3 Essential Security Tips for Every WordPress Site

WordPress installation with default readme file၀က်ဘ်ဆိုက် ဒါမှမဟုတ် ဘလော့ခ် ပိုင်ရှင်တစ်ယောက်ဟာ စာတွေ ပုံမှန်ရေးနေရုံ၊ ၀က်ဘ်ဆိုက်ထဲက အကြောင်းအရာတွေကို ပုံမှန် Update လုပ်နေရုံနဲ့ မပြီးသေးပါဘူး။ ကိုယ့်ဆိုက်မှာ သုံးထားတဲ့ ဆော့ဖ်၀ဲတွေ Update ဖြစ်မဖြစ်၊ လာကြည့်တဲ့သူတွေ အသုံးပြုရတာ အဆင်ပြေမပြေ စတာတွေကိုလည်း အမြဲတမ်း စစ်ဆေးနေရပါသေးတယ်။ အများသိစေချင်တဲ့ အကြောင်းအရာတွေကို အများ အလွယ်တကူ သိအောင်၊ မသိစေချင်တာတွေကို မသိအောင် စတဲ့ လုံခြုံရေး (Webstie Security) ကိုလည်း လုပ်ဖို့ တာ၀န်ရှိပါတယ်။ ဒီဆောင်းပါးမှာတော့ WordPress website အတော်များများမှာ သတိမမူဘဲ အမှတ်တမဲ့ ထားလို့ ဖြစ်ပေါ်နေတဲ့ အရေးကြီးတဲ့ ၀က်ဘ်ဆိုက် လုံခြုံရေး ပြဿနာများနဲ့ ဖြေရှင်းနည်းများ (Website security problems and Solutions) ကို ေ၀မျှသွားပါ့မယ်။

Requirements - WordPress, htaccess

1. Rename the Readme file - Readme ဖိုင်ကို အမည်ပြောင်းပါ။

Problem - WordPress root folder ထဲမှာ Read Me ဆိုတဲ့ ဖိုင်လေး ရှိပါတယ်။ အဲဒီဖိုင်က Default name အနေနဲ့ readme.html ဆိုပြီး ပါနေတာပါ။ http://example.com/readme.html လို့ ရိုက်ကြည့်လိုက်တာနဲ့ အဲဒီဖိုင်ကို မြင်ရပါတယ်။ Wordpress နဲ့ လုပ်ထားတဲ့ site အတော်များများမှာ ဒီဖိုင်ကို အမှတ်တမဲ့နဲ့ ဒီအတိုင်းထားတာ များပါတယ်။ ဒီနေ့ပဲ မြန်မာနဲ့ ကမ္ဘာက နာမည်ကြီး Wordpress blog အတော်များများကို လိုက်စမ်းကြည့်တာ အံ့သြစရာ ကောင်းလောက်အောင်ကို Readme file တွေကို ဒီအတိုင်းထားကြတာ မြင်ခဲ့ရပါတယ်။ ဒီဖိုင်က ဘာမှမပါရင် ပြဿနာမရှိပေမယ့် WordPress Version နံပါတ်ပါနေတဲ့အတွက် ပြဿနာ ဖြစ်လာပါတယ်။ ကိုယ်ရဲ့ WordPress version ကို အမြဲတမ်း Update to Date ဖြစ်အောင် လုပ်နေတဲ့ ၀က်ဘ်ဆိုက်တွေအတွက်တော့ Version နံပါတ်ကို လူသိတာဟာ ပြဿနာမရှိပေမယ့် Update မလုပ်ထားမိတဲ့ ဆိုက်ဆိုရင်တော့ လုံခြုံရေးပြဿနာ ရှိလာပါပြီ။

Solution -

  1. ကိုယ့်ဆိုက်ကို အမြဲတမ်း Update လုပ်ထားပါ။
  2. WordPress version update တိုင်းမှာ Security update တွေ ပါလေ့ရှိပါတယ်။
  3. ပြီးတော့ readme.html ကို အမည်ပြောင်းပါ။
  4. သူတပါး မခန့်မှန်းနိုင်တဲ့ အမည်ဖြစ်အောင် ပြောင်းလိုက်ပါ။
  5. ဒါမှမဟုတ်ရင် တစ်နေရာကို ရွှေ့ထားလိုက်ပါ။
  6. လုံး၀ မလိုအပ်ဘူးလို့ ယူဆရင် ဖျက်ပစ်လိုက်ပါ။

2. Remove WordPress Version - WordPress ဗားရှင်းနံပါတ်ကို ဖယ်ထုတ်ပါ။

Problem - <meta name="generator" content="WordPress x.x.x" /> ဆိုတာ Wordpress ကို သုံးထားတဲ့ ၀က်ဘ်ဆိုက်တွေကို View Source ကြည့်လိုက်ရင် မြင်ရတဲ့ အနေအထားပါ။ WordPress meta generator code တကယ်လို့ အဲဒီ Generator code ကို ဖြုတ်ထားလိုက်ရင် ကိုယ်သုံးထားတဲ့ WordPress version ကို လူမသိတော့ပါဘူး။ ကျွန်တော်စမ်းကြည့်တဲ့ မြန်မာ WordPress blog အားလုံးနီးပါးနဲ့ ကမ္ဘာ့ နာမည်ကြီး WordPress blog တွေအားလုံးမှာ Generator code ကို ဖြုတ်ထားတာ တွေ့ရပါတယ်။ တကယ်လို့ စာဖတ်သူရဲ့ WordPress blog ကို Viewsource ကြည့်လိုက်လို့ အထက်မှာ ဖော်ပြခဲ့တဲ့ Generator code ပါနေခဲ့တယ်ဆိုရင်တော့ ဖယ်ထုတ်နည်း ရှိပါတယ်။

Solution -

  1. remove_action( 'wp_head', 'wp_generator'); ဆိုတဲ့ function လေးကို wp-content/themes/THEME-NAME/functions.php ထဲမှာ ရေးပေးလိုက်ပါ။ Generator code နဲ့ Version နံပါတ်ကို ဖယ်ထုတ်ပေးပါလိမ့်မယ်။
  2. နောက်ထပ် Theme အသစ်ပြောင်းသုံးတိုင်းလည်း အဲဒီ Theme ရဲ့ functions.php ဖိုင်မှာ ထည့်ပေးဖို့ လိုပါမယ်။

3. Protact from htaccess - htaccess မှ ကာကွယ်ပါ။

Problem - WordPress ရဲ့ Directory structure ဟာ ပုံမှန်အတိုင်းဆိုရင် အကာအကွယ်မရှိပါဘူး။ အကာအကွယ် မရှိတဲ့ WordPress site တစ်ခုကို example.com/wp-content/uploads/ လို့ ကြည့်လိုက်ရင် ပုံမှာပြထားသလို Directory တစ်ခုလုံးထွက်လာတာ မြင်ရပါလိမ့်မယ်။

WordPress upload folder without htaccess protection

ကျွန်တော်စမ်းသပ်ခဲ့တဲ့ မြန်မာ WordPress blog တွေမှာ ဒီပြဿနာကို မရှင်းဖြစ်ကြသေးတာ တွေ့ခဲ့ရပါတယ်။ ဒီနေရာမှာ မေးစရာ တစ်ခုရှိပါတယ်။ Directory ပဲ မြင်ချင်တဲ့သူမြင်လည်း ဘာဖြစ်သေးလဲ ဆိုပြီး မေးလို့ ရပါတယ်။ အဲဒါဆိုရင်တော့ သဘောပါပဲ။ တကယ်တမ်းတော့ ကိုယ် မမြင်စေချင်တာကို လူတွေ မမြင်တာကတော့ အကောင်းဆုံးပဲ ဖြစ်ပါလိမ့်မယ်။

Solution -

  1. WordPress root folder ထဲက .htaccess ဖိုင်ထဲမှာ "Options -Indexes" လို့ ထည့်ပေးပါ။ Web directory တွေကို Browser တွေကနေ ကြည့်လို့ မရအောင် တားဆီးပေးပါလိမ့်မယ်။
  2. မှန်မှန်ကန်ကန် ရေးထည့်နိုင်ခဲ့မယ်ဆိုရင် example.com/wp-content/uploads/ လို့ ပြန်ရိုက်ကြည့်တဲ့အခါ အခုလို ပုံမျိုးကို မြင်ရပါလိမ့်မယ်။

WordPress upload folder with htaccess protection

Around the Web

Web လောကမှာ နာမည်ကြီး ဆိုက်တစ်ခုဖြစ်တဲ့ Domain Name မှာ "six" လို့စပြီး ရေးထားတဲ့ ဆိုက်တစ်ခုဟာ WordPress Version 2.9.2 ကို သုံးနေဆဲဖြစ်ပြီး၊ မြန်မာဘာသာပြန်ရင် "ပထမဦးဆုံး ဒီဇိုင်နာ" ဆိုတဲ့ ဆိုက်ကတော့ Version 2.8.4 ကို သုံးနေတာ တွေ့ရပါတယ်။ အံ့သြစရာကောင်းတာ တစ်ခုက ဒီဆိုက်နှစ်ခုလုံးမှာ Readme.html ကို ဖြုတ်မထားတဲ့ အပြင်၊ WordPress Generator ကိုလည်း ဖယ်ထုတ်ထားတာ မတွေ့ရပါဘူး။ htaccess နဲ့ အကာအကွယ်လုပ်ထားတာတော့ ရှိပါတယ်။ သူတို့မှာလည်း သီးခြားအကြောင်း ရှိကောင်း ရှိပါလိမ့်မယ်။

မြန်မာ၀က်ဘ်ဆိုက်တွေမှာလည်း ကိုယ်ပိုင် ဘလော့ခ်တွေ အတွက်တော့ ပြဿနာ ရှိချင်မှ ရှိပါလိမ့်မယ်။ ဒါပေမယ့် Commercial site တွေမှာတော့ ပြဿနာ ရှိကောင်း ရှိလာနိုင်ပါတယ်။ Web Developer, Web Designer, Webmaster တစ်ယောက်အနေနဲ့ အထက်မှာ ဖော်ပြခဲ့တဲ့ လုံခြုံရေး လစ်ဟာချက်လေးတွေကို ပိတ်ဆို့ထားလိုက်ရုံနဲ့ နောင်မှာ ကြုံတွေ့ရလာနိုင်တဲ့ မလိုလားအပ်တဲ့ ပြဿနာပေါင်းများစွာကို အထိုက်အလျောက် ကာကွယ်ပေးနိုင်ပါလိမ့်မယ်။

Add new comment

Similar Articles

Featured Articles