ZenovayTools

Verificador de Archivos Expuestos

Verifica más de 25 rutas de archivos sensibles: .env, .git/config, wp-config.php, phpinfo.php, .htpasswd, adminer.php, backup.sql, .ssh/id_rsa, composer.json, y más. Severidad crítica/alta/media/baja. Calificación A-F.

Cómo usar Verificador de Archivos Expuestos

  1. 1Ingresa la URL de tu sitio web para escanear archivos sensibles expuestos.
  2. 2La herramienta verifica más de 25 rutas de archivos sensibles comunes: .env, .git, wp-config.php, phpinfo.php, adminer, copias de seguridad, y más.
  3. 3Los archivos que devuelven 200 OK se marcan con calificaciones de severidad.
  4. 4Los archivos de severidad crítica y alta requieren remediación inmediata para prevenir violaciones de datos.
ZenovayAnalytics

Analytics sin ningún aviso de cookies.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué archivos sensibles comprueba esta herramienta?
Archivos .env (crítico: contraseñas de bases de datos, claves API, tokens secretos), .git/config (crítico: URL del repositorio, orígenes remotos), wp-config.php (crítico: credenciales de base de datos de WordPress), .htpasswd (alto: credenciales hasheadas), phpinfo.php (alto: configuración PHP/servidor), adminer.php (alto: acceso directo a la base de datos), phpmyadmin/ (alto: gestión de bases de datos), composer.json/lock (medio: versiones de dependencias), package.json (bajo: dependencias Node.js), .DS_Store (bajo: metadatos de macOS), backup.sql/backup.zip (crítico: copias de seguridad de bases de datos/sitios), .ssh/id_rsa (crítico: claves SSH privadas), server-status/server-info (medio: páginas de diagnóstico de Apache).
Mi archivo .env está expuesto. ¿Qué debo hacer inmediatamente?
Pasos inmediatos: (1) Ponga fuera de línea el servicio afectado o bloquee el acceso mientras remedia la situación. (2) Asuma que todos los secretos en .env están comprometidos: rote TODAS las claves API, contraseñas de bases de datos y tokens de inmediato. (3) Compruebe sus registros de acceso de los últimos 30 días para ver si se accedió a .env antes de que lo detectara. (4) Corrija la causa raíz: mueva .env por encima del webroot, añada «deny from all» en .htaccess o configure nginx para bloquear archivos de punto. (5) Audite todas las claves API y servicios afectados. (6) Considere si necesita notificar a los usuarios afectados (notificación de brecha GDPR en 72 horas).
¿Por qué es peligrosa la exposición del directorio .git?
Un directorio .git expuesto permite a los atacantes reconstruir todo su código fuente, incluidas las versiones históricas. Desde .git/config, un atacante puede ver la URL de su repositorio. Usando herramientas como git-dumper, puede descargar el repositorio completo incluyendo: todo el código fuente, historial de commits, archivos eliminados, secretos codificados en commits históricos y configuración de infraestructura. Corrija esto bloqueando el acceso a .git en la configuración de su servidor.
¿Cómo bloqueo estos archivos en nginx y Apache?
Nginx: añada en el bloque server: location ~ /\.(env|git|htaccess|htpasswd|DS_Store) { deny all; return 404; }. Apache: añada en .htaccess o httpd.conf: <FilesMatch "^\.(env|git|htaccess|htpasswd|DS_Store)"> Order deny,allow / Deny from all / </FilesMatch>. Archivos PHP como phpinfo.php: simplemente elimínelos del servidor; nunca deberían estar en producción.
¿Es seguro usar esta herramienta en mi propio sitio web?
Sí: esta herramienta solo realiza solicitudes HTTP GET estándar a rutas específicas de su sitio web, del mismo tipo que haría cualquier navegador o bot de motor de búsqueda. Comprueba las mismas rutas que los investigadores de seguridad, los evaluadores de penetración y, lamentablemente, los atacantes escanean de forma rutinaria. Ejecutar esta comprobación equivale a que su servidor web registre algunas respuestas HTTP 200/404/403. La herramienta no intenta explotar vulnerabilidades: solo comprueba si los archivos son accesibles. Úsela para encontrar exposiciones antes que los atacantes.