hosting compartido
3 artículos con esta etiqueta
¿Dejaste un archivo de secretos en un directorio público? Audita tu webroot
Cualquier cosa en tu webroot puede descargarse por URL por cualquiera. Un JSON de token/credenciales olvidado, un .env o una copia de seguridad significa exposición instantánea — y si vino de una plantilla compartida, todos los sitios tienen el mismo agujero. Solución: coloca en el directorio público solo cosas compartibles públicamente, mantén los secretos fuera del webroot con permisos 600, y una vez que encuentres uno, audita cada sitio y servidor.
El .env de apps Laravel era legible por todo el mundo — el error más común del hosting compartido
La causa: toda la app estaba bajo la raíz web; solo public/ debería ser visible. Corrige en tres pasos — primeros auxilios con .htaccess, rotar claves, reestructurar — y luego prevenlo con proceso.
Mantener el .env fuera de la web pública en hosting compartido
La solución real: el cuerpo de la app fuera del docroot, solo public/ expuesto. Frena la hemorragia con .htaccess, hazlo permanente reestructurando, luego autocomprueba. La visión de este sitio: esto no es el descuido de una persona sino un mal patrón estandarizado por el sector — arréglalo con proceso, no con vigilancia. bootstrap-redirect vence al symlink.