4 причины, по которым вы никогда не должны использовать XAMPP на своем производственном сервере
В этом руководстве будут рассмотрены некоторые причины безопасности, по которым вам никогда не следует использовать XAMPP на своем производственном сервере для размещения или развертывания приложений на основе PHP.
Зачем использовать XAMPP для разработки?
XAMPP – один из наиболее широко используемых стеков LAMP для разработки приложений на основе PHP. Он состоит из сервера Apache, базы данных MariaDB и различных скриптов, связанных с PHP и Perl.
Поскольку он кроссплатформенный, имеет открытый исходный код и прост в настройке, это один из лучших инструментов для начинающих, начинающих разработку веб-приложений на основе PHP.
Почему вы не должны использовать XAMPP для производства
Однако XAMPP не рекомендуется использовать на производственном сервере по следующим причинам безопасности.
1. Нет пароля для администратора базы данных
Пароль имеет решающее значение, если у вас есть динамический веб-сайт с базой данных. Пароль администратора базы данных на XAMPP не установлен по умолчанию, что может привести ко многим проблемам с безопасностью.
- Хакеры могут получить доступ ко всей вашей базе данных и изменить что угодно по своему желанию, потому что пользователь root имеет разрешения на чтение, запись и выполнение.
- Любой, у кого есть доступ к вашей базе данных, может просматривать и копировать всю вашу конфиденциальную информацию о пользователях и компаниях, включая копирование всей базы данных.
- В настоящее время большинство систем полагаются на базы данных. Если база данных будет удалена или станет недоступной, ваша система будет отключена.
2. Доступ к MySQL по сети
XAMPP использует MySQL или Maria DB в качестве службы базы данных. К сожалению, демон MySQL легко доступен по сети, что очень удобно, если вы разрабатываете веб-сайты на локальном ПК, но не идеально для производства.
Даже если вы используете брандмауэр для ограничения доступа, он не может полностью защитить вашу базу данных от доступа.
3. ProFTPD использует известный пароль
ProFTPD – это клиент FTP (протокол передачи файлов) по умолчанию, используемый XAMPP. Это известный секрет, что пароль по умолчанию для этого установлен на «lampp». Это означает, что пользователи могут легко получить доступ ко всем вашим статическим HTML-файлам или веб-страницам.
Хакеры могут скопировать ваши статические веб-страницы, чтобы создать поддельный сайт, похожий на ваш, и попытаться вымогать у ваших пользователей ценную информацию. Кроме того, хакеры могут внедрить вредоносный код в поддельный или дублирующий сайт, заразив при этом сетевые компьютеры.
4. Локальный почтовый сервер не защищен
В Windows XAMPP использует Mercury в качестве почтового сервера по умолчанию. К сожалению, пароль также хорошо известен, что может облегчить злоумышленникам доступ к вашим электронным письмам.
Имея доступ к вашим электронным письмам, хакеры могут рассылать вредоносный код в электронных письмах, пытаться вымогать средства у ничего не подозревающих пользователей или разрушать репутацию вашей компании, отправляя клиентам неподходящие письма.
Повышение безопасности вашей установки XAMPP
Если вы хотите сделать установку XAMPP более безопасной, вы можете запустить следующую команду, если XAMPP работает на сервере Linux:
sudo /opt/lampp/lampp security
В Windows вы можете использовать URL-адрес: https: // localhost / security, чтобы исправить некоторые проблемы с безопасностью. Обратите внимание, что даже если вы сделаете вышеупомянутые конфигурации, лазейки в безопасности, связанные с FileZilla и Mercury, все равно не будут исправлены.
Альтернативы XAMPP, которые вы можете попробовать
XAMPP – отличный инструмент для настройки среды разработки PHP, независимо от того, используете ли вы Windows, macOS или Linux. Однако он недостаточно безопасен для использования на производственном сервере.
Большинство администраторов используют собственный стек LAMP в Linux или IIS на производственных серверах Windows, которые предлагают более безопасный способ развертывания приложений PHP. Если вы используете Windows, подумайте о создании среды разработки WAMP с помощью WampServer.