# Paquete ajustado para despliegue

## Cambios incluidos
- Login con rate limit por IP y por usuario.
- Timeout de sesión por inactividad (30 min por defecto).
- Cookies de sesión endurecidas con HttpOnly, SameSite=Strict y Secure dinámico según HTTPS.
- `config/settings.php` ya no trae la clave SMTP hardcodeada; ahora la toma de variables de entorno o de un archivo privado.
- Eliminada del paquete la estructura vieja `public_html/` y otros artefactos inseguros/duplicados.

## Antes de subirlo
1. Crear un archivo privado de entorno fuera del web root, por ejemplo `/home/USUARIO/lostalo.env`.
2. Copiar el contenido de `.env.example` y rellenar la clave real de SMTP.
3. En cPanel o en el bootstrap del hosting, definir `APP_PRIVATE_ENV_FILE=/home/USUARIO/lostalo.env`.
4. Apuntar el document root del dominio a la carpeta `public/`.
5. Confirmar permisos mínimos:
   - `config/`, `db/`, `logs/`, `vendor/`: fuera del web root y no listables.
   - `logs/`: escribible por PHP.
   - `db/gestion.sqlite`: solo lectura/escritura para el usuario correcto del proceso PHP.
6. Rotar la contraseña SMTP anterior si ya estuvo en repo, ZIP o chat.

## Pendiente recomendado
- Segunda ronda de hardening/XSS sobre usos de `innerHTML` en JS.
- Migrar `Scripts/accrual.php` a cron real si todavía se invoca manualmente.