Pregunta sobre Wordfence Security de Wordpress:

Problema de seguridad: archivo user.ini

Un usuario preguntó 👇

Mira: https://www.exploit-db.com/ghdb/4544/

De forma predeterminada, se crea el archivo user.ini y contiene la raíz del sitio en el servidor. Esto podría permitir a los piratas informáticos facilitar un ataque de tipo transversal de directorio.

(@wfasa)

Hace 3 años, 4 meses

Hola David, El archivo .user.ini se crea durante el proceso de optimización del firewall. Al mismo tiempo que se crea el código .user.ini, se inserta en .htaccess que impide el acceso al .user.ini.

No estoy seguro de si los sitios que aparecen en Google han eliminado ese código a propósito o por accidente, o si hay algún otro problema. Sin embargo, correré con esto en el equipo y veré. ¡Gracias por informarnos!

(@tyggis)

Hace 3 años, 1 mes

Tengo un sitio donde se puede acceder a ese usuario .ini en un navegador, por lo que el .htaccess no bloquea nada allí.

(@wfasa)

Hace 3 años, 1 mes

Hola tryggis, si el .user.ini no está oculto después de usar nuestro procedimiento de configuración automática, asegúrese de que este código esté presente en su .htaccess

<Files ".user.ini">
<IfModule mod_authz_core.c>
	Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
	Order deny,allow
	Deny from all
</IfModule>
</Files>

Si está en NGINX, deberá modificar su archivo de configuración. Aquí hay algunas instrucciones sobre cómo hacer esto: https://docs.wordfence.com/en/Web_Application_Firewall_FAQ

Si no está seguro acerca de lo anterior, comuníquese con su proveedor de alojamiento web y pídale que lo ayude a ocultar el archivo .user.ini.

(@ mhk1058)

Hace 3 años, 1 mes

Instalé wordfence y todo estuvo bien durante una semana más o menos, ahora wordfence me alerta de que el user.ini, esa palabra que se creó, es de acceso público.

(@wfasa)

Hace 3 años, 1 mes

Hola mhk1058, Sí, hemos agregado una verificación de escaneo que le indica si su .user.ini es visible para que la gente pueda averiguar rápidamente si ese es el caso, por cualquier motivo. Puede suceder si se invierte la optimización del cortafuegos de Wordfence mientras se escribe el archivo .user.ini protegido. También puede suceder si cambia su sitio entre hosts o si su host cambia algo importante en el entorno de su servidor. También puede suceder si el .htaccess en la raíz de la instalación de WordPress se restaura al .htaccess predeterminado de WordPress, o si otro plugin sobrescribe demasiados cambios de Wordfence realizados en su .htaccess.

Compruebe si el .user.ini tiene algo. Si no es así, puede eliminarlo. Si es así, debe agregar el código anterior a su .htaccess. Si eso no ayuda, comuníquese con su proveedor de alojamiento web para obtener ayuda. La forma en que se ocultan los archivos varía entre entornos de alojamiento.

¡Espero que ayude!

Esta respuesta fue modificada hace 3 años, hace un mes por.

(@ scottkr24)

Hace 2 años, 10 meses

Mi WordFence me dice lo mismo, pero noté que cambiará automáticamente al modo protegido en el modo de aprendizaje hasta el 19 de marzo. ¿Entonces creo que mi archivo user.ini será accesible hasta entonces? ¿O debo agregar este código al archivo htaccess por el momento o eliminarlo cuando WordFence Firewall ingresa al modo de protección? Requerir todos los rechazos Para negar una orden, dejemos que Deny from all

(@wfasa)

Hace 2 años, 10 meses

Hola, scottkr24, .user.ini nunca debería ser accesible para el mundo, por lo que puede agregar el código inmediatamente a menos que su servidor no incluya archivos .user.ini de forma predeterminada. Si no está seguro, pida ayuda a su proveedor de alojamiento web.

(@ scottkr24)

Hace 2 años, 10 meses

Resuelto.

(@edcroteau)

Hace 2 años, 9 meses

Estoy usando nginx y no puedo ver la documentación sobre cómo crear acceso público al archivo «.user.ini» creado por Wordfence en el directorio raíz.

Indique cómo hacer que modin nginx deshabilite el acceso público a .user.ini.

(@wfasa)

Hace 2 años, 9 meses

Hola @edcroteau, Ver este documento en Ocultar .user.ini si su servidor NGINX se está ejecutando.

¡Espero que ayude!

(@edcroteau)

Hace 2 años, 9 meses

¡Gracias!

(@scalarent)

Hace 2 años, 8 meses

Tengo la misma pregunta: agregué el código al archivo .htaccess y lo corrige.

¿Por qué no se agregó durante el proceso de optimización del firewall?

(@scalarent)

Hace 2 años, 8 meses

Lo siento, olvidé mencionar que está en un servidor Apache.

(@wfasa)

Hace 2 años, 8 meses

Hola @scalarent, ¿Quizás el usuario del servidor web no escribió tu .htaccess como el que se ejecuta WordPress?

(@scalarent)

Hace 2 años, 8 meses

Gracias, lo comprobaré

¿Solucionó tu problema??

0 / 1

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada.