Asegurando el formulario de contacto 7 contra XSS//Publicado el 2026-06-01//CVE-2026-7052

EQUIPO DE SEGURIDAD DE WP-FIREWALL

HT Contact Form 7 Vulnerability

Nombre del complemento HT Formulario de Contacto 7
Tipo de vulnerabilidad Secuencias de comandos entre sitios (XSS)
Número CVE CVE-2026-7052
Urgencia Medio
Fecha de publicación de CVE 2026-06-01
URL de origen CVE-2026-7052

HT Formulario de Contacto <= 2.8.2 — XSS almacenado no autenticado a través del campo de carga de archivos (CVE-2026-7052) — Lo que los propietarios y desarrolladores de sitios de WordPress deben hacer ahora

Publicado el 2026-06-01 por el equipo de seguridad WP-Firewall

Resumen
Se publicó un aviso de seguridad crítico para el plugin HT Formulario de Contacto (versiones hasta e incluyendo 2.8.2). El problema es una vulnerabilidad de scripting entre sitios (XSS) almacenada no autenticada que puede ser abusada a través del campo de carga de archivos. La falla permite a un atacante no autenticado inyectar cargas útiles de JavaScript que serán almacenadas y ejecutadas en el contexto de los visitantes o administradores del sitio. Esta publicación explica el riesgo, los escenarios de explotación, las señales de detección, la mitigación paso a paso y los consejos de endurecimiento a largo plazo — desde la perspectiva de un equipo de seguridad de WordPress experimentado.

Tabla de contenido

  • Lo ocurrido (nivel alto)
  • Por qué esto es peligroso (escenarios de ataque)
  • Causa raíz técnica (lo que los desarrolladores hicieron mal)
  • Prueba de concepto (alto nivel, no accionable)
  • Quién está en riesgo y evaluación CVSS
  • Acciones inmediatas para propietarios de sitios (paso a paso)
  • Mitigación temporal si no puedes actualizar ahora
  • Recuperación post-incidente y lista de verificación forense
  • Guía para desarrolladores: cómo corregir correctamente
  • Cómo detectar explotación
  • Cómo WP-Firewall protege tu sitio y plan recomendado
  • Protege tu sitio hoy — Prueba el plan gratuito de WP-Firewall
  • Notas finales y referencias

Lo ocurrido (nivel alto)

El 1 de junio de 2026, se divulgó una vulnerabilidad (CVE-2026-7052) que afecta a las versiones de HT Formulario de Contacto <= 2.8.2. El plugin incluye un campo de carga de archivos que, debido a una validación insuficiente y una escapatoria de salida incorrecta, permite a usuarios no autenticados cargar archivos manipulados que incluyen cargas útiles de JavaScript o HTML ejecutables. Esas cargas útiles pueden ser almacenadas en el sitio y luego servidas a visitantes o administradores, habilitando ataques de scripting entre sitios (XSS) almacenados.

El autor del plugin publicó una versión corregida (2.8.3) para abordar el problema. Si ejecutas una versión vulnerable, actualiza inmediatamente. Si no puedes actualizar de inmediato, se proporcionan mitigaciones temporales y orientación de detección a continuación.

Por qué esto es peligroso — escenarios de ataque reales

El XSS almacenado es una de las clases más peligrosas de fallas en aplicaciones web, porque el contenido malicioso se guarda en el servidor y luego se ejecuta en los navegadores de otros usuarios. La vulnerabilidad aquí es particularmente preocupante porque:

  • La vulnerabilidad puede ser activada por atacantes no autenticados (sin necesidad de inicio de sesión).
  • La explotación apunta al mecanismo de carga de archivos, que los propietarios del sitio a menudo asumen que es seguro si se realizan verificaciones de tipo de archivo estándar.
  • Las cargas útiles pueden ser manipuladas para ejecutarse solo para administradores (dirigidas) o para todos los visitantes (impacto masivo).
  • La explotación puede llevar al secuestro de sesiones, puertas traseras sigilosas (a través de la interacción de usuarios privilegiados), robo de credenciales, acciones administrativas forzadas o distribución de malware por descarga a los visitantes del sitio.
  • Debido a que los formularios de contacto son comunes y frecuentemente visibles al público, muchos sitios exponen el punto final relevante.
  • Los atacantes a menudo escanean y explotan masivamente vulnerabilidades conocidas de plugins, por lo que el riesgo de explotación automatizada es alto.

Posibles objetivos del atacante:

  • Robar las cookies de sesión de administrador para obtener acceso persistente.
  • Crear usuarios administrativos a través de una cadena CSRF impulsada por XSS.
  • Plantar puertas traseras basadas en JavaScript o inyectar contenido promocional y anuncios maliciosos.
  • Usar el sitio como un punto de preparación para phishing o distribución de malware.
  • Inyectar redireccionadores a dominios maliciosos para usuarios y motores de búsqueda (spam SEO).

Causa raíz técnica (qué salió mal)

A nivel conceptual, el problema es un fallo en la validación de entrada, manejo de archivos y escape de salida:

  • Validación insuficiente de archivos subidos: El plugin no verificó de manera robusta el contenido de los archivos, tipos de archivos, extensiones de archivos o metadatos de archivos (desajustes entre tipo MIME y extensión). Los atacantes pueden subir archivos que parecen ser seguros por su extensión (por ejemplo, .jpg o .png) pero que en realidad contienen HTML/JS incrustado o contenido SVG elaborado.
  • Sanitización inadecuada y falta de escape de salida: Los archivos almacenados en el servidor o los enlaces generados a archivos subidos se renderizaron de nuevo en plantillas HTML sin ser escapados. Cuando la aplicación muestra nombres de archivos o etiquetas de enlace, no logró escapar caracteres que pueden terminar o inyectar contextos HTML/JS.
  • Falta de autenticación o verificación de capacidades alrededor de los puntos finales de carga: El punto final de carga de archivos podría ser invocado por usuarios no autenticados, y no había verificaciones robustas del lado del servidor o verificación de nonce que impidieran abusos automatizados.
  • Filtrado inadecuado para SVG y otros formatos de imagen vectorial: Los archivos SVG pueden contener JavaScript y controladores de eventos en línea. Si las cargas de SVG no son sanitizadas o se desautorizan, fácilmente se convierten en un vector XSS.

Los desarrolladores necesitan aplicar defensa en profundidad: validar cargas, sanitizar nombres de archivos y contenidos de archivos, restringir tipos que se pueden cargar, escapar correctamente la salida y hacer cumplir verificaciones de capacidades y nonces para la funcionalidad de visualización/renderizado de archivos administrativos.

Prueba de concepto (alto nivel, no accionable)

No proporcionaremos código de ataque paso a paso ni scripts de explotación. A un alto nivel, un atacante:

  1. Envía un formulario de contacto con un archivo adjunto que parece ser un tipo permitido, o usa una extensión permitida pero contiene marcado malicioso (por ejemplo, un SVG con script en línea o un archivo HTML disfrazado de imagen).
  2. El servidor acepta la carga y almacena el archivo en un directorio accesible por la web.
  3. Cuando el archivo o una lista del archivo se renderiza más tarde en el contexto de las entradas del formulario de contacto, el marcado malicioso almacenado se renderiza en la página sin el escape adecuado.
  4. El navegador ejecuta el script inyectado en el contexto del origen del sitio, permitiendo al atacante realizar operaciones como el víctima (robar cookies, realizar acciones administrativas a través de XHR, etc.).

Esta es la razón por la que el XSS almacenado a través de cargas de archivos es un riesgo serio: la carga inyectada se queda en su servidor, esperando a que un usuario con los privilegios deseados active la ejecución.

Quién está en riesgo y evaluación CVSS

  • Plugin afectado: HT Contact Form (<= 2.8.2).
  • Parcheado en: 2.8.3.
  • Privilegio requerido: No autenticado (no se requiere inicio de sesión para activar).
  • Complejidad del ataque: Baja a Media.
  • Puntuación base CVSS (según lo publicado): 7.1 — Alta / Media dependiendo del contexto.
  • Probabilidad en el mundo real: Alta — los formularios de contacto son públicos y frecuentemente son objetivo de escáneres automáticos.

Todos los sitios de WordPress que utilizan las versiones vulnerables del plugin están en riesgo, independientemente del volumen de tráfico. Los sitios con usuarios administradores sensibles que podrían ver archivos adjuntos en el panel de control o entradas de formularios de contacto están en mayor riesgo.

Acciones inmediatas para propietarios de sitios (paso a paso)

Si gestionas un sitio de WordPress con HT Contact Form instalado, sigue estos pasos de inmediato:

  1. Verifica la versión del plugin:
      – Inicia sesión en tu administrador de WordPress → Plugins → Plugins instalados.
      – Si el plugin HT Contact Form muestra la versión 2.8.2 o anterior, procede con los pasos a continuación.
  2. Actualiza el plugin a 2.8.3 (o posterior):
      – Mejor y principal solución: actualiza a la versión 2.8.3 lanzada y corregida.
      – Si las actualizaciones automáticas están habilitadas, confirma que la actualización se ha aplicado.
  3. Si no puedes actualizar de inmediato, desactiva temporalmente el plugin:
      – Navega a Plugins → Plugins instalados y desactiva el plugin.
      – Si el plugin es crítico para las operaciones comerciales y no se puede desactivar, aplica las mitigaciones temporales que se enumeran a continuación.
  4. Escanea tu sitio en busca de cargas sospechosas, scripts inyectados y usuarios administradores inesperados:
      – Revisa los directorios de cargas (wp-content/uploads y directorios específicos del plugin) en busca de archivos desconocidos, especialmente archivos con extensiones dobles o archivos SVG/HTML.
      – Revisa las entradas del formulario de contacto y los archivos adjuntos en busca de marcado incrustado o referencias a dominios externos.
      – Busca nuevas cuentas de administrador o editor no reconocidas.
  5. Elimina archivos sospechosos y sanitiza las entradas:
      – Si encuentras archivos que son claramente maliciosos, elimínalos después de preservar cualquier copia forense necesaria (descarga para análisis).
      – Reemplace los archivos infectados con copias de seguridad limpias cuando sea posible.
  6. Restablezca cuentas potencialmente comprometidas:
      – Obligue a un restablecimiento de contraseña para administradores o cualquier usuario que haya interactuado con los archivos del formulario de contacto.
      – Rote las claves de API, tokens secretos y credenciales de OAuth si sospecha que pueden estar expuestos.
  7. Restaure desde una copia de seguridad conocida y limpia si es necesario:
      – Si detecta un compromiso persistente, restaure el sitio desde una copia de seguridad realizada antes del probable momento de explotación, luego actualice el complemento y endurezca el sitio antes de volver a ponerlo en línea.
  8. Monitorea los registros y el tráfico:
      – Mantenga un ojo en los registros de acceso y los registros de errores para solicitudes sospechosas (cargas al punto final del complemento, envíos repetidos del formulario de contacto, etc.).
      – Habilite y monitoree los registros del firewall de aplicaciones web (vea la guía de WP-Firewall a continuación).

Mitigación temporal si no puedes actualizar ahora

Si no es posible actualizar a 2.8.3 de inmediato debido a compatibilidad, pruebas o ventanas de mantenimiento, aplique las siguientes mitigaciones temporales para reducir el riesgo:

  • Active una regla de Firewall de Aplicaciones Web (WAF) para bloquear el punto final vulnerable o bloquear solicitudes de carga a la URL de envío del formulario de contacto. Configure el WAF para bloquear cargas de archivos sospechosos y patrones de carga útil. Las reglas de WAF gestionadas que apuntan a XSS de carga de archivos son efectivas para una protección inmediata.
  • Desactive las cargas de archivos en la configuración del formulario de contacto (si el complemento proporciona una opción).
  • Restringa las cargas para permitir solo tipos de archivos seguros (por ejemplo, .pdf, .txt) y prohíba explícitamente SVG, HTML, PHP y otros tipos ejecutables. Aplique filtrado del lado del servidor y no solo del lado del cliente.
  • Agregue una regla de denegación a nivel de servidor para renderizar archivos desde el directorio de carga del complemento (por ejemplo, use reglas .htaccess o nginx para prevenir la ejecución directa de archivos HTML o SVG).
  • Implemente encabezados de Política de Seguridad de Contenido (CSP) que restrinjan de dónde pueden ejecutarse los scripts. Si bien CSP no puede bloquear completamente XSS almacenado si se inyectan scripts en línea y permite unsafe-inline, un CSP adecuadamente estricto ayuda a mitigar el impacto.
  • Para un enfoque más conservador, mueva temporalmente el directorio de cargas del complemento fuera del webroot o asegúrese de que el servidor responda con un Content-Type seguro y un encabezado de descarga (para que los archivos no se ejecuten en línea).

Recuerda: Las mitigaciones temporales reducen el riesgo pero no son un sustituto para aplicar el parche oficial.

Recuperación post-incidente y lista de verificación forense

Si su sitio fue explotado, trate el incidente como un posible compromiso total. Siga estos pasos:

  1. Contenga y preserve evidencia:
      – Duplicar registros, archivos sospechosos y filas relevantes de la base de datos para análisis fuera de línea antes de eliminarlos.
      – Preserve marcas de tiempo, registros de acceso y registros del servidor.
  2. Identifique el alcance:
      – Determine qué cuentas accedieron a las partes vulnerables del sitio y si se utilizaron cuentas de administrador.
      – Busque shells web, archivos de núcleo/tema/plugin modificados o tareas programadas (cron) que puedan proporcionar persistencia.
  3. Limpia o reconstruye:
      – Para incidentes menores, elimine archivos y scripts inyectados, actualice el plugin y otros plugins/temas/núcleo, rote credenciales y vuelva a escanear.
      – Para incidentes graves, reconstruya el sitio a partir de una copia de seguridad limpia verificada y reconfigure solo los plugins y temas necesarios; aplique actualizaciones antes de restaurar el acceso público.
  4. Restablecer secretos y credenciales:
      – Restablezca todas las contraseñas de administrador, credenciales de FTP/SFTP, contraseñas de base de datos y claves API.
      – Invalide cookies y sesiones donde sea posible.
  5. Reevaluar el endurecimiento y la monitorización:
      – Endurezca los permisos de archivo, desactive la ejecución de PHP insegura en los directorios de carga, habilite protecciones a nivel de servidor e implemente monitoreo y alertas.
      – Considere la detección de intrusiones y el escaneo de malware que marque modificaciones en archivos y temas centrales.
  6. Notificar a las partes interesadas:
      – Dependiendo de los datos expuestos y los requisitos regulatorios, notifique a los usuarios afectados y a los reguladores según sea necesario.

Guía para desarrolladores: cómo corregir correctamente

Si usted es un desarrollador de plugins o integrador de sitios, aquí hay recomendaciones concretas para prevenir XSS a través de la carga de archivos y para remediar correctamente el problema subyacente.

Validación de entrada y manejo de archivos:

  • Utilice los controladores de carga nativos de WordPress:
    • Usar wp_handle_upload(), wp_check_filetype_and_ext(), y wp_mime_type_by_extension() para verificar tipos y extensiones de archivos.
  • Valide el contenido del archivo:
    • No confíe solo en las extensiones de archivo. Verifique los tipos MIME y escanee formatos críticos (SVG, HTML) en busca de scripts incrustados.
  • Restringa estrictamente los tipos de archivos permitidos y minimice los formatos permitidos.
  • No permita cargas de SVG a menos que implemente una sanitización robusta (por ejemplo, un sanitizador de SVG que elimine atributos de script y evento).

Saneamiento y escape:

  • Saneamiento de nombres de archivos: usar sanitize_file_name() para eliminar caracteres peligrosos y evitar nombres de archivos que puedan ser interpretados como marcado.
  • Al mostrar nombres de archivos o URLs de archivos, siempre escapa la salida para el contexto correcto:
    • esc_attr() para contextos de atributos (por ejemplo, dentro de href o alt).
    • esc_url() para URLs.
    • esc_html() para contenido de texto.
  • Evita mostrar el contenido de archivos en bruto o HTML proporcionado por el usuario sin pasarlo por un saneador como wp_kses() con una lista de permitidos apropiada.

Autenticación y verificación de capacidades:

  • Asegúrate de que los puntos finales que renderizan contenido de usuario almacenado requieran verificaciones de capacidad apropiadas (el usuario actual puede()) y verificación de nonce.
  • Para páginas de renderizado o vista previa solo para administradores, restringe el acceso y evita renderizar contenido subido arbitrariamente en la interfaz de administración.

Almacenamiento y servicio:

  • Almacena las subidas en una ubicación que no permita la ejecución directa de scripts (configura reglas del servidor para servir archivos como adjuntos en lugar de renderizarlos cuando sea posible).
  • Sirve archivos subidos por el usuario con encabezados de respuesta seguros, por ejemplo, Content-Disposition: attachment; filename=”…”, para prevenir la ejecución en línea.

Pruebas y CI:

  • Agrega pruebas de seguridad automatizadas a tu pipeline de CI:
    • Valida las subidas de archivos con una variedad de tipos de archivos de casos límite.
    • Prueba el escape de salida en plantillas.
  • Usa herramientas de fuzzing y análisis estático para encontrar puntos de inyección y salida insegura.

Registro y monitoreo:

  • Registra eventos de subida con IP, agente de usuario, metadatos del archivo y otros detalles relevantes.
  • Monitore las tasas de carga inusuales o las cargas desde IPs sospechosas.

Gestión de parches:

  • Si mantiene integraciones de terceros que dependen de puntos finales de carga proporcionados por plugins, planifique canales de actualización de emergencia y estrategias de implementación de parches automatizados.

Cómo detectar la explotación: señales a las que prestar atención

La detección temprana es clave. Aquí hay indicadores fuertes de que puede haber ocurrido explotación:

  • Archivos inesperados en directorios de carga: HTML, SVG, PHP o archivos con extensiones dobles (image.jpg.php, photo.png.html).
  • Scripts en línea inesperados o etiquetas de script al ver entradas del formulario de contacto en la interfaz de administración.
  • Nuevas cuentas administrativas o cambios en roles de usuario que no autorizó.
  • Conexiones salientes inusuales desde el servidor (scripts maliciosos contactando dominios C2 externos o de seguimiento).
  • Cambios en el contenido del sitio, como redireccionamientos basados en JavaScript inyectados, iframes sigilosos o ventanas emergentes.
  • Tasas elevadas de respuestas 4xx/5xx en puntos finales de envío de formularios (indicando intentos de escaneo/explotación automatizados).
  • Alertas de herramientas de escaneo de sitios que muestran XSS almacenado o cargas útiles sospechosas.

Fuentes de registro a verificar:

  • Registros de acceso para solicitudes POST al punto final de envío del formulario de contacto.
  • Registros de errores para advertencias PHP inesperadas o errores de manejo de archivos.
  • Registros del firewall de aplicaciones web que muestran intentos bloqueados o patrones de carga útil inusuales.
  • Registros de aplicaciones que muestran eventos de carga por IP o agente de usuario.

Cómo WP-Firewall protege tu sitio.

Como un servicio profesional de firewall y seguridad de WordPress, WP-Firewall proporciona protección en capas diseñada para detectar y mitigar problemas como XSS almacenado a través de cargas de archivos.

Capacidades de protección clave relevantes para esta vulnerabilidad:

  • Reglas WAF gestionadas: Reglas desplegadas rápidamente que bloquean patrones de explotación conocidos que apuntan a puntos finales de carga de formularios de contacto y firmas de carga útil XSS de carga de archivos.
  • Filtrado de cargas: Controles a nivel de servidor que bloquean tipos de archivos sospechosos y hacen cumplir verificaciones de tipo MIME y extensiones.
  • Escáner de malware: Escaneo regular de cargas y archivos de temas/plugins para detectar scripts inyectados y anomalías.
  • Mitigación de OWASP Top 10: Protecciones integradas y conjuntos de reglas que apuntan a vectores de inyección comunes, incluyendo XSS.
  • Registro y alertas en tiempo real: Alertas inmediatas sobre actividad sospechosa de carga o intentos de explotación bloqueados.
  • Mitigación automática para vulnerabilidades conocidas: Cuando se publica un aviso de alto riesgo, WP-Firewall puede aplicar parches virtuales y reglas de bloqueo mientras programas una actualización.

Combinados, estos controles reducen drásticamente la superficie de ataque y proporcionan protección crítica durante la implementación de parches o situaciones de emergencia.

Protege tu sitio hoy — Prueba el plan gratuito de WP-Firewall

Si deseas una forma rápida y práctica de agregar protección mientras actualizas y refuerzas los plugins, el plan gratuito de WP-Firewall ofrece defensas esenciales que ayudan a mitigar este tipo de riesgo de inmediato. El plan gratuito Básico incluye:

  • Firewall gestionado y firewall de aplicaciones web (WAF)
  • Ancho de banda ilimitado
  • Escáner de malware
  • Mitigaciones de OWASP Top 10.

Regístrate y habilita las protecciones gratuitas ahora: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Recomendaciones de endurecimiento a largo plazo

Más allá de las soluciones inmediatas, implementa medidas de seguridad más amplias para reducir el riesgo futuro:

  1. Principio de mínimo privilegio:
    • Limita el acceso a la función de carga de plugins solo a roles que realmente lo necesiten.
    • Evita permitir cargas de archivos no autenticadas a menos que sea absolutamente necesario.
  2. Política estricta de tipos de archivos:
    • Permite solo los formatos de archivo necesarios para tu flujo de trabajo y considera convertir archivos del lado del servidor a formatos seguros cuando sea posible.
  3. Aplica protecciones a nivel de servidor:
    • Configura reglas .htaccess/nginx para prevenir la ejecución de archivos cargados.
    • Establece permisos de archivo apropiados y desactiva la ejecución en carpetas de carga.
  4. Mantenimiento regular de plugins:
    • Mantenga el núcleo, los temas y los complementos de WordPress actualizados.
    • Suscríbete a alertas de seguridad de confianza y mantén un entorno de prueba/escenario para actualizaciones.
  5. Defensa en profundidad:
    • Utiliza un WAF gestionado, escáner de malware y monitoreo de integridad.
    • Emplea una Política de Seguridad de Contenido (CSP) estricta, encabezados de seguridad HTTP y banderas de cookies seguras.
  6. Copias de seguridad regulares y plan de recuperación:
    • Mantén copias de seguridad regulares y versionadas almacenadas fuera del sitio.
    • Tener un procedimiento de respuesta a incidentes y restauración probado.
  7. Higiene del desarrollador:
    • Implementar estándares de codificación segura, revisiones de código de seguridad y pruebas automatizadas para el manejo de entrada/salida.

Ejemplo de lista de verificación de respuesta a incidentes (concisa)

  • [ ] Actualizar el plugin a 2.8.3 inmediatamente (o desactivar el plugin).
  • [ ] Escanear cargas y base de datos en busca de contenido sospechoso.
  • [ ] Eliminar o poner en cuarentena archivos sospechosos (preservar copias para forenses).
  • [ ] Rotar todas las credenciales de administrador y servicio.
  • [ ] Reconstruir desde una copia de seguridad limpia si se encuentra una violación persistente.
  • [ ] Habilitar reglas de WAF que bloqueen el abuso de carga y patrones de XSS almacenados.
  • [ ] Monitorear y alertar sobre intentos de carga repetidos o repeticiones de administrador.
  • [ ] Revisar e implementar correcciones de desarrollador (sanitizar/escapar, restringir cargas).

Notas finales

El XSS almacenado a través de cargas de archivos es particularmente pernicioso porque mezcla dos familias arriesgadas de funcionalidad: manejo de archivos proporcionados por el usuario y scripting entre sitios. La mejor defensa es un parcheo oportuno complementado por una validación estricta del lado del servidor, un cuidadoso escape de salida y un firewall de aplicación web efectivo y gestionado. Si gestionas o alojas sitios de WordPress, prioriza actualizar HT Contact Form a la versión parcheada (2.8.3+) inmediatamente, y si no puedes, implementa las mitigaciones temporales descritas en esta publicación.

WP-Firewall está disponible para ayudar a los propietarios de sitios a implementar mitigaciones rápidamente, monitorear la explotación e implementar un endurecimiento a largo plazo. Si necesitas apoyo para realizar una evaluación del sitio, limpiar una violación o implementar un conjunto de reglas de WAF de emergencia, nuestro equipo está listo para ayudar.

Referencias y lecturas adicionales

  • CVE-2026-7052 (aviso público)
  • Notas de la versión del plugin HT Contact Form (versión parcheada)
  • Documentación para desarrolladores de WordPress: wp_handle_upload(), wp_check_filetype_and_ext(), sanitize_file_name(), funciones esc_*
  • OWASP: Directrices de prevención de Cross Site Scripting (XSS)

Si deseas un archivo de lista de verificación, plantillas de reglas de nginx/.htaccess de muestra, o orientación adaptada a tu entorno de alojamiento, contacta al soporte de WP-Firewall o regístrate para el plan gratuito para obtener protección inmediata y automatizada: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™