Minderung von gebrochener Authentifizierung im Restrict Content Plugin//Veröffentlicht am 2026-03-20//CVE-2026-4136

WP-FIREWALL-SICHERHEITSTEAM

WordPress Restrict Content Plugin Vulnerability

Plugin-Name WordPress Restrict Content Plugin
Art der Schwachstelle Gebrochene Authentifizierung
CVE-Nummer CVE-2026-4136
Dringlichkeit Niedrig
CVE-Veröffentlichungsdatum 2026-03-20
Quell-URL CVE-2026-4136

Gebrochene Authentifizierung in Restrict Content (≤ 3.2.24) — Was Website-Besitzer wissen müssen und wie man WordPress schützt

Letzte Aktualisierung: 20. März 2026

Eine kürzlich offengelegte Schwachstelle im Restrict Content WordPress-Plugin (betroffene Versionen ≤ 3.2.24) ermöglicht es einem nicht authentifizierten Angreifer, den Passwortzurücksetzungsfluss über einen nicht validierten rcp_redirect Parameter zu beeinflussen. Das Problem wird als CVE‑2026‑4136 verfolgt und als “Gebrochene Authentifizierung / Nicht validierte Weiterleitung” klassifiziert. Obwohl es als geringfügig eingestuft ist (CVSS 4.3), kann diese Art von Fehler ein mächtiger Ermöglichungsvektor in gezielten Social-Engineering-Kampagnen und Massenphishing-Angriffen sein, die zu Credential-Diebstahl und Kontoübernahme führen.

Als WordPress-Sicherheitsteam möchten wir Ihnen eine praktische, fachkundige Analyse bieten: was diese Schwachstelle ist, reale Ausnutzungsszenarien, wie man Anzeichen von Missbrauch erkennt, sofortige Milderungen, die Sie jetzt anwenden können (mit und ohne Updates), und Empfehlungen zur Härtung, damit Ihre Seite in Zukunft geschützt bleibt.

Notiz: Der Plugin-Autor hat einen Patch in Version 3.2.25 veröffentlicht. Ein Update ist die primäre empfohlene Maßnahme. Wenn Sie nicht sofort aktualisieren können, wenden Sie die untenstehenden Milderungen an.

Zusammenfassung (schnelle Erkenntnisse)

  • Schwachstelle: Nicht validierte Weiterleitung im Passwortzurücksetzungsfluss über den rcp_redirect Parameter (Restrict Content ≤ 3.2.24).
  • CVE: CVE‑2026‑4136
  • Auswirkungen: Gebrochene Authentifizierung / Phishing-Erleichterung — kann im Social Engineering verwendet werden, um Anmeldeinformationen zu ernten oder Konten zu übernehmen.
  • Betroffene Versionen: ≤ 3.2.24
  • Gepatcht in: 3.2.25
  • Erforderliches Privileg: Keines — nicht authentifiziert. Allerdings beruht die Ausnutzung typischerweise darauf, einen Benutzer zu täuschen (Social Engineering).
  • Sofortige Maßnahmen: auf 3.2.25 aktualisieren oder WAF/virtuellen Patch anwenden, um den rcp_redirect Parameter zu blockieren oder zu bereinigen; MFA für hochprivilegierte Konten durchsetzen; erfordern, dass Administratoren Rücksetzlinks überprüfen, bevor sie handeln.

Was ist eine “nicht validierte Weiterleitung” und warum sollten Sie sich darum kümmern?

Passwortzurücksetzungsflüsse akzeptieren häufig einen “Weiterleitungs”-Parameter, um den Benutzer nach einem erfolgreichen Zurücksetzen auf eine gewünschte Seite zu senden. Wenn die Anwendung nicht streng validiert, dass das Weiterleitungsziel eine lokale, vertrauenswürdige URL ist, kann ein Angreifer einen Passwortzurücksetzungslink erstellen, der den Benutzer nach Abschluss auf eine vom Angreifer kontrollierte Seite weiterleitet. Kombiniert mit Phishing-Inhalten auf dieser bösartigen Seite können Benutzer (einschließlich Administratoren) dazu verleitet werden, Anmeldeinformationen, Einmal-Token oder andere sensible Informationen erneut einzugeben — was zu einer Kontoübernahme führt.

Gebrochene Authentifizierung in diesem Kontext bedeutet nicht unbedingt, dass das Plugin eine direkte Kontoübernahme ohne Benutzerinteraktion zulässt. Stattdessen schwächt es den Authentifizierungsfluss und schafft einen realistischen Weg für die Kompromittierung von Konten, wenn es mit Social Engineering oder zusätzlichen Schwächen kombiniert wird.

Wie ein Angreifer diese Schwachstelle ausnutzen könnte (hochrangig)

  1. Der Angreifer erstellt einen Link zum Zurücksetzen des Passworts für eine Zielseite, der rcp_redirect auf eine von ihm kontrollierte URL verweist.
  2. Der Angreifer sendet diesen Link per E-Mail oder Nachricht an einen Benutzer oder Administrator der Seite und stellt ihn als legitimes Zurücksetzen dar (Phishing).
  3. Der Benutzer klickt auf den Link und schließt den Zurücksetzungsprozess ab. Nach dem Zurücksetzen wird die Seite auf die Angreifer-URL umgeleitet (weil rcp_redirect nicht validiert wurde).
  4. Die Angreiferseite präsentiert eine überzeugende Seite (z. B. “Ihr Konto muss erneut verifiziert werden” oder eine gefälschte Anmeldeaufforderung), um Anmeldeinformationen oder Tokens zu sammeln.
  5. Wenn das Ziel Anmeldeinformationen oder sensible Tokens bereitstellt, kann der Angreifer diese verwenden, um auf das WordPress-Admin oder andere verknüpfte Dienste zuzugreifen.

Notiz: Angreifer können dies auch mit kompromittierten E-Mail-Konten, zuvor geleakten Anmeldeinformationen oder anderen Aufklärungsmaßnahmen kombinieren, um die Erfolgsquote zu maximieren.

Realistische Risikobewertung

  • Potenzial für Massenexploit: moderat. Diese Schwachstelle ist technisch trivial auszunutzen, aber die Ausnutzung beruht auf sozialer Manipulation (Phishing). Automatisierte Kampagnen können jedoch große Mengen an Phishing-E-Mails und Links generieren, um Benutzer über viele Seiten hinweg zu ködern.
  • Auswirkungen pro Seite: niedrig bis hoch, abhängig davon, ob privilegierte Benutzer (Administratoren) hereingelegt werden. Wenn ein Administrator oder Redakteur erfolgreich ins Visier genommen wird, könnte die Folge eine vollständige Übernahme der Seite sein.
  • Öffentliche Ausnutzbarkeit: moderat — da die Schwachstelle nicht authentifiziert ist und leicht in Phishing-Waffen umgewandelt werden kann, werden Angreifer wahrscheinlich versuchen, sie in großem Maßstab auszunutzen, es sei denn, die Seiten patchen oder schützen sich selbst.

Indikatoren für Kompromittierung (IoC) und worauf man achten sollte

Protokolle und Telemetrie auf die folgenden Anzeichen überwachen:

  • HTTP-Anfragen, die rcp_redirect Abfrageparameter enthalten, die auf externe Domains verweisen, z. B.:
    • GET /wp-login.php?rcp_redirect=https://malicious.example
    • Jede POST/GET-Anfrage an Endpunkte zum Zurücksetzen des Passworts mit verdächtigen rcp_redirect Werte
  • Plötzlicher Anstieg von Passwortzurücksetzungsanfragen für spezifische Konten (insbesondere Administratorkonten)
  • Ungewöhnliche IPs, die wiederholt Passwortzurücksetzungsabläufe durchführen
  • Weiterleitungen, die in den Serverprotokollen aufgezeichnet wurden und kurz nach einer Passwortzurücksetzung auf externe Domains landen
  • Unerklärte neue Administratorkonten oder Privilegieneskalationen
  • Webserverprotokolle zeigen POST/GET mit Muster rcp_action=passwort_zurücksetzen (oder ähnlich) begleitet von externen Weiterleitungen
  • Benutzerberichte über verdächtige Seiten, die unmittelbar nach der Passwortzurücksetzung angezeigt werden

Wenn Sie eines der oben genannten sehen, behandeln Sie es als hohe Priorität für die Untersuchung.

Sofortige Maßnahmen (Schritt-für-Schritt)

  1. Aktualisieren Sie das Plugin sofort auf die gepatchte Version (3.2.25).

    • Dies ist die sicherste und empfohlene Lösung: Der Plugin-Autor hat die Validierungslogik behoben.
  2. Wenn Sie nicht sofort aktualisieren können, wenden Sie WAF/virtuelle Patchregeln an, um Missbrauch zu blockieren rcp_redirect.

    • Blockieren Sie jede Anfrage, die einen rcp_redirect Parameter enthält, der auf einen externen (nicht-Website) Host verweist.
    • Blockieren rcp_redirect Werte, die mit http:, https:, oder //.
    • Bereinigen oder entfernen Sie rcp_redirect Werte serverseitig, bevor die Anfrage verarbeitet wird.
  3. Erfordern oder erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) für alle Administrator- und privilegierten Konten.

    • MFA verhindert, dass das Sammeln von Anmeldeinformationen zu einem Kompromiss von Administratoren führt, selbst wenn Anmeldeinformationen gefischt werden.
  4. Begrenzen Sie die Anzahl der Passwortzurücksetzungsendpunkte und fügen Sie CAPTCHA für Rücksetzanforderungen von nicht vertrauenswürdigen IPs hinzu.

    • Verhindert die massenhafte Automatisierung von Rücksetzversuchen.
  5. Kommunizieren Sie mit Ihren Benutzern/Administratoren: Warnen Sie sie, keine Anmeldeinformationen auf Drittanbieter-Seiten einzugeben, die nach einem Reset erreicht werden, und die verwiesene Domain zu überprüfen, bevor sie sensible Daten eingeben.
  6. Wenn Sie verdächtige Aktivitäten feststellen, zwingen Sie eine Passwortzurücksetzung für Administratorbenutzer, ungültig machen von Sitzungen und rotieren Sie Anmeldeinformationen.

Wie eine Web Application Firewall (WAF) wie WP-Firewall Sie schützen kann

Eine WAF bietet sofortigen, nahezu Echtzeitschutz, während Sie Plugin-Updates planen und durchführen. Wichtige Vorteile:

  • Virtuelles Patchen: Erstellen Sie eine Regel, die bösartige rcp_redirect Werte blockiert und eine Ausnutzung verhindert, selbst wenn das Plugin anfällig bleibt.
  • Anforderungsvalidierung und -bereinigung: Überprüfen und normalisieren Sie Parameter, bevor der WordPress-Code ausgeführt wird.
  • Ratenbegrenzung, Bot-Erkennung und Challenge/Response (CAPTCHA) am Rand: Blockieren Sie automatisierte Ausnutzungsversuche.
  • Protokollierung und Alarmierung: Erkennen Sie verdächtige Muster wie Spitzen bei Rücksetzanforderungen oder Weiterleitungsversuchen.

Im Folgenden finden Sie praktische WAF-Regelbeispiele und Strategien (in defensiver Form präsentiert, damit sie in verwalteten WAFs, mod_security, Nginx oder pluginbasierten Firewalls implementiert werden können).

Vorgeschlagene WAF-/Serverregeln (defensive Muster)

Notiz: Passen Sie diese Beispiele an Ihre Umgebung an. Das Ziel ist es, Anfragen abzulehnen, die rcp_redirect auf eine andere Domain als Ihre eigene verweisen oder potenziell bösartige Konstrukte enthalten.

  1. Generische Pseudo-Regel (konzeptionell)
    Wenn die Anfrage den Parameter enthält rcp_redirect UND der Wert enthält http: oder https: oder // oder einen Hostnamen, der nicht mit Ihrem Site-Host übereinstimmt, dann blockieren und protokollieren.
  2. Apache/mod_security-Regel (Beispiel) 
    # Blockiere externe rcp_redirect Ziele"

    (Passen Sie die Regelbezeichnungen und die Syntax an Ihre mod_security-Engine an; testen Sie vor der Produktion.)

  3. Nginx (Beispiel) 
    # Im Serverblock (Pseudo)

    (Verwenden Sie return 444 um die Verbindung stillschweigend zu schließen, oder 403 wenn Sie eine explizite Antwort bevorzugen.)

  4. WordPress PHP-Härtungs-Snippet (vorübergehend)
    Fügen Sie es einem MU-Plugin oder der functions.php des Themas hinzu (nur als Übergangslösung):

    <?php

    Dieser Code neutralisiert externe Weiterleitungen, bevor das Plugin das Parameter verwendet. Verwenden Sie dies nur, während Sie sich auf ein richtiges Plugin-Update vorbereiten.

  5. Blockiere gängige Phishing-Muster
    • Lehnen Sie Anfragen ab, bei denen rcp_redirect Domains enthalten sind, die für Credential-Phishing bekannt sind.
    • Erzwingen Content-Security-Policy auf Admin-Seiten, um externe Inhalte zu beschränken.

Testen Sie alle Regeln in der Staging-Umgebung, bevor Sie sie in der Produktion anwenden. Protokollierung ist entscheidend - blockieren und aufzeichnen, damit Sie die Versuche überprüfen können.

Erkennungsregeln und Protokollierungsanleitung

Erstellen Sie Alarme für:

  • Anfragen mit querykey rcp_redirect bei denen der Zielhost != Site-Host ist.
  • Passwort-Zurücksetzen-Endpunkt (z.B., ?rcp_action=reset oder plugin-spezifische Zurücksetz-URIs) mehr als N Mal von einer einzelnen IP innerhalb von M Minuten aufgerufen werden.
  • Konto-Sperrungen oder Anstiege fehlgeschlagener Anmeldungen nach Passwort-Zurücksetz-Weiterleitungen.
  • Jede Weiterleitungskette, die unmittelbar nach einem Reset bei externen Hosts endet (korrelieren Sie Rücksetzzeiten und Zeitstempel der Weiterleitungsziele).

Beispiel SIEM-Abfrage (konzeptionell):

  • Durchsuchen Sie Webprotokolle: request_uri:*rcp_redirect* UND (rcp_redirect:*http* ODER rcp_redirect:*//* )
  • Korrelieren mit Passwort zurücksetzen E-Mail-Ereignissen oder mit erfolgreichen POST zum Zurücksetzen-Endpunkt.

Die Alarmierung bei diesen Anzeichen hilft Ihnen, Angriffe zu blockieren und die Incident-Response früher zu starten.

Incident-Response: Wenn Sie denken, dass Sie kompromittiert wurden

  1. Isolieren Sie sofort den Vorfall:
    • Ändern Sie die Admin-Passwörter und erzwingen Sie MFA für alle privilegierten Konten.
    • Ungültig machen bestehender Sitzungen und Authentifizierungscookies zurücksetzen, wo möglich.
  2. Schließen Sie die Sicherheitsanfälligkeit: Aktualisieren Sie Restrict Content auf Version 3.2.25 oder höher.
  3. Überprüfen Sie auf Persistenz:
    • Überprüfen wp_users, wp_options, Uploads und Theme/Plugin-Dateien auf unbefugte Admin-Konten, Skripte oder modifizierte Dateien.
    • Suchen Sie nach verdächtigen PHP-Dateien in wp-content/uploads, Hintertür-Web-Shells oder geplanten Aufgaben (wp_cron-Einträge).
  4. Stellen Sie von einem bekannten guten Backup wieder her, wenn persistente Änderungen festgestellt werden und nicht behoben werden können.
  5. Rotieren Sie alle API-Schlüssel, Anmeldeinformationen von Drittanbietern und OAuth-Token, die möglicherweise exponiert wurden.
  6. Sammeln Sie Protokolle und Zeitplandaten für forensische Analysen und um den Umfang zu verstehen.
  7. Benachrichtigen Sie betroffene Benutzer und Interessengruppen, wie es die Richtlinie oder das Gesetz vorschreibt.
  8. Ziehen Sie in Betracht, professionelle Incident-Response-Services in Anspruch zu nehmen, wenn der Vorfall kritische Dienste betrifft oder auf Kundendaten übergreift.

Empfehlungen zur Verbesserung der Sicherheitsmaßnahmen zur Reduzierung ähnlicher Risiken

  • Wenden Sie Updates umgehend an. Halten Sie den WordPress-Kern, Plugins und Themes auf dem neuesten Stand. Wenn automatische Updates für Ihre Umgebung riskant sind, planen Sie ein wöchentliches Update-Fenster mit Backups.
  • Erfordern Sie Multi-Faktor-Authentifizierung für alle Administratoren und privilegierten Benutzer.
  • Begrenzen Sie die Anzahl der Benutzer mit Administratorrechten und wenden Sie das Prinzip der minimalen Berechtigung an.
  • Verwenden Sie eine verwaltete WAF mit virtueller Patchung für Zero-Day-Abdeckung und um Parametermissbrauch zu blockieren.
  • Sanitieren und validieren Sie alle Eingaben serverseitig und erzwingen Sie eine strenge Zulassungsliste für Weiterleitungsziele.
  • Verwenden Sie Ratenbegrenzung und CAPTCHA an Endpunkten für Passwortzurücksetzungen und Authentifizierung.
  • Aktivieren Sie die Überwachung der Dateiintegrität (FIM) und geplante Malware-Scans.
  • Pflegen Sie eine sichere Backup-Strategie mit Offline- oder unveränderlichen Backups.
  • Überwachen Sie Protokolle und setzen Sie Alarme für Rücksetz- und Anmeldeanomalien.
  • Erzwingen Sie starke Passwortrichtlinien und verwenden Sie einen Passwortmanager.
  • Härten Sie die PHP/WordPress-Einstellungen: Deaktivieren Sie die Dateibearbeitung im Admin (DISALLOW_FILE_EDIT), deaktivieren Sie die PHP-Ausführung in Upload-Verzeichnissen, setzen Sie sichere Dateiberechtigungen.

Warum Sie sich nicht auf eine einzige Kontrolle verlassen sollten

Sicherheit ist geschichtet. Das Patchen des Plugins behebt die Grundursache, aber ergänzende Schutzmaßnahmen (MFA, WAF, Ratenbegrenzung, Benutzerschulung) verringern erheblich die Wahrscheinlichkeit und die Auswirkungen einer erfolgreichen Ausnutzung. Ein Angreifer wird oft mehrere Schwächen (z. B. nicht validierte Weiterleitung + Phishing + wiederverwendetes Passwort) kombinieren, um sein Ziel zu erreichen – daher ist Verteidigung in der Tiefe wichtig.

Praktischer Zeitplan für Website-Besitzer (empfohlene Maßnahmen in der Reihenfolge)

  1. Aktualisieren Sie Restrict Content auf 3.2.25 oder höher (sofort).
  2. Wenn das Update nicht innerhalb von 24–48 Stunden durchgeführt werden kann:
    • Temporäre WAF-Regel(n) bereitstellen, um zu neutralisieren rcp_redirect.
    • CAPTCHA oder Ratenbegrenzung zu Reset-Endpunkten hinzufügen.
  3. MFA für Administratoren und privilegierte Konten durchsetzen (innerhalb von 72 Stunden).
  4. Protokolle auf verdächtige Aktivitäten überprüfen und Konten bei Bedarf sperren.
  5. Langfristige Härtung anwenden: Dateiintegrität, geplante Scans, Backups, geringste Privilegien.

Beispiel: Wie WP-Firewall dies mindert (verwalteter Schutz)

Als Anbieter einer verwalteten WordPress-Firewall verfolgen wir einen mehrschichtigen Ansatz:

  • Schnelles virtuelles Patchen — innerhalb von Minuten nach der Offenlegung der Schwachstelle kann eine gezielte Regel angewendet werden, um Anfragen zu blockieren, die ein externes rcp_redirect oder bösartiges Umleitungsmuster enthalten.
  • Abgestimmte Regelsets — Regeln sind so abgestimmt, dass sie Fehlalarme vermeiden, während sie Angriffsverkehr blockieren (blockieren Sie externe Umleitungsmuster nur für Passwort-Reset-Flows, erlauben Sie legitime interne Umleitungen).
  • Ratenbegrenzung und Bot-Minderung — blockieren Sie großangelegte automatisierte Ausnutzungsversuche und Credential Stuffing.
  • Angriffsübersicht — wir bieten Alarmierung und detaillierte Protokolle, damit Administratoren nachverfolgen und Ermittlungen durchführen können.
  • Unterstützung bei der Nachbearbeitung nach einem Angriff — Anleitung und Schritte zur Bereinigung und Wiederherstellung betroffener Seiten.

Wenn Sie bereits eine verwaltete Firewall haben, die Ihre Seite schützt, bieten virtuelle Patches und gezielte WAF-Regeln sofortigen Schutz, während Sie aktualisieren und härten.

Beispiel für eine defensive Checkliste für WordPress-Seitenbesitzer

  • Aktualisieren Sie das Restrict Content-Plugin sofort auf 3.2.25.
  • Stellen Sie sicher, dass jeder Administrator MFA aktiviert hat.
  • Fügen Sie eine WAF-Regel hinzu, um externe rcp_redirect Ziele zu blockieren, wenn das Update verzögert wird.
  • Überprüfen Sie die Protokolle des Webservers auf rcp_redirect Parameter in den letzten 30 Tagen.
  • Erzwingen Sie die Zurücksetzung des Passworts und überprüfen Sie die Anmeldesitzungen für Administratorbenutzer, wenn verdächtige Aktivitäten festgestellt werden.
  • Führen Sie einen vollständigen Malware-Scan und eine Überprüfung der Dateiintegrität durch.
  • Überprüfen Sie, ob Backups vorhanden und wiederherstellbar sind.
  • Begrenzen Sie die Anzahl der Administratorbenutzer und wenden Sie Rollen mit minimalen Rechten an.
  • Schulen Sie das Personal über Phishing: Geben Sie niemals Anmeldeinformationen auf einer unbekannten Domain ein, überprüfen Sie den Domainnamen sorgfältig.

Schützen Sie Ihre Seite noch heute – beginnen Sie mit dem WP‑Firewall Kostenlosen Plan.

Der Schutz von WordPress-Seiten erfordert praktische, sofortige Schutzmaßnahmen sowie langfristige Härtung. Wenn Sie eine schnelle, verwaltete Verteidigungsebene wünschen, die hilft, diese Art von Schwachstelle zu blockieren, während Sie aktualisieren und härten, ziehen Sie in Betracht, sich für unser kostenloses Angebot anzumelden.

Schützen Sie Ihr WordPress heute — Beginnen Sie mit dem WP‑Firewall Kostenlosen Plan

Unser Basisplan (kostenlos) bietet grundlegenden Schutz für alle WordPress-Seiten: eine verwaltete Firewall mit unbegrenzter Bandbreite, ein WAF, das darauf abgestimmt ist, gängige und plugin-spezifische Exploit-Muster zu blockieren, einen Malware-Scanner und Maßnahmen gegen die OWASP Top 10 Risiken. Er ist ideal, wenn Sie sofortigen, kostenfreien Schutz benötigen, während Sie Plugins patchen und langfristige Sicherheitsarbeiten planen. Erfahren Sie hier mehr und melden Sie sich für den kostenlosen Plan an: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Für Teams, die mehr Automatisierung und praktische Behebung wünschen, fügen unsere kostenpflichtigen Pläne automatische Malware-Entfernung, IP-Blacklist/Whitelist-Kontrolle, virtuelle Schwachstellen-Patchings, monatliche Sicherheitsberichte und verwaltete Sicherheitsdienste hinzu.)

Schlussgedanken

Diese Schwachstelle in Restrict Content unterstreicht ein wiederkehrendes Thema in der WordPress-Sicherheit: Relativ kleine Validierungsfehler können überzeugendes Social Engineering ermöglichen, das zu hochwirksamen Ergebnissen führt. Der schnellste Schutz besteht darin, das Plugin-Update anzuwenden. Wenn das nicht sofort möglich ist, geben Ihnen ein verwaltetes WAF und die oben genannten Maßnahmen Zeit, sicher zu aktualisieren und das Risiko zu reduzieren.

Wenn Sie Hilfe bei der Umsetzung der hier beschriebenen Maßnahmen benötigen — beim Erstellen von WAF-Regeln, Anwenden von virtuellen Patches, Überprüfen von Protokollen oder Wiederherstellen nach einem verdächtigen Ereignis — kann unser Team bei der praktischen Behebung und fortlaufenden Überwachung helfen.

Bleiben Sie wachsam, patchen Sie schnell und übernehmen Sie mehrschichtige Schutzmaßnahmen — das ist der zuverlässigste Weg, um WordPress-Seiten gegen sich entwickelnde Bedrohungen zu schützen.

Wenn Sie eine prägnante Implementierungscheckliste oder eine maßgeschneiderte Regel wünschen, die wir auf Ihrer Seite anwenden können, fordern Sie eine an, wenn Sie sich für den kostenlosen Plan anmelden unter https://my.wp-firewall.com/buy/wp-firewall-free-plan/ — wir helfen Ihnen, schnell geschützt zu werden.

wordpress security update banner

Erhalten Sie WP Security Weekly kostenlos 👋
Jetzt anmelden!!

Melden Sie sich an, um jede Woche WordPress-Sicherheitsupdates in Ihrem Posteingang zu erhalten.

Wir spammen nicht! Lesen Sie unsere Datenschutzrichtlinie für weitere Informationen.

Kontaktieren Sie uns, um eine kostenlose Beratung zur WordPress-Sicherheit zu vereinbaren

Kontaktieren Sie uns

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Merkmale Preise Der Blog Login
Datenschutzrichtlinie Servicebedingungen Dokumentation Partnerprogramm

© 2026 WP-Firewall™