Nós testamos o nosso sistema dia a dia checando o php permitindo formatos ruins nas rotinas de upload.
Descobri recentemente que os desenvolvedores enviaram um plug-in com exemplos que permitem que os usuários enviem arquivos php para o servidor.
Eu sei que a melhor maneira é excluir esses arquivos (e bloquear a execução do php nas pastas de upload).
Nós estamos seguindo todas as melhores práticas, mas ainda assim isso passa de alguma maneira pelos nossos olhos, por exemplo, a pasta oficial do plugin é bloqueada pela execução do php.
Mas eu quero aumentar mais a segurança, sem depender dos desenvolvedores. Estou procurando alguma maneira de bloquear em php.ini os uploads por extensões, isso é possível? Como podemos fazer isso?
Obrigado.