Vulnerabilidad Crítica de Espacios de Trabajo Turbo NPM Descubierta//Publicado el 2026-05-20//CVE-2026-45772

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Turbo Workspaces CVE-2026-45772

Nombre del complemento @turbo/workspaces
Tipo de vulnerabilidad Ejecución remota de código
Número CVE CVE-2026-45772
Urgencia Alto
Fecha de publicación de CVE 2026-05-20
URL de origen CVE-2026-45772

NPM: Turbo ( @turbo/workspaces ) — Ejecución de código local inesperada durante la detección de Yarn Berry (CVE-2026-45772)

Una guía experta para propietarios de sitios de WordPress, desarrolladores y anfitriones

TL;DR

  • Una vulnerabilidad de alta gravedad en la cadena de suministro (CVE-2026-45772 / GHSA-3qcw-2rhx-2726) que afecta al paquete NPM @turbo/workspaces (herramientas Turbo / Turborepo) puede llevar a la ejecución de código local inesperada durante la detección de entornos Yarn Berry (Yarn 2+).
  • Versiones afectadas: >= 2.3.4, < 2.9.14 — corregido en 2.9.14.
  • Impacto en WordPress: aunque este es un problema del ecosistema npm (no un error de plugin de WordPress), los sitios de WordPress pueden estar expuestos a través de pipelines de desarrollo, construcción y despliegue, CI/CD, construcciones del lado del anfitrión y cualquier entorno que ejecute herramientas de node en servidores que tengan acceso a activos de producción, credenciales o ganchos de despliegue.
  • Acciones inmediatas: actualizar @turbo/workspaces a 2.9.14 o posterior en todos los lugares (desarrollo local, CI, imágenes de construcción), bloquear/fijar dependencias, auditar pipelines y almacenes de artefactos, rotar secretos si las máquinas de CI o construcción no son de confianza, y escanear sus repositorios y servidores en busca de signos de compromiso.
  • WP-Firewall puede ayudar a detectar y mitigar el comportamiento posterior a la explotación en sitios de WordPress (WAF gestionado, escáner de malware, parcheo virtual y monitoreo). Vea los detalles y una oferta de plan gratuito a continuación.

Por qué una vulnerabilidad en un paquete de Node es importante para WordPress

La mayoría de los usuarios de WordPress piensan en PHP, plugins y temas cuando consideran la seguridad. Pero el desarrollo y las operaciones modernas de WordPress incluyen frecuentemente herramientas de Node.js:

  • Los procesos de construcción de temas y plugins utilizan Node (npm/yarn) para agrupar activos JS/CSS.
  • Las construcciones estáticas, los sitios de WordPress sin cabeza y los activos del editor de bloques dependen de npm.
  • Los pipelines de CI/CD a menudo ejecutan npm/yarn en ejecutores de construcción que tienen acceso a credenciales de despliegue.
  • Algunos anfitriones y plataformas de despliegue gestionadas ejecutan pasos de construcción en su infraestructura.

Una vulnerabilidad que permite la ejecución de código local en una herramienta de desarrollo ampliamente utilizada puede, por lo tanto, ser utilizada para plantar malware en construcciones, extraer secretos de entornos de construcción o realizar movimientos laterales en sistemas de producción. La gravedad se amplifica cuando los agentes de construcción tienen acceso a credenciales de producción, claves SSH o tokens de despliegue automatizados.

Qué es la vulnerabilidad (lenguaje sencillo)

La vulnerabilidad está en el @turbo/workspaces paquete NPM y ocurre durante la detección automática de entornos Yarn Berry (Yarn v2+). Durante esa rutina de detección, se puede ejecutar código no confiable o malicioso localmente en la máquina que ejecuta la detección — por ejemplo, una laptop de desarrollador, un ejecutor de CI o un servidor de construcción del lado del anfitrión.

Debido a que esto sucede antes de las verificaciones genuinas en el tiempo de construcción o el aislamiento en muchas configuraciones, se puede aprovechar para:

  • Ejecutar comandos locales arbitrarios.
  • Modificar archivos (incluyendo fuente, archivos de bloqueo, artefactos construidos).
  • Robar secretos a los que el agente de construcción puede acceder.
  • Persistir una puerta trasera en los artefactos generados que luego se despliegan en sitios de WordPress en producción.

La vulnerabilidad fue calificada altamente (CVSS 9.8) porque puede ser activada por actividad de red, no requiere privilegios, tiene baja complejidad para activarse y podría llevar a un compromiso remoto a gran escala si los atacantes modifican paquetes o el registro.

Identificadores de referencia: CVE-2026-45772, GHSA-3qcw-2rhx-2726. Corregido en @turbo/workspaces 2.9.14.

Quién debería estar más preocupado

  • Desarrolladores de temas y plugins que ejecutan npm/yarn localmente y en CI.
  • Ingenieros de DevOps y de plataformas que gestionan ejecutores de construcción o repositorios de artefactos.
  • Hosts de WordPress gestionados que realizan procesos de tiempo de construcción en nombre de los clientes.
  • Agencias que mantienen pipelines de CI/CD para muchos sitios de clientes.
  • Propietarios de sitios que permiten acceso de terceros a repositorios o tokens de despliegue.

Incluso si su sitio de WordPress en producción no ejecuta Node directamente, su pipeline de construcción podría producir un artefacto (JS/CSS) o instalador (zip) que incluye código malicioso inyectado durante el tiempo de construcción. Ese artefacto es lo que finalmente se despliega en el sitio — y un WAF o escáner que solo verifica los archivos PHP de WordPress en ejecución podría perder JS ingeniosamente incrustado o puertas traseras añadidas en el tiempo de construcción.

Escenarios de ataque — cómo esto podría ser abusado en la práctica

  1. Dependencia transitiva comprometida o secuestro de registro
    Un atacante planta código malicioso en un paquete que se incorpora como una dependencia transitiva. Cuando @turbo/workspaces ejecuta la lógica de detección de Yarn en un ejecutor de CI, esa carga maliciosa se ejecuta localmente y modifica los artefactos de construcción antes del despliegue.
  2. Paquete malicioso en monorepo
    En un monorepo que utiliza turborepo, un desarrollador malicioso (o cuenta comprometida) introduce un paquete que explota la rutina de detección. Durante CI, el código se ejecuta y exfiltra secretos o escribe una puerta trasera en activos destinados a un sitio de WordPress.
  3. Compromiso de ejecutor de CI público
    Código no autorizado se ejecuta en ejecutores compartidos con amplio acceso (almacenes de artefactos, credenciales de Docker hub, claves de despliegue). El atacante utiliza la ejecución de código local para robar tokens y activar despliegues que contienen el artefacto malicioso.
  4. Construcciones del lado del host
    Algunos hosts ejecutan pasos de construcción en su infraestructura cuando un usuario envía un cambio. Si el proceso de construcción del lado del host se ejecuta @turbo/workspaces La lógica de detección de manera insegura, el entorno host (y cualquier sitio de inquilino) puede estar expuesto.
  5. Compromiso de la máquina del desarrollador que conduce a un ataque de cadena de suministro.
    La laptop de un desarrollador se utiliza para realizar compilaciones y publicar artefactos. La ejecución de código local se utiliza para comprometer o publicar paquetes con cargas ocultas que luego infectan artefactos oficiales.

Causa raíz técnica (de alto nivel, no exhaustiva).

La vulnerabilidad se centra en la rutina de detección para Yarn Berry. Cuando el paquete intenta determinar si Yarn Berry está en uso, su lógica de detección puede ejecutar código no confiable o seguir archivos no confiables de maneras que permiten que se ejecute código arbitrario en el entorno local. Los detalles exactos son detalles de implementación en el paquete; el efecto práctico es que entradas no confiables o contenidos del paquete pueden causar la ejecución de código en el ejecutor de detección.

Debido a que la detección ocurre temprano en muchos flujos de trabajo de compilación y a menudo bajo los mismos privilegios que otros pasos de compilación, la superficie de ataque es significativa.

Evaluación de riesgos para entornos de WordPress.

  • CVSS: 9.8 (crítico/alta severidad).
  • Privilegio requerido: Ninguno (el atacante puede activar a través de la red o la cadena de suministro).
  • Complejidad: Baja (el proceso de compilación típico activa la detección).
  • Impacto: Ejecución remota de código en el agente de compilación, potencial para un amplio compromiso de la cadena de suministro.

Para un sitio de WordPress, el verdadero vector de riesgo no es el código PHP en tiempo de ejecución en sí, sino la integridad de los activos y los artefactos de implementación. Un proceso de compilación comprometido puede insertar puertas traseras en el código distribuido, ocultar JS malicioso en temas/plugins, o modificar scripts de implementación para que los entornos de producción sean posteriormente atacados.

Acciones inmediatas (qué hacer hoy).

  1. Actualizar @turbo/workspaces a 2.9.14 o posterior. donde sea que se utilice — máquinas de desarrollo locales, imágenes de Docker, imágenes de compilación de CI y cualquier infraestructura de compilación del lado del servidor.
    • En package.json o herramientas de monorepo, aumenta la versión o ejecuta el comando de actualización de tu gestor de dependencias.
  2. Fijar/bloquear tus dependencias. para que las instalaciones transitorias sean reproducibles:
    • Asegúrate de que los archivos de bloqueo (yarn.lock / package-lock.json) estén comprometidos y utilizados por CI.
    • Usar npm ci o yarn --frozen-lockfile. en CI para hacer cumplir la integridad del archivo de bloqueo.
  3. Reconstruir y volver a implementar activos después de actualizar las dependencias.
  4. Inspeccionar artefactos de construcción y repositorios para cambios inesperados:
    • Verificar archivos nuevos o modificados, scripts inesperados en package.json, o archivos escritos durante los pasos de construcción.
  5. Auditar secretos y tokens de CI/CD utilizados por los ejecutores de construcción:
    • Rotar credenciales utilizadas por ejecutores o servicios que pueden haber sido expuestos.
  6. Escanee en busca de signos de compromiso:
    • Ejecutar escáneres de malware en repositorios, servidores y activos publicados.
    • Verificar conexiones salientes sospechosas desde servidores de construcción.
  7. Endurecer entornos de construcción:
    • Utilizar ejecutores de construcción efímeros e imágenes inmutables.
    • Restringir el acceso a la red y el alcance de las credenciales.
  8. Informa a tu equipo y realizar una revisión de incidentes enfocada si hay alguna evidencia de actividad inusual.

Lista de verificación de endurecimiento para desarrolladores y CI/CD

  • Siempre ejecutar construcciones en entornos efímeros e aislados (ejecutores en contenedores, VMs efímeras).
  • Limitar el alcance de las credenciales en entornos de construcción (tokens de menor privilegio; separar tokens de implementación del almacenamiento de artefactos).
  • Utilizar fijación de imágenes de contenedor e imágenes base reproducibles para imágenes de construcción.
  • Asegurar la verificación del archivo de bloqueo (npm ci / yarn –frozen-lockfile), y habilitar verificaciones de integridad.
  • Utilizar firma de paquetes, verificación de suma de verificación, o registros privados cuando sea posible.
  • Verificar todas las dependencias transitivas y considerar la exploración de adopción de dependencias: marcar paquetes nuevos o inusuales añadidos en PRs.
  • Hacer cumplir una política estricta para la publicación de paquetes y la fusión de cambios de dependencias; requerir revisión de código para cambios en package.json.
  • Utilizar un Software Bill of Materials (SBOM) para construcciones y transparencia de la cadena de suministro.
  • Ejecutar análisis estático y SCA (análisis de composición de software) como parte de PR y pipelines de CI.
  • Restringir el entorno de ejecución de los procesos de construcción (sin acceso a credenciales de base de datos de producción, claves SSH o claves de despliegue a menos que sea estrictamente necesario).
  • Eliminar node_modules o artefactos de construcción de los repositorios de código antes del despliegue si no son necesarios para la ejecución.

Cómo detectar la explotación y qué buscar

Si te preocupa que un agente de construcción o pipeline haya sido explotado, verifica lo siguiente:

  • Modificaciones inesperadas a los activos construidos (archivos JS, paquetes minificados, mapas de origen) que contengan código ofuscado o desconocido.
  • Scripts recién añadidos o modificados en package.json no aprobados por los desarrolladores.
  • Conexiones salientes desde servidores de CI/construcción a puntos finales desconocidos durante el tiempo de construcción.
  • Nuevos commits o etiquetas que fueron creados por agentes de CI o usuarios desconocidos.
  • Eventos inesperados de publicación de npm desde tus cuentas o tokens de CI.
  • Registros de acceso de puntos finales de despliegue que muestran despliegues inesperados fuera de las operaciones programadas.
  • Un aumento inusual en construcciones fallidas o artefactos de construcción inexplicables.

Para servidores de WordPress, también escanear por:

  • JavaScript recién introducido en el área de tema/pie de página, anuncios inyectados o skimmers de tarjetas de crédito.
  • Puertas traseras en PHP disfrazadas como archivos inofensivos (buscar archivos con nombres extraños o marcas de tiempo de última modificación inusuales).
  • Archivos centrales modificados o archivos de plugins/temas que no coinciden con los checksums esperados.

Contención y remediación si encuentras indicadores

  1. Aislar máquinas afectadas: desconectar el corredor de CI o el servidor de construcción.
  2. Revocar y rotar cualquier secreto que usaron los agentes de construcción (claves API, claves de despliegue, tokens).
  3. Reconstruir artefactos en un entorno limpio y parcheado después de actualizar las dependencias.
  4. Reemplazar artefactos en los servidores con versiones frescas y verificadas.
  5. Si un repositorio de plugin/tema publicado se ve afectado, investigar cualquier lanzamiento desde la ventana de compromiso y considerar revertir o republicar desde una fuente limpia.
  6. Realizar una revisión completa del código y la configuración en busca de cambios sospechosos introducidos durante la ventana sospechosa.
  7. Notificar a los clientes o partes interesadas afectadas según su plan de respuesta a incidentes y obligaciones regulatorias.
  8. Si un atacante probablemente accedió a sistemas de producción, seguir la respuesta completa a incidentes: forense, rotación de credenciales de larga duración y posiblemente ayuda de respuesta a incidentes de terceros.

Limitaciones de los cortafuegos de red y WAF para problemas de cadena de suministro.

Un Cortafuegos de Aplicaciones Web (WAF) y un cortafuegos de red son esenciales para defender un sitio de WordPress en vivo contra ataques basados en la web, intentos de inyección y tráfico malicioso. Sin embargo, los WAF tienen una capacidad limitada para prevenir compromisos de cadena de suministro o en tiempo de construcción porque:

  • El código malicioso puede ser inyectado antes del despliegue: un WAF no puede bloquear algo que ya es parte de los archivos desplegados.
  • Los compromisos en tiempo de construcción a menudo ocurren en entornos que un WAF no ve (portátiles de desarrolladores, ejecutores de CI, sistemas de construcción del lado del host).
  • La detección de cargas útiles ofuscadas o novedosas requiere escaneo de comportamiento, actualizaciones de firmas y monitoreo de integridad de archivos: no todos los WAF pueden detectar de manera confiable esos activos estáticos.

Dicho esto, los WAF siguen siendo valiosos como una red de seguridad final: pueden detectar y bloquear patrones de explotación comunes, prevenir intentos de exfiltración y generar alertas cuando ocurre un comportamiento anormal en el sitio en vivo. Combine el WAF con las medidas de endurecimiento de la tubería descritas anteriormente: la defensa en profundidad es la única estrategia confiable.

Cómo WP-Firewall ayuda a proteger sitios de WordPress (lo que proporcionamos).

Como proveedor de seguridad de WordPress enfocado en la protección del sitio y la mitigación de incidentes, WP-Firewall proporciona un enfoque por capas para ayudar a limitar el daño de este tipo de incidente de cadena de suministro:

  • Reglas de WAF gestionadas que bloquean vectores de ataque web comunes y detectan comportamientos de explotación sospechosos contra su sitio en vivo.
  • Escaneo de malware que busca JavaScript inyectado, patrones de código de puerta trasera y archivos anómalos en temas/plugins.
  • Monitoreo de integridad de archivos en tiempo real que puede alertar sobre cambios inesperados en su sistema de archivos de WordPress.
  • Parcheo virtual para ciertos patrones de ataque (mitigación rápida cuando se ve un nuevo exploit en la naturaleza).
  • Mitigación automatizada de los riesgos del OWASP Top 10, lo que reduce la posibilidad de que el código inyectado se utilice para explotar otras vulnerabilidades en el sitio.
  • Para planes de pago, parcheo virtual automático de vulnerabilidades e informes de seguridad mensuales para mantenerlo informado sobre el riesgo y el estado de remediación.

Importante: WP-Firewall no puede reemplazar una buena higiene de desarrollo. Nuestras características están destinadas a mitigar y detectar problemas posteriores al despliegue, y a apoyar la recuperación; los pasos de endurecimiento de la cadena de suministro y CI/CD descritos anteriormente son complementos esenciales.

Prácticas de cadena de suministro a largo plazo que toda organización de WordPress debería adoptar.

  • Mantener un Software Bill of Materials (SBOM) para todos los procesos de construcción.
  • Utilizar imágenes de construcción mínimas e inmutables para CI que incluyan solo las herramientas necesarias para compilar activos.
  • Preferir registros privados para paquetes críticos y utilizar listas de permitidos para dependencias.
  • Implementar atestaciones para artefactos de construcción (firmar artefactos y verificar firmas durante el despliegue).
  • Ejecutar construcciones reproducibles cuando sea posible para que los artefactos construidos en un corredor comprometido puedan compararse con una salida de construcción confiable.
  • Establecer una política de revisión de dependencias y alertas para cambios de dependencias dentro de los PRs.
  • Implementar el principio de menor privilegio para tokens de CI y rotarlos regularmente.
  • Mantener las herramientas de desarrollo actualizadas y hacer cumplir actualizaciones regulares de dependencias con pruebas y despliegues escalonados.

Comandos prácticos y adiciones de CI (ejemplos).

  • Utilizar instalaciones de archivo de bloqueo congelado para evitar cambios inesperados:
    • npm: npm ci
    • yarn: yarn install --frozen-lockfile
  • En CI, agregar un paso de escaneo SCA:
    • Ejecuta npm auditoría o utilizar una herramienta SCA para señalar vulnerabilidades conocidas temprano.
  • Hacer cumplir archivos de bloqueo en CI:
    • Verificar que yarn.lock o package-lock.json coincida con las versiones del repositorio antes de la construcción y fallar construcciones si hay discrepancias.
  • Utilizar corredores efímeros y limpiar cachés después de las construcciones para reducir la superficie de ataque persistente.

Nota: Los comandos exactos y la configuración de CI dependen de su proveedor de CI y de la pila. El principio es hacer que las compilaciones sean repetibles y verificables.

Libro de jugadas de incidentes de muestra (alto nivel)

  1. Parche: actualizar @turbo/workspaces a >= 2.9.14 en todos los códigos y imágenes.
  2. Verificar: ejecutar compilaciones limpias utilizando versiones de herramientas parcheadas y comparar artefactos.
  3. Cuarentena: desconectar los ejecutores de compilación sospechosos y recopilar registros.
  4. Rotar: regenerar secretos de CI y despliegue inmediatamente donde se sospeche exposición.
  5. Re-desplegar: desplegar artefactos verificados de compilaciones limpias.
  6. Monitorear: aumentar el registro y la supervisión en el sitio y CI durante 30 días después del incidente.
  7. Informar: documentar la línea de tiempo del incidente y las acciones para cumplimiento y responsabilidad.

Indicadores de detección (lista de verificación rápida para auditorías)

  • Actividad inesperada de npm/yarn en los registros de CI no relacionada con compilaciones típicas.
  • Nuevos paquetes instalados en el momento de la compilación que no estaban en los archivos de bloqueo.
  • Los activos empaquetados contienen llamadas de red inesperadas o cargas útiles ofuscadas.
  • Máquinas de compilación iniciando conexiones salientes a dominios desconocidos o sospechosos.
  • Modificaciones de archivos inusuales en el servidor web poco después de los despliegues.

Si eres propietario de un sitio de WordPress y no estás seguro de qué hacer ahora mismo

  • Asegúrate de que tus desarrolladores y sistemas de CI hayan aplicado el parche (2.9.14+).
  • Pregunta a tu proveedor de alojamiento si realizan algún paso de compilación en tu nombre; si es así, confirma que han parcheado sus imágenes de compilación.
  • Si utilizas una agencia o desarrollador externo, confirma que han actualizado los entornos locales y CI.
  • Escanea tu sitio con un escáner de malware completo y realiza una verificación de integridad de archivos; si tienes WP-Firewall, ejecuta el escáner de malware y la detección de cambios en archivos.
  • Mantén copias de seguridad y asegúrate de poder restaurar a un estado limpio si es necesario.

Refuerza las defensas de manera proactiva (políticas recomendadas)

  • Requiere que todos los pipelines de despliegue en producción se ejecuten en entornos efímeros aislados.
  • Obliga a la aplicación de archivos de bloqueo y a verificaciones automáticas de SCA para todas las fusiones a las ramas principales.
  • Aplica commits firmados y firma de artefactos para la creación de lanzamientos cuando sea posible.
  • Rota regularmente los tokens de despliegue y limita su alcance a lo que sea necesario.

Asegura tu pipeline de desarrollo de WordPress — prueba WP-Firewall Free

Si deseas un punto de partida práctico para proteger tu sitio de WordPress en vivo mientras endureces tu pipeline de construcción, WP-Firewall ofrece un plan Básico gratuito que incluye protecciones esenciales:

  • Protección esencial: firewall gestionado, ancho de banda ilimitado, WAF, escáner de malware y mitigación de los 10 principales riesgos de OWASP.

Regístrate en el plan gratuito hoy y obtén monitoreo continuo y escaneo automatizado para ayudar a detectar cambios sospechosos después del despliegue e intentos de ataque basados en la web:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si necesitas características más avanzadas—eliminación automática de malware, listas negras de IP, informes de seguridad mensuales, parches virtuales y servicios gestionados—consulta nuestros planes de pago que se adaptan a los requisitos de agencias y hosts.)

Preguntas frecuentes (FAQ)

P: Mi sitio es puramente PHP — ¿debo seguir preocupándome por una vulnerabilidad de paquete NPM?
R: Sí. Si tu pipeline de desarrollo, tema o plugin utiliza herramientas de Node.js en algún momento (para agrupar JS, construir activos del editor de bloques o CI), los artefactos de construcción pueden ser modificados por una cadena de herramientas comprometida. Incluso si PHP en producción no utiliza Node, el JavaScript inyectado en temas/plugins o scripts de despliegue modificados pueden comprometer un sitio de WordPress.
P: Realizo construcciones localmente y despliego artefactos manualmente — ¿el riesgo es menor?
R: Potencialmente, pero no eliminado. Los entornos locales siguen siendo superficies de ataque. Asegúrate de que las herramientas locales estén parcheadas, realiza construcciones reproducibles y utiliza artefactos firmados o sumas de verificación para verificar la integridad antes del despliegue.
P: ¿Puede un WAF prevenir esto?
R: Un WAF puede ayudar a mitigar algunas amenazas posteriores al despliegue y bloquear la explotación contra patrones web conocidos, pero los WAF no pueden arreglar artefactos de construcción comprometidos. El enfoque correcto es en capas: endurecer los pipelines de construcción y usar WAF + escaneo de malware para detectar y mitigar problemas en el sitio en vivo.

Palabras finales — una mentalidad de seguridad para WordPress moderno

El desarrollo moderno de WordPress está integrado con el ecosistema más amplio de JavaScript y DevOps. Eso trae productividad pero también nuevos tipos de riesgo. Una vulnerabilidad en la cadena de suministro en una herramienta de construcción puede no ser una vulnerabilidad de PHP, pero las consecuencias pueden ser idénticas: puertas traseras, robo de datos, spam SEO e impacto en los usuarios.

Trata tu pipeline de construcción como un límite de seguridad crítico. Parchea las herramientas de inmediato, adopta construcciones reproducibles y principios de menor privilegio, monitorea tanto los sistemas de CI como los de producción, y utiliza una defensa en capas para tu sitio. WP-Firewall está diseñado para ser parte de esa defensa en capas: un WAF gestionado, escaneo y detección de malware, y características de mitigación que te ayudan a reducir el radio de explosión si una herramienta de upstream es abusada.

Si necesitas ayuda inmediata, comienza actualizando @turbo/workspaces a 2.9.14 (o posterior) en todos los entornos, hacer cumplir el uso del archivo de bloqueo en CI y realizar un escaneo completo del sitio. Y si aún no tienes monitoreo continuo de endpoints y un WAF gestionado protegiendo tu sitio de WordPress en vivo, considera el plan básico de WP-Firewall para obtener protección esencial rápidamente: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Mantente alerta. Las herramientas seguirán evolucionando; tus prácticas de seguridad deben evolucionar con ellas.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™