Menü

Xampp für Fortgeschrittene Lokales Website-Testing mit Xampp

Xampp ist die wichtigste Plattform für das lokale Erstellen und Testen von Webapplikationen. In wenigen Minuten ist eine vollwertige Testumgebung aufgesetzt, die sogar für den internen Einsatz taugt.

© Internet Magazin
Lokales Website-Testing

Wenn Sie quasi in Minutenschnelle eine Testumgebung für Ihre PHP-Entwicklungen oder gar eine Produktionsumgebung für den internen Einsatz aufsetzen wollen, so führt kaum ein Weg an Xampp vorbei.

Das von Kai Seidler und seinem Team entwickelte Paket verfügt über alle notwendigen Komponenten, um beispielsweise eine Online-Shopinstallation lokal zu testen: Webserver, MySQL-Datenbank, FTP- und E-Mail-Server. Ein weiteres Plus: Xampp ist für alle relevanten Plattformen verfügbar. XAMPP bietet eine Fülle an Möglichkeiten. Um jedoch in deren Genuss zu kommen, sollten Sie allerdings verschiedene Anpassungen der Umgebung vornehmen.

Sicherheit geht vor

Die Grundkonfiguration des Xampp-Systems ist ist in Sachen Sicherheit prinzipiell nicht sonderlich restriktiv. Denn Xampp ist von Haus aus nicht für den Produktionseinsatz, sondern in erster Linie als Entwicklungsumgebung gedacht.

Die Grundkonfiguration weist folgende Sicherheitsschwachstellen auf, die es im nächsten Schritt zu schließen gilt:

  • Der MySQL-Administrator (root) besitzt kein Passwort.
  • Der MySQL-Daemon ist übers Netzwerk erreichbar.
  • Der ProFTPD-Daemon benutzt das Passwort lampp.
  • Die phpMyAdmin-Installation ist ebenfalls über das Netzwerk erreichbar.
  • MySQL und Apache laufen unter der gleichen Benutzerkennung (nobody).

Sicherheitscheck

Über die Xampp-Startseite können Sie den Sicherheitscheck starten, der Ihnen bei einer Neuinstallation genau diese Schwachstellen aufführt. Ihre Xampp-Installation verfügt über ein kleines Skript, mit dem Sie diese Einstellungen ändern können. Sie rufen es mit folgendem Befehl auf: /opt/lampp/lampp security.

Wenn Sie XAMPP auf einem Windows-System ausführen, können Sie die Einstellungen auch über die Webschnittstelle ändern. Das Skript führt Sie interaktiv durch die verschiedenen Schritte, die für die Änderungen der Passwörter erforderlich sind.

Mit der Ausführung des Skripts haben Sie Ihre Xampp-Installation gegen die wichtigsten Angriffsoptionen abgesichert. Führen Sie anschließend einen erneuten Sicherheitscheck durch, um sicherzustellen, dass nun auch alle Einstellungen abgesichert sind.

Nach der Ausführung des Sicherheitsskripts und einem erneuten Sicherheitscheck sind einige Schwachstellen geschlossen, aber längst noch nicht alle. Es versteht sich von selbst, dass Sie beim Produktivitätstest alle Sicherheitslücken schließen sollten, die der Test ausgibt.

Auch die Windows-Variante verfügt inzwischen über einen Sicherheitscheck und ein PHP-Formular, über das man die Einstellungen prüfen und ändern kann.

Folgen Sie in der Navigationsleiste dem Verweis Sicherheitscheck.

Im vorliegenden Beispiel weist die Prüfung Sie auf sechs Schwachstellen hin:

  • Diese Xampp-Seiten sind über das Netzwerk erreichbar.
  • MySQL Admin User root hat kein Passwort.
  • PhpMyAdmin ist über das Netzwerk erreichbar.
  • Das Filezilla FTP-Passwort ist noch immer wampp.
  • PHP läuft nicht im Safe Mode.
  • Ein Pop3 Server wie Mercury Mail läuft nicht oder wird von einer Firewall geblockt.

Auch bei diesem Check kommen die drei farbigen Markierungen rot, gelb und grün zur Kennzeichnung des Sicherheitsstatus zum Einsatz. Unterhalb der Ergebnisse finden Sie den Verweis zum Sicherheitsskript, mit dem Sie einige dieser Schwachstellen beheben können. Folgen Sie dem Link http://localhost/security/xamppsecurity.php . Das funktioniert allerdings nur beim Zugriff über localhost. Ein Zugriff von Drittsystemen ist nicht möglich.

Wenn Sie dem Link folgen, landen Sie auf einem einfachen Formular, auf dem Sie MySQL ein neues Passwort für den Root-User verpassen und den Xampp-Verzeichnisschutz aktivieren können. Geben Sie unter MySQL Sektion: Root Passwort das neue Passwort ein, wiederholen Sie die Eingabe und übernehmen Sie die Änderung mit einem Klick auf Passwort ändern. Im unteren Bereich sollten Sie außerdem über die .htaccess den Verzeichnisschutz aktivieren.

Beachten Sie außerdem, dass Sie die beiden Server Filezilla und Mercury über diese Funktion nicht sicherer machen können. Hier helfen nur die Funktionen des jeweiligen Servers.

Zugriff aus dem Internet

Wenn Sie lokal ein Content-Management-System, einen Online-Shop oder eine andere Anwendung auf Ihrer Xampp-Umgebung eingerichtet haben und diese auch über das Internet zugänglich machen wollen, dabei aber nicht über eine permanente Internet-anbindung verfügen, sondern diese beispielsweise per DSL realisieren, so ist das über DynDNS möglich.

weiterlesen auf Seite 2
Inhaltsverzeichnis 1/5
 
Anzeige
Anzeige
x