Un usuario preguntó 👇
Mira: https://www.exploit-db.com/ghdb/4544/
De forma predeterminada, se crea el archivo user.ini y contiene la raíz del sitio en el servidor. Esto podría permitir a los piratas informáticos facilitar un ataque de tipo transversal de directorio.
(@wfasa)
Hace 3 años, 4 meses
Hola David, El archivo .user.ini se crea durante el proceso de optimización del firewall. Al mismo tiempo que se crea el código .user.ini, se inserta en .htaccess que impide el acceso al .user.ini.
No estoy seguro de si los sitios que aparecen en Google han eliminado ese código a propósito o por accidente, o si hay algún otro problema. Sin embargo, correré con esto en el equipo y veré. ¡Gracias por informarnos!
(@tyggis)
Hace 3 años, 1 mes
Tengo un sitio donde se puede acceder a ese usuario .ini en un navegador, por lo que el .htaccess no bloquea nada allí.
(@wfasa)
Hace 3 años, 1 mes
Hola tryggis, si el .user.ini no está oculto después de usar nuestro procedimiento de configuración automática, asegúrese de que este código esté presente en su .htaccess
<Files ".user.ini">
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order deny,allow
Deny from all
</IfModule>
</Files>
Si está en NGINX, deberá modificar su archivo de configuración. Aquí hay algunas instrucciones sobre cómo hacer esto: https://docs.wordfence.com/en/Web_Application_Firewall_FAQ
Si no está seguro acerca de lo anterior, comuníquese con su proveedor de alojamiento web y pídale que lo ayude a ocultar el archivo .user.ini.
(@ mhk1058)
Hace 3 años, 1 mes
Instalé wordfence y todo estuvo bien durante una semana más o menos, ahora wordfence me alerta de que el user.ini, esa palabra que se creó, es de acceso público.
(@wfasa)
Hace 3 años, 1 mes
Hola mhk1058, Sí, hemos agregado una verificación de escaneo que le indica si su .user.ini es visible para que la gente pueda averiguar rápidamente si ese es el caso, por cualquier motivo. Puede suceder si se invierte la optimización del cortafuegos de Wordfence mientras se escribe el archivo .user.ini protegido. También puede suceder si cambia su sitio entre hosts o si su host cambia algo importante en el entorno de su servidor. También puede suceder si el .htaccess en la raíz de la instalación de WordPress se restaura al .htaccess predeterminado de WordPress, o si otro plugin sobrescribe demasiados cambios de Wordfence realizados en su .htaccess.
Compruebe si el .user.ini tiene algo. Si no es así, puede eliminarlo. Si es así, debe agregar el código anterior a su .htaccess. Si eso no ayuda, comuníquese con su proveedor de alojamiento web para obtener ayuda. La forma en que se ocultan los archivos varía entre entornos de alojamiento.
¡Espero que ayude!
Esta respuesta fue modificada hace 3 años, hace un mes por.
(@ scottkr24)
Hace 2 años, 10 meses
Mi WordFence me dice lo mismo, pero noté que cambiará automáticamente al modo protegido en el modo de aprendizaje hasta el 19 de marzo. ¿Entonces creo que mi archivo user.ini será accesible hasta entonces? ¿O debo agregar este código al archivo htaccess por el momento o eliminarlo cuando WordFence Firewall ingresa al modo de protección?
(@wfasa)
Hace 2 años, 10 meses
Hola, scottkr24, .user.ini nunca debería ser accesible para el mundo, por lo que puede agregar el código inmediatamente a menos que su servidor no incluya archivos .user.ini de forma predeterminada. Si no está seguro, pida ayuda a su proveedor de alojamiento web.
(@ scottkr24)
Hace 2 años, 10 meses
Resuelto.
(@edcroteau)
Hace 2 años, 9 meses
Estoy usando nginx y no puedo ver la documentación sobre cómo crear acceso público al archivo «.user.ini» creado por Wordfence en el directorio raíz.
Indique cómo hacer que modin nginx deshabilite el acceso público a .user.ini.
(@wfasa)
Hace 2 años, 9 meses
Hola @edcroteau, Ver este documento en Ocultar .user.ini si su servidor NGINX se está ejecutando.
¡Espero que ayude!
(@edcroteau)
Hace 2 años, 9 meses
¡Gracias!
(@scalarent)
Hace 2 años, 8 meses
Tengo la misma pregunta: agregué el código al archivo .htaccess y lo corrige.
¿Por qué no se agregó durante el proceso de optimización del firewall?
(@scalarent)
Hace 2 años, 8 meses
Lo siento, olvidé mencionar que está en un servidor Apache.
(@wfasa)
Hace 2 años, 8 meses
Hola @scalarent, ¿Quizás el usuario del servidor web no escribió tu .htaccess como el que se ejecuta WordPress?
(@scalarent)
Hace 2 años, 8 meses
Gracias, lo comprobaré
¿Solucionó tu problema??
0 / 1