RCE crítico en WooCommerce Custom Product Addons//Publicado el 2026-03-28//CVE-2026-4001

EQUIPO DE SEGURIDAD DE WP-FIREWALL

WooCommerce Custom Product Addons Pro Vulnerability

Nombre del complemento Woocommerce Complementos de Producto Personalizados Pro
Tipo de vulnerabilidad Ejecución remota de código
Número CVE CVE-2026-4001
Urgencia Alto
Fecha de publicación de CVE 2026-03-28
URL de origen CVE-2026-4001

Ejecución Remota de Código en WooCommerce Complementos de Producto Personalizados Pro (CVE-2026-4001): Lo que los Propietarios de Sitios de WordPress Necesitan Saber — y Hacer Ahora Mismo

Actualizado: 24 de marzo de 2026
Afecta a: WooCommerce Complementos de Producto Personalizados Pro <= 5.4.1
Parcheado: 5.4.2
CVE: CVE-2026-4001
Riesgo: Ejecución Remota de Código No Autenticada (RCE) — severidad práctica más alta

Si tienes una tienda WooCommerce que utiliza el complemento Complementos de Producto Personalizados Pro, este aviso es para ti. Un fallo crítico en las versiones hasta e incluyendo 5.4.1 permite a un atacante no autenticado enviar una fórmula de “precio personalizado” especialmente diseñada que se procesa de una manera que puede llevar a la ejecución remota de código en el servidor. En lenguaje sencillo: un atacante puede ejecutar comandos arbitrarios en tu host web, sin necesidad de una cuenta en tu sitio.

Este es el tipo de vulnerabilidad que se arma rápidamente en grandes campañas automatizadas. Lee esta publicación con atención — está escrita desde la perspectiva de los ingenieros de seguridad de WP-Firewall y los respondedores de sitios. Explicaremos qué sucedió, por qué es tan peligroso, cómo confirmar la exposición, pasos inmediatos de contención que debes aplicar, verificaciones forenses recomendadas y mitigaciones robustas que incluyen reglas de WAF y endurecimiento a largo plazo. También mostraremos cómo nuestro plan gratuito puede ayudarte a proteger sitios que no pueden ser parcheados de inmediato.

Resumen ejecutivo (pasos rápidos y accionables)

  • Si tu sitio utiliza Complementos de Producto Personalizados Pro y la versión del complemento es ≤ 5.4.1, actualiza a 5.4.2 de inmediato.
  • Si no puedes aplicar la actualización de inmediato, desactiva el complemento o bloquea el tráfico de explotación en el borde (WAF, proxy, firewall a nivel de host).
  • Escanea en busca de indicadores de compromiso (usuarios administradores inesperados, archivos PHP modificados, nuevas tareas programadas, conexiones salientes) y preserva los registros para la respuesta a incidentes.
  • Implementa reglas de parcheo virtual a corto plazo para bloquear vectores de explotación (ejemplos a continuación).
  • Rota las credenciales (administradores de WP, SSH, base de datos) después de haber confirmado que el entorno está limpio o restaurado desde una copia de seguridad confiable.
  • Inscribe el sitio en protección automatizada de escaneo de WAF / malware si es posible mientras aplicas el parche.

Por qué esta vulnerabilidad es tan grave

La Ejecución Remota de Código es la clase de vulnerabilidad de aplicación web en el peor de los casos. A diferencia de una divulgación de información o escalada de privilegios que requiere un usuario autenticado, la vulnerabilidad descrita por CVE-2026-4001 es no autenticada: cualquier actor remoto puede enviar una carga maliciosa. Una vez explotada, RCE típicamente permite a los atacantes:

  • Instalar puertas traseras y webshells para acceso persistente.
  • Agregar cuentas de administrador ilegítimas y manipular contenido.
  • Exfiltrar bases de datos y datos de clientes almacenados (incluidos los metadatos de pago).
  • Desplegar mineros de criptomonedas, motores de spam o ransomware.
  • Usar tu infraestructura como un punto de pivote para atacar otras redes.

Debido a que muchas tiendas de WooCommerce manejan pagos y PII de clientes, la explotación puede llevar rápidamente a la exposición regulatoria, pérdida financiera, tiempo de inactividad del sitio y daño reputacional.

Resumen técnico (no exhaustivo, seguro para publicar)

  • Causa principal: El plugin acepta fórmulas o expresiones de “precios personalizados” proporcionadas por el usuario que se evalúan del lado del servidor sin suficiente saneamiento o validación de contexto. En las versiones afectadas, un atacante puede crear una entrada que resulte en la evaluación del lado del servidor de código o llamadas a funciones inseguras.
  • Ruta de activación: La vulnerabilidad se alcanza a través del código del plugin que procesa entradas de precios personalizados (generalmente proporcionadas a través de un formulario de producto o un punto final AJAX). El flujo de procesamiento realiza un paso de evaluación o transformación que puede ser abusado para ejecutar código arbitrario.
  • Autenticación: Ninguno requerido. Los puntos de entrada vulnerables son accesibles desde solicitudes no autenticadas en muchas instalaciones.
  • Impacto: Ejecución remota de código en el proceso del servidor web (PHP), con los mismos permisos que el usuario del servidor web. En muchos hosts compartidos o mal configurados, esto es suficiente para dejar puertas traseras, acceder a áreas escribibles o escalar aún más.

Intencionalmente no estoy publicando aquí código de explotación de prueba de concepto. Publicar código de explotación en una publicación de blog pública arriesga acelerar la explotación masiva. En su lugar, proporcionaré indicadores técnicos seguros y firmas defensivas que puedes usar para bloquear y detectar ataques.

¿A quién afecta?

  • Cualquier sitio que ejecute el plugin WooCommerce Custom Product Addons Pro en la versión 5.4.1 o anterior.
  • Tiendas donde el plugin está activo y el sitio acepta entradas de precios personalizados (páginas de productos, puntos finales AJAX que atienden complementos de productos).
  • Los hosts con configuraciones PHP permisivas o límites de aislamiento débiles están más en riesgo de movimiento lateral post-explotación.

Si no estás seguro de si tu tienda usa el plugin: verifica la página de Plugins del administrador de WordPress y el sistema de archivos bajo wp-content/plugins/ el nombre del directorio del plugin. Si lo encuentras y la versión del plugin es ≤ 5.4.1, trata el sistema como vulnerable hasta que se parche.

Acciones inmediatas (ordenadas por prioridad)

  1. Comprueba la versión del plugin ahora.
       – Inicia sesión en WordPress (o a través de SFTP) y confirma la versión del plugin instalado. Si la versión es ≤ 5.4.1, procede inmediatamente al paso 2.
  2. Aplica la actualización del proveedor (mejor opción)
       – Actualiza el plugin a 5.4.2 (o posterior) tan pronto como sea posible. Esta es la solución definitiva.
  3. Si no puedes parchear ahora, aplica mitigaciones de emergencia.
       – Desactive el plugin a través de la pantalla de Plugins de WordPress o renombre la carpeta del plugin a través de SFTP (por ejemplo, agregue .disabled al nombre del directorio del plugin).
       – Si desactivar rompe su flujo de pago y necesita el plugin, implemente parches virtuales en su firewall de aplicación web o en el borde del host para bloquear patrones de explotación (los ejemplos siguen).
  4. Bloquee el tráfico sospechoso inmediatamente
       – Use el firewall del servidor / host para restringir o bloquear solicitudes POST/GET entrantes que incluyan cargas inusuales en los campos del formulario de precios personalizados o nombres de parámetros conocidos. Si tiene un WAF, habilite reglas para bloquear patrones de evaluación sospechosos.
  5. Preserve registros y haga una copia de seguridad
       – Antes de realizar cambios forenses, asegúrese de que los registros del servidor web, los registros de PHP-FPM y los registros de acceso estén preservados y respaldados para la investigación.
  6. Escanee en busca de signos de compromiso
       – Realice un escaneo exhaustivo de malware e integridad de archivos.
       – Busque nuevas cuentas de administrador, tareas programadas no autorizadas (cron/cwp), archivos centrales modificados o archivos PHP sospechosos subidos en wp-content/uploads u otros directorios escribibles.
  7. Rote credenciales después de la limpieza
       – Rote todas las contraseñas de administrador, claves API, credenciales de base de datos y cualquier clave SSH si encuentra evidencia de compromiso. Si debe rotar contraseñas antes de la limpieza completa, aún proceda, pero esté preparado para rotar nuevamente después de una remediación confirmada.

Reglas de parche virtual / WAF sugeridas (ejemplos)

Si no puede aplicar un parche de inmediato, el parcheo virtual proporciona una barrera efectiva a corto plazo. A continuación se presentan ejemplos de reglas seguras y conservadoras que puede usar para bloquear intentos de explotación: ajústelas para evitar falsos positivos.

Importante: pruebe cualquier regla en un entorno de staging o en modo “solo registro” primero para medir falsos positivos.

  • Bloquee solicitudes donde los parámetros de fórmula proporcionados por el usuario contengan patrones que indiquen evaluación de código:
    • Bloquee si el cuerpo de la solicitud o la consulta contiene evaluar(, afirmar(, sistema(, shell_exec(, passthru(, exec(, popen(, proc_open(, o crear_función(.
    • Bloquee si el parámetro contiene base64_decode( seguido de evaluar o create_function.
  • Bloquee cargas sospechosas serializadas o codificadas:
    • Bloquee solicitudes donde un valor de parámetro contenga largas cadenas base64 (por ejemplo, > 200 caracteres) combinadas con indicadores de ejecución.
  • Bloquee caracteres sospechosos en campos de precios:
    • Bloquee solicitudes a puntos finales de complementos de productos donde los campos numéricos de “precio” contengan caracteres alfabéticos como ;, |, &, $, — estos son inusuales en campos de precios numéricos y a menudo se utilizan para inyección.
  • Bloquear patrones de acceso a puntos finales específicos del plugin (si se conocen):
    • Si el plugin vulnerable expone una acción AJAX específica o un punto final, bloquear o permitir el acceso a ese punto final para que solo los referidos conocidos o redes internas puedan llamarlo.
  • Limitación de tasa y reputación de IP:
    • Aplicar límites de tasa estrictos a las solicitudes POST en los puntos finales de productos. Bloquear IPs que intenten entradas sospechosas repetidas.

Ejemplo de firma (pseudocódigo; adaptar a la sintaxis de su WAF):

  • Si REQUEST_METHOD == “POST” y (REQUEST_BODY contiene evaluar( O REQUEST_BODY contiene base64_decode() entonces BLOQUEAR
  • Si REQUEST_URI coincide con /wp-admin/admin-ajax.php y REQUEST_BODY contiene precio_personalizado y REQUEST_BODY contiene caracteres no numéricos más allá de los símbolos estándar, entonces REGISTRAR y BLOQUEAR si se repite.

Nota: estos patrones de ejemplo son intencionalmente genéricos. Coordinar con su host o documentación de WAF para convertirlos en la sintaxis de regla correcta (ModSecurity, Nginx, consola Cloud WAF, etc.).

Detección: qué buscar (indicadores de compromiso)

Si sospecha que su sitio fue atacado, busque los siguientes indicadores. Tenga en cuenta que los atacantes a menudo intentan limpiar evidencia, por lo que la ausencia de artefactos obvios no prueba que esté limpio.

  • Registros de acceso del servidor web:
    • Solicitudes POST a páginas de productos, admin-ajax.php, o puntos finales de plugins que contengan cadenas codificadas largas o símbolos sospechosos en parámetros relacionados con precios.
    • Solicitudes con cadenas de User-Agent inusuales o agentes de usuario en blanco.
    • Aumento de solicitudes POST similares desde el mismo rango de IP intentando envíos de precios/fórmulas.
  • Sistema de archivos:
    • Nuevos o modificados archivos PHP en wp-content/uploads, wp-includes, wp-content/plugins, u otros directorios escribibles.
    • Archivos con nombres sospechosos: archivos .php de una sola letra, archivos que pretenden ser imágenes pero contienen PHP, o archivos con marcas de tiempo extrañas.
    • Modificaciones a wp-config.php, .htaccess, o funciones del theme functions.php.
  • Base de datos:
    • Nuevas cuentas de usuario con rol de administrador.
    • Opciones sospechosas en wp_options (eventos programados no autorizados o blobs serializados inesperados).
    • Cualquier cambio inesperado en pedidos o datos de productos.
  • Procesos y red:
    • Trabajos cron inesperados o tareas programadas que llaman a URLs externas.
    • Conexiones de red salientes desde el servidor a direcciones IP desconocidas, especialmente en puertos inusuales.
  • Comportamental:
    • Spam SEO repentino o cambios en el contenido.
    • Nuevas páginas que redirigen a los visitantes a dominios maliciosos.
    • Cuentas de administrador deshabilitadas o bloqueadas.

Si encuentras indicadores, actúa rápido: aísla el servidor, haz una imagen de disco si es posible y activa un proceso de respuesta a incidentes.

Lista de verificación forense (paso a paso)

  1. Preservar las pruebas
       – Copia y archiva registros relevantes (acceso, error, PHP-FPM, registros de base de datos). Trabaja desde copias; no cambies los originales.
  2. Toma una instantánea del sitio.
       – Toma una instantánea del sistema de archivos o haz una copia de seguridad fuera del sitio antes de los pasos de remediación que modifiquen el entorno.
  3. Identifica el punto de entrada
       – Correlaciona las marcas de tiempo de solicitudes sospechosas con cambios de archivos y nuevas cuentas para aislar cómo un atacante obtuvo acceso.
  4. Busque persistencia
       – Busca patrones de webshell (funciones como sistema, exec, popen utilizadas en conjunto con parámetros de solicitud), envolturas eval y PHP ofuscado (base64_decode, gzinflate, str_rot13, etc.).
       – Busca tareas programadas (WP-Cron o cron del sistema) que ejecuten scripts PHP desde cargas o cachés.
  5. Limpia, restaura o reconstruye
       – Si la copia de seguridad es limpia y reciente, restaura desde la copia de seguridad después de aplicar parches y endurecer.
       – Si está comprometido y no hay copia de seguridad limpia disponible, reconstruye el sitio, reinstala WordPress y plugins de fuentes confiables, y restaura el contenido solo después de verificar que esté limpio.
  6. secretos rotativos
       – Después de limpiar, rota todas las credenciales: cuentas de administrador de WP, usuario de base de datos, cualquier token de API y claves SSH.
  7. Monitoreo posterior al incidente
       – Monitorea los registros intensivamente durante al menos dos semanas después de la remediación en busca de signos de reinfección.

Recomendaciones de endurecimiento para reducir el riesgo futuro.

  • Mantén los plugins y temas actualizados y aplica actualizaciones de seguridad de inmediato.
  • Limita los privilegios de instalación y actualización de plugins solo a administradores de confianza.
  • Usa un entorno de pruebas para probar actualizaciones de plugins antes de implementarlas en producción.
  • Implementa el principio de menor privilegio para los usuarios de WordPress: no otorgues derechos de administrador a menos que sea necesario.
  • Utiliza monitoreo de integridad de archivos (FIM) para detectar cambios no autorizados en los archivos.
  • Realiza análisis regulares de malware y auditorías de seguridad.
  • Implementa protecciones WAF que incluyan parches virtuales y reglas basadas en comportamiento.
  • Desactiva funciones que no uses: si la función de precios personalizados del plugin no está en uso, considera desactivar o reemplazar el plugin.
  • Usa una política de contraseñas fuerte y habilita MFA para cuentas administrativas.
  • Mantén copias de seguridad completas y probadas almacenadas fuera del sitio y verifica los procedimientos de restauración regularmente.

Cómo un WAF/Firewall gestionado ayuda en incidentes como este

Un firewall de aplicación de WordPress gestionado proporciona múltiples beneficios en situaciones como CVE-2026-4001:

  • Parches virtuales rápidos: las reglas WAF pueden implementarse para bloquear el vector de explotación en minutos, reduciendo el riesgo mientras programas o pruebas actualizaciones de plugins.
  • Protección conductual: la limitación de tasa y la detección de anomalías pueden interrumpir escaneos masivos automatizados y campañas de explotación.
  • Escaneo y limpieza de malware: los escáneres integrados identifican webshells y artefactos sospechosos; los servicios de nivel superior pueden eliminar automáticamente algunas clases de malware.
  • Monitoreo y alertas: alertas casi en tiempo real sobre actividad sospechosa te permiten actuar más rápido.
  • Análisis experto: un equipo de seguridad experimentado puede ajustar las reglas para reducir falsos positivos mientras mantiene la protección.

Si gestionas múltiples sitios de WordPress, un WAF centralizado reduce en gran medida la carga operativa de responder a vulnerabilidades emergentes de alta gravedad.

Patrones de registro y detecciones de muestra que puedes usar (seguro, no explotable)

A continuación se presentan heurísticas de detección que puedes buscar en los registros. Están destinadas a señalar intentos potencialmente maliciosos de usar campos de fórmula o evaluación.

  • Búsqueda de registros de acceso (ejemplos):
    • Solicitudes POST que contengan personalizado AND precio Y cualquiera base64 O evaluar O sistema en el cuerpo de la solicitud.
    • Secuencias de POSTs repetidos a la misma URL con cargas útiles ligeramente variadas desde una IP dentro de un corto período de tiempo.
  • Heurística del sistema de archivos:
    • Archivos con contenido PHP en el directorio de subidas:
      grep -R "<?php" wp-content/uploads
    • Nuevos archivos modificados después de la marca de tiempo de compromiso inicial.
  • Heurística de base de datos:
    • Buscar usermeta para cuentas con administrador capacidades creadas al mismo tiempo que comenzó la actividad sospechosa.
    • Auditar entradas recientes en wp_options para eventos programados desconocidos.
  • Comportamiento:
    • Conexiones salientes a hosts conocidos como malos o puntos finales inusuales.
    • Picos en el uso de CPU en el host (indicando criptominer o tareas pesadas).

Estos patrones son de alta señal pero no exhaustivos. Combina múltiples indicadores para reducir falsos positivos.

Ejemplo práctico: reglas de parcheo virtual seguro para bloquear cargas útiles similares a evaluaciones

Implementa estos como filtros conservadores en tu WAF o reglas a nivel de servidor. Reemplaza con la sintaxis correcta para cualquier firewall o motor de reglas que uses.

  • Regla A (bloquear tokens similares a eval en cuerpos POST)
      – Condición: REQUEST_METHOD == POST Y REQUEST_BODY contiene cualquiera de: evaluar(, afirmar(, crear_función(, preg_replace(/e, base64_decode(, gzinflate(.
      – Acción: Bloquear o Desafiar (CAPTCHA) para el bloqueo inicial.
  • Regla B (limitar la tasa de POSTs a puntos finales de productos)
      – Condición: Más de X solicitudes POST a URIs relacionadas con productos desde una sola IP en Y segundos.
      – Acción: Bloquear temporalmente o limitar.
  • Regla C (validación de campos numéricos)
      – Condición: Los campos de precio o descuento numéricos contienen caracteres alfabéticos o puntuación sospechosa (;, |, &).

    •   – Acción: Rechazar solicitud con 400.

Nota: Si sus formularios aceptan legítimamente fórmulas (raro en campos de precios), aplique un enfoque de lista blanca: solo permita caracteres y patrones estrictamente restringidos que correspondan a su lenguaje de expresión legítimo.

Manual de recuperación y remediación (procedimiento conciso)

  1. Parchear el plugin a 5.4.2 o posterior.
  2. Llevar el sitio fuera de línea si hay signos de compromiso; colocar una página de mantenimiento.
  3. Preservar registros y evidencia para forenses.
  4. Escanear la base de código y las cargas en busca de webshells; eliminar archivos maliciosos identificados.
  5. Restaurar desde una copia de seguridad limpia verificada si es necesario.
  6. Rotar todas las credenciales sensibles.
  7. Desplegar reglas WAF y monitorear el tráfico.
  8. Rehabilitar el sitio y monitorear para reinfección.

Si administra muchos sitios, priorice aquellos que almacenan datos de pago, tienen grandes cantidades de usuarios o son críticos para la misión.

Por qué deberías actuar de manera decisiva, incluso si tu sitio parece pequeño

Los atacantes no siempre discriminan por la popularidad del sitio. Los escáneres automatizados y los kits de explotación apuntan a cualquier instalación vulnerable que puedan alcanzar. Las tiendas más pequeñas son atractivas porque a menudo tienen procesos de monitoreo y recuperación más débiles. Una RCE no autenticada es una puerta abierta: una vez dentro, los atacantes pueden configurar rápidamente la persistencia y usar tu servidor para atacar otros sitios, lanzar campañas de spam o monetizar el acceso vendiéndolo.

Cada hora que retrasas aumenta la ventana de exposición.

Cómo WP-Firewall ayuda (una guía corta sobre las protecciones disponibles)

En WP-Firewall proporcionamos protección en capas diseñada para entornos de WordPress y WooCommerce. Las características clave que defienden contra los tipos de ataque utilizados contra CVE-2026-4001 incluyen:

  • Cortafuegos de aplicaciones web gestionado (WAF) con parches virtuales para amenazas emergentes de día cero.
  • Escaneo de malware para encontrar webshells y puertas traseras.
  • Detección y respuesta gestionadas: alertas y orientación cuando se detecta comportamiento sospechoso.
  • Reglas de mitigación automática ajustadas para patrones de ataque de plugins de WordPress (sin afectar el tráfico legítimo).
  • Orientación para el endurecimiento de la seguridad y soporte para la respuesta a incidentes.

Si no puedes aplicar inmediatamente la actualización del plugin, habilitar un WAF gestionado que pueda implementar parches virtuales es una de las formas más rápidas de reducir el riesgo en muchos sitios mientras programas ventanas de mantenimiento.

Asegura tu tienda ahora — Comienza con el Plan Gratuito de WP-Firewall

Si necesitas protección inmediata y de bajo fricción mientras programas parches o respuesta a incidentes, el plan Básico (Gratuito) de WP-Firewall cubre defensas esenciales para sitios de WordPress y WooCommerce. El plan gratuito incluye un cortafuegos gestionado, ancho de banda ilimitado, protecciones WAF, un escáner de malware y mitigación para los riesgos del OWASP Top 10 — todo lo que necesitas para reducir la exposición rápidamente.

Prueba el plan gratuito y protege tu tienda hoy: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si necesitas limpieza automatizada, controles de lista blanca/negra, o parches virtuales con informes en múltiples sitios, considera actualizar a los niveles Estándar o Pro para mayor automatización y respuesta gestionada.)

Preguntas frecuentes

P: Si parcheo, ¿todavía necesito escanear mi sitio?
R: Sí. Si eras vulnerable antes de parchear, es importante verificar que los atacantes no hayan explotado la falla antes de la actualización. El parche previene la explotación futura pero no elimina las puertas traseras ya instaladas.

P: ¿Puedo simplemente desactivar el plugin y volver a habilitarlo más tarde?
R: La desactivación elimina el código vulnerable de la ejecución, lo cual es una mitigación válida. Pero si ya ocurrió un compromiso, la desactivación por sí sola no elimina las puertas traseras u otros artefactos. Realiza un escaneo completo y remediación.

P: ¿Qué pasa si la actualización rompe mi sitio?
A: Si las pruebas de actualización en staging muestran problemas de compatibilidad, vuelve a tu estado anterior a la actualización y aplica reglas WAF protectoras y una validación de entrada más estricta mientras resuelves la compatibilidad. Idealmente, ejecuta la actualización en una ventana de mantenimiento después de las copias de seguridad.

Q: ¿Qué registro o evidencia debo preservar para un investigador?
A: Preserva los registros de acceso, registros de errores, registros de PHP-FPM, registros de base de datos alrededor del período de tiempo de la explotación sospechada y cualquier metadato de archivo modificado. Las imágenes de disco son muy útiles para un trabajo forense detallado.

Cierre: una lista de verificación práctica que puedes seguir ahora

  1. Verifica la versión del plugin ahora.
  2. Si es vulnerable: actualiza a 5.4.2 inmediatamente.
  3. Si no puedes actualizar: desactiva el plugin o habilita el parcheo virtual WAF.
  4. Preserva los registros y haz copias de seguridad antes de cambiar cualquier cosa.
  5. Escanea y elimina cualquier malware/puertas traseras.
  6. Rota todas las credenciales administrativas e infraestructura después de la limpieza.
  7. Implementa monitoreo, FIM y escaneos periódicos de malware para reducir el riesgo futuro.

Si deseas ayuda para implementar cualquiera de lo anterior — desde establecer reglas tácticas de WAF hasta realizar una barrida forense completa — nuestros ingenieros de respuesta de WP-Firewall están disponibles para ayudar. Ayudamos rutinariamente a los propietarios de tiendas a cerrar brechas urgentes, aplicar parches virtuales y verificar que los sitios estén limpios después de vulnerabilidades de alta severidad.

Mantente seguro y actúa rápido: el costo de la demora a menudo es mucho mayor que el esfuerzo de parchear y endurecer hoy.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™