4 raisons pour lesquelles vous ne devriez jamais utiliser XAMPP sur votre serveur de production
Ce guide explorera certaines des raisons de sécurité pour lesquelles vous ne devriez jamais utiliser XAMPP sur votre serveur de production pour héberger ou déployer des applications basées sur PHP.
Pourquoi utiliser XAMPP pour le développement ?
XAMPP est l'une des piles LAMP les plus utilisées pour développer des applications basées sur PHP. Il se compose d'un serveur Apache, d'une base de données MariaDB et de divers scripts associés à PHP et Perl.
Puisqu'il est multiplateforme, open source et facile à configurer, c'est l'un des meilleurs outils pour les débutants qui commencent dans le développement d'applications Web basées sur PHP.
Pourquoi vous ne devriez pas utiliser XAMPP pour la production
Cependant, XAMPP n'est pas recommandé pour une utilisation sur un serveur de production pour les raisons de sécurité suivantes.
1. Pas de mot de passe pour l'administrateur de la base de données
Un mot de passe est crucial si vous avez un site Web dynamique avec une base de données. Le mot de passe de l'administrateur de la base de données sur XAMPP n'est pas défini par défaut, ce qui peut entraîner de nombreux problèmes de sécurité.
- Les pirates peuvent accéder à l'ensemble de votre base de données et modifier n'importe quoi à volonté, car l'utilisateur root dispose des autorisations de lecture, d'écriture et d'exécution.
- Toute personne ayant accès à votre base de données peut afficher et copier toutes les informations confidentielles de vos utilisateurs et de votre entreprise, y compris la copie de l'intégralité de la base de données.
- De nos jours, la plupart des systèmes reposent sur des bases de données. Si la base de données est supprimée ou devient inaccessible, votre système sera essentiellement arrêté.
2. MySQL est accessible via un réseau
XAMPP utilise MySQL ou Maria DB comme service de base de données. Malheureusement, le démon MySQL est facilement accessible sur le réseau, ce qui est très pratique si vous développez des sites Web sur un PC local mais n'est pas idéal pour la production.
Même si vous utilisez un pare-feu pour limiter l'accès, il peut ne pas complètement sécuriser l'accès à votre base de données.
3. ProFTPD utilise un mot de passe connu
ProFTPD est le client FTP (File Transfer Protocol) par défaut utilisé par XAMPP. C'est un secret connu que le mot de passe par défaut pour cela est défini sur "lampp". Cela signifie que les utilisateurs peuvent facilement accéder à tous vos fichiers HTML statiques ou pages Web.
Les pirates peuvent copier vos pages Web statiques pour créer un faux site similaire au vôtre et essayer d'extorquer des informations précieuses à vos utilisateurs. En outre, les pirates peuvent injecter du code malveillant dans le site faux ou en double infectant les ordinateurs du réseau au cours du processus.
4. Le serveur de messagerie local n'est pas sécurisé
Sous Windows, XAMPP utilise Mercury comme serveur de messagerie par défaut. Malheureusement, le mot de passe est également bien connu, ce qui peut permettre aux utilisateurs malveillants d'accéder plus facilement à vos e-mails.
En accédant à vos e-mails, les pirates peuvent envoyer du code malveillant dans les e-mails, essayer d'extorquer des fonds à des utilisateurs peu méfiants ou ruiner la réputation de votre entreprise en envoyant des e-mails inappropriés aux clients.
Renforcement de votre installation XAMPP
Si vous souhaitez rendre votre installation XAMPP plus sécurisée, vous pouvez exécuter la commande suivante si XAMPP s'exécute sur un serveur Linux :
sudo /opt/lampp/lampp security
Sous Windows, vous pouvez utiliser l'URL : https://localhost/security pour résoudre certains problèmes de sécurité. Notez que, même si vous effectuez les configurations susmentionnées, les failles de sécurité associées à FileZilla et Mercury ne seront toujours pas corrigées.
Alternatives XAMPP que vous pouvez essayer
XAMPP est un excellent outil pour configurer un environnement de développement PHP, que vous utilisiez Windows, macOS ou Linux. Cependant, il n'est pas suffisamment sécurisé pour être utilisé sur un serveur de production.
La plupart des administrateurs utilisent une pile LAMP native sur Linux ou IIS sur des serveurs de production Windows qui offrent un moyen plus sécurisé de déployer des applications PHP. Si vous utilisez Windows, envisagez de créer un environnement de développement WAMP à l'aide de WampServer.