最近陸續有幾間學校中了鏢，流量異常的大，檢查之下才知道是有些吃飽沒事幹的人利用XAMPP中的webdav來搞怪，裡面被擺了兩隻檔案，一隻用來觀察系統狀態及上傳檔案，另一隻則是用來攻擊別人。這是因為XAMPP剛裝好的狀態如下：

1. MySQL 的系統管理者 (root) 預設沒有密碼。
2. 可以透過任何網路來存取 MySQL。
3. 可以透過任何網路來存取 PhpMyAdmin
4. 可以透過任何網路來存取所有範例。
5. Mercury 、WebDAV 和 FileZIlla的使用者都是已知的（正大光明寫在文件中及往佔上）。

換言之，若是您沒有做好一些措施，那麼，您的主機可以說是門戶大開的狀態。

底下是手動加強安全性的方法：

一、設定MySQL 的root 密碼

1. 執行http://127.0.0.1/security/xamppsecurity.php來設定之
2. phpMyAdmin 認證建議設定「http」
3. 「Safe plain password in text file? 」勿勾選。

二、移除 /htdocs/ 目錄內不必要的目錄及檔案

底下這些都可以移除（紅色的地方必刪啊！）

• C:\xampp\cgi-bin
• C:\xampp\security\htdocs
• C:\xampp\webdav
• C:\xampp\htdocs\下的所有檔案目錄
• C:\xampp\apache\conf\extra\httpd-dav.conf（移完請開啟 C:\xampp\apache\conf\httpd.conf，在 491 行之前需加入一個 # 註解符號，讓它不去執行"conf/extra/httpd-dav.conf" 即可，如：「# Include "conf/extra/httpd-dav.conf"」）

三、移除FTP預設帳號密碼

檢查FTP Server是否啟動，若有可從XAMPP控制台FTP的Admin去做以下兩者的設定：

• 變更FTP伺服器管理員密碼
• 變更FTP預設使用者密碼