Hướng dẫn này sẽ khám phá một số lý do bảo mật tại sao bạn không bao giờ nên sử dụng XAMPP trên máy chủ sản xuất của mình để lưu trữ hoặc triển khai các ứng dụng dựa trên PHP.
Tại sao nên sử dụng XAMPP để phát triển?
XAMPP là một trong những ngăn xếp LAMP được sử dụng rộng rãi nhất để phát triển các ứng dụng dựa trên PHP. Nó bao gồm một máy chủ Apache, cơ sở dữ liệu MariaDB và các tập lệnh khác nhau được liên kết với PHP và Perl.
Vì nó đa nền tảng, mã nguồn mở và dễ thiết lập, nên nó là một trong những công cụ tốt nhất cho người mới bắt đầu bắt đầu phát triển ứng dụng web dựa trên PHP.
Tại sao bạn không nên sử dụng XAMPP để sản xuất
Tuy nhiên, XAMPP không được khuyến nghị sử dụng trên máy chủ sản xuất vì các lý do bảo mật sau.
1. Không có mật khẩu cho người quản trị cơ sở dữ liệu
Mật khẩu là rất quan trọng nếu bạn có một trang web động với cơ sở dữ liệu. Mật khẩu cho quản trị viên cơ sở dữ liệu trên XAMPP không được đặt theo mặc định, điều này có thể dẫn đến nhiều vấn đề bảo mật.
- Tin tặc có thể giành quyền truy cập vào toàn bộ cơ sở dữ liệu của bạn và sửa đổi bất kỳ thứ gì theo ý muốn vì người dùng gốc có quyền đọc, ghi và thực thi.
- Bất kỳ ai có quyền truy cập vào cơ sở dữ liệu của bạn đều có thể xem và sao chép tất cả thông tin người dùng và công ty bí mật của bạn, bao gồm cả việc sao chép toàn bộ cơ sở dữ liệu.
- Hầu hết các hệ thống ngày nay đều dựa vào cơ sở dữ liệu. Trong trường hợp cơ sở dữ liệu bị xóa hoặc không thể truy cập được, hệ thống của bạn về cơ bản sẽ được đưa xuống.
2. MySQL có thể được truy cập qua mạng
XAMPP sử dụng MySQL hoặc Maria DB làm dịch vụ cơ sở dữ liệu. Thật không may, MySQL daemon có thể dễ dàng truy cập qua mạng, điều này rất tiện dụng nếu bạn đang phát triển các trang web trên PC cục bộ nhưng không lý tưởng để sản xuất.
Ngay cả khi bạn sử dụng tường lửa để giới hạn quyền truy cập, nó có thể không bảo mật hoàn toàn việc cơ sở dữ liệu của bạn bị truy cập.
Tìm hiểu thêm:Trở thành chuyên gia về phát triển web và MySQL
3. ProFTPD sử dụng mật khẩu đã biết
ProFTPD là ứng dụng FTP (Giao thức truyền tệp) mặc định được sử dụng bởi XAMPP. Một bí mật đã biết là mật khẩu mặc định cho điều này được đặt thành "lampp". Điều này có nghĩa là người dùng có thể dễ dàng truy cập vào tất cả các trang web hoặc tệp HTML tĩnh của bạn.
Tin tặc có thể sao chép các trang web tĩnh của bạn để xây dựng một trang giả mạo tương tự như trang web của bạn và cố gắng moi thông tin có giá trị từ người dùng của bạn. Ngoài ra, tin tặc có thể đưa mã độc hại vào trang web giả mạo hoặc trùng lặp để lây nhiễm các máy tính mạng trong quá trình này.
4. Máy chủ thư cục bộ không an toàn
Trên Windows, XAMPP sử dụng Mercury làm máy chủ thư mặc định. Thật không may, mật khẩu cũng nổi tiếng, điều này có thể khiến người dùng độc hại dễ dàng truy cập vào email của bạn hơn.
Với quyền truy cập vào email của bạn, tin tặc có thể gửi mã độc hại trong email, cố gắng moi tiền từ những người dùng không nghi ngờ hoặc hủy hoại danh tiếng của công ty bạn bằng cách gửi email không phù hợp cho khách hàng.
Tăng cường cài đặt XAMPP của bạn
Nếu bạn muốn cài đặt XAMPP của mình an toàn hơn, bạn có thể chạy lệnh sau nếu XAMPP đang chạy trên máy chủ Linux:
Bảo mậtsudo /opt/lampp/lampp security
Trên Windows, bạn có thể sử dụng URL:https:// localhost / security để khắc phục một số vấn đề bảo mật. Lưu ý rằng, ngay cả khi bạn thực hiện các cấu hình nói trên, các lỗ hổng bảo mật liên quan đến FileZilla và Mercury vẫn sẽ không được khắc phục.
Các giải pháp thay thế XAMPP mà bạn có thể thử
XAMPP là một công cụ tuyệt vời để thiết lập môi trường phát triển PHP cho dù bạn đang sử dụng Windows, macOS hay Linux. Tuy nhiên, nó không đủ an toàn để sử dụng trên máy chủ sản xuất.
Hầu hết các quản trị viên đều sử dụng ngăn xếp LAMP gốc trên Linux hoặc IIS trên các máy chủ sản xuất Windows, cung cấp cách triển khai các ứng dụng PHP an toàn hơn. Nếu bạn đang sử dụng Windows, hãy cân nhắc tạo môi trường phát triển WAMP bằng WampServer.