XAMPPの簡単なセキュリティー設定

普段サイトの作成などでWEBデザインだけをする場合はサーバー等は特に必要ないですが、WordPressなどPHPを使う場合はローカル環境では限界があります。WindowsやMacを使っている人はXAMPPを使用するケースもあると思います。このXAMMPについて少々調べたことになります。

XAMPPって何?

通常サーバーなど開発などに必要なソフトウェアは以下のようなのが上げられます。

Apache
WEBサイトを表示するためのソフトウェア
FTPサーバー
ファイル転送ソフトのFTPのサーバーソフトウェア
MySQL
データベースを使うためのソフトウェア
PHP
PHPを動作させるためのソフトウェア
Perl
CGI等を使うためのソフトウェア

※FTPサーバーのソフトウェアはFileZillaになります。PstgreSQLは入っていません。

これらを個別にインストールするには面倒なとこです。XAMPPはこの必要なソフトウェアをパッケージとして配布しているので個別にインストールする必要性がありません。

入っているバージョン

インストールするバージョンによって異なります。最新版の1.7.7は以下のバージョンが入っています。

  • Apache→2.2.21
  • MySQL→5.5.16
  • PHP→5.3.8
  • phpmyadmin→3.4.5

XAMPPのセキュリティ

XAMPPのセキュリティは低いと言われています。それはインストールした直後にrootのパスワードが設定されていなかったり、ネットワーク上からアクセスが可能だったりします。インストールしてから簡単に設定をする必要性があります。

ローカルホスト以外からのアクセスを拒否

XAMPPの初期設定はローカルホスト以外からでもアクセスできます。そのため、ネットワーク上のどのPCからでも場合によってはアクセスできる環境になります。開発環境でもあるのでマシン本体以外からのアクセスは拒否します。

.htaccessを使います

Order deny,allow
Deny from All
Allow from localhost 127.0.0.1

これでローカルホスト以外からのアクセスを遮断できます。.htaccessはWindowsでは隠しファイルがデフォルトでは見れないので、テキストファイルでhtaccess.txtなどと保存します。ftpなどのソフトを使いアップロードしてからリネームします。

アップロード箇所はドキュメントルートになります。

FileZillaのパスワードを変更

XAMPPではデフォルトの設定でFileZillaのパスワードが設定されているみたいです。設定は以下になります。

  • User: newuser
  • Password: wampp

この状態だと誰でもパスワードを知っている人は接続できるので変更します。設定は以下の方法になります。

  • 管理ツールからFileZilla serverを起動
  • メニューのEdit→usersを選ぶ
  • 設定画面の右側にユーザー名の一覧が表示されるので、passwordの欄に新しいパスワードを入力してください。

ユーザーを新規で作るのもありかもしれません。

MySQLにパスワードをかける

MySQLのrootにパスワードを設定します。

  • http://localhost/security/へアクセス
  • パスワードを設定

パスワードを設定後はMySQLを再起動してください。

不要なサービスを起動しない

開発環境でWordPRessの動作確認などをするだけなら、メールサービスは必要ありません。また、本体からのアクセスのみなのでこの場合もftpサービスなどはいりません。そのため、不要なサービスは常に起動しないでおきましょう。

備考

僕はXAMPPは普段は使っていません。自分のWindowsにソフトウェアをインストールするのも面倒なのですが、それが理由だけではなく普段CentOSを使っているため、Windowsのサーバーというのはあまり信用していません。開発用とかにしても安い共用サーバーを借りてそこで行うというほうが設定しなくてもすむので楽です。

また、自分で設定する手間が省けます。ヘテムルなどは年間18,000円かかりますが、例えばロリポップなら年間数千円程度ですみます。自分でインストールするよりこっちのほうがいいかなと思います。FTPのアクセス制限やベーシック認証も可能です。

お勧めする格安レンタルサーバー

格安なレンタルサーバーをテスト環境にするのも検討していただければ幸いです