Jul 11 2007

XAMPP（Windows版）のセキュリティ設定メモ

このエントリーにはタグがありません。

XAMPPはWindows用バージョン1.6.2が快調に動作しておりますが、今日Zen Cartを入れたときに何個かエラーがあって、いろいろ調べているうちに、セキュリティ対策をちゃんとやってなかったことに気がつきました。

XAMPPセキュリティ・コンソール

これはまずいぜ‥‥！　と思って、さっそく対策をしました。
以下メモ。

MySQLのrootユーザーにパスワードを設定する

仕様らしいですが、これは困ったなので、設定しました。
phpMyAdminの管理画面の下の方に「特権」と書いてあります。

次の画面でroot@localhostというユーザーの特権を編集します。
鉛筆みたいなアイコンをクリックしたら、詳細な設定画面へ。

一番上に「グローバル特権」っていう囲みが出てくるのですが、その下の方にパスワードを再設定するフォームがあります。
私はこれを使いました。

でも、自動でやる方法があるって後から知った‥‥。

ローカル環境以外からのアクセスを遮断する

XAMPPのデフォルト設定のセキュリティは非常にゆるくて、 IPアドレスを知っている人にこっそり開発環境をのぞき見される可能性が感じられます。っていうか、できるみたい。
これは危険なので、このパソコンを使っている自分以外は、ネットワーク経由でアクセスできないようにします。

.htaccessファイルを作って、

Order deny,allow
Deny from All
Allow from localhost 127.0.0.1

と記述。（参考：XAMPPの設定 -phpspot-）

Windowsだと、ドットで始まるファイルを作成できないので、いったん.htaccess.txtとしおいて、FTPクライアントソフトでXAMPPの下のhtdocsにアクセス。私はFFFTPを使っていますが、ソフトを使ってリネームしたら上手く行きました。

FileZillaのユーザー・パスワードを変更する

FileZillaをサービスとしてインストールしておき、起動すると上に書いたようにFTPクライアントソフトが使えるようになるのですが、初期状態だと、

User: newuser
Password: wampp

と設定されており、このままだと勝手にアクセスされる可能性があります。
怖いからこれも変更。

管理ツールからFileZilla serverを起動し、メニューのEdit→usersを選びます。
設定画面の右側にユーザー名の一覧が表示されるので、

passwordの欄に、新しいパスワードを入力します。

FTPクライアントソフトの設定は、

ホスト名：127.0.0.1
User: newuser（新規に設定してもいいのかも）
Password: 新しく設定したパスワード

設定名はわかりやすいのを付けましょう。

MySQLのrootパスワードと.htaccessを自動で設定する

で、実は、MySQLと、ディレクトリアクセスについては、自動制御ツールみたいのがありました。
うちのXAMPPは1.6.2なんですが、http://localhost/security/xamppsecurity.phpにアクセスすると、設定画面が出てきます。
ThinkITの記事を見て知ったんだけど、今のバージョンのセキュリティの画面には、このページへのリンクがないみたい（ファイルはあるのでアクセスできるんだけど）。