bueno, navegando por un blog (el cual me llamo novato ¬¬ por un tema de indexes de apache en mi web), estaba viendo una imagen cuando se me dio por borrar el directorio y dejarlo en: http://blog.cl/wp-includes/ y le di enter, me di cuenta que me daba un full file disclosure, pero son de archivos por defecto de wordpress.
Preo cuando hago click en uno,"/class.wp-scripts.php", me tira un error tipo:


el dueño de este "blog", (novato tambien de todas formas) me dice, "publicalo en el foro" y le digo "see". entonces antes que nada me fijo en otro wordpress y vo que tambien sucedia lo mismo. eso queire decir que este directorio de wordpress no tiene ningun tipo de index, el servidor (como todo apache por defecto) tiene activado los autoindexes, y el webmaster (novato¬¬) no se le dio por mirar sus directorios. al ver esto se me ocurre antes que nada como cualquier vulnerabilidad (aunque chota sea) que posteo en el foro, avisar al webmaster o al creador en este caso, porq esto es algo generico... comono encontre nignun formulario en wordpress ni tampoco ningun link o mail de contacto (que me dio un poco de bornca!) decido a informarles esto a ustedes asi porq si.

muy simple. tienen un blog que se llame powened.com/blog/, entonces le agregan un /wp-includes y ya tienen el autoindex de apache, abren algun archivo ya que muchos causan un error y tienen un full path disclosure.

no es la gran cosa, no siempre funciona, pero se los quise contar. un saludo grande !

uh :S jeejje talvez es depende tales versiones. un ejemplo :
http://ayudawordpress.com/wp-includes/user.php este no lo arreglo

Castg aún guardo otro bug en tu acortador de direcciones, como novato, no voy a agregar sólo 136 registros a tu db está vez van a ser un poquito mas xD
 
Respecto a lo de wordpress es mas grave de lo que crees Castg. Aunque agregues un index no se solucionará el problema, ya que los archivos siguen dando el path de la web en en error, como te expliqué la mayoría de las veces desde ahí sacas el nombre de usuario de el cpanel xD
 
Habrá que darse la paja de ponerle a todo error_reporting(0);

Mira tu... Se está haciendo costumbre que pienses lo mismo que yo justo después de mi
 
No veo los emoticones desde mi cel

al final me pude comunicar con los de wordpress, este fue el mensaje:

ahora a esperar la respuesta :p