Al ejecutar una url se revelan rutas internas de la instalación.

  • spvwp6919

    (@spvwp6919)


    hace 9 meses, 4 semanas

    Hola, buenos días,

    Mi equipo de Ciberseguridad me ha comentado lo siguiente:

    «El acceso a archivos PHP en el servidor revela rutas internas del sistema, lo que puede proporcionar información valiosa a un atacante sobre la estructura del servidor.
    En este caso al visitar https://www.midominio.com/wp-includes/rest-api/endpoints/class-wp-rest-menu-locations-controller.php el servidor devuelve un mensaje de error mostando:
    Fatal error: Uncaught Error: Class «»WP_REST_Controller»» not found in D:\Data_Wordpress\htdocs\nombredemicarpeta\wp-includes\rest-api\endpoints\class-wp-rest-menu-locations-controller.php:17″

    Cómo puedo evitar esto? He probado a poner varias líneas de código para que no devuelva el error pero ninguna es efectiva.. sigue mostrándolo.

    Muchas gracias!

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • Josemi Martínez

    (@josemimg)

    hace 9 meses, 3 semanas

    Hola,

    Habla con tu hosting y que te digan como configurar el PHP de tu servidor para que no muestre los errores por pantalla, y que los guarde en un fichero log.

    las directivas son display_errors, log_errors https://www.php.net/manual/en/errorfunc.configuration.php , pero depende como tu hosting tenga configurado el servidor, o que servidor web use, cambia donde se debe configurar.

    Iniciador del debate spvwp6919

    (@spvwp6919)

    hace 9 meses, 3 semanas

    Hola, buenos días!

    Muchas gracias por la pronta respuesta.

    En realidad el hosting soy yo misma, configuré todo el servidor, es un servidor físico y está configurado con apache y php.

    Lo que no tengo muy claro es que metiendo en el fichero wp-config.php las líneas de que no muestre por pantalla los errores funcione, porque en realidad los mensajes no salen en pantalla por defecto, sino que salen cuando ejecuto mediante url https://www.midominio.com/wp-includes/rest-api/endpoints/class-wp-rest-menu-locations-controller.php y es la salida que da la que quiero ocultar y esto es lo que no hace. (No sé si es viable)

    Muchas gracias!

    Un saludo,

    Josemi Martínez

    (@josemimg)

    hace 9 meses, 3 semanas

    Obviamente si accedes al fichero php nada de lo que pongas en wp-config tiene efecto, porque no se ejecuta.

    Por eso he dicho que tienes que configurar PHP en el servidor, el fichero de configuración de PHP. Normalmente el php.ini, pero depende de como este montado el servidor.

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)

El debate ‘Al ejecutar una url se revelan rutas internas de la instalación.’ está cerrado a nuevas respuestas.