Estado Seguropor Cristian Espinal Maya y Santiago Jiménez Londoño
Ver hallazgos
Hallazgossc-wpdebug-univ-uniajc
Crítica

WordPress debug.log público con 16 errores fatales en univ-uniajc

Categoría

Divulgación de información

Confianza

verified

Observado

2026-05-03

OWASP

A09:2021 — Security Logging and Monitoring Failures

Resumen

GET /wp-content/debug.log: 16 fatal + 34 warnings. Paths internos del servidor leaked: 5 (/var/www/html/wp-content/themes/UNIAJC_test/fragments/code-92.php, /var/www/html/wp-content/themes/UNIAJC_test/functions-additional.php, /var/www/html/wp-includes/functions.php). DB credentials visibles en texto: 0.

Por qué importa

Un debug.log con stack traces fatales contiene paths absolutos del filesystem, queries SQL en falla (a veces con valores), y credenciales de DB embebidas en mensajes de error de WordPress. Si DB credentials visibles > 0, hay compromiso de base de datos confirmado.

Cómo mitigar

  • Configurar el WebServer para no enviar headers de versión: `ServerTokens Prod` (Apache); `expose_php = Off` (PHP).
  • Ocultar X-Powered-By, X-Generator, X-AspNetMvc-Version en respuestas externas.
  • No publicar source maps en producción — separar build de dev y prod.

Entidades afectadas (1)

UNIAJCUniversidad pública
ID: sc-wpdebug-univ-uniajc·Origen: Pipeline manual