Crítico XSS en el Gestor de Permalinks de Premmerce//Publicado el 2026-05-01//CVE-2024-13362

EQUIPO DE SEGURIDAD DE WP-FIREWALL

CVE-2024-13362 Vulnerability

Nombre del complemento Gestor de Permalinks Premmerce para WooCommerce
Tipo de vulnerabilidad Secuencias de comandos entre sitios (XSS)
Número CVE CVE-2024-13362
Urgencia Bajo
Fecha de publicación de CVE 2026-05-01
URL de origen CVE-2024-13362

CVE-2024-13362: XSS reflejado no autenticado en el Gestor de Permalinks Premmerce para WooCommerce — Lo que los propietarios de sitios de WordPress deben hacer ahora

Autor: Equipo de seguridad de WP-Firewall
Fecha: 2026-05-01

Resumen

Se divulgó una vulnerabilidad de Cross-Site Scripting (XSS) reflejado que afecta al Gestor de Permalinks Premmerce para WooCommerce (versiones <= 2.3.11) (CVE-2024-13362). Un atacante no autenticado puede crear una URL que inyecta JavaScript en una respuesta de página reflejada. Aunque la vulnerabilidad es un XSS reflejado, la explotación en el mundo real normalmente implica atraer a un usuario privilegiado (por ejemplo, un administrador de la tienda) a hacer clic en un enlace especialmente diseñado o visitar una página maliciosa, momento en el cual el script inyectado puede ejecutarse en el navegador del administrador y llevar a impactos mucho más serios que un simple cuadro de alerta.

Este aviso explica los detalles técnicos, escenarios de impacto real, cómo detectar si su sitio fue objetivo, mitigaciones inmediatas y a largo plazo, correcciones para desarrolladores y cómo WP-Firewall lo protege incluso cuando un parche del proveedor aún no está disponible.

Nota: CVE-2024-13362 se refiere a este problema. El crédito de la vulnerabilidad corresponde al investigador que lo reportó.

Por qué esto es importante (lenguaje sencillo)

El XSS reflejado permite a un atacante inyectar código de script que se ejecuta en el navegador de cualquier persona que visite una URL diseñada. Si la víctima es un administrador de su sitio de WooCommerce, ese código puede realizar acciones administrativas en nombre del atacante mientras el administrador está autenticado:

  • Robar cookies de autenticación o tokens de sesión
  • Crear o elevar cuentas de usuario
  • Cambiar configuraciones de correo electrónico o de pago
  • Instalar puertas traseras o plugins maliciosos
  • Modificar páginas de productos o flujos de pago para interceptar pagos

Debido a que esta vulnerabilidad específica está en un plugin de gestor de permalinks utilizado por tiendas de WooCommerce, el potencial de daño incluye tanto el compromiso del sitio como el fraude directo en comercio electrónico. Incluso si el plugin vulnerable tiene un alcance de bajo privilegio, el atacante puede dirigirse a usuarios administradores a través de phishing o ingeniería social para lograr un compromiso total del sitio.

Resumen técnico

  • Producto: Gestor de Permalinks Premmerce para WooCommerce
  • Versiones afectadas: <= 2.3.11
  • Tipo de vulnerabilidad: Reflejado Cross-Site Scripting (XSS)
  • CVE: CVE-2024-13362
  • Privilegios requeridos para activar: ninguno para crear el exploit (no autenticado), pero la explotación normalmente requiere que un usuario privilegiado interactúe con el enlace malicioso (interacción del usuario).
  • Impacto: Ejecución de JavaScript arbitrario en el navegador de la víctima; posible compromiso de la cuenta de administrador.
  • Estado del parche: En el momento de la divulgación, no había un parche oficial del proveedor disponible. (Si ve un nuevo lanzamiento del autor del plugin, aplíquelo de inmediato.)

Mecánica (a alto nivel): Un endpoint o página renderizada por el plugin refleja datos controlados por el usuario no sanitizados de vuelta a la respuesta (por ejemplo, un parámetro de consulta reflejado utilizado para construir parte de la página). Si esos datos incluyen HTML/JS (por ejemplo, etiquetas de script o atributos de evento), y la aplicación no escapa o sanitiza adecuadamente esa salida, el navegador lo ejecutará cuando un usuario visite la URL diseñada.

Escenarios de explotación real

  1. Phishing a un administrador
    • El atacante crea una URL que contiene la carga útil y la envía por correo electrónico o chat a un administrador de la tienda.
    • El administrador (conectado al sitio) hace clic en el enlace.
    • El script inyectado se ejecuta en el contexto del administrador y puede realizar acciones solo para administradores (por ejemplo, crear un nuevo usuario administrador, cambiar configuraciones, instalar un complemento).
  2. Página de aterrizaje maliciosa + Recursos externos
    • El atacante publica la URL creada en un foro público o la incrusta en un anuncio.
    • Cualquier administrador que haga clic llega al sitio vulnerable y ejecuta la carga útil.
  3. Explotación por descarga para visitantes regulares
    • Si la vulnerabilidad refleja la entrada en una página de cara al público, un atacante puede dirigirse a los clientes incrustando la carga útil en correos electrónicos de marketing o enlaces compartidos, lo que lleva al robo de cookies o redirecciones dirigidas (fraude/SEO envenenado).

Indicadores de compromiso (IoC) y qué buscar

Si sospechas que tu sitio fue atacado o comprometido, verifica lo siguiente:

  • Usuarios administradores inesperados o roles de usuario cambiados.
  • Archivos nuevos o modificados en wp-content/plugins, wp-content/themes o uploads que contengan código PHP.
  • Tareas programadas inesperadas (trabajos cron) en WordPress (ver wp_options ‘cron’ o usar WP Control).
  • Avisos de administrador desconocidos, nuevos complementos instalados sin tu conocimiento, o configuraciones modificadas (correo electrónico de la tienda, ganchos de pago).
  • Registros del servidor (registros de acceso) que muestran solicitudes GET/POST con cadenas de consulta sospechosas o patrones similares a cargas útiles, tales como:
    • script>
  1. Aislar y preservar evidencia
    • Realiza una copia de seguridad completa (archivos + base de datos) y conserva los registros del servidor. Esto permite la investigación y recuperación.
  2. Reduce la exposición
    • Si es posible, desactiva temporalmente el complemento vulnerable (Premmerce Permalink Manager para WooCommerce). La desactivación evita que se ejecute la ruta de código vulnerable.
    • Si la desactivación es disruptiva y debes mantener el complemento activo, restringe el acceso de administrador (ver pasos a continuación).
  3. Restringir el acceso de administrador
    • Fuerza un restablecimiento de contraseña para todas las cuentas administrativas.
    • Habilite la autenticación de dos factores (2FA) para todos los administradores de inmediato.
    • Restringa el acceso a /wp-admin y /wp-login.php por IP donde sea posible (por ejemplo, a través del firewall del servidor o WP-Firewall).
  4. Aplique reglas de Firewall de Aplicaciones Web (WAF) y parches virtuales.
    • Despliegue una regla WAF para bloquear patrones comunes utilizados en XSS reflejado: solicitudes que contengan “<script”, “onerror=”, “onload=”, “javascript:” y subcadenas sospechosas similares en cadenas de consulta o datos POST.
    • Los clientes de WP-Firewall pueden activar reglas gestionadas que detectan y bloquean patrones de XSS reflejado y parchear virtualmente la vulnerabilidad hasta que se publique un parche oficial del plugin.
  5. Registros de monitorización
    • Esté atento a intentos repetidos y bloquee las IPs ofensivas a nivel de servidor o WAF.
  6. Notifica a las partes interesadas
    • Informe a su proveedor de alojamiento y a cualquier equipo interno relevante sobre el incidente para que puedan ayudar con la monitorización y contención.

Mitigaciones a corto plazo (24–72 horas)

  • Mantenga el plugin desactivado hasta que esté disponible un parche oficial.
  • Si el plugin debe permanecer activo por razones comerciales:
    • Use WP-Firewall para crear una regla personalizada que bloquee o sanee el(los) endpoint(s) específicos utilizados por el plugin (vea los ejemplos de reglas a continuación).
    • Limite las acciones administrativas a IPs específicas o acceso VPN.
    • Haga cumplir encabezados estrictos de Política de Seguridad de Contenidos (CSP): aunque CSP no es un reemplazo para la saneamiento de entradas, puede reducir el impacto de XSS reflejado al desautorizar scripts en línea o restringir fuentes de scripts.
  • Realice un escaneo completo de malware y verificación de integridad:
    • Escanee el sistema de archivos en busca de archivos recientemente cambiados.
    • Compare los archivos centrales de WordPress con sumas de verificación oficiales.
    • Escanee la base de datos en busca de JavaScript inyectado (busque etiquetas de script dentro de post_content, options o widgets).
  • Rote las claves API y las credenciales de servicio utilizadas por el sitio (por ejemplo, pasarelas de pago, servicios de correo electrónico) como precaución.

Dureza a largo plazo (post-incidente y prevención)

  • Principio de mínimo privilegio:
    • Solo otorgue derechos de administrador a las cuentas necesarias.
    • Use cuentas separadas para editores de contenido y administradores técnicos.
  • 2FA obligatorio: Requerir autenticación de dos factores para todos los usuarios privilegiados.
  • Limita la exposición del plugin:
    • Solo instalar plugins de autores reputados. Verificar actualizaciones antes de implementarlas en producción.
    • Reducir el número de plugins a aquellos que realmente necesite.
  • Preparación y pruebas:
    • Validar actualizaciones de plugins y correcciones de seguridad en un entorno de pruebas antes de desplegarlas en producción.
    • Utilizar pruebas de seguridad automatizadas como parte de su pipeline de CI/CD si aloja código personalizado.
  • Mantener todo actualizado:
    • Actualice regularmente el núcleo de WordPress, los temas y los complementos.
    • Suscribirse a boletines de seguridad para componentes críticos utilizados en su pila.
  • Implementar encabezados CSP estrictos y otros encabezados de seguridad (X-Frame-Options, X-Content-Type-Options, Referrer-Policy).
  • Usar una defensa en capas: firewall del servidor, filtrado a nivel de red, WAF y endurecimiento de la aplicación.

Guía para desarrolladores: cómo corregir adecuadamente XSS reflejado

Si usted es un desarrollador que mantiene un plugin o código de tema personalizado, la solución generalmente implica una validación adecuada de entrada y escape de salida:

  1. Nunca muestres la entrada del usuario sin procesar
    • Siempre escapar datos al mostrarlos en HTML.
    • Para el texto del cuerpo HTML: usa esc_html() o wp_kses() con una lista de permitidos de HTML seguro.
    • Para atributos: use esc_attr() o esc_url() (para URLs).
    • Para contextos de JavaScript: usa json_encode() y luego mostrar de manera segura en JS a través de wp_localize_script o atributos data-*.
  2. Sanea las entradas temprano
    • Usar desinfectar_campo_de_texto(), intval(), absint(), sanitize_key(), o otros sanitizadores de WordPress para hacer cumplir los tipos esperados.
    • Validar que los datos entrantes se ajusten a los formatos esperados (slugs, enteros, correos electrónicos).
  3. Usar nonces y verificaciones de capacidad para acciones que modifican el estado.
    • Siempre verifica el usuario actual puede() antes de las acciones de administrador y verificar nonces con wp_verify_nonce().
  4. Evite reflejar datos no confiables en las respuestas HTML
    • Si debe reflejar la entrada del usuario (por ejemplo, términos de búsqueda), escápelo y considere codificar caracteres que podrían interpretarse como etiquetas.
  5. Use declaraciones preparadas para consultas a la base de datos
    • Evite construir SQL concatenando la entrada del usuario — use $wpdb->prepare().
  6. Prueba
    • Agregue pruebas unitarias e integradas que afirmen que no se produce salida peligrosa para entradas manipuladas.
    • Use herramientas de escaneo automatizadas y revisión manual de código para nuevas versiones.

Ejemplo de patrones de salida segura en PHP:

<?php

Reglas WAF de ejemplo que puedes aplicar de inmediato.

A continuación se presentan patrones de reglas de ejemplo que puede usar en un WAF (mod_security / Nginx / generador de reglas WP-Firewall). Estos son patrones generales — ajústelos para evitar falsos positivos en entradas legítimas.

Nota: Pruebe cualquier regla en un entorno de pruebas antes de habilitarla en producción.

  1. Bloquear inyecciones básicas de etiquetas de script (regla similar a mod_security)
SecRule ARGS|ARGS_NAMES|REQUEST_HEADERS|REQUEST_URI "@rx (<|%3C)\s*script" \n    "id:1001001,phase:2,deny,status:403,log,msg:'Reflected XSS - script tag detected',severity:2"
  1. Bloquear controladores de eventos en línea comunes y pseudo-protocolo javascript:
SecRule ARGS|REQUEST_URI|REQUEST_BODY "@rx (onload|onerror|onmouseover|onclick|javascript:|document\.cookie|window\.location)" \n    "id:1001002,phase:2,deny,status:403,log,msg:'XSS reflejado - evento en línea o protocolo JS',severity:2"
  1. Regla de mayor confianza para solicitudes del área de administración
    (Solo se aplica a solicitudes a /wp-admin o puntos finales de administración de plugins) 
SecRule REQUEST_URI "@contains /wp-admin" \n    "chain,id:1002001,phase:1,deny,log,msg:'Block suspicious admin-area XSS attempts'"
SecRule ARGS|REQUEST_HEADERS|REQUEST_BODY "@rx (<|%3C).*script|onerror|onload|javascript:" \n    "t:none"
  1. Ejemplo de Nginx (bloqueo básico en el bloque del servidor)
if ($arg_custom != "" ) {
  1. Regla personalizada de WP-Firewall (amigable para humanos)
    – Condición: La solicitud contiene un parámetro de consulta o un campo POST con un valor que coincide con la expresión regular:
    – expresión regular: (?i)(<\s*script|onerror\s*=|onload\s*=|javascript:)
    – Acción: Bloquear, registrar y desafiar (opcional) a los infractores por primera vez; bloquear automáticamente a los infractores reincidentes.

Las reglas gestionadas de WP-Firewall ya incluyen muchos patrones de XSS: habilítalos y aplica parches virtuales para este CVE mientras esperas un parche del proveedor.

Lista de verificación de respuesta a incidentes (paso a paso)

  1. Preservar registros y hacer copias de seguridad
  2. Pon el sitio en modo de mantenimiento si es posible
  3. Desactivar el plugin vulnerable (o sacarlo de línea)
  4. Hacer cumplir el restablecimiento de la contraseña de administrador y habilitar 2FA
  5. Aplicar regla(s) de WAF para bloquear el patrón de explotación de inmediato
  6. Escanear el sitio en busca de indicadores de compromiso (archivos maliciosos, nuevos usuarios administradores)
  7. Eliminar usuarios y archivos no autorizados
  8. Rotar todas las credenciales y claves API utilizadas por el sitio web y los servicios asociados
  9. Reconstruir archivos comprometidos a partir de fuentes limpias si es necesario
  10. Endurecer el acceso de administrador (restricciones de IP, 2FA, limitar intentos de inicio de sesión)
  11. Monitorear registros en busca de actividad sospechosa de seguimiento durante al menos 30 días
  12. Cuando un parche oficial esté disponible del autor del plugin, probar en staging y aplicar en producción
  13. Realizar un análisis post-mortem y actualizar los manuales de respuesta a incidentes basados en las lecciones aprendidas

Cómo podría verse un compromiso completo (por qué deberías tomar en serio el XSS)

Un XSS reflejado exitoso contra una sesión de administrador no es una molestia localizada de “alerta de script”. A través del navegador del administrador, un atacante puede:

  • Instalar un plugin de puerta trasera que persista a través de actualizaciones.
  • Modificar archivos de tema o plugin para inyectar código PHP malicioso.
  • Exportar bases de datos o listas de usuarios que incluyan correos electrónicos de clientes.
  • Modificar configuraciones de pago para desviar pagos.
  • Crear nuevos usuarios administradores y ocultarlos en la base de datos.
  • Instalar mineros o redirigir tráfico para fraude de SEO/anuncios.

Debido a que el ataque aprovecha los derechos de un administrador legítimo, es sigiloso y peligroso. La remediación a menudo implica limpiar el código y rotar secretos, lo que es costoso y disruptivo para los sitios de comercio electrónico.

Cómo WP-Firewall protege tu sitio de WordPress (lo que hacemos de manera diferente)

Como el equipo detrás de WP-Firewall, nuestro enfoque se centra en la prevención en capas y la mitigación rápida para problemas como CVE-2024-13362:

  • Reglas de WAF gestionadas: Implementamos y mantenemos reglas de XSS e inyección que están ajustadas para patrones de plugins de WordPress, incluyendo XSS reflejado y vectores dirigidos a administradores.
  • Parches virtuales: Cuando se divulga una vulnerabilidad y aún no hay un parche oficial disponible, implementamos parches virtuales (reglas de WAF) que bloquean intentos de explotación para los puntos finales afectados. Esto cierra la ventana de exposición mientras se espera actualizaciones del proveedor.
  • Escaneo de malware y remediación: Escaneos automáticos encuentran archivos nuevos o modificados que parecen puertas traseras o webshells y los eliminan (disponible en planes de pago).
  • Protección del área de administración: La limitación de tasa, la lista blanca de IP y las páginas de desafío para solicitudes administrativas sospechosas reducen la probabilidad de ataques exitosos dirigidos a administradores.
  • Registro y alerta en tiempo real: Recibe alertas inmediatas por intentos de explotación bloqueados, picos de tráfico sospechosos y actividad de sondeo repetida.
  • Consultoría y configuración de seguridad: Ayudamos a configurar reglas específicas del sitio; por ejemplo, si alojas múltiples tiendas o usas un CDN, adaptamos las reglas para que obtengas protección con un mínimo de falsos positivos.
  • Inteligencia de amenazas transparente: Nuestro equipo monitorea divulgaciones (CVE) que afectan el ecosistema de WordPress y aplica protecciones específicas en el conjunto de reglas del firewall rápidamente.

Al combinar protecciones automáticas (reglas gestionadas) con la capacidad de crear reglas personalizadas, WP-Firewall permite una mitigación rápida y de bajo riesgo para vulnerabilidades, incluso cuando un parche del proveedor está pendiente.

Ejemplo: Aplicando un parche virtual de WP-Firewall para XSS reflejado

(Flujo de trabajo conceptual: la consola de WP-Firewall proporciona una interfaz guiada.)

  1. Identificar el punto final vulnerable (por ejemplo, página de administración del plugin o URL pública).
  2. Crear una nueva regla:
    • Alcance: Solicitudes donde REQUEST_URI contiene /wp-content/plugins/premmerce-permalink-manager O solicitudes a una ruta de administración específica.
    • Condición: Cualquier ARGS o ARGS_NAMES coincide con regex (?i)(<\s*script|onerror\s*=|javascript:|document\.cookie|window\.location).
    • Acción: Bloquear y registrar. Opcionalmente, devolver un 403 y notificar a los administradores.
  3. Prueba: Habilitar la regla en modo “monitoreo” para validar falsos positivos durante 24 horas, luego habilitar el modo “bloquear”.
  4. Monitorear registros: Si hay un alto volumen, aplicar límites de tasa o bloquear rangos de IP, o implementar CAPTCHA en cualquier formulario de cara al público.
  5. Eliminar el parche virtual después de que se aplique y pruebe el parche del proveedor.

Este enfoque brinda protección rápida sin cambiar el código del plugin o romper la funcionalidad.

Recuperación y próximos pasos después de la remediación

  • Después de limpiar y parchear, restaurar cualquier archivo central o de tema alterado de fuentes confiables.
  • Reinstalar plugins de repositorios oficiales y aplicar actualizaciones del proveedor.
  • Volver a ejecutar análisis de malware y verificaciones de integridad para asegurarse de que no quede nada.
  • Revisar los registros de auditoría para confirmar que no se realizaron acciones no autorizadas durante el período de exposición.
  • Reemitir credenciales y notificar a los clientes si los datos de usuario pueden haber sido expuestos.
  • Revisa las políticas de aprovisionamiento de plugins: si un plugin tiene una mala higiene de seguridad, considera soluciones alternativas o desarrollo personalizado.

Ejemplos prácticos: regex seguro para bloquear intentos de XSS

Usa estos patrones para detectar posibles cargas útiles de XSS. Recuerda: las regex pueden producir falsos positivos; pruébalas primero en modo de monitor.

  • Detectar etiquetas de script:
    • (?i)<\s*script\b
  • Detectar el protocolo pseudo javascript:
    • (?i)javascript\s*:
  • Detectar controladores de eventos comunes:
    • (?i)on(?:load|error|mouseover|click|submit)\s*=
  • Detectar vectores codificados sospechosos:
    • (?i)%3C\s*script|%3Csvg%2Fonload

Aplica estas verificaciones a los campos ARGS, REQUEST_URI, COOKIE y REQUEST_BODY.

Una nota para anfitriones y agencias

Si gestionas múltiples tiendas de WooCommerce, automatiza estas protecciones en tu pipeline de implementación. Las reglas de parcheo virtual pueden aplicarse de manera centralizada en los sitios para cerrar la ventana de exposición de inmediato. Monitorea los patrones de ataque y coordina con tus clientes para programar actualizaciones de plugins y ventanas de mantenimiento.

Por qué la protección proactiva de WAF es importante cuando los parches de los proveedores se retrasan

Los parches de los proveedores son la solución definitiva, pero no siempre llegan rápidamente; y una vez que una vulnerabilidad es pública, los atacantes intentan la explotación masiva de inmediato. Un WAF gestionado con capacidad de parcheo virtual reduce el riesgo durante esa ventana crítica al:

  • Bloquear intentos de explotación en el borde antes de que lleguen a WordPress.
  • Permitir que los equipos continúen operaciones mientras se organizan las respuestas a incidentes y los horarios de parcheo.
  • Reducir la exposición del cliente y el riesgo financiero para los sitios de comercio electrónico.

Las actualizaciones de reglas gestionadas de WP-Firewall y el mecanismo de parcheo virtual están diseñados específicamente para abordar estos escenarios de manera rápida y segura.

Asegura tu sitio ahora: WP-Firewall Basic te ayuda a bloquear vulnerabilidades rápidamente

Título: Por qué WP-Firewall Basic es tu primera línea de defensa contra las vulnerabilidades emergentes de plugins

Si estás ejecutando una tienda de WooCommerce (o cualquier sitio impulsado por WordPress), necesitas protecciones que reaccionen más rápido que las sondas de explotación de día cero. El plan Basic (Gratis) de WP-Firewall ofrece protecciones esenciales y gestionadas que cubren las amenazas más comunes y peligrosas de aplicaciones web:

  • Cortafuegos gestionado con reglas WAF ajustadas para WordPress
  • Ancho de banda ilimitado y bloqueo en tiempo real
  • Escaneo de malware para detectar archivos sospechosos y código inyectado
  • Mitigación para las categorías de ataque del OWASP Top 10 (incluyendo XSS, SQLi, CSRF)
  • Gestión de reglas simple para que puedas agregar protecciones personalizadas cuando sea necesario

Regístrate para el plan Básico gratuito hoy y agrega una capa de defensa inmediata mientras aplicas otros pasos de remediación: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si necesitas eliminación automática de malware, listas negras/blancas de IP, o parches virtuales con actualizaciones gestionadas, considera nuestros planes Estándar o Pro para reducir la carga manual y acelerar la recuperación.)

Lista de verificación final — acciones rápidas a tomar ahora

  • Desactiva el Gestor de Enlaces Permanentes de Premmerce para WooCommerce (<= 2.3.11) si está activo y un parche aún no está disponible.
  • Habilita las protecciones de WP-Firewall (reglas gestionadas) y agrega una regla específica para bloquear patrones de carga útil XSS.
  • Fuerza restablecimientos de contraseña y habilita 2FA para todos los administradores.
  • Realiza copias de seguridad y preserva registros para la investigación.
  • Escanea y limpia tu sitio, rota credenciales y monitorea la actividad de seguimiento.
  • Cuando el proveedor del plugin publique un parche, aplícalo en staging, luego en producción.

Reflexiones finales

XSS reflejado en un plugin que interactúa con el manejo de enlaces permanentes es un ejemplo clásico de cómo un pequeño descuido en la codificación puede permitir que un atacante escale una vulnerabilidad limitada en un compromiso total del sitio. La respuesta más efectiva combina contención inmediata (desactivar plugin, regla WAF), mitigación rápida (parcheo virtual) y limpieza exhaustiva (escaneos, rotación de credenciales).

Si deseas ayuda para aplicar parches virtuales, configurar protecciones solo para administradores, o ejecutar un proceso de limpieza y endurecimiento, el equipo de WP-Firewall está disponible para ayudar. Nuestra consola de gestión y biblioteca de reglas están diseñadas para proteger tiendas de WordPress de manera rápida y segura durante ventanas de divulgación como esta.

Mantente seguro y mantén WordPress minimalista y bien mantenido — cuantas menos partes móviles, menor será tu superficie de ataque.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™