¿Por qué no usar una pila WAMP?

28

Esta es una pregunta canónica sobre el uso de la pila de * AMPP.

Recientemente tuve una charla con algunas personas experimentadas y me sugirieron que no usara una pila WAMP y, en su lugar, instalara apache, mysql y php por separado.

Sin embargo, no entiendo por qué han sugerido esto, así que ¿alguien puede decirme?

¿Existe una desventaja particular de WAMP, o una ventaja particular de instalarlos por separado?

Dado que una pila WAMP se compone de apache, mysql y php, ¿cuál es la diferencia entre usar la pila WAMP e instalarlos por separado?

matang
fuente
3
¿Qué pasa con una pila WIMP? (Windows, IIS, servidor MSSQL, ASP.net) Prefiero el acrónimo.
HopelessN00b
@ HopelessN00b, se toma WIMP. Era una extensión del sistema operativo para las máquinas Commodore 64 (en la época de Windows 2) y significaba "Windows, iconos, ratones y punteros".
John Gardeniers
@John Gardeniers WIMP ya fue tomado en esa etapa como un acrónimo del estilo de interfaz de usuario "Windows Icons Mice and Pull-down Menus" que ahora todos usamos.
Euan M

Respuestas:

37

Dado que una pila WAMP se compone de apache, mysql y php, ¿cuál es la diferencia entre usar la pila WAMP e instalarlos por separado?

Hay muchas diferencias, aunque las tres más preocupantes son:

  1. configuración insegura
  2. dificultad y retraso en las actualizaciones
  3. configuraciones no estándar / ubicaciones binarias

Para ampliar en el n. ° 1: WAMP, MAMP, LAMPP, XAMPP, etc. están diseñados para ser instaladores de pila con un solo clic que facilitan a los desarrolladores trabajar rápidamente y con la menor resistencia posible. Como tal, muchos de los valores de configuración se dejan intencionalmente en un estado muy inseguro. Esto está bien para el trabajo de desarrollo, pero increíblemente estúpido para hacer en producción.

Luego, para el n. ° 2, los proveedores de sistemas operativos hacen que sea muy fácil mantener su pila LAMP actualizada con las actualizaciones de funciones y parches de seguridad más recientes. Cuando sus paquetes se lanzan a sus repositorios oficiales, han pasado por muchas pruebas y las posibilidades de que rompan algo en su sistema son bastante bajas. En la gran mayoría de las veces, puede actualizar todo con un solo comando.

Finalmente, # 3: los instaladores con un solo clic colocan sus archivos en ubicaciones muy no estándar. Como tal, cuando usted (o cualquier otra persona) va a solucionar problemas, queda buscando en todo su sistema de archivos, digamos, su archivo php.ini. Cuando instala una pila LAMP desde el repositorio de paquetes de su distribución, todo estará en una ubicación conocida y esperada.

EEAA
fuente
1
Siento que hemos estado respondiendo simultáneamente las mismas preguntas toda la semana.
MDMarra
2
Advertencia: escribí esto asumiendo que estabas ejecutando en Linux, que aparentemente no lo estás haciendo. Muchos de los mismos puntos siguen siendo válidos en Windows. Sin embargo, debo presentar que realmente debería estar ejecutándose en Linux. Tendrás una experiencia mucho más placentera.
EEAA
@MDMarra Hah, no me había dado cuenta hasta ahora. Supongo que necesito regresar y mirar nuestra historia. :)
EEAA
21

En primer lugar, apache, php y MySQL son todas aplicaciones * nix portadas a Windows. Por lo general, se prefiere ejecutar herramientas en sus plataformas nativas en entornos de producción.

En segundo lugar, los paquetes AMP preconfigurados * generalmente tienen configuraciones extremadamente vulnerables listas para usar. La mayoría de los paquetes se envían con un archivo Léame que indica que son solo para uso del desarrollador y no para producción debido a esto.

Si realmente desea desarrollarse en un entorno que imite la producción, usará una configuración similar a su entorno de producción y no lo obtendrá con los paquetes WAMP o LAMP.

MDMarra
fuente
6

Si la pregunta es: usar Windows como mi plataforma, ¿por qué algunas personas me dicen que instale Apache, PHP y MySQL por separado en lugar de como parte de una distribución WAMP ...

La razón principal es que algunas personas han tenido una experiencia negativa al usar distribuciones WAMP de "todo incluido el fregadero de la cocina" que viene con un servidor FTP, servidor de correo, servidor JSP, servidor DNS, tienen problemas con la capacidad de actualización, la seguridad ... y eso generalmente hace un desastre de cosas.

Y al final del día, esas personas prefieren instalar y configurar Apache, PHP y MySQL a su manera. Y otros probablemente piensan que ganarás más experiencia haciéndolo todo tú mismo.

Pero no todos los WAMP son así, y algunos son marcos muy bien pensados ​​que se ocupan de la seguridad, la capacidad de actualización y las configuraciones de manera adecuada.

Hay alrededor de una docena de WAMP que puedes probar para ver cómo se comparan entre sí. Siempre recomiendo probar: WampServer , UniformServer , Wamp-Developer Pro y Xampp para ver si uno de ellos se adapta a sus necesidades y, de no ser así, configurar su propia instalación / marco WAMP personalizado o usar un entorno LAMP .

cosas correctas
fuente
3
No está equivocado en el punto que está haciendo, pero afirmo que el código más seguro y más eficiente es el código que nunca tiene que ejecutar, y el marco más flexible no es ningún marco, por lo que no tiene que preocuparse sobre romper las reglas de otra persona y evitar que sus suposiciones de seguridad, capacidad de actualización o configuración sean verdaderas y romper el marco. Realmente depende de los requisitos y habilidades de la persona que realiza la implementación: si se trata de un sistema con conexión a Internet, un marco no sustituye la comprensión de cómo configurar usted mismo todos los componentes.
Rob Moir
3
Iré más allá y diré que si una persona necesita usar cualquier sistema de estilo WAMP porque no tiene la experiencia, la habilidad y la confianza para hacerlo usando los componentes, entonces esa persona no debería ponerlo en Internet. WAMP, en cualquiera de sus formas, está bien para una intranet pero no para Internet.
John Gardeniers
3

Una respuesta directamente de XAMPP. (Comparto, incluso si no es una pregunta directa de xampp, ya que aparece como una pregunta canónica para la pila de AMPP )

¿Está lista la producción de XAMPP?

XAMPP no está diseñado para uso en producción sino solo para entornos de desarrollo . La forma en que se configura XAMPP es abrirse lo más posible para permitirle al desarrollador todo lo que quiera. Para entornos de desarrollo, esto es excelente, pero en un entorno de producción podría ser fatal.

Aquí una lista de seguridad faltante en XAMPP:

    The MySQL administrator (root) has no password.
    The MySQL daemon is accessible via network.
    ProFTPD uses the password "lampp" for user "daemon".
    PhpMyAdmin is accessible via network.
    The XAMPP demopage is accessible via network.
    The default users of Mercury and FileZilla are known.

Todos los puntos pueden ser un gran riesgo de seguridad. Especialmente si se puede acceder a XAMPP a través de la red y personas ajenas a su LAN. También puede ayudar usar un firewall o un enrutador (NAT). En el caso de un enrutador o firewall, normalmente no se puede acceder a su PC a través de la red. Depende de usted solucionar estos problemas. Como pequeña ayuda está la "Consola de seguridad XAMPP".

Asegure XAMPP antes de publicar cualquier cosa en línea. Un cortafuegos o un enrutador externo solo son suficientes para bajos niveles de seguridad. Para un poco más de seguridad, puede ejecutar la "Consola de seguridad XAMPP" y asignar contraseñas.

Si desea tener su XAMPP accesible desde Internet, debe ir al siguiente URI que puede solucionar algunos problemas:

 http://localhost/security/

Con la consola de seguridad, puede establecer una contraseña para el usuario "root" y phpMyAdmin de MySQL. También puede habilitar una autenticación para las páginas de demostración de XAMPP.

¡Esta herramienta basada en web no soluciona ningún problema de seguridad adicional! Especialmente el servidor FTP FileZilla y el servidor de correo Mercury debe asegurarse.

yagmoth555 - GoFundMe Monica
fuente
-3

Algunas buenas respuestas, pero no olvides que NINGUNA de las instalaciones predeterminadas son muy seguras, ya que están destinadas a ser utilizadas en la más amplia gama posible de situaciones.

En serio, si crees que una instalación predeterminada de Apache en Linux es segura ... adivina de nuevo.

Andante del cielo
fuente