4 Gründe, warum Sie XAMPP niemals auf Ihrem Produktionsserver verwenden sollten
In diesem Leitfaden werden einige der Sicherheitsgründe erläutert, warum Sie XAMPP niemals auf Ihrem Produktionsserver zum Hosten oder Bereitstellen von PHP-basierten Anwendungen verwenden sollten.
Warum XAMPP für die Entwicklung verwenden?
XAMPP ist einer der am weitesten verbreiteten LAMP-Stacks für die Entwicklung von PHP-basierten Anwendungen. Es besteht aus einem Apache-Server, einer MariaDB-Datenbank und verschiedenen Skripten, die mit PHP und Perl verbunden sind.
Da es plattformübergreifend, quelloffen und einfach einzurichten ist, ist es eines der besten Tools für Anfänger, die mit der PHP-basierten Web-App-Entwicklung beginnen.
Warum Sie XAMPP nicht für die Produktion verwenden sollten
XAMPP wird jedoch aus folgenden Sicherheitsgründen nicht für die Verwendung auf einem Produktionsserver empfohlen.
1. Kein Passwort für den Datenbankadministrator
Ein Passwort ist entscheidend, wenn Sie eine dynamische Website mit einer Datenbank haben. Das Passwort für den Datenbankadministrator auf XAMPP ist standardmäßig nicht gesetzt, was zu vielen Sicherheitsproblemen führen kann.
- Hacker können auf Ihre gesamte Datenbank zugreifen und alles nach Belieben ändern, da der Root-Benutzer Lese-, Schreib- und Ausführungsberechtigungen hat.
- Jeder mit Zugriff auf Ihre Datenbank kann alle Ihre vertraulichen Benutzer- und Unternehmensinformationen anzeigen und kopieren, einschließlich des Kopierens der gesamten Datenbank.
- Die meisten Systeme sind heutzutage auf Datenbanken angewiesen. Falls die Datenbank gelöscht wird oder nicht mehr zugänglich ist, wird Ihr System im Wesentlichen heruntergefahren.
2. Auf MySQL kann über ein Netzwerk zugegriffen werden
XAMPP verwendet MySQL oder Maria DB als Datenbankdienst. Leider ist der MySQL-Daemon über das Netzwerk leicht zugänglich, was sehr praktisch ist, wenn Sie Websites auf einem lokalen PC entwickeln, aber nicht ideal für die Produktion.
Selbst wenn Sie eine Firewall verwenden, um den Zugriff einzuschränken, kann Ihre Datenbank möglicherweise nicht vollständig vor Zugriffen geschützt werden.
3. ProFTPD verwendet ein bekanntes Passwort
ProFTPD ist der Standard- FTP- Client (File Transfer Protocol), der von XAMPP verwendet wird. Es ist ein bekanntes Geheimnis, dass das Standardpasswort dafür auf "lampp" gesetzt ist. Dies bedeutet, dass Benutzer problemlos auf alle Ihre statischen HTML-Dateien oder Webseiten zugreifen können.
Hacker können Ihre statischen Webseiten kopieren, um eine gefälschte Website zu erstellen, die Ihrer ähnelt, und versuchen, wertvolle Informationen von Ihren Benutzern zu erpressen. Außerdem können Hacker bösartigen Code in die gefälschte oder duplizierte Site einschleusen und dabei Netzwerkcomputer infizieren.
4. Der lokale Mailserver ist nicht sicher
Unter Windows verwendet XAMPP Mercury als Standard-Mailserver. Leider ist auch das Passwort bekannt, was es böswilligen Benutzern erleichtern kann, auf Ihre E-Mails zuzugreifen.
Durch den Zugriff auf Ihre E-Mails können Hacker schädlichen Code in E-Mails senden, versuchen, Geld von ahnungslosen Benutzern zu erpressen oder den Ruf Ihres Unternehmens zu ruinieren, indem sie den Kunden unangemessene E-Mails senden.
Härten Ihrer XAMPP-Installation
Wenn Sie Ihre XAMPP-Installation sicherer machen möchten, können Sie den folgenden Befehl ausführen, wenn XAMPP auf einem Linux-Server ausgeführt wird:
sudo /opt/lampp/lampp security
Unter Windows können Sie die URL https://localhost/security verwenden , um einige Sicherheitsprobleme zu beheben. Beachten Sie, dass die mit FileZilla und Mercury verbundenen Sicherheitslücken auch dann nicht behoben werden, wenn Sie die oben genannten Konfigurationen vornehmen.
XAMPP-Alternativen, die Sie ausprobieren können
XAMPP ist ein großartiges Tool zum Einrichten einer PHP-Entwicklungsumgebung, unabhängig davon, ob Sie Windows, macOS oder Linux verwenden. Es ist jedoch nicht sicher genug, um auf einem Produktionsserver verwendet zu werden.
Die meisten Administratoren verwenden einen nativen LAMP-Stack unter Linux oder IIS auf Windows-Produktionsservern, die eine sicherere Möglichkeit zur Bereitstellung von PHP-Anwendungen bieten. Wenn Sie Windows verwenden, sollten Sie erwägen, eine WAMP-Entwicklungsumgebung mit WampServer zu erstellen.