O que é RFI?

Remote File Inclusion (RFI) é uma vulnerabilidade crítica de segurança em aplicações web que permite a um invasor incluir e executar arquivos remotos maliciosos diretamente no servidor da vítima. Na prática, o atacante injeta uma URL apontando para um script controlado por ele — e o servidor, sem saber, executa esse código como se fosse legítimo.

Essa falha ocorre com mais frequência em servidores PHP mal configurados, principalmente com a diretiva allow_url_include ativada — um verdadeiro convite à invasão.

Gravidade: muito severa
Prevalência: rara em versões modernas do PHP
Impacto técnico: execução remota de código (RCE)
Consequência extrema: comprometimento total do sistema

---

Como o ataque funciona?

Em linguagens como PHP, é comum usar funções como include() ou require() para incorporar arquivos. Quando essas funções aceitam URLs externas como entrada — e o valor vem de parâmetros manipuláveis por usuários — a falha se instala.

Exemplo de código vulnerável:

E a URL de ataque:

Se shell.txt contiver um script PHP, como este:

O atacante pode, por exemplo, executar:

E assim acessar a estrutura de arquivos do servidor. A partir daí, é questão de tempo até ganhar controle total do sistema.

---

RFI vs LFI

• RFI (Remote File Inclusion): inclui arquivos hospedados fora do servidor, via URL.
• LFI (Local File Inclusion): explora arquivos internos do servidor, como /etc/passwd.

Ambas podem escalar para execução remota de código, mas o RFI é mais direto, já que executa um código arbitrário controlado pelo invasor.

---

Riscos Reais

Um servidor vulnerável a RFI pode ser explorado para:

• Execução remota de comandos
• Instalação de backdoors
• Injeção de mineradores de criptomoedas
• Roubo de credenciais e dados sensíveis
• Instalação de ransomware
• Monitoramento e espionagem empresarial

---

Casos reais

• CVE-2018-16283: Plugin Wechat Broadcast (WordPress) com falha de RFI via parâmetro GET.
• CVE-2014-7228: Core do Joomla entre as versões 2.5.4 a 3.3.4 apresentava vulnerabilidade similar.
• Ataques reais com Pentest Monkey Shell: script PHP amplamente usado para RCE via RFI.

---

Como prevenir RFI

1. No código

Evite incluir arquivos dinamicamente com base em parâmetros de entrada do usuário.

Código inseguro:

Código seguro:

2. Na configuração do PHP

Desative completamente a possibilidade de incluir arquivos remotos:

A diretiva allow_url_include foi descontinuada no PHP 7.4.0. Use no mínimo essa versão.

3. No servidor

No .htaccess, bloqueie tentativas suspeitas:

Configure permissões corretas para que o servidor não execute arquivos arbitrários em diretórios públicos.

4. No monitoramento

• Use WAF com detecção de padrões como ?page=http://…
• Monitore logs de acesso com atenção a URLs que referenciem domínios externos
• Bloqueie bots agressivos e User-Agents conhecidos como sqlmap, curl, python-requests

---

Ferramentas para detectar RFI

• Burp Suite Pro: simula ataques com payloads
• WPScan: detecta plugins vulneráveis em WordPress
• Acunetix / Invicti: scanners automatizados
• Pentest manual com payloads (shell reverso, execução de comandos)

Fontes:
PortsWigger
Wpscan
Acunetix

---

Diferenças entre RFI e outras falhas

O RFI se parece com XSS em sua essência: executa código externo não confiável dentro do servidor. Mas enquanto o XSS roda no navegador do usuário, o RFI atua no núcleo da aplicação — com poder muito maior de destruição.

---

Conclusão

A inclusão remota de arquivos não é apenas uma falha — é uma sentença de morte para o servidor.

Se você ainda utiliza parâmetros como ?module=http://exemplo.com/shell.php, está entregando o controle do seu sistema de bandeja. Basta uma URL maliciosa e todo o seu ambiente vira playground para o invasor.

A solução? Código responsável, validação rígida e configuração correta.
Na segurança web, o detalhe que você ignora hoje pode ser a vulnerabilidade explorada amanhã.

🔧 1. Entendendo allow_url_include e allow_url_fopen na prática

As diretivas allow_url_include e allow_url_fopen, configuradas no php.ini, controlam como o PHP lida com URLs como se fossem arquivos locais. Elas são os principais vetores que tornam a RFI possível:

• allow_url_fopen = On
  Permite que funções como fopen(), file_get_contents(), readfile() e include() acessem URLs remotas.
• allow_url_include = On
  Permite que include() e require() aceitem URLs como argumentos. Essa diretiva é ainda mais perigosa, pois permite a execução direta de código PHP vindo de outro servidor.

⚠️ Nota técnica: Mesmo que allow_url_fopen esteja habilitado, se allow_url_include estiver desativado, include()não conseguirá executar código remoto — apenas carregar o conteúdo.

🧪 Comportamento real em servidores vulneráveis

Mesmo uma chamada simples como essa, quando allow_url_include está ativado, pode resultar em execução imediata de código malicioso remoto.

---

🧨 2. Técnicas de evasão e bypass comuns

Atacantes sabem que sistemas mais modernos bloqueiam diretamente URLs em includes. Por isso, usam técnicas de bypass, como:

a.     Encoding duplo de URLs

O servidor decodifica uma vez (%25 vira %) e então aceita %2f como /.

b. Uso de wrappers especiais

Exploração usando php://input, data:// e até expect:// (em versões antigas):

c. Injeção via User-Agent ou Referer

Alguns scripts burros armazenam headers do visitante em arquivos .txt e os incluem posteriormente, sem sanitização.

---

⚠️ 3. Casos reais e ferramentas

a. WordPress plugin vulnerável (CVE-2018-16283)

O plugin Wechat Broadcast 1.2.0 permitia inclusão remota sem qualquer validação.
📌 CVE-2018-16283

b. Ferramentas usadas por atacantes

• php-reverse-shell.php (Pentest Monkey)
• b374k shell – interface web completa para controle do servidor
• WSO Shell – amplamente usada em exploits russos

Essas ferramentas são normalmente hospedadas em domínios comprometidos e usadas via:

---

🔐 4. Medidas adicionais de hardening

Além de desativar o allow_url_include, recomendamos:

a.     Restringir funções via disable_functions no php.ini

b. Ativar open_basedir

Restringe onde scripts podem operar:

c. Usar AppArmor ou SELinux (nível kernel)

Isolam processos do Apache/PHP e impedem que ações sejam tomadas fora de seu escopo.

d. Aplicar regras no .htaccess

---

🔁 5. Da RFI à dominação completa: a cadeia de escalada real

A inclusão remota de arquivos raramente é o fim do ataque. Na maioria das vezes, ela é a porta de entrada para uma cadeia mais complexa que leva ao comprometimento total da máquina. Vamos traçar o fluxo mais comum:

Etapa 1: RFI com Shell Reverso

O atacante inclui um arquivo como php-reverse-shell.php que se conecta a um IP/porta sob controle dele.

A partir desse momento, o atacante tem um terminal remoto ativo com permissões do usuário www-data ou similar.

Etapa 2: Enumeração local e coleta de credenciais

Com shell aberto, comandos como:

Revelam:

Assim, o atacante obtém acesso total ao banco de dados — podendo alterar credenciais de login, instalar backdoors em plugins ou capturar dados.

Etapa 3: Upload de Web Shell persistente

Shells como WSO, b374k, ou até um simples eval(base64_decode()) são carregados por:

Isso persiste o acesso, mesmo após reinicialização do servidor.

Etapa 4: Escalada de privilégios

O atacante pode:

• Explorar vulnerabilidades locais (kernel, permissões mal configuradas)
• Procurar senhas salvas em .bash_history, .ssh/, ou arquivos .env
• Verificar serviços em execução e falhas como Redis, MongoDB ou FTP sem senha

---

📊 6. Analisando os logs: como detectar tentativas de RFI

Você pode identificar tentativas de RFI vasculhando os logs do servidor com buscas como:

Exemplo de tentativa real:

🟡 Tentativas via data://, php://input, expect://, gopher:// também devem levantar alertas.

📌 Ferramentas como Fail2Ban, ModSecurity e OSSEC podem ser configuradas para bloquear IPs automaticamente quando esse tipo de padrão for detectado.

---

🔎 Fontes Técnicas com Hiperlinks

• PHP Manual: allow_url_include
• NVD CVE-2018-16283
• OWASP RFI Guide
• php-reverse-shell by PentestMonkey
• Exploit DB – RFI Payload Examples
• PHP Wrapper Protocols

🧠 7. Honeypots e WAFs: os caçadores de RFI modernos

Blindar-se contra RFI não é só desativar allow_url_include. Em um cenário real, ataques acontecem de forma automatizada por bots que escaneiam milhares de sites por segundo. É aqui que entram os WAFs inteligentes (Web Application Firewalls) e os honeypots comportamentais.

🎯 Honeypots anti-RFI

Você pode criar URLs falsas como:

Essa URL não existe nem é chamada por nenhum script legítimo. Se alguém tentar acessá-la, é quase certeza que é um bot ou scanner automatizado.

Essas IPs podem ser bloqueadas automaticamente ou reportadas para blacklist global como AbuseIPDB.

🛡️ WAFs (Web Application Firewalls)

Firewalls como ModSecurity (com OWASP CRS) ou serviços como Cloudflare, Sucuri, Imunify360 são capazes de detectar:

• Padrões de URL maliciosos
• User-Agents conhecidos de scanners (como Nikto, w3af, wpscan)
• Inclusões remotas por protocolo: http://, ftp://, gopher://, data://, expect://, php://input, etc.

Configurações de regras específicas para bloquear qualquer parâmetro GET com valor contendo “http://” ou “https://” já reduzem 99% dos vetores de RFI.

🚨 Armadilhas inteligentes (Behavioral triggers)

Você pode associar o acesso a URLs suspeitas a ações automáticas:

• Alertar via e-mail ou webhook
• Bloquear IP em firewall local (iptables/ufw)
• Desabilitar temporariamente a rota vulnerável
• Mudar dinamicamente as permissões do include_path via código

---

🔍 Ferramentas que ajudam a detectar e simular RFI

• OWASP ZAP
• Nikto
• Burp Suite
• Acunetix
• ModSecurity + OWASP CRS
• HoneyPot em PHP – GitHub

🧬 8. RFI, LFI, XSS e RCE: a anatomia dos ataques de inclusão e execução

Na superfície, parece que cada uma dessas siglas representa um ataque distinto. Mas na prática, essas vulnerabilidades frequentemente se sobrepõem e podem ser combinadas para criar ataques mais devastadores. Entender a diferença entre elas é essencial — especialmente para montar defesas robustas.

🔹 RFI (Remote File Inclusion)

• Vetor principal: include($_GET['page'])
• Entrada: URL remota via http://
• Impacto: execução remota de código arbitrário
• Requer: allow_url_include = On e allow_url_fopen = On (em versões vulneráveis de PHP)

Exemplo:

---

🔹 LFI (Local File Inclusion)

• Vetor principal: include($_GET['page'])
• Entrada: caminho local, geralmente com uso de ../ (path traversal)
• Impacto: leitura de arquivos do sistema ou execução de código local
• Muito mais comum que RFI, pois não requer configuração específica do servidor

Exemplo:

🧠 LFI pode evoluir para execução remota (RCE) se combinado com Log Poisoning ou upload de shell.

---

🔹 XSS (Cross-Site Scripting)

• Vetor: entrada do usuário refletida sem sanitização no HTML
• Impacto: execução de scripts no navegador da vítima
• Sem acesso direto ao servidor, mas pode roubar cookies, tokens ou realizar ataques CSRF
• Muitas vezes usado como ponto de entrada para escalar ataques

Exemplo:

---

🔹 RCE (Remote Code Execution)

• O Santo Graal dos ataques
• Impacto: o invasor executa comandos arbitrários no servidor
• Pode ser consequência de:
  • RFI
  • LFI + Log Poisoning
  • File Upload mal protegido
  • Deserialização insegura
  • SQLi em funções de carga dinâmica

---

🧨 9. Ataques híbridos: quando o inferno combina vetores

LFI + Log Poisoning:

1. Invasor acessa uma URL que gera uma entrada maliciosa no log, ex:

• Depois tenta incluir o log via LFI:

RFI + Upload:

1. Invasor envia um .txt com PHP embutido para seu servidor
2. Inclui remotamente esse arquivo via URL de um outro domínio

XSS + RFI:

1. Invasor injeta código JavaScript que captura sessões administrativas
2. Usa as permissões do admin para alterar configurações e ativar allow_url_include ou upar shells

---

🧪 Testes combinados e fuzzing

As ferramentas modernas de pentest (como o Burp Suite ou ZAP) permitem realizar ataques combinando vetores, usando payloads encadeados e identificando aplicações que estão vulneráveis a múltiplas falhas simultaneamente.

Exemplo de fuzz para múltiplos vetores em um único teste:

🧠 10. Casos reais de exploração de RFI: CVEs e autópsias de invasões

A vulnerabilidade de Inclusão Remota de Arquivos (RFI) deixou de ser apenas uma “falha do passado” em versões antigas do PHP. A verdade é que muitas implementações personalizadas, plugins de CMS mal mantidos e sistemas legados ainda deixam portas abertas para esse tipo de ataque — e os invasores sabem disso.

A seguir, alguns exemplos documentados:

---

📌 CVE-2018-16283 – Plugin Wechat Broadcast 1.2.0 (WordPress)

Esse plugin permitia que o conteúdo de um arquivo fosse incluído dinamicamente sem validação da origem. Bastava um parâmetro GET malicioso para carregar qualquer código remoto.

• CVE-2018-16283 – NVD (nvd.nist.gov)
• Gravidade CVSS: 9.8
• Impacto: Execução remota total no servidor WordPress vulnerável

---

📌 CVE-2014-7228 – Núcleo do Joomla

Joomla 2.5.4 até 3.3.4 sofria de múltiplos vetores de inclusão remota, com uso de caminhos manipuláveis pelo usuário.

• CVE-2014-7228 – NVD (nvd.nist.gov)
• Impacto: upload de shell via RFI, controle administrativo completo

---

📌 Ataques detectados por WAFs em produção (ex: ModSecurity, Cloudflare)

Logs reais de ataques mostram padrões recorrentes:

Esses padrões são muitas vezes detectados minutos após o deploy de uma aplicação nova, mostrando que os bots escaneiam a web inteira em busca de pontos de entrada RFI/LFI.

---

⚠️ Casos modernos usando Content Delivery Networks (CDN) para esconder payloads

Em ataques mais sofisticados, os invasores escondem os arquivos maliciosos em URLs de CDN ou em serviços aparentemente inofensivos como Pastebin, GitHub Pages, Amazon S3 ou até Google Drive.

Exemplo:

Esses arquivos são temporários, versionados e camuflados como legítimos. Essa técnica é usada para evadir firewalls e WAFs, que tendem a permitir domínios populares como githubusercontent.com.

---

🔍 Ataques combinados com obfuscação e Base64

É comum encontrar vetores RFI em que a URL está ofuscada ou codificada em base64:

A chamada se transforma em algo assim:

Essa simples codificação bypassa muitas soluções de segurança, inclusive logs visuais e alertas automáticos.

🔎 11. Como detectar vulnerabilidades e tentativas de RFI no seu servidor

Detectar RFI exige atenção ao comportamento do sistema, aos logs HTTP/PHP e à forma como sua aplicação manipula parâmetros dinâmicos. Aqui está como fazer isso com precisão técnica.

---

🔥 1. Verifique logs de acesso com foco em padrões suspeitos

Busque chamadas que:

• Usam include, require, load ou eval com parâmetros da URL
• Possuem URLs completas (http://...) como valores de parâmetros
• Tentam chamar arquivos .php, .txt ou .ico remotos

Exemplo de log suspeito (Apache access.log):

Ferramentas úteis para rastrear:

---

🧠 2. Ative logs de erros do PHP (com segurança)

No php.ini ou via .user.ini, ative logs detalhados:

Busque mensagens como:

Essas linhas são indícios diretos de tentativa de RFI.

---

🛠️ 3. Use scanners de vulnerabilidades especializados

Ferramentas como:

• Acunetix
• Netsparker (Invicti)
• Nikto (open source)
• WPScan (caso use WordPress)

Permitem detectar entradas vulneráveis a RFI dinamicamente, simulando ataques de pentest.

---

🧪 4. Testes manuais simples para detectar comportamento inseguro

Faça um teste com payload inofensivo:

Se o conteúdo de teste.txt for incluído na página, você tem um RFI grave.

Cuidado: nunca teste com scripts ativos sem controle. Use domínios e arquivos sob sua gestão.

---

🧩 5. Procure rastros de shell reverso, arquivos .ico falsos, backdoors ocultos

Muitos atacantes usam:

• shell.php, c99.php, r57.txt camuflados
• Arquivos com nome de imagem (favicon.ico) contendo código PHP
• Diretórios como /uploads/, /temp/, /cache/ para armazenar payloads remotos

---

⚔️ 6. Implemente honeypots para capturar comportamento automatizado

Você pode criar um parâmetro falso:

Assim, qualquer scanner automático que tente incluir algo em trap será registrado e bloqueado.

🛡️ 12. Hardening total contra RFI: blindagem em camadas

Se RFI é uma porta aberta para execução remota de código, a prevenção exige medidas rigorosas e combinadas em diferentes níveis da aplicação e infraestrutura.

---

🔧 A. No PHP (nível da linguagem)

1. Desative completamente a inclusão remota

No php.ini, adicione (ou force via .user.ini, se estiver em hospedagem compartilhada):

Ambos devem estar OFF. O primeiro impede include/require com URL; o segundo bloqueia funções como file_get_contents()com URLs externas.

Nota: Desde o PHP 7.4, allow_url_include foi descontinuado. Mesmo assim, é prudente garantir que esteja explicitamente Off.

2. Restrinja funções perigosas

Se possível, use disable_functions:

Isso quebra o ciclo de execução de shell usado por atacantes mesmo se conseguirem injetar código.

---

🧱 B. No servidor (Apache, Nginx)

3. Proteja via .htaccess (caso use Apache)

Esse trecho bloqueia qualquer tentativa de inclusão por URL ou uso de ../ para LFI.

4. Desative execução de PHP em diretórios inseguros

No diretório uploads/, temp/ ou cache/, adicione um .htaccess:

Ou, se possível, desative o handler PHP nestas pastas para que nenhum .php possa ser executado ali.

---

🔐 C. No código da aplicação (nível lógico)

5. Nunca inclua arquivos com base em entrada do usuário

Errado:

Certo (com lista de permissões):

Evite completamente eval() e construções dinâmicas com entrada do usuário.

---

🧰 D. Ferramentas de segurança e monitoramento

6. Implemente WAF e firewall com inspeção de payloads

Ferramentas como:

• ModSecurity com regras OWASP
• Cloudflare WAF (mesmo na versão gratuita)
• Imunify360 (caso use cPanel)

Podem bloquear automaticamente chamadas com padrões maliciosos, parâmetros HTTP perigosos e tentativas de inclusão de URLs externas.

7. Crie alertas para tráfego incomum

Configure alertas via:

• Logs do servidor (access/error)
• E-mails automáticos ao detectar URLs com http://
• Plugins como seu próprio DigiMind7 Security, que podem monitorar padrões de ataque por rota

---

🔄 E. Camada de atualização e ciclo de vida seguro

8. Mantenha o PHP atualizado

Evite versões vulneráveis (como PHP < 7.4). Use PHP 8.1+ sempre que possível.

9. Verifique plugins e dependências

• Plugins antigos de WordPress, Joomla e Drupal são vetores comuns de RFI
• Evite temas e plugins de fontes não confiáveis
• Use ferramentas de composição como OWASP Dependency-Check ou SCA para detectar falhas conhecidas

💣 13. Casos reais de ataques RFI: lições que vieram da dor

Embora menos comuns atualmente graças à descontinuação do allow_url_include, muitos sistemas ainda rodam PHP 5.x ou 7.x — especialmente em ambientes legados ou mal mantidos. E onde há brechas, há invasores prontos.

---

📍 Caso 1 – Joomla 3.3.x: Inclusão de shell via parâmetro GET

Referência: CVE-2014-7228

O Joomla até a versão 3.3.4 permitia que arquivos fossem incluídos dinamicamente por meio de parâmetros da URL, sem validação suficiente. Um atacante podia rodar:

🚨 Resultado: execução de código remoto e controle total do servidor.

---

📍 Caso 2 – Plugin WeChat Broadcast para WordPress

Referência: CVE-2018-16283

Esse plugin permitia incluir arquivos .php remotos sem validação. Um atacante conseguiu injetar:

🛑 Impacto: injeção de shell PHP e persistência com backdoor no WordPress comprometido.

---

📍 Caso 3 – “PHP Reverse Shell” no mundo real

Referência: técnica documentada por Pentestmonkey

Vários sites vulneráveis a RFI acabaram rodando arquivos como este:

🕷️ Resultado: acesso reverso ao servidor atacado — o invasor passa a executar comandos em tempo real no terminal do servidor remoto.

---

📍 Caso 4 – vBulletin RFI (2005-2006)

Um dos casos mais antigos e emblemáticos. Em versões antigas do vBulletin, era possível incluir arquivos arbitrários via parâmetros não validados. Isso deu origem a uma onda de defacements em massa por grupos como “Team Poison” e “By ChinaHackers”.

---

📍 Caso 5 – Hospedagens compartilhadas mal configuradas

Em ambientes compartilhados, usuários podiam acessar configurações de outros domínios no mesmo host e explorar variáveis mal protegidas para incluir arquivos externos ou internos. Especialmente comum em hospedagens baratas que não isolam corretamente os diretórios dos usuários.

---

📌 Lição crítica: muitos desses ataques só aconteceram porque os administradores:

• Não desativaram a inclusão remota no php.ini
• Permitiram que usuários passassem parâmetros diretamente para include
• Usavam CMSs e plugins desatualizados

🧠 14. Engenharia ofensiva: como o RFI é explorado (e como você pode detectar isso antes que exploda)

📍 Fase 1: Reconhecimento

O atacante usa scanners automáticos como:

• Nikto
• Dirb / Dirbuster
• Gobuster
• Fimap (ferramenta específica para RFI/LFI)
• OWASP ZAP ou Burp Suite

Essas ferramentas buscam URLs com parâmetros que aceitam arquivos dinamicamente, como:

---

📍 Fase 2: Probing (sondagem)

O atacante então testa URLs como:

Se o arquivo remoto for incluído e exibido, bingo.
Isso indica que allow_url_include = On e que a aplicação está vulnerável.

---

📍 Fase 3: Shell reverso

Em vez de apenas testar, o invasor usa um shell PHP remoto como:

Ou ainda, algo mais perigoso:

Esse arquivo é hospedado em um servidor do atacante. Quando incluído via include ou require, executa comandos no servidor da vítima.

---

📍 Fase 4: Persistência

Após comprometer o servidor, o invasor:

• Cria um backdoor no wp-config.php ou .htaccess
• Instala webshells ocultas
• Cria usuários administrativos
• Escala privilégios com local exploits

---

🔎 Como detectar tentativas de RFI em tempo real

Você pode monitorar:

🧾 1. Logs de acesso (access.log)

Exemplo de linha suspeita:

🔥 2. Headers HTTP incomuns

Um User-Agent genérico como python-requests ou curl é sinal de scanner.

💥 3. Atividades no WP com URLs externas

Plugins que acessam arquivos PHP por URLs externas ou /?file=... devem ser auditados.

🛑 4. Ferramentas de WAF (Firewall de Aplicação Web)

Recomenda-se configurar um WAF como:

• ModSecurity
• Sucuri Firewall
• Wordfence (para WordPress)

Esses firewalls detectam e bloqueiam padrões de RFI automaticamente.

🛡️ 15. Hardening definitivo: blindagem total contra RFI com técnicas modernas

Para proteger seu site de forma robusta, você precisa aplicar defesa em camadas, também chamada de Defense in Depth. Aqui estão as etapas cruciais para impedir ataques RFI — desde a infraestrutura até o código-fonte.

---

🧱 1. PHP.ini – Desative completamente a ameaça

No seu servidor (caso tenha acesso root ou painel avançado):

Essas duas diretivas devem estar desligadas.
A primeira impede a inclusão remota.
A segunda bloqueia funções como file_get_contents("http://...").

⚠️ Cuidado: Isso pode afetar funcionalidades legítimas. Faça testes controlados antes de aplicar.

---

🔐 2. .htaccess – Proteja mesmo sem acesso ao PHP.ini

Se você usa Apache com .htaccess, insira:

⚠️ Essa proteção funciona apenas se o servidor estiver com mod_php ativo.

---

💣 3. Bloqueio por padrão em WordPress ou sites PHP

Valide o input do usuário com lista branca:

Jamais use:

---

🚨 4. Use WAF (Firewall de Aplicações Web)

• Wordfence (WordPress)
• Cloudflare WAF
• Sucuri Firewall
• ModSecurity com regras OWASP

Essas ferramentas bloqueiam automaticamente tentativas com URLs maliciosas em parâmetros.

---

🧬 5. Monitore URLs com parâmetros suspeitos

Configure alertas se o seu servidor registrar acessos com:

• ?file=http://...
• ?module=...
• ?load=http...

Você pode usar fail2ban, ferramentas SIEM (como Wazuh) ou sistemas customizados de log no WordPress (como o DigiMind7 Security).

---

👁️‍🗨️ 6. Use Content-Security-Policy (CSP) com restrições

No seu functions.php ou headers do servidor, defina:

Isso impede a execução de scripts de fontes externas desconhecidas.

🧠 Conclusão tática

RFI é uma ameaça silenciosa, sorrateira e devastadora.
Um único include $_GET['mod']; pode ser o suficiente para entregar seu servidor de bandeja a um atacante remoto.

Blindar contra RFI não é uma escolha opcional em 2025 — é pré-requisito para estar vivo na web.

---

📚 Fontes confiáveis e referências:

• OWASP: Remote File Inclusion (RFI)
• PHP Manual: allow_url_include
• Acunetix Blog: RFI Explained
• CVE Details – RFI vulnerabilities
• Fimap GitHub (scanner para LFI/RFI)

🧠 VOCÊ AINDA ACHA QUE ISSO NÃO TEM NADA A VER COM VOCÊ?
⠀
Sabe aquela sensação estranha de que o seu navegador tá pesado demais?
A ventoinha do notebook dispara como se fosse decolagem da SpaceX?
Seu celular esquenta tanto que dá pra fritar um ovo em cima?
⠀
Relaxa… deve ser só coincidência.
⠀
Agora junta os pontos:
Você entra numa sala de Space, tudo parece normal.
Sai dela e entra em outra, e aí começa o espetáculo:
🔸 Aplicativos travando
🔸 Conexão pipocando
🔸 Equipamento virando uma torradeira prestes a explodir
⠀
Mas é só paranoia sua, né?
⠀
A real é que enquanto você “opina” inocentemente em redes sociais, seu dispositivo pode estar servindo de trampolim para minerador, botnet ou shell reverso. E tudo isso graças a uma velha conhecida: a RFI — inclusão remota de arquivos.
⠀
Uma brecha que permite que um código malicioso seja puxado remotamente e executado no seu sistema como se fosse seu.
⠀
Quer mais?
Esse código pode abrir backdoors, instalar mineradores de criptomoeda, roubar seus dados, ou simplesmente te usar como zumbi digital — tudo isso com a sua ventoinha gritando de dor.
⠀
Mas claro… é só calor do verão, né?
⠀
Segurança não é sobre “achar” que está tudo bem.
É sobre blindar antes que vire estatística.
⠀