3 Essential Security Tips for Every WordPress Site

Submitted by everlearner on Sun, 11/07/2010 - 01:29

WordPress installation with default readme file၀က်ဘ်ဆိုက် ဒါမှမဟုတ် ဘလော့ခ် ပိုင်ရှင်တစ်ယောက်ဟာ စာတွေ ပုံမှန်ရေးနေရုံ၊ ၀က်ဘ်ဆိုက်ထဲက အကြောင်းအရာတွေကို ပုံမှန် Update လုပ်နေရုံနဲ့ မပြီးသေးပါဘူး။ ကိုယ့်ဆိုက်မှာ သုံးထားတဲ့ ဆော့ဖ်၀ဲတွေ Update ဖြစ်မဖြစ်၊ လာကြည့်တဲ့သူတွေ အသုံးပြုရတာ အဆင်ပြေမပြေ စတာတွေကိုလည်း အမြဲတမ်း စစ်ဆေးနေရပါသေးတယ်။ အများသိစေချင်တဲ့ အကြောင်းအရာတွေကို အများ အလွယ်တကူ သိအောင်၊ မသိစေချင်တာတွေကို မသိအောင် စတဲ့ လုံခြုံရေး (Webstie Security) ကိုလည်း လုပ်ဖို့ တာ၀န်ရှိပါတယ်။ ဒီဆောင်းပါးမှာတော့ WordPress website အတော်များများမှာ သတိမမူဘဲ အမှတ်တမဲ့ ထားလို့ ဖြစ်ပေါ်နေတဲ့ အရေးကြီးတဲ့ ၀က်ဘ်ဆိုက် လုံခြုံရေး ပြဿနာများနဲ့ ဖြေရှင်းနည်းများ (Website security problems and Solutions) ကို ေ၀မျှသွားပါ့မယ်။

Requirements - WordPress, htaccess

1. Rename the Readme file - Readme ဖိုင်ကို အမည်ပြောင်းပါ။

Problem - WordPress root folder ထဲမှာ Read Me ဆိုတဲ့ ဖိုင်လေး ရှိပါတယ်။ အဲဒီဖိုင်က Default name အနေနဲ့ readme.html ဆိုပြီး ပါနေတာပါ။ http://example.com/readme.html လို့ ရိုက်ကြည့်လိုက်တာနဲ့ အဲဒီဖိုင်ကို မြင်ရပါတယ်။ Wordpress နဲ့ လုပ်ထားတဲ့ site အတော်များများမှာ ဒီဖိုင်ကို အမှတ်တမဲ့နဲ့ ဒီအတိုင်းထားတာ များပါတယ်။ ဒီနေ့ပဲ မြန်မာနဲ့ ကမ္ဘာက နာမည်ကြီး Wordpress blog အတော်များများကို လိုက်စမ်းကြည့်တာ အံ့သြစရာ ကောင်းလောက်အောင်ကို Readme file တွေကို ဒီအတိုင်းထားကြတာ မြင်ခဲ့ရပါတယ်။ ဒီဖိုင်က ဘာမှမပါရင် ပြဿနာမရှိပေမယ့် WordPress Version နံပါတ်ပါနေတဲ့အတွက် ပြဿနာ ဖြစ်လာပါတယ်။ ကိုယ်ရဲ့ WordPress version ကို အမြဲတမ်း Update to Date ဖြစ်အောင် လုပ်နေတဲ့ ၀က်ဘ်ဆိုက်တွေအတွက်တော့ Version နံပါတ်ကို လူသိတာဟာ ပြဿနာမရှိပေမယ့် Update မလုပ်ထားမိတဲ့ ဆိုက်ဆိုရင်တော့ လုံခြုံရေးပြဿနာ ရှိလာပါပြီ။

Solution -

  1. ကိုယ့်ဆိုက်ကို အမြဲတမ်း Update လုပ်ထားပါ။
  2. WordPress version update တိုင်းမှာ Security update တွေ ပါလေ့ရှိပါတယ်။
  3. ပြီးတော့ readme.html ကို အမည်ပြောင်းပါ။
  4. သူတပါး မခန့်မှန်းနိုင်တဲ့ အမည်ဖြစ်အောင် ပြောင်းလိုက်ပါ။
  5. ဒါမှမဟုတ်ရင် တစ်နေရာကို ရွှေ့ထားလိုက်ပါ။
  6. လုံး၀ မလိုအပ်ဘူးလို့ ယူဆရင် ဖျက်ပစ်လိုက်ပါ။

2. Remove WordPress Version - WordPress ဗားရှင်းနံပါတ်ကို ဖယ်ထုတ်ပါ။

Problem - <meta name="generator" content="WordPress x.x.x" /> ဆိုတာ Wordpress ကို သုံးထားတဲ့ ၀က်ဘ်ဆိုက်တွေကို View Source ကြည့်လိုက်ရင် မြင်ရတဲ့ အနေအထားပါ။ WordPress meta generator code တကယ်လို့ အဲဒီ Generator code ကို ဖြုတ်ထားလိုက်ရင် ကိုယ်သုံးထားတဲ့ WordPress version ကို လူမသိတော့ပါဘူး။ ကျွန်တော်စမ်းကြည့်တဲ့ မြန်မာ WordPress blog အားလုံးနီးပါးနဲ့ ကမ္ဘာ့ နာမည်ကြီး WordPress blog တွေအားလုံးမှာ Generator code ကို ဖြုတ်ထားတာ တွေ့ရပါတယ်။ တကယ်လို့ စာဖတ်သူရဲ့ WordPress blog ကို Viewsource ကြည့်လိုက်လို့ အထက်မှာ ဖော်ပြခဲ့တဲ့ Generator code ပါနေခဲ့တယ်ဆိုရင်တော့ ဖယ်ထုတ်နည်း ရှိပါတယ်။

Solution -

  1. remove_action( 'wp_head', 'wp_generator'); ဆိုတဲ့ function လေးကို wp-content/themes/THEME-NAME/functions.php ထဲမှာ ရေးပေးလိုက်ပါ။ Generator code နဲ့ Version နံပါတ်ကို ဖယ်ထုတ်ပေးပါလိမ့်မယ်။
  2. နောက်ထပ် Theme အသစ်ပြောင်းသုံးတိုင်းလည်း အဲဒီ Theme ရဲ့ functions.php ဖိုင်မှာ ထည့်ပေးဖို့ လိုပါမယ်။

3. Protact from htaccess - htaccess မှ ကာကွယ်ပါ။

Problem - WordPress ရဲ့ Directory structure ဟာ ပုံမှန်အတိုင်းဆိုရင် အကာအကွယ်မရှိပါဘူး။ အကာအကွယ် မရှိတဲ့ WordPress site တစ်ခုကို example.com/wp-content/uploads/ လို့ ကြည့်လိုက်ရင် ပုံမှာပြထားသလို Directory တစ်ခုလုံးထွက်လာတာ မြင်ရပါလိမ့်မယ်။

WordPress upload folder without htaccess protection

ကျွန်တော်စမ်းသပ်ခဲ့တဲ့ မြန်မာ WordPress blog တွေမှာ ဒီပြဿနာကို မရှင်းဖြစ်ကြသေးတာ တွေ့ခဲ့ရပါတယ်။ ဒီနေရာမှာ မေးစရာ တစ်ခုရှိပါတယ်။ Directory ပဲ မြင်ချင်တဲ့သူမြင်လည်း ဘာဖြစ်သေးလဲ ဆိုပြီး မေးလို့ ရပါတယ်။ အဲဒါဆိုရင်တော့ သဘောပါပဲ။ တကယ်တမ်းတော့ ကိုယ် မမြင်စေချင်တာကို လူတွေ မမြင်တာကတော့ အကောင်းဆုံးပဲ ဖြစ်ပါလိမ့်မယ်။

Solution -

  1. WordPress root folder ထဲက .htaccess ဖိုင်ထဲမှာ "Options -Indexes" လို့ ထည့်ပေးပါ။ Web directory တွေကို Browser တွေကနေ ကြည့်လို့ မရအောင် တားဆီးပေးပါလိမ့်မယ်။
  2. မှန်မှန်ကန်ကန် ရေးထည့်နိုင်ခဲ့မယ်ဆိုရင် example.com/wp-content/uploads/ လို့ ပြန်ရိုက်ကြည့်တဲ့အခါ အခုလို ပုံမျိုးကို မြင်ရပါလိမ့်မယ်။

WordPress upload folder with htaccess protection

Around the Web

Web လောကမှာ နာမည်ကြီး ဆိုက်တစ်ခုဖြစ်တဲ့ Domain Name မှာ "six" လို့စပြီး ရေးထားတဲ့ ဆိုက်တစ်ခုဟာ WordPress Version 2.9.2 ကို သုံးနေဆဲဖြစ်ပြီး၊ မြန်မာဘာသာပြန်ရင် "ပထမဦးဆုံး ဒီဇိုင်နာ" ဆိုတဲ့ ဆိုက်ကတော့ Version 2.8.4 ကို သုံးနေတာ တွေ့ရပါတယ်။ အံ့သြစရာကောင်းတာ တစ်ခုက ဒီဆိုက်နှစ်ခုလုံးမှာ Readme.html ကို ဖြုတ်မထားတဲ့ အပြင်၊ WordPress Generator ကိုလည်း ဖယ်ထုတ်ထားတာ မတွေ့ရပါဘူး။ htaccess နဲ့ အကာအကွယ်လုပ်ထားတာတော့ ရှိပါတယ်။ သူတို့မှာလည်း သီးခြားအကြောင်း ရှိကောင်း ရှိပါလိမ့်မယ်။

မြန်မာ၀က်ဘ်ဆိုက်တွေမှာလည်း ကိုယ်ပိုင် ဘလော့ခ်တွေ အတွက်တော့ ပြဿနာ ရှိချင်မှ ရှိပါလိမ့်မယ်။ ဒါပေမယ့် Commercial site တွေမှာတော့ ပြဿနာ ရှိကောင်း ရှိလာနိုင်ပါတယ်။ Web Developer, Web Designer, Webmaster တစ်ယောက်အနေနဲ့ အထက်မှာ ဖော်ပြခဲ့တဲ့ လုံခြုံရေး လစ်ဟာချက်လေးတွေကို ပိတ်ဆို့ထားလိုက်ရုံနဲ့ နောင်မှာ ကြုံတွေ့ရလာနိုင်တဲ့ မလိုလားအပ်တဲ့ ပြဿနာပေါင်းများစွာကို အထိုက်အလျောက် ကာကွယ်ပေးနိုင်ပါလိမ့်မယ်။

Tags:

  • 27 reads

Add new comment

Similar Articles

  1. Mail and contact import for everyone in Gmail         28 Reads...
  2. How to Install a WYSIWYG text editor in Drupal 7         2,503 Reads...
  3. အတားအဆီးများကို ဖော်ထုတ်ခြင်း (၂) - သူတို့ကြောင့်လား         238 Reads...
  4. Putting Scripts at the Bottom of the Web Pages - Scripts များကို အင်တာနက်စာမျက်နှာ၏ အောက်ပိုင်းတွင်ထားရှိခြင်း         176 Reads...
  5. 3 Essential Security Tips for Every WordPress Site         27 Reads...
  6. Introduction to System Administration & Troubleshooting - စနစ်ပြုပြင် ထိန်းသိမ်းခြင်းနှင့် ပြဿနာရှင်းလင်းခြင်း - နိဒါန်း         3,694 Reads...
  7. Managing and Administering Drupal Sites With Drush - Resources & Videos         1,050 Reads...