Avisos
Vaciar todo

Dudas sobre SecuPress y fallos php y de seguridad  

 
Laura
 Laura
Nuevo usuario

Hola,

 

Os escribo porque me salen varios mensajes tras haber instalado el plugging SecuPress, y no entiendo cómo solucionar varios de los fallos que menciona. 

Me salen estos mensajes:

1. La constante de PHP COOKIEHASH está definida con el valor por defecto, debe modificarse.
En tu archivo wp-config.php, la constante PHP WP_DEBUG_DISPLAY debe establecerse en false.?

2. Las siguientes claves de seguridad no están configuradas correctamente:
· Hardcoded: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT y NONCE_SALT.

3. Los archivos readme.txt/md/html y /o changelog.txt/md/html no deberían estar accesibles para nadie porque revelan información confidencial.

4. Whether or not you have files using bad extensions in the uploads folder, those files are accessible directly.

 

¿Podríais explicarme dónde puedo solucionarlos ya que no entiendo de diseño web a este nivel?

 

Gracias.

Contenido solo visible a usuarios registrados

Citar
Respondido : 15/02/2021 11:25 pm
Bulmaro
 Bulmaro
Soporte CMS Webempresa Moderator

Hola Laura,

Primero asegúrate de tener definida en off la variable ini_set. Para asegurarte de ello accede a tu cuenta de cPanel -> Aplicaciones Webempresa -> Configurar PHP -> Parámetros PHP configurables: configura los siguientes parámetros para tu cuenta de hosting -> ini_set -> off

Luego, desde tu cuenta de cPanel accede a Archivos -> Administrador de Archivos -> dirígete a la ruta /public_html/raiiz_de_tu_web/ -> Da click derecho sobre el archivo wp-config.php -> Edit y justo arriba de la línea:

/* That's all, stop editing! Happy publishing. */

Agrega:
define( 'WP_DEBUG', false );
define('WP_DEBUG_DISPLAY',false); 

Si alguna de las líneas de código aparece asegúrate de que esté definida con el false, por ejemplo, si aparece:

define( 'WP_DEBUG', true );

Modifícalo por:

define( 'WP_DEBUG', false );
Respondido por: @laurapiteiragmail-com

3. Los archivos readme.txt/md/html y /o changelog.txt/md/html no deberían estar accesibles para nadie porque revelan información confidencial.

 

Estos archivos puedes eliminarlos, los encontrarás en el directorio /public_html/raiz_de_tu_web/, para eliminarlos pulsa con el botón derecho sobre ellos -> Delete.

Adicionalmente puedes agregar una capa de seguridad adicional agregando los siguientes códigos al inicio del archivo .htaccess que encontrarás en public_html/raiz_de_tu_web

# proteger wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# proteger htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

Tienes mas info acá -> archivos-que-comprometen-la-seguridad-de-wordpress.html

Respondido por: @laurapiteiragmail-com

2. Las siguientes claves de seguridad no están configuradas correctamente:
· Hardcoded: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT y NONCE_SALT.

Necesitas generar dichas claves de seguridad, modificando el archivo wp-config.php, tienes mas información al respecto acá -> genera-claves-secretas-para-wp-config-en-wordpress.html

El resto de advertencias no las consideraría un problema del que deberías preocuparte.

Nota: Antes de modificar los archivos wp-config.php y .htaccess recuerda crear una copia de seguridad de los mismos. 

Saludos 🙂

ResponderCitar
Respondido : 16/02/2021 12:04 am

Laura
 Laura
Nuevo usuario

@bulmaro-webempresa muchísimas gracias por todas las explicaciones.

 

Me faltan un par de cosas por probar, de momento me queda una duda: 

 

"Estos archivos readme.txt/md/html y /o changelog.txt/md/html puedes eliminarlos, los encontrarás en el directorio /public_html/raiz_de_tu_web/, para eliminarlos pulsa con el botón derecho sobre ellos -> Delete."

¿Dónde los puedo encontrar exactamente? Al abrir ese directorio veo muchos archivos pero ninguno con este nombre concreto, me da miedo borrar algo sin saber... ¿Podrías aclarármelo?

Mil gracias de nuevo.

 

 

Laura

 

ResponderCitar
Respondido : 16/02/2021 12:39 am
Bulmaro
 Bulmaro
Soporte CMS Webempresa Moderator

@laurapiteiragmail-com

Hola Laura,

Teóricamente deberían estar en la ruta Contenido solo visible a usuarios registrados las líneas de código siguiente:

# proteger wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# proteger htaccess
<files .htaccess>
order allow,deny
deny from all
</files>

Saludos 🙂

ResponderCitar
Respondido : 16/02/2021 12:47 am

Cursos Gratuitos WordPress