Pregunta sobre Wordfence Security de Wordpress:

Word – advertencia fopen en PHP 7.2

Un usuario pregunt贸 馃憞

隆Hola!

Soy administrador de algunos sitios de WordPress y tengo el mismo problema en todos ellos relacionados con la versi贸n 7.1.20 de Worfence, que se ejecuta en PHP 7.2 y crea un archivo error_log en cada ra铆z de ftp que contiene el siguiente mensaje de error:

芦Advertencia de PHP: fopen (): https: // carpeta est谩 deshabilitada en la configuraci贸n del servidor con allow_url_fopen = 0 en ../wp-content/plugins/wordfence/vendor/wordfence/wf-waf/src/lib/http.php en l铆nea 410 禄

Sin embargo, parece que todo sigue funcionando bien.

驴Algunas ideas? Gracias por adelantado

(@wfdave)

Hace 2 a帽os

Hola @linksbreaker,

驴Puedes intentar editar php.ini y buscando allow_url_fopen.

Debe establecerse como allow_url_fopen = 1.

Si no tiene acceso a php.ini, querr谩 pedir ayuda a su anfitri贸n.

Dave

(@linkbreaker)

Hace 2 a帽os

Hola @wfdave,

Entiendo, pero tengo una pregunta sobre la configuraci贸n como 芦allow_url_fopen = 1禄

驴Podr铆a este ajuste crear un problema de seguridad relacionado con la sostenibilidad? Seg煤n tengo entendido, WP no necesita estar habilitado.

驴Podr铆as ayudarme a comprender mejor este tema?

Gracias por tu tiempo.

(@wfdave)

Hace 2 a帽os

Hola de nuevo,

WordPress no es necesario allow_url_fopen, pero Wordfence lo usa como su controlador principal para recuperar archivos remotos. (/wp-content/plugins/wordfence/vendor/wordfence/wf-waf/src/lib/http.php)

Es allow_url_fopen 驴preocupaciones de seguridad?

Este es un riesgo de seguridad si ya explota sus scripts: por ejemplo, probablemente tengo un script que muestra informaci贸n de un archivo de texto:

http://example.com/?display=document.txt

Y el gui贸n podr铆a verse as铆:

<?php

echo file_get_contents($_GET['display']);

Puede ser explotado

1) Cambiar document.txt a URL remota 2) Convertirlo en archivos fuera del directorio usando ?display=../../../someother_file.txt

Entonces, s铆, crea alg煤n riesgo, pero eso es si su script originalmente carec铆a de seguridad.

Dave

(@linkbreaker)

Hace 1 a帽o, 12 meses

隆Entendido! Gracias de nuevo, Dave.

驴Solucion贸 tu problema??

0 / 0

Deja una respuesta 0

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *