永远不要在生产服务器上使用 XAMPP 的 4 个原因

本指南将探讨为什么永远不要在生产服务器上使用 XAMPP 来托管或部署基于 PHP 的应用程序的一些安全原因。

为什么使用 XAMPP 进行开发?

XAMPP 是用于开发基于 PHP 的应用程序的最广泛使用的 LAMP 堆栈之一。 它由一个 Apache 服务器、MariaDB 数据库以及与 PHP 和 Perl 相关的各种脚本。

由于它是跨平台、开源且易于设置的,因此对于刚开始进行基于 PHP 的 Web 应用程序开发的初学者来说,它是最好的工具之一。

为什么不应该将 XAMPP 用于生产

但是,由于以下安全原因,不建议在生产服务器上使用 XAMPP。

1. 数据库管理员没有密码

如果您有一个带有数据库的动态网站,密码至关重要。 XAMPP 上数据库管理员的密码不是默认设置的,这会导致许多安全问题。

  • 黑客可以访问您的整个数据库并随意修改任何内容,因为 root 用户具有读、写和执行权限。

  • 任何有权访问您的数据库的人都可以查看和复制您的所有机密用户和公司信息,包括复制整个数据库。

  • 现在大多数系统都依赖于数据库。 如果数据库被删除或变得无法访问,您的系统将基本上被关闭。

2. MySQL 可以通过网络访问

XAMPP 使用 MySQL 或 Maria DB 作为数据库服务。 不幸的是,MySQL 守护程序很容易通过网络访问,如果您在本地 PC 上开发网站,这非常方便,但不适合生产。

即使您使用防火墙来限制访问,它也可能无法完全保护您的数据库不被访问。

3. ProFTPD 使用已知密码

ProFTPD 是 XAMPP 使用的默认 FTP(文件传输协议)客户端。 这是一个已知的秘密,默认密码设置为“lampp”。 这意味着用户可以轻松访问您的所有静态 HTML 文件或网页。

黑客可以复制您的静态网页来构建与您的网站相似的虚假网站,并试图从您的用户那里勒索有价值的信息。 此外,在此过程中,黑客可以将恶意代码注入到感染网络计算机的虚假或重复站点中。

4.本地邮件服务器不安全

在 Windows 上,XAMPP 使用 Mercury 作为默认邮件服务器。 不幸的是,密码也是众所周知的,它可以使恶意用户更容易访问您的电子邮件。

通过访问您的电子邮件,黑客可以在电子邮件中发送恶意代码,试图从毫无戒心的用户那里勒索资金,或者通过向客户发送不正确的电子邮件来破坏您公司的声誉。

强化您的 XAMPP 安装

如果您想让 XAMPP 安装更安全,如果 XAMPP 在 Linux 服务器上运行,您可以运行以下命令:

sudo /opt/lampp/lampp security

在 Windows 上,您可以使用以下 URL: https://localhost/security 修复一些安全问题。 请注意,即使您进行了上述配置,与 FileZilla 和 Mercury 相关的安全漏洞仍然无法修复。

您可以尝试的 XAMPP 替代方案

无论您使用的是 Windows、macOS 还是 Linux,XAMPP 都是设置 PHP 开发环境的绝佳工具。 但是,在生产服务器上使用它不够安全。

大多数管理员在 Linux 上使用本机 LAMP 堆栈,或在 Windows 生产服务器上使用 IIS,这提供了一种更安全的部署 PHP 应用程序的方式。 如果您使用的是 Windows,请考虑使用 WampServer 创建 WAMP 开发环境。