Traitement des XSS dans le plugin Shortcodes de WordPress//Publié le 2026-03-24//CVE-2024-12167

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Reflected XSS Vulnerability Image

Nom du plugin Créateur de blocs de shortcodes ultime
Type de vulnérabilité Scripts intersites (XSS)
Numéro CVE CVE-2024-12167
Urgence Moyen
Date de publication du CVE 2026-03-24
URL source CVE-2024-12167

XSS réfléchi dans Shortcodes Blocks Creator Ultimate (≤ 2.2.0) — Ce que les propriétaires de sites WordPress doivent faire dès maintenant

Date: 2026-03-24
Auteur: Équipe de sécurité WP-Firewall
Mots clés: WordPress, WAF, XSS, sécurité-des-plugins, réponse-aux-incidents

Résumé
Une vulnérabilité de Cross-Site Scripting (XSS) réfléchie (CVE-2024-12167) a été divulguée dans le plugin WordPress Shortcodes Blocks Creator Ultimate (versions ≤ 2.2.0). Le problème concerne la réflexion non sécurisée des valeurs liées aux nonces WordPress (_wpnonce) et peut être exploitée pour exécuter du JavaScript dans le contexte du navigateur d'une victime. Cet article explique les détails techniques, les scénarios d'attaque réalistes, les étapes de détection et d'atténuation, ainsi que les recommandations de durcissement à long terme — du point de vue de notre équipe de sécurité WP-Firewall.

Pourquoi c'est important (version courte)

L'XSS réfléchi est l'une des vulnérabilités web les plus courantes. Dans les contextes WordPress, elle est particulièrement dangereuse lorsqu'elle peut être utilisée contre des utilisateurs privilégiés (administrateurs de site, éditeurs) car elle peut conduire à la prise de contrôle de compte, à des modifications d'options, à des modifications de fichiers de plugins/thèmes ou à l'installation de portes dérobées. Même si une vulnérabilité semble nécessiter une “interaction utilisateur” (cliquer sur un lien, visiter une page conçue), les attaquants dans le monde réel créent souvent des leurres d'ingénierie sociale ou injectent des liens dans du contenu tiers que les administrateurs pourraient ouvrir.

Pour tout site utilisant Shortcodes Blocks Creator Ultimate à la version 2.2.0 ou inférieure, supposez un risque jusqu'à ce que vous ayez mis en œuvre une atténuation. Si vous ne pouvez pas corriger immédiatement, suivez les atténuations en couches ci-dessous.

Quelle est la vulnérabilité (résumé technique)

  • Type de vulnérabilité : Cross-Site Scripting (XSS) réfléchi.
  • Composant affecté : Plugin WordPress Shortcodes Blocks Creator Ultimate (≤ 2.2.0).
  • CVE : CVE-2024-12167
  • Cause racine (niveau élevé) : Les entrées contrôlées par l'utilisateur non assainies — spécifiquement les valeurs associées au paramètre nonce de WordPress (_wpnonce) — sont renvoyées à l'utilisateur (dans une réponse AJAX ou une page) sans échappement ou encodage appropriés. Cette réflexion permet l'injection de charges utiles de script qui s'exécutent dans le navigateur de la victime.
  • Accès requis : La vulnérabilité peut être déclenchée par des acteurs non authentifiés créant des URL conçues. L'impact d'une attaque réussie est plus élevé si un utilisateur authentifié ou privilégié (par exemple, un administrateur) est incité à visiter le lien conçu.
  • Impact typique : Exécution de JavaScript arbitraire dans le navigateur de la victime (vol de session via des cookies, actions de type CSRF, prise de contrôle de compte administratif, changements persistants s'ils sont enchaînés avec d'autres vulnérabilités).

Nuance importante : De nombreux rapports d'XSS réfléchi indiquent que la charge utile est livrée via une réponse qui nécessite qu'un utilisateur privilégié effectue une action (par exemple, cliquer sur un lien dans l'admin). Un flux d'attaque typique est qu'un attaquant envoie une URL conçue à un administrateur ; l'administrateur clique dessus ; le script malveillant s'exécute dans la session de l'administrateur et effectue des actions privilégiées.

Comment les attaquants vont probablement l'exploiter (scénarios réalistes)

  1. Phishing des utilisateurs administrateurs : L'attaquant crée un e-mail convaincant axé sur l'administrateur avec un lien contenant la charge utile XSS dans les paramètres (souvent encodés en URL). Si un administrateur suit le lien tout en étant connecté, le script s'exécute et peut déclencher des actions comme l'exportation d'utilisateurs, l'ajout d'un utilisateur administrateur ou l'injection de publications malveillantes.
  2. Drive-by via du contenu tiers : Si un attaquant peut placer un lien dans un site tiers ou un commentaire que l'administrateur clique plus tard (ou si un attaquant compromet un site partenaire), cela peut déclencher l'XSS.
  3. Chaînage avec d'autres bugs : Les attaquants peuvent utiliser le XSS réfléchi pour exécuter des scripts qui accèdent à des points de terminaison internes (par exemple, effectuer des appels AJAX) et tirer parti des cookies d'authentification ou des points de terminaison API REST pour effectuer des modifications persistantes.
  4. Vol de session et élévation de privilèges : Le script injecté peut envoyer des cookies ou des nonces à un serveur contrôlé par un attaquant, permettant le détournement de session ou la répétition d'actions administratives.

Indicateurs de compromission (ce qu'il faut rechercher)

Lors de l'enquête sur la survenue d'une attaque, vérifiez :

  • Des comptes administrateurs inconnus créés autour du moment d'activités suspectes.
  • Contenu de post/page modifié par un utilisateur administrateur ou un utilisateur inconnu.
  • Fichiers de plugin/thème modifiés (horodatages de téléchargement ou contenu changé).
  • Tâches planifiées inconnues (entrées cron) ou connexions sortantes vers des domaines inconnus depuis le site.
  • Access logs showing requests with unusual query parameters containing encoded characters (%3C, %3E, %3Cscript%3E) or long strings that look like payloads.
  • Sessions administratives incluant des adresses IP ou des agents utilisateurs incohérents avec une utilisation normale.
  • Alertes des scanners de logiciels malveillants indiquant du JavaScript injecté dans des pages ou des posts.
  • Changements inattendus dans les options de wp_options (par exemple, changements de site_url, nouvelles règles de redirection).

Recherchez dans vos journaux d'accès HTTP des motifs comme :

  • Requêtes contenant _wpnonce= avec des valeurs inattendues ou un contenu ressemblant à une charge utile.
  • Balises de script encodées : %3Cscript%3E, \x3Cscript\x3E, <script>.
  • Paramètres POST/GET inhabituels avec de longues chaînes base64, des balises HTML ou des gestionnaires d'événements (en charge, sur clic).

Actions recommandées immédiates (liste de priorité)

Si vous gérez des sites WordPress avec ce plugin installé, faites ce qui suit immédiatement — dans cet ordre :

  1. Confirmer la version du plugin
    Vérifiez la page du plugin dans wp-admin ou wp-content/plugins pour confirmer la version. Si elle est ≤ 2.2.0, considérez-la comme vulnérable.
  2. Si une mise à jour sécurisée du plugin est disponible, mettez à jour immédiatement.
    Testez toujours d'abord dans un environnement de staging lorsque c'est possible. Si aucun correctif officiel n'est encore disponible, procédez avec les atténuations ci-dessous.
  3. Appliquez un WAF (correctif virtuel/temporaire)
    Bloquez les modèles d'exploitation avec une règle WAF. Cela empêche la plupart des attaques automatisées et opportunistes. Une règle WAF pratique peut bloquer les requêtes où _wpnonce les valeurs des paramètres contiennent <, >, scénario, ou des formes encodées.
  4. Limitez l'accès administratif
    Restreignez wp-admin par IP (si possible), VPN ou authentification HTTP.
    Appliquez l'authentification à deux facteurs (2FA) pour tous les comptes administrateur.
    Révoquez les sessions que vous ne reconnaissez pas (Utilisateurs → Tous les utilisateurs → Plugins de gestion des sessions ou utilisez une requête de base de données pour supprimer les sessions).
  5. Scannez les indicateurs et revenez sur les modifications suspectes.
    Utilisez votre scanner de logiciels malveillants pour rechercher des scripts injectés dans les articles, les pages, les fichiers de thème/plugin et les téléchargements.
    Revenez sur toute modification suspecte à partir de sauvegardes ou de copies sous contrôle de version.
  6. Supprimez ou désactivez le plugin (si la mise à jour n'est pas disponible et que l'atténuation ne peut pas être appliquée).
    Si le plugin n'est pas critique pour la fonctionnalité du site, désactivez-le et supprimez-le jusqu'à ce qu'il soit corrigé.
  7. Renforcez les utilisateurs administrateurs
    Changez les mots de passe pour tous les comptes administrateurs. Forcez les réinitialisations de mot de passe pour les comptes privilégiés.
    Désactivez les comptes administrateurs inutiles et vérifiez les comptes avec des privilèges élevés.
  8. Surveiller les journaux et le trafic
    Augmentez la sensibilité des journaux et conservez les journaux pour une analyse judiciaire plus approfondie.
    Surveillez les requêtes répétées qui correspondent aux modèles d'exploitation.

Exemples de signatures de détection et de règles WAF.

Ci-dessous se trouvent des règles et des modèles d'exemple que vous pouvez utiliser dans un WAF pour bloquer les tentatives d'exploitation. Ceux-ci sont illustratifs — adaptez-les à la syntaxe de votre plateforme WAF.

Remarque : Testez toujours les règles en mode “ surveillance ” avant de bloquer afin de ne pas créer de faux positifs qui perturbent la fonctionnalité légitime.

  1. RegExp générique pour détecter les balises script ou les formulaires encodés dans _wpnonce:
(?i)(_wpnonce=)([^&]*)(%3C|%3c|<|&lt;|%253C|script|%3E|%3e|>|&gt;)

Si l'outil prend en charge la création de règles, une règle pourrait être :

  • Condition : La chaîne de requête contient _wpnonce
  • ET : _wpnonce la valeur correspond à l'expression régulière pour < ou scénario ou des formulaires encodés.
  • Action : Bloquer ou défier (CAPTCHA/JS challenge).
  1. Exemple ModSecurity (conceptuel) :
# Block if _wpnonce param includes suspicious tokens
SecRule REQUEST_URI|ARGS_NAMES|ARGS "@rx _wpnonce" "phase:2,chain,deny,id:100101,log,msg:'Reflected XSS attempt via _wpnonce parameter'"
    SecRule ARGS:_wpnonce "@rx (?i)(%3C|%3c|<|%3E|%3e|>|&lt;|&gt;|script|onload|onerror|eval|document\.cookie)" "t:none,log,deny,status:403"
  1. Bloquer les charges utiles XSS encodées dans les chaînes de requête :
SecRule QUERY_STRING "@rx (?i)(%3Cscript%3E|%253Cscript%253E|%3Cscript|%3C%2Fscript%3E)" "id:100102,phase:2,deny,log,msg:'Encoded script tag in query string'"
  1. Protection minimale au niveau de l'emplacement nginx (conceptuel) :
if ($request_uri ~* "_wpnonce=.*(%3C|%3c|<|%3E|%3e|>|script)") {
    return 403;
}
  1. Bloquer les référents ou agents utilisateurs suspects lors de l'appel de points de terminaison administratifs sensibles :
    – Si un point de terminaison AJAX est uniquement utilisé par des tableaux de bord administratifs, bloquez les requêtes provenant de domaines d'origine administratifs connus.

Important: Pour les sites grands ou multi-locataires, assurez-vous que toutes les règles de blocage sont étroitement définies pour éviter de perturber les flux administratifs légitimes.

Liste de vérification de remédiation — étape par étape

  1. Inventaire
    Listez tous les sites utilisant le plugin et leurs versions. Priorisez les sites à forte valeur (ecommerce, adhésion, fort trafic).
  2. Patch (si disponible)
    Mettez à jour le plugin dès qu'un patch est publié. Suivez les conseils de l'auteur du plugin.
  3. WAF / Patch virtuel
    Déployez des règles WAF pour bloquer les vecteurs d'exploitation. Gardez les règles simples, ciblées et enregistrées.
    Utilisez une application progressive : surveiller -> défier -> bloquer.
  4. Contrôles d'accès.
    Restreignez l'accès à /wp-admin et /wp-login.php via une liste d'autorisation IP, un VPN ou une authentification HTTP si possible.
    Appliquez des mots de passe forts et une authentification à deux facteurs pour tous les utilisateurs privilégiés.
  5. Auditer et restaurer
    Effectuez une analyse de malware et un contrôle d'intégrité des fichiers. Comparez les fichiers de plugin/thème aux versions originales dans le dépôt.
    Restaurer les fichiers compromis à partir d'une sauvegarde propre si nécessaire.
  6. Faire pivoter les secrets
    Réinitialisez les mots de passe des comptes administrateurs. Régénérez les clés API, les secrets d'intégration et les jetons utilisés par le site s'il y a un risque d'exposition.
  7. Moniteur
    Augmentez les alertes pour les événements suspects (connexion admin depuis une nouvelle IP, changements de fichiers).
    Surveillez le trafic sortant pour l'exfiltration.
  8. Communication
    Si vous êtes un fournisseur d'hébergement ou gérez des sites clients, informez rapidement les clients concernés avec les étapes recommandées.

Pour les développeurs : Bonnes pratiques de codage pour éviter les réflexions liées aux nonces.

Si vous êtes un développeur de plugin ou de thème, ces éléments empêcheront le type de XSS réfléchi décrit ici :

  1. Ne jamais renvoyer des entrées non fiables au navigateur sans les échapper.
    Utilisez la désinfection lors de l'acceptation des entrées.
    Échapper à la sortie : esc_html(), esc_attr(), zone_texte_esc(), ou wp_kses() selon le contexte.
  2. Utilisez les helpers d'échappement de WordPress pour les attributs HTML et le contenu :
    esc_attr() pour les valeurs d'attribut
    esc_html() pour les nœuds de texte HTML
    esc_js() pour l'insertion de JavaScript en ligne (évitez de préférence le JS en ligne)
    wp_kses_post() pour le HTML autorisé dans le contenu des publications
  3. Validez et vérifiez les nonces côté serveur en utilisant wp_verify_nonce()
    Mais rappelez-vous : une valeur de nonce n'est pas un contenu d'entrée ; ne supposez pas qu'il est sûr de le renvoyer directement.
  4. Lors du retour de réponses JSON (AJAX), encodez les valeurs en JSON et évitez d'incorporer du HTML directement dans le JSON.
    Utiliser wp_send_json_success() / wp_send_json_error() avec un contenu correctement assaini.
  5. Préférez POST pour les opérations sensibles et évitez de renvoyer des paramètres dans les réponses basées sur GET.
  6. Utilisez des en-têtes de politique de sécurité du contenu (CSP) pour réduire l'impact des XSS réfléchis :
    rapportez d'abord uniquement ; puis appliquez une fois que vous avez testé.
  7. Éduquez les équipes QA/test pour inclure des charges utiles XSS (codées/non codées) dans les entrées dans le cadre des plans de test.

Flux de réponse aux incidents recommandé (si vous soupçonnez une exploitation)

  1. Isoler
    Mettez temporairement le site en mode maintenance ou restreignez l'accès administrateur pour éviter d'autres exploitations par les administrateurs.
  2. Contenir
    Appliquez des règles WAF pour bloquer les tentatives d'exploitation.
    Révoquez les sessions administratives actives et forcez les réinitialisations de mot de passe.
  3. Enquêter
    Collectez les journaux d'accès du serveur web, les journaux d'erreurs, les journaux d'audit wp-admin et les journaux de modifications de la base de données.
    Recherchez des requêtes suspectes, en particulier avec _wpnonce des paramètres ou des charges utiles codées inhabituelles.
  4. Éradiquer
    Supprimez les scripts injectés du contenu et des fichiers.
    Restaurez des copies propres des fichiers compromis à partir des sauvegardes antérieures à l'incident.
  5. Récupérer
    Réactivez les services une fois assainis et confirmez un comportement normal.
    Continuez la surveillance accrue pendant au moins 30 jours.
  6. Suite à l'incident
    Effectuez une analyse des causes profondes et appliquez des changements de processus (par exemple, une politique de patching plus stricte, un meilleur staging).
    Communiquez avec les parties prenantes et les utilisateurs comme l'exige la politique ou la réglementation.

Renforcement et prévention à long terme (au-delà de cette vulnérabilité)

  • Gardez le cœur de WordPress, les thèmes et les plugins à jour selon un calendrier fiable.
  • Utilisez des sites de staging pour les mises à jour de plugins et testez la compatibilité avant le déploiement en production.
  • Mettez en œuvre un contrôle d'accès basé sur les rôles : accordez les privilèges minimaux nécessaires pour les tâches administratives.
  • Appliquez l'authentification à deux facteurs et des politiques de mots de passe forts pour les comptes privilégiés.
  • Activez la surveillance de l'intégrité des fichiers (détecter les modifications de fichiers dans wp-content, wp-includes).
  • Auditez et supprimez les plugins et thèmes inutilisés.
  • Mettez en œuvre des sauvegardes régulières avec stockage hors site et testez les procédures de restauration.
  • Utilisez une approche de sécurité en couches : durcissement au niveau de l'hôte, WAF au niveau de l'application et surveillance en temps réel.

Exemples pratiques : Comment durcir rapidement un site vulnérable

  1. Règle WAF à court terme (exemple) :
    Bloquer les requêtes où _wpnonce inclut l'un des tokens suivants : <, >, scénario, en charge, une erreur, évaluer, document.cookie, ou des formes codées courantes.
  2. Limitez l'accès admin par IP :
    Si vous avez des adresses IP statiques de votre équipe, restreignez l'accès à /wp-admin et /wp-login.php à ces IP. Ajoutez des exceptions pour les services légitimes (par exemple, surveillance).
  3. Ajoutez un en-tête de politique de sécurité du contenu (CSP) :
    Un CSP strict réduit considérablement la capacité des XSS réfléchis à charger des scripts externes ou à exfiltrer des données.
    Commencez par le mode rapport uniquement, examinez les rapports, puis appliquez.
  4. Assainissez les entrées dans le code personnalisé ou tiers :
    Si votre site ou vos consultants ont du code personnalisé qui inclut ou interagit avec ce plugin, assurez-vous que toutes les données passées ou rendues dans le navigateur sont assainies/échappées.
  5. Désactivez le rendu automatique des notifications administratives qui incluent des valeurs non fiables :
    De nombreux plugins affichent des notifications administratives qui reflètent les paramètres GET. Auditez le code de génération de notifications administratives et échappez en conséquence.

Surveillance et modèles de journal pour activer les alertes

Configurer des alertes pour :

  • Requêtes avec _wpnonce contenant %3C, %3E, %3Cscript ou scénario des jetons.
  • Requêtes POST vers des points de terminaison administratifs provenant d'adresses IP ou de géolocalisations inhabituelles.
  • Requêtes massives vers des points de terminaison incluant des chaînes de requête plus longues que d'habitude (indiquant une livraison de charge utile).
  • Connexion administrateur depuis de nouvelles IP dans un court laps de temps de requêtes GET suspectes.

Exemple de recherche de journal (conceptuel) :

request:/wp-admin* AND query._wpnonce:/.*(%3C|%3E|<|>|\bscript\b).*/i

Déclencheur : envoyer une alerte à l'équipe de sécurité et bloquer temporairement l'IP ou présenter un défi JS.

Conseils aux développeurs — modèles sécurisés pour gérer _wpnonce

  • Les nonces servent à vérifier l'intention, pas au transport de données. N'utilisez pas la valeur nonce elle-même comme contenu. Si vous devez renvoyer une valeur nonce pour le débogage, échappez-la correctement et supprimez cette sortie en production.
  • Lors de la création de pages administratives qui acceptent des paramètres, assainissez toutes les entrées avec des filtres appropriés et échappez les sorties en utilisant les helpers de WordPress.
  • Lorsque le plugin imprime des notifications administratives ou renvoie du HTML via AJAX, ne renvoyez pas directement les paramètres de requête. Toujours assainir, valider et échapper.

Exemple de sortie (sûre) dans la page d'administration du plugin :

&lt;?php&#039;<div>' . $_GET['some_param'] . '</div>';'<div>' . esc_html($param) . '</div>';

Pour les points de terminaison AJAX :

  • Utiliser check_ajax_referer() pour vérifier l'intention du nonce.
  • Pour les réponses JSON, utilisez wp_send_json_success( array( 'data' => $safe_value ) );

Comment WP-Firewall vous protège (note technique courte)

En tant que fournisseur de sécurité WordPress, nous mettons en œuvre une détection proactive et un patch virtuel pour prévenir des attaques comme le XSS réfléchi décrit ici. Notre approche suit un modèle en couches :

  • Blocage basé sur des règles qui cible les modèles d'exploitation (y compris les charges utiles encodées ciblant les paramètres nonce).
  • Détection en temps réel des activités administratives anormales et confinement automatique des sessions.
  • Analyse des logiciels malveillants pour détecter les scripts injectés et les fichiers modifiés.
  • Conseils de renforcement de la sécurité pour l'utilisation des plugins, l'accès administrateur et la configuration.

Si vous utilisez notre couche gratuite, les protections WAF de base et les analyses de logiciels malveillants bloqueront un grand pourcentage des tentatives d'exploitation automatisées, et nous fournissons des conseils de remédiation simples étape par étape.

Sécurisez votre site gratuitement avec WP-Firewall Basic

Si vous souhaitez une méthode rapide et sans coût pour réduire votre exposition pendant que vous planifiez la remédiation, essayez WP-Firewall Basic (gratuit). Le plan de base vous offre une protection essentielle : un pare-feu géré, une bande passante illimitée, un pare-feu d'application Web adapté à WordPress, un scanner de logiciels malveillants et une atténuation des risques OWASP Top 10. C'est un moyen facile d'ajouter une couche de patch virtuel immédiate et d'améliorer votre capacité de détection sans changer la configuration de votre site. Inscrivez-vous au plan gratuit ici : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si vous avez besoin d'une suppression automatique des logiciels malveillants, de contrôles d'autorisation/refus d'IP, ou de patching virtuel avec des règles prioritaires pour les vulnérabilités des plugins, envisagez de passer aux plans payants.)

FAQ

Q : Si le plugin est désactivé, suis-je en sécurité ?
R : Désactiver et supprimer le plugin élimine la surface d'attaque immédiate. Cependant, si un site a été précédemment exploité, la désactivation seule ne nettoie pas le contenu injecté ou les portes dérobées. Scannez et vérifiez toujours.

Q : Les attaquants peuvent-ils exploiter la vulnérabilité via les moteurs de recherche ?
R : Seulement si un administrateur/utilisateur clique sur un lien conçu tout en étant authentifié. Cependant, les attaquants peuvent distribuer de tels liens dans des e-mails, des pages partenaires ou des commentaires. Traitez tout lien externe vers l'administrateur comme risqué si le plugin est vulnérable.

Q : Les nonces sont-ils censés être secrets ?
R : Non. Les nonces ne sont pas des jetons secrets comme des mots de passe ; ce sont des jetons à courte durée de vie pour vérifier l'intention. Ils ne doivent jamais être utilisés comme véhicule pour des données renvoyées aux utilisateurs sans une sanitation/échappement appropriés.

Dernières réflexions (évaluation pratique des risques)

Le XSS réfléchi est un problème à forte probabilité et à impact moyen à élevé lorsqu'il peut affecter les administrateurs. Parce qu'il peut être déclenché via des URL conçues et l'ingénierie sociale, c'est précisément le type de vulnérabilité qui apparaît souvent dans les tentatives d'exploitation de masse. Si votre site utilise la version de plugin affectée, traitez-le comme urgent : appliquez un patch si disponible, et sinon, appliquez des règles WAF, limitez l'accès administrateur et scannez pour des compromissions.

La sécurité n'est pas une tâche ponctuelle. Combinez des patchs opportuns, une défense en couches (WAF + durcissement + surveillance) et des processus d'incidents réactifs pour réduire la chance qu'une exploitation se transforme en compromission totale.

Si vous souhaitez de l'aide pour mettre en œuvre les protections ci-dessus ou si vous souhaitez que nous examinions un incident spécifique ou une sortie de journal, contactez notre équipe des opérations de sécurité — nous pouvons vous aider à réduire la fenêtre d'attaque tout en travaillant avec vous sur une feuille de route complète de remédiation.

Références et lectures complémentaires

Équipe de sécurité WP-Firewall
Nous sécurisons les sites WordPress en combinant une analyse experte, des règles WAF gérées et des conseils pratiques de remédiation.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™