La cartella wp-content/uploads/ è spesso l’oggetto di attacchi da parte di malintenzionati che sfruttando la diffusa abitudine di rendere questa cartella “scrivibile dal mondo” riescono a caricare script malevoli sui siti in wordpress vittima dei loro attacchi.

Una corretta gestione dei permessi di questa cartella sarebbe la soluzione piu auspicabile ma spesso ci troviamo a dover scendere a compromessi a causa di plugin o script esterni che richiedono i permessi di scrittura per questa cartella.

Se non possiamo impedire che vengano caricati file usando delle vulnerabilità di wordpress possiamo però evitare che eventuali file php caricati su wp-content/uploads/ possano essere eseguiti. Per fare ciò dobbiamo fare affidamento su htaccess e apache.

Inserite il seguente codice all’interno di un file .htaccess e inserite il file dentro la cartella wp-content/uploads/:

<files *.php>
order deny,allow
deny from all
</files>

Queste sparute righe di codice possono rivelarsi estremamente utili e sono applicabili ovviamente a tutte le situazioni analoghe a quella della cartella wp-content/uploads/ di wordpress. Quello che fanno è bloccare l’esecuzione di file .php presenti all’interno della cartella (e sottocartelle) in modo da rendere inutilizzabili eventuali script malevoli caricati da malintenzionati. Occorre fare una precisazione relativamente all’esempio: ho usato l’estensione .php dando per scontato che i file eseguibili siano .php. Ovviamente questo stesso accorgimento può essere applicato a tutti le estensioni di file che vogliamo bloccare sulla nostra directory.

Si ringrazia Filippo Civiletti per il supporto tecnico