WordPress debug.log público con 3 errores fatales en alc-cucuta
Categoría
Divulgación de información
Confianza
verified
Observado
2026-05-03
OWASP
A09:2021 — Security Logging and Monitoring Failures
Resumen
GET /wp-content/debug.log: 3 fatal + 178 warnings. Paths internos del servidor leaked: 5 (/var/www/html/sede-electronica/wp-content/uploads/elementor/css/post-721.css, /var/www/html/sede-electronica/wp-content/uploads/elementor/css/post-553.css, /var/www/html/sede-electronica/wp-content/uploads/elementor/css/post-29173.css). DB credentials visibles en texto: 0.
Por qué importa
Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.
Cómo mitigar
- •Configurar el WebServer para no enviar headers de versión: `ServerTokens Prod` (Apache); `expose_php = Off` (PHP).
- •Ocultar X-Powered-By, X-Generator, X-AspNetMvc-Version en respuestas externas.
- •No publicar source maps en producción — separar build de dev y prod.