Proteger o upload de mídia no WordPress exige validar o MIME real, negar execução de PHP em wp-content e usar firewall, não só filtrar a extensão. Segundo o Cloudflare Radar (2026), no Brasil o WAF mitiga 16,4% dos ataques de camada de aplicação. Uma dupla extensão como foto.php.jpg ainda engana validações fracas. Comece pela pasta de destino, depois feche o resto.
O upload de mídia é a porta que mais converte um site WordPress saudável em servidor comprometido, porque todo formulário de contato, avatar ou biblioteca aceita um arquivo vindo de fora. O risco não está na imagem em si, e sim em um arquivo executável disfarçado de imagem que cai numa pasta onde o PHP roda. A FULL cataloga CVE como CVE Numbering Authority sob a CISA, e a maioria dos incidentes de upload que chegam ao suporte nasce de três descuidos: validação só por extensão, pasta de upload executando PHP e plugin de arquivo desatualizado. Este guia de hardening de segurança no WordPress fecha as cinco camadas em ordem de impacto. Veja os guias de segurança WordPress da FULL para o contexto completo.
Primeiros passos: O mapa de risco do upload de mídia
O upload de mídia inseguro responde por boa parte dos sites limpos no suporte, e o motivo é sempre o mesmo: o WordPress confia na extensão do nome, não no conteúdo real do arquivo. A tabela abaixo mapeia as 5 camadas deste tutorial de upload de mídia, da mais crítica à complementar.
| Camada | O que ela bloqueia | Esforço |
|---|---|---|
| Execução de PHP em uploads | Shell rodando mesmo após upload aceito | Baixo (.htaccess) |
| Validação de MIME real | Arquivo executável disfarçado de imagem | Médio (código/plugin) |
| Permissões de arquivo | Sobrescrita e gravação indevida | Baixo (chmod) |
| Firewall de aplicação | Payload malicioso antes do PHP | Baixo (plugin) |
| Atualização de plugins de arquivo | RCE conhecido por CVE sem patch | Contínuo |
Um atacante renomeia um shell PHP para retrato.php.jpg, o upload_mimes permissivo aceita, e o arquivo cai em wp-content/uploads. Se essa pasta executa PHP, o invasor abre a URL direta e roda código no servidor. A gente vê no suporte da FULL que quem inverte essa ordem perde tempo: filtra MIME com capricho e deixa a pasta executando PHP. Por isso o upload de mídia exige tratar a pasta de destino antes do filtro de tipo. Comece pela primeira linha da tabela, que é a de maior retorno.
Por que o WordPress aceita arquivo perigoso no upload de mídia
O WordPress valida o upload de mídia comparando a extensão do nome contra a lista upload_mimes, e essa checagem sozinha falha em 3 cenários reais. O risco não é a imagem em si, e sim um executável disfarçado de imagem que cai numa pasta onde o PHP roda.
Primeiro cenário, a dupla extensão: foto.php.jpg passa em servidores Apache mal configurados que executam o trecho .php. Segundo, o MIME forjado no cabeçalho HTTP, que um filtro ingênuo aceita sem abrir o arquivo. Terceiro, formatos legítimos com payload embutido, como SVG com JavaScript, fonte clássica de XSS armazenado. A função oficial wp_check_filetype_and_ext, descrita na referência de código do WordPress, só compara MIME declarado com extensão. Ela não inspeciona os bytes reais do arquivo enviado. Por isso a validação de upload de mídia precisa de uma camada que leia o conteúdo, e não confie no nome que o navegador mandou.
Passo a passo: Proteger o upload de mídia em 5 camadas
Configurar a segurança do upload de mídia leva cerca de 30 minutos e segue a ordem de impacto: primeiro a pasta de destino, depois a validação, as permissões, o firewall e a manutenção. Cada passo abaixo é um H3 independente, com o comando ou o caminho de menu exato, para você aplicar sem depender de um único plugin. A meta é que mesmo um arquivo malicioso aceito não consiga executar nada no servidor.
Passo 1: Negue execução de PHP na pasta de uploads
Crie um arquivo .htaccess dentro de wp-content/uploads com a diretiva que desliga o interpretador PHP naquela pasta. Em Apache, o bloco com Require all denied impede que qualquer .php enviado seja executado pela URL direta. Em Nginx, a regra equivalente é um location ~ /uploads/..php$ { deny all; }. Esta é a camada de maior retorno: ela neutraliza o shell mesmo que o arquivo passe por todas as outras validações de upload de mídia.
Passo 2: Valide o MIME real, não a extensão
Adicione um filtro wp_check_filetype_and_ext que leia os bytes iniciais do arquivo com finfo_file e rejeite divergência entre o conteúdo real e a extensão declarada. Assim, retrato.php.jpg é barrado porque o conteúdo é PHP, não JPEG. Restrinja também o upload_mimes ao mínimo necessário (jpg, png, WebP, pdf) em vez de manter a lista padrão ampla. Para SVG, sanitize com uma biblioteca antes de aceitar, ou simplesmente bloqueie o formato no upload de mídia se o site não precisar dele.
Passo 3: Ajuste as permissões de arquivo e pasta
Defina 755 para a pasta wp-content/uploads e 644 para os arquivos enviados, nunca 777. Permissão 777 deixa qualquer processo sobrescrever a mídia. O dono dos arquivos deve ser o usuário do servidor web, não root. Se você herdou um site com permissões erradas, o guia de como corrigir permissões de arquivos e pastas no WordPress tem o chmod recursivo correto. Permissão certa impede que um upload de mídia comprometido escale para outros arquivos do site.
Passo 4: Ative o firewall de aplicação
Instale o All in One Security e ligue o módulo de firewall, que inspeciona o upload de mídia antes de o PHP tocar no arquivo. O AIOS bloqueia padrões de payload conhecidos e força a verificação de tipo no servidor. Segundo o Cloudflare Radar, no Brasil o WAF responde por 16,4% da mitigação de ataques de camada de aplicação nos últimos 28 dias, o que mostra que filtrar a requisição antes do código é uma camada que pega o que a validação interna deixa passar.
Passo 5: Mantenha plugins de upload atualizados
Atualize toda semana qualquer plugin que manipule arquivo: gerenciadores, migração e formulários com anexo. Plugins de arquivo concentram os CVEs críticos de upload de mídia porque expõem endpoints de gravação. Um WP File Manager desatualizado já causou tomada total de sites. Use o painel de ferramentas para verificar vulnerabilidades no WordPress para checar versões instaladas contra a base de CVEs antes que um patch ausente vire incidente.
Cves reais de upload de mídia que provam o risco
Os CVEs de upload de mídia não são teoria: 3 falhas reais em plugins de arquivo provam como um upload vira execução remota. A mais grave é a CVE-2020-25213 do WP File Manager, CVSS 9.8, que permitia upload arbitrário sem autenticação antes da versão 6.9.
A FULL atribui CVE como a única CNA brasileira reconhecida pela CISA desde maio de 2022, então cada ID abaixo vem da base oficial, não de estimativa. No mesmo WP File Manager, a CVE-2023-6825 (CVSS 9.9) repetiu o padrão de upload arbitrário até a 7.2.2. Já o All-in-One WP Migration corrigiu a CVE-2024-10942 (CVSS 7.5) na versão 7.90.
| CVE | Plugin e CVSS | Versão afetada e patch |
|---|---|---|
| CVE-2020-25213 | WP File Manager (9.8, crítico) | < 6.9, corrigido na 6.9 |
| CVE-2023-6825 | WP File Manager (9.9, crítico) | < 7.2.2, corrigido na 7.2.2 |
| CVE-2024-10942 | All-in-One WP Migration (7.5, alto) | < 7.90, corrigido na 7.90 |
Importante: as três já têm patch. O risco atual não é o histórico, e sim rodar a versão velha do plugin. Segundo o perfil público do WPVulnerability, esses plugins hoje estão sem falha crítica sem correção, o que é sinal de manutenção ativa e auditoria constante. O perigo real do upload de mídia mora no site que ficou parado numa versão antiga e expõe o endpoint de gravação.
Quanto a FULL cobra para fechar o upload de mídia
Fechar as 5 camadas de upload de mídia com um bom plugin de segurança custa R$85 por site no plano PRO da FULL, contra a licença avulsa de cada ferramenta. O plano PRO sai por R$849 e inclui o All in One Security mais 16 outros plugins premium, o que dilui o custo nesses R$85 por site.
A gente vê no suporte da FULL que a agência que centraliza firewall, backup e atualização no mesmo painel reduz o tempo de resposta a um incidente de upload de mídia de horas para minutos. Com mais de 150 mil sites conectados à plataforma, o padrão de quem escreve aqui sobre vulnerabilidade é o de uma CNA que cataloga CVE oficial. Conheça os planos da FULL. Para escanear agora se algum plugin do seu site está vulnerável, use o FULL Scan gratuito, ou consulte o repositório de vulnerabilidades da FULL.
Quando a validação de upload de mídia não basta sozinha
A validação de MIME do upload de mídia falha em pelo menos 3 contextos em que só ela não segura o ataque, e reconhecê-los evita falsa sensação de segurança. O mais traiçoeiro é o formulário de terceiros, onde a regra padrão pode nem rodar.
Builders como o Elementor e plugins de formulário aceitam anexos e nem sempre passam pelo pipeline padrão do WordPress, então a regra de upload_mimes pode ser ignorada. O segundo contexto é o SVG, que é texto e carrega script embutido. O terceiro é o endpoint REST de um plugin vulnerável, que grava o arquivo sem chamar a validação do core. Nesses três casos, a camada que salva o upload de mídia é a do Passo 1: se a pasta de destino não executa PHP, o arquivo malicioso vira peso morto. Por isso a ordem importa mais que a quantidade de plugins instalados.
Decisão rápida: Por onde começar a proteger o upload de mídia
Escolher a primeira camada de upload de mídia depende do seu ambiente e do tempo disponível, e a árvore abaixo resolve isso em quatro condições objetivas. Cada nó é uma situação real que aparece no suporte, com a ação que dá mais retorno imediato. Use como filtro antes de instalar qualquer coisa nova no site.
- Se você tem acesso a .htaccess ou Nginx → comece negando execução de PHP em wp-content/uploads, é a camada de maior impacto.
- Se o site usa formulário com anexo → valide o MIME real no servidor, porque o builder pode pular a checagem padrão.
- Se você gerencia vários sites → centralize firewall e atualização no All in One Security via plano PRO da FULL.
- Se já suspeita de invasão → rode o FULL Scan e limpe o wp-content antes de reforçar o upload de mídia.
Próximos passos para blindar a biblioteca de mídia
A segurança do upload de mídia se mantém com rotina, não com configuração única: revise permissões, versões e logs todo mês. Se um arquivo suspeito já entrou, siga o procedimento de como limpar arquivos infectados no wp-content antes de reforçar as camadas, porque endurecer um site já comprometido só esconde o problema. Para organizar o que ficou na biblioteca, o guia de plugins para organizar a biblioteca de mídia do WordPress ajuda a auditar o que está armazenado. Aprofunde a base com o conhecimento de firewall WordPress e de malware no WordPress. Para continuar aprendendo, o FULL Academy reúne tutoriais, guias e reviews de segurança em um só lugar.
Legenda: o bloco que desliga o PHP em wp-content/uploads é a camada de maior retorno contra shell.
Perguntas frequentes sobre segurança de upload de mídia
Por que o WordPress aceita arquivos perigosos no upload de mídia?
O WordPress valida o upload pela extensão do nome e pelo MIME declarado, não pelos bytes reais do arquivo. A função wp_check_filetype_and_ext compara nome e tipo informado, então um shell PHP renomeado para foto.php.jpg ou um SVG com script pode passar. Por isso é preciso validar o conteúdo real com finfo_file e negar execução de PHP na pasta de uploads.
É possível bloquear upload de PHP sem instalar plugin de segurança?
Sim. Um arquivo .htaccess dentro de wp-content/uploads com a diretiva FilesMatch negando .php e .phtml impede a execução de qualquer script enviado, sem nenhum plugin. Em Nginx, a regra location deny all em /uploads/.*.php cumpre o mesmo papel. Essa camada custa zero e é a de maior impacto, porque neutraliza o arquivo malicioso mesmo que ele passe pela validação de tipo.
Qual a diferença entre validar extensão e validar o MIME do upload de mídia?
Validar a extensão olha só o final do nome do arquivo, como .jpg, e é facilmente burlado por dupla extensão. Validar o MIME real lê os primeiros bytes do conteúdo com finfo_file e confirma se o arquivo é mesmo uma imagem. A diferença é decisiva: retrato.php.jpg passa na checagem de extensão, mas é barrado na checagem de MIME real, porque o conteúdo é código PHP.
Quanto tempo leva para configurar a segurança de upload de mídia?
Cerca de 30 minutos para as cinco camadas. O .htaccess que nega PHP leva 5 minutos, o filtro de MIME real e o ajuste de upload_mimes mais 10, as permissões 644 e 755 outros 5, e ativar o firewall do All in One Security cerca de 10. A manutenção de atualização de plugins é contínua, mas leva poucos minutos por semana com um painel centralizado.
O que fazer se um arquivo malicioso já entrou na biblioteca de mídia?
Primeiro isole o site e rode um scanner como o FULL Scan para mapear os arquivos infectados em wp-content. Remova o arquivo malicioso, troque senhas e chaves de segurança, e só depois reforce as cinco camadas de upload de mídia. Endurecer um site ainda comprometido apenas mascara a invasão. A limpeza vem antes do hardening, sempre, e um backup limpo anterior ao incidente acelera a recuperação.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
