Friday, April 19, 2013

Widgets

ඔබගේ වර්ඩ්ප්‍රෙස් අඩවිය රැක ගැනීමට පියවර 8ක්

ඉතින් ඉතින්? හුඟ කාලෙකින් ලිපියක් ලියන්න හිතුන. වෙලාව මඳකම කියල බොරු කියන්න ඕනෙ නෑ, ඇත්තටම කම්මැලිකම තමා. 
මම ඉතින් මේ බ්ලොග් එක බ්ලොගර් වල කළාට මම වර්ඩ්ප්‍රෙස් මත කරන බ්ලොග් අඩවි කිහිපයකුත්, වෙබ් අඩවි කිහිපයකුත් තිබෙනවා. පහුගිය දවසක මගෙ හොස්ටිං කොම්පැනියෙන් මට ඊ මේල් එකක් ආව වර්ඩ්ප්‍රෙස් අඩවි වලට බොට්නෙට් එකකින් හැකර් ඇටෑක් එකක් තියෙනව, ඉතින් අඩවි බැකප් කරගන්න හා CloudFlare හරහා ආරක්ෂා කරගන්න කියල.
 ඒ බොට්නෙට් ඇටෑක් එක නම් වෙන්නෙ admin කියන ගිණුමට බොට්නෙට් එක හරහා Bruteforce ඇටෑක් එකක් කරන එක. ඒ කියන්නෙ පාස්වර්ඩ් දහස් ගාණක් දදා බලනව. (මෙන්න තියෙනව නිවුස් එක.)
ඉතින් ඒකෙන් නම් මට කිසිම කරදරයක් වෙන්නෙ නෑ කියල ශුවර්. මොකද ආරක්ෂාව තකා මම එදා ඉඳලම වර්ඩ්ප්‍රෙස් ඉන්ස්ටෝල් කළ ගමන් වෙනත් නමකින් තවත් ඇඩ්මිනිස්ට්‍රේටර් ගිණුමක් හදල admin ගිණුම ඩිලීට් කරල දානව.

ඉතින් මම ටිකක් හොයල බලල සහ අත්දැකීමෙන්, ලිපියක් ලියන්න හිතුව වර්ඩ්ප්‍රෙස් අඩවියක් එවන් කරදර වලින් බේරා ගැනීමට කරන්න පුළුවන් සරළ දේවල් ටිකක් ගැන කියන්න.




1. අලුත් ඇඩ්මින් ගිණුමක් හදන්න.
හුඟක්ම වර්ඩ්ප්‍රෙස් වලට එන්නෙ අර කිව්ව වගේ default "Admin" ගිණුමට එන Brute Force attacks. ඉතින් හැකර්ට මුරපදය විතරක් නෙමෙයි, යූසර් නේම් එකත් හොයන්න උනොත් වැඩේ අමාරු වෙනව නේද? ඉතින් ඔබ මුලින්ම වර්ඩ්ප්‍රෙස් දැම්මම කරන්න ඕනෙ වෙනත් නමක් සහිතව ඇඩ්මින් ගිණුමක් හදල ඉබේ සෑදෙන ඇඩ්මින් ගිණුම ඩිලීට් කරල දාන එකයි. මතක තබාගන්න ඔබ ලිපි එහෙම දාල තිබ්බොත් ඇඩ්මින් ගිණුම ඉවත්කරන්න ඉස්සෙල්ල ඒ ලිපි ඔක්කෝම අලුත් ඇඩ්මින් ගිණුමට ට්‍රාස්න්ෆර් කරන්න. අනිත් එක, අලුත් ඇඩ්මින් ගිණුමට සම්පූර්ණයෙන්ම වෙනස් යූසර් නේම් එකක් ලබාදෙන්න. (admin, administrator, සයිට් එකේ නම එහෙම යොදන්නෙඑපා.)

2. ශක්තිමත් මුරපදයක් යොදන්න.
හුඟක් අය කරන තවත් වැරැද්දක් තමා මේක. මතක තියාගන්න ලේසියට පහසු මුරපද යොදනවා. 
මම දවසක් වර්ඩ්ප්‍රෙස් වලින් හැදුව සිංහල වෙබ් අඩවියකට ගිහිල්ල නිකමට ලොගින් එකට admin හා abc@123 ගැහුව. මෙන්න ලොග් උනා. :D මම ඉතින් මොකුත් කළේ නම් නෑ, වෙබ් අඩවියෙ උන්ට මේල් එකක් දැම්ම ඒක වෙනස් කරන්න කියල. 
ඉතින් ඔබත් අනිවාර්යයෙන්ම ශක්තිමත් මුරපදයක් යොදන්න. අක්ෂර 8ක්වත් අවම වශයෙන් යොදන්න, සිම්පල්, කැපිටල් අකුරු, ඉලක්කම්, සංකේත සමඟ. මේ සියල්ල තිබෙනවා නම් ඉතින් මොකෙක්ටවත් ලේසි වෙන්නෙ නෑ ඔයාගෙ පාස්වර්ඩ් එක හොයන්න. :) (මගෙ සාමාන්‍ය පාස්වර්ඩ් වල අකුරු, ඉලක්කම් හා සංකේත 8-15 අතර තිබෙනවා. මම දන්නව සමහරුන්ගෙ නම් 25ක් විතරත් තියෙනව කියල. :D )

3. නික් නේම් එක වෙනස් කරන්න.
ඔයාගෙ අලුත් ඇඩ්මින් යුසර් නේම් එක පෝස්ට් එකක් ගානෙ තියෙන්න ඕනෙ නෑනෙ. එතකොට ඉතින් අර යුසර් නේම් එක වෙනස් කරල කරගන්න හදපු දේ අසාර්ථක වෙනව. වර්ඩ්ප්‍රෙස් වල තිබෙනව "Nickname" කියල එකක්. අන්න ඒකට වෙනත් නමක් දාන්න. එතකොට ඔබගේ අලුත් ඇඩ්මින් යූසර්නේම් එක පිටතට ප්‍රසිද්ධ වෙන එක වැළකෙනවා.

4. සමහරක් IP Addresses වලින් ලොග් වීම අවහිර කරන්න.
Login Lockdown නමින් ප්ලගිනයක් තිබෙනවා. මෙමගින් අඩවියට ලොග් වන්නන්ගේ IP ලිපින හා ලොග් වන්නට උත්සාහ දරන වේලාවන් මතක තබාගන්නා අතර, එකම IP ලිපිනයකින් අසාර්ථක ලොගින් උත්සාහයන් හඳුනාගෙන යම් උත්සාහයන් ගණනකට පසු එම IP ලිපින තාවකාලිකව බ්ලොක් කිරීමක් සිදු කරනු ලබනවා. 

5. ඔබගේ IP ලිපිනය හැර වෙනත් IP ලිපින වලින් ලොග් වීම අවහිර කිරීම.
මේක නම් හරියන්නෙ Static IP එකක් හරහා බ්ලොග් අඩවියට ලොග් වෙන අයට පමණක් සහ ඔබ වෙනත් අයට අඩවියේ ලියාපදිංචියට අවස්ථාවක් දී නොමැති නම් පමණකි. මින් කරන්නේ wp-admin තුළට වෙනත් IP ලිපින හරහා ඇතුළු වීම අවහිර කිරීමයි.
මෙය කරන්නේ, ඔබගේ අඩවියේ wp-admin ෆෝල්ඩරය තුළට ගොස් .htaccess ගොනුව විවෘත කරගන්න.
එය තුළ කොතැනකට හෝ මෙම කෝඩ් එක ඇතුළු කරන්න. YOURIPNUMBER කියන තැනට ඔබට ඕනෑ තරම් IP ලිපින ඇතුළු කරගත හැකියි. ඔබට තිබෙන්නේ # whitelist home IP address හා allow from YOURIPNUMBER පේළි දෙක යළි යළි යොදමින් අදාල IP ලිපින එකතු කරගැනීමයි.

[sourcecode]
order deny,allow
deny from all
# whitelist home IP address
allow from YOURIPNUMBER
# whitelist work IP address
allow from YOURIPNUMBER
# whitelist holiday IP address
allow from YOURIPNUMBER
[/sourcecode]
ඉතින් වෙනත් කෙනෙක් ඔබගේ අඩවියට ලොග් වීමට හැදුවොත් ඔහුට ලැබෙන්නේ පහතාකාරයේ පණිවුඩයක්.
Forbidden. You don’t have permission to access /wp-admin on this server.
6. New User Registrations නවත්වන්න.
ඔබගේ අඩවිය සාමාජිකයින් සහිත අඩවියක් නොවේ නම් ඔබගේ අඩවියේ නව සාමාජිකයින් ලියාපදිංචිය අවශ්‍ය දෙයක් නෙමෙයිනෙ. ඉතින් අඩවිය තුළ ලියාපදිංචි වීම අවහිර කරන්න. එය කරන්න, වර්ඩ්ප්‍රෙස් Dash Board > Settings වෙත යන්න. එහි Anyone can register යන හරි සළකුණ ඉවත් කර සුරකින්න.

7. සැමවිටම යාවත්කාලීන කරන්න.
වර්ඩ්ප්‍රෙස් හා ප්ලගින් සැමවිටම යාවත්කාලීන කරන්න. මුල් සංස්කරණයේ තිබෙන යම් යම් දුර්වලතා සැමවිටම නව සංස්කරණයකදී මඟහරවා වැඩිදියුණු කිරීම් සිදු කරනු ලබනවා. ඉතින් ඔබ සැමවිට යාවත්කාලීන කිරීමෙන් ඔබටත් ආරක්ෂාව සැපයෙනවා. ලොකු වැඩක් නෙමෙයි, ඩෑෂ් බෝර්ඩ් එකේම තියෙනවා අප්ඩේට් කරන්න ඔප්ෂන් එකක්. ක්ලික් කරන්න විතරයි තිබෙන්නේ. වර්ඩ්ප්‍රෙස් විසින් ඉතිරි සියල්ල ස්වයංක්‍රීයවම කරගන්නවා.

8. නිතිපතා Backup කරන්න.
බ්ලොග්/වෙබ් අඩවියේ හා ඩේටාබේස් යන දෙකම නිතිපතා backup කරගන්න එක හැමවිටම හොඳයි. කොච්චර කලත් කරදරේක වැටෙන්න බැරිම නෑනෙ. ඉතින් බැකප් එකක් තිබ්බොත් කිසිම දේකට බයවෙන්න දෙයක් නෑනෙ. Wordpress Database Backup කියන්නේ මේ වැඩේට හොඳ ප්ලගින් එකක්. සතියකට සැරයක් වගේ කරගන්නව නම් ඇති වෙයි. ගොඩක් අප්ඩේට් නොවෙන එකක් නම් මාසෙකට/ මාස කිහිපයකට සැරයක් උනත් ඇති වෙයි. 

ඉතින් මේ සරළ දේවල් ටික කළොත් නම් ඔබගේ වර්ඩ්ප්‍රෙස් වෙබ්/බ්ලොග් අඩවිය හැක් කරන්න කිසිම කෙනෙක්ට ලේසි නෑ. ඇත්තෙන්ම බෑම තමයි. :) ආපහු ඒ ගැන බයක් වෙන්න දෙයක් නෑ.

මීට අමතරව තවත් හොඳ, Wordpress ආරක්ෂාව සඳහා මම භාවිතා කරන වර්ඩ්ප්‍රෙස් ප්ලගින 3ක් මම කියන්නම්.


මේ තුනෙන් Better WP Security කියන එක මම ඉහළින්ම රෙකමෙන්ඩ් කරනවා. අනිත් දෙකේම තියෙන වැඩ ඒකෙන් කරන්න පුළුවන් සහ අංක 6 යටතේ කිව්ව එකත්. 

ඉතින් එහෙනම් සුභ පතනවා සුරැකි වර්ඩ්ප්‍රෙස් අනාගතයකට!!!

13 comments:

  1. වැදගත් ලිපියක්. මේ දවස් වල wp අල්ලාගෙන ඉන්න නිසා මුල් ටිකනම් කෙරුනා. නමුත් අග ටික දැනගත්තේ අද

    ReplyDelete
  2. Honda post ekak. Meva okkoma man danatamath karanava. Tava Security Actions set ekak gana liyanna.

    Best Wishes,
    Shyam.

    ReplyDelete
    Replies
    1. බලමු තව දේවල් ටිකක් ලියන්න. ස්තුතියි අදහසට.

      Delete
  3. මං ඒ කාලෙ දාල තිබුනෙ සිංහල යුනිකෝඩ් පාස්වර්ඩ් එකකුයි, ඇඩ්මින් නේම් එකකුයි.. :)

    වර්ඩ්ප්‍රෙස් අඩවියක් හැක් කරොත් ආපහු ගන්නේ මෙහෙමයි

    ReplyDelete
    Replies
    1. ඔයාගෙ ලිපියත් කියෙව්ව. හොඳයි.
      යුනිකෝඩ් අදහසත් නියම ව්ඇඩක්. :D

      Delete
  4. Wordfence Security
    මේ ප්ලගින් එකත් ඉතාම ප්‍රයෝජනවත්.
    හොඳ ලිපියක් !

    ReplyDelete
    Replies
    1. ඒ ප්ලගින් එක මට සෙට් වෙලා නෑ. පොඩ්ඩක් බලන්නම්කො. ස්තුතියි.

      Delete
  5. In one of my wordpress blog some one have automatically make posts. Even he have no user account when I check the publisher. Seems he have update the database. So I have change all database login details. But the issue was not solved. Do you have any idea how it happens ?

    ReplyDelete
    Replies
    1. One Question.
      Did u checked the plugins? Surely there should be a automated feedpraser plugin.
      eg: Feedwordpress
      Remove that. your problem is solved.

      Delete
  6. Thanks :)
    Mama USE karanne Wordfence Security Eka

    ReplyDelete
    Replies
    1. ඒකත් ගොඩක් හොඳ ප්ලගින් එකක්. මමත් ඒක බලල තියෙනව, දිගටම භාවිතා කරල නෑ.

      Delete

ලිපිය කියෙව්වාට ගොඩාක් ස්තුතියි. ඒත් එක්කම ඔබගේ අදහස් මට ගොඩක් වටිනවා. අදහස් උදහස්, යෝජනා, චෝදනා, ප්‍රශ්න, ගැටළු, මෙහි ලියන්න.