V tem priročniku boste našli nekaj varnostnih razlogov, zakaj XAMPP nikoli ne bi smeli uporabljati na delovnem strežniku za gostovanje ali uvajanje aplikacij, ki temeljijo na PHP.

Zakaj uporabljati XAMPP za razvoj?

XAMPP je eden najpogosteje uporabljenih skladov LAMP za razvoj aplikacij, ki temeljijo na PHP. Sestavljen je iz strežnika Apache, zbirke podatkov MariaDB in različnih skriptov, povezanih s PHP in Perl.

Ker je medplatformna, odprtokodna in enostavna za nastavitev, je eno najboljših orodij za začetnike, ki začenjajo z razvojem spletnih aplikacij na osnovi PHP.

Zakaj ne bi smeli uporabljati XAMPP za izdelavo

Vendar XAMPP ni priporočljiv za uporabo na delovnem strežniku zaradi naslednjih varnostnih razlogov.

1. Brez gesla za skrbnika zbirke podatkov

Geslo je ključnega pomena, če imate dinamično spletno mesto z bazo podatkov. Geslo za skrbnika baze podatkov na XAMPP ni privzeto nastavljeno, kar lahko povzroči številne varnostne težave.

  • Hekerji lahko pridobijo dostop do vaše celotne baze podatkov in spremenijo kar koli po želji, ker je korenski uporabnik prebral, zapisal in izvedel dovoljenja.
    instagram viewer
  • Vsakdo, ki ima dostop do vaše baze podatkov, si lahko ogleda in kopira vse vaše zaupne podatke o uporabnikih in podjetjih, vključno s kopiranjem celotne baze podatkov.
  • Večina sistemov se danes opira na zbirke podatkov. V primeru, da se baza podatkov izbriše ali postane nedostopna, bo vaš sistem v bistvu porušen.

2. Do MySQL-a je mogoče dostopati prek omrežja

XAMPP kot storitev zbirke podatkov uporablja MySQL ali Maria DB. Na žalost je demon MySQL lahko dostopen prek omrežja, kar je zelo priročno, če razvijate spletna mesta na lokalnem računalniku, vendar ni idealno za produkcijo.

Tudi če za omejitev dostopa uporabljate požarni zid, morda ne bo popolnoma zaščitil dostopa do vaše baze podatkov.

Nauči se več: Postanite strokovnjak za spletni razvoj in MySQL

3. ProFTPD uporablja znano geslo

Privzeto je ProFTPD FTP Odjemalec (File Transfer Protocol), ki ga uporablja XAMPP. Znana skrivnost je, da je privzeto geslo za to nastavljeno na "lampp". To pomeni, da lahko uporabniki enostavno dobijo dostop do vseh vaših statičnih datotek HTML ali spletnih strani.

Hekerji lahko kopirajo vaše statične spletne strani, da ustvarijo lažno spletno mesto, ki je podobno vašemu, in poskušajo izsiliti dragocene podatke od svojih uporabnikov. Prav tako lahko hekerji v proces vbrizgajo zlonamerno kodo na ponarejeno ali podvojeno spletno mesto, ki okuži omrežne računalnike.

4. Lokalni poštni strežnik ni varen

V sistemu Windows XAMPP uporablja Mercury kot privzeti poštni strežnik. Na žalost je tudi geslo dobro znano, kar lahko zlonamernim uporabnikom olajša dostop do vaših e-poštnih sporočil.

Z dostopom do vaših e-poštnih sporočil lahko hekerji pošiljajo zlonamerno kodo v e-poštna sporočila, poskušajo izsiliti sredstva od nič hudega slutečih uporabnikov ali uničiti ugled vašega podjetja, tako da strankam pošljejo neprimerna e-poštna sporočila.

Utrjevanje namestitve XAMPP

Če želite namestitev XAMPP narediti varnejšo, lahko zaženete naslednji ukaz, če se XAMPP izvaja na strežniku Linux: 

sudo / opt / lampp / lampp varnost

V sistemu Windows lahko uporabite URL: https://localhost/security odpraviti nekatere varnostne težave. Upoštevajte, da tudi v zgoraj omenjenih konfiguracijah varnostne vrzeli, povezane z FileZilla in Mercury, še vedno ne bodo odpravljene.

Sorodno: Kako nastaviti okolje LAMP z XAMPP v Ubuntuju

Alternative XAMPP, ki jih lahko poskusite

XAMPP je odlično orodje za nastavitev razvojnega okolja PHP, ne glede na to, ali uporabljate Windows, macOS ali Linux. Vendar ni dovolj varen za uporabo na produkcijskem strežniku.

Večina skrbnikov uporablja izvorni LAMP sklad v Linuxu ali IIS na strežnikih Windows, ki ponujajo varnejši način uvajanja PHP aplikacij. Če uporabljate Windows, razmislite o ustvarjanju razvojnega okolja WAMP z uporabo WampServer.

E-naslov
Kako nastaviti svoj strežnik WAMP

Strežnik WAMP je najlažji in najbolj neboleč način za nastavitev Apache, MySQL in PHP v sistemu Windows za gostovanje spletnega mesta.

Preberite Naprej

Sorodne teme
  • Linux
  • Varnost
  • Nasveti za Linux
  • Varnost
  • strežnik
O avtorju
Mwiza Kumwenda (31 objavljenih člankov)

Mwiza po poklicu razvija programsko opremo in veliko piše o Linuxu in front-end programiranju. Nekatera njegova zanimanja vključujejo zgodovino, ekonomijo, politiko in arhitekturo podjetij.

Več od Mwize Kumwende

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, preglede, brezplačne e-knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite