Mitigando el riesgo de eliminación arbitraria de archivos de Perfmatters//Publicado el 2026-04-05//CVE-2026-4350

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Perfmatters CVE-2026-4350

Nombre del complemento Perfmatters
Tipo de vulnerabilidad Eliminación arbitraria de archivos
Número CVE CVE-2026-4350
Urgencia Alto
Fecha de publicación de CVE 2026-04-05
URL de origen CVE-2026-4350

CVE-2026-4350 — Eliminación Arbitraria de Archivos en Perfmatters (<= 2.5.9.1): Lo Que Necesitas Saber

El 3 de abril de 2026 se divulgó públicamente una vulnerabilidad de alta severidad (CVE-2026-4350) que afecta al plugin de WordPress Perfmatters. La falla permite a un usuario autenticado con privilegios de Suscriptor desencadenar la eliminación de archivos en un sitio que ejecute versiones vulnerables (<= 2.5.9.1). Una versión corregida (2.6.0) está disponible y debe aplicarse de inmediato.

En esta publicación extensa te guiaremos a través de:

  • Qué es la vulnerabilidad y por qué es peligrosa
  • Cómo un atacante podría explotarlo (conceptualmente)
  • Mitigaciones a corto plazo que puedes aplicar ahora (incluyendo reglas de WAF)
  • Cómo recuperar y endurecer tu entorno
  • Recomendaciones de monitoreo y detección
  • Cómo WP-Firewall puede ayudar a proteger sitios (incluyendo nuestro plan gratuito)

Esta guía está escrita desde la experiencia práctica del mundo real protegiendo sitios de WordPress. Nuestro objetivo es ayudar a los propietarios y administradores de sitios a tomar medidas inmediatas y efectivas sin exponer los pasos de explotación que acelerarían los ataques.

Resumen rápido

  • Componente afectado: plugin de WordPress Perfmatters
  • Versiones afectadas: <= 2.5.9.1
  • Corregido en: 2.6.0
  • CVE: CVE-2026-4350
  • Privilegio requerido: Suscriptor (autenticado)
  • Riesgo: Alto — eliminación arbitraria de archivos en el sitio
  • CVSS (según se publicó): 8.1

Por qué esta vulnerabilidad es importante

La eliminación arbitraria de archivos es fundamentalmente destructiva. Si un atacante puede eliminar:

  • archivos del núcleo de WordPress, archivos de plugins o plantillas de temas, pueden romper el sitio.
  • .archivos .htaccess o de configuración del servidor web, pueden alterar el enrutamiento/seguridad del sitio.
  • wp-config.php o archivos bajo wp-content, pueden afectar la configuración, el acceso a datos o los flujos de escalada de privilegios.
  • Cargas y medios, pueden dañar el contenido y las operaciones comerciales.

Una vulnerabilidad que permite a una cuenta de Suscriptor eliminar archivos es particularmente preocupante porque Suscriptor es un rol de muy bajo privilegio que está comúnmente disponible en muchos sitios (por ejemplo, para clientes, comentaristas o sitios que permiten el registro de usuarios). Los atacantes pueden abusar de cuentas existentes o registrar nuevas cuentas (si el registro está habilitado) para llevar a cabo acciones destructivas.

Esta clase de vulnerabilidad se encuentra bajo “Control de Acceso Roto” — una categoría central de OWASP — porque el plugin no está verificando adecuadamente que el usuario autenticado tenga suficientes privilegios antes de realizar la eliminación de archivos.

Lo que hace la vulnerabilidad (conceptual, no código de explotación)

A un alto nivel, el plugin vulnerable expone un punto final de funcionalidad que acepta un parámetro (llamado “delete” en informes públicos). Cuando se envía una solicitud con ciertos valores, el código del lado del servidor del plugin realiza operaciones de eliminación de archivos utilizando el(los) parámetro(s) proporcionado(s) sin una validación adecuada y sin verificar que el llamador tenga una capacidad suficientemente alta (nivel de administrador) para realizar acciones destructivas.

Puntos clave:

  • El servidor recibe un nombre de archivo/ruta a través de un parámetro de solicitud.
  • El plugin llama a una función de eliminación del sistema de archivos (por ejemplo, PHP unlink) utilizando ese valor.
  • El plugin carece de una fuerte sanitización de rutas y/o impone restricciones débiles, lo que permite la eliminación de archivos fuera del directorio previsto.
  • Las verificaciones de permisos del plugin son inadecuadas: el código permite que cuentas de bajo privilegio (Suscriptor) desencadenen la eliminación.

Debido a que esto requiere autenticación, un atacante no puede desencadenarlo como visitante anónimo. Pero en muchos sitios, los atacantes pueden:

  • Crear cuentas y ser otorgados como Suscriptor por defecto (auto-registro).
  • Obtener cuentas de suscriptor a través de stuffing de credenciales, listas compradas o credenciales previamente comprometidas.
  • Comprometer una cuenta de suscriptor existente utilizando phishing u otra ingeniería social.

Una vez que un usuario autenticado de bajo privilegio puede eliminar archivos, puede romper el sitio y cubrir sus huellas, a menudo antes de que los propietarios del sitio se den cuenta.

Escenarios de explotación realistas

Piensa en los siguientes escenarios del mundo real:

  1. Sitio de registro abierto
    Un blog o sitio de membresía que permite a cualquiera registrarse aceptará miles de cuentas. Un atacante registra una cuenta de suscriptor, llama al punto final del plugin y elimina archivos.
  2. Credenciales de suscriptor comprometidas
    Un suscriptor reutiliza una contraseña comprometida: el atacante inicia sesión y utiliza el punto final destructivo.
  3. Abuso interno / cuenta rebelde
    Un usuario descontento con privilegios de Suscriptor daña intencionadamente el sitio.
  4. Ataques encadenados
    Un atacante utiliza la eliminación de archivos para eliminar archivos de plugins o temas, causando errores. Luego explotan el caos para implementar cambios intrusivos adicionales o puertas traseras.

Debido a que eliminar archivos críticos puede causar interrupciones en el servicio, esta vulnerabilidad es atractiva para los atacantes que desean un impacto rápido (desfiguración, tiempo de inactividad, extorsión).

Indicadores de Compromiso (IoCs) y puntos de detección

Si su sitio podría haber sido objetivo, busque las siguientes señales:

  • Archivos multimedia faltantes en wp-content/uploads o archivos de plugins/temas faltantes
  • Errores 500 repentinos o pantallas en blanco después de solicitudes a puntos finales de administración
  • Mensajes de error en PHP o registros del servidor que indican inclusiones fallidas o archivos faltantes
  • 404 inesperados para archivos/rutas del sistema de archivos que anteriormente existían
  • Entradas de registro que muestran solicitudes autenticadas a puntos finales de plugins con un parámetro “delete” o similar
  • Registros de auditoría de WordPress (si están presentes) que muestran operaciones de archivos iniciadas por usuarios de bajo privilegio
  • Actividad inusual de cuentas para usuarios Suscriptores — nuevas cuentas creadas alrededor del mismo tiempo que las eliminaciones de archivos

Dónde verificar:

  • Registros de acceso/error del servidor web (nginx, Apache)
  • Registros de PHP-FPM y registro de errores de PHP
  • Plugins de actividad o registro de auditoría de WordPress (si están instalados)
  • Administrador de archivos del panel de control del host (marcas de tiempo de modificación de archivos)
  • Monitoreo de integridad de archivos (si tiene herramientas de suma de verificación en su lugar)

Si ve señales de eliminación, desconecte el sitio (modo de mantenimiento) y siga los pasos de recuperación a continuación.

Acciones inmediatas (primeras 1–24 horas)

  1. Actualiza ahora
    Actualice el plugin Perfmatters a la versión corregida (2.6.0 o posterior) de inmediato. Esta es la única solución confiable a largo plazo.
  2. Si no puedes aplicar el parche de inmediato, aplica mitigación
    a. Desactiva temporalmente el plugin (si es factible) hasta que puedas actualizar.
    b. Si desactivar no es posible, desactiva el registro de usuarios públicos y bloquea todas las cuentas de suscriptores (configúralas como pendientes o cambia las contraseñas).
    c. Aplica reglas de WAF o reglas a nivel de servidor para bloquear solicitudes que contengan el parámetro susceptible o al punto final específico del plugin — consulta la guía de WAF a continuación.
  3. Comprobar cuentas de usuario
    Fuerza el restablecimiento de contraseñas para todas las cuentas con privilegios de Suscriptor o superiores; revisa las cuentas creadas recientemente y elimina cuentas sospechosas.
  4. Copia de seguridad y snapshot.
    Toma una copia de seguridad/snapshot completa del sistema de archivos y de la base de datos antes de realizar cambios de remediación — esto permite la investigación y recuperación.
  5. Revisa los registros y escanea
    Revisa los registros del servidor y de WordPress en busca de actividad sospechosa (solicitudes al plugin, eliminaciones de archivos). Ejecuta un escaneo de malware para encontrar manipulaciones adicionales.
  6. Reforzar los permisos de archivo
    Asegúrate de que archivos como wp-config.php no sean escribibles por el usuario del servidor web donde sea práctico; asegúrate de que los archivos del plugin y del núcleo no sean escribibles por todos. Nota: permisos demasiado restrictivos pueden romper las actualizaciones del plugin; prueba con cuidado.

Pasos recomendados de remediación a largo plazo

  1. Aplica parches de manera oportuna y mantén los plugins actualizados
    Siempre ejecuta versiones actualizadas y aplica parches rápidamente para los plugins que realizan operaciones de archivos.
  2. Principio de menor privilegio para los roles de usuario
    Considera si los suscriptores deberían existir en tu sitio. Si no son necesarios, desactiva el registro o cambia a los nuevos usuarios a un rol aún más limitado a través de la gestión de roles.
  3. Fortalecimiento de roles y revisión de capacidades
    Utiliza plugins o políticas para auditar y limitar las capacidades de los roles predeterminados. Elimina capacidades innecesarias del rol de Suscriptor.
  4. Autenticación de dos factores (2FA)
    Aplica 2FA para cuentas con cualquier capacidad elevada, y aplica 2FA para todos los usuarios donde sea práctico para reducir el riesgo de toma de control de cuentas.
  5. Restringe los puntos finales administrativos del plugin
    Limita el acceso a admin-ajax o puntos finales del plugin a usuarios autenticados con capacidades aplicables. Evita exponer acciones de gestión de archivos a través de puntos finales accesibles públicamente.
  6. Implementar monitoreo de integridad de archivos (FIM)
    Utiliza un sistema de integridad de archivos para detectar y alertar sobre eliminaciones o cambios inesperados de archivos. Esto reduce el tiempo entre la compromisión y la detección.
  7. Copias de seguridad regulares y pruebas de restauración
    Tener copias de seguridad automatizadas y fuera del sitio con pruebas de restauración periódicas. La capacidad de restaurar rápidamente reduce significativamente el tiempo de inactividad después de eventos destructivos.
  8. Usar parches virtuales (WAF)
    Donde el parcheo inmediato no es posible, un WAF puede bloquear patrones y solicitudes maliciosas que apuntan a la vulnerabilidad. Consulte la siguiente sección para obtener reglas prácticas de WAF.

WAF y parcheo virtual: mitigaciones prácticas que puede aplicar ahora

Un Firewall de Aplicaciones Web (WAF) proporciona una poderosa protección a corto plazo a través del parcheo virtual: bloqueando solicitudes que coinciden con un patrón de ataque antes de que lleguen al código vulnerable. A continuación se presentan estrategias prácticas de WAF que son efectivas para esta vulnerabilidad. Estas están escritas como reglas conceptuales; su consola de gestión de WAF aceptará condiciones equivalentes.

Importante: estas reglas son ejemplos defensivos: no incluyen cargas útiles de explotación. Están diseñadas para prevenir patrones de abuso comunes alrededor de los puntos finales de eliminación de archivos.

  1. Bloquear solicitudes que incluyan un parámetro “delete” contra los puntos finales del plugin (puntos finales de administrador o AJAX) a menos que el usuario conectado tenga capacidades de administrador.
    • Regla pseudo:
      Condición: la solicitud HTTP incluye un parámetro llamado “delete” (GET o POST) Y la URI objetivo coincide con la(s) ruta(s) del plugin o admin-ajax.
      Acción: Bloquear / Desafiar / Devolver 403 a menos que la sesión indique capacidad de administrador.
  2. Prevenir la traversía de rutas y valores de ruta absoluta en parámetros que están destinados a hacer referencia a archivos dentro de un directorio de cargas.
    • Regla pseudo:
      Condition: parameter value contains “../” or starts with “/” or contains drive-letter patterns (e.g., “C:\”) or contains encoded traversal (%2e%2e, %2f%5c).
      Acción: Bloquear solicitud.
  3. Limitar el acceso a los puntos finales administrativos del plugin por IP (donde sea posible).
    • Regla pseudo:
      Condición: solicitud a /wp-admin/ o admin-ajax.php con un parámetro de acción específico del plugin Y la IP del cliente no está en el rango de la oficina administrativa o no está autenticada como administrador.
      Acción: Bloquear o devolver 403.
  4. Bloquear solicitudes POST donde el referer no coincide con su sitio y contiene un parámetro de eliminación de archivos.
    • Regla pseudo:
      Condición: solicitud POST con un parámetro similar a delete Y el encabezado Referer falta o no coincide con el host del sitio.
      Acción: Bloquear.
  5. Aplicar limitación de tasa a suscriptores autenticados.
    • Regla pseudo:
      Condición: Usuario autenticado con rol de Suscriptor realiza solicitudes que coinciden con los puntos finales del plugin más de X veces en Y minutos.
      Acción: Limitar o bloquear.
  6. Lista blanca de formatos de parámetros seguros (enfoque de lista permitida).
    • Regla pseudo:
      Condición: Si se espera que un parámetro sea un ID numérico, solo permitir caracteres del 0 al 9; si se esperan nombres de archivos específicos, coincidir con patrones regex estrictos que rechazan barras o segmentos de puntos.
      Acción: Rechazar cualquier otra cosa.
  7. Parche virtual dedicado (para dispositivos WAF que lo soporten)
    Si utiliza un WAF gestionado o un servicio de seguridad que soporte parches virtuales, solicite o implemente un parche virtual que bloquee específicamente la ruta de código vulnerable y el uso de parámetros para este complemento hasta que pueda actualizar.

Notas sobre la colocación de reglas y seguridad:

  • Pruebe las reglas en modo “registro” o “monitoreo” primero para evitar falsos positivos.
  • Siempre que sea posible, restrinja por capacidad de usuario autenticado en lugar de solo por IP; las reglas de IP pueden bloquear el trabajo legítimo de administración.
  • Mantenga las reglas limitadas a las rutas y patrones del complemento para evitar romper la funcionalidad no relacionada del sitio.

Ejemplos de plantillas de reglas (pseudo-código)

A continuación se presentan pseudo-reglas ilustrativas que un ingeniero de WAF profesional implementaría. NO copie en producción sin probar y adaptar a su entorno.

1) Bloquear parámetro de eliminación sospechoso con recorrido de ruta

IF (REQUEST_URI contains "/wp-admin/" OR REQUEST_URI contains "admin-ajax.php")
  AND (QUERY_STRING contains "delete=" OR POST_BODY contains "delete=")
  AND (PARAM_VALUE contains "../" OR PARAM_VALUE startswith "/" OR PARAM_VALUE contains "%2e%2e")
THEN block_request (status 403) LOG "suspicious_delete_param"

2) Bloquear a los usuarios no administradores de llamar al punto final de eliminación

SI (REQUEST_URI contiene "perfmatters" O REQUEST_URI contiene "perfmatters-endpoint")

3) Limitar la tasa de solicitudes a nivel de suscriptor a los puntos finales del complemento

SI (USER_ROLE == "subscriber")"

Estas plantillas son intencionalmente genéricas. Los clientes de WP-Firewall tienen acceso a la implementación de reglas gestionadas que se pueden adaptar a cada sitio para evitar romper el tráfico.

Recuperación: si se eliminaron archivos

Si descubre evidencia de eliminación, siga una secuencia de recuperación segura:

  1. Aislar
    Pon el sitio en modo de mantenimiento o tómalo temporalmente fuera de línea para prevenir más daños.
  2. Haga una copia de seguridad del estado actual
    Tome una instantánea del sistema de archivos y la base de datos actuales para análisis forense.
  3. Identificar el alcance
    Determine qué archivos faltan y si hay otros cambios (nuevos archivos, puertas traseras) presentes.
  4. Restaurar desde una copia de seguridad conocida como buena
    Restaure la copia de seguridad limpia más reciente. Verifique la integridad y funcionalidad antes de hacer público el sitio.
  5. Restablecer credenciales y secretos
    Rotar todas las credenciales de administrador e infraestructura (usuarios de WordPress, panel de control de hosting, FTP/SFTP, base de datos, claves API). Regenerar sales en wp-config.php si es relevante.
  6. Escanear y auditar
    Realizar un escaneo completo de malware y auditoría de código en busca de puertas traseras o código inyectado. Verificar si hay cuentas de administrador recién creadas.
  7. Aplicar parches y endurecimiento
    Actualizar el plugin vulnerable a la versión parcheada (2.6.0+), aplicar parches virtuales WAF y seguir los pasos de endurecimiento anteriores.
  8. Seguimiento posterior a la recuperación
    Habilitar registros mejorados, verificaciones de integridad de archivos y alertas durante un período después de la recuperación.

Si careces de recursos para el manejo completo de incidentes, consulta a un proveedor profesional de respuesta a incidentes de WordPress o un servicio de seguridad gestionado.

Prevención de vulnerabilidades similares en el futuro (guía para desarrolladores)

Para autores y desarrolladores de plugins: esta vulnerabilidad es un ejemplo de libro de texto de por qué las operaciones de archivos y acciones destructivas deben implementarse con controles de acceso estrictos y saneamiento.

Mejores prácticas para desarrolladores:

  • Hacer cumplir verificaciones de capacidad que requieran privilegios de nivel administrador para operaciones destructivas.
  • Evitar aceptar rutas de sistema de archivos en bruto de la entrada del usuario. Usar IDs o tokens seguros, y resolver a directorios canónicos y esperados.
  • Normalizar y sanear la entrada; denegar la traversía de rutas, o usar APIs seguras que restrinjan las operaciones a los directorios previstos.
  • Introducir listas de permitidos del lado del servidor para nombres de archivos; preferir referenciar objetos por IDs internos.
  • Realizar una revisión de código rigurosa y pruebas automatizadas en torno a las operaciones de archivos.
  • Usar encabezados de seguridad y nonces para acciones Ajax/admin y verificar el referer y la capacidad del lado del servidor.
  • Documentar el modelo de seguridad y publicar un proceso de divulgación de vulnerabilidades.

Monitoreo y registro: qué habilitar ahora

  • Habilitar registros de acceso detallados del servidor web con entradas con marca de tiempo y IPs de clientes.
  • Mantener registros de errores de PHP para propósitos de depuración y forenses.
  • Si tienes un plugin de auditoría, habilitar el registro de acciones de usuario (inicios de sesión, cambios de rol, operaciones de archivos).
  • Monitore la integridad de los archivos para cambios en archivos críticos y alerte sobre eliminaciones.
  • Configure alertas de WAF para bloqueos relacionados con las reglas de mitigación descritas anteriormente.
  • Revise los registros regularmente: muchas intrusiones muestran signos tempranos en registros de bajo señal antes de un compromiso total.

Por qué una cuenta de bajo privilegio puede ser un gran problema

Muchos propietarios de sitios piensan que el rol de Suscriptor es inofensivo. Sin embargo, en muchas instalaciones, las características de los complementos o los puntos finales de las extensiones amplían inadvertidamente lo que un Suscriptor puede activar. Pequeños descuidos en el código (falta de comprobaciones de capacidad, saneamiento insuficiente) pueden convertir una cuenta aparentemente benigna en una capacidad destructiva. Los atacantes son oportunistas; explorarán puntos finales y parámetros para encontrar fallos lógicos. Por eso, minimizar exposiciones y utilizar múltiples capas defensivas es esencial.

Acerca de la mitigación de WP-Firewall y la protección gestionada

En WP-Firewall adoptamos un enfoque de defensa en profundidad: mantener los sitios seguros requiere parches oportunos, endurecimiento por capas y bloqueo activo de ataques mientras se implementan los parches.

Nuestro enfoque de protección incluye:

  • Reglas de firewall de aplicación web (WAF) gestionadas adaptadas a ecosistemas de WordPress
  • Parchado virtual para bloquear intentos de explotación conocidos para problemas de alta gravedad
  • Escaneo de malware y motores de eliminación para la remediación de amenazas del lado del servidor
  • Monitoreo de integridad de archivos y alertas detalladas
  • Inteligencia de amenazas granular ajustada para complementos y temas de WordPress

Si no puede aplicar parches de inmediato, le recomendamos encarecidamente implementar un parche virtual en su WAF para bloquear vectores de explotación conocidos para el punto final del complemento vulnerable y los patrones de parámetros descritos anteriormente. Incluso el bloqueo a corto plazo reduce significativamente el riesgo de explotación masiva.

Un título simple para fomentar inscripciones a nuestro plan gratuito

Proteja su sitio hoy con WP-Firewall Free: defensas esenciales incluidas

Si desea protección inmediata y continua mientras aplica parches y endurece, considere inscribirse en el plan gratuito de WP-Firewall. Nuestro plan Básico (Gratis) incluye protección de firewall gestionada, un WAF de nivel empresarial, ancho de banda ilimitado, un escáner de malware y mitigación contra los vectores de ataque del OWASP Top 10: todo lo que muchos sitios necesitan para detener ataques como este de llegar a código vulnerable.

Comience con WP-Firewall Free: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Para equipos que necesitan automatización adicional y respuesta rápida, nuestros planes de pago añaden eliminación automática de malware, listas negras/blancas de IP, parchado virtual automático, informes de seguridad mensuales y servicios gestionados premium.

Preguntas frecuentes

P: No uso el complemento Perfmatters, ¿me afecta?
A: Solo los sitios que ejecutan las versiones vulnerables del plugin (<= 2.5.9.1) están directamente afectados. Si no ejecutas el plugin, este CVE específico no se aplica a ti, pero la guía general aquí (parches, WAF, monitoreo) aún mejora la seguridad.

Q: ¿Se requiere acceso anónimo para explotar esto?
A: No — la vulnerabilidad requiere una cuenta autenticada al nivel de Suscriptor o superior. Dicho esto, muchos sitios permiten el registro o tienen cuentas de suscriptores comprometidas, por lo que el riesgo sigue siendo real.

Q: ¿Puede un WAF prevenir completamente la explotación?
A: Un WAF bien configurado con reglas de parches virtuales puede prevenir efectivamente patrones de explotación conocidos, reduciendo significativamente el riesgo mientras aplicas el parche. Sin embargo, la solución definitiva es actualizar el plugin.

Q: ¿Qué pasa si encuentro archivos críticos eliminados — qué debo restaurar?
A: Restaura desde la copia de seguridad limpia más reciente, luego aplica el parche al plugin, rota las credenciales y escanea en busca de puertas traseras. Si tienes dudas, solicita apoyo de respuesta a incidentes.

Notas finales: mantente pragmático y actúa ahora

La seguridad práctica se trata de capas y acciones protectoras rápidas. Para los propietarios de sitios que ejecutan las versiones afectadas de Perfmatters:

  1. Actualiza el plugin a 2.6.0 de inmediato.
  2. Si no puedes actualizar de inmediato, aplica las mitigaciones anteriores (desactiva el plugin, detén nuevos registros, despliega reglas de WAF).
  3. Inspecciona los registros y las copias de seguridad, y prepárate para restaurar desde una copia de seguridad limpia si ocurrieron eliminaciones.
  4. Refuerza los roles y monitorea la actividad sospechosa en adelante.

Si gestionas múltiples sitios, trata esto como un despliegue urgente: verifica las versiones instaladas mediante scripts, automatiza las actualizaciones donde sea seguro y utiliza parches virtuales a gran escala mientras actualizas.

Para asistencia con parches virtuales rápidos o implementación de reglas de WAF personalizadas, las protecciones gestionadas de WP-Firewall están disponibles para proteger sitios mientras remediar. Regístrate en el plan Básico (Gratis) para cobertura inmediata de firewall gestionado y escaneo: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Mantente seguro — y recuerda, la detección rápida más el parcheo virtual inmediato pueden ser la diferencia entre un casi accidente y una costosa interrupción.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™