En ocasiones anteriores, la vulnerabilidad se atribuyó a WordPress y a sus malas políticas de desarrollo seguro, que no verificaban que sus themes y plugins oficiales validarán las llamadas directas a los archivos. La respuesta del equipo de seguridad WP fue que el problema correspondía a una mala configuración en el servidor, pero según el punto de vista de Secureless, el error es compartido, ya que si bien en producción el servidor no debería tener ningún modo de debug activo, el desarrollador tambien debería intentar por manejar todos los errores, o bien simplemente no permitir las llamadas directas a los archivos php.
Acá puedes ver todos los FPD reportados debido a este error:
http://secureless.org/search/?keywords=wp-&sid=0
Referencias:
- Vulnerabilidad en la mayoría de los plugins de wordpress
- Más Full Path Disclosure en WordPress y sin solución
