按照公认的安全准则,你不应该在Web应用服务器上运行HTTP守护进程之外的任何服务。所以可以想象,我们会对运行FTP做出什么评论,考虑到流行FTP服务器软件如华盛顿大学的wuftp软件包中公告的越来越多的漏洞,以及FTP协议不提供加密(你的凭据和数据都以明文传输)的事实:不要在Web服务器上运行FTP!这样做的风险太大,有人将会猜测账户密码或者找到一个漏洞利用程序,能够写入文件系统——这距离网页篡改(或者更糟)只有一步之遥了。这条规则的唯一例外是,FTP服务被限制在特定的小IP地址范围内(即使如此,也最好使用更安全的替代方案如FTPS(FTP over TLS/SSL)或者SFTP(安全文件传输协议Secure File Transfer Protocol,即SSH文件传输协议SSH File Transfer Protocol))。
然而,在全面的Web应用设计中检查FTP总是好的,这样可以确保某些开发人员没有走捷径。FTP工作于TCP端口21,任何正常的端口扫描器都能找到。而且,和往常一样,要记得在非标准端口上对FTP服务器进行更全面的检查。