Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Hallazgossc-wpdebug-alc-bucaramanga
Crítica

WordPress debug.log público con 2 errores fatales en alc-bucaramanga

Categoría

Divulgación de información

Confianza

verified

Observado

2026-05-03

OWASP

A09:2021 — Security Logging and Monitoring Failures

Resumen

GET /wp-content/debug.log: 2 fatal + 124 warnings. Paths internos del servidor leaked: 2 (/usr/share/pear, /usr/share/php). DB credentials visibles en texto: 0.

Por qué importa

Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Cómo mitigar

  • Configurar el WebServer para no enviar headers de versión: `ServerTokens Prod` (Apache); `expose_php = Off` (PHP).
  • Ocultar X-Powered-By, X-Generator, X-AspNetMvc-Version en respuestas externas.
  • No publicar source maps en producción — separar build de dev y prod.

Entidades afectadas (1)

Alc. BucaramangaAlcaldía capital
ID: sc-wpdebug-alc-bucaramanga·Origen: Pipeline manual