Zwecks Fehlerprotokollierung schalten WordPress-Entwickler bzw. Dienstleister das WordPress-Logging auch auf Produktivumgebungen ein. Dies geschieht mithilfe der Konstante WP_DEBUG_LOG – nach der Aktivierung des Loggings schreibt WordPress alle Log-Einträge in die Datei /wp-content/debug.log. Dort werden PHP- und WordPress-Fehlermeldungen (je nach Servereinstellung) protokolliert.
Sicherheitsbedenklich wird es dann, wenn solche Log-Dateien per Browser zugänglich sind. Schließlich stehen dort Serverpfade, die es eigentlich zu verstecken gilt. Siehe dazu den Beitrag „Full Path Disclosure Verwundbarkeit in WordPress unterdrücken“.
Es gilt also, Log-Dateien mit sensiblen Informationen fern von der Öffentlichkeit zu halten. Dazu gehören beispielsweise auch TXT-Files, die jedes Plugin in Form von readme.txt mitbringen (Stichwort Versionsnummer).
Jeweils ein Snippet für Nginx und Apache, welches jeden Aufruf der LOG- und TXT-Dateien im Verzeichnis /wp-content/ via Client/Browser mit einem 404/403-Statuscode blockt.