Ten przewodnik omówi niektóre z powodów bezpieczeństwa, dla których nigdy nie powinieneś używać XAMPP na serwerze produkcyjnym do hostowania lub wdrażania aplikacji opartych na PHP.

Dlaczego warto korzystać z XAMPP do rozwoju?

XAMPP jest jednym z najczęściej używanych stosów LAMP do tworzenia aplikacji opartych na PHP. Składa się z serwera Apache, bazy danych MariaDB i różnych skryptów związanych z PHP i Perl.

Ponieważ jest wieloplatformowy, open-source i łatwy w konfiguracji, jest to jedno z najlepszych narzędzi dla początkujących, którzy zaczynają od tworzenia aplikacji internetowych opartych na PHP.

Dlaczego nie powinieneś używać XAMPP do produkcji

Jednak XAMPP nie jest zalecany do użytku na serwerze produkcyjnym z następujących względów bezpieczeństwa.

1. Brak hasła dla administratora bazy danych

Hasło ma kluczowe znaczenie, jeśli masz dynamiczną stronę internetową z bazą danych. Hasło administratora bazy danych w XAMPP nie jest ustawione domyślnie, co może prowadzić do wielu problemów z bezpieczeństwem.

instagram viewer
  • Hakerzy mogą uzyskać dostęp do całej bazy danych i dowolnie modyfikować wszystko, ponieważ użytkownik root ma uprawnienia do odczytu, zapisu i wykonywania.
  • Każdy, kto ma dostęp do Twojej bazy danych, może przeglądać i kopiować wszystkie poufne informacje o użytkownikach i firmie, w tym kopiować całą bazę danych.
  • Obecnie większość systemów opiera się na bazach danych. W przypadku, gdy baza danych zostanie usunięta lub stanie się niedostępna, system zostanie zasadniczo wyłączony.

2. Dostęp do MySQL można uzyskać przez sieć

XAMPP używa MySQL lub Maria DB jako usługi bazy danych. Niestety demon MySQL jest łatwo dostępny przez sieć, co jest bardzo przydatne, jeśli tworzysz strony internetowe na lokalnym komputerze, ale nie jest idealny do produkcji.

Nawet jeśli używasz zapory sieciowej do ograniczania dostępu, może to nie zabezpieczyć całkowicie Twojej bazy danych przed dostępem.

Ucz się więcej: Zostań ekspertem w dziedzinie tworzenia stron internetowych i MySQL

3. ProFTPD używa znanego hasła

ProFTPD jest ustawieniem domyślnym FTP (File Transfer Protocol) klient używany przez XAMPP. Jest znanym sekretem, że domyślne hasło to "lampp". Oznacza to, że użytkownicy mogą łatwo uzyskać dostęp do wszystkich statycznych plików HTML lub stron internetowych.

Hakerzy mogą kopiować Twoje statyczne strony internetowe, aby stworzyć fałszywą witrynę podobną do Twojej i próbować wyłudzić od użytkowników cenne informacje. Hakerzy mogą również wstrzyknąć złośliwy kod do fałszywej lub zduplikowanej witryny, infekując przy tym komputery sieciowe.

4. Lokalny serwer pocztowy nie jest bezpieczny

W systemie Windows XAMPP używa Mercury jako domyślnego serwera poczty. Niestety hasło jest również dobrze znane, co może ułatwić złośliwym użytkownikom dostęp do Twoich e-maili.

Mając dostęp do Twoich e-maili, hakerzy mogą wysyłać złośliwy kod w e-mailach, próbować wyłudzić fundusze od niczego niepodejrzewających użytkowników lub zrujnować reputację Twojej firmy, wysyłając niewłaściwe e-maile do klientów.

Utwardzanie instalacji XAMPP

Jeśli chcesz, aby instalacja XAMPP była bezpieczniejsza, możesz uruchomić następujące polecenie, jeśli XAMPP działa na serwerze Linux: 

zabezpieczenia sudo/opt/lampp/lampp

W systemie Windows możesz użyć adresu URL: https://localhost/security naprawić niektóre problemy z bezpieczeństwem. Zauważ, że nawet jeśli dokonasz wyżej wymienionych konfiguracji, luki w zabezpieczeniach związane z FileZilla i Mercury nadal nie zostaną naprawione.

Związane z: Jak skonfigurować środowisko LAMP z XAMPP na Ubuntu?

Alternatywy XAMPP, które możesz wypróbować

XAMPP to świetne narzędzie do konfigurowania środowiska programistycznego PHP, niezależnie od tego, czy używasz systemu Windows, macOS czy Linux. Jednak nie jest wystarczająco bezpieczny, aby można go było używać na serwerze produkcyjnym.

Większość administratorów używa natywnego stosu LAMP w systemie Linux lub IIS na serwerach produkcyjnych z systemem Windows, które oferują bezpieczniejszy sposób wdrażania aplikacji PHP. Jeśli używasz systemu Windows, rozważ utworzenie środowiska programistycznego WAMP przy użyciu WampServer.

E-mail
Jak skonfigurować własny serwer WAMP?

Serwer WAMP to najłatwiejszy i najbardziej bezbolesny sposób na skonfigurowanie Apache, MySQL i PHP w systemie Windows do hostowania strony internetowej.

Czytaj dalej

Powiązane tematy
  • Linux
  • Bezpieczeństwo
  • Wskazówki dotyczące Linuksa
  • Bezpieczeństwo
  • serwer
O autorze
Mwiza Kumwenda (31 opublikowanych artykułów)

Mwiza z zawodu zajmuje się tworzeniem oprogramowania i pisze obszernie na Linuksie i programowaniu front-end. Niektóre z jego zainteresowań obejmują historię, ekonomię, politykę i architekturę przedsiębiorstwa.

Więcej od Mwizy Kumwendy

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Kliknij tutaj, aby zasubskrybować