XAMPP for Windows のセキュリティ対策 PHP
XAMPPは開発環境を手軽に構築することを目的としているので、セキュリティがゆるゆるです。テスト環境として最低限必要なセキュリティ設定をしていこうと思います。
※これから記述する内容はあくまでもテスト環境として最低限のセキュリティ対策になります。
XAMPPのセキュリティ画面へアクセス
XAMPPのセキュリティ画面へアクセスします。
-
XAMPPのコントロールパネルでApacheとMySQLが起動していることを確認します。
-
XAMPPのインストール完了画面(http://localhost/xampp/)を表示させ、左メニューの「セキュリティ」をクリックします。
-
XAMPPのセキュリティ画面が表示されたら、ステータスに「要注意」があることを確認し「http://localhost/security/xamppsecurity.php」リンクをクリックしてセキュリティ設定画面を表示させます。
MySQLの管理者パスワードを設定
MySQLの管理者パスワードを設定し、データベースを不用意に操作されないようにします。
-
「MySQL項目:"ROOT"パスワード」に新しいパスワードを入力し[パスワードを変更しました。]ボタンをクリックします。
入力したパスワードを忘れてしまうと、データベースを操作できなくなってしまいます。パスワードを忘れないようにしましょう。
-
「rootのパスワードが変更されました・・・」というメッセージがでたら、XAMPPのコントロールパネルからMySQLを再起動させましょう。
ApacheのXAMPPディレクトリへのアクセス制限
現段階ではXAMPPでインストールしたApacheサーバへ、誰もがアクセスできる状態になっています。テスト時にはアクセス制限をかけ、第三者に不用意にアクセスされないようにしましょう。
-
「XAMPPのディレクトリ制御(.htaccess)」に「ユーザ」と「パスワード」を入力し[安全なXAMPPディレクトリを作成してください。]ボタンをクリックします。
-
「成功:XAMPPのディレクトリ制御が設定されました!・・・」が表示されれば設定完了です。
-
本当にセキュリティ設定が完了しているか、左メニューの「セキュリティ」リンクをクリックして確かめます。
-
XAMPPのディレクトリ制御が有効になっていれば下記の画面が表示されます。設定したユーザ名とパスワードを入力しないとルートディレクトリ(初期設定:htdocsフォルダ内)にアクセスできなくなります。
設定したユーザ名とパスワードを入力して[OK]ボタンを押します。
-
XAMPPのセキュリティ画面でステータスが「安全」と「不明」のみになっていれば設定完了です。
FileZilla FTPを起動しない
PHPの動作確認だけであれば、ファイルのやり取りをするFTPサーバを起動する必要はありません。不要なサービスを起動させることは悪意ある第三者の侵入を許すことになりかねません。起動しないようにしましょう。
Mercury Mailを起動しない
PHPの動作確認だけであれば、メールの送受信を行うメールサーバを起動する必要はありません。悪意ある第三者にメールサーバを利用される可能性があるので、起動しないようにしましょう。
