Tuesday, June 26, 2012
[ secruity tips ] ဘေလာ့ security ပိုင္းဆိုင္ရာ ~!#
Published :
7:32 AM
Author :
shwekoyantaw
ဘယ္ကလဲေတာ့မသိေတာ့ဖူး ... tips နဲ ့ anotepad ထဲမွာ မွတ္ထားတာေလး ၿပန္ဆြဲထုတ္လာတာပါ ..
၁) Backup လုပ္ရန္
- ဘာပဲလုပ္လုပ္ မၿဖစ္မေန စတင္ေဆာင္ရြက္ရမည့္ ကိစၥကေတာ့ backup ဆိုတာ ဆိုက္ဒ္ေထာင္တဲ့လူအမ်ားစုသိၾကပါတယ္.....
၂) Update WordPress Version
- version ၿမင့္ေပးဖို ့ပါပဲ .. အသစ္ထြက္တဲ့ version တုိင္းဟာ အားနည္းခ်က္ေတြ bugs ေတြကို အတတ္ႏိုင္ဆံုးၿပင္ဆင္ၿပီး blogger ေတြ စိုးရိမ္ေနရတဲ့ ဟက္ခံရၿခင္းမွ အတတ္ႏိုင္ဆံုးကာကြယ္ဖို့လည္း သူလည္း တစ္ခ်က္အပါအဝင္ပါပဲ
၃) Change your Login/Password
- မိမိဘေလာ့ရဲ ့ အက္မင္ ေလာ့ဂ်င္ နာမည္နဲ့ pass ကို အတတ္ႏိုင္ဆံုး ခက္ေအာင္ထားထားပါ... ဥပမာ .. words+upper/lower keys+symbols+numbers ( ဥပမာဗ်ာ - biGb0ss!# ) .
- အက္မင္ login ကိုလည္း ၿပင္ဖို ့အေရးၾကီးပါတယ္.. default အေနနဲ ့သတ္မွတ္ထားတဲ့ admin ဆိုတာကို လံုးဝကို ၿပင္သင့္ပါတယ္... ဘာလို ့လဲဆိုေတာ့ ခုေနာက္ပိုင္းမွာ wp brute attack ကို wordlist နဲ ့လုပ္လာၾကတာေတြ ေတြ ့လာရပါတယ္.. admin default သာၿဖစ္ေနမယ္ဆို admin လို ့ခန္ ့မွန္းပီး wordlist နဲ ့ brute တိုက္ခ်သြားလို ့ကေတာ့ ကိုယ့္ blog security ေကာင္းလွပါခ်ည္ရဲ့ ဆိုတာေတာင္ ဘာ bugs မွမရွိပဲ ဟက္ခံရႏိုင္ပါတယ္...
၄) WordPress Keys in wp-config.php
- ဒီ keys ေတြကေတာ့ data encrypt လုပ္တဲ့ေနရာမွာ salt အေနဲ ့ပါဝင္တဲ့ အတြက္ ဒါလည္း security measures တစ္ခုအေနနဲ ့ ထည့္ပီးၿပင္ဆင္သင့္ပါတယ္.. ( ဒီ key ေတြၿပင္ခ်င္တယ္ဆိုရင္ေတာ့ ဘယ္လုိၿပင္ရတယ္ဆိုတာ နားလည္ေအာင္အရင္ၾကည့္သင့္ပါတယ္.. config ဖိုင္ေနရာမွာ ယူထားတယ္ဆိုကတည္းက သူ ့ဟာ အေရးၾကီးတယ္ဆိုတာ သိသာပါတယ္..)
ဥပမာ.
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
https://api.wordpress.org/secret-key/1.1/
၅ ) Install WP Security Scan
ဒီ plugin ေလးလည္း သြင္းထားဖို ့ပါပါတယ္.. သူက မိမိ blog ရဲ ့ vulnerabilities ေတြ malicious codes ေတြကို automated stuff အေနဲ ့ scan မွာပါ.. အေပၚဆံုမွာၿပတဲ့အတိုင္း အစိမ္းေရာင္ေလးေတြပဲဆို အိုေကပါတယ္...
၆) Change Table Prefix
ဒီ table prefix ကိုလည္းၿပင္သင့္ပါတယ္.. default က wp- ပါ ... SQL ေပါက္တယ္ဆိုတာေတာင္မွ wp table prefix ေလးၿပင္ထားရင္ ေဖာက္တဲ့သူကို အခက္ေတြ ့ေစမွာၿဖစ္ပါတယ္. အေပၚမွာ ၿပထားတဲ့ wp security scan plugin ေလးနဲ ့ အလြယ္တကူေၿပာင္းႏိုင္ပါတယ္..
၇) Prevent WordPress Hack by Blocking Search Engine Spiders from Indexing the Admin Section
ဒါေလးကေတာ့ search engine ေတြရဲ ့ bot ေတြက ေန့စဥ္နဲ ့အမွ် crawl လုပ္ေနမွာပါ ... ကိုယ္က permission မပိတ္မွရမွာ.. ႏို ့မို ့ဆို admin section ပါ crawl လုပ္ေနလိမ့္မယ္.. ဒါေလးကို ကာကြယ္ဖို ့ disable indexing from crawler လုပ္ဖို ့ မိမိ panel ရဲ ့ (cpanel ကိုဆိုလိုတာပါ.. admin section မဟုတ္ပါ) ရဲ ့ root directory မွာ robot.txt ဖိုင္ေလးေဆာက္ပီးကာကြယ္ရပါမယ္.. ေအာက္မွာ..
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
၈) htaccess Hacks
ဒီ hypertext access ကလည္း directroy level file ေတြကို ထိန္းခ်ဳပ္တဲ့ အေရးၾကီးတဲ့ ဖိုင္တစ္မ်ိဳးပါ .. ဒါေလးကိုမ်ားေသာအားၿဇင့္ေတာ့ web root folder မွာထားၾကပါတယ္.. /home/user/public_html ေအာက္မွာထားၾကပါတယ္ မ်ားေသာအားၿဖင့္ .. က်ေနာ္တို ့ symlink လုပ္တဲ့အခါ .. .htaccess ဖိုင္ကလည္း indexing လုပ္ဖို ့ တအပ္တအားပါတယ္ဆိုတာ .. hacker ေတြသိၾကတယ္မလား ...
ဒီဖိုင္ေလး အလုပ္လုပ္ပံုကိုေသခ်ာသိမွာ ၿပင္ဆင္ၾကပါ.. မဟုတ္ရင္ ဆိုက္ဒ္ပါက်သြားႏိုင္ပါတယ္.. panel ထဲကဝင္ၿပင္ေနရမယ္.. panel မရွိရင္ေတာ့ ေသပီဆရာပဲ ( shell ေလးမသိမသာခိုးတင္ထားေပါ့ ဟိ . ဟိ ... panel မရွိရင္ ) အယ္... security ကေန သူခိုးဘက္ ေရာက္ကုန္ပီ
http://mmdongoth.net...ccess/index.php
၉) Protect your htaccess
htaccess ကိုလည္း ကာကြယ္ထားဖို ့ေအာက္ကကုဒ္ေလးေတြ ထည့္ထးားသင့္ပါတယ္.. ( warning : htaccess ဖိုင္ကို မေသခ်ာပဲ မသံုးၾကပါနဲ ့.. ဆိုက္ဒ္အတက္အက်က သူ ့ေပၚမွာလဲ မူတည္ေနတယ္ .. သံုးတာမွားရင္ဆိုက္ဒ္ ေဒါင္းသြားႏိုင္ပါတယ္ )
# STRONG HTACCESS PROTECTION</code>
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>
၁၀ ) No Directory Browsing
- အေကာင္းဆံုးကေတာ့ ဘယ္ directory မွာ browsing မေပးထားတာအေကာင္းဆံုးပဲ .. ဒါေလးႏွစ္ေၾကာင္းေလာက္ .htaccess ထဲထည့္ထားေပါ့
# disable directory browsing
Options All -Indexes
၁၁) Secure wp-config.php
- ဆိုက္ဒ္ကို online တင္ေပးတာ wp-config.php ဖိုင္ပါ. hacker ေတြက ဒီဖိုင္ကေန code ေတြရယူပီး ဆိုက္ဒ္ကို ထိုးေဖာက္ဝင္ေရာက္ၾကပါတယ္.. ဒါေၾကာင့္ အဲ့ဖိုင္ကို ကာကြယ္ဖို ့လဲ .htacess ထဲမွာ ဒီ code ကိုထည့္ထားသင့္ပါတယ္
# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>
The code denies access to the wp-config.php file to everyone!
၁၂) Limit Access to the Wp-Content Directory
- wp-content dir ကိုလည္းကာကြယ္ဖို ့ .htaccess ထဲမွာ
Order deny,allow
Deny from all
<Files ~ “.(xml|css|jpe?g|png|gif|js)$”>
Allow from all
</Files>
ၿဖည့္ပါ.
၁၃) Protect WordPress Admin Files
- wp-admin ဖိုင္ကို တၿခားလူ access မ၇ေအာင္ ဒီကုဒ္နဲ ့ကာထားပါ .. .htaccess ထဲမွာ
# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx # This is your static IP
deny from all
ၾကည့္လိုက္ရင္သိသာပါတယ္.. xx.xx.xx.xx IP မဟုတ္ရင္ browsing လုပ္ခြင့္မရပါဖူး ..
၁၄) Prevent script injection
ဒါေလးကို ၿပည့္စံုေအာင္ http://www.wprecipes...access]ဒီမွာဖတ္ လည္းရပါတယ္
Simple copy and paste the code below to your htaccess in the root
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
BONUS အေနနဲ ့ http://wordpress.org/extend/plugins/wordpress-firewall-2/ wp firewall plugins လည္းရွိပါတယ္.. ဒါေပမယ့္ ဒါကလည္း တခါတေလ ကုိယ့္ acttion ကိုေတာင္ block တတ္ပါသတဲ့ ဒါေၾကာင့္ စူူပါ ဟက္ကာေတြ စူပါ bot ေတြလာႏိုင္မယ္ဆိုမွ သံုးၾကပါ ..
အၿပည့္အစံုေတာ့ မဟုတ္ေပမယ့္ ဒီေလာက္နဲ ့ဆိုလည္း security ေကာင္းႏိုင္မယ္ထင္ပါတယ္.. But there's no 100% security လို ့ေတာ့ က်ေနာ္ကေတာ့ ခံယူထားပါတယ္
ေနာက္ထပ္ေကာင္းမယ္ထင္တာရွိရင္ ထပ္ၿဖည့္ေပးၾကေပါ့...
ခရက္တစ္=ကိုတုတ္ေကာက္
Copy from : http://mmhackforums.com//index.php?/topic/291-secruity-tips-%E1%80%98%E1%80%B1%E1%80%9C%E1%80%AC%E1%80%B7-security-%E1%80%95%E1%80%AD%E1%80%AF%E1%80%84%E1%80%B9%E1%80%B8%E1%80%86%E1%80%AD%E1%80%AF%E1%80%84%E1%80%B9%E1%80%9B%E1%80%AC/page__pid__699#entry699
Pageviewers
CBOX
Manutd-Results
LINK
Label
Android
(3)
autorun
(3)
Backtrack
(8)
batch file
(19)
blogger
(10)
Botnet
(2)
browser
(5)
Brute Force
(6)
cafezee
(2)
cmd
(5)
Cookies
(2)
crack
(12)
Cracking
(2)
crypter
(7)
DDos
(20)
deepfreeze
(4)
defacing
(1)
defence
(16)
domain
(4)
Dos
(9)
downloader
(4)
ebomb
(2)
ebook
(48)
Exploit
(26)
firewall
(3)
game
(2)
gmail
(11)
google hack
(16)
Hacking Show
(3)
Hash
(4)
hosting
(1)
icon changer
(1)
ip adress
(6)
Keygen
(1)
keylogger
(8)
knowledge
(67)
locker
(1)
maintainence
(8)
network
(17)
news
(31)
other
(35)
passwoard viewer
(7)
password
(12)
Philosophy
(6)
Phishing
(8)
premium account
(2)
proxy
(7)
RAT
(10)
run commands
(4)
script
(27)
Shell code
(10)
shortcut Key
(2)
SMTP ports
(1)
social engineering
(7)
spammer
(1)
SQL Injection
(30)
Stealer.crack
(5)
tools
(125)
Tools Pack
(4)
tutorial
(107)
USB
(3)
virus
(32)
website
(84)
WiFi
(4)
word list
(2)
HOW IS MY SITE?
Powered by Blogger.
Blog Archive
-
▼
2012
(210)
-
▼
June
(29)
- Shell Using Tutorial
- [ secruity tips ] ဘေလာ့ security ပိုင္းဆိုင္ရာ ~!#
- Crack RAR File Password Easily
- Wireless Local Area Network
- List Of Free VPN's
- Basic SQL injection ebook (maynmar)
- News for Myanmar Cyberwarfare
- Basic Spreading Method
- Download DarkComet-RAT Remover
- The Myanmar Hackers (Story)
- How To Install a Blogger Template?
- May I help you?
- DarkComet-RAT v5 [OFFICIAL THREAD]
- SoundCloud Downloader
- မသီတာေထြးအား အဓၶမျပဳက်င့္ၿပီး ပစၥည္းမ်ား လုယူသတ္ျဖ...
- HOIC DDos Tool (USER GUIDE)
- List of BD Site Defaced in June 17
- Android Application Testing Guide
- BD Sites Are Hacked By Myanmar Hackers
- recycler virus Kill3R
- HC Stealer
- What is Programming?
- BD vs IN --==-- Cyber War[Whole Story]
- BHG Start Operation Islam
- Huge Dork Lists for SQL Injection
- Introduction to HTTP Protocol
- Staying Anonymous (part two)
- Staying Anonymous (part one)
- Hackers from the M0VI3
-
▼
June
(29)
Followers
About Me
Popular Posts
-
SQL Dorks အသစ္ေလးေတြလို႔ထင္ပါတယ္..ဒီက ဟက္ကာေတြအတြက္ေတာ့ ေဟာင္းခ်င္ေဟာင္းေနမွာေပါ့..ကၽြန္ေတာ့္ဆီရွိတာေလးေတြပါ..မၾကိဳက္လဲ ေနေပါ့. :P inurl...
-
အေကာင္းစားမွန္ဘီလူး (မ်တ္ခ်က္။ ။ရွားေလာ့ဟုန္းဆီကမဟုတ္ပါ) ကၽြန္ေတာ္မွန္ဘီလူးေလးတစ္လက္ရထားတယ္။ ဘယ္ႏွယ္ဗ်ာ ကၽြန္ေတာ့္မွန္ဘီလူးကိုမ်ာ...
-
အဓိက က ေတာ့ forums ေတြပဲ. Register လုပ္မွ ၀င္ေရာက္ၾကည့္ရွဳ ႏိုင္မယ္.. bypass လုပ္ဖုိ႔ ကေတာ့ SQL injection ကေတာ့ အေကာင္းဆံုးေပါ့.. အခုေတာ့ ...
-
အသိပညာ ဗဟုသုတသည္ ဟက္ကာတုိ႔ရန္မွ ကာကြယ္ရန္ စြမ္းအားတစ္ခုၿဖစ္ေပသည္။ ယေန႔ေခတ္ အုိင္တီနယ္ပယ္ဆုိင္ရာ စီမံခန္႔ခြဲမႈတြင္ တာ၀န္ရွိသူမ်ားသည္ ၄င္းတ...
-
ဘာရယ္လို႕မဟုတ္ပါဘူး ဒီေန႕ဘာတင္ရ မလဲစဥ္းစားရင္း အေျခခံကစၾကတာေပါ့။ ပထမဆံုး notepad ကိုေခၚပါ။batch file ေရးနည္းက programmingအာလံုး .bat...
-
ကဲဆိုက္တစ္ခုကရတာျပန္ျပီးေတာ့ေ၀မွ်လိုက္ပါတယ္။စမ္းသပ္ခ်င္သူေတြအတြက္ပါ။ သံုးခ်င္ရင္ သံုးပါ။စည္ကမ္းေတာ့ရိွပါေစ။ code: http://13campaign.org...
-
LFI Local File Inclusion ေလး အေၾကာင္းေျပာခ်င္ပါတယ္ ညီကိုတို႔.... Online မွာ LFI ေပါက္ေနတဲ့ဆိုက္ေတြ သန္းခ်ီပီးရွိေနပါတယ္.... Web Hacking ေ...
-
၀ိကိလိခ္၏ အတြင္းေရးမ်ား ဆိုတဲ႔ စာအုပ္ကို MCM မွ ကို Giacomo က ဘာသာၿပန္ၿပီး တင္ေပးထားတာၿဖစ္ပါတယ္ ။ ဒီလိုစာအုပ္မ်ိဳးကို ဘာသာၿပန္ၿပီး တ...
-
ဒီပိုစ့္ေလးဟာ LFI ေပၚမွာဆင့္ကဲေျပာင္းလဲထားတာျဖစ္ျပီးေတာ့ BASE 64 php filter ကိုအသံုးျပဳမွာျဖစ္ပါတယ္....။ဆာဗာမွာရိွတဲ့ connect.php / conf...
-
Fg Power DDOSER This tool is primarily a “hostbooter” and is aimed at giving unscrupulous gamers an advantage by flooding oppon...
Labels
- Android (3)
- autorun (3)
- Backtrack (8)
- batch file (19)
- blogger (10)
- Botnet (2)
- browser (5)
- Brute Force (6)
- cafezee (2)
- cmd (5)
- Cookies (2)
- crack (12)
- Cracking (2)
- crypter (7)
- DDos (20)
- deepfreeze (4)
- defacing (1)
- defence (16)
- domain (4)
- Dos (9)
- downloader (4)
- ebomb (2)
- ebook (48)
- Exploit (26)
- firewall (3)
- game (2)
- gmail (11)
- google hack (16)
- Hacking Show (3)
- Hash (4)
- hosting (1)
- icon changer (1)
- ip adress (6)
- Keygen (1)
- keylogger (8)
- knowledge (67)
- locker (1)
- maintainence (8)
- network (17)
- news (31)
- other (35)
- passwoard viewer (7)
- password (12)
- Philosophy (6)
- Phishing (8)
- premium account (2)
- proxy (7)
- RAT (10)
- run commands (4)
- script (27)
- Shell code (10)
- shortcut Key (2)
- SMTP ports (1)
- social engineering (7)
- spammer (1)
- SQL Injection (30)
- Stealer.crack (5)
- tools (125)
- Tools Pack (4)
- tutorial (107)
- USB (3)
- virus (32)
- website (84)
- WiFi (4)
- word list (2)
Labels
- Android (3)
- autorun (3)
- Backtrack (8)
- batch file (19)
- blogger (10)
- Botnet (2)
- browser (5)
- Brute Force (6)
- cafezee (2)
- cmd (5)
- Cookies (2)
- crack (12)
- Cracking (2)
- crypter (7)
- DDos (20)
- deepfreeze (4)
- defacing (1)
- defence (16)
- domain (4)
- Dos (9)
- downloader (4)
- ebomb (2)
- ebook (48)
- Exploit (26)
- firewall (3)
- game (2)
- gmail (11)
- google hack (16)
- Hacking Show (3)
- Hash (4)
- hosting (1)
- icon changer (1)
- ip adress (6)
- Keygen (1)
- keylogger (8)
- knowledge (67)
- locker (1)
- maintainence (8)
- network (17)
- news (31)
- other (35)
- passwoard viewer (7)
- password (12)
- Philosophy (6)
- Phishing (8)
- premium account (2)
- proxy (7)
- RAT (10)
- run commands (4)
- script (27)
- Shell code (10)
- shortcut Key (2)
- SMTP ports (1)
- social engineering (7)
- spammer (1)
- SQL Injection (30)
- Stealer.crack (5)
- tools (125)
- Tools Pack (4)
- tutorial (107)
- USB (3)
- virus (32)
- website (84)
- WiFi (4)
- word list (2)
Archive
-
▼
2012
(210)
-
▼
June
(29)
- Shell Using Tutorial
- [ secruity tips ] ဘေလာ့ security ပိုင္းဆိုင္ရာ ~!#
- Crack RAR File Password Easily
- Wireless Local Area Network
- List Of Free VPN's
- Basic SQL injection ebook (maynmar)
- News for Myanmar Cyberwarfare
- Basic Spreading Method
- Download DarkComet-RAT Remover
- The Myanmar Hackers (Story)
- How To Install a Blogger Template?
- May I help you?
- DarkComet-RAT v5 [OFFICIAL THREAD]
- SoundCloud Downloader
- မသီတာေထြးအား အဓၶမျပဳက်င့္ၿပီး ပစၥည္းမ်ား လုယူသတ္ျဖ...
- HOIC DDos Tool (USER GUIDE)
- List of BD Site Defaced in June 17
- Android Application Testing Guide
- BD Sites Are Hacked By Myanmar Hackers
- recycler virus Kill3R
- HC Stealer
- What is Programming?
- BD vs IN --==-- Cyber War[Whole Story]
- BHG Start Operation Islam
- Huge Dork Lists for SQL Injection
- Introduction to HTTP Protocol
- Staying Anonymous (part two)
- Staying Anonymous (part one)
- Hackers from the M0VI3
-
▼
June
(29)