XSS crítico en el plugin Shortcodes Blocks Creator//Publicado el 2026-03-26//CVE-2024-12166

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Shortcodes Blocks Creator Ultimate Vulnerability

Nombre del complemento Creador de bloques de códigos cortos Ultimate
Tipo de vulnerabilidad Secuencias de comandos entre sitios (XSS)
Número CVE CVE-2024-12166
Urgencia Medio
Fecha de publicación de CVE 2026-03-26
URL de origen CVE-2024-12166

XSS reflejado en “Shortcodes Blocks Creator Ultimate” (<= 2.2.0, CVE-2024-12166): Lo que los propietarios de sitios de WordPress deben hacer ahora

Fecha: 24 de marzo de 2026

Una vulnerabilidad recientemente divulgada en el plugin de WordPress “Creador de bloques de códigos cortos Ultimate” (versiones <= 2.2.0) — rastreada como CVE-2024-12166 — es un problema de Cross-Site Scripting (XSS) reflejado que puede ser activado a través del página parámetro. La vulnerabilidad permite a un atacante no autenticado crear una URL que, cuando es visitada por un usuario privilegiado o un administrador, puede resultar en la ejecución arbitraria de JavaScript en el contexto de la sesión del navegador de ese usuario.

Como equipo de seguridad de WordPress en WP-Firewall, tratamos el XSS reflejado en plugins orientados a administradores con alta urgencia. Este aviso explica los detalles técnicos, escenarios de riesgo en el mundo real, detección e indicadores de compromiso, mitigaciones inmediatas que puedes aplicar y mejores prácticas a largo plazo para desarrolladores. También cubrimos cómo un firewall de aplicaciones web gestionado (WAF) y el parcheo virtual pueden protegerte mientras el mantenedor del plugin lanza una solución oficial.

Nota: este aviso evita el código de explotación. El objetivo es informar a los propietarios de sitios y desarrolladores para que puedan responder rápida y seguramente.

Resumen ejecutivo

  • Vulnerabilidad: Cross-Site Scripting (XSS) reflejado a través del página parámetro en el plugin Shortcodes Blocks Creator Ultimate (<= 2.2.0).
  • CVE: CVE-2024-12166
  • Versiones afectadas: versión 2.2.0 y anteriores
  • Impacto: Ejecución arbitraria de JavaScript en el navegador de la víctima después de la interacción del usuario (haciendo clic en un enlace elaborado o visitando una página maliciosa).
  • Privilegios requeridos: ninguno para que el atacante elabore la URL; requiere un usuario privilegiado (típicamente un administrador o editor) para interactuar con el enlace elaborado.
  • Severidad: Media / CVSS ~7.1 (significativa debido al potencial impacto administrativo).
  • Recomendación inmediata: aplicar el parche oficial cuando esté disponible O aplicar mitigaciones en capas ahora — deshabilitar o restringir el plugin, hacer cumplir las mejores prácticas de administración, endurecer el acceso y desplegar reglas de WAF/parcheo virtual.

¿Qué es el XSS reflejado y por qué es peligroso aquí?

El XSS reflejado ocurre cuando una aplicación incluye datos proporcionados por el usuario no sanitizados en una página de respuesta, lo que provoca que un navegador ejecute JavaScript proporcionado por el atacante. A diferencia del XSS almacenado, la carga maliciosa no se almacena de forma persistente en el sitio — se “refleja” de una solicitud y se ejecuta cuando un usuario visita la URL elaborada.

Este problema en particular es peligroso por tres razones:

  1. El plugin expone funcionalidades accesibles a través de páginas de administrador o páginas donde operan usuarios privilegiados. Si un administrador hace clic en el enlace malicioso, el script se ejecuta en un contexto donde son posibles acciones de alto privilegio (configuración del plugin, creación de publicaciones, ediciones de usuarios).
  2. Incluso una corta ejecución de JavaScript puede ser suficiente para robar cookies de autenticación, suplantar administradores, inyectar puertas traseras o cambiar configuraciones críticas del sitio.
  3. El ataque puede ser automatizado a gran escala: los atacantes pueden crear URLs e intentar campañas de phishing, o publicar enlaces para engañar a los administradores para que los visiten.

La vulnerabilidad requiere interacción del usuario (el usuario privilegiado debe hacer clic o visitar), pero ese es un vector realista: un atacante puede enviar un correo electrónico, publicar un mensaje privado o alojar una página que incite al administrador del sitio a seguir el enlace.

Cómo funciona típicamente la vulnerabilidad (a alto nivel)

  • Un atacante construye una URL que apunta a una página en el plugin vulnerable e inyecta código de script malicioso (o caracteres) en el página parámetro u otros campos de consulta.
  • El plugin vulnerable refleja ese parámetro de vuelta en una página HTML sin el escape o saneamiento adecuado.
  • El atacante envía la URL a un usuario con privilegios elevados (administrador u otro rol privilegiado).
  • Cuando el usuario abre la URL, el JavaScript del atacante se ejecuta en el navegador del usuario bajo el origen del sitio (mismo origen), habilitando técnicas potenciales de toma de control de cuentas: robo de cookies, activación de CSRF, mensajes para robar credenciales, manipulación del DOM y llamadas a la API aprovechando la sesión autenticada del usuario.
  • El atacante puede entonces escalar el acceso, crear nuevas cuentas de administrador, subir archivos de plugins/temas maliciosos o persistir una puerta trasera.

Escenarios de ataque realistas

  • Phishing a administradores: Un atacante envía un correo electrónico al propietario del sitio con un enlace que parece ser una URL de sitio legítimo. Si el administrador hace clic, el JavaScript inyectado se ejecuta.
  • Atractivos de sitios de terceros: El enlace malicioso se publica en un foro o se envía de forma privada a un canal de chat del equipo. Cualquier usuario privilegiado que haga clic se ve afectado.
  • Ataques entre sitios que involucran un sitio externo: Un atacante incrusta un enlace elaborado en una página de terceros o mensaje que un administrador visita, causando que se ejecute el XSS reflejado.
  • Seguimientos posteriores a la ejecución: Después de la ejecución inicial del script, el código del atacante puede llamar a puntos finales solo para administradores (a través de XHR/fetch) para crear nuevas cuentas, inyectar opciones maliciosas o instalar plugins/puertas traseras, lo que finalmente lleva a la compromisión del sitio.

¿Quién está en riesgo?

  • Cualquier sitio de WordPress que use la versión 2.2.0 o anterior del plugin Shortcodes Blocks Creator Ultimate.
  • Administradores y otras cuentas de usuario privilegiadas cuyas sesiones de navegador pueden ser engañadas para visitar una URL maliciosamente elaborada.
  • Los sitios con seguridad administrativa débil (inicio de sesión de un solo factor, contraseñas reutilizadas, sin gestión de sesiones) corren un mayor riesgo de compromiso persistente tras un XSS inicial.

Detección: qué buscar

El XSS reflejado es transitorio, por lo que a menudo falta evidencia directa en los archivos del sitio. Busca indicadores indirectos:

  1. Actividad de inicio de sesión inusual o nuevas cuentas de administrador creadas después de clics sospechosos.
  2. Cambios inesperados en la configuración de plugins/temas, publicaciones o páginas.
  3. Solicitudes HTTP salientes desde tu servidor a direcciones IP desconocidas (signo de puerta trasera o exfiltración).
  4. Archivos modificados con marcas de tiempo inesperadas (nuevos archivos PHP, puertas traseras dejadas).
  5. Tareas programadas sospechosas (ganchos cron) que no configuraste.
  6. Registros del servidor web que muestran solicitudes que contienen cadenas de consulta inusuales (especialmente página= con caracteres codificados como %3C, %3E, JavaScript:, o atributos como onerror=).
  7. Alertas de escáneres de malware que indican JavaScript inusual o código ofuscado inyectado en las páginas.
  8. Errores en la consola del navegador o scripts en línea inesperados cuando los administradores cargan ciertas páginas de plugins.

Si sospechas que un administrador comprometido hizo clic en un enlace malicioso, verifica inmediatamente los signos anteriores y procede con la respuesta al incidente.

Pasos de mitigación inmediatos (lista de verificación del propietario del sitio)

Si administras un sitio que utiliza el plugin afectado, toma estos pasos ahora mismo:

  1. Verifique la versión del plugin:
    • Si estás en una versión fija (se lanza una actualización del plugin), actualiza el plugin de inmediato.
    • Si aún no hay un parche disponible, continúa con las mitigaciones a continuación.
  2. Restringe el acceso a las páginas del plugin:
    • Restringe el acceso a las páginas de administración del plugin por IP o por rol. Usa .htaccess, reglas del servidor web o un plugin que limite el acceso de administrador.
    • Implementar la autenticación de dos factores (2FA) para todos los usuarios administradores.
  3. Endurezca las cuentas de administrador:
    • Cambie las contraseñas de administrador de inmediato y haga cumplir contraseñas únicas y fuertes.
    • Cierre todas las sesiones activas (WordPress → Usuarios → Editar perfil → Sesiones) o use un complemento para forzar el cierre de sesión en todas partes.
    • Elimine cuentas de administrador no utilizadas.
  4. Desactive o desactive temporalmente el complemento vulnerable:
    • Si el complemento no es esencial, desactívelo o desinstálelo hasta que esté disponible una versión segura.
    • Si la desactivación no es posible (la funcionalidad del sitio depende de ello), bloquee las páginas de administración del complemento específico utilizando reglas de control de acceso (lista blanca de IP en el área de administración o bloqueando puntos finales específicos).
  5. Escanear y limpiar:
    • Realice un escaneo completo de malware en su sitio y cuenta de hosting.
    • Verifique la integridad de los archivos en busca de archivos modificados o sospechosos en wp-content, wp-includes y la raíz.
    • Restaure desde una copia de seguridad conocida si detecta archivos maliciosos que no puede limpiar de manera segura.
  6. Revocación y secretos:
    • Rote las claves de API, secretos y cambie las contraseñas de cualquier servicio que pueda haber sido expuesto.
    • Considere revocar y volver a emitir cualquier token utilizado para la automatización del sitio.
  7. Registros del monitor:
    • Mantenga una estrecha vigilancia sobre los registros del servidor web en busca de solicitudes sospechosas con parámetros de consulta inusuales o agentes de usuario.
    • Monitoree la creación de nuevas cuentas de administrador e instalaciones de complementos.
  8. Notificar a las partes interesadas:
    • Informe a su equipo y proveedor de hosting si detecta una violación. Si tiene datos de clientes en riesgo, siga cualquier requisito legal o regulatorio de notificación.

WAF y parches virtuales: protegiendo mientras espera un parche oficial

Si aún no está disponible una actualización oficial del complemento, la forma más rápida y menos disruptiva de reducir el riesgo es aplicar parches virtuales con un WAF. Un WAF administrado puede bloquear intentos de explotación antes de que lleguen al código vulnerable.

Acciones recomendadas de WAF (ejemplos y patrones seguros que puede usar para crear reglas):

  • Bloquee caracteres y palabras clave sospechosas en el página parámetro (o cualquier cadena de consulta) para solicitudes que apunten a los puntos finales de administración del complemento.
  • Bloquee patrones de carga útil XSS comunes, como etiquetas de script (<script>) y URIs de JavaScript, controladores de eventos (onerror=, al cargar=), o equivalentes codificados.
  • Aplica reglas específicas solo para solicitudes que coincidan con las rutas del plugin para evitar falsos positivos.

Ejemplo de pseudo-regla (sintaxis pseudo-similar a ModSecurity; adapta para tu interfaz WAF):

Nota: No copies cargas útiles de explotación en registros o reglas. Usa patrones que coincidan con marcadores de intentos de XSS.

# Pseudo-rule: Block requests with script-like patterns to plugin admin pages
If REQUEST_URI contains "/wp-admin/admin.php" AND
   REQUEST_ARGS["page"] matches "(%3C|<).*script.*(%3E|>)|javascript:|onerror=|onload="
Then BLOCK and LOG the request

Otro enfoque es endurecer los caracteres permitidos:

# Pseudo-regla: Permitir solo caracteres seguros para el parámetro de página en los puntos finales del plugin

Si utilizas un servicio WAF gestionado, envía un ticket para obtener un parche virtual personalizado (una regla específica) implementado para tu sitio para bloquear el vector de ataque mientras sigues otros pasos de remediación. Este enfoque reduce el riesgo de inmediato sin cambiar el código del plugin.

Orientación segura para desarrolladores (para autores y mantenedores de plugins)

Si desarrollas plugins de WordPress o eres responsable de este plugin específico, estas recomendaciones enfocadas en desarrolladores son esenciales:

  1. Sanea y escapa toda entrada proporcionada por el usuario:
    • Usa funciones de saneamiento de WordPress como desinfectar_campo_de_texto(), esc_attr(), esc_html(), esc_url(), y wp_kses() cuando corresponda.
    • Nunca imprimas datos no escapados directamente en HTML.
  2. Usa el contexto de salida adecuado para escapar:
    • esc_html() para el contenido del cuerpo HTML.
    • esc_attr() para contextos de atributos.
    • esc_url_raw() / esc_url() para URIs.
    • Usar wp_kses_post() o wp_kses() cuando se permite HTML parcial (y define las etiquetas permitidas).
  3. Usa nonces y verificaciones de capacidad:
    • Validar el usuario actual puede() para acciones de administración.
    • Usar wp_verify_nonce() para acciones POST y envíos de formularios de administración.
  4. Evite reflejar parámetros de consulta en bruto en las páginas de administración:
    • Si debe reflejar parámetros para la navegación o el estado, sanitícelos y utilice listas blancas para los valores esperados.
    • Convierta la entrada en tokens o mapee los valores de consulta a etiquetas seguras conocidas antes de la salida.
  5. Validación del lado del servidor:
    • Valide en el lado del servidor, no solo en el lado del cliente. Nunca confíe únicamente en JavaScript para la validación.
  6. Pruebas de seguridad:
    • Incluya análisis estático automatizado y pruebas dinámicas centradas en inyecciones y XSS.
    • Agregue pruebas unitarias que afirmen el escape esperado para todas las rutas de salida.
  7. Encabezados de respuesta:
    • Devuelva encabezados seguros como Content-Security-Policy (CSP) que restrinjan la ejecución de scripts en línea y reduzcan el riesgo de XSS.
    • Agregue HttpOnly a las cookies cuando sea posible para reducir el robo a través de scripts del lado del cliente.
  8. Lanzamientos de parches rápidos:
    • Cuando se informe de una vulnerabilidad, valide y publique un parche de manera rápida y transparente, incluyendo pasos de actualización recomendados para los propietarios del sitio.

Para proveedores de hosting y agencias

  • Implemente una mitigación global a través del WAF a nivel de host para todos los clientes que utilicen el plugin vulnerable.
  • Ofrezca restringir o deshabilitar temporalmente el plugin para los clientes que no puedan actualizar.
  • Proporcione orientación clara y una lista de verificación de remediación a los clientes (rotación de contraseñas, escaneo, control administrativo).
  • Apoye la respuesta a incidentes y el análisis forense para los clientes que puedan haber sido comprometidos.

Indicadores de compromiso (IoCs) a buscar

  • Entradas de registro web con solicitudes a /wp-admin/admin.php o otros puntos finales de administración que contengan página= con codificado <, >, JavaScript:, onerror=, al cargar=, o otros tokens de manejador de eventos.
  • Nuevos usuarios administradores o usuarios alterados creados poco después de una entrada de registro sospechosa.
  • Cambios en los archivos de plugins/temas con marcas de tiempo que coinciden con actividades sospechosas.
  • Eventos programados no deseados (wp-cron) invocando funciones desconocidas.
  • Opciones modificadas en la opciones_wp tabla (busque valores inesperados o datos serializados).
  • Instalaciones inesperadas de plugins o temas durante el mismo período de tiempo.

Si encuentra alguno de estos, asuma la posibilidad de un compromiso más profundo y considere una respuesta profesional a incidentes.

Recuperación y limpieza si fue comprometido

  1. Desconecte el sitio para contener si hay evidencia clara de compromiso.
  2. Preserva los registros y las instantáneas para análisis.
  3. Reinstale los archivos principales de WordPress desde fuentes confiables.
  4. Reemplace los plugins y temas con copias limpias o restaure desde una copia de seguridad previa al compromiso.
  5. Limpie o reemplace archivos PHP modificados; elimine archivos o scripts PHP desconocidos.
  6. Rote todas las contraseñas (admin, FTP, panel de hosting, base de datos) y claves API.
  7. Reemita cualquier token y secreto expuesto.
  8. Vuelva a escanear el sitio después de la limpieza para asegurarse de que no queden puertas traseras.
  9. Revise los procesos del servidor y los trabajos cron.
  10. Considere restaurar desde una copia de seguridad limpia y aplicar las mitigaciones anteriores antes de reconectar el sitio a Internet.

Por qué un enfoque en capas es esencial

  • Parchear el plugin es la solución correcta a largo plazo, pero una actualización oficial puede tardar.
  • Deshabilitar el plugin elimina la superficie de ataque, pero puede romper la funcionalidad del sitio.
  • WAF/parcheo virtual es rápido y efectivo para bloquear patrones de ataque, pero no es un sustituto de las correcciones correctas del lado del servidor.
  • Una fuerte seguridad de administrador (2FA, gestión de sesiones) reduce la probabilidad de escalada de privilegios después de una ejecución exitosa de XSS reflejado.
  • Las capacidades de monitoreo y respuesta a incidentes te ayudan a detectar y recuperarte rápidamente.

Combinar estas capas — parcheo rápido, protecciones WAF, endurecimiento de administradores, monitoreo continuo y prácticas de desarrollo seguro — brinda la mejor protección.

Ejemplos de patrones de reglas WAF (no copiar cargas útiles)

A continuación se presentan ideas de reglas genéricas y seguras para ayudar a tu equipo de seguridad a configurar bloqueos sin arriesgar falsos positivos. Adáptalas a tu entorno y prueba a fondo.

  • Bloquear solicitudes que apunten a los puntos finales de administración del plugin que incluyan corchetes angulares o tokens XSS comunes en las cadenas de consulta.
  • Desafiar (CAPTCHA) o presentar un intersticial a cualquier solicitud a rutas wp-admin que contenga caracteres codificados sospechosos.
  • Limitar la tasa o bloquear solicitudes repetidas que sondean puntos finales de plugins con codificaciones de parámetros inusuales.
  • Desplegar una regla personalizada que inspeccione el página parámetro en busca de caracteres fuera de una lista blanca esperada (letras, números, guiones, guiones bajos).

Las pruebas y el staging son esenciales antes de aplicar reglas agresivas en producción. Siempre monitorea para detectar falsos positivos (solicitudes legítimas que son bloqueadas).

Lista de verificación práctica para propietarios de sitios (lista de verificación para copiar y pegar)

  • Verificar la versión del plugin. Si hay una actualización disponible, actualizar a la versión parcheada.
  • Si aún no hay parche, desactivar el plugin si es factible.
  • Fuerza el cierre de todas las sesiones de administrador y rota las contraseñas de administrador.
  • Habilitar 2FA para todos los usuarios administradores.
  • Aplicar regla(s) WAF para bloquear valores de página parámetros sospechosos para los puntos finales de administración del plugin.
  • Escanear el sitio en busca de malware y verificar la integridad de los archivos.
  • Restringir el acceso a wp-admin a través de una lista blanca de IP donde sea posible.
  • Verificar si hay nuevos usuarios administradores y tareas programadas inesperadas.
  • Realiza una copia de seguridad del sitio ahora (después de la limpieza) y documenta los pasos del incidente.
  • Suscríbete a fuentes de seguridad confiables para actualizaciones sobre lanzamientos parcheados.

Cómo ayuda WP-Firewall (nuestro enfoque)

En WP-Firewall recomendamos una respuesta práctica y en capas para problemas como CVE-2024-12166:

  • WAF gestionado y parcheo virtual: nuestros ingenieros pueden implementar reglas específicas que bloquean los patrones de explotación conocidos para este XSS reflejado mientras esperas una actualización oficial del plugin. Esto reduce el riesgo sin necesidad de cambiar el código del sitio.
  • Escaneo y limpieza de malware: los escaneos programados detectan indicadores de compromiso temprano. Si sospechas un compromiso, nuestro equipo puede ayudar con limpiezas o proporcionar orientación para restaurar desde copias de seguridad limpias.
  • Herramientas de endurecimiento de administración: ayudamos a hacer cumplir la autenticación de dos factores, políticas de bloqueo y gestión de sesiones para dificultar que los atacantes utilicen una ejecución de XSS para lograr la toma de control de cuentas.
  • Monitoreo y alertas: vigilamos patrones de solicitudes sospechosas y te notificamos rápidamente cuando se intenta un posible exploit para que puedas tomar acción.
  • Orientación de seguridad: listas de verificación accionables y soporte uno a uno para ayudar a agencias y propietarios de sitios a responder rápidamente y limitar daños.

Usar un WAF gestionado en combinación con las otras recomendaciones anteriores proporciona la reducción de riesgo práctica más rápida para problemas de XSS reflejado.

Nuevo: Comienza con el Plan Gratuito de WP-Firewall Hoy

Título: Protege tu Admin de WordPress desde el Primer Clic — Comienza con una Capa de Defensa Gratuita

Entendemos que el tiempo y los recursos varían entre sitios. Si buscas protección inmediata que puedas habilitar hoy, prueba el plan básico gratuito de WP-Firewall. Te brinda defensas esenciales para reducir la exposición a XSS reflejado y otros tipos de ataques comunes:

  • Protección esencial: firewall gestionado que bloquea patrones de ataque comunes.
  • Ancho de banda ilimitado a través de la capa de firewall.
  • Reglas de Firewall de Aplicaciones Web (WAF) para mitigar los riesgos del OWASP Top 10.
  • Escáner de malware que ayuda a detectar scripts inyectados y puertas traseras.

Puedes registrarte para el plan gratuito aquí: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Si necesitas una limpieza más rápida y automatizada y controles más granulares, nuestros planes Standard y Pro añaden eliminación automática de malware, listas negras de IP, capacidades de parcheo virtual, informes de seguridad mensuales y servicios gestionados premium.

Recomendaciones a largo plazo para propietarios y desarrolladores de sitios de WordPress

  1. Mantén los plugins y temas actualizados. Configura actualizaciones escalonadas o pruebas de parches para que puedas aplicar actualizaciones de forma segura.
  2. Solo instala plugins de fuentes reputadas y elimina plugins/temas no utilizados.
  3. Aplica el principio de menor privilegio para los roles de usuario y minimiza los usuarios administradores.
  4. Adopta un WAF y escaneo automatizado como parte del mantenimiento rutinario.
  5. Realizar copias de seguridad regulares y probar restauraciones.
  6. Educa a los administradores y editores sobre los riesgos de phishing: el XSS reflejado típicamente necesita una interacción del usuario como hacer clic en un enlace. La concienciación reduce las tasas de éxito.
  7. Anima a los autores de plugins a adoptar listas de verificación de codificación segura y pruebas de seguridad automatizadas.

Palabras finales: urgencia y equilibrio

Las vulnerabilidades de XSS reflejado como CVE-2024-12166 son comunes pero aún impactantes porque explotan el comportamiento humano. El camino hacia el compromiso típicamente requiere una combinación de vulnerabilidad técnica y una acción del usuario (hacer clic en un enlace elaborado), lo que significa que debemos defender tanto el código como a las personas que lo utilizan.

Acciones inmediatas que debes priorizar:

  • Actualiza el plugin si hay un parche disponible.
  • Si no está disponible, bloquea la superficie de ataque (desactiva el plugin, limita el acceso) y despliega WAF/parches virtuales para detener los patrones de explotación.
  • Fortalece las cuentas de administrador y monitorea los registros en busca de signos de compromiso.
  • Si se sospecha un compromiso, sigue la lista de verificación de recuperación de incidentes y considera ayuda forense profesional.

Reconocemos que las decisiones de seguridad deben equilibrar disponibilidad y riesgo. Si necesitas ayuda para aplicar mitigaciones o deseas una segunda opinión sobre el enfoque correcto para tu sitio, el equipo de WP-Firewall está listo para ayudar.

Mantente seguro, mantén los plugins actualizados y no dudes en aplicar controles en capas mientras esperas los parches de los desarrolladores.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™