Asegurando el Plugin de Campos Calculados Contra XSS//Publicado el 2026-03-17//CVE-2026-3986

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Calculated Fields Form CVE-2026-3986 Vulnerability

Nombre del complemento Formulario de Campos Calculados
Tipo de vulnerabilidad Secuencias de comandos entre sitios (XSS)
Número CVE CVE-2026-3986
Urgencia Bajo
Fecha de publicación de CVE 2026-03-17
URL de origen CVE-2026-3986

Aviso de seguridad urgente: XSS almacenado en el plugin Calculated Fields Form (CVE-2026-3986) — Lo que los propietarios de sitios de WordPress deben hacer ahora

Desglose técnico y guía de mitigación práctica para el XSS almacenado autenticado (Contribuyente) en el plugin Calculated Fields Form (≤ 5.4.5.0). Respuesta a incidentes paso a paso, detección, endurecimiento y cómo WP‑Firewall puede proteger su sitio — incluyendo un plan gratuito que puede habilitar hoy.

TL;DR — Una vulnerabilidad de Cross-Site Scripting (XSS) almacenado (CVE-2026-3986) que afecta a las versiones del plugin Calculated Fields Form ≤ 5.4.5.0 permite a un usuario autenticado con privilegios de Contribuyente guardar contenido elaborado en la configuración del formulario del plugin que puede ejecutarse más tarde en el navegador de usuarios con mayores privilegios. Actualice el plugin a 5.4.5.1 de inmediato. Si no puede actualizar ahora, aplique mitigaciones: restrinja las capacidades de Contribuyente, limpie las configuraciones de formularios almacenados, use un Firewall de Aplicaciones Web (WAF) para parchear virtualmente y audite la actividad del usuario. A continuación se presenta un análisis técnico completo y una lista de verificación de remediación y monitoreo paso a paso.

Introducción

Como defensores y practicantes de WordPress, vemos patrones recurrentes: los plugins que aceptan HTML o marcado similar a JavaScript en las configuraciones a veces no logran sanitizar o escapar adecuadamente esos datos en el momento de la representación. Cuando esos datos almacenados se muestran más tarde en un contexto administrativo, se convierte en una oportunidad para el cross-site scripting (XSS) almacenado. El 13 de marzo de 2026 se informó de un problema de XSS almacenado divulgado públicamente (CVE-2026-3986) para el popular plugin Calculated Fields Form. El proveedor emitió un parche en la versión 5.4.5.1.

Esta publicación explica el problema en términos técnicos simples, por qué es importante incluso si la explotación requiere autenticación, cómo los atacantes pueden aprovecharlo y mitigaciones inmediatas y a largo plazo que puede aplicar — incluyendo reglas concretas de WAF, consultas de detección, verificaciones de base de datos y acciones de respuesta a incidentes que puede usar hoy.

¿Qué sucedió? (resumen)

  • Se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en las versiones del plugin Calculated Fields Form ≤ 5.4.5.0.
  • La vulnerabilidad permite a un usuario autenticado que tiene el rol de Contribuyente (o superior) inyectar contenido en la configuración del formulario del plugin que no se escapa adecuadamente al renderizar.
  • Ese contenido inyectado puede ser ejecutado más tarde por usuarios privilegiados (administradores, editores u otros roles que ven las configuraciones vulnerables), habilitando acciones como robo de sesión, escalada de privilegios a través de cadenas CSRF+XSS, desfiguración o inyección de malware.
  • El problema se solucionó en la versión 5.4.5.1. Los administradores deben actualizar de inmediato.

Por qué un Contribuyente autenticado puede ser peligroso

WordPress tiene un conjunto rico de roles y capacidades, pero muchos sitios dan a los contribuyentes la capacidad de crear contenido. En la mayoría de los entornos, los contribuyentes no son de confianza, pero los plugins a menudo asumen que el contenido creado por roles autenticados es seguro. Los atacantes que controlan cuentas de contribuyentes (a través de stuffing de credenciales, ingeniería social o registro de front-end mal configurado) pueden usar esas cuentas para almacenar cargas maliciosas. El XSS almacenado es particularmente potente porque persiste en el sitio y se ejecuta en el navegador de alguien con mayores privilegios — exactamente el patrón que esta vulnerabilidad habilita.

Escenario de ataque (alto nivel)

  1. Un atacante obtiene o crea una cuenta de Contribuyente en el sitio objetivo.
  2. El contribuyente utiliza la interfaz de configuración del formulario del plugin para guardar valores elaborados que incluyen construcciones similares a HTML/JS.
  3. El plugin almacena esos datos sin un escape suficiente.
  4. Un usuario privilegiado (administrador/editor) carga más tarde la página de administración afectada (por ejemplo, visualizando o editando la configuración o entradas del formulario).
  5. El navegador interpreta el contenido almacenado dentro de un contexto administrativo y ejecuta JavaScript en la sesión del administrador.
  6. El atacante puede realizar acciones privilegiadas a través de la sesión del administrador (por ejemplo, crear usuarios administradores, exfiltrar credenciales o instalar puertas traseras), o pivotar hacia un compromiso a nivel de sitio.

Por qué actualizar es el primer y mejor paso

El proveedor ha lanzado una solución oficial en la versión 5.4.5.1 que aborda la falla subyacente de sanitización/escape. Aplicar parches del proveedor elimina la vulnerabilidad en la fuente y siempre es el primer paso recomendado.

Si puedes actualizar ahora:

  • Toma una instantánea/copia de seguridad antes de actualizar (archivos + DB).
  • Actualiza el plugin a 5.4.5.1 a través del administrador de WP o reemplaza directamente los archivos del plugin.
  • Después de actualizar, verifica el comportamiento del plugin (abre la configuración del formulario, verifica que no se rendericen cargas útiles sospechosas).
  • Rota cualquier cookie de administrador/sesión si sospechas de compromiso.

Si no puedes actualizar de inmediato, sigue las mitigaciones a continuación.

Análisis técnico (qué buscar)

Aunque los internos del plugin varían, estas son las mecánicas probables basadas en la divulgación reportada:

  • El plugin almacena configuraciones de formularios (etiquetas, fórmulas, HTML personalizado) en las opciones de WordPress, postmeta o una tabla específica del plugin.
  • Los campos de entrada que aceptan marcado (HTML en áreas de texto, configuraciones de visualización personalizadas) no fueron sanitizados/codificados en la salida.
  • La sanitización fue insuficiente cuando los datos almacenados se muestran dentro de las páginas de administración o se renderizan dentro de atributos/manejadores de eventos.
  • La ejecución ocurre cuando un administrador visita la configuración del formulario o una página que renderiza el campo almacenado sin escapar.

Indicadores que deberían hacerte investigar

  • Creación/modificación reciente de formularios por cuentas de contribuyentes.
  • Contenido similar a spam o extraño en la configuración del formulario o etiquetas.
  • Etiquetas de script inesperadas, atributos de eventos, vectores svg/onload, URIs javascript: incrustados en la configuración del plugin.
  • Registros de actividad inusual de administradores alrededor de páginas que renderizan configuraciones del plugin (por ejemplo, administradores viendo formularios o guardando postmeta).
  • Cambios en filas de wp_options o postmeta relacionadas con el plugin con contenido similar a HTML.

Mitigaciones prácticas inmediatas (paso a paso)

  1. Actualiza ahora (preferido)
    • Actualiza Calculated Fields Form a 5.4.5.1 o posterior.
  2. Si no puede actualizar de inmediato
    • Elimina o desactiva temporalmente el plugin hasta que puedas actualizar.
    • Si la eliminación rompe la funcionalidad crítica, reduce la exposición:
      • Restringe las cuentas de Colaboradores para que no accedan a las páginas del plugin (ver pasos de capacidad a continuación).
      • Usa un WAF para bloquear cargas maliciosas y aplica un parche virtual (ejemplos a continuación).
      • Restringe la navegación de los administradores por las páginas del plugin hasta que el contenido haya sido auditado.
  3. Restringir las capacidades de Contribuidor
    • Los Colaboradores no deberían poder editar la configuración del plugin. Usa un gestor de roles/capacidades para eliminar capacidades que permitan el acceso a la interfaz de administración del plugin (por ejemplo, eliminar ‘edit_posts’ de la capacidad de la interfaz específica del plugin o bloquear el acceso a las páginas de administración del plugin).
    • Alternativamente, requiere un flujo de trabajo de aprobación: requiere que los Editores/Administradores aprueben los formularios antes de publicar.
  4. Audita y limpia el contenido almacenado
    • Busca en la base de datos entradas sospechosas (busca “<script”, “onerror=”, “javascript:” etc).
    • Ejemplo de búsqueda de WP‑CLI (seguro, solo lectura): 
      wp db query "SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%onerror=%' LIMIT 100;"
    • Puedes adaptar las consultas a las tablas del plugin (si utiliza tablas de DB personalizadas).
    • Para cada entrada sospechosa: copia en un entorno seguro, revisa el contenido y elimina o sanitiza los fragmentos maliciosos. Restaura desde una copia de seguridad previa a la explotación si es necesario.
  5. Rota las credenciales de administrador y revisa las sesiones
    • Fuerza el cierre de sesión de todas las sesiones activas para administradores y rota las contraseñas de las cuentas de administrador.
    • Habilita 2FA para cuentas de administrador/editor.
  6. Endurezca la navegación del administrador
    • Aplica una Política de Seguridad de Contenido (CSP) que impida la ejecución de scripts en línea en las páginas de administración cuando sea posible.
    • Considera habilitar “Bloquear ediciones de archivos” y otros pasos estándar de endurecimiento de WP.

Recomendaciones de WAF y parches virtuales

Un WAF te proporciona una capa de mitigación inmediata mientras actualizas o limpias el sitio. Aquí hay reglas y ejemplos prácticos de WAF que puedes implementar. Las reglas deben ajustarse para evitar falsos positivos en contenido HTML legítimo utilizado por editores de confianza.

  1. Bloquear solicitudes que contengan patrones comunes de XSS enviadas a los puntos finales de administración del plugin
    • Ejemplo de pseudo-regla (conceptual):
      • Coincidir solicitudes HTTP POST a /wp-admin/* o a los puntos finales AJAX del plugin donde un parámetro contenga “<script” O “javascript:” O “onerror=” O “onload=” O “data:image/svg+xml”.
      • Bloquear con 403 o sanitizar la entrada y alertar.
    • Ejemplos de patrones para coincidir en los cuerpos de POST:
      • /<\s*script/i
      • /on\w+\s*=\s*[“‘]?javascript:/i
      • /javascript\s*:/i
      • /<svg[\s\S]*onload=/i
  2. Prevenir la entrega de XSS almacenado en el momento de renderizado
    • Identificar páginas donde se renderizan las configuraciones del plugin y sanitizar el HTML saliente eliminando atributos similares a script antes de enviarlo al navegador (Modificación de Contenido).
    • Ejemplo: eliminar atributos que comienzan con “on” (onload, onclick) del HTML almacenado al mostrarse en páginas de administración.
  3. Bloquear parámetros GET sospechosos de administración y referidos
    • Bloquear cargas de páginas de administración que contengan valores de parámetros sospechosos (por ejemplo, parámetros de URL que son largos y contienen fragmentos de script) y registrarlos.
  4. Limitar la creación de formularios / contenido por cuentas de bajo privilegio
    • Limitar las solicitudes POST a los puntos finales del plugin para cuentas de contribuyentes (límite por minuto/hora).
  5. Monitorear y notificar sobre vistas de administración de configuraciones del plugin
    • Activar alertas de detección cuando los administradores carguen páginas de configuración del plugin (especialmente si esas páginas están mostrando contenido que coincide con patrones conocidos).

Ejemplo de regla WAF (conceptual, ajustar antes de producción)

Nota: Lo siguiente es una regla conceptual que muestra patrones y acciones. Adapte a la sintaxis de su motor WAF.

- Nombre de la regla: Bloquear-Campos-Calculados-XSS-Almacenado.

Lista de verificación de detección y respuesta

Si sospecha de explotación, realice esta lista de verificación en orden:

  1. Aislar y preservar
    • Hacer una copia de seguridad completa (archivos + DB) y hacer una copia para análisis forense. Preservar los registros del servidor (servidor web, PHP-FPM, base de datos) que cubran el período de tiempo relevante.
  2. Identificar configuraciones potencialmente maliciosas
    • Ejecutar las consultas de descubrimiento WP‑CLI/SQL descritas anteriormente para encontrar construcciones HTML/JS almacenadas sospechosas.
  3. Determinar el alcance del impacto
    • Verificar la actividad reciente de los usuarios administradores, buscar cuentas de administrador desconocidas, instalaciones de plugins sospechosos o cambios en el sistema de archivos (archivos de plugins/temas modificados).
    • Buscar en el directorio de cargas archivos PHP inesperados, puertas traseras o archivos modificados.
  4. Limpiar y restaurar
    • Si el contenido malicioso es pequeño y claramente identificable, eliminar el fragmento y volver a ejecutar los escaneos de seguridad.
    • Si el sitio muestra un compromiso más profundo (nuevos usuarios administradores, webshells o archivos de núcleo/plugin alterados), restaurar desde una copia de seguridad limpia fechada antes del compromiso y rotar todas las credenciales.
  5. secretos rotativos
    • Restablece todas las contraseñas de administradores y editores.
    • Regenerar claves API, tokens de servicio y cualquier secreto de integración de terceros.
  6. Actualiza y refuerza
    • Actualizar el formulario de campos calculados y todos los demás plugins/temas/núcleo.
    • Aplicar los pasos de endurecimiento y los parches virtuales WAF descritos anteriormente.
  7. Monitor
    • Mantener el registro elevado y la monitorización activados durante al menos dos semanas.
    • Monitorear a los usuarios administradores que visualizan o guardan páginas de plugins, y para patrones repetidos de envíos sospechosos.

Comandos de base de datos y WP‑CLI para investigación

A continuación se presentan consultas seguras y de solo lectura que puede ejecutar para encontrar contenido sospechoso. Ejecute estas desde una cuenta de administrador segura o a través de SSH con wp-cli:

  • Encontrar postmeta o opciones relacionadas con plugins sospechosos:
# Buscar etiquetas de script en postmeta"
  • Listar ediciones recientes por cuentas con rol de Contribuyente (requiere un plugin de registro de actividad o consulta contra la tabla de publicaciones donde post_author son los ID de usuario de Contribuyente):
# Encontrar usuarios con rol de 'contribuyente'

Estrategia de limpieza

– Para cada entrada sospechosa encontrada, exportar la fila a un entorno seguro y revisarla. Si contiene solo marcado benigno (por ejemplo, código corto), no se necesita ninguna acción. Si incluye script activo o atributos sospechosos, eliminar y sanitizar, luego volver a probar.

– Cuando haya dudas, revertir la configuración completa del plugin desde una copia de seguridad conocida como buena antes de la fecha de explotación.

– Después de la limpieza, ejecutar un escaneo completo de malware y una verificación de integridad de archivos.

Recomendaciones de endurecimiento (a largo plazo)

  1. Principio de mínimo privilegio
    • Evaluar si las cuentas de Contribuyente necesitan las habilidades que tienen. Limitar quién puede crear o modificar la configuración del plugin.
  2. Filtrado de contenido
    • Donde sea posible, prohibir a los usuarios con bajo privilegio ingresar HTML o JS sin procesar en la configuración del plugin. Proporcionar editores sanitizados.
  3. Escape de salida
    • Los desarrolladores de plugins siempre deben escapar datos dinámicos en la salida utilizando funciones apropiadas (por ejemplo, esc_html(), esc_attr(), wp_kses_post() para etiquetas permitidas). Los propietarios de sitios deben preferir plugins que sigan patrones de codificación segura.
  4. Utiliza encabezados de seguridad
    • Implementar encabezados de seguridad HTTP fuertes:
      • Content-Security-Policy (prohibir scripts en línea para páginas de administración donde sea práctico)
      • 16. X-Frame-Options: SAMEORIGIN
      • 17. Referrer-Policy
      • Referrer-Policy y Strict-Transport-Security
  5. Monitoreo y registro
    • Habilitar el registro de actividades para acciones de usuarios (quién cambió qué y cuándo).
    • Monitorear accesos a páginas de administración y patrones inusuales (múltiples vistas de páginas de administración por IPs de bajo privilegio, etc).
  6. Escaneo programado y pruebas de penetración
    • Ejecutar escaneos de vulnerabilidad periódicos y, para sitios de mayor valor, pruebas de penetración periódicas para descubrir problemas antes de que lo hagan los atacantes.

Acerca del riesgo y CVSS

El CVSS reportado de 6.5 coloca esta vulnerabilidad en una banda de severidad media. Sin embargo, el contexto importa: un XSS almacenado que se ejecuta en navegadores de administrador puede ser un vector para un compromiso total. Cualquier vulnerabilidad que otorgue ejecución del lado del cliente en el contexto de un usuario administrativo debe ser tratada seriamente.

Por qué un Firewall de Aplicaciones Web (WAF) es importante aquí

Un WAF configurado correctamente proporciona varios beneficios:

  • Parchado virtual: Puedes bloquear patrones de explotación conocidos de inmediato, incluso si no puedes aplicar actualizaciones de código de una vez.
  • Limitación de tasa y control de acceso: Limita cómo los contribuyentes interactúan con los puntos finales del plugin.
  • Saneamiento de entrada y bloqueo de contenido: Elimina o bloquea cargas útiles peligrosas en las solicitudes entrantes.
  • Alertas: Activa alertas sobre cargas útiles sospechosas enviadas al área de administración.

Acciones y recomendaciones específicas de WP‑Firewall

En WP‑Firewall construimos capas de protección diseñadas para reducir el tiempo de mitigación para amenazas como esta:

  • Detección automática de firmas de plugins vulnerables conocidos y conjuntos de reglas automatizadas que bloquean cargas útiles XSS comunes dirigidas a puntos finales de plugins.
  • Reglas de WAF parcheadas virtualmente para vulnerabilidades de alto riesgo (aplicadas tan pronto como una vulnerabilidad validada se hace pública).
  • Escaneo e inspecciones programadas de configuraciones y opciones de plugins para construcciones HTML/script sospechosas.
  • Reglas conscientes del rol que aplican un filtrado más estricto para solicitudes de cuentas de bajo privilegio (por ejemplo, Contribuyente).
  • Libros de jugadas de respuesta a incidentes y retención de registros para apoyar investigaciones posteriores a incidentes.

Cómo priorizar la remediación en muchos sitios.

Si gestionas una flota de sitios, prioriza la remediación según la exposición y el valor:

  1. Sitios con registro público habilitado y muchas cuentas de contribuyentes — arreglar primero.
  2. Sitios con usuarios administradores de alto valor (comercio electrónico, membresía o integraciones financieras) — arreglar primero.
  3. Sitios que no tienen copias de seguridad recientes o donde las sesiones de administrador no están protegidas por MFA — mayor prioridad.

Un plan de priorización práctico:

  • Etapa 1 (24 horas): Parchear todos los sitios de producción con el plugin instalado a 5.4.5.1.
  • Etapa 2 (48–72 horas): Auditar y limpiar configuraciones de formularios almacenados en todos los sitios, rotar credenciales de administrador, habilitar 2FA para cuentas privilegiadas.
  • Etapa 3 (1–2 semanas): Desplegar parches virtuales de WAF y monitoreo, realizar escaneos completos del sitio y revisar registros de acceso.

Protege tu sitio hoy con un WAF gratuito y poderoso.

Si estás buscando protección gestionada inmediata mientras parcheas y auditas, WP‑Firewall ofrece un plan Básico gratuito que proporciona protección esencial: un firewall de aplicación web gestionado (WAF), ancho de banda ilimitado, escaneo de malware y mitigación para los riesgos del OWASP Top 10. Actualizar más tarde añade eliminación automática de malware, controles de permitir/bloquear IP, parches virtuales automáticos, informes de seguridad mensuales y servicios gestionados.

Regístrese para el plan Básico gratuito aquí

Resumen rápido del plan:

  • Básico (Gratis): Firewall administrado, ancho de banda ilimitado, WAF, escáner de malware, mitigación para OWASP Top 10.
  • Estándar ($50/año): Añade eliminación automática de malware y listas de permitir/denegar IP (hasta 20).
  • Pro ($299/año): Añade informes de seguridad mensuales, parches virtuales automáticos de vulnerabilidades, complementos premium y servicios gestionados.

Por qué usar el plan gratuito ahora mismo

  • Parcheo virtual: Obtén reglas que bloqueen patrones de ataque conocidos hoy.
  • Detección rápida: Alertas y escaneos de malware priorizan hallazgos críticos.
  • Baja fricción: Despliega rápidamente sin cambiar el código o los flujos de trabajo del sitio.

Preguntas frecuentes (FAQ)

P: Mi sitio no utiliza el plugin Calculated Fields Form. ¿Me afecta?

R: No — esta vulnerabilidad específica afecta solo a las versiones del plugin Calculated Fields Form ≤ 5.4.5.0. Sin embargo, las estrategias de mitigación y los pasos de detección en esta publicación son aplicables a otros plugins que aceptan y renderizan HTML proporcionado por el usuario.

P: El rol de colaborador es de confianza en mi sitio — ¿debería preocuparme aún?

R: Sí. Cualquier rol que pueda almacenar datos que se renderizarán en un contexto de administrador es un vector potencial para XSS almacenado. Limita privilegios y aplica un flujo de trabajo de aprobación cuando sea posible.

P: ¿Se puede sanitizar el contenido automáticamente?

R: Sí — puedes sanitizar campos almacenados utilizando scripts del lado del servidor, rutinas de limpieza o hooks de WP. Pero cuando sea posible, aplica el parche de upstream al plugin. Un WAF también puede sanitizar o bloquear cargas entrantes como una capa de protección.

P: ¿Una Política de Seguridad de Contenido (CSP) evitará este exploit?

R: Una CSP estricta que prohíba scripts en línea y fuentes de scripts externas puede bloquear silenciosamente algunos scripts inyectados. Sin embargo, CSP no es un sustituto para parchear la vulnerabilidad subyacente — es complementaria.

Notas de cierre — defensa proactiva e higiene operativa

El XSS almacenado en contextos administrativos está entre las clases de vulnerabilidad más peligrosas porque aprovecha las relaciones de confianza locales: el usuario está autenticado y el contenido se ejecuta en su navegador con los derechos que ese usuario tiene. Como defensores de los entornos de WordPress, nuestro trabajo es combinar parches rápidos, higiene de roles, protección WAF y monitoreo robusto.

Lista de acciones inmediatas — haz esto ahora:

  • Actualiza Calculated Fields Form a 5.4.5.1.
  • Si no puedes actualizar de inmediato, desactiva el plugin o restringe las capacidades del Colaborador.
  • Ejecute las consultas SQL/WP‑CLI de descubrimiento mostradas arriba para encontrar contenido almacenado sospechoso y eliminarlo.
  • Agregue reglas WAF para bloquear los patrones mostrados arriba y aplique parches virtuales.
  • Rota las credenciales de administrador y habilita 2FA.
  • Monitoree los accesos a la página de administración y establezca alertas para cargas o POSTs sospechosos en la página de administración.

Si necesitas ayuda.

Si necesita asistencia práctica con la detección, limpieza o aplicación de parches virtuales, el equipo de WP‑Firewall ofrece servicios gestionados y respuesta a incidentes de emergencia adaptados a entornos de WordPress. Nuestro plan Básico gratuito es una forma rápida de obtener protección básica mientras trabaja en los pasos de remediación: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Apéndice — Patrones de búsqueda seguros y reglas de monitoreo

Patrones de búsqueda que puede usar en escáneres o registros (no exhaustivo):

  • “<script” (sin distinción entre mayúsculas y minúsculas)
  • “javascript:” utilizado dentro de atributos o URLs
  • “Atributos ”on[a-z]+” (onload, onerror, onclick, etc.)
  • “data:image/svg+xml” con script incrustado o atributos onload
  • Cadenas JSON codificadas inusualmente largas en campos de configuración de plugins

Sugerencias de monitoreo de registros:

  • Alerta cuando los Colaboradores envían formularios o páginas de configuración en la interfaz de administración
  • Alerta cuando los usuarios administradores ven configuraciones de plugins que contienen patrones sospechosos
  • Alerta en eventos de actualización de plugins o si los archivos de plugins son modificados fuera de las ventanas de mantenimiento normales

Recordatorio final

Pache primero. Audite y limpie segundo. Use defensas en capas (WAF + menor privilegio + monitoreo) para reducir la superficie de ataque. El XSS almacenado puede ser sutil, pero con una respuesta medida y basada en procesos puede minimizar rápidamente el radio de explosión y prevenir la compromisión de la sesión del administrador. Si desea un WAF gestionado rápido para implementar parches virtuales y bloquear patrones comunes de XSS de forma gratuita hoy, visite https://my.wp-firewall.com/buy/wp-firewall-free-plan/ y obtenga protección en minutos.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™