Sikring af beregnede felter plugin mod XSS//Udgivet den 2026-03-17//CVE-2026-3986

WP-FIREWALL SIKKERHEDSTEAM

Calculated Fields Form CVE-2026-3986 Vulnerability

Plugin-navn Beregnede felter formular
Type af sårbarhed Cross-Site Scripting (XSS)
CVE-nummer CVE-2026-3986
Hastighed Lav
CVE-udgivelsesdato 2026-03-17
Kilde-URL CVE-2026-3986

Uops! Sikkerhedsadvarsel: Gemt XSS i Calculated Fields Form-plugin (CVE-2026-3986) — Hvad WordPress-webstedsejere skal gøre nu

Teknisk nedbrydning og praktisk vejledning til afbødning for den autentificerede (Bidragyder) gemte XSS i Calculated Fields Form-plugin (≤ 5.4.5.0). Trin-for-trin hændelsesrespons, detektion, hårdføring og hvordan WP‑Firewall kan beskytte dit websted — inklusive en gratis plan, du kan aktivere i dag.

TL;DR — En gemt Cross-Site Scripting (XSS) sårbarhed (CVE-2026-3986), der påvirker versioner af Calculated Fields Form-plugin ≤ 5.4.5.0, tillader en autentificeret bruger med bidragyderrettigheder at gemme udformet indhold i pluginens formularindstillinger, som senere kan udføres i browseren hos brugere med højere privilegier. Opdater pluginen til 5.4.5.1 straks. Hvis du ikke kan opdatere nu, anvend afbødninger: begræns bidragydernes kapabiliteter, rengør gemte formularindstillinger, brug en Web Application Firewall (WAF) til virtuel patching, og revider brugeraktivitet. Nedenfor er en fuld teknisk analyse og praktisk trin-for-trin afhjælpning og overvågningscheckliste.

Indledning

Som WordPress-forsvarere og praktikere ser vi tilbagevendende mønstre: plugins, der accepterer HTML eller JavaScript-lignende markup i indstillinger, fejler nogle gange i at sanitere eller undslippe disse data korrekt ved render-tid. Når de gemte data senere vises i en administrativ kontekst, bliver det en mulighed for gemt cross-site scripting (XSS). Den 13. marts 2026 blev et offentligt offentliggjort gemt XSS-problem (CVE-2026-3986) rapporteret for det populære Calculated Fields Form-plugin. Leverandøren udsendte en patch i version 5.4.5.1.

Dette indlæg forklarer problemet i enkle tekniske termer, hvorfor det er vigtigt, selvom udnyttelse kræver autentificering, hvordan angribere kan udnytte det, og umiddelbare og langsigtede afbødninger, du kan anvende — inklusive konkrete WAF-regler, detektionsforespørgsler, databasekontroller og hændelsesresponsaktioner, du kan bruge i dag.

Hvad skete der (resumé)

  • En gemt Cross-Site Scripting (XSS) sårbarhed blev opdaget i versioner af Calculated Fields Form-plugin ≤ 5.4.5.0.
  • Sårbarheden tillader en autentificeret bruger med bidragyderrolle (eller højere) at injicere indhold i pluginens formularindstillinger, der ikke er korrekt undsluppet ved rendering.
  • Det injicerede indhold kan senere udføres af privilegerede brugere (administratorer, redaktører eller andre roller, der ser de sårbare indstillinger), hvilket muliggør handlinger som sessionstyveri, privilegiumseskalering via CSRF+XSS-kæder, forvanskning eller malware-injektion.
  • Problemet er løst i version 5.4.5.1. Administratorer bør opdatere straks.

Hvorfor en autentificeret bidragyder kan være farlig

WordPress har et rigt sæt af roller og kapabiliteter, men mange websteder giver bidragydere mulighed for at oprette indhold. I de fleste miljøer er bidragydere ikke betroede, men plugins antager ofte, at indhold oprettet af autentificerede roller er sikkert. Angribere, der kontrollerer bidragyderkonti (gennem credential stuffing, social engineering eller dårligt konfigureret front-end registrering), kan bruge disse konti til at gemme ondsindede payloads. Gemt XSS er særligt potent, fordi det forbliver på webstedet og udføres i browseren hos nogen med højere privilegier — præcis det mønster, som denne sårbarhed muliggør.

Angrebsscenario (højt niveau)

  1. En angriber opnår eller opretter en bidragyderkonto på det målrettede websted.
  2. Bidragydere bruger pluginens formularindstillingsgrænseflade til at gemme udformede værdier, der inkluderer HTML/JS-lignende konstruktioner.
  3. Pluginen gemmer disse data uden tilstrækkelig undslipning.
  4. En privilegeret bruger (administrator/redaktør) indlæser senere den berørte administrationsside (for eksempel ved at se eller redigere formularindstillingerne eller indtastningerne).
  5. Browseren fortolker det gemte indhold i en administrativ kontekst og udfører JavaScript i administratorens session.
  6. Angriberen kan udføre privilegerede handlinger via administratorens session (f.eks. oprette administratorbrugere, eksfiltrere legitimationsoplysninger eller installere bagdøre) eller pivotere til webstedets samlede kompromittering.

Hvorfor opdatering er det første og bedste skridt

Leverandøren har udgivet en officiel løsning i version 5.4.5.1, der adresserer den underliggende sanitiserings/undslipningsfejl. Anvendelse af leverandørpatches fjerner sårbarheden ved kilden og er altid det anbefalede første skridt.

Hvis du kan opdatere nu:

  • Tag et snapshot/sikkerhedskopi før opdatering (filer + DB).
  • Opdater plugin'et til 5.4.5.1 via WP admin eller erstat direkte plugin-filerne.
  • Efter opdatering, verificer plugin'ets adfærd (åbn formularindstillinger, tjek at der ikke vises mistænkelige payloads).
  • Rotér eventuelle admin/session cookies, hvis du mistænker kompromittering.

Hvis du ikke kan opdatere med det samme, følg de nedenstående afbødninger.

Teknisk analyse (hvad man skal se efter)

Selvom plugin'ets interne strukturer varierer, er dette de sandsynlige mekanismer baseret på den rapporterede offentliggørelse:

  • Plugin'et gemmer formularindstillinger (etiketter, formler, brugerdefineret HTML) i WordPress-indstillinger, postmeta eller en plugin-specifik tabel.
  • Inputfelter, der accepterer markup (HTML i tekstområder, brugerdefinerede visningsindstillinger), blev ikke renset/kodet ved output.
  • Rensningen var utilstrækkelig, når de gemte data vises på admin-sider eller gengives i attributter/begivenhedshåndterere.
  • Udførelsen sker, når en admin besøger formularindstillingerne eller en side, der gengiver det gemte felt uden escape.

Indikatorer, der bør få dig til at undersøge

  • Nylig oprettelse/ændring af formularer af bidragyderkonti.
  • Spam-lignende eller mærkeligt indhold i formularindstillinger eller etiketter.
  • Uventede script-tags, begivenhedsattributter, svg/onload vektorer, javascript: URIs indlejret i plugin-indstillinger.
  • Usædvanlige admin aktivitetslogger omkring sider, der gengiver plugin-indstillinger (f.eks. administratorer, der ser formularer eller gemmer postmeta).
  • Ændringer i wp_options eller postmeta-rækker relateret til plugin'et med HTML-lignende indhold.

Praktiske umiddelbare afbødninger (trin-for-trin)

  1. Opdater nu (foretrukket)
    • Opdater Calculated Fields Form til 5.4.5.1 eller senere.
  2. Hvis du ikke kan opdatere med det samme
    • Fjern eller deaktiver plugin'en midlertidigt, indtil du kan opdatere.
    • Hvis fjernelse bryder kritisk funktionalitet, reducer eksponeringen:
      • Begræns bidragyderkonti fra at få adgang til plugin-siderne (se kapabilitetstrin nedenfor).
      • Brug en WAF til at blokere ondsindede payloads og anvende en virtuel patch (eksempler nedenfor).
      • Begræns administratorers browsing af plugin-sider, indtil indholdet er blevet revideret.
  3. Begræns bidragyderes muligheder
    • Bidragydere bør ikke kunne redigere plugin-indstillinger. Brug en rolle-/kapabilitetsmanager til at fjerne kapabiliteter, der giver adgang til plugin'ens admin UI (for eksempel at fjerne ‘edit_posts’ fra plugin-specifik UI kapabilitet eller blokere adgang til plugin admin-sider).
    • Alternativt, kræv godkendelsesworkflow: kræv, at redaktører/admins godkender formularer før offentliggørelse.
  4. Revider og rengør gemt indhold
    • Søg databasen efter mistænkelige poster (se efter “<script”, “onerror=”, “javascript:” osv.).
    • WP‑CLI søgeeksempel (sikkert, skrivebeskyttet): 
      wp db query "SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%onerror=%' LIMIT 100;"
    • Du kan tilpasse forespørgsler til plugin'ens tabeller (hvis den bruger brugerdefinerede DB-tabeller).
    • For hver mistænkelig post: tag en kopi ind i et sikkert miljø, gennemgå indholdet, og fjern eller saner de ondsindede fragmenter. Gendan fra en backup før udnyttelse, hvis nødvendigt.
  5. Rotér administratorlegitimationsoplysninger og gennemgå sessioner
    • Tving log ud af alle aktive sessioner for administratorer, og rotér adgangskoder for admin-konti.
    • Aktiver 2FA for admin/redaktørkonti.
  6. Hærd admin-browsing
    • Håndhæve Content Security Policy (CSP), der forhindrer inline scriptudførelse på admin-sider, hvor det er muligt.
    • Overvej at aktivere “Bloker filredigering” og andre standard WP-hærdningstrin.

WAF og virtuelle patch-anbefalinger

En WAF giver dig et øjeblikkeligt afbødningslag, mens du opdaterer eller rengør siden. Her er praktiske WAF-regler og eksempler, du kan implementere. Reglerne bør justeres for at undgå falske positiver på legitimt HTML-indhold brugt af betroede redaktører.

  1. Bloker anmodninger, der indeholder almindelige XSS-mønstre sendt til plugin-administratorens endepunkter
    • Eksempel på pseudo-regel (konceptuel):
      • Matche HTTP POST-anmodninger til /wp-admin/* eller til plugin'ens AJAX-endepunkter, hvor en parameter indeholder “<script” ELLER “javascript:” ELLER “onerror=” ELLER “onload=” ELLER “data:image/svg+xml”.
      • Bloker med 403 eller sanitér input og alarmer.
    • Mønster eksempler til at matche i POST-kroppe:
      • /<\s*script/i
      • /on\w+\s*=\s*[“‘]?javascript:/i
      • /javascript\s*:/i
      • /<svg[\s\S]*onload=/i
  2. Forhindre levering af lagret-XSS ved render-tid
    • Identificer sider, hvor plugin-indstillinger vises, og sanitér udgående HTML ved at fjerne script-lignende attributter, før de sendes til browseren (Indholdsmodifikation).
    • Eksempel: fjern attributter, der starter med “on” (onload, onclick) fra lagret HTML, når det vises på admin-sider.
  3. Bloker mistænkelige admin GET-parametre og refererer
    • Bloker indlæsning af admin-sider, der indeholder mistænkelige parameter-værdier (f.eks. URL-parametre, der er lange og indeholder script-fragmenter) og log dem.
  4. Rate-begræns oprettelse af formularer / indhold af lavprivilegerede konti
    • Dæmp POST-anmodninger til plugin-endepunkter for bidragende konti (grænse pr. minut/time).
  5. Overvåg og underret om admin-visninger af plugin-indstillinger
    • Udløs detektionsalarmer, når administratorer indlæser plugin-konfigurationssider (især hvis disse sider viser indhold, der matcher kendte mønstre).

Eksempel WAF-regel (konceptuel, juster før produktion)

Bemærk: Følgende er en konceptuel regel, der viser mønstre og handlinger. Tilpas til din WAF-motor syntaks.

- Regel navn: Block-Calculated-Fields-Stored-XSS.

Detektions- og responscheckliste

Hvis du mistænker udnyttelse, udfør denne tjekliste i rækkefølge:

  1. Isoler & bevare
    • Tag en fuld backup (filer + DB) og lav en kopi til retsmedicinsk analyse. Bevar serverlogfiler (webserver, PHP-FPM, database), der dækker den relevante tidsramme.
  2. Identificer potentielt ondsindede indstillinger
    • Kør WP‑CLI/SQL opdagelsesspørgsmålene beskrevet ovenfor for at finde mistænkelige gemte HTML/JS-konstruktioner.
  3. Bestem omfanget af påvirkningen
    • Tjek adminbrugeres seneste aktivitet, se efter ukendte adminkonti, mistænkelige plugin-installationer eller ændringer i filsystemet (ændrede plugin/theme-filer).
    • Søg uploads-mappen efter uventede PHP, bagdøre eller ændrede filer.
  4. Rengør og genopret
    • Hvis ondsindet indhold er lille og klart identificerbart, fjern fragmentet og kør sikkerhedsscanninger igen.
    • Hvis siden viser dybere kompromittering (nye adminbrugere, webshells eller ændrede kerne/plugin-filer), gendan fra en ren backup dateret før kompromitteringen og roter alle legitimationsoplysninger.
  5. Roter hemmeligheder
    • Nulstil alle admin- og redaktøradgangskoder.
    • Regenerer API-nøgler, servicetokens og eventuelle tredjeparts integrationshemmeligheder.
  6. Opdater og hårdned
    • Opdater Calculated Fields Form og alle andre plugins/themes/core.
    • Anvend hårdningstrin og WAF virtuelle patches beskrevet ovenfor.
  7. Overvåge
    • Hold forhøjet logging og overvågning aktiv i mindst to uger.
    • Overvåg for adminbrugere, der ser eller gemmer plugin-sider, og for gentagne mønstre af mistænkelige indsendelser.

Database- og WP‑CLI-kommandoer til undersøgelse

Nedenfor er sikre, skrivebeskyttede forespørgsler, du kan køre for at finde mistænkeligt indhold. Kør disse fra en sikker admin-konto eller via SSH med wp-cli:

  • Find mistænkelige plugin-relaterede postmeta eller indstillinger:
# Søg efter script-tags i postmeta"
  • Liste over nylige redigeringer af Contributor-rolle-konti (kræver aktivitetslogningsplugin eller forespørgsel mod posts-tabellen, hvor post_author er Contributor-bruger-ID'er):
# Find brugere med 'bidragyder' rolle

Rengøringsstrategi

– For hver mistænkelig post, der findes, eksportér rækken til et sikkert miljø og gennemgå. Hvis det kun indeholder godartet markup (f.eks. kort kode), er der ikke behov for handling. Hvis det inkluderer aktivt script eller mistænkelige attributter, fjern og sanitér det, og test derefter igen.

– Når der er tvivl, skal du gendanne hele plugin'ens indstillinger fra en kendt god backup før udnyttelsesdatoen.

– Efter rengøring, kør en fuld malware-scanning og filintegritetskontrol.

Anbefalinger til hærdning (langsigtet)

  1. Princippet om mindste privilegier
    • Vurder om bidragyderkonti har de evner, de har. Begræns hvem der kan oprette eller ændre plugin-indstillinger.
  2. Indholdsfiltrering
    • Hvor det er muligt, forbyd brugere med lav privilegium at indtaste rå HTML eller JS i plugin-indstillinger. Giv sanitære redaktører.
  3. Output-escaping
    • Plugin-udviklere bør altid undslippe dynamiske data ved output ved hjælp af passende funktioner (f.eks. esc_html(), esc_attr(), wp_kses_post() for tilladte tags). Webstedsejere bør foretrække plugins, der følger sikre kodningsmønstre.
  4. Brug sikkerhedshoveder
    • Implementer stærke HTTP-sikkerhedshoveder:
      • Content-Security-Policy (forbyd inline-scripts for admin-sider hvor det er praktisk)
      • X-Content-Type-Options: nosniff
      • X-Frame-Options: SAMEORIGIN
      • Referrer-Policy og Strict-Transport-Security
  5. Overvågning og logning
    • Aktivér aktivitetslogning for brugerhandlinger (hvem ændrede hvad og hvornår).
    • Overvåg adgang til admin-sider og usædvanlige mønstre (flere admin-sidevisninger fra lavprivilegerede IP'er osv.).
  6. Planlagt scanning og pentests
    • Kør periodiske sårbarhedsscanninger og, for højere værdi websteder, periodiske penetrationstest for at opdage problemer før angribere gør.

Om risiko og CVSS

Den rapporterede CVSS på 6.5 placerer denne sårbarhed i en medium alvorlighedsbånd. Men konteksten betyder noget: en gemt XSS, der udføres i administratorbrowserne, kan være en vektor til fuld kompromittering. Enhver sårbarhed, der giver klient-side udførelse i konteksten af en administrativ bruger, bør tages alvorligt.

Hvorfor en Web Application Firewall (WAF) betyder noget her

En korrekt konfigureret WAF giver flere fordele:

  • Virtuel patching: Du kan blokere kendte udnyttelsesmønstre med det samme, selvom du ikke kan anvende kodeopdateringer med det samme.
  • Ratebegrænsning & adgangskontrol: Begræns hvordan bidragydere interagerer med plugin-endepunkter.
  • Input-sanitization og indholdsblokering: Fjern eller blokér farlige payloads på indgående anmodninger.
  • Alarm: Udløs alarmer på mistænkelige payloads sendt til adminområdet.

WP‑Firewall specifikke handlinger og anbefalinger

Hos WP‑Firewall bygger vi lag af beskyttelse designet til at reducere tid-til-afbødning for trusler som denne:

  • Automatisk detektion af kendte sårbare plugin-signaturer og automatiserede regelsæt, der blokerer almindelige XSS-payloads rettet mod plugin-endepunkter.
  • Virtuelt patchede WAF-regler for højrisiko sårbarheder (anvendt så snart en valideret sårbarhed bliver offentlig).
  • Scanning og planlagte inspektioner af plugin-indstillinger og muligheder for mistænkelige HTML/script-konstruktioner.
  • Rollebevidste regler, der anvender strengere filtrering for anmodninger fra lavprivilegerede konti (f.eks. Bidragyder).
  • Incident response playbooks og logbeholdning for at støtte efter-hændelse undersøgelser.

Hvordan man prioriterer afhjælpning på tværs af mange websteder

Hvis du administrerer en flåde af websteder, prioriter afhjælpning baseret på eksponering og værdi:

  1. Websteder med offentlig registrering aktiveret og mange bidragyderkonti — fix først.
  2. Websteder med højt værdi admin-brugere (e-handel, medlemskab eller finansielle integrationer) — fix først.
  3. Websteder, der ikke har nylige sikkerhedskopier eller hvor admin-sessioner ikke er beskyttet af MFA — højere prioritet.

En praktisk prioriteringsplan:

  • Trin 1 (24 timer): Patch alle produktionswebsteder med plugin installeret til 5.4.5.1.
  • Trin 2 (48–72 timer): Revidér og rengør gemte formularindstillinger på tværs af alle websteder, roter admin-legitimationsoplysninger, aktiver 2FA for privilegerede konti.
  • Trin 3 (1–2 uger): Udrul WAF virtuelle patches og overvågning, kør fulde webstedsscanninger, og gennemgå adgangslogs.

Beskyt dit websted i dag med en gratis, kraftfuld WAF

Hvis du leder efter øjeblikkelig, administreret beskyttelse, mens du opdaterer og reviderer, tilbyder WP‑Firewall en gratis Basisplan, der leverer essentiel beskyttelse: en administreret webapplikationsfirewall (WAF), ubegribset båndbredde, malware-scanning og afbødning af OWASP Top 10-risici. Opgradering senere tilføjer automatiseret malwarefjernelse, IP tillad/block kontrol, automatisk virtuel opdatering, månedlige sikkerhedsrapporter og administrerede tjenester.

Tilmeld dig den gratis Basic plan her

Plan hurtig oversigt:

  • Grundlæggende (Gratis): Administreret firewall, ubegribelig båndbredde, WAF, malware-scanner, afhjælpning for OWASP Top 10.
  • Standard ($50/år): Tilføjer automatiseret malwarefjernelse og IP tillad/benægt lister (op til 20).
  • Pro ($299/år): Tilføjer månedlige sikkerhedsrapporter, automatisk sårbarheds virtuel opdatering, premium tilføjelser og administrerede tjenester.

Hvorfor bruge den gratis plan lige nu

  • Virtuel opdatering: Få regler, der blokerer kendte angrebsmønstre i dag.
  • Hurtig opdagelse: Advarsler og malware-scanninger prioriterer kritiske fund.
  • Lav friktion: Udrul hurtigt uden at ændre kode eller webstedets arbejdsgange.

Ofte stillede spørgsmål (FAQ)

Q: Mit websted bruger ikke Calculated Fields Form-pluginet. Er jeg påvirket?

A: Nej — denne specifikke sårbarhed påvirker kun versioner af Calculated Fields Form-pluginet ≤ 5.4.5.0. Dog er afbødningsstrategierne og detektionstrinene i dette indlæg anvendelige for andre plugins, der accepterer og gengiver brugerleveret HTML.

Q: Bidragsyderrollen er betroet på mit websted — skal jeg stadig være bekymret?

A: Ja. Enhver rolle, der kan gemme data, der vil blive gengivet i en admin-kontekst, er en potentiel vektor for gemt XSS. Begræns privilegier og håndhæv en godkendelsesarbejdsgang, hvor det er muligt.

Q: Kan indhold automatisk renses?

A: Ja — du kan rense gemte felter ved hjælp af server-side scripts, rengøringsrutiner eller WP-hooks. Men når det er muligt, anvend den upstream opdatering til pluginet. En WAF kan desuden rense eller blokere indgående payloads som et beskyttende lag.

Q: Vil en Content Security Policy (CSP) forhindre denne udnyttelse?

A: En striks CSP, der forbyder inline scripts og eksterne scriptkilder, kan stille og roligt blokere nogle injicerede scripts. Dog er CSP ikke en erstatning for at opdatere den underliggende sårbarhed — det er komplementært.

Afsluttende bemærkninger — proaktiv forsvar og operationel hygiejne

Gemt XSS i administrative kontekster er blandt de mere farlige sårbarhedsklasser, fordi det udnytter lokale tillidsforhold: brugeren er autentificeret, og indholdet kører i deres browser med de rettigheder, som brugeren har. Som forsvarere af WordPress-miljøer er vores opgave at kombinere hurtig opdatering, rolle-hygiejne, WAF-beskyttelse og robust overvågning.

Øjeblikkelig handlingscheckliste — gør disse nu:

  • Opdater Calculated Fields Form til 5.4.5.1.
  • Hvis du ikke kan opdatere med det samme, deaktiver pluginet eller begræns bidragsyders evner.
  • Kør de opdagelses SQL/WP‑CLI forespørgsler, der er vist ovenfor, for at finde mistænkeligt gemt indhold og fjerne det.
  • Tilføj WAF-regler for at blokere de mønstre, der er vist ovenfor, og anvend virtuel patching.
  • Rotér admin-legitimationsoplysninger og aktiver 2FA.
  • Overvåg adgang til admin-siden og indstil alarmer for mistænkelige indlæsninger af admin-sider eller POSTs.

Hvis du har brug for hjælp

Hvis du har brug for praktisk hjælp til detektion, rengøring eller anvendelse af virtuelle patches, tilbyder WP‑Firewall's team administrerede tjenester og nødberedskab skræddersyet til WordPress-miljøer. Vores gratis Basisplan er en hurtig måde at få grundlæggende beskyttelse, mens du arbejder med afhjælpningstrin: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Bilag — Sikker søgemønstre og overvågningsregler

Søgemønstre, du kan bruge i scannere eller logfiler (ikke-udtømmende):

  • “<script” (case-insensitiv)
  • “javascript:” brugt inden i attributter eller URL'er
  • “on[a-z]+” attributter (onload, onerror, onclick osv.)
  • “data:image/svg+xml” med indlejret script eller onload-attributter
  • Usædvanligt lange JSON-kodede strenge i plugin-indstillingsfelter

Forslag til logovervågning:

  • Alarm når bidragydere indsender formularer eller indstillingssider i admin UI
  • Alarm når admin-brugere ser plugin-indstillinger, der indeholder mistænkelige mønstre
  • Alarm ved plugin-opdateringsbegivenheder eller hvis plugin-filer ændres uden for normale vedligeholdelsesvinduer

Sidste påmindelse

Patch først. Revider og rengør derefter. Brug lagdelte forsvar (WAF + mindst privilegium + overvågning) for at reducere angrebsoverfladen. Gemte XSS kan være subtile, men med en procesdrevet, målt respons kan du hurtigt minimere blast-radius og forhindre kompromittering af administrator-sessioner. Hvis du ønsker en hurtig, administreret WAF til at implementere virtuelle patches og blokere almindelige XSS-mønstre gratis i dag, besøg https://my.wp-firewall.com/buy/wp-firewall-free-plan/ og bliv beskyttet på få minutter.

wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.

Kontakt os for at aftale en gratis WordPress-sikkerhedskonsultation

Kontakt os

WP-firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Funktioner Prissætning Blog Log ind
Privatlivspolitik Servicevilkår Dokumenter Affiliate

© 2026 WP-Firewall™