Mitigando XSS en el plugin de Opciones Generales de WordPress//Publicado el 2026-05-20//CVE-2026-6399

EQUIPO DE SEGURIDAD DE WP-FIREWALL

General Options Plugin Vulnerability Image

Nombre del complemento Opciones Generales
Tipo de vulnerabilidad Secuencias de comandos entre sitios (XSS)
Número CVE CVE-2026-6399
Urgencia Bajo
Fecha de publicación de CVE 2026-05-20
URL de origen CVE-2026-6399

CVE-2026-6399: Lo que los propietarios de sitios de WordPress necesitan saber sobre la vulnerabilidad XSS almacenada del plugin Opciones Generales

El 19 de mayo de 2026, los investigadores de seguridad divulgaron una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que afecta al plugin de WordPress “Opciones Generales” (versiones <= 1.1.0). El problema ha sido asignado como CVE-2026-6399 y tiene un puntaje base CVSSv3 reportado alrededor de 5.9. La debilidad es un XSS almacenado que requiere que un Administrador autenticado proporcione una entrada que luego se renderiza sin suficiente sanitización o escape, y la explotación requiere la interacción de un usuario privilegiado (por ejemplo, haciendo clic en un enlace elaborado o visitando una página de administración especialmente diseñada).

Como profesionales de la seguridad de WordPress, consideramos esto un recordatorio serio: las vulnerabilidades que requieren acceso de administrador pueden ser extremadamente dañinas porque los atacantes frecuentemente apuntan a los administradores del sitio (phishing, relleno de credenciales, ingeniería social). En este artículo explicaremos qué significa esta vulnerabilidad, cómo los atacantes podrían explotarla, cómo detectar signos de abuso, mitigaciones prácticas, un patrón de parche de código seguro sugerido para desarrolladores de plugins, recomendaciones de WAF / parches virtuales, pasos de recuperación post-compromiso y cómo WP-Firewall protege su sitio, incluyendo las características disponibles en nuestro plan gratuito.

Nota: Esta publicación está escrita desde una perspectiva práctica de seguridad de WordPress por el equipo de seguridad de WP-Firewall. El objetivo es dar a los propietarios de sitios y desarrolladores pasos claros y prácticos para reducir el riesgo y responder rápidamente.

Resumen ejecutivo (resumen rápido)

  • Un XSS almacenado en Opciones Generales <= 1.1.0 (CVE-2026-6399) permite que un script malicioso se persista y se ejecute en el contexto de los usuarios que cargan la(s) página(s) afectada(s).
  • Privilegio requerido para crear la carga útil almacenada: Administrador. Sin embargo, la explotación sigue siendo importante porque los administradores pueden ser engañados para realizar acciones, y las cargas útiles almacenadas pueden afectar a otros usuarios administradores o incluso a visitantes del sitio, dependiendo de dónde se renderice la carga útil.
  • Severidad reportada: Media/Baja (CVSS ~5.9) pero el impacto en el mundo real depende de cómo el plugin emite valores almacenados (páginas públicas vs pantallas de administración) y si se engaña a la interacción adicional del usuario.
  • Acciones inmediatas para los propietarios de sitios: parchear si/cuando se publique una actualización oficial; si no hay parche disponible, aplicar pasos de mitigación (restringir el acceso de administrador, verificar cuentas de administrador, habilitar MFA fuerte, usar un WAF o parches virtuales, escanear y limpiar).
  • WP-Firewall proporciona capacidades de WAF gestionado y escáner en el plan gratuito (Básico) que pueden ayudar a bloquear intentos de explotación y detectar cargas útiles maliciosas persistentes.

Cómo funciona el XSS almacenado (breve recordatorio técnico)

El Cross-Site Scripting (XSS) ocurre cuando datos controlables por el usuario se insertan en páginas HTML sin el escape o sanitización adecuados, permitiendo a un atacante inyectar scripts del lado del cliente que se ejecutan en los navegadores de las víctimas.

El XSS almacenado ocurre específicamente cuando la entrada maliciosa se guarda en el servidor (base de datos, configuración o sistema de archivos) y luego se incluye en una página renderizada. Esto es más peligroso que el XSS reflejado porque el contenido malicioso persiste y puede afectar a muchos visitantes o usuarios administradores sin requerir que el atacante proporcione repetidamente la carga útil.

Causas raíz clave:

  • Falta de sanitización cuando se guarda la entrada.
  • Falta de escape cuando el contenido guardado se emite posteriormente.
  • Comprobaciones incompletas de capacidad o nonce durante las operaciones de guardado.

En el caso de CVE-2026-6399, el plugin acepta datos proporcionados por el administrador en opciones generales y luego los emite sin el escape adecuado, haciendo posible el XSS almacenado.

Por qué un XSS “solo para administradores” es importante

Es fácil minimizar instintivamente las vulnerabilidades que requieren privilegios administrativos; después de todo, los administradores son usuarios de confianza. Ese es un error por varias razones:

  1. Los administradores pueden ser atacados directamente. El phishing, la ingeniería social y la reutilización de credenciales son comunes. Una vez que un atacante persuade o engaña a un administrador para que haga clic en un enlace elaborado, se puede activar una carga útil almacenada.
  2. Los paneles de administración a menudo contienen funcionalidades de alto valor (crear publicaciones, editar temas/plugins, crear usuarios). Los scripts almacenados pueden intentar escalar acciones en el contexto del administrador (por ejemplo, crear un administrador adicional, instalar un plugin de puerta trasera, exfiltrar credenciales a través de AJAX).
  3. Las cargas útiles de XSS almacenadas pueden estar diseñadas astutamente para ejecutarse tanto en páginas de administración como en páginas de cara al público (si la opción insegura se muestra a los visitantes), ampliando el impacto.
  4. Los administradores a menudo tienen sesiones persistentes; incluso si el atacante no puede iniciar sesión como administrador, hacer que un administrador cargue una página mientras está conectado es suficiente.

Por lo tanto, incluso una vulnerabilidad con un CVSS más bajo puede llevar a un compromiso total del sitio en la práctica.

Escenarios típicos de explotación

A continuación se presentan flujos de ataque realistas que un adversario podría utilizar:

Escenario A — Ingeniería social + XSS almacenado:

  1. El atacante tiene una cuenta de baja visibilidad o encuentra una manera de enviar un valor de opción (a veces los desarrolladores cometen errores permitiendo que los editores modifiquen ciertas opciones de plugins).
  2. El atacante inyecta una carga útil que almacena una etiqueta o un controlador de eventos en las opciones del plugin.
  3. El administrador recibe un correo electrónico sobre la configuración del plugin y hace clic en un enlace para revisar la configuración mientras está conectado; la carga útil almacenada se ejecuta en el navegador del administrador y envía una solicitud AJAX al servidor del atacante que contiene tokens de autenticación o realiza cambios privilegiados a través de manipulación del DOM y disparadores directos.

Escenario B — Administrador malicioso (amenaza interna):

  1. Para equipos con múltiples administradores, un administrador comprometido o rebelde podría introducir contenido malicioso que apunte a otros administradores o usuarios.
  2. La carga útil se ejecuta cuando otros administradores ven la configuración o cuando el sitio muestra la opción en una página pública.

Escenario C — Exposición de contexto cruzado:

  1. El plugin renderiza algún contenido de opción en el front-end (los visitantes del sitio ven partes de la configuración).
  2. La carga útil se ejecuta en los navegadores de los visitantes, que pueden tener menos privilegios que el administrador, pero aún pueden ser utilizados para desfigurar, redirigir o robar credenciales/cookies de usuario.

Detección: señales a buscar

Si utilizas el plugin de Opciones Generales o plugins similares que almacenan HTML arbitrario, verifica indicadores sospechosos:

  • Búsqueda en la base de datos de contenido similar a scripts en opciones:
    • Ejemplos de SQL (ejecutar desde wp-cli o un cliente de DB; haga una copia de seguridad de la DB antes de consultar en producción):
SELECT option_name, option_value;
  • Look for unusual <script> tags, inline event handlers (onerror, onclick) or encoded payloads (e.g., %3Cscript%3E).
  • Comportamiento inesperado del administrador: cuando inicie sesión como administrador, ¿ve páginas redirigiendo, contenido inesperado apareciendo en el panel de control o ventanas emergentes que no esperaba?
  • Alertas de un escáner de malware (cadenas JS sospechosas, contenido inyectado persistente).
  • Solicitudes HTTP salientes inusuales desde el navegador del administrador a dominios desconocidos cuando visita páginas de configuración.
  • Archivos nuevos o modificados en wp-content/uploads o directorios de plugins/temas (los atacantes a menudo plantan puertas traseras después de un XSS exitoso).

Use el escáner de malware de WP-Firewall para detectar JS sospechosos o cargas útiles almacenadas en opciones y contenido; nuestro escáner verifica patrones comunes y genera alertas si encuentra cadenas similares a scripts en opciones almacenadas.

Mitigaciones inmediatas (si no puede aplicar un parche de inmediato)

Si un parche oficial del plugin aún no se ha lanzado o no puede actualizar de inmediato, aplique mitigaciones por capas:

  1. Restringe el acceso de administrador:
    • Limite los inicios de sesión administrativos a IPs de confianza cuando sea posible (lista blanca de IP).
    • Use controles a nivel de host o su WAF para restringir el acceso a /wp-admin y puntos finales sensibles.
  2. Haga cumplir MFA para todas las cuentas de administrador para evitar compromisos basados en credenciales.
  3. Reduzca el número de administradores y audite las cuentas de administrador (elimine usuarios obsoletos y haga cumplir las mejores prácticas de roles).
  4. Endurecimiento:
    • Asegúrese de tener contraseñas fuertes y desactive XML-RPC si no es necesario.
    • Desactive la edición de archivos en WP (define('DISALLOW_FILE_EDIT', true);).
  5. WAF / parcheo virtual:
    • Aplique reglas de WAF para detectar y bloquear intentos de almacenar etiquetas o cargas útiles sospechosas a través de formularios administrativos (vea las reglas de ejemplo a continuación).
  6. Monitorea y escanea:
    • Realice un escaneo completo del sitio en busca de malware y escaneos programados para contenido sospechoso.
  7. Copias de seguridad:
    • Asegúrese de tener copias de seguridad recientes fuera del sitio; haga una instantánea antes de realizar cambios para que pueda revertir si es necesario.
  8. Desactive temporalmente el plugin vulnerable si es posible y puede aceptar la pérdida de funcionalidad hasta que esté disponible un parche.

Estas mitigaciones reducen la superficie de ataque mientras esperas una remediación oficial.

Ejemplo de reglas WAF a nivel de servidor (parcheo virtual)

El parcheo virtual es un control inmediato práctico: un WAF puede bloquear cargas útiles maliciosas antes de que lleguen al código vulnerable. A continuación se presentan ejemplos de reglas al estilo ModSecurity y explicaciones conceptuales. Usa precaución y ajusta las reglas para evitar bloquear entradas legítimas.

Ejemplo de regla ModSecurity (conceptual):

SecRule REQUEST_URI "@rx /wp-admin/|/wp-admin/options.php|/wp-admin/admin-post.php" \n  "fase:2,rev:'1',msg:'Bloquear intento de XSS almacenado sospechoso en opciones de administrador',id:100001,log,deny,status:403,\n  cadena"

Explicación:

  • Dirígete a los puntos finales de administrador donde se guardan las opciones.
  • Revisa los argumentos/nombres de la solicitud y los valores de los encabezados en busca de firmas típicas de XSS (etiqueta de script, controladores en línea, acceso a document.cookie).
  • Decodifica y convierte a minúsculas las entradas para capturar cargas útiles codificadas.
  • Bloquea (niega) y registra los intentos.

Fragmento WAF personalizado de Nginx + Lua (conceptual):

if ngx.var.request_uri ~* "/wp-admin/" then

Advertencias importantes:

  • Estas reglas son heurísticas y pueden causar falsos positivos; ajusta cuidadosamente y blinda patrones de entrada conocidos como seguros.
  • Los atacantes pueden ofuscar cargas útiles (base64, codificación hex); los WAF deben incluir transformaciones de decodificación para detectar esas formas.
  • Las reglas WAF son una mitigación, no un reemplazo para correcciones de código adecuadas. Son valiosas cuando los parches aún no están disponibles.

El WAF gestionado de WP-Firewall (disponible con nuestro plan Básico/Gratis) incluye firmas y heurísticas para detectar y bloquear patrones de inyección de scripts y puede configurarse para proporcionar parcheo virtual hasta que el autor del plugin publique una actualización oficial.

Solución segura recomendada para desarrolladores de plugins

Si mantienes un plugin que almacena valores de opción arbitrarios, sigue el principio de “sanitizar en la entrada, escapar en la salida”. Aquí hay un ejemplo mínimo para el código de plugin PHP/WordPress para mitigar XSS almacenado:

Al procesar la entrada en tu controlador POST de administrador:

// Verificar capacidad y nonce;

Al mostrar valores de opción almacenados (esto es esencial):

// Escapar para el contexto donde se usa el valor:;

Resumen de mejores prácticas para desarrolladores:

  • Siempre verifica la capacidad: usuario_actual_puede('manage_options') o una capacidad más específica.
  • Usa nonces y valídalos: comprobar_admin_referer.
  • Sanea la entrada usando desinfectar_campo_de_texto(), intval(), floatval(), o wp_kses() dependiendo del contenido permitido.
  • Escape de salida mediante esc_html(), esc_attr(), esc_url(), o wp_kses_post().
  • Registra entradas inesperadas para ayudar a detectar intentos maliciosos.
  • Agrega pruebas unitarias/integración que aseguren que las entradas peligrosas sean saneadas y escapadas.

Respuesta a incidentes: si sospecha explotación

Si detectas una carga útil almacenada o sospechas de explotación, actúa rápidamente:

  1. Aislar:
    • Bloquea temporalmente el acceso a wp-admin desde IPs no confiables (WAF o firewall), y considera poner el sitio en modo de mantenimiento.
  2. Toma copias forenses:
    • Exporta instantáneas de la base de datos y del sistema de archivos para análisis.
  3. Cambia las credenciales:
    • Fuerza el restablecimiento de contraseñas para todos los administradores y revoca sesiones activas (WordPress tiene plugins/acciones para destruir sesiones).
  4. Revoca claves/tokens de API:
    • Reemplaza cualquier credencial de API de terceros que pueda estar almacenada.
  5. Escanear y limpiar:
    • Usa un escáner de malware de buena reputación y busca en la base de datos scripts inyectados (ver detección SQL arriba).
  6. Elimina opciones/entradas maliciosas:
    • Elimina cuidadosamente las cargas útiles almacenadas de wp_options u otro almacenamiento. Ten cuidado con daños colaterales al editar registros de la base de datos: haz una copia de seguridad primero.
  7. Revise los registros:
    • Registros de acceso del servidor web y registros de WAF para POSTs o solicitudes sospechosas que llevaron al evento.
  8. Restaurar si es necesario:
    • Si no se puede garantizar la integridad, restaura desde una copia de seguridad conocida y limpia y vuelve a aplicar el endurecimiento de seguridad.
  9. Postincidente: rota contraseñas, habilita MFA, revisa roles de usuario y aplica una auditoría más profunda.
  10. Considere asistencia profesional si no está seguro.

Los clientes de WP-Firewall se benefician de nuestro escáner de malware y alertas de registro que pueden resaltar solicitudes salientes sospechosas y patrones de scripts y ayudar a acelerar la respuesta.

Endurecimiento a largo plazo: reduzca el riesgo en general.

Estas medidas reducen su exposición al riesgo de XSS y muchas otras clases de vulnerabilidades web:

  • Principio de mínimo privilegio:
    • Limite las cuentas de administrador; use roles específicos para tareas diarias.
  • Autenticación multifactor (MFA). para todas las cuentas privilegiadas.
  • Actualizaciones regulares:
    • Mantenga el núcleo de WordPress, los temas y los complementos actualizados. Si un complemento está abandonado, reemplácelo.
  • Escaneo automatizado:
    • Programe escaneos del sitio para detectar malware y contenido sospechoso.
  • WAF con parches virtuales:
    • Coloque un WAF frente a su sitio para capturar patrones de ataque conocidos e intentos de explotación de día cero.
  • Revise el código del complemento antes de instalarlo:
    • Verifique la reputación del complemento, la fecha de la última actualización y el número de instalaciones activas; realice una revisión rápida del código para los complementos que se utilizarán en contextos de administrador.
  • Use prácticas de codificación seguras para complementos y temas personalizados:
    • Limpie y escape de manera consistente; use verificaciones de capacidad y nonce.
  • Copias de seguridad: Restauraciones fuera del sitio, inmutables y probadas.
  • Monitoreo y alertas:
    • Registre eventos de acceso de administrador, cambios en temas/complementos y modificaciones de archivos inesperadas.
  • Controles a nivel de red:
    • Reduzca el área de superficie limitando el acceso a los puntos finales de administrador (VPN, lista de permitidos de IP) donde sea apropiado.

Cómo WP-Firewall lo protege (capacidades del plan Básico/Gratis)

En WP-Firewall, nuestra misión es reducir el riesgo mientras minimizamos la fricción para los propietarios de sitios. Si utiliza el plan Básico gratuito, obtiene varias protecciones que son muy relevantes para esta situación:

  • Cortafuegos administrado con firmas de WAF que detectan patrones de inyección de scripts y cadenas de explotación conocidas.
  • Ancho de banda ilimitado y operación de WAF amigable con el tráfico para que la protección se adapte a su sitio.
  • Escáner de malware que busca JS sospechoso y cargas útiles almacenadas en opciones de base de datos, contenido y archivos.
  • Reglas de mitigación que apuntan a los riesgos del OWASP Top 10, como inyección y XSS (patrones de parcheo virtual aplicados a vectores de ataque comunes).

Si actualiza a los planes Standard o Pro, también obtendrá capacidades avanzadas:

  • Estándar: eliminación automática de malware y controles de lista negra/blanca de IP.
  • Pro: informes de seguridad mensuales, parcheo virtual automático de vulnerabilidades (despliegue automático de reglas WAF adaptadas a nuevas divulgaciones) y complementos de seguridad gestionados adicionales.

Incluso en el plan gratuito, el WAF y el escáner ayudan a detectar y bloquear muchos intentos de explotación automatizados y manuales contra vectores de XSS almacenados mientras implementa correcciones de código o espera una actualización oficial del complemento.

Ejemplo: cómo el parcheo virtual de WP-Firewall ayuda en la práctica

Cuando una divulgación como CVE-2026-6399 se hace pública, un patrón de respuesta efectivo es:

  1. Escanear su sitio en busca de valores de opción sospechosos y evidencia de explotación (escáner de WP-Firewall).
  2. Aplicar reglas de parcheo virtual dirigidas a los puntos finales de guardado de administrador para bloquear intentos de enviar entradas similares a scripts.
  3. Monitorea los registros del WAF para intentos bloqueados y ajusta las reglas para reducir los falsos positivos.
  4. Limpiar cualquier carga útil persistente encontrada en las opciones.
  5. Una vez que un parche oficial del complemento esté disponible, aplíquelo y luego elimine el parche virtual (o manténgalo para defensa en profundidad).

El parcheo virtual compra tiempo y reduce significativamente el riesgo de explotación masiva mientras permite una remediación segura.

Ejemplos de consultas SQL y comandos wp-cli para detección y limpieza

Siempre haga una copia de seguridad antes de ejecutar consultas de eliminación.

  1. Buscar etiquetas de script en opciones (SQL):
SELECT option_id, option_name, option_value;
  1. Buscar controladores de eventos en línea:
SELECT option_id, option_name;
  1. Usando wp-cli para buscar opciones (más simple, pero puede requerir scripting):
wp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%'"
  1. Para inspeccionar de manera segura y luego eliminar una sola opción a través de wp-cli:
wp option get myplugin_option

Importante: En caso de duda, ponga la opción en cuarentena (cámbiele el nombre para preservar los datos, por ejemplo, update_option('myplugin_option_quarantine', get_option('myplugin_option')); delete_option('myplugin_option')) en lugar de una eliminación ciega.

Campos de monitoreo y registro sugeridos para capturar

  • Todas las solicitudes POST de administrador a /wp-admin/ y /wp-admin/admin-post.php
  • registros de WAF con conteos de reglas activadas y cargas útiles coincidentes.
  • Tiempos de actualización de la base de datos para opciones y tipos de publicaciones personalizadas que contienen HTML.
  • Solicitudes HTTP salientes desencadenadas desde el sitio (conexiones inesperadas pueden indicar exfiltración).
  • Tiempos de modificación de archivos en wp-content/plugins y wp-content/themes.

WP-Firewall incluye registros centralizados para eventos de firewall y alertas de malware para acelerar el triaje.

Lista de verificación práctica para propietarios de sitios (paso a paso)

Si utiliza el plugin de Opciones Generales o similar:

  1. Verifique la versión del plugin. Si hay una actualización del proveedor que aborda CVE-2026-6399 disponible, planee actualizar de inmediato.
  2. Si aún no hay un parche: restrinja el acceso de administrador, habilite MFA para todas las cuentas de administrador y reduzca el número de administradores.
  3. Realice un escaneo completo de malware y opciones (se recomienda el escáner WP-Firewall).
  4. Inspeccione wp_options en busca de contenido similar a scripts y ponga en cuarentena las entradas sospechosas.
  5. Aplique reglas de parche virtual de WAF para bloquear etiquetas/gestores de scripts que apunten a puntos finales de administrador.
  6. Rote las credenciales de administrador, revoque sesiones y revise los roles de usuario.
  7. Si encuentra evidencia de explotación, siga los pasos de respuesta a incidentes anteriores.
  8. Después de la limpieza, considera aumentar la cadencia de monitoreo y habilitar el parcheo virtual automático si está disponible en tu plan de servicio de seguridad.

Guía para desarrolladores: evita estas trampas comunes

  • Nunca confíes en la validación del lado del cliente: siempre sanitiza en el servidor.
  • No almacenes HTML sin procesar a menos que sea absolutamente necesario. Si debes hacerlo, utiliza una lista de permitidos estricta (wp_kses con un conjunto definido de etiquetas y atributos).
  • Siempre escapa la salida según el contexto: el cuerpo HTML, atributo, JS, URL requieren diferentes funciones de escape.
  • Evitar usar evaluar(), dangerously_set_innerHTML construcciones de estilo, o directamente eco de entradas no verificadas en plantillas de plugins.
  • Implementa verificaciones de capacidad y nonces en cada controlador de guardado de configuraciones.

Reflexiones finales

CVE-2026-6399 es un recordatorio útil de que incluso las vulnerabilidades solo para administradores pueden convertirse en el vehículo para compromisos generalizados si no se implementan protecciones en capas. La defensa en profundidad es la única estrategia confiable: codificación segura, exposición limitada de administradores, autenticación multifactor, parcheo virtual a través de un WAF, escaneo programado y respuesta rápida a incidentes.

Ser proactivo — aplicando protecciones básicas de WAF y escaneando mientras pruebas y aplicas parches — es la mejor manera de evitar convertirte en parte de una ola de explotación. Los pasos en esta guía te ayudarán a reducir el riesgo y responder más rápido si se descubre un XSS almacenado en uno de los plugins de tu sitio.

Protege tu sitio con WP-Firewall Basic (Gratis)

El plan Básico de WP-Firewall proporciona protecciones esenciales para mantener los sitios seguros mientras preparas soluciones permanentes. En el plan Básico (Gratis) obtienes:

  • Firewall gestionado y WAF con protecciones ajustadas para patrones comunes de inyección y XSS
  • Ancho de banda ilimitado (el WAF opera sin limitar tu tráfico)
  • Escáner de malware que verifica archivos y contenido de la base de datos en busca de scripts sospechosos y cargas persistentes
  • Patrones de mitigación para los riesgos del OWASP Top 10

Si deseas eliminación automática y bloqueo avanzado, considera Standard o Pro — pero el plan Básico ofrece protección inmediata y práctica sin costo y es un excelente primer paso. Comienza tu plan gratuito ahora: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Si deseas ayuda

Si no estás seguro sobre algún paso anterior o te gustaría asistencia en la triage y ajuste de reglas, el equipo de seguridad de WP-Firewall puede ayudar a analizar registros, ajustar parches virtuales a tu sitio y guiar una limpieza segura. Nuestro enfoque es práctico y directo: nos enfocamos en eliminar el riesgo inmediato, minimizar el tiempo de inactividad del sitio y garantizar la resiliencia a largo plazo.

Mantente seguro y trata cada divulgación de vulnerabilidad pública como un aviso para revisar los modelos de privilegio, aplicar defensa en profundidad y fortalecer los fundamentos de tu postura de seguridad en WordPress.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™