چرا نباید XAMPP را روی سرور تولیدی نصب کنید؟

در این راهنما به بررسی بعضی از دلایل امنیتی برای این موضوع می‌پردازیم که چرا هیچ وقت نباید از XAMPP روی سرور تولیدی خودتان جهت میزبانی یا نصب اپلیکیشن‌های مبتنی بر پی‌اچ‌پی استفاده کنید.

چرا از XAMPP برای توسعه استفاده می‌شود؟

XAMPP یکی از پرکاربردترین پشته‌های LAMP برای طراحی اپلیکیشن‌های مبتنی بر پی‌اچ‌پی است. این پشته متشکل از آپاچی سرور، دیتابیس MariaDB و چندین اسکریپت مربوط به پی‌اچ‌پی و Perl است.

از آنجایی که XAMPP یک محیط چند پلتفرمی، اپن سورس و تنظیم آن راحت است، می‌توان آن را یکی از بهترین ابزارها برای افراد مبتدی دانست که توسعه اپلیکیشن‌های تحت وب مبتنی بر پی‌اچ‌پی را شروع می‌کنند.

چرا نباید از XAMPP برای محیط تولید استفاده کرد؟

اما به دلایل زیر استفاده از XAMPP برای سرور تولیدی توصیه نمی‌شود:

1. نداشتن رمزعبور برای مدیر پایگاه داده

وجود رمزعبور برای سایت‌های پویایی که پایگاه داده دارند ضروری است. در حالت پیش فرض برای مدیر پایگاه داده در XAMPP رمزعبور تنظیم نمی‌شود و همین امر می‌تواند باعث مشکلات امنیتی مختلفی شود:

• هکرها می‌توانند به کل پایگاه داده شما دسترسی پیدا کرده و هر چیزی را به خواست خودشان تغییر دهند چون کاربر روت دسترسی‌های خواندن، نوشتن و اجرا را دارد.
• هر شخصی که به پایگاه داده دسترسی دارد می‌تواند همه اطلاعات محرمانه کاربران و شرکت شما را مشاهده و کپی کند از جمله کل پایگاه داده.
• امروزه بیشتر سیستم‌ها متکی بر پایگاه‌های داده هستند. اگر پایگاه داده حذف شده یا از دسترس خارج شود، در واقع کل سیستم شما از کار خواهد افتاد.

2. می‌توان از طریق شبکه به MySQL دسترسی پیدا کرد

XAMPP از MySQL یا Maria DB به عنوان سرویس پایگاه داده استفاده می‌کند. متأسفانه دیمن MySQL به راحتی از طریق شبکه قابل دسترس است که این مسئله برای طراحی سایت روی یک کامپیوتر محلی خوب است اما برای محیط تولید ایده آل نیست.

حتی اگر برای محدود کردن دسترسی از یک فایروال استفاده می‌کنید باز هم ممکن است دسترسی به پایگاه داده شما به این روش ایمن نباشد.

3. ProFTPD از یک پسورد شناخته شده استفاده می‌کند

ProFTPD کلاینت پیش فرض FTP (پروتکل انتقال فایل) است که توسط XAMPP استفاده می‌شود. رمز پیش فرض مورد استفاده برای این کلاینت lamp است. این یعنی کاربران می‌توانند به راحتی به صفحات وب یا فایل‌های HTML شما دسترسی پیدا کنند.

هکرها می‌توانند کل صفحات وب ایستای شما را کپی کنند تا یک سایت جعلی شبیه به سایت شما ساخته و اطلاعات ارزشمند کاربران شما را استخراج کنند. همچنین هکرها می‌توانند کدهای مخربی در سایت جعلی یا کپی شده تزریق کرده و کل کامپیوترهای شبکه شما را آلوده کنند.

4. سرور ایمیل محلی ایمن نیست

در ویندوز، از XAMPP به عنوان سرور ایمیل پیش فرض استفاده می‌شود. متأسفانه امکان تشخیص رمز هم وجود دارد که همین مسئله باعث شده کاربران مخرب به راحتی بتوانند به ایمیل‌های شما دسترسی پیدا کنند.

با دسترسی به ایمیل‌ها، هکرها می‌توانند کدهای مخرب را از طریق ایمیل ارسال کنند تا از کاربران اخاذی کرده یا با ارسال ایمیل‌های نامناسب به مشتریان، اعتبار کسب و کار شما را خدشه دار کنند.

ایمن سازی XAMPP

اگر می‌خواهید XAMPP را ایمن تر کنید، فرمان زیر را روی سرور لینوکس اجرا کنید:

sudo /opt/lampp/lampp security

در سیستم عامل ویندوز، می‌توانید وارد سایت https://localhost/security شوید تا بعضی از مشکلات امنیتی را حل کنید. دقت داشته باشید که حتی اگر پیکربندی‌های ذکر شده را انجام دهید، باز هم نمی‌توان حفره‌های امنیتی فایل زیلا و مرکوری را رفع کرد.

جایگزین‌های XAMPP که می‌توانید امتحان کنید

XAMPP ابزار بسیار خوبی برای محیط توسعه پی‌اچ‌پی است چه از ویندوز استفاده می‌کنید یا مک و یا لینوکس اما به اندازه‌ای امن نیست که بتوان از آن در یک سرور تولیدی استفاده کرد.

بیشتر ادمین‌ها از پشته بومی LAMP در لینوکس یا IIS در ویندوز استفاده می‌کنند که روش بسیار امن تری برای نصب اپلیکیشن‌های پی‌اچ‌پی است. اگر از ویندوز استفاده می‌کنید سعی کنید با استفاده از WampServer یک محیط توسعه WAMP بسازید.