Crítica
WordPress debug.log público con 84 errores fatales en icanh
Categoría
Divulgación de información
Confianza
verified
Observado
2026-05-03
OWASP
A09:2021 — Security Logging and Monitoring Failures
Resumen
GET /wp-content/debug.log: 84 fatal + 0 warnings. Paths internos del servidor leaked: 5 (/var/www/html/wp-cron.php, /var/www/html/wp-content/plugins/autoptimize/classes/external/php/jsmin.php, /var/www/html/wp-settings.php). DB credentials visibles en texto: 0.
Por qué importa
Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.
Cómo mitigar
- •Configurar el WebServer para no enviar headers de versión: `ServerTokens Prod` (Apache); `expose_php = Off` (PHP).
- •Ocultar X-Powered-By, X-Generator, X-AspNetMvc-Version en respuestas externas.
- •No publicar source maps en producción — separar build de dev y prod.