Início » Segurança para WordPress » Evite a vulnerabilidade Full Path Disclosure no WordPress
Segurança para WordPress

Evite a vulnerabilidade Full Path Disclosure no WordPress

Dicas de segurança importantes para evitar a FPD.
Escrito Por Leandro Vieira em março de 2020 /4 min de leitura
Conteúdo escrito por humano
Full Path Disclosure

Full Path Disclosure (FPD) no WordPress é muito comum. É importante você tomar conhecimento sobre essa vulnerabilidade e assim evitá-la para manter seu WordPress Seguro.

Além da falta de conhecimento a respeito por parte dos desenvolvedores, é comum uma discussão se FPD é um erro de código ou configuração.

A vulnerabilidade Full Path Disclosure, quando ocorrida, expõe o caminho completo de um determinado arquivo e o usuário em seu servidor.

Essas duas informações facilitam a vida de um atacante. Primeiro ele saberá onde os arquivos estão e suas tentativas serão direcionadas. Segundo ele, poderá realizar um ataque de força bruta e ganhar acesso ao servidor.

Como dica de segurança para WordPress considere evitar essa vulnerabilidade em seus sites.

É melhor realizar algumas tratativas de segurança do que continuar na discussão sobre quem causa a vulnerabilidade de FPD: o código ou a configuração do servidor.

A vulnerabilidade Full Path Disclosure no core do WordPress

  • http://localhost/wordpress/wp-includes/ms-settings.php
  • http://localhost/wordpress/wp-includes/rss-functions.php
  • http://localhost/wordpress/wp-includes/rss.php
  • http://localhost/wordpress/wp-includes/template-loader.php

A lista acima é um exemplo de arquivos do core do WordPress que, ao serem acessados diretamente, ocasionam a vulnerabilidade Full Path Disclosure.

Há vários outros arquivos que contribuem para esta situação. Observe nas imagens abaixo as informações exibidas na tela ao acessarmos diretamente os arquivos /wp-includes/ms-settings.php e /wp-includes/rss-functions.php, por exemplo.

Exemplo da vulnerabilidade Full Path Disclosure através do arquivo ms-settings.php
Exemplo da vulnerabilidade Full Path Disclosure através do arquivo ms-settings.php
Exemplo da vulnerabilidade Full Path Disclosure através do arquivo rss-functions.php
Exemplo da vulnerabilidade Full Path Disclosure através do arquivo rss-functions.php

Como proteger o core do WordPress contra a FPD

É importante compreender que todos os arquivos do WordPress que residem na pasta /wp-includes/ não devem ser acessados diretamente e, quando isso acontece, eles não tem a disposição algumas funções, variáveis e constantes que precisam para realizarem seus trabalhos.

Na falta desses elementos erros fatais em PHP acontecem, paralisam a execução do script e printam a mensagem relacionada expondo informações do servidor.

Faça uso do código abaixo em seu arquivo .htaccess, para quem utiliza o Apache como servidor web, para que os arquivos PHP em /wp-includes/ não sejam acessados diretamente.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

A vulnerabilidade Full Path Disclosure em plugins e temas

Assim como os arquivos do core do WordPress podem ser acessados diretamente, os arquivos de plugins e temas também podem.

É importante que os desenvolvedores desenvolvam suas soluções livres de FPD e que não fiquem na dependência de configurações do ambiente para não exibir erros.

Desenvolva plugins e temas WordPress livres da Vulnerabilidade Full Path Disclosure.

Considere fazer uso do código abaixo em todos os arquivos do seu plugin ou tema. Ele verificará se o ambiente do WordPress está disponível e, caso não esteja, o script será paralisado.

<?php if ( !function_exists( 'add_action' ) ) exit; ?>

Código ou configuração: qual o verdadeiro vilão?

Aprofundar a discussão considero um gasto de energia para a tentativa de encontrar um culpado, se livrar da responsabilidade e postergar, ou deixar pra lá, a vulnerabilidade Full Path Disclosure em sua instalação WordPress.

O time de segurança do WordPress considera o assunto como um problema de configuração do servidor, afirmando que erros não devem ser exibidos em ambiente de produção.

Concordo, mas acredito que o software deve caminhar para uma direção com menos, ou nenhuma, vulnerabilidade em seus códigos, independentemente do seu tipo e grau.

Portanto, considere fazer uso da diretiva demonstrada no arquivo .htaccess para proteger os arquivos do core do WordPress.

Desenvolva seus plugins e temas com o assunto em mente e o evite com o código demonstrado, além de configurar o sistema de debug da plataforma para não exibir os erros na tela assim como definir as diretivas do PHP para esse cenário.

Com essas práticas ficaremos livres das vulnerabilidades de Full Path Disclosure ou FPD.

Leandro Vieira

Uma das grandes referências de WordPress no Brasil, entusiasta e evangelista da plataforma. Fundador e CEO da Apiki, empresa especializada no desenvolvimento web com WordPress.
Qual nota você da para este artigo?
Ruim

O que você achou disso?

Clique nas estrelas

Média da classificação 0 / 5. Número de votos: 0

Nenhum voto até agora! Seja o primeiro a avaliar este post.

Excelente
Artigos Relacionados

  1. Grande Leandro! Como vc está meu querido? Excelente artigo, muito esclarecedor. Você recomenda o uso do WP Scan (https://github.com/wpscanteam/wpscan) para identificar e previnir FDP? Grande Abraço,
  2. Muito bom esse artigo. Encontrei essa vulnerabilidade FPD pelos scripts do WPScan e o seu site é um dos primeiros exibidos no Google que trata desse assunto. Apliquei a solução sugerida e resolveu o problema. Vlw!
  3. […] Instalar plugins ou temas inseguros ou perigosos; […]
  4. […] Evite a vulnerabilidade Full Path Disclosure no WordPress […]
  5. Walter Tambeuhien Frey
    Olá Galera, pra quem quiser converter para o nginx, qualquer .htaccess, utilize o site: https://winginx.com/en/htaccess Valeu!
    1. Leandro Vieira Pinho
      Excelente dica, Walter. Valeu!

Construa seu site WordPress sob medida com os maiores especialistas em WordPress da America Latina
Conheça a Apiki

Faça um comentário
Cadastre-se rápido

Fazer Login