Afrikaans
Azərbaycan
Bosanski
Čeština
Dansk
Deutsch
English
Español
Filipino
Français
Hrvatski
Indonesia
Italiano
Magyar
Melayu
Nederlands
Norsk
Oʻzbek
Polski
Português
Română
Slovenčina
Slovenščina
Suomi
Svenska
Tiếng Việt
Türkçe
Ελληνικά
Беларуская
Български
Русский
Српски
Українська
עברית
اردو
العربية
پښتو
فارسی
አማርኛ
मराठी
বাংলা
தமிழ்
ไทย
မြန်မာ
한국어
中文
日本語
WordPress လုံခြုံရေး နည်းလမ်းများဆိုတာ WordPress website တစ်ခုကို hack ခံရခြင်း၊ malware ဝင်ခြင်း၊ data ပျောက်ဆုံးခြင်း၊ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်အသုံးပြုခြင်းတို့ကနေ ကာကွယ်ဖို့ လိုအပ်တဲ့ နည်းပညာပိုင်းဆိုင်ရာနဲ့ လုပ်ငန်းစဉ်ပိုင်းဆိုင်ရာ အဆင့်များကို စုစည်းထားတာဖြစ်ပါတယ်။ အကောင်းဆုံးကာကွယ်မှုကို WordPress core ကို အမြဲ update ထားခြင်း၊ ယုံကြည်စိတ်ချရတဲ့ theme နဲ့ plugin များကိုသာ အသုံးပြုခြင်း၊ login လုံခြုံရေးကို ခိုင်မာစေခြင်း၊ backup ကို ပုံမှန်ပြုလုပ်ခြင်း၊ SSL အသုံးပြုခြင်း၊ web application firewall ထားရှိခြင်း၊ လုံခြုံတဲ့ hosting ကိုရွေးချယ်ခြင်းနဲ့ စဉ်ဆက်မပြတ် စောင့်ကြည့်ခြင်းတို့ ပေါင်းစပ်ပြီးမှ ရရှိနိုင်ပါတယ်။ ဒီလမ်းညွှန်မှာ site ပိုင်ရှင်တစ်ဦးဖြစ်စေ၊ administrator တစ်ဦးဖြစ်စေ ဒီနေ့ချက်ချင်း စတင်အသုံးချနိုင်မယ့် လက်တွေ့ကျပြီး ဦးစားပေးအစီအစဉ်ပါရှိတဲ့ WordPress လုံခြုံရေးအဆင့်များကို တွေ့ရပါမယ်။
WordPress ဟာ ပြောင်းလွယ်ပြင်လွယ်ရှိတဲ့ ဖွဲ့စည်းပုံနဲ့ plugin ecosystem ကြီးမားမှုကြောင့် ကမ္ဘာပေါ်မှာ အသုံးအများဆုံး content management system တွေထဲက တစ်ခုဖြစ်ပါတယ်။ လူသုံးများခြင်းက အားသာချက်ဖြစ်သလို တစ်ဖက်မှာလည်း တိုက်ခိုက်သူတွေရဲ့ အာရုံစိုက်မှုကို ပိုမိုရစေပါတယ်။ WordPress site တွေမှာ ဖြစ်ပွားတဲ့ attack အများစုဟာ WordPress software ကိုယ်တိုင်ကြောင့်ထက် password အားနည်းခြင်း၊ update မလုပ်ထားတဲ့ plugin များ၊ မလုံခြုံတဲ့ theme file များ၊ file permission မှားယွင်းခြင်း၊ hosting security မလုံလောက်ခြင်းတို့ကြောင့် ဖြစ်လေ့ရှိပါတယ်။ ဒါကြောင့် လုံခြုံရေးကို plugin တစ်ခုတည်းပေါ် မအပ်နှံသင့်ပါဘူး။ အလွှာလိုက်ကာကွယ်တဲ့ layered security approach လိုအပ်ပါတယ်။
အောက်ပါအကြံပြုချက်များကို blog အသေးစားကနေ corporate website၊ WooCommerce store၊ membership system အထိ WordPress project အမျိုးမျိုးမှာ အသုံးချနိုင်ပါတယ်။ ရည်ရွယ်ချက်က attack မဖြစ်အောင် တားဆီးရုံသာမက ပြဿနာဖြစ်လာခဲ့ရင် မြန်မြန်သိနိုင်ဖို့၊ သန့်ရှင်းတဲ့အခြေအနေကို ပြန်လည် restore လုပ်နိုင်ဖို့နဲ့ user data ကို ကာကွယ်နိုင်ဖို့ပါ။ အထူးသဖြင့် ဝင်ငွေထုတ်ပေးနေတဲ့ website တွေမှာ security ဟာ technical detail သေးသေးလေးမဟုတ်ဘဲ business continuity ရဲ့ အခြေခံအစိတ်အပိုင်းတစ်ခု ဖြစ်ပါတယ်။
WordPress Site တွေကို ဘာကြောင့် ပစ်မှတ်ထားတိုက်ခိုက်ကြသလဲ?
WordPress site တွေကို ပစ်မှတ်ထားတိုက်ခိုက်ကြတဲ့ အဓိကအကြောင်းရင်းက အသုံးပြုသူ အလွန်များခြင်းဖြစ်ပါတယ်။ တိုက်ခိုက်သူတွေက site တစ်ခုချင်းစီကို ကိုယ်တိုင်ရွေးပြီး စစ်ဆေးတာထက် automated bot တွေကို အသုံးပြုပြီး domain ထောင်ပေါင်းများစွာကို scan လုပ်ကြပါတယ်။ plugin version အဟောင်း၊ default username၊ password အားနည်းတာ၊ open ဖြစ်နေတဲ့ admin panel တို့ကို တွေ့တာနဲ့ attack စတင်ကြိုးစားပါတယ်။ ဒီလုပ်ငန်းစဉ်က မကြာခဏ မိနစ်အနည်းငယ်အတွင်း အလိုအလျောက် ဆက်တိုက်ဖြစ်သွားနိုင်ပါတယ်။
တွေ့ရများတဲ့ attack scenario တွေထဲမှာ brute force login attempt၊ malware file upload၊ SQL injection၊ XSS၊ nulled theme အသုံးပြုမှု၊ spam redirect နဲ့ search result ကို လှည့်စားတဲ့ SEO spam attack တွေ ပါဝင်ပါတယ်။ ဥပမာ update မလုပ်ထားတဲ့ form plugin တစ်ခုက တိုက်ခိုက်သူကို server ထဲ file upload လုပ်နိုင်တဲ့ အခွင့်အရေး ပေးနိုင်ပါတယ်။ အလားတူ administrator password က 123456 လို အလွန်အားနည်းတဲ့ password ဖြစ်နေမယ်ဆိုရင် bot တွေက အချိန်တိုအတွင်း စမ်းသပ်နိုင်ပါတယ်။
Attack တစ်ခုရဲ့ သက်ရောက်မှုဟာ website down ဖြစ်သွားတာနဲ့ပဲ မကန့်သတ်ပါဘူး။ Google က security warning ပြနိုင်တယ်၊ advertising account တွေ suspend ဖြစ်နိုင်တယ်၊ customer data အန္တရာယ်ရှိလာနိုင်တယ်၊ brand အပေါ်ယုံကြည်မှုလည်း ထိခိုက်နိုင်ပါတယ်။ ဒါကြောင့် WordPress လုံခြုံရေးကို website live လုပ်တဲ့အချိန်မှ စဉ်းစားတာမဟုတ်ဘဲ project စတင်တဲ့အချိန်ကတည်းက plan ထဲ ထည့်သွင်းရပါမယ်။
အမြန်ဦးစားပေးဇယား: ဘယ်လုံခြုံရေးအချက်က ဘယ်လောက်အရေးကြီးလဲ?
အချိန်ကန့်သတ်ထားရင် ဘယ် security measure ကို အရင်ဦးစားပေးလုပ်သင့်လဲဆိုတာ အောက်ပါဇယားမှာ အကျဉ်းချုပ်ဖော်ပြထားပါတယ်။ အကောင်းဆုံးရလဒ်အတွက် အချက်အားလုံးကို တွဲဖက်အသုံးချသင့်ပါတယ်။
| လုံခြုံရေးအဆင့် | Risk လျော့ကျမှု | လုပ်ဆောင်ရခက်ခဲမှု | အကြံပြုလုပ်ဆောင်နှုန်း |
|---|---|---|---|
| WordPress၊ theme နဲ့ plugin update များ | အလွန်မြင့် | လွယ်ကူ | အပတ်စဉ် စစ်ဆေး |
| ခိုင်မာတဲ့ password နဲ့ two-factor authentication | အလွန်မြင့် | လွယ်ကူ | ချက်ချင်းနဲ့ ဆက်တိုက် |
| ပုံမှန် backup ပြုလုပ်ခြင်း | အလွန်မြင့် | အလယ်အလတ် | နေ့စဉ် သို့မဟုတ် အပတ်စဉ် |
| SSL နဲ့ HTTPS အသုံးပြုခြင်း | မြင့် | လွယ်ကူ | အမြဲတမ်း |
| Firewall နဲ့ malware scan | မြင့် | အလယ်အလတ် | နေ့စဉ် scan |
| File permission နဲ့ wp-config လုံခြုံရေး | အလယ်အလတ်မှ မြင့် | အလယ်အလတ် | လစဉ် စစ်ဆေး |
| လုံခြုံတဲ့ hosting infrastructure | အလွန်မြင့် | လွယ်ကူ | Site တည်ဆောက်စဉ် |
1. WordPress Core၊ Theme နဲ့ Plugin များကို အမြဲ Update ထားပါ
WordPress လုံခြုံရေးမှာ အရေးကြီးဆုံးအဆင့်တွေထဲက တစ်ခုက update ဖြစ်ပါတယ်။ Security vulnerability အများစုကို ရှာဖွေတွေ့ရှိပြီးတာနဲ့ developer တွေက patch ကို အမြန်ထုတ်ပေးလေ့ရှိပါတယ်။ ဒါပေမယ့် site ပိုင်ရှင်က update မလုပ်ထားဘူးဆိုရင် တိုက်ခိုက်သူတွေက လူသိများပြီးသား အားနည်းချက်ကို အသုံးချနိုင်ပါတယ်။ အဟောင်း version ကို ဆက်သုံးနေတာဟာ တံခါး lock အသစ်ထွက်ပြီးပြီဆိုတာ သိရက်နဲ့ lock အဟောင်းကိုပဲ ဆက်သုံးနေတဲ့အိမ်လိုပါပဲ။
Update လုပ်တဲ့အခါ လုံခြုံစွာလုပ်နည်း
- အရင်ဆုံး full site backup ယူပါ။ file တွေနဲ့ database ကို အတူတူ backup လုပ်ထားရပါမယ်။
- ဖြစ်နိုင်ရင် update ကို staging environment မှာ အရင် test လုပ်ပါ။
- ပထမ WordPress core ကို update လုပ်ပြီးနောက် theme နဲ့ plugin များကို update လုပ်ပါ။
- Update ပြီးနောက် home page၊ form များ၊ payment page နဲ့ admin panel ကို စစ်ဆေးပါ။
- မသုံးတော့တဲ့ plugin များကို disable လုပ်ထားရုံမက အပြီးအပိုင် delete လုပ်ပါ။
လက်တွေ့ဥပမာတစ်ခုအနေနဲ့ WooCommerce store တစ်ခုမှာ payment plugin ကို update မလုပ်ခင် test order တစ်ခု ဖန်တီးစမ်းသပ်သင့်ပါတယ်။ Update ပြီးနောက် cart၊ payment၊ email notification နဲ့ stock deduction မှန်ကန်စွာ အလုပ်လုပ်တယ်ဆိုရင် live site ပေါ်မှာ risk ပိုနည်းသွားပါတယ်။ သင့်မှာ technical knowledge ကန့်သတ်ထားရင် managed နဲ့ updated infrastructure ပေးနိုင်တဲ့ hosting ရွေးချယ်မှုက လုပ်ငန်းစဉ်ကို ပိုလွယ်ကူစေပါတယ်။ WordPress ဟော့စတင်း
2. ခိုင်မာတဲ့ Password၊ သီးသန့် Username နဲ့ 2FA ကို အသုံးပြုပါ
Brute force attack ဆိုတာ WordPress login screen ကို username နဲ့ password အတွဲအစပ်တွေ အလိုအလျောက် ပို့ပြီး စမ်းသပ်တဲ့တိုက်ခိုက်မှုဖြစ်ပါတယ်။ Admin ဆိုတဲ့ username နဲ့ အားနည်းတဲ့ password ကို အသုံးပြုနေခြင်းဟာ ယနေ့အထိ တွေ့ရအများဆုံး risk တစ်ခု ဖြစ်နေဆဲပါ။ Administrator account မှာ အနည်းဆုံး 14 character ရှိပြီး uppercase၊ lowercase၊ number နဲ့ symbol ပါဝင်တဲ့ သီးသန့် password တစ်ခုကို အသုံးပြုသင့်ပါတယ်။
Password manager အသုံးပြုခြင်းက account တိုင်းအတွက် မတူညီတဲ့ ခိုင်မာတဲ့ password ဖန်တီးခြင်းကို လွယ်ကူစေပါတယ်။ Email account၊ hosting panel၊ WordPress နဲ့ FTP account တွေမှာ password တစ်ခုတည်းကို ပြန်သုံးတာဟာ အလွန်ကြီးမားတဲ့အမှားပါ။ Account တစ်ခု leak ဖြစ်သွားရင် ကျန်တဲ့ system အားလုံးပါ risk ထဲ ဝင်သွားနိုင်ပါတယ်။
Login လုံခြုံရေးအတွက် လက်တွေ့လုပ်ဆောင်နိုင်တဲ့အဆင့်များ
- admin ဆိုတဲ့ username ကို မသုံးပါနဲ့။ ခန့်မှန်းရခက်တဲ့ administrator name တစ်ခု ဖန်တီးပါ။
- Two-factor authentication ကို enable လုပ်ပါ။
- Failed login attempt အရေအတွက်ကို limit လုပ်ပါ။
- ကြာမြင့်စွာ မသုံးတော့တဲ့ administrator account များကို delete လုပ်ပါ။
- Author၊ editor နဲ့ administrator role များကို လိုအပ်သလောက်သာ permission ပေးပါ။
ဥပမာ blog post တင်ဖို့သာ တာဝန်ရှိတဲ့ team member တစ်ယောက်ကို administrator permission ပေးတာဟာ မလိုအပ်တဲ့ risk တစ်ခု ဖြစ်ပါတယ်။ Content ထည့်သွင်းသူအတွက် author သို့မဟုတ် editor role က လုံလောက်နိုင်ပါတယ်။ Permission ကို အနည်းဆုံးထားခြင်းက account တစ်ခု compromised ဖြစ်သွားရင် ဖြစ်နိုင်တဲ့ ထိခိုက်မှုကို ကန့်သတ်ပေးနိုင်ပါတယ်။
3. ပုံမှန်လုပ်ပြီး Restore ပြန်လုပ်နိုင်တဲ့ Backup Plan တစ်ခု တည်ဆောက်ပါ
Backup ဟာ attack ကို တားဆီးမပေးပါဘူး။ ဒါပေမယ့် attack ဖြစ်ပြီးနောက် website ကို ပြန်ကယ်တင်ပေးနိုင်ပါတယ်။ ဒါကြောင့် security strategy ရဲ့ insurance လို ဖြစ်ပါတယ်။ Backup တစ်ခုက တကယ်တန်ဖိုးရှိဖို့အတွက် backup ယူထားရုံနဲ့ မလုံလောက်ပါဘူး။ restore ပြန်လုပ်နိုင်ရပါမယ်။ Site ပိုင်ရှင်အများစုက backup ရှိတယ်လို့ ထင်ထားပေမယ့် အရေးကြီးတဲ့အချိန်ရောက်မှ database မပါခြင်း၊ file ပျက်နေခြင်း၊ backup အရမ်းဟောင်းနေခြင်းတွေကို တွေ့ရတတ်ပါတယ်။
အကောင်းဆုံး backup plan က site အမျိုးအစားပေါ်မူတည်ပြီး ပြောင်းလဲနိုင်ပါတယ်။ နေ့စဉ် content တင်တဲ့ news site သို့မဟုတ် e-commerce store အတွက် daily backup လိုအပ်ပြီး order များတဲ့ကာလတွေမှာ ပိုမိုမကြာခဏ backup လုပ်သင့်ပါတယ်။ Static corporate profile website တစ်ခုမှာတော့ weekly backup က လုံလောက်နိုင်ပါတယ်။ Backup ကို server တစ်ခုတည်းပေါ်မှာပဲ သိမ်းထားတာ မမှန်ကန်ပါဘူး။ Server ထိခိုက်သွားရင် backup တွေလည်း ပျောက်နိုင်ပါတယ်။
3-2-1 Backup Approach
- 3 copies: live site၊ local backup နဲ့ remote backup။
- 2 different media: server နဲ့ cloud storage လို ကွဲပြားတဲ့နေရာနှစ်မျိုး။
- 1 remote location: တခြား location မှာ သိမ်းထားတဲ့ copy တစ်ခု။
လစဉ် အနည်းဆုံး တစ်ကြိမ် test restore လုပ်ခြင်းက ကောင်းတဲ့အလေ့အထတစ်ခုပါ။ ဒီလိုလုပ်ထားရင် အရေးပေါ်အခြေအနေမှာ website ကို ဘယ်လောက်မြန်မြန် ပြန် online လုပ်နိုင်မလဲဆိုတာ သိနိုင်ပါတယ်။ Hostragons infrastructure မှာ backup option တွေကို စဉ်းစားတဲ့အခါ သင့် project ရဲ့ data ပြောင်းလဲမှုအကြိမ်ရေကို ထည့်တွက်ဖို့ အကြံပြုပါတယ်။ ဟိုက်စတင် ကူးယူခြင်း ဖြေရှင်းချက်များ
4. SSL Certificate နဲ့ HTTPS ကို မဖြစ်မနေ အသုံးပြုပါ
SSL ဟာ visitor နဲ့ server ကြားမှာ သွားလာတဲ့ data ကို encrypt လုပ်ပေးပါတယ်။ Login information၊ contact form၊ payment page နဲ့ membership panel တွေဟာ HTTPS မရှိဘဲ လုံခြုံတယ်လို့ မယူဆနိုင်ပါဘူး။ Modern browser တွေက SSL မသုံးတဲ့ site တွေကို “Not Secure” လို့ သတိပေးပြနိုင်ပါတယ်။ ဒီအချက်က user trust နဲ့ conversion rate ကို ဆိုးရွားစွာ သက်ရောက်စေနိုင်ပါတယ်။
SSL ဟာ e-commerce site တွေအတွက်သာ လိုအပ်တာမဟုတ်ပါဘူး။ Simple blog တစ်ခုမှာတောင် administrator login၊ comment form နဲ့ contact form တွေက data ပို့ဆောင်ပါတယ်။ ဒါကြောင့် WordPress site တိုင်းမှာ SSL active ဖြစ်ရပြီး HTTP request အားလုံးကို HTTPS address သို့ redirect လုပ်ထားသင့်ပါတယ်။ ထို့အပြင် mixed content error ကိုလည်း စစ်ဆေးရပါမယ်။ ဆိုလိုတာက page က HTTPS ဖြစ်နေပေမယ့် image သို့မဟုတ် script အချို့ကို HTTP ကနေ load မလုပ်သင့်ပါဘူး။
SSL install ပြီးနောက် WordPress General Settings ထဲက site address တွေက HTTPS နဲ့ စတင်နေကြောင်း အတည်ပြုပါ။ ပြီးရင် cache clear လုပ်ပြီး browser အမျိုးမျိုးကနေ test လုပ်ပါ။ SSL certificate ရွေးချယ်ခြင်းနဲ့ install လုပ်ခြင်းအတွက် SSL လိုင်စင် စာမျက်နှာကို လေ့လာနိုင်ပါတယ်။
5. ယုံကြည်စိတ်ချရတဲ့ Theme နဲ့ Plugin ကိုသာ ရွေးချယ်ပါ
WordPress site တွေမှာ security vulnerability အရေးကြီးတဲ့ အစိတ်အပိုင်းတစ်ခုက third-party theme နဲ့ plugin တွေကနေ ဖြစ်လာပါတယ်။ အထူးသဖြင့် free လို့ ဖြန့်ဝေထားတဲ့ nulled theme နဲ့ plugin တွေဟာ အန္တရာယ်အလွန်များပါတယ်။ License မရှိတဲ့ file တွေထဲမှာ backdoor၊ spam link၊ crypto mining code သို့မဟုတ် data ခိုးယူတဲ့ script ထည့်သွင်းထားနိုင်ပါတယ်။
Plugin တစ်ခု install မလုပ်ခင် စစ်ဆေးရန် checklist
- နောက်ဆုံး update date က မကြာသေးဘူးလား?
- Active installation အရေအတွက်နဲ့ user review တွေက ယုံကြည်စိတ်ချရလား?
- Developer က လူသိများပြီး support ပေးနိုင်တဲ့ team လား?
- Plugin က သင့်လိုအပ်ချက်ကို တကယ်ဖြေရှင်းပေးနိုင်လား?
- တူညီတဲ့လုပ်ဆောင်ချက်ရှိတဲ့ plugin အများအပြား install လုပ်ထားသလား?
Plugin နည်းတာက အမြဲတမ်း အလိုအလျောက်ပိုလုံခြုံတယ်လို့ မဆိုလိုပါဘူး။ အရေးကြီးတာက quality ကောင်း၊ update ပုံမှန်ရပြီး တကယ်လိုအပ်တဲ့ plugin ကို အသုံးပြုခြင်းပါ။ ဒါပေမယ့် plugin တစ်ခုချင်းစီက code layer အသစ်တစ်ခု ထပ်ထည့်တာဖြစ်လို့ attack surface ကို တိုးစေပါတယ်။ ဥပမာ heading color ပြောင်းဖို့သာလိုအပ်တဲ့အချိန်မှာ page builder ကြီးတစ်ခု install လုပ်တာက performance နဲ့ security နှစ်方面လုံးမှာ မလိုအပ်တဲ့ burden ဖြစ်နိုင်ပါတယ်။
6. Web Application Firewall နဲ့ Malware Scan ကို အသုံးပြုပါ
Web application firewall ဆိုတာ သင့် site သို့ ဝင်လာတဲ့ traffic ကို analysis လုပ်ပြီး သံသယဖြစ်စရာ request တွေကို တားဆီးပေးတဲ့ကာကွယ်ရေးအလွှာဖြစ်ပါတယ်။ SQL injection attempt၊ malicious file upload ကြိုးစားမှု၊ bot traffic နဲ့ brute force attack အချို့ကို ဒီအလွှာမှာ filter လုပ်နိုင်ပါတယ်။ WAF ဟာ WordPress security မှာ ရှေ့တန်းကာကွယ်ရေးလို အလုပ်လုပ်ပါတယ်။
Malware scan ကတော့ file change တွေ၊ သံသယဖြစ်စရာ code snippet တွေ၊ လူသိများတဲ့ malware signature တွေကို စစ်ဆေးပေးပါတယ်။ အပတ်စဉ် manual scan လုပ်တာထက် daily automatic scan က ပိုထိရောက်ပါတယ်။ အထူးသဖြင့် wp-content/uploads directory ထဲမှာ executable file တွေ တွေ့ရခြင်းက အန္တရာယ်ရှိတဲ့အချက်ပါ။ ပုံမှန်အားဖြင့် image upload folder ထဲမှာ PHP file မရှိသင့်ပါဘူး။
Security plugin ရွေးတဲ့အခါ feature များတာကိုပဲ မကြည့်ဘဲ site ကို မနှေးစေခြင်းနဲ့ update ပုံမှန်ရခြင်းကိုလည်း ဂရုပြုပါ။ Server-side security measure တွေနဲ့ အတူတကွ အလုပ်လုပ်နိုင်တဲ့ solution က ပိုမိုမျှတတဲ့ရလဒ်ပေးနိုင်ပါတယ်။ ဝက်ဘ်ဟော့စတင်းလုံခြုံမှု
7. File Permission၊ wp-config.php နဲ့ Directory Access ကို စစ်ဆေးပါ
File permission မှားယွင်းခြင်းက တိုက်ခိုက်သူတွေကို file ပြင်ဆင်ခြင်း သို့မဟုတ် file အသစ်ထည့်သွင်းခြင်းကို ပိုလွယ်ကူစေနိုင်ပါတယ်။ ယေဘုယျ practice အရ folder တွေအတွက် 755၊ file တွေအတွက် 644 permission ကို အသုံးများပါတယ်။ wp-config.php လို sensitive file တွေကိုတော့ ပိုတင်းကျပ်စွာ ကာကွယ်ရပါမယ်။ ဒီ file ထဲမှာ database username၊ password နဲ့ security key တွေလို အရေးကြီးတဲ့အချက်အလက်တွေ ပါဝင်ပါတယ်။
WordPress admin panel ကနေ file editing ကို disable လုပ်ထားခြင်းကလည်း ကောင်းတဲ့ security step တစ်ခုပါ။ ဒီလိုလုပ်ထားရင် administrator account တစ်ခု compromised ဖြစ်သွားရင်တောင် တိုက်ခိုက်သူက theme editor မှတစ်ဆင့် malicious code ကို တိုက်ရိုက်ထည့်နိုင်မှာ မဟုတ်ပါဘူး။ ထို့အပြင် directory listing ကိုလည်း ပိတ်ထားရပါမယ်။ Visitor တွေက folder content ကို မမြင်နိုင်သင့်ပါဘူး။
စစ်ဆေးသင့်တဲ့အချက်များ
- wp-config.php file ကို လူတိုင်း read လုပ်နိုင်တဲ့အနေအထား မဖြစ်သင့်ပါ။
- Uploads folder ထဲမှာ executable file တွေ ရှိမရှိ စစ်ဆေးရပါမယ်။
- မလိုအပ်တော့တဲ့ backup အဟောင်း၊ zip နဲ့ sql file တွေကို web root directory ထဲ မထားသင့်ပါ။
- Default database table prefix ကို installation အဆင့်မှာ ပြောင်းသင့်ပါ။
- Debug mode ကို live site ပေါ်မှာ ပိတ်ထားရပါမယ်။
အထူးသဖြင့် migration ပြီးနောက် old site backup တွေကို public_html ထဲမှာ ထားခဲ့တာဟာ တွေ့ရများတဲ့အမှားတစ်ခုပါ။ တိုက်ခိုက်သူတွေက backup.zip၊ eski.sql သို့မဟုတ် site-yedek.tar လို file name တွေကို automated scan လုပ်နိုင်ပါတယ်။
8. လုံခြုံတဲ့ Hosting ရွေးချယ်မှုက WordPress Security ရဲ့ အခြေခံပါ
WordPress security ကို application layer တစ်ခုတည်းမှာ မဖြေရှင်းနိုင်ပါဘူး။ Server update၊ PHP version၊ account isolation၊ malware protection၊ backup infrastructure၊ DDoS protection နဲ့ support quality တွေဟာ hosting provider ရဲ့ တာဝန်နယ်ပယ်ထဲ ပါဝင်ပါတယ်။ Server configuration အားနည်းနေမယ်ဆိုရင် အကောင်းဆုံး security plugin တောင် ကာကွယ်နိုင်မှုက ကန့်သတ်သွားနိုင်ပါတယ်။
နောက်ဆုံးပေါ် PHP version ကို အသုံးပြုခြင်းက performance နဲ့ security နှစ်方面လုံးအတွက် အရေးကြီးပါတယ်။ PHP version အဟောင်းတွေက security update မရနိုင်တော့တဲ့အခြေအနေ ရှိနိုင်ပါတယ်။ ထို့အပြင် hosting account တစ်ခုချင်းစီကို isolate လုပ်ထားရပါမယ်။ Server တူပေါ်က အခြား site တစ်ခု hack ခံရတာကြောင့် သင့် site ကို မထိခိုက်သင့်ပါဘူး။
Hosting ရွေးတဲ့အခါ ဒီမေးခွန်းတွေကို မေးပါ။ Automatic backup ရှိလား? SSL ကို လွယ်ကူစွာ install လုပ်နိုင်လား? Server-side firewall ရှိလား? Malware ဖြစ်လာရင် support team က လမ်းညွှန်ပေးနိုင်လား? PHP version တွေ update ဖြစ်လား? Traffic တိုးလာရင် resource upgrade လုပ်နိုင်လား? ဒီအချက်တွေမှာ ခိုင်မာတဲ့ infrastructure အတွက် Hostragons ဟိုစတင်းပက်ကေ့များ ကို လေ့လာနိုင်ပါတယ်။ Project အသစ် စတင်မယ်ဆိုရင် domain management ကိုလည်း လုံခြုံအောင်ထားဖို့ ဒိုမိန်း စာရင်းစစ်ခြင်းနှင့် မှတ်ပုံတင်ခြင်း စာမျက်နှာကို အသုံးပြုနိုင်ပါတယ်။
9. Admin Panel၊ XML-RPC နဲ့ Login URL လုံခြုံရေး
WordPress admin panel ဟာ တိုက်ခိုက်သူတွေ အများဆုံး စမ်းသပ်ကြတဲ့နေရာတွေထဲက တစ်ခုပါ။ Login attempt ကို limit လုပ်ခြင်းနဲ့ two-factor authentication အသုံးပြုခြင်းဟာ အခြေခံအဆင့်ဖြစ်ပါတယ်။ ထို့အပြင် site အချို့မှာ XML-RPC feature မလိုအပ်ဘူးဆိုရင် ပိတ်ထားနိုင်ပါတယ်။ XML-RPC ကို အတိတ်မှာ pingback attack နဲ့ brute force attempt တွေအတွက် မသင့်လျော်စွာ အသုံးချခဲ့ကြပါတယ်။
Login URL address ကို ပြောင်းခြင်းက တစ်ခုတည်းနဲ့ ခိုင်မာတဲ့ security method မဟုတ်ပါဘူး။ ဒါပေမယ့် bot traffic ကို လျော့စေနိုင်ပါတယ်။ ဒီအဆင့်ကို hiding technique တစ်ခုအနေနဲ့ အားကိုးမနေဘဲ အခြား security measure တွေကို ပံ့ပိုးတဲ့ auxiliary step အဖြစ်သာ တွေးသင့်ပါတယ်။ အဓိကလုံခြုံရေးကို ခိုင်မာတဲ့ password၊ 2FA၊ limited login attempt နဲ့ WAF တို့က ပေးပါတယ်။
Admin panel ကို IP address တချို့ကနေသာ ဝင်ခွင့်ပေးခြင်းက corporate site တွေမှာ ထိရောက်နိုင်ပါတယ်။ ဒါပေမယ့် dynamic IP သုံးတဲ့ team တွေမှာ သေချာစီစဉ်ရပါမယ်။ မဟုတ်ရင် authorized user တွေပါ panel ကို ဝင်မရဖြစ်နိုင်ပါတယ်။ ဒါကြောင့် restriction တစ်ခုချင်းစီ မလုပ်ခင် recovery plan ရှိထားရပါမယ်။
10. User Role နဲ့ Content Workflow ကို လုံခြုံအောင်ထားပါ
စာရေးသူများတဲ့ blog၊ agency က စီမံခန့်ခွဲတဲ့ site နဲ့ e-commerce team တွေအတွက် user role management ဟာ အလွန်အရေးကြီးပါတယ်။ User တစ်ယောက်ချင်းစီကို သူ့တာဝန်လုပ်ဖို့ လိုအပ်တဲ့ permission သာ ပေးရပါမယ်။ ဒီသဘောတရားကို principle of least privilege လို့ ခေါ်ပါတယ်။
ဥပမာ SEO specialist တစ်ယောက်က content edit လုပ်ဖို့ပဲ လိုအပ်တယ်ဆိုရင် administrator role မလိုပါဘူး။ Accounting team က order တွေကို ကြည့်ဖို့ပဲ လိုအပ်တယ်ဆိုရင် theme နဲ့ plugin install လုပ်ခွင့် မရှိသင့်ပါဘူး။ အလုပ်ထွက်သွားတဲ့ ဝန်ထမ်းတွေရဲ့ account တွေကို ချက်ချင်းပိတ်သင့်ပြီး shared administrator account မသုံးသင့်ပါဘူး။ Shared account တွေဟာ action တစ်ခုဖြစ်တဲ့အခါ ဘယ်သူလုပ်ခဲ့သလဲဆိုတာ သိဖို့ မဖြစ်နိုင်အောင် လုပ်ပစ်ပါတယ်။
ထို့အပြင် media upload permission ရှိတဲ့ user တွေအတွက် file type restriction ထားသင့်ပါတယ်။ SVG လို file type အချို့ဟာ configuration မှားနေရင် malicious code သယ်ဆောင်နိုင်ပါတယ်။ Content workflow ထဲမှာ security check ထည့်သွင်းခြင်းက technical attack တွေကိုသာမက လူ့အမှားကြောင့် ဖြစ်နိုင်တဲ့ risk တွေကိုပါ လျော့ကျစေပါတယ်။
11. သင့် Site သန့်ရှင်းနေတယ်ဆိုတာ ဘယ်လိုသိနိုင်မလဲ?
WordPress site တစ်ခု hack ခံထားရတာကို သိရှိဖို့ အမြဲလွယ်ကူတာ မဟုတ်ပါဘူး။ တစ်ခါတစ်ရံ home page က ပုံမှန်အတိုင်းမြင်ရပေမယ့် search engine တွေကို မတူတဲ့ content ပြနေနိုင်ပါတယ်။ တစ်ခါတစ်ရံ mobile user တွေကိုသာ gambling page သို့မဟုတ် fake promotion page တွေဆီ redirect လုပ်နိုင်ပါတယ်။ ဒါကြောင့် ပုံမှန်စစ်ဆေးခြင်း မဖြစ်မနေ လိုအပ်ပါတယ်။
သံသယဖြစ်စရာလက္ခဏာများ
- Google search result မှာ သင့် site နဲ့ မသက်ဆိုင်တဲ့ title တွေ ပေါ်လာခြင်း။
- Admin panel ထဲမှာ မသိတဲ့ user account တွေ ပေါ်လာခြင်း။
- Server ထဲမှာ မထင်မှတ်ထားတဲ့ PHP file သို့မဟုတ် random name folder တွေ ရှိနေခြင်း။
- Site ဖွင့်တဲ့အခါ မမျှော်လင့်ထားတဲ့ redirect ဖြစ်ခြင်း။
- Hosting resource usage ရုတ်တရက် မြင့်တက်ခြင်း။
- Email sending reputation ပျက်စီးခြင်း သို့မဟုတ် spam complaint ရခြင်း။
ဒီလက္ခဏာတွေထဲက တစ်ခုတွေ့ရင် ပထမဆုံး site ကို စိတ်ပူပြီး အလျင်အမြန် delete မလုပ်ပါနဲ့။ လက်ရှိအခြေအနေကို backup ယူပါ၊ access log တွေကို စစ်ဆေးပါ၊ password အားလုံးပြောင်းပါ၊ update တွေ ပြီးမြောက်အောင်လုပ်ပါ၊ malicious file တွေကို သန့်ရှင်းပါ။ Clean-up ပြီးနောက် Google Search Console ကနေ security issue တွေကို စစ်ဆေးပြီး လိုအပ်ရင် reconsideration request ပို့ရပါမယ်။
12. လစဉ် WordPress Security Checklist
Security ဟာ တစ်ကြိမ်တည်း install လုပ်ပြီးပြီးဆုံးတဲ့အရာမဟုတ်ဘဲ ပုံမှန် maintenance process တစ်ခု ဖြစ်ပါတယ်။ အောက်ပါ checklist ကို လစဉ်တစ်ကြိမ် အသုံးချခြင်းက risk အများအပြားကို ကြီးမားမလာခင် ဖမ်းမိစေပါတယ်။
- WordPress core၊ theme နဲ့ plugin များ update ဖြစ်နေပြီလား?
- မသုံးတော့တဲ့ plugin၊ theme နဲ့ user account တွေ delete လုပ်ပြီးပြီလား?
- Backup တွေ အချိန်မီယူနေပြီး restore test လုပ်ပြီးပြီလား?
- SSL certificate က valid ဖြစ်ပြီး HTTPS redirect အဆင်ပြေနေလား?
- Failed login attempt မှာ ပုံမှန်မဟုတ်တဲ့ တိုးတက်မှု ရှိလား?
- Security scan မှာ သံသယဖြစ်စရာ file report ထွက်လာလား?
- File permission နဲ့ wp-config.php protection မှန်ကန်လား?
- Search Console security နဲ့ manual action report တွေ သန့်ရှင်းနေသလား?
ဒီ checklist ကို team ထဲမှာ တာဝန်ခွဲဝေနိုင်ပါတယ်။ ဥပမာ technical person က update တွေအတွက် တာဝန်ယူနိုင်ပြီး content manager က user account တွေကို စစ်ဆေးနိုင်ပါတယ်။ Business owner က backup နဲ့ hosting contract အတွက် တာဝန်ယူနိုင်ပါတယ်။ တာဝန်ဝတ္တရားကို ရှင်းလင်းစွာ ခွဲဝေထားခြင်းက security ကို မေ့လျော့သွားခြင်းမှ ကာကွယ်ပေးပါတယ်။
WordPress Security အတွက် ရှောင်ကြဉ်သင့်တဲ့ အမှားများ
အမှားအချို့က သေးငယ်သလို ထင်ရပေမယ့် ကြီးမားတဲ့ security problem ဖြစ်စေနိုင်ပါတယ်။ အတွေ့ရအများဆုံးအမှားက security plugin တစ်ခု install လုပ်လိုက်ရုံနဲ့ လုံခြုံရေးကို ဖြေရှင်းပြီးပြီလို့ ထင်ခြင်းပါ။ Security plugin က အသုံးဝင်ပါတယ်။ ဒါပေမယ့် update၊ backup၊ hosting၊ password နဲ့ user management မရှိဘဲ တစ်ခုတည်းနဲ့ မလုံလောက်ပါဘူး။
- Nulled theme သို့မဟုတ် license မရှိတဲ့ plugin အသုံးပြုခြင်း။
- Password တစ်ခုတည်းကို account အများအပြားမှာ အသုံးပြုခြင်း။
- Backup တွေကို ဘယ်တော့မှ test မလုပ်ခြင်း။
- Live site ပေါ်မှာ debug mode ကို ဖွင့်ထားခြင်း။
- PHP version အဟောင်းပေါ်မှာ ဆက်လက်အလုပ်လုပ်နေခြင်း။
- Team member အားလုံးကို administrator permission ပေးခြင်း။
- Public directory ထဲမှာ database backup အဟောင်းတွေ ထားခဲ့ခြင်း။
ဒီအမှားတွေကို ရှောင်ကြဉ်ခြင်းက automated attack အများစုရဲ့ အောင်မြင်နိုင်ခြေကို သိသိသာသာ လျော့ကျစေပါတယ်။ Security ရဲ့ရည်ရွယ်ချက်က 100% attack မဖြစ်နိုင်ဘူးလို့ အာမခံပေးတာမဟုတ်ဘဲ risk ကို လျှော့ချပြီး incident ဖြစ်လာတဲ့အချိန်မှာ ထိန်းချုပ်နိုင်စွာ လှုပ်ရှားနိုင်ဖို့ပါ။
မေးလေ့ရှိသော မေးခွန်းများ
WordPress site တစ်ခုကို လုံးဝ hack မခံရအောင် လုပ်နိုင်ပါသလား?
ဘယ် website အတွက်မှ 100% hack မခံရနိုင်ဘူးဆိုတဲ့ အာမခံ မပေးနိုင်ပါဘူး။ ဒါပေမယ့် update များ၊ ခိုင်မာတဲ့ password၊ 2FA၊ WAF၊ SSL၊ ပုံမှန် backup နဲ့ လုံခြုံတဲ့ hosting ကို အသုံးပြုခြင်းအားဖြင့် risk ကို အများကြီး လျှော့ချနိုင်ပါတယ်။ အရေးကြီးတာက layered defense တည်ဆောက်ပြီး ပုံမှန်စစ်ဆေးခြင်းပါ။
WordPress security plugin အသုံးပြုရုံနဲ့ လုံလောက်ပါသလား?
မလုံလောက်ပါဘူး။ Security plugin ဟာ အသုံးဝင်တဲ့ tool တစ်ခုဖြစ်ပေမယ့် တစ်ခုတည်းနဲ့ မလုံလောက်ပါဘူး။ Plugin အပြင် updated software၊ secure hosting၊ မှန်ကန်တဲ့ file permission၊ ခိုင်မာတဲ့ password များ၊ backup plan နဲ့ user role management တို့ကိုလည်း အသုံးချရပါမယ်။
WordPress backup ကို ဘယ်လောက်မကြာခဏ ယူသင့်ပါသလဲ?
Content မကြာခဏ ပြောင်းလဲတဲ့ site တွေမှာ daily backup ကို အကြံပြုပါတယ်။ WooCommerce လို order လက်ခံတဲ့ site တွေမှာ ပိုမိုမကြာခဏ backup လိုအပ်နိုင်ပါတယ်။ Update နည်းတဲ့ corporate site တွေမှာ weekly backup က လုံလောက်နိုင်ပါတယ်။ အရေးကြီးဆုံးက backup တွေကို ပုံမှန် restore test ဖြတ်သန်းစစ်ဆေးခြင်းပါ။
SSL certificate က WordPress security အတွက် ဘာကြောင့် အရေးကြီးပါသလဲ?
SSL ဟာ visitor နဲ့ server ကြား သွားလာတဲ့ data ကို encrypt လုပ်ပေးပါတယ်။ Login information၊ form data နဲ့ payment data တွေဟာ HTTPS မရှိရင် risk ထဲဝင်နိုင်ပါတယ်။ ထို့အပြင် browser security warning မပေါ်အောင် ကာကွယ်ပေးပြီး user တွေ site ကို ယုံကြည်စေဖို့ ကူညီပါတယ်။
WordPress site hack ခံရပြီဆိုရင် ပထမဆုံး ဘာလုပ်သင့်ပါသလဲ?
ပထမဆုံး လက်ရှိအခြေအနေကို backup ယူပါ။ ထို့နောက် password အားလုံးပြောင်းပြီး site ကို maintenance mode ထဲ ထားပါ။ Malware file scan လုပ်ပါ၊ update တွေ ပြီးမြောက်အောင်လုပ်ပါ၊ မသိတဲ့ user များကို delete လုပ်ပါ၊ clean backup ကနေ restore ပြန်လုပ်နိုင်ခြေကို စဉ်းစားပါ။ Clean-up ပြီးနောက် Search Console security report တွေကို စစ်ဆေးပါ။
နိဂုံး: လုံခြုံတဲ့ WordPress အတွက် သေးငယ်တဲ့အဆင့်တွေက ကြီးမားတဲ့ကွာခြားမှု ဖြစ်စေပါတယ်
WordPress လုံခြုံရေး နည်းလမ်းများဟာ တစ်ကြိမ်တည်းလုပ်ပြီး ပြီးဆုံးသွားတဲ့အလုပ်မဟုတ်ဘဲ ပုံမှန်ထိန်းသိမ်းရတဲ့ အလေ့အထတစ်ခု ဖြစ်ပါတယ်။ Update တွေကို လိုက်နာခြင်း၊ ခိုင်မာတဲ့ login security တည်ဆောက်ခြင်း၊ backup တွေကို test လုပ်ခြင်း၊ SSL အသုံးပြုခြင်း၊ ယုံကြည်စိတ်ချရတဲ့ plugin ရွေးချယ်ခြင်းနဲ့ ခိုင်မာတဲ့ hosting infrastructure ကို ရွေးချယ်ခြင်းတို့က သင့် site ရဲ့ခံနိုင်ရည်ကို သိသိသာသာ မြှင့်တင်ပေးပါတယ်။ ဒီနေ့ password နဲ့ backup plan ကိုသာ ပိုကောင်းအောင် ပြင်ဆင်လိုက်တာတောင် သင့် risk ကို လျှော့ချနိုင်ပါတယ်။
သင့် WordPress site ကို ပိုလုံခြုံ၊ ပိုမြန်ပြီး ရေရှည်တည်တံ့တဲ့ infrastructure ပေါ်မှာ host လုပ်ချင်တယ်ဆိုရင် Hostragons solutions တွေကို လေ့လာနိုင်ပါတယ်။ သင့် project နဲ့ ကိုက်ညီတဲ့ hosting၊ domain နဲ့ SSL option တွေကို ရွေးချယ်ပြီး security foundation ကို ပိုမိုခိုင်မာစေနိုင်ပါတယ်။ Hostragons WordPress ဟိုစတင်း SSL လိုင်စင် ဒိုမိန်း မှတ်ပုံတင်
