Aviso de Cross Site Scripting del plugin Survey//Publicado el 2026-03-23//CVE-2026-1247

EQUIPO DE SEGURIDAD DE WP-FIREWALL

WordPress Survey Plugin Vulnerability

Nombre del complemento Plugin de Encuesta de WordPress
Tipo de vulnerabilidad Scripting entre sitios
Número CVE CVE-2026-1247
Urgencia Bajo
Fecha de publicación de CVE 2026-03-23
URL de origen CVE-2026-1247

XSS almacenado autenticado en el plugin ‘Encuesta’ (≤1.1) — Riesgo, Detección y Mitigaciones Prácticas para Sitios de WordPress

Autor: Equipo de seguridad de WP-Firewall
Fecha: 2026-03-23
Categorías: Seguridad de WordPress, Vulnerabilidades
Etiquetas: XSS, WAF, seguridad del plugin, endurecimiento

TL;DR — ¿Qué pasó?

Se divulgó una vulnerabilidad de Cross-Site Scripting (XSS) almacenado para el plugin de WordPress “Encuesta” en versiones hasta e incluyendo 1.1 (CVE‑2026‑1247). La vulnerabilidad permite a un administrador autenticado almacenar cargas útiles de scripts maliciosos en la configuración del plugin que pueden ejecutarse posteriormente en el contexto de usuarios o visitantes privilegiados. El problema ha sido asignado un puntaje CVSS de 5.9 y se clasifica como XSS almacenado (OWASP A3: Inyección). En el momento de la divulgación, no había un parche oficial del proveedor disponible.

Este aviso explica la amenaza en un lenguaje sencillo, repasa los escenarios de ataque probables, muestra cómo puedes detectar si tu sitio está afectado y ofrece mitigaciones paso a paso que puedes aplicar ahora mismo — incluyendo un enfoque de parcheo virtual utilizando WP‑Firewall.

Por qué esto es importante (incluso con una gravedad “moderada”)

A primera vista, un CVSS de 5.9 podría parecer “solo” moderado. Sin embargo, el XSS almacenado en la configuración del plugin tiene dos propiedades que lo hacen importante:

  • Persiste en tu base de datos y puede activarse repetidamente hasta que se elimine o se sanee.
  • A menudo apunta a pantallas administrativas o áreas donde están presentes privilegios elevados (porque las configuraciones son típicamente vistas y editadas por administradores). Eso significa que un atacante que puede ejecutar scripts en un contexto de administrador puede escalar a compromisos mucho mayores (robo de sesión, CSRF para realizar acciones de administrador o instalar puertas traseras).

Aunque la explotación requiere un rol de administrador autenticado para introducir el contenido malicioso o interactuar con una URL manipulada (ingeniería social), los atacantes web a menudo dependen de estos factores humanos. En la práctica, un correo electrónico de phishing socialmente ingenierizado o una cuenta de administrador de bajo privilegio abusada inadvertidamente pueden ser suficientes para una campaña exitosa. Debido a que una carga útil de XSS almacenado puede ejecutarse en un contexto de alto privilegio, el daño potencial es significativo incluso si la barrera inicial para la explotación no es técnica.

Resumen rápido de recomendaciones (qué hacer primero)

  1. Si usas el plugin Encuesta ≤ 1.1, elimínalo o desactívalo inmediatamente a menos que hayas verificado una versión parcheada segura del autor del plugin.
  2. Si no puedes eliminar el plugin de inmediato, aplica parcheo virtual con un Firewall de Aplicaciones Web (WAF) para bloquear cargas útiles en las páginas de configuración del plugin y sanear los valores almacenados.
  3. Inspecciona la configuración de administrador y la tabla de opciones de WordPress en busca de marcas o etiquetas de script inesperadas; haz una copia de seguridad de tu base de datos antes de realizar cambios.
  4. Refuerza el endurecimiento de administradores: contraseñas fuertes, autenticación de dos factores (2FA), reduce el número de cuentas de administrador y revisa los roles de usuario.
  5. Rota todas las sesiones de administrador, claves API y credenciales si sospechas de alguna actividad sospechosa.
  6. Monitorea los registros, habilita verificaciones de integridad de archivos y realiza un escaneo completo de malware.

A continuación, ampliamos cada paso con el contexto, controles técnicos y ejemplos prácticos.

Detalles técnicos: ¿qué es un XSS almacenado en la configuración del plugin?

El XSS almacenado ocurre cuando los datos proporcionados por el usuario se almacenan en el servidor (por ejemplo, en opciones_wp, postmeta o tablas personalizadas del plugin) y luego se renderizan en páginas HTML sin el escape/codificación adecuados. En este caso, el plugin vulnerable acepta valores de configuración en su página de configuración y los almacena. Cuando esos valores se muestran en una página de administración o en el frontend del sitio, se insertan como HTML sin procesar, lo que permite que se ejecuten elementos incrustados, controladores de eventos u otras construcciones maliciosas en el navegador de la víctima.

Dos notas técnicas importantes:

  • Privilegio requerido: la vulnerabilidad requiere un rol de Administrador para el guardado inicial de la entrada maliciosa (el atacante o una cuenta de administrador comprometida añade la carga útil).
  • Interacción del usuario: la explotación exitosa típicamente requiere que el usuario privilegiado vea más tarde la pantalla afectada o haga clic en un enlace que active la carga útil; la ingeniería social es un vector común.

Debido a que la carga útil es persistente en la base de datos, puede ser activada repetidamente y utilizada en ataques de múltiples etapas (por ejemplo, para dejar una puerta trasera, crear nuevos usuarios administradores, exfiltrar cookies o modificar datos).

Escenarios de ataque realistas

  • Escenario A: Ingeniería social para que el administrador añada la carga útil: Un atacante envía un correo electrónico convincente a un administrador del sitio con un enlace a la página de configuración del plugin y una explicación para “actualizar la marca” o similar. El administrador pega HTML externo o copia en un campo de configuración; ese contenido se almacena y luego renderiza scripts cuando el administrador u otro usuario privilegiado ve la configuración o una pantalla relacionada.
  • Escenario B: Cuenta de nivel inferior comprometida se eleva a Administrador: Un atacante compromete una cuenta de bajo privilegio y utiliza una vulnerabilidad no relacionada o una gestión de roles mal configurada para elevar privilegios a Administrador. Una vez que es administrador, el atacante almacena una carga útil de script persistente y luego la activa para que persista a través de sesiones y usuarios.
  • Escenario C: Explotación encadenada para persistencia: Un atacante inyecta una carga útil almacenada que crea automáticamente un nuevo usuario administrador o deja una puerta trasera oculta (utilizando acciones del lado del navegador ejecutadas en una sesión de administrador existente), haciendo que la recuperación sea mucho más difícil.

Aunque un atacante debe tener inicialmente o conseguir acceso de administrador para almacenar la carga útil, la naturaleza de larga duración del XSS almacenado y el potencial de dirigirse a administradores lo convierte en una solución de alta prioridad para sitios que alojan contenido sensible, múltiples administradores o datos de comercio electrónico.

Cómo detectar si su sitio está infectado (indicadores de compromiso)

Antes de hacer cambios, siempre haga una copia de seguridad de su sitio y base de datos. Luego realice las siguientes verificaciones:

  1. Inspeccione la configuración del plugin y las páginas de administración
    • Revise manualmente todas las pantallas de configuración del plugin Survey y otros plugins de menor confianza.
    • Busque específicamente etiquetas inesperadas, on* atributos (onclick, onload), etiquetas iframe, o HTML sospechoso.
  2. Busca en la base de datos contenido similar a scripts
    • Usando WP‑CLI:
      • Opciones de búsqueda: wp db query "SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%<scrip%' OR option_value LIKE '%onload=%' OR option_value LIKE '%javascript:%' LIMIT 100;"
      • Buscar postmeta: wp db query "SELECT meta_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%<scrip%' OR meta_value LIKE '%onload=%' LIMIT 100;"
    • Usando SQL (ejecutar en un entorno seguro y con una copia de seguridad):
      • SELECT option_id, option_name FROM wp_options WHERE option_value LIKE '%<script%';
      • SELECCIONAR ID, post_title DE wp_posts DONDE post_content LIKE '%
  3. Verificar los registros del servidor y del WAF
    • Buscar solicitudes bloqueadas repetidas o activaciones de reglas que contengan fragmentos de carga útil sospechosos (por ejemplo, cargas útiles codificadas, etiquetas de script, secuencias base64 sospechosas).
    • Si operas un WAF, revisa las URI bloqueadas que apuntan a los puntos finales de configuración del plugin (URLs que contienen /wp-admin/options.php, o slugs de configuración específicos del plugin como /wp-admin/admin.php?page=survey).
  4. Consola de seguridad del navegador
    • Si sospechas de una carga útil, abre las herramientas de desarrollador mientras visualizas las páginas de administración. Las cargas útiles XSS a menudo se registran en la consola o muestran llamadas de red a hosts desconocidos.
  5. Comprobaciones de integridad de archivos y del sistema de archivos
    • Ejecuta un escaneo de integridad de archivos (compara con un núcleo de WordPress limpio y un conjunto de plugins) para detectar puertas traseras caídas o archivos modificados. XSS almacenado puede ser utilizado como un trampolín para comprometer el sistema de archivos.
  6. Auditar cuentas de usuario y actividad de sesión
    • Buscar usuarios administrativos inesperados, o sesiones de IPs desconocidas.
    • Terminar sesiones obsoletas y requerir reautenticación para cuentas de administrador.

Pasos de mitigación inmediata (secuencia segura y práctica)

  1. COPIA DE SEGURIDAD — Copia de seguridad completa del sitio y de la base de datos antes de realizar cualquier cambio.
  2. Desactiva el plugin.
    • Si has confirmado el uso del plugin Survey ≤ 1.1, desactívalo o elimínalo inmediatamente si no hay una versión corregida disponible.
  3. Sanitizar configuraciones y entradas de base de datos
    • Identificar entradas con HTML sospechoso y eliminar o neutralizar etiquetas de script. Ejemplo de SQL (haz esto solo después de la copia de seguridad y pruebas):
      • Reemplace las etiquetas de script escapándolas:

        UPDATE wp_options SET option_value = REPLACE(option_value, '<script', '<script') WHERE option_value LIKE '%<script%';
      • O anule la configuración:

        ACTUALIZAR wp_options ESTABLECER option_value = '' DONDE option_name = 'survey_plugin_option_name';
    • Recomendamos eliminar los valores de configuración problemáticos y reconfigurarlos utilizando entradas de confianza.
  4. Hacer cumplir el endurecimiento del administrador
    • Forzar el restablecimiento de la contraseña para todos los administradores.
    • Revocar cualquier clave API de larga duración y rotarlas.
    • Habilitar 2FA para cuentas de administrador.
    • Reducir el número de administradores y auditar capacidades.
  5. Aplicar parches virtuales con un WAF
    • Desplegar reglas que apunten a los puntos finales de configuración del plugin Survey. Un WAF proporciona una capa de protección temporal eficiente hasta que se publique un parche oficial. Consulte la sección “Reglas y firmas de WAF” a continuación para obtener ejemplos.
  6. Escanee en busca de malware y puertas traseras
    • Realizar un escaneo completo del sitio en busca de malware y una verificación de integridad de archivos. Busque en wp-content/uploads, carpetas de plugins y raíz archivos PHP desconocidos o shells web.
  7. Revisar y monitorear registros
    • Mantener registros detallados de cambios de administrador, intentos de inicio de sesión y registros WAF/HTTP durante al menos 30 días después del incidente.
  8. Hacer seguimiento con el parcheo
    • Tan pronto como el autor del plugin publique una versión corregida, actualice inmediatamente y vuelva a verificar la sanitización de configuraciones.

Reglas y firmas de WAF: cómo parchear virtualmente esta vulnerabilidad

El parcheo virtual (bloqueo basado en patrones en el borde) es una forma segura y rápida de prevenir la explotación mientras se espera un parche oficial del plugin.

Estrategia general:

  • Bloquear o sanitizar solicitudes que contengan cargas útiles de script probables cuando apunten a los puntos finales de configuración del plugin.
  • Bloquear codificaciones de carga útil sospechosas (codificaciones de porcentaje, hexadecimales, base64) que pueden ofuscar scripts.
  • Monitorear y alertar cuando las páginas de administración reciban POSTs sospechosos.

Ejemplo de pseudo-reglas (expresadas como lógica legible; tu interfaz de WAF aceptará la sintaxis de reglas para ModSecurity, nginx o proveedores de WAF en la nube).

Regla A — Bloquear etiquetas de script en solicitudes a puntos finales de configuración de plugins:

  • Cuando la URI de la solicitud coincida: /wp-admin/admin.php O contiene página=encuesta (personaliza según el slug de configuración del plugin)
  • Y cualquier cuerpo de solicitud o cadena de consulta contenga el patrón <script (sin distinción entre mayúsculas y minúsculas)
  • Entonces bloquear la solicitud y registrar detalles.

Regla B — Bloquear controladores de eventos sospechosos en la entrada:

  • Si la solicitud contiene atributos como al cargar=, onclick=, onerror= o JavaScript: en parámetros, bloquear/flaggear la solicitud.

Regla C — Bloquear codificaciones de alto riesgo en POSTs de administración:

  • Si un POST a /wp-admin/admin.php o /wp-admin/options.php contiene patrones como script (codificado en URL <script) o largas secuencias base64 que decodifican a contenido sospechoso, bloquear la solicitud y activar una alerta.

Ejemplo ModSecurity (pseudo) — no pegar ciegamente; adaptar a tu plataforma:

SecRule REQUEST_URI "@pm admin.php options.php" "chain,phase:2,deny,log,id:100001,tag:'WP-Firewall','bloquear inyección de script de configuración de administrador'"

Notas:

  • Siempre prueba las reglas de WAF en modo de detección primero para evitar falsos positivos.
  • Enfocar las reglas en puntos finales de administración o URIs específicas de plugins para minimizar el bloqueo colateral.

Clientes de WP‑Firewall: nuestro WAF gestionado puede aplicar parches virtuales específicos para puntos finales de plugins y mantenerlos a medida que llegan nuevos datos. Si está utilizando nuestro plan gratuito, habilite las protecciones y el monitoreo de WAF; considere actualizar para el parcheo virtual automático cuando el plugin permanezca sin parches.

Cómo los desarrolladores deben corregir el código (codificación segura recomendada)

Si usted es el autor del plugin o responsable del desarrollo, siga estas mejores prácticas para evitar XSS almacenado en las páginas de configuración:

  1. Sanitizar la entrada al guardar — nunca confíe en la entrada del usuario:
    • Utilice funciones de sanitización de WordPress relevantes para los datos esperados:
      • Texto: desinfectar_campo_de_texto()
      • Áreas de texto que permiten HTML limitado: wp_kses( $input, $allowed_html )
      • URLs: esc_url_raw() al guardar
      • Enteros: absint() o intval()
  2. Escapar en la salida — escapar para el contexto donde se renderizan los datos:
    • Salida dentro de HTML: esc_html()
    • Contextos de atributos: esc_attr()
    • Contextos de JavaScript: usa wp_json_encode() o esc_js()
    • Al mostrar en páginas de administración, aún escape — los administradores también son usuarios y sus navegadores no deben ejecutar scripts no confiables.
  3. Aplicar comprobaciones de capacidad y nonces:
    • Verifica current_user_can( 'manage_options' ) o capacidad apropiada antes de guardar configuraciones.
    • Usar comprobar_admin_referer() y campo wp_nonce() para formularios.
  4. Principio de mínimo privilegio:
    • Evite presentar campos HTML en bruto en la configuración a menos que sea absolutamente necesario. Si permite HTML, restrinja las etiquetas permitidas con wp_kses_allowed_html().
  5. Validación de entrada y restricciones de longitud:
    • Aplique reglas de validación estrictas e imponga atributos maxlength razonables para limitar la superficie de ataque.
  6. Pruebas de seguridad continuas:
    • Incluya análisis estático automatizado y revisiones de código manuales para el manejo de entrada/salida.
    • Agregue pruebas unitarias que confirmen el comportamiento de sanitización y escape.

Una corrección correcta típicamente incluye tanto sanitización en la entrada como escape en la salida. Si un plugin almacena HTML intencionalmente (por ejemplo, marcado personalizado), asegúrese de que el HTML permitido esté estrictamente definido y que los valores almacenados estén sanitizados.

Cómo limpiar de manera segura sitios infectados existentes (paso a paso)

Advertencia: La limpieza manual puede ser arriesgada. Siempre haz una copia de seguridad de la base de datos y los archivos. Idealmente, realiza la limpieza primero en una copia de staging.

  1. Haz una copia de seguridad del sitio completo (archivos + DB) y expórtalo a una ubicación segura.
  2. Ponga el sitio en modo de mantenimiento si es necesario.
  3. Desactiva el plugin de Encuesta (o cualquier plugin identificado como vulnerable).
  4. Identifica entradas sospechosas en la base de datos:

    wp db query "SELECT option_name, LENGTH(option_value) FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%onload=%' LIMIT 100;"
  5. Sanea o elimina valores sospechosos:
    • Si una configuración no es importante, límpiala:

      UPDATE wp_options SET option_value = '' WHERE option_name = 'survey_option_name';
    • Si debes preservar el valor, escapa el valor en la base de datos:

      UPDATE wp_options SET option_value = REPLACE(option_value, '<script', '<script') WHERE option_value LIKE '%<script%';
  6. Reactiva el plugin solo después de limpiar y vuelve a probar las pantallas de administración.
  7. Restablece las sesiones de administrador y fuerza actualizaciones de contraseña.
  8. Escanea el sistema de archivos en busca de shells web o archivos de plugins modificados.
  9. Restaura desde una copia de seguridad limpia si no puedes eliminar con confianza todos los rastros.

Si no te sientes cómodo con las operaciones SQL, pide ayuda a tu proveedor de hosting o a un profesional de seguridad de WordPress capacitado.

Actividades forenses y posteriores al incidente

Si sospecha que la vulnerabilidad fue explotada:

  • Preserva los registros (registros de acceso HTTP, registros de WAF, registros de errores de PHP).
  • Toma una instantánea forense de la base de datos y el sistema de archivos para un análisis posterior.
  • Verifica si hay nuevos usuarios administradores o modificados:

    SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE user_registered > '2026-01-01' ORDER BY user_registered DESC;
  • Inspecciona eventos programados (cron) y tareas inesperadas (wp_cron entradas).
  • Busca archivos con fechas de modificación recientes o archivos en ubicaciones inusuales.
  • Si descubres archivos maliciosos, aísla el sitio y remedia en una copia; no simplemente elimines archivos sin evidencia — los atacantes pueden tener mecanismos de persistencia.

Después de la limpieza, refuerza el entorno y ejecuta monitoreo continuo para detectar recurrencias.

Política de Seguridad de Contenidos (CSP) y encabezados — cinturón y tirantes defensivos

Una Política de Seguridad de Contenidos fuerte puede limitar el impacto si una carga útil logra llegar a un navegador. Ejemplo de encabezado a considerar (ajusta para tu sitio):

  • Agrega a la configuración del servidor o al plugin de seguridad:

    Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-scripts.example.com; object-src 'none'; base-uri 'self'; frame-ancestors 'none';

Otros encabezados útiles:

  • 16. X-Frame-Options: SAMEORIGIN
  • Referrer-Policy: no-referrer-when-downgrade
  • 17. Referrer-Policy
  • Strict-Transport-Security: max-age=31536000; includeSubDomains; preload (si se utiliza HTTPS)

Un CSP no es un reemplazo para la correcta sanitización y escape de código, pero ayuda a reducir el radio de explosión de scripts basados en DOM o inyectados.

Por qué el WAF gestionado y el parcheo virtual son importantes

En situaciones donde los plugins son populares y los parches del proveedor pueden tardar en aparecer, un WAF gestionado añade dos capacidades críticas:

  • Parcheo virtual rápido — el firewall puede bloquear patrones de explotación que apuntan a los puntos finales de configuración del plugin antes de que un parche de código esté disponible.
  • Monitoreo continuo y actualizaciones de reglas — cuando se ven nuevos patrones de explotación en la naturaleza, las reglas se refinan y despliegan rápidamente.

WP‑Firewall proporciona reglas de WAF gestionadas que pueden adaptarse a tu sitio y huella de plugin, incluyendo el bloqueo de POSTs de puntos finales de administrador con entradas sospechosas y la detección de intentos de ofuscación. Este enfoque te da tiempo para planear una solución a nivel de aplicación sin exponer tu sitio a campañas de explotación masiva.

Lista de verificación de recuperación (concisa)

  • Realice una copia de seguridad del sitio y la base de datos inmediatamente.
  • Desactiva el plugin vulnerable.
  • Busca y sanitiza la base de datos en busca de cargas útiles de scripts.
  • Rotar credenciales de administrador y claves API.
  • Habilitar 2FA para todos los usuarios administradores.
  • Despliega reglas de WAF para bloquear patrones de carga útil XSS en puntos finales de plugins.
  • Ejecuta análisis de malware y de integridad de archivos.
  • Audita cuentas de usuario y actividad reciente.
  • Aplica actualizaciones oficiales de plugins cuando se publiquen.
  • Monitorea registros y programa verificaciones de seguimiento.

Comandos prácticos de detección y ayuda

Busca marcadores comunes similares a scripts:

  • WP-CLI:

    wp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%onload=' OR option_value LIKE '%javascript:%';"
  • Busca en la carpeta de uploads archivos PHP sospechosos recientes:

    find wp-content/uploads -type f -name '*.php' -print -exec ls -l {} \;
  • Lista las modificaciones de archivos recientes:

    find . -type f -mtime -30 -print

Siempre prueba los comandos en un entorno de pruebas si es posible.

Una breve nota sobre la divulgación responsable y la coordinación con el proveedor

Si eres el propietario de un sitio y encuentras una vulnerabilidad o evidencia de explotación, considera informarlo al autor del plugin a través de sus canales de soporte oficiales. Si el autor del plugin no responde o un parche se retrasa, utiliza parches virtuales y contacta a un servicio de seguridad para coordinar la mitigación.

Obtén protección inmediata — Prueba el Plan Gratuito de WP‑Firewall

Si deseas proteger tu sitio rápidamente mientras manejas auditorías de plugins o remediaciones, WP‑Firewall ofrece un plan Básico gratuito con protecciones esenciales adecuadas para la mayoría de los sitios de WordPress:

  • Paquete de protección esencial: firewall gestionado, ancho de banda ilimitado, WAF, escáner de malware y mitigación para los riesgos del OWASP Top 10.
  • El plan gratuito proporciona cobertura inmediata de WAF para detectar y bloquear intentos de explotación dirigidos a los puntos finales del plugin, además de capacidades de escaneo para ayudarte a encontrar y eliminar cargas útiles persistentes.

Explora el plan Básico (Gratis) aquí: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Si necesitas limpiezas automáticas o parches virtuales, nuestros niveles de pago Standard y Pro añaden eliminación automática de malware, listas negras/blancas de IP, informes programados y parches virtuales automáticos para reducir aún más la exposición.

Reflexiones finales de los ingenieros de seguridad de WP‑Firewall

Las vulnerabilidades de XSS almacenadas que existen en la configuración del plugin destacan una brecha recurrente: muchos plugins tratan la entrada del administrador como “segura” por defecto. Los administradores son usuarios de confianza, pero la confianza no debe ser ciega: los ajustes guardados siempre deben ser saneados y escapados. En la práctica, la mejor defensa es en capas:

  • Código seguro (saneado + escapado)
  • Superficie de ataque reducida (menos administradores, menor privilegio)
  • Protección en tiempo de ejecución (WAF, CSP, encabezados de seguridad)
  • Detección y recuperación (monitoreo, copias de seguridad, plan de incidentes)

Si estás ejecutando sitios de WordPress con múltiples administradores o plugins de terceros, haz un inventario ahora y prioriza los parches virtuales para los plugins con vulnerabilidades conocidas. Si deseas que nuestro equipo revise tu sitio o ayude a implementar reglas de protección rápidamente, contacta al soporte de WP‑Firewall y te asistiremos en la contención, remediación y endurecimiento a largo plazo.

Mantente seguro, mantente pragmático — y recuerda: la seguridad es un proceso, no una casilla de verificación.

— Equipo de seguridad de firewall de WP

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™