不在生产服务器上使用XAMPP的原因
本指南将探讨为什么您不应该在生产服务器上使用 XAMPP 来托管或部署基于 PHP 的应用程序的一些安全原因。
XAMPP 是用于开发基于 PHP 的应用程序的最广泛使用的 LAMP 堆栈之一。 它由 Apache 服务器、MariaDB 数据库以及与 PHP 和 Perl 相关的各种脚本组成。
由于它是跨平台的、开源的且易于设置,因此对于开始基于 PHP 的 Web 应用程序开发的初学者来说,它是最好的工具之一。
推荐:如何在Ubuntu 22.04 Linux上安装Minikube
为什么不应该在生产环境中使用XAMPP
但是,由于以下安全原因,不建议在生产服务器上使用 XAMPP。
1.数据库管理员没有密码
如果您有一个带有数据库的动态网站,则密码至关重要。 XAMPP 上的数据库管理员密码默认没有设置,这会导致很多安全问题。
- 黑客可以访问您的整个数据库并随意修改任何内容,因为 root 用户具有读取、写入和执行权限。
- 任何有权访问您的数据库的人都可以查看和复制您的所有机密用户和公司信息,包括复制整个数据库。
- 现在大多数系统都依赖于数据库。 如果数据库被删除或无法访问,您的系统将基本上被关闭。
2. MySQL 可以通过网络访问
XAMPP 使用 MySQL 或 Maria DB 作为数据库服务。 不幸的是,可以通过网络轻松访问 MySQL 守护程序,如果您在本地 PC 上开发网站,这非常方便,但不适合生产环境。
即使您使用防火墙来限制访问,它也可能无法完全保护您的数据库不被访问。
3. ProFTPD 使用已知密码
ProFTPD 是 XAMPP 使用的默认 FTP(文件传输协议)客户端。 众所周知,默认密码设置为“lampp”。 这意味着用户可以轻松访问您的所有静态 HTML 文件或网页。
黑客可以复制您的静态网页以构建与您的网站相似的虚假网站,并试图从您的用户那里勒索有价值的信息。 此外,黑客可以在此过程中将恶意代码注入到感染网络计算机的虚假或重复站点中。
4.本地邮件服务器不安全
在 Windows 上,XAMPP 使用 Mercury 作为默认邮件服务器。 不幸的是,密码也是众所周知的,这可以使恶意用户更容易访问您的电子邮件。
通过访问您的电子邮件,黑客可以在电子邮件中发送恶意代码,试图从毫无戒心的用户那里勒索资金,或者通过向客户发送不适当的电子邮件来破坏您公司的声誉。
强化 XAMPP 安装
如果你想让你的 XAMPP 安装更安全,如果 XAMPP 在 Linux 服务器上运行,你可以运行以下命令:
sudo /opt/lampp/lampp security在 Windows 上,您可以使用 URL:https://localhost/security 来修复一些安全问题。 请注意,即使您进行了上述配置,与 FileZilla 和 Mercury 相关的安全漏洞仍然无法修复。
您可以尝试的 XAMPP 替代方案
以上是INFOXIAO为你介绍的不在生产服务器上使用XAMPP的原因,无论您使用的是 Windows、macOS 还是 Linux,XAMPP 都是设置 PHP 开发环境的绝佳工具。 但是,在生产服务器上使用它还不够安全。
大多数管理员在 Linux 上使用本机 LAMP 堆栈,或在 Windows 生产服务器上使用 IIS,这提供了一种更安全的方式来部署 PHP 应用程序。 如果您使用的是 Windows,请考虑使用 WampServer 创建 WAMP 开发环境。
