Friday, April 19, 2013

ඔබගේ වර්ඩ්ප්‍රෙස් අඩවිය රැක ගැනීමට පියවර 8ක්

ඉතින් ඉතින්? හුඟ කාලෙකින් ලිපියක් ලියන්න හිතුන. වෙලාව මඳකම කියල බොරු කියන්න ඕනෙ නෑ, ඇත්තටම කම්මැලිකම තමා. 
මම ඉතින් මේ බ්ලොග් එක බ්ලොගර් වල කළාට මම වර්ඩ්ප්‍රෙස් මත කරන බ්ලොග් අඩවි කිහිපයකුත්, වෙබ් අඩවි කිහිපයකුත් තිබෙනවා. පහුගිය දවසක මගෙ හොස්ටිං කොම්පැනියෙන් මට ඊ මේල් එකක් ආව වර්ඩ්ප්‍රෙස් අඩවි වලට බොට්නෙට් එකකින් හැකර් ඇටෑක් එකක් තියෙනව, ඉතින් අඩවි බැකප් කරගන්න හා CloudFlare හරහා ආරක්ෂා කරගන්න කියල.
 ඒ බොට්නෙට් ඇටෑක් එක නම් වෙන්නෙ admin කියන ගිණුමට බොට්නෙට් එක හරහා Bruteforce ඇටෑක් එකක් කරන එක. ඒ කියන්නෙ පාස්වර්ඩ් දහස් ගාණක් දදා බලනව. (මෙන්න තියෙනව නිවුස් එක.)
ඉතින් ඒකෙන් නම් මට කිසිම කරදරයක් වෙන්නෙ නෑ කියල ශුවර්. මොකද ආරක්ෂාව තකා මම එදා ඉඳලම වර්ඩ්ප්‍රෙස් ඉන්ස්ටෝල් කළ ගමන් වෙනත් නමකින් තවත් ඇඩ්මිනිස්ට්‍රේටර් ගිණුමක් හදල admin ගිණුම ඩිලීට් කරල දානව.

ඉතින් මම ටිකක් හොයල බලල සහ අත්දැකීමෙන්, ලිපියක් ලියන්න හිතුව වර්ඩ්ප්‍රෙස් අඩවියක් එවන් කරදර වලින් බේරා ගැනීමට කරන්න පුළුවන් සරළ දේවල් ටිකක් ගැන කියන්න.




1. අලුත් ඇඩ්මින් ගිණුමක් හදන්න.
හුඟක්ම වර්ඩ්ප්‍රෙස් වලට එන්නෙ අර කිව්ව වගේ default "Admin" ගිණුමට එන Brute Force attacks. ඉතින් හැකර්ට මුරපදය විතරක් නෙමෙයි, යූසර් නේම් එකත් හොයන්න උනොත් වැඩේ අමාරු වෙනව නේද? ඉතින් ඔබ මුලින්ම වර්ඩ්ප්‍රෙස් දැම්මම කරන්න ඕනෙ වෙනත් නමක් සහිතව ඇඩ්මින් ගිණුමක් හදල ඉබේ සෑදෙන ඇඩ්මින් ගිණුම ඩිලීට් කරල දාන එකයි. මතක තබාගන්න ඔබ ලිපි එහෙම දාල තිබ්බොත් ඇඩ්මින් ගිණුම ඉවත්කරන්න ඉස්සෙල්ල ඒ ලිපි ඔක්කෝම අලුත් ඇඩ්මින් ගිණුමට ට්‍රාස්න්ෆර් කරන්න. අනිත් එක, අලුත් ඇඩ්මින් ගිණුමට සම්පූර්ණයෙන්ම වෙනස් යූසර් නේම් එකක් ලබාදෙන්න. (admin, administrator, සයිට් එකේ නම එහෙම යොදන්නෙඑපා.)

2. ශක්තිමත් මුරපදයක් යොදන්න.
හුඟක් අය කරන තවත් වැරැද්දක් තමා මේක. මතක තියාගන්න ලේසියට පහසු මුරපද යොදනවා. 
මම දවසක් වර්ඩ්ප්‍රෙස් වලින් හැදුව සිංහල වෙබ් අඩවියකට ගිහිල්ල නිකමට ලොගින් එකට admin හා abc@123 ගැහුව. මෙන්න ලොග් උනා. :D මම ඉතින් මොකුත් කළේ නම් නෑ, වෙබ් අඩවියෙ උන්ට මේල් එකක් දැම්ම ඒක වෙනස් කරන්න කියල. 
ඉතින් ඔබත් අනිවාර්යයෙන්ම ශක්තිමත් මුරපදයක් යොදන්න. අක්ෂර 8ක්වත් අවම වශයෙන් යොදන්න, සිම්පල්, කැපිටල් අකුරු, ඉලක්කම්, සංකේත සමඟ. මේ සියල්ල තිබෙනවා නම් ඉතින් මොකෙක්ටවත් ලේසි වෙන්නෙ නෑ ඔයාගෙ පාස්වර්ඩ් එක හොයන්න. :) (මගෙ සාමාන්‍ය පාස්වර්ඩ් වල අකුරු, ඉලක්කම් හා සංකේත 8-15 අතර තිබෙනවා. මම දන්නව සමහරුන්ගෙ නම් 25ක් විතරත් තියෙනව කියල. :D )

3. නික් නේම් එක වෙනස් කරන්න.
ඔයාගෙ අලුත් ඇඩ්මින් යුසර් නේම් එක පෝස්ට් එකක් ගානෙ තියෙන්න ඕනෙ නෑනෙ. එතකොට ඉතින් අර යුසර් නේම් එක වෙනස් කරල කරගන්න හදපු දේ අසාර්ථක වෙනව. වර්ඩ්ප්‍රෙස් වල තිබෙනව "Nickname" කියල එකක්. අන්න ඒකට වෙනත් නමක් දාන්න. එතකොට ඔබගේ අලුත් ඇඩ්මින් යූසර්නේම් එක පිටතට ප්‍රසිද්ධ වෙන එක වැළකෙනවා.

4. සමහරක් IP Addresses වලින් ලොග් වීම අවහිර කරන්න.
Login Lockdown නමින් ප්ලගිනයක් තිබෙනවා. මෙමගින් අඩවියට ලොග් වන්නන්ගේ IP ලිපින හා ලොග් වන්නට උත්සාහ දරන වේලාවන් මතක තබාගන්නා අතර, එකම IP ලිපිනයකින් අසාර්ථක ලොගින් උත්සාහයන් හඳුනාගෙන යම් උත්සාහයන් ගණනකට පසු එම IP ලිපින තාවකාලිකව බ්ලොක් කිරීමක් සිදු කරනු ලබනවා. 

5. ඔබගේ IP ලිපිනය හැර වෙනත් IP ලිපින වලින් ලොග් වීම අවහිර කිරීම.
මේක නම් හරියන්නෙ Static IP එකක් හරහා බ්ලොග් අඩවියට ලොග් වෙන අයට පමණක් සහ ඔබ වෙනත් අයට අඩවියේ ලියාපදිංචියට අවස්ථාවක් දී නොමැති නම් පමණකි. මින් කරන්නේ wp-admin තුළට වෙනත් IP ලිපින හරහා ඇතුළු වීම අවහිර කිරීමයි.
මෙය කරන්නේ, ඔබගේ අඩවියේ wp-admin ෆෝල්ඩරය තුළට ගොස් .htaccess ගොනුව විවෘත කරගන්න.
එය තුළ කොතැනකට හෝ මෙම කෝඩ් එක ඇතුළු කරන්න. YOURIPNUMBER කියන තැනට ඔබට ඕනෑ තරම් IP ලිපින ඇතුළු කරගත හැකියි. ඔබට තිබෙන්නේ # whitelist home IP address හා allow from YOURIPNUMBER පේළි දෙක යළි යළි යොදමින් අදාල IP ලිපින එකතු කරගැනීමයි.

[sourcecode]
order deny,allow
deny from all
# whitelist home IP address
allow from YOURIPNUMBER
# whitelist work IP address
allow from YOURIPNUMBER
# whitelist holiday IP address
allow from YOURIPNUMBER
[/sourcecode]
ඉතින් වෙනත් කෙනෙක් ඔබගේ අඩවියට ලොග් වීමට හැදුවොත් ඔහුට ලැබෙන්නේ පහතාකාරයේ පණිවුඩයක්.
Forbidden. You don’t have permission to access /wp-admin on this server.
6. New User Registrations නවත්වන්න.
ඔබගේ අඩවිය සාමාජිකයින් සහිත අඩවියක් නොවේ නම් ඔබගේ අඩවියේ නව සාමාජිකයින් ලියාපදිංචිය අවශ්‍ය දෙයක් නෙමෙයිනෙ. ඉතින් අඩවිය තුළ ලියාපදිංචි වීම අවහිර කරන්න. එය කරන්න, වර්ඩ්ප්‍රෙස් Dash Board > Settings වෙත යන්න. එහි Anyone can register යන හරි සළකුණ ඉවත් කර සුරකින්න.

7. සැමවිටම යාවත්කාලීන කරන්න.
වර්ඩ්ප්‍රෙස් හා ප්ලගින් සැමවිටම යාවත්කාලීන කරන්න. මුල් සංස්කරණයේ තිබෙන යම් යම් දුර්වලතා සැමවිටම නව සංස්කරණයකදී මඟහරවා වැඩිදියුණු කිරීම් සිදු කරනු ලබනවා. ඉතින් ඔබ සැමවිට යාවත්කාලීන කිරීමෙන් ඔබටත් ආරක්ෂාව සැපයෙනවා. ලොකු වැඩක් නෙමෙයි, ඩෑෂ් බෝර්ඩ් එකේම තියෙනවා අප්ඩේට් කරන්න ඔප්ෂන් එකක්. ක්ලික් කරන්න විතරයි තිබෙන්නේ. වර්ඩ්ප්‍රෙස් විසින් ඉතිරි සියල්ල ස්වයංක්‍රීයවම කරගන්නවා.

8. නිතිපතා Backup කරන්න.
බ්ලොග්/වෙබ් අඩවියේ හා ඩේටාබේස් යන දෙකම නිතිපතා backup කරගන්න එක හැමවිටම හොඳයි. කොච්චර කලත් කරදරේක වැටෙන්න බැරිම නෑනෙ. ඉතින් බැකප් එකක් තිබ්බොත් කිසිම දේකට බයවෙන්න දෙයක් නෑනෙ. Wordpress Database Backup කියන්නේ මේ වැඩේට හොඳ ප්ලගින් එකක්. සතියකට සැරයක් වගේ කරගන්නව නම් ඇති වෙයි. ගොඩක් අප්ඩේට් නොවෙන එකක් නම් මාසෙකට/ මාස කිහිපයකට සැරයක් උනත් ඇති වෙයි. 

ඉතින් මේ සරළ දේවල් ටික කළොත් නම් ඔබගේ වර්ඩ්ප්‍රෙස් වෙබ්/බ්ලොග් අඩවිය හැක් කරන්න කිසිම කෙනෙක්ට ලේසි නෑ. ඇත්තෙන්ම බෑම තමයි. :) ආපහු ඒ ගැන බයක් වෙන්න දෙයක් නෑ.

මීට අමතරව තවත් හොඳ, Wordpress ආරක්ෂාව සඳහා මම භාවිතා කරන වර්ඩ්ප්‍රෙස් ප්ලගින 3ක් මම කියන්නම්.


මේ තුනෙන් Better WP Security කියන එක මම ඉහළින්ම රෙකමෙන්ඩ් කරනවා. අනිත් දෙකේම තියෙන වැඩ ඒකෙන් කරන්න පුළුවන් සහ අංක 6 යටතේ කිව්ව එකත්. 

ඉතින් එහෙනම් සුභ පතනවා සුරැකි වර්ඩ්ප්‍රෙස් අනාගතයකට!!!

Sunday, April 14, 2013

සුභ නව වසරක් වේවා!!!

ඔබ සියළු දෙනාට සාමය සතුට පිරි සුභ නව වසරක් වේවා!!!