# Cambios aplicados al paquete

## Seguridad y autenticación
- `config/settings.php`
  - Soporte para variables de entorno.
  - Eliminada la clave SMTP hardcodeada del paquete.
  - Añadidos parámetros de timeout de sesión y rate limiting.
- `config/bootstrap_env.php`
  - Nuevo cargador liviano de variables de entorno / archivo privado.
- `app/Controllers/session_bootstrap.php`
  - Nuevo arranque seguro de sesión.
  - Timeout por inactividad.
  - Cookies `HttpOnly`, `SameSite=Strict`, `Secure` según HTTPS.
- `app/Controllers/auth_rate_limit.php`
  - Nuevo rate limiting para login por IP y por usuario.
- `public/php/login.php`
  - Rate limiting.
  - Regeneración de sesión.
  - Manejo de sesión endurecido.
- `public/php/logout.php`
  - Destrucción segura de cookie/sesión.
- `app/Controllers/session_control.php`
  - Integrado timeout por inactividad.
- `app/Controllers/session_basic_check.php`
  - Integrado arranque seguro de sesión.
- `public/index.php`
  - Mensajes para sesión expirada y rate limit.
  - Inicio de sesión endurecido.
- `public/php/send_reset.php`
  - Integrado arranque seguro de sesión.
- `public/php/performReset.php`
  - Integrado arranque seguro de sesión.

## Limpieza
- Eliminada del paquete la carpeta `public_html/` antigua.
- Eliminado `db/dev.sqlite.zip` del paquete.
- Limpiadas referencias sensibles en `README.md` y `SECURITY_REPORT.md`.
- Quitados `session_start()` redundantes en endpoints ya protegidos.

## Archivos nuevos de apoyo
- `.env.example`
- `DEPLOYMENT_NOTES.md`
- `PACKAGE_CHANGELOG.md`