      September 24, 2012 at 9:46 pm

      ကျေးဇူးပါ ဦးလေး အံစာတုံးရေ ကျွန်တော် စာ ပြန် မစစ်လိုက်မိလို ့ပါ

      Design->Theme Editor က header file ထဲက <meta name=”generator” content=”WordPress ” /> ကို ရှာပြီး ဖျက်ပစ်လိုက်ပါ

      HTML code အကြောင်းကတော့ နဲ နဲ ကျယ်ပြန် ့တဲ ့အတွက် နောင်များ အဆင်သင့်ရင် ပြောပြပေးပါ့မယ်

      • မဟာရာဇာ အံစာတုံး

        September 24, 2012 at 9:58 pm

        အဟမ်း .. ဟမ်း ..
        ဦးလေး လို့ ခေါ်ဘာနဲ့ ..
        ခုမှ အနော်ဂ နှယ်စစ် ငေါင်းပါး ဘဲ ချိဘာဒေးဒယ် …
        အဟဲ …
        :kwi:

  • ဦး ဂျစ်

    September 24, 2012 at 9:35 pm

    မှန်ပ ကိုပေ …
    စေတနာအကျိုး ဘယ် ၂ ပါးလဲ သိလားဗျ …
    ရေအကျိုးဆယ်ပါး ဆိုတာပဲ သိသဗျို့…

    – :kwi:
    :harr:

Leave a Reply