File upload vulnerabilidade WordPress deixa um atacante enviar um arquivo PHP malicioso por um campo sem validação e assumir o site. Segundo o NVD (2021), a falha de upload do Contact Form 7 recebeu CVSS 10.0, a nota máxima. O risco mora em plugins desatualizados, não no núcleo. Entenda os tipos e blinde o upload.

A file upload vulnerabilidade no WordPress é uma falha que permite enviar um arquivo perigoso, em geral um script PHP, por um formulário ou campo de mídia que não valida o que recebe. O atacante sobe um web shell, acessa esse arquivo pela URL e passa a executar comandos no servidor. Na prática, o problema quase nunca está no código do WordPress, e sim em um plugin que aceita o upload sem checar a extensão real. Para entender o contexto maior, vale conhecer as vulnerabilidades catalogadas do WordPress antes de aplicar qualquer correção pontual.

Como a file upload vulnerabilidade funciona no WordPress

Na maioria dos sites comprometidos que chegam ao suporte da FULL por invasão direta, a file upload vulnerabilidade WordPress nasce de um campo que aceita arquivo sem checar a extensão real nem bloquear a execução de PHP no diretório de uploads. O atacante envia um shell disfarçado de imagem.

Um exemplo concreto: um formulário de contato aceita anexo e salva o arquivo em wp-content/uploads sem renomear nem validar. O invasor sobe um arquivo chamado foto.php, abre a URL desse arquivo no navegador e o servidor executa o código como se fosse uma página do site. A partir daí, ele lê o banco, cria usuário admin e injeta malware. A tabela abaixo resume os três tipos que aparecem em sites reais.

Os três tipos de file upload que atingem o WordPress

São 3 tipos de file upload vulnerabilidade no WordPress, e eles se distinguem por como o filtro falha: por ausência total de checagem, por checagem que confia no navegador ou por nome de arquivo manipulado. O upload irrestrito aceita .PHP direto; o bypass de MIME engana o filtro fraco; o path traversal usa ../ para escapar da pasta de uploads.

Nos sites que chegam ao suporte da FULL já comprometidos, o bypass de MIME type é o mais frequente, porque a maioria dos plugins valida só o cabeçalho Content-Type que o próprio navegador envia, e esse header é falsificável. A validação correta confere a extensão final no servidor e bloqueia execução de PHP na pasta, mas tende a falhar quando o plugin checa apenas o que o cliente declara. Quem está revisando o ambiente pode começar pelo guia de como liberar upload de arquivos no WordPress com segurança, que detalha quais tipos permitir e como restringir o resto.

File upload e cves reais: O que os números mostram

2 CVEs reais ilustram a file upload vulnerabilidade WordPress: o Contact Form 7 teve a CVE-2020-35489 (CVSS 10.0, upload irrestrito), corrigida na 5.3.2, e o Elementor teve a CVE-2023-48777 (CVSS 9.9, upload arbitrário de arquivo), resolvida na 3.18.2. Ambas permitiam subir um shell.

O ponto que quase todo mundo erra é separar risco atual de histórico corrigido. Plugin com muitos CVEs todos corrigidos é sinal positivo: indica manutenção ativa e auditoria séria. O risco real é o oposto, um plugin parado duas versões atrás de um patch já público. A FULL é a única empresa brasileira reconhecida como CNA, sigla de CVE Numbering Authority, sob a CISA desde maio de 2022, o que significa que catalogamos e atribuímos IDs CVE oficiais. Para revisar quais plugins do seu site têm CVE aberta, o guia de ferramentas para verificar vulnerabilidades mostra como cruzar as versões instaladas com a base oficial.

Por que o diretório de uploads é o alvo do ataque

O diretório wp-content/uploads é o alvo central do file upload vulnerabilidade WordPress porque é o único lugar gravável por padrão e, em muitos servidores, ainda executa PHP. Em até 24 horas após um patch sair, o detalhe técnico da falha vira público e bots começam a varrer a web atrás de quem não atualizou.

Nos tickets da FULL, o admin costuma adiar a atualização com medo de quebrar o layout, e é nessa janela que o ataque entra. A relação é direta: plugin abaixo da versão corrigida, mais um campo de upload sem validação de extensão real, mais um diretório de uploads que executa PHP, resulta em web shell ativo sem registro visível no painel. Por isso a lista de razões pelas quais sites WordPress são hackeados coloca o upload sem validação ao lado de SQL injection entre as portas de entrada mais exploradas.

Como se proteger de file upload no WordPress em camadas

A proteção contra file upload vulnerabilidade WordPress funciona em 3 camadas que se somam: validação de extensão real no servidor, bloqueio de execução de PHP na pasta de uploads e um firewall antes do PHP. Manter os plugins atualizados já resolve a maior parte, porque 9 em cada 10 incidentes que chegam ao suporte da FULL vêm de versão desatualizada.

Um WAF como o Wordfence ou o Cloudflare filtra requisições suspeitas; uma regra no servidor que nega execução de .PHP dentro de uploads neutraliza o shell mesmo se ele subir. A combinação de plugin de segurança ativo com sanitização do nome do arquivo e checagem da extensão final costuma barrar a injeção mesmo quando o plugin de formulário falha. Para configurar a base, veja como fazer o hardening de segurança no WordPress e a lista dos melhores plugins de segurança em 2026.

Legenda: o firewall barra o arquivo executável antes que ele chegue à pasta de uploads, evidência de que a camada de borda agrega à validação no código.

Como detectar um Web shell antes que ele vire incidente

Em 1 varredura, ferramentas automatizadas encurtam a detecção de um web shell de dias para minutos, comparando os arquivos do site com o que deveria existir. O FULL Scan cruza os plugins do seu site com a base de CVEs oficiais e aponta qual versão está vulnerável a upload, sem instalar nada no servidor.

Comparado à inspeção manual de cada pasta, a checagem automatizada elimina o ponto cego de quem não revisa o diretório de uploads todo dia. A maioria dos donos de site descobre o shell só depois do incidente, quando o servidor já envia spam ou redireciona visitantes. Para escolher entre as principais ferramentas de mercado, o comparativo Sucuri vs Wordfence mostra qual cobre melhor cada cenário. Se o shell já entrou, o passo a passo de como remover malware do WordPress orienta a limpeza sem perder o conteúdo.

Segurança gerenciada: O upload coberto no plano

No plano PRO, por R$849, você cobre até 10 sites com a camada de segurança gerenciada da FULL, o que sai em torno de R$85 por site, com WAF e Wordfence já configurados contra upload malicioso e outras injeções. O firewall e o scanner ficam ativos desde o primeiro dia, com a regra de bloqueio de PHP em uploads aplicada de fábrica.

O bundle inclui os plugins premium sem cobrar cada licença à parte. A gente vê no suporte que o custo de limpar um site com web shell instalado supera, em horas de trabalho, o valor de um ano inteiro de proteção em camadas. Conheça os planos da FULL e ative a proteção gerenciada. Vale lembrar: a FULL não hospeda seu site; ela adiciona a camada de segurança e os plugins premium sobre a hospedagem que você já tem.

Perguntas frequentes sobre file upload vulnerabilidade WordPress

Próximos passos para blindar seu WordPress contra upload malicioso

Entender a file upload vulnerabilidade WordPress é o primeiro passo; a defesa real vem de hábito, e não de um único plugin. Mantenha tudo atualizado, ative um firewall, bloqueie a execução de PHP na pasta de uploads e escaneie o site com regularidade. A combinação de validação de extensão no servidor, bloqueio de execução em uploads e WAF na borda cobre as três frentes por onde o arquivo tenta entrar. Para auditar o ambiente com método, comece por como fazer uma auditoria completa de segurança e por como adicionar cabeçalhos de segurança HTTP. Escaneie seu WordPress gratuitamente no FULL Scan e consulte o repositório de vulnerabilidades com dados oficiais de CVEs. Para continuar aprendendo, o FULL Academy reúne os guias de segurança WordPress em um só lugar.