Vulnerabilidad crítica de XSS en el plugin Outgrow//Publicado el 2026-03-23//CVE-2026-1889

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Outgrow CVE-2026-1889 Vulnerability Image

Nombre del complemento Superar
Tipo de vulnerabilidad Secuencias de comandos entre sitios (XSS)
Número CVE CVE-2026-1889
Urgencia Bajo
Fecha de publicación de CVE 2026-03-23
URL de origen CVE-2026-1889

Urgente: CVE-2026-1889 — XSS almacenado autenticado (Colaborador) en Outgrow <= 2.1 — Lo que los propietarios de sitios de WordPress deben hacer ahora

Un aviso de seguridad y guía práctica de WP‑Firewall: análisis del XSS almacenado del plugin Outgrow (CVE‑2026‑1889), evaluación de riesgos, detección, mitigación y medidas recomendadas de endurecimiento y WAF — incluyendo mitigaciones inmediatas y soluciones a largo plazo.

Autor: Equipo de seguridad de firewall WP

Nota: Este aviso explica una vulnerabilidad de scripting entre sitios almacenada (XSS) recientemente divulgada que afecta al plugin de WordPress Outgrow (versiones <= 2.1). Está escrito desde la perspectiva de un ingeniero de seguridad de WordPress en WP‑Firewall y está dirigido a propietarios de sitios, administradores, desarrolladores y proveedores que necesitan orientación práctica basada en riesgos.

Resumen ejecutivo

El 23 de marzo de 2026 se divulgó públicamente una nueva vulnerabilidad (CVE‑2026‑1889) que afecta al plugin de WordPress Outgrow (versiones <= 2.1). El problema es una vulnerabilidad de scripting entre sitios almacenada (XSS) autenticada que puede ser activada por un usuario con privilegios de Colaborador. El vector es un atributo de shortcode inseguro (el identificación atributo del superar shortcode) que permite a un Colaborador malicioso almacenar JavaScript o HTML que puede ejecutarse en el contexto de usuarios con mayores privilegios (editores, administradores) o visitantes del sitio bajo ciertas condiciones.

Datos clave:

  • Tipo de vulnerabilidad: Scripting entre sitios almacenado (XSS)
  • Software afectado: plugin de WordPress Outgrow, versiones <= 2.1
  • CVE: CVE‑2026‑1889
  • CVSS (reportado): 6.5 (medio)
  • Privilegios requeridos: Colaborador autenticado (o superior)
  • Impacto: Inyección de scripts persistente que conduce al robo de sesiones, escalada de privilegios de ataques de ingeniería social, contaminación de contenido e impactos en la cadena de suministro dependiendo de los objetivos del ataque.
  • Estado del parche en el momento de escribir: no hay parche oficial del proveedor disponible (los propietarios de sitios deben aplicar mitigaciones y monitorear actualizaciones; los pasos a continuación explican acciones inmediatas)

Este artículo explica cómo funciona la vulnerabilidad en un lenguaje sencillo, quién está en riesgo, cómo detectar explotación activa o artefactos, pasos inmediatos de reducción de riesgos que debe tomar, cómo un Firewall de Aplicaciones Web (WAF) puede proporcionar parches virtuales y soluciones a largo plazo de desarrolladores para eliminar la causa raíz.

Por qué esto es importante: una evaluación de riesgos pragmática

El XSS almacenado es una de las vulnerabilidades de aplicaciones web más peligrosas porque la carga útil maliciosa se guarda en el servidor y se sirve a otros usuarios más tarde. En este caso, un colaborador (un rol que puede crear y editar sus propias publicaciones pero no puede publicar) puede almacenar una carga útil elaborada dentro del identificación atributo del shortcode de Outgrow. Cuando ese contenido se renderiza y es visto por un editor, administrador o a veces incluso visitantes (dependiendo de dónde se use el shortcode), la carga útil se ejecuta en el contexto del navegador de la víctima.

Las consecuencias incluyen:

  • Robo de cookies y tokens de autenticación (que conducen a la toma de control de cuentas).
  • Acciones no autorizadas realizadas bajo una sesión de admin/editor (ediciones de publicaciones, cambios de plugin/tema).
  • Persistencia sigilosa: los atacantes pueden modificar contenido o plantar puertas traseras más profundas en el sitio.
  • Daño a la reputación y SEO (redirecciones maliciosas, contenido de spam).
  • Movimiento lateral si se obtiene acceso administrativo (panel de hosting, integraciones de servicios externos).

Aunque el atacante inicial necesita una cuenta de Contribuidor, este rol se utiliza comúnmente en blogs de múltiples autores y en sitios que aceptan contenido de usuarios. Muchos sitios permiten contribuyentes externos o ejecutan flujos de trabajo editoriales donde los editores previsualizan o aprueban el contenido de los contribuyentes—exactamente la situación que permite que XSS almacenado alcance objetivos de alto valor.

Cómo funciona la vulnerabilidad (nivel alto, enfoque defensivo)

  • El plugin Outgrow proporciona un shortcode (por ejemplo, [outgrow id="..."]) que acepta un identificación atributo.
  • El plugin no logró sanitizar o validar adecuadamente el contenido proporcionado en ese identificación atributo antes de almacenarlo o renderizarlo.
  • Un Contribuidor malicioso agrega una publicación o borrador que incluye el shortcode con un identificación valor especialmente diseñado que contiene cargas útiles de HTML/JavaScript.
  • Cuando un Editor/Admin previsualiza o ve el contenido (en el editor, en el front end, o en una interfaz administrativa donde se renderiza el shortcode), el navegador ejecuta el script almacenado.
  • El atacante puede entonces realizar acciones en el contexto del usuario privilegiado o exfiltrar tokens/cookies accesibles en ese contexto.

Matiz importante: Debido a que los Contribuidores no pueden publicar, muchos sitios con flujos de trabajo editoriales dependen de los editores para previsualizar o publicar las presentaciones de los contribuyentes. Ese es el mecanismo exacto que hace que esta vulnerabilidad sea práctica.

¿Quién está en riesgo?

  • Sitios que utilizan el plugin Outgrow (<= 2.1).
  • Sitios que permiten cuentas de Contribuidor (autores invitados, contenido de fuentes externas, blogs de múltiples autores).
  • Sitios donde el contenido de los contribuyentes es previsualizado, editado o renderizado por usuarios de mayor privilegio (editores, administradores) en contextos que ejecutan shortcodes.
  • Entornos multisite o de agencia donde muchas personas tienen privilegios elevados para revisar contenido.

Si su sitio no tiene contribuyentes o el plugin Outgrow instalado, su exposición es baja. Pero muchos propietarios de sitios descubren plugins de terceros instalados por desarrolladores anteriores o incluidos en un paquete de tema; haga un inventario rápido.

Acciones inmediatas (primeras 24 horas)

Si gestionas un sitio de WordPress que utiliza el plugin Outgrow, sigue estos pasos de remediación prioritarios de inmediato:

  1. Inventario y confirmación

    • Confirma si el plugin Outgrow está instalado y su versión.
      • A través de WP‑Admin: Plugins → Plugins instalados
      • A través de WP‑CLI: wp plugin get outgrow --field=version
    • Identifica dónde se utilizan los shortcodes:
      • Busca en publicaciones, páginas, widgets y opciones el patrón [outgrow usando tu editor o con WP‑CLI:
        • wp post list --post_type=any --format=ids | xargs -n1 -I% wp post get % --field=post_content | grep -n "\[outgrow"
  2. Reduce el riesgo inmediato: limita el alcance de los Colaboradores

    • Desactiva temporalmente a los Colaboradores de crear nuevo contenido o configúralos en un estado bloqueado hasta que puedas sanitizar el contenido y aplicar un parche:
      • Elimina o desactiva la capacidad de crear borradores, o cambia los roles a Suscriptor temporalmente para colaboradores desconocidos.
      • Usa el plugin Members o el editor de capacidades o WP‑CLI para alterar roles: wp rol eliminar-cap contribuyente editar_publicaciones (solo si el flujo de trabajo lo permite).
    • Exige que los editores/admins no previsualicen el material de los colaboradores en la misma sesión del navegador utilizada para tareas administrativas.
  3. Desactiva o aísla el plugin Outgrow (si es práctico)

    • Si no puedes aplicar un parche del proveedor de inmediato y el plugin no es esencial, desactívalo:
      • wp plugin deactivate outgrow
    • Si el plugin es necesario pero puede ser restringido, restríngelo a páginas donde el contenido de los colaboradores no pueda aparecer (política de contenido temporal).
  4. Elimina los shortcodes peligrosos del contenido (si se encuentran)

    • Sanitizar o eliminar los superar códigos cortos de las publicaciones creadas por autores no confiables.
    • Ejemplo (administrador): usa un plugin de búsqueda y reemplazo o WP-CLI para eliminar [superar ...] las ocurrencias de publicaciones escritas por cuentas de Contribuidor. Siempre haz una copia de seguridad de la base de datos primero.
  5. Rotar credenciales y tokens sensibles

    • Si sospechas que el sitio ha sido explotado en el pasado, rota las contraseñas de administrador, las claves API y vuelve a emitir cualquier credencial que pudiera ser filtrada.
  6. Habilitar monitoreo y alertas adicionales

    • Activa el monitoreo de integridad de archivos y registros adicionales para detectar cambios sospechosos.
    • Inspecciona los registros del servidor y los registros de actividad de WordPress en busca de solicitudes inusuales, cambios repentinos de contenido por cuentas de contribuidor y intentos de inicio de sesión fallidos/exitosos.

Detección — qué deben buscar los defensores

Debido a que el XSS almacenado persiste en el contenido, la detección requiere tanto inspección de contenido como monitoreo de comportamiento:

  • Busca instancias de códigos cortos con sospechas identificación valores:
    • Buscar identificación atributos que contengan <, > o la secuencia de caracteres JavaScript: o onerror= o al cargar= o entidades HTML que se decodifican en scripts.
    • Los payloads codificados pueden usar %3Cscript%3E o codificación de entidades HTML — busca %3C, <, < patrones dentro de los atributos de shortcode.
  • Ver historial de revisiones y borradores creados por cuentas de Contribuidor:
    • Muchos sitios retienen revisiones de publicaciones y borradores; revísalos en busca de contenido malicioso.
  • Telemetría del navegador de admin/editor:
    • Si tienes acceso a los registros del navegador o informes de la Política de Seguridad de Contenido, busca eventos de ejecución de scripts bloqueados relacionados con páginas donde los contribuyentes publican contenido.
  • Registros del servidor web y WAF:
    • Observa las solicitudes que incluyen cargas útiles de shortcode en los cuerpos de POST a wp‑admin/post.php o puntos finales de admin‑ajax.
  • Signos de compromiso:
    • Nuevos usuarios administradores, tareas programadas sospechosas (trabajos cron), plugins o temas desconocidos instalados, o conexiones de red salientes inesperadas desde procesos PHP.

Si descubres contenido sospechoso, pone en cuarentena esas publicaciones y trata cualquier credencial de administrador utilizada recientemente como potencialmente comprometida.

Cómo ayuda un WAF (Cortafuegos de Aplicaciones Web) — parcheo virtual y mitigación

Un WAF es un control crítico para la reducción inmediata de riesgos. Proporciona parcheo virtual — interceptando solicitudes maliciosas y bloqueando intentos de explotación antes de que lleguen al código vulnerable. Desde un punto de vista práctico, dado que los parches del proveedor pueden retrasarse, las reglas del WAF pueden neutralizar rápidamente el vector de ataque.

Acciones clave del WAF que recomendamos:

  • Crea una regla para bloquear o sanitizar cualquier superar atributo de shortcode identificación valores que contengan indicadores de script.
  • Bloquea los POST que envían nuevo contenido de publicación que contenga \[superar con caracteres sospechosos en el identificación atributo (por ejemplo, <, >, JavaScript:, on\w+=).
  • Marca y bloquea los intentos de insertar entidades HTML o cargas útiles codificadas en los atributos de shortcode.
  • Limita o niega cuentas de contribuyentes sospechosas que de repente publican contenido que contiene código potencialmente ejecutable.
  • Aplica parcheo virtual para evitar que la entrada controlada por el usuario se renderice como HTML: si una solicitud de página contiene un shortcode con identificación eso incluye <script o %3Cscript%3E, niegue o sanee la respuesta.

Ejemplo (ilustrativo) de regla de estilo ModSecurity — defensiva, no código de explotación:

# Bloquear intentos de inyectar script o controladores de eventos en el atributo id del shortcode outgrow"

Contenidos de /etc/modsecurity/pm_outgrow_id_patterns.txt podrían incluir patrones para bloquear:

  • <script
  • JavaScript:
  • on\w+\s*=
  • %3Cscript%3E
  • <script

Asegúrese de probar las reglas del WAF cuidadosamente en staging antes de un despliegue amplio para evitar falsos positivos.

Si está utilizando un servicio de firewall de WordPress gestionado (como WP‑Firewall), recomendamos aplicar una firma de parche virtual inmediata que:

  • Monitorea los POST a los puntos finales de administración donde se guarda el contenido del colaborador.
  • Bloquea las presentaciones de contenido donde el shortcode outgrow identificación el atributo contiene caracteres fuera de una lista blanca esperada (como dígitos y guiones si el id es numérico o alfanumérico).
  • Opcionalmente, sanea las respuestas para que los shortcodes se rendericen de forma segura hasta que esté disponible una solución oficial del plugin.

Soluciones recomendadas para desarrolladores (cómo parchear el plugin correctamente)

Las soluciones a largo plazo deben aplicarse en el código del plugin. Los autores del plugin deben validar y sanear la entrada y tratar cualquier atributo proporcionado por el usuario como no confiable.

Para los mantenedores del plugin Outgrow o desarrolladores de sitios que pueden editar el código del plugin, el enfoque seguro es:

  1. Validar identificación en el momento de la entrada

    • Si el identificación se supone que debe ser numérico, conviértalo con (int)$atts['id'].
    • Si el identificación es alfanumérico, aplica una expresión regular de lista blanca estricta: preg_replace('/[^A-Za-z0-9_-]/', '', $id).
  2. Sanitizar en la salida

    • 13. Para campos que legítimamente permiten HTML (contenido enriquecido), use esc_attr() al generar HTML.
    • Escapar nodos de texto con esc_html().
  3. Evitar renderizar atributos no escapados en la página. Ejemplo de patrón seguro:

    &lt;?php
  4. Agregar verificaciones de permisos del lado del servidor

    • Si no se espera que el contenido del colaborador incluya ciertos códigos cortos, evitar procesarlos en las vistas previas administrativas.
    • Sanitizar el contenido guardado por los colaboradores (usar KSES o sanitize_text_field) para eliminar etiquetas/atributos no permitidos de los campos que se renderizarán en contextos administrativos.
  5. Usar nonce y verificaciones de capacidad en puntos finales de AJAX/REST

    • Asegurarse de que los puntos finales que aceptan atributos validen capacidades y nonces, para prevenir inyecciones automatizadas.

Si mantienes el plugin o tienes un socio desarrollador, prioriza una versión de actualización que incluya estos pasos de endurecimiento y publica notas de lanzamiento claras para que los propietarios de sitios puedan actualizar con confianza.

Pasos forenses y posteriores al incidente

Si sospechas de explotación activa, sigue estos pasos de manera profesional:

  1. Aislar el sitio (modo de mantenimiento) si las sesiones administrativas activas pueden exponer tokens sensibles.
  2. Capturar registros de inmediato:
    • Registros de acceso y error del servidor web.
    • Registros de actividad de WordPress (si están disponibles).
    • Volcados de base de datos de publicaciones relevantes y la tabla postmeta (con cuidado, almacenar fuera de línea).
  3. Identificar el contenido malicioso:
    • ¿Qué publicaciones o revisiones incluyen el id de shortcode inyectado?
    • ¿Qué cuentas de usuario autorizaron el contenido?
  4. Preservar evidencia (no alterar registros o archivos) hasta que la revisión forense esté completa.
  5. Eliminar contenido malicioso y cualquier mecanismo de persistencia:
    • Eliminar la carga útil de publicaciones y revisiones.
    • Inspeccionar cargas y plugins/temas activos en busca de archivos o código desconocido.
  6. Rotar contraseñas y revocar tokens comprometidos.
  7. Reinstalar el núcleo de WordPress, plugins y temas de fuentes confiables si detectas manipulación de archivos.
  8. Realizar un escaneo profundo de malware (tanto del sistema de archivos como de la base de datos).
  9. Reconstruir sesiones de administrador (invalidar cookies rotando sales/claves) y volver a emitir credenciales.
  10. Realizar un análisis de causa raíz, publicar notas internas y aplicar lecciones aprendidas a los flujos de trabajo de contenido.

Si necesitas ayuda profesional, contrata a un especialista en seguridad de WordPress. Si estás utilizando un proveedor de seguridad gestionado, solicita un informe completo del incidente y pide recomendaciones de endurecimiento.

Recomendaciones de endurecimiento y operativas a largo plazo

La prevención es menos dolorosa y menos costosa que la limpieza. Considera los siguientes cambios operativos:

  • Reducir el número de cuentas de alto privilegio y adoptar principios de menor privilegio.
  • Utilizar editores basados en roles para flujos de trabajo de revisión de contenido — por ejemplo, usar flujos de trabajo editoriales que permitan vista previa sin renderizar códigos cortos no confiables en un contexto de administrador.
  • Implementar una sanitización de contenido más estricta para roles no confiables:
    • Eliminar códigos cortos al guardar para roles de contribuidor, o requerir un paso de aprobación adicional antes de permitir códigos cortos.
  • Endurecer el entorno de administración:
    • Hacer cumplir la autenticación multifactor para cuentas de editor y administrador.
    • Utilizar gestores de contraseñas y hacer cumplir políticas de contraseñas fuertes.
  • Habilitar características de seguridad:
    • Monitoreo de integridad de archivos, análisis de malware programados y un WAF que recibe actualizaciones de inteligencia sobre vulnerabilidades.
  • Habilitar registro y alertas:
    • Configurar alertas para nuevas instalaciones de plugins, cambios en archivos, cambios en roles de usuario y nuevos usuarios administradores.
  • Mantener un inventario de plugins actualizado:
    • Auditar regularmente los plugins y deshabilitar o eliminar los que no se usen.
  • Mantener sitios de staging/pruebas:
    • Probar actualizaciones de plugins de terceros en staging antes de las actualizaciones en producción.

Ejemplo de lógica de regla WAF (defensiva, conceptual)

Si operas un WAF donde puedes escribir reglas expresivas (por ejemplo, coincidencia de expresiones regulares para cuerpos de solicitud), utiliza un enfoque de lista blanca para identificación atributos y niega patrones sospechosos.

Lógica conceptual:

  • Si REQUEST_URI incluye wp‑admin/post.php o admin‑ajax.php y REQUEST_METHOD es POST:
    • Inspeccionar campos POST que contienen contenido de publicación (por ejemplo, post_content).
    • Si post_content contiene [outgrow y el atributo outgrow identificación contiene caracteres fuera de la lista blanca esperada (por ejemplo, no coincide con ^[A-Za-z0-9_-]+$) — niega la solicitud y marca al usuario para revisión.

Este enfoque previene que las cargas útiles se guarden en la base de datos, deteniendo el XSS almacenado en la fuente.

Mejores prácticas de comunicación — cómo responder públicamente

1. Si eres responsable de un sitio afectado por esta vulnerabilidad y necesitas notificar a las partes interesadas:

  • 2. Sé transparente: expón el problema en términos simples, lo que estás haciendo ahora y qué pasos están en progreso.
  • 3. Evita la jerga técnica para los usuarios finales; proporciona orientación clara para los contribuyentes y clientes sobre si se necesita acción.
  • 4. Documenta los pasos de remediación y proporciona un ETA para las soluciones permanentes.
  • 5. Ofrece canales de soporte para los usuarios que sospechan que sus cuentas fueron afectadas.

6. Lo que WP‑Firewall hace para ayudar (breve resumen)

7. Como proveedor de servicios de firewall y seguridad para WordPress, WP‑Firewall recomienda el siguiente enfoque por capas para los clientes:

  • 8. Patching virtual inmediato: despliega firmas de WAF que apuntan al vector de atributo de shortcode y bloquean patrones comunes de explotación. identificación 9. Escaneo gestionado: realiza escaneos de base de datos y sistema de archivos que detectan cargas útiles almacenadas y shortcodes o contenido de publicaciones sospechosas.
  • 10. Monitoreo de cuentas y capacidades: alerta sobre actividad sospechosa por cuentas de Contribuidor (por ejemplo, envíos masivos de contenido repentinos).
  • 11. Libros de jugadas de respuesta a incidentes: ayudamos a los clientes con pasos de contención y remediación (deshabilitar el plugin, sanitizar contenido, rotar claves).
  • 12. Protección proactiva: nuestro conjunto de reglas gestionadas incorpora mitigaciones de OWASP Top 10 y heurísticas personalizadas para ataques basados en shortcode y atributos.
  • 13. Si usas WP‑Firewall, nuestros sistemas aplicarán parches virtuales y lógica de detección mientras planeas soluciones permanentes.

14. Prueba WP‑Firewall Basic — Protección gratuita que puedes implementar ahora mismo.

15. Protege tu sitio de WordPress de inmediato con nuestro plan Básico (Gratis). Proporciona protecciones esenciales que pueden reducir el riesgo de vulnerabilidades como CVE‑2026‑1889 mientras aplicas parches:

16. Firewall gestionado y firmas de WAF (parcheo virtual)

  • 17. Ancho de banda ilimitado para verificaciones de seguridad
  • 18. Reglas de mitigación mapeadas a los riesgos de OWASP Top 10
  • Escáner de malware para detectar contenido y archivos sospechosos
  • 19. Regístrate para el plan gratuito para obtener monitoreo inmediato, parcheo virtual y escaneo:

Regístrate en el plan gratuito para obtener monitoreo inmediato, parcheo virtual y escaneo: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si necesita capacidades adicionales como eliminación automática de malware, listas negras/blancas manuales, informes de seguridad mensuales o parches virtuales automáticos a gran escala, considere los planes Standard o Pro.)

FAQ — respuestas rápidas

P: ¿Puede un Colaborador tomar el control completo de mi sitio?
R: No directamente. Un Colaborador no puede publicar ni cambiar plugins/temas. Sin embargo, un XSS persistente utilizado contra un Editor o Administrador puede llevar a la toma de control de la cuenta y luego a la completa compromisión del sitio. Por eso, el XSS almacenado de un Colaborador sigue siendo grave.
P: ¿Están en riesgo los visitantes, o solo los administradores?
R: Ambos. Si el shortcode malicioso se renderiza en una página pública que los visitantes cargan, los navegadores de los visitantes pueden ser atacados. A menudo, el riesgo principal es para editores/administradores que previsualizan y publican contenido, pero la exposición pública es posible dependiendo de dónde aparezca el shortcode.
P: ¿Qué pasa si no puedo desactivar el plugin?
R: Utilice parches virtuales WAF, sanee el contenido existente, restrinja las habilidades del colaborador y audite el contenido creado por los Colaboradores hasta que el proveedor publique un parche.
P: ¿Qué tan pronto será parcheado esto por el autor del plugin?
R: Los plazos de los parches varían. Hasta que esté disponible una actualización oficial, utilice las mitigaciones y parches virtuales WAF descritos anteriormente.

Lista de verificación final — inmediato a largo plazo

  • Inventario: ¿Tengo Outgrow instalado? ¿Qué versión?
  • Contener: Desactive temporalmente Outgrow si no es esencial, o restrinja el rol de colaborador.
  • Saneamiento: Busque y limpie publicaciones/revisiones/borradores en busca de shortcodes maliciosos.
  • Monitorear: Aumente el registro, habilite el escaneo de malware y verifique la integridad de los archivos.
  • Parche virtual: Despliegue reglas WAF que bloqueen las cargas útiles de id de shortcode y rechacen POSTs sospechosos.
  • Código de parche: Si controla el plugin, aplique los patrones de saneamiento y escape recomendados anteriormente.
  • Rotar credenciales: Cambie contraseñas y revoque cualquier token comprometido.
  • Educar: Informe a editores y administradores que eviten previsualizar contenido no confiable en su sesión diaria de navegador de administración hasta que el sitio sea remediado.
  • Probar: Después de la remediación, verifique que el sitio y el contenido estén limpios y que las reglas WAF no creen problemas operativos.

Este aviso está escrito para ayudar a los propietarios y operadores de sitios a tomar decisiones informadas y prácticas. Si necesita asistencia con escaneo, parches virtuales o respuesta a incidentes, el equipo de WP‑Firewall está disponible para ayudar. Para protección inmediata y sin costo para reducir el riesgo mientras parchea, regístrese en nuestro plan Básico (Gratis) y habilite el firewall gestionado + WAF hoy: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

— Equipo de seguridad de firewall de WP

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™