در این راهنما به بررسی بعضی از دلایل امنیتی برای این موضوع میپردازیم که چرا هیچ وقت نباید از XAMPP روی سرور تولیدی خودتان جهت میزبانی یا نصب اپلیکیشنهای مبتنی بر پیاچپی استفاده کنید.
چرا از XAMPP برای توسعه استفاده میشود؟
XAMPP یکی از پرکاربردترین پشتههای LAMP برای طراحی اپلیکیشنهای مبتنی بر پیاچپی است. این پشته متشکل از آپاچی سرور، دیتابیس MariaDB و چندین اسکریپت مربوط به پیاچپی و Perl است.
از آنجایی که XAMPP یک محیط چند پلتفرمی، اپن سورس و تنظیم آن راحت است، میتوان آن را یکی از بهترین ابزارها برای افراد مبتدی دانست که توسعه اپلیکیشنهای تحت وب مبتنی بر پیاچپی را شروع میکنند.
چرا نباید از XAMPP برای محیط تولید استفاده کرد؟
اما به دلایل زیر استفاده از XAMPP برای سرور تولیدی توصیه نمیشود:
1. نداشتن رمزعبور برای مدیر پایگاه داده
وجود رمزعبور برای سایتهای پویایی که پایگاه داده دارند ضروری است. در حالت پیش فرض برای مدیر پایگاه داده در XAMPP رمزعبور تنظیم نمیشود و همین امر میتواند باعث مشکلات امنیتی مختلفی شود:
- هکرها میتوانند به کل پایگاه داده شما دسترسی پیدا کرده و هر چیزی را به خواست خودشان تغییر دهند چون کاربر روت دسترسیهای خواندن، نوشتن و اجرا را دارد.
- هر شخصی که به پایگاه داده دسترسی دارد میتواند همه اطلاعات محرمانه کاربران و شرکت شما را مشاهده و کپی کند از جمله کل پایگاه داده.
- امروزه بیشتر سیستمها متکی بر پایگاههای داده هستند. اگر پایگاه داده حذف شده یا از دسترس خارج شود، در واقع کل سیستم شما از کار خواهد افتاد.
2. میتوان از طریق شبکه به MySQL دسترسی پیدا کرد
XAMPP از MySQL یا Maria DB به عنوان سرویس پایگاه داده استفاده میکند. متأسفانه دیمن MySQL به راحتی از طریق شبکه قابل دسترس است که این مسئله برای طراحی سایت روی یک کامپیوتر محلی خوب است اما برای محیط تولید ایده آل نیست.
حتی اگر برای محدود کردن دسترسی از یک فایروال استفاده میکنید باز هم ممکن است دسترسی به پایگاه داده شما به این روش ایمن نباشد.
3. ProFTPD از یک پسورد شناخته شده استفاده میکند
ProFTPD کلاینت پیش فرض FTP (پروتکل انتقال فایل) است که توسط XAMPP استفاده میشود. رمز پیش فرض مورد استفاده برای این کلاینت lamp است. این یعنی کاربران میتوانند به راحتی به صفحات وب یا فایلهای HTML شما دسترسی پیدا کنند.
هکرها میتوانند کل صفحات وب ایستای شما را کپی کنند تا یک سایت جعلی شبیه به سایت شما ساخته و اطلاعات ارزشمند کاربران شما را استخراج کنند. همچنین هکرها میتوانند کدهای مخربی در سایت جعلی یا کپی شده تزریق کرده و کل کامپیوترهای شبکه شما را آلوده کنند.
4. سرور ایمیل محلی ایمن نیست
در ویندوز، از XAMPP به عنوان سرور ایمیل پیش فرض استفاده میشود. متأسفانه امکان تشخیص رمز هم وجود دارد که همین مسئله باعث شده کاربران مخرب به راحتی بتوانند به ایمیلهای شما دسترسی پیدا کنند.
با دسترسی به ایمیلها، هکرها میتوانند کدهای مخرب را از طریق ایمیل ارسال کنند تا از کاربران اخاذی کرده یا با ارسال ایمیلهای نامناسب به مشتریان، اعتبار کسب و کار شما را خدشه دار کنند.
ایمن سازی XAMPP
اگر میخواهید XAMPP را ایمن تر کنید، فرمان زیر را روی سرور لینوکس اجرا کنید:
sudo /opt/lampp/lampp security
در سیستم عامل ویندوز، میتوانید وارد سایت https://localhost/security شوید تا بعضی از مشکلات امنیتی را حل کنید. دقت داشته باشید که حتی اگر پیکربندیهای ذکر شده را انجام دهید، باز هم نمیتوان حفرههای امنیتی فایل زیلا و مرکوری را رفع کرد.
جایگزینهای XAMPP که میتوانید امتحان کنید
XAMPP ابزار بسیار خوبی برای محیط توسعه پیاچپی است چه از ویندوز استفاده میکنید یا مک و یا لینوکس اما به اندازهای امن نیست که بتوان از آن در یک سرور تولیدی استفاده کرد.
بیشتر ادمینها از پشته بومی LAMP در لینوکس یا IIS در ویندوز استفاده میکنند که روش بسیار امن تری برای نصب اپلیکیشنهای پیاچپی است. اگر از ویندوز استفاده میکنید سعی کنید با استفاده از WampServer یک محیط توسعه WAMP بسازید.
