Nexi XPay adgangskontrolsårbarhed//Udgivet den 2026-04-15//CVE-2025-15565

WP-FIREWALL SIKKERHEDSTEAM

Nexi XPay Vulnerability

Plugin-navn Nexi XPay
Type af sårbarhed Adgangskontrol-sårbarhed
CVE-nummer CVE-2025-15565
Hastighed Lav
CVE-udgivelsesdato 2026-04-15
Kilde-URL CVE-2025-15565

Brudt adgangskontrol i Nexi XPay (≤ 8.3.0): Hvad WordPress-webstedsejere skal gøre nu

Forfatter: WP‑Firewall Sikkerhedsteam
Dato: 2026-04-15

Resumé

Den 15. april 2026 blev en brudt adgangskontrol-sårbarhed, der påvirker Nexi XPay WordPress-pluginet (versioner ≤ 8.3.0), offentliggjort og tildelt CVE‑2025‑15565. Problemet tillader uautoriserede aktører at ændre ordrestatus i nogle installationer, der bruger det sårbare plugin. Leverandøren udgav en patch i version 8.3.2.

Som et WordPress-sikkerhedsteam, der driver en professionel WAF og webstedsbeskyttelsesstack, ønsker vi at forklare på almindeligt sprog, hvad denne sårbarhed betyder, hvor sandsynligt det er at blive udnyttet, hvad de reelle risici er for WooCommerce og andre butikker, der bruger Nexi/Cartasi XPay, og — vigtigst af alt — hvordan man hurtigt kan afbøde og opdage forsøg. Vi giver også pragmatiske afbødninger, du kan anvende med det samme (inklusive WAF-regelvejledning og overvågningsanbefalinger) samt langsigtede udvikler- og konfigurationsbedste praksisser for at forhindre gentagelse.

Dette indlæg er skrevet til webstedsejere, udviklere og hostingoperatører. Det er teknisk, hvor det er nødvendigt, men også praktisk: ved slutningen vil du vide, hvad du skal tjekke, hvad du skal gøre nu, og hvad du skal tilføje til din hændelsesrespons-spilbog.


Hvad er sårbarheden?

  • Berørt software: Nexi XPay WordPress-plugin (også distribueret som Cartasi X‑Pay i nogle repositories).
  • Sårbare versioner: alt op til og med 8.3.0.
  • Patch i: 8.3.2 (opgrader straks).
  • CVE: CVE‑2025‑15565
  • Klasse: Brudt adgangskontrol (OWASP A1 / A5 afhængigt af taksonomi)
  • CVSS (offentliggjort reference): 5.3 (medium / lav-medium påvirkning afhængigt af konteksten)

Brudt adgangskontrol her betyder, at pluginet havde en manglende autorisations-/tilladelseskontrol i koden, der ændrer ordrestatus. Denne udeladelse tillod uautoriserede anmodninger (anmodninger uden en logget ind session eller gyldig kapabilitet) at udløse ændringer i ordrestatus i nogle opsætninger.

Hvorfor det er vigtigt: Ændringer i ordrestatus i WooCommerce er højværdi handlinger — de kan påvirke lager, ordreopfyldelse, automatiserede e-mails, svindelkontroller og downstream regnskabs-/opfyldningsintegrationer. Selv hvis sårbarheden ikke direkte lækker kortdata (betalingsdatabeskyttelser er separate), kan uautoriserede statusændringer bruges som en del af bredere svindel- og forstyrrelseskampagner.


Hvem bør være bekymret?

  • WooCommerce-butikker, der bruger Nexi/XPay betalingsgateway-plugin.
  • Bureauer og hostingudbydere, der administrerer kundesider, der bruger pluginet.
  • Sider, der er afhængige af automatiseret ordrebehandling (lager, forsendelsestriggere, e-mail-notifikationer).
  • Enhver, der bruger webhooks eller integrationer, der handler om ændringer i ordrestatus.

Hvis du bruger Nexi XPay og kører en version ≤ 8.3.0, skal du behandle dette som høj prioritet for at afhjælpe, selvom den offentliggjorte CVSS er moderat. Den faktiske forretningspåvirkning afhænger af, hvordan din butik håndterer overgange i ordrestatus og om andre kontroller (host-firewall, infrastruktur WAF, admin-only endpoints osv.) begrænser adgangen.


Hvordan en angriber kan udnytte det (scenarier)

Vi vil ikke gengive udnyttelseskode i denne artikel, men her er realistiske angrebsscenarier, så du kan vurdere din eksponering.

  1. Forstyrre ordrer / forårsage svigagtig forsendelse:
      – Angriberen ændrer ordrestatus til “fuldført” for at narre opfyldelses- eller forsendelsespartnere til at sende varer uden korrekt betalingsverifikation (hvis downstream-processer udelukkende er afhængige af status).
  2. Lager manipulation:
      – Ændring af status kan åbne eller lukke lagerallokeringsvinduer, hvilket potentielt skaber lagerinkonsistenser.
  3. Refusion og regnskabsforvirring:
      – Hvis arbejdsgange automatisk genererer fakturaer/refusioner baseret på status, kan en angriber forårsage faktureringskonflikter og driftsproblemer.
  4. Kædeangreb:
      – Ændre en ordre for at udløse en webhook, der kalder en ekstern tjeneste; brug det til at pivotere eller nægte service.
  5. Social engineering og svindel skalering:
      – Bulk statusmanipulation på tværs af mange websteder kan skabe bred kaos for små handlende og hjælpe svindelnetværk.

Note: Udnyttelsen kræver viden om den specifikke slutpunkt/parametre, som plugin'et bruger. Sandsynligheden for storskala automatiseret scanning er reel; brud på adgangskontrolfejl udnyttes ofte i massekampagner.


Øjeblikkelige handlinger (hvad skal der gøres inden for de næste 60 minutter)

  1. Opgrader plugin'et:
      – Opdater Nexi XPay til version 8.3.2 eller senere. Dette er den eneste komplette løsning.
      – Hvis du administrerer mange websteder, planlæg en koordineret opdatering og overvåg for eventuelle opdateringsfejl.
  2. Hvis du ikke kan opdatere med det samme, implementer midlertidige afbødninger:
      – Deaktiver betalingsgateway-plugin'et, indtil du kan patch.
      – Begræns anmodninger til plugin'ets slutpunkter på server- eller WAF-niveau (eksempler nedenfor).
      – Tilføj en regel for at nægte mistænkelige uautoriserede anmodninger, der forsøger at ændre ordrestatus (se WAF vejledning).
  3. Revisions for tegn på udnyttelse:
      – Tjek den seneste ordrehistorik for uventede statusændringer.
      – Gennemgå logfiler (webserver, PHP, WooCommerce) for POST- eller JSON-anmodninger til plugin-endepunkter fra usædvanlige IP-adresser eller brugeragenter.
      – Tjek for en stigning i webhook-aktivitet, udgående API-opkald og e-mail-notifikationer knyttet til ordretilstande.
  4. Bevar logs:
      – Hvis du mistænker kompromittering, bevar logfiler og snapshots til retsmedicinske formål. Overskriv eller slet ikke logfiler.

Hvordan man opdager udnyttelse — indikatorer for kompromittering (IoCs)

Se efter følgende tegn i dine logfiler og WooCommerce ordrehistorier:

  • Uventede statusovergange: ordrer der bevæger sig fra “ventende” til “fuldført” eller “behandling” uden en tilsvarende betalingsindfangningsbegivenhed.
  • Anmodninger til plugin-specifikke endepunkter, der mangler en godkendt cookie eller kendt admin-brugeragent.
  • POST/PUT/DELETE-anmodninger med parametre navngivet som ordre_status, status, ordre_id, eller plugin-specifikke nøgler, hvor anmoderen ikke er godkendt.
  • Stigning i anmodninger til plugin-endepunkter, der stammer fra usædvanlige IP-områder eller gentagne anmodninger i korte intervaller.
  • Nye eller ændrede webhooks, der udløses uden forventede opstrømsbegivenheder.
  • E-mails eller notifikationer om ordreændringer, du ikke har initieret.

Hvor man skal tjekke:

  • Apache/Nginx adgangslogfiler og fejl-logfiler.
  • PHP-FPM eller PHP-fejllog (til debug- eller plugin-beskeder).
  • WooCommerce ordre noter (hver ordre holder en historie).
  • Hosting kontrolpanel logfiler og enhver WAF/logning, du allerede har aktiveret.

Pro tip: forespørg dine logfiler for POST-anmodninger med en referer af null eller tom referer, der retter sig mod plugin-URL'er inden for de sidste 7–30 dage.


WAF / virtuel patching vejledning (midlertidige regler)

Hvis du ikke kan opgradere med det samme, anvend målrettede WAF-regler. Målet er at blokere uautoriserede forsøg på at ændre ordrestatus, mens falske positiver minimeres.

Vigtig: juster og test regler i “monitor” eller “log-only” tilstand før blokering i produktion.

Generiske regelideer (konceptuelt; tilpas til din WAF-syntaks):

  • Bloker uautentificerede POST/PUT anmodninger til kendte plugin-endepunkter, der bærer parametre, der bruges til at ændre ordrestatus.
  • Hvis plugin'et eksponerer en REST-rute, kræv at anmodninger indeholder et gyldigt AUTH-token, nonces eller cookie. Afvis anmodninger uden disse elementer.
  • Rate-begræns anmodninger til plugin-endepunkterne (afvis hvis > X anmodninger pr. minut fra samme IP).

Eksempel på pseudo-regler (kopier ikke ordret; tilpas til din stak):

  • Afvis POST-anmodninger til enhver URI, der matcher plugin-stien, hvis der ikke er nogen WordPress-cookie til stede:
      – Betingelse: REQUEST_METHOD == POST OG REQUEST_URI INDEHOLDER “/wp-content/plugins/[nexi|cartasi]” OG HTTP_COOKIE indeholder IKKE “wordpress_logged_in_”
      – Handling: BLOCK / Returner 403
  • Afvis anmodninger, der forsøger at sætte ordrestatus, hvis refereren er tom, og anmodningen er uautentificeret:
      – Betingelse: REQUEST_BODY indeholder “order_status” OG HTTP_REFERER er tom OG HTTP_COOKIE indeholder ikke “wordpress_logged_in_”
      – Handling: BLOCK
  • Rate-limit regel:
      – Betingelse: REQUEST_URI indeholder plugin-sti OG count(IP) > 20 på 1 minut
      – Handling: CHALLENGE eller BLOCK

Anbefalinger til almindelige WAF'er:

  • Hvis du driver ModSecurity: skriv en SecRule, der matcher plugin-endepunktet og tjekker for fraværet af en WordPress-autentificeringscookie eller nonce-værdi.
  • Hvis din WAF understøtter virtuel patching: opret en regel, der inspicerer anmodninger for status-modificerende parametre og blokerer dem, medmindre de ledsages af en gyldig nonce eller admin-kapacitet.

Logging: log fulde anmodningsoverskrifter (ikke kroppe, der indeholder PII) og det matchede reglenavn for hver blokeret anmodning. Brug disse logs til at forfine signaturer.

Forbehold: Blokering af al trafik til plugin-stier kan bryde legitime kunder. Brug midlertidig blokering kun mens du forbereder en fuld opgradering.


Sådan reviderer du dit site for eksponering

  1. Inventar:
      – Identificer alle sites og miljøer, der har den sårbare plugin installeret (inklusive staging og dev).
      – Hvor du hoster flere kundesites, brug et centralt inventarværktøj eller plugin-scanner til at liste plugin-versioner.
  2. Ordrehistorik gennemgang:
      – Eksporter ordrer fra de sidste 30–90 dage og se efter uregelmæssige statusovergange.
      – Tjek ordre noter — de indeholder normalt, hvilken bruger der ændrede status; hvis “system” eller “API” vises uden kontekst, undersøg nærmere.
  3. Logs og analyser:
      – Forespørg webserver logs for adgang til plugin filstier eller REST API-ruter knyttet til betalingsplugin.
      – Tjek for usædvanlige stigninger i 200/201/204 svar forbundet med ordreændrings-endepunkter.
  4. Filintegritet:
      – Bekræft at plugin-filer ikke er blevet ændret. Brug checksums fra en ren kopi af plugin eller WordPress-repositoriet som reference.
      – Hvis du ser uventede PHP-filer eller ukendte cron-jobs, behandl dem som mistænkelige.
  5. Databasekontroller:
      – Søg i options-tabellen og usermeta efter mistænkelige poster knyttet til plugin, der kan skabe bagdøre eller vedvarende triggere.
  6. Eksterne integrationer:
      – Bekræft betalingsgateway webhooks med betalingsudbyderen for at sikre, at der ikke er tilføjet uventet mapping.

Incidentrespons, hvis du finder beviser for udnyttelse

  1. Indhold:
      – Deaktiver straks den sårbare plugin eller blokér adgang til det sårbare endepunkt via firewall-regler.
      – Nulstil admin-, merchant- og integrationslegitimationsoplysninger, der kan være blevet brugt.
  2. Bevar beviserne:
      – Tag et snapshot af sitet og databasen, eksporter logs, og opbevar dem sikkert. Ændr ikke det berørte system, før beviserne er bevaret.
  3. Udslet:
      – Opdater plugin (til 8.3.2+) og alle andre plugins, temaer og WordPress core.
      – Fjern eventuelle ondsindede filer eller uautoriserede cron-opgaver. Hvis du er i tvivl, gendan til en kendt god backup oprettet før indtrængen.
  4. Gendan:
      – Genaktiver tjenester gradvist. Valider ordre flows og integrationer i et staging-miljø, før du vender tilbage til produktion.
  5. Underrette:
      – Informer interessenter (handelskonti, opfyldelse, kunder hvis nødvendigt) og din hostingudbyder.
  6. Efter hændelsen:
      – Udfør årsagsanalyse og tilføj kontroller (WAF-stramning, forbedringer af logning, overvågning) for at forhindre gentagelse.

Udviklervejledning — hvordan dette forhindrer lignende fejl

Denne sårbarhed er et klassisk eksempel på manglende server-side autorisationskontroller. Klient-side validering (JavaScript-kontroller, formular nonces kun på klienten) er ikke tilstrækkelig. Følgende udviklingsprincipper bør være på plads i ethvert plugin, der ændrer kritiske ressourcer:

  • Udfør altid server-side kapabilitetskontroller:
      – Brug WordPress kapabilitetskontroller som current_user_can(‘manage_woocommerce’) hvor det er relevant.
  • Stol ikke på nogen indkommende anmodning uden at verificere:
      – Valider og sanitér al input.
      – Verificer nonces ved formularindsendelser og REST-anmodninger. For REST-endepunkter, brug tilladelses callbacks, der verificerer brugerens kapabiliteter eller tokens.
  • Begræns eksplicit følsomme handlinger til autentificerede roller eller signerede webhooks:
      – Hvis en integration skal udføre handlinger uden en brugersession (f.eks. betalingsudbyder webhooks), kræv signerede payloads eller foruddelte hemmelige verifikationer.
  • Log følsomme handlinger:
      – Oprethold klare logs, når ordrestatusser ændres, inklusive hvem/hvad der udløste ændringen og anmodningsmetadata.
  • Fejl-sikre standardindstillinger:
      – Hvis en autorisationskontrol fejler, nægt handlingen og returner en informativ, men ikke-følsom fejl.

Hærdningscheckliste for WordPress/WooCommerce-websteder

  • Hold WordPress core, temaer og plugins opdateret inden for 72 timer efter kritiske sikkerhedsrettelser.
  • Begræns admin-adgang efter IP, hvor det er muligt (for eksempel, begræns wp-admin til en statisk IP eller opsæt en VPN).
  • Håndhæv stærke adgangskoder og to-faktor autentificering for administrator- og handelskonti.
  • Kør en WAF og konfigurer virtuel patching for zero-day vinduer; brug tilpassede regler for kendte plugin-endepunkter.
  • Aktivér aktivitetslogning (admin-handlinger, ordre-handlinger) og videresend logs til et centralt logningssystem.
  • Planlæg regelmæssige filintegritetskontroller og malware-scanninger.
  • Tag regelmæssigt og verificer gendannelsesprocessen (både filer og database).
  • Brug princippet om mindst privilegium for API-nøgler og webhook-hemmeligheder.

Anbefalinger til hostingudbydere og bureauer

Hvis du er et bureau eller vært, der administrerer kunders websteder:

  • Prioriter patch-udrulning for kunders websteder med plugin'et — koordinerede masseopdateringer er ofte den hurtigste afbødning.
  • Opret en kommunikationsplan for at informere berørte kunder om problemet, risikoen og tidslinjen for afhjælpning.
  • Giv midlertidig virtuel patching (WAF-regler) for administrerede kunder, der ikke kan opdateres med det samme.
  • Tilbyd en hændelsesresponsservice for kunder, der kan være kompromitteret.
  • Hold et tværgående lager af plugin-versioner for hurtigt at identificere eksponering.

Hvorfor CVSS alene kan være misvisende for WordPress-sårbarheder

Den offentliggjorte CVSS-score for dette problem er 5.3. CVSS er nyttigt til standardisering, men WordPress-økosystemer er unikke:

  • En medium CVSS kan stadig have en uforholdsmæssig virkning i den virkelige verden for eCommerce-butikker, fordi forretningslogik (ordrer, lager, opfyldelse) er følsom.
  • Den effektive risiko afhænger af, hvordan plugin'et er konfigureret, om der findes yderligere adgangskontroller, tilstedeværelsen af webhooks/integration og om værter implementerer WAF'er.
  • Behandl hver sårbarhed med kontekst: hvordan plugin'et bruges, hvilke processer der afhænger af ordretilstande, og omfanget af automatisering.

Overvågnings- og detektions bedste praksis

  • Aktivér og behold webserver- og PHP-logs i mindst 90 dage, hvis muligt.
  • Implementer automatiserede alarmer for:
      – Store mængder af ændringer i ordrestatusser på kort tid.
      – POST-anmodninger til betalingsgateway-plugin-endepunkter fra ukendte IP'er eller tor-udgangsnoder.
      – Stigninger i hastighed for specifikke endepunkter.
  • Overvåg for anomalier i webhook-trafik og 3. parts integrator-logs.
  • Brug et centralt SIEM eller logaggregator til at korrelere ordrebegivenheder og webanmodninger.

Hvad vi anbefaler WP-Firewall-brugere at gøre lige nu

(Hvis du bruger WP‑Firewall-beskyttelse, skal du straks anvende disse trin.)

  1. Bekræft plugin-versionen på alle de sider, du administrerer (≤ 8.3.0 er berørt).
  2. Opdater til 8.3.2+ så hurtigt som muligt.
  3. Aktiver vores administrerede firewall-regler for betalingsgateway-endepunkter — disse regler inkluderer allerede signaturkontroller for almindelige mønstre for ændring af ordrestatus og heuristikker til at blokere uautentificerede forsøg.
  4. Tænd for automatiseret malware-scanning og ordreændringsadvarsler, så du får øjeblikkelig meddelelse om mistænkelige statusovergange.
  5. Hvis du ikke kan opgradere med det samme, skal du aktivere midlertidig virtuel patching i firewallen for at blokere uautentificerede anmodninger, der forsøger at ændre ordrestatus.

Eksempel på WAF-regelmønstre (konceptuelt)

Nedenfor er konceptuelle mønstre for WAF-regler. Tilpas dem til dit miljø og test først i overvågningsmode.

# Pseudo-regel: blokér POST-anmodninger, der forsøger at sætte ordrestatus uden autentificering
# Rate-limit & udfordr anmodninger til plugin-stier
# Tillad kun betalingsudbyder-IP'er at få adgang til webhook-endepunktet, når de er kendte

Langsigtede løsninger, som plugin-forfattere bør implementere

Hvis du vedligeholder plugins:

  • Kræv en tilladelse eller kapabilitetskontrol i enhver handling, der ændrer ordrer. Antag ikke, at anmodningen er legitim.
  • For REST API-ruter:
      – Implementer en permission_callback der håndhæver kapabilitetskontroller eller verificerer signaturer for maskine-til-maskine-opkald.
  • For admin‑ajax og formularhåndtering:
      – Håndhæve WordPress nonces og nuværende_bruger_kan() kontroller.
  • Tilføj grundige enheds-/integrations tests, der verificerer, at uautoriserede opkald fejler.
  • Giv klare changelogs og berørte versionsoplysninger for sikkerhedsudgivelser.

Ofte stillede spørgsmål (FAQ)

Spørgsmål: Hvis en angriber ændrede en ordre til “fuldført”, betyder det så, at betalingen blev indfanget?
EN: Ikke nødvendigvis. Ordrestatus er ofte et forretningslogikflag. Betalingsindfangning er en separat operation. Mange butikker har dog automatisering, der behandler “fuldført” som et tegn på at sende. Bekræft betalingsgateway-transaktionsstatus i betalingsudbyderens dashboard.

Spørgsmål: Kan jeg sikkert blokere trafik til betalingspluginet?
EN: Blokering af trafik til pluginets offentlige endepunkter kan påvirke legitime betalingsstrømme. Brug målrettet blokering (blokér kun uautentificerede statusændrende anmodninger) eller kortvarig deaktivering i samarbejde med interessenter.

Spørgsmål: Hvor hurtigt skal jeg handle?
EN: Straks. Patch først. Hvis du ikke kan patch'e inden for de næste 24–48 timer, anvend WAF-afbødninger og midlertidige restriktioner, indtil du kan opdatere.


Ny: Beskyt dit site øjeblikkeligt med WP‑Firewall Gratis Plan

Prøv WP‑Firewall Basic beskyttelse gratis og tilføj øjeblikkelige forsvarslag, mens du opgraderer plugins og reviderer dine butikker.

Titel: Få øjeblikkelig baseline-beskyttelse med WP‑Firewall Basic (Gratis)

Hvis du administrerer et site, der bruger betalingsgateways eller WooCommerce, skal du aktivere essentielle beskyttelser nu:

  • Plan 1 — Basis (Gratis): administreret firewall, ubegribelig båndbredde, WAF, malware-scanner og afbødning for OWASP Top 10 risici. Dette giver øjeblikkelig beskyttelse mod kendte anmodningsmønstre, der forsøger uautoriserede ordreændringer og andre almindelige trusler.
  • Plan 2 — Standard ($50/år): tilføjer automatisk malwarefjernelse og muligheden for at sortliste/hvidliste op til 20 IP'er.
  • Plan 3 — Pro ($299/år): inkluderer månedlige sikkerhedsrapporter, automatisk sårbarhed virtuel patching og premium supporttjenester.

Start med Basic for at få en administreret WAF foran dit site, mens du udfører de plugin-opgraderinger og revisioner, der er beskrevet ovenfor. Tilmeld dig her: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Vi designede Basic-planen, så butiksejere kan få beskyttelse uden omkostninger og uden kompleks konfiguration. Det er et praktisk første skridt til at reducere risikoen, mens du fuldt ud afhjælper.)


Afslut — prioriteret tjekliste

  1. Lager: find alle sites med Nexi XPay / Cartasi X‑Pay plugin.
  2. Opgrader alle sites til plugin-version 8.3.2 eller senere straks.
  3. Hvis opgradering ikke er umiddelbart muligt:
      – Deaktiver pluginet ELLER
      – Implementer midlertidige WAF-regler for at blokere uautoriserede forsøg på at ændre ordrestatus.
  4. Gennemgå ordrer og logfiler for uregelmæssige statusændringer og bevare beviser, hvis du ser tegn på udnyttelse.
  5. Hærd dit miljø: anvend princippet om mindst privilegium, aktiver to-faktor for admin-konti, og brug centraliseret logning/overvågning.
  6. Overvej administreret beskyttelse (WAF + automatiseret virtuel patching), mens du udfører fuld afhjælpning og efter-hændelse gennemgang.

Afsluttende tanker fra WP‑Firewall-teamet

Brudt adgangskontrol er et af de mest almindelige mønstre, vi ser, der fører til bredere kompromitteringer eller forstyrrende svindel. I WordPress eCommerce-miljøer er den forretningsmæssige indvirkning uforholdsmæssigt høj: ordrearbejdsgange kontrollerer penge, lager og opfyldelse. Det gør selv “mellem” sårbarheder forretningskritiske.

Patch hurtigt. Hvis du ikke kan patch hurtigt, så brug virtuel patching og overvåg. Hvis du har brug for hjælp til at triagere problemet på tværs af flere kundesider eller ønsker automatiseret beskyttelse, mens du afhjælper, tilbyder vi administrerede firewall-tjenester og virtuel patching designet til WordPress og WooCommerce-miljøer.

Hvis du ønsker trin-for-trin afhjælpningshjælp eller hjælp til at implementere sikre WAF-regler og overvågning for dine sider, er WP-Firewall-teamet tilgængeligt for at hjælpe.


wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu
!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.