j'utilise wampserver depuis 2 ans maintenant quotidiennement et je l'aime beaucoup, je n'ai jamais eu beaucoup de problèmes pour l'utiliser en production, mais j'aimerais savoir si c'est assez sécurisé pour l'utiliser de cette façon ? J'ai désactivé toutes les fonctions de débogage, désactivé toutes les options php dangereuses et configuré httpd et httpd-ssl du mieux que j'ai pu. j'ai également désactivé les modules apache que je n'utilise pas. Le service a l'air très bien, mais la question principale que je me pose est la suivante : existe-t-il des bugs majeurs connus dans le service wamp que les pirates pourraient exploiter ? Je n'ai pas eu de problème avec le service wamp, mais je me demande s'il y a des bugs majeurs connus dans le service wamp que les pirates pourraient exploiter. Le pare-feu n'autorise le trafic entrant que pour les ports 80 et 443. tous les logiciels que j'ai pu trouver sont étiquetés pour le "développement" mais je n'en ai jamais vu un pour la "production" beaucoup de gens me disent d'installer linux et de faire les choses de cette façon mais je n'aurais aucune idée de comment configurer tout cela, je préfère rester sous windows. Est-ce que c'est parce que par défaut ils ne sont pas configurés pour être suffisamment sécurisés pour une utilisation en production et que c'est une couverture pour eux dans le cas où quelqu'un mettrait le bazar dans leur ordinateur ? j'aime vraiment wampserver et j'ai l'intention de l'utiliser aussi longtemps que possible !
La configuration par défaut d'Apache Wampserver ne permet que les accès locaux, ce qui est le rôle d'un serveur de développement.
Pour en faire un serveur de production, il ne faut autoriser les accès externes QUE sur VOS VIRTUALHOST, ne pas modifier les Require du fichier httpd.conf et laisser le VirtualHost localhost en Require local.
Ensuite, utiliser la dernière version d'Apache et surtout, surtout, ne JAMAIS faire confiance aux données provenant de l'extérieur du serveur, donc TOUJOURS vérifier les valeurs GET et POST.
Il y a eu, par le passé, des failles trouvées dans Wampserver, elles ont été corrigées de suite.
Wampserver 3.1.2 Correction d'une vulnérabilité de sécurité trouvée par Vipin Chaudhary dans la page add_vhost.php - L'ID CVE est CVE-2018-8732. Cross site scripting (XSS) même si le serveur et l'hôte local utilisent la directive Apache "Require local" Wampserver 3.1.3 Correction vulnérabilité trouvée par Vipin Chaudhary page add_vhost.php - L'ID CVE est CVE-2018-8817 Wampserver 3.1.5 Correction d'une vulnérabilité de sécurité (XSS) trouvée par Franciny Salles dans index.php Wampserver 3.1.9 Correction d'une vulnérabilité de création de VirtualHost (CVE-2019-11517). Merci à Imre Rad
Merci beaucoup pour toutes ces informations détaillées, vous n'avez pas idée à quel point j'aime wampserver, j'ai vu des alternatives qui ont l'air beaucoup trop confuses comme uniformserver et ultrawebserver et elles sont juste trop surchargées avec des cochonneries que la plupart des gens n'utiliseraient pas de toute façon.