Évaluation du risque XSS dans le plugin WP Clippy//Publié le 2026-05-04//CVE-2026-5505

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

WP-Clippy Vulnerability Image

Nom du plugin WP-Clippy
Type de vulnérabilité XSS (Cross-Site Scripting)
Numéro CVE CVE-2026-5505
Urgence Moyen
Date de publication du CVE 2026-05-04
URL source CVE-2026-5505

Urgent : WP-Clippy <= 1.0.0 — Authentifié (Contributeur) XSS stocké (CVE-2026-5505) — Ce que les propriétaires de sites WordPress doivent faire maintenant

Auteur: Équipe de sécurité WP-Firewall
Date: 2026-05-05
Mots clés: WordPress, Vulnérabilité de plugin, XSS, WAF, WP-Firewall

Résumé: Une vulnérabilité de Cross-Site Scripting (XSS) stockée affectant le plugin WordPress WP-Clippy (versions <= 1.0.0) a été divulguée publiquement (CVE-2026-5505). Les utilisateurs authentifiés avec des privilèges de niveau Contributeur peuvent stocker des scripts malveillants qui peuvent s'exécuter lorsque des utilisateurs ou des visiteurs de site ayant des privilèges plus élevés affichent des pages affectées. Bien que la gravité signalée soit modérée (CVSS 6.5) et que l'exploitation nécessite une interaction, la vulnérabilité peut être enchaînée à des attaques plus graves. Cet article explique les détails techniques, les scénarios d'attaque réalistes, les atténuations immédiates, les techniques de détection, les corrections des développeurs et les étapes de durcissement à long terme que vous pouvez appliquer dès maintenant.

Pourquoi vous devriez vous en soucier (version courte)

  • Un compte de niveau contributeur (ou supérieur) peut enregistrer du contenu contenant du JavaScript malveillant qui est ensuite rendu et exécuté dans l'environnement du navigateur d'autres utilisateurs.
  • Le XSS stocké permet aux attaquants d'effectuer des actions en tant que victime, d'exfiltrer des jetons/cookies, de modifier du contenu, ou même de créer des comptes administrateurs dans certaines conditions.
  • Aucun correctif officiel n'était disponible au moment de la divulgation. Une atténuation immédiate est nécessaire pour éviter l'exploitation sur les sites utilisant les versions vulnérables.

Quelle est la vulnérabilité (aperçu technique)

La vulnérabilité est un défaut de Cross-Site Scripting (XSS) stocké dans le plugin WP-Clippy, présent dans les versions jusqu'à et y compris 1.0.0, suivi sous le nom CVE-2026-5505.

Faits clés :

  • Type : XSS stocké (persistant)
  • Logiciel affecté : Plugin WordPress WP-Clippy (<= 1.0.0)
  • Privilège requis : Contributeur (authentifié)
  • CVSS : 6.5 (modéré)
  • Interaction utilisateur : Requise (charge utile stockée exécutée lorsque qu'un autre utilisateur consulte le contenu ou des pages administratives spécifiques)
  • État du correctif : Aucune version corrigée officielle disponible au moment de la divulgation

Le XSS stocké se produit lorsque des entrées non fiables (contenu soumis par l'utilisateur) sont enregistrées par l'application et ensuite rendues à d'autres utilisateurs sans échappement approprié au contexte. Dans ce cas, un contributeur peut enregistrer des charges utiles qui sont ensuite sorties par le plugin dans des pages consultées par d'autres utilisateurs, entraînant l'exécution de scripts dans le navigateur de la victime.

Scénarios d'attaque pratiques — ce qu'un attaquant pourrait faire

Bien que la vulnérabilité ne soit pas immédiatement triviale à exploiter à grande échelle (un compte de contributeur est requis et une certaine interaction est nécessaire), les chaînes d'exploitation dans le monde réel rendent cette classe de divulgation risquée :

  1. Élévation de privilèges via usurpation d'identité d'administrateur
    – Un contributeur stocke un script qui, lorsqu'il est exécuté dans le navigateur d'un éditeur ou d'un administrateur, soumet automatiquement des actions réservées aux administrateurs (comme créer un nouveau compte administrateur via un point de terminaison REST accessible ou exploiter une action administrative non sécurisée).
    – Cela convertit un compte à faible privilège en une prise de contrôle du site.
  2. Vol de session/identifiants
    – Le script stocké peut tenter d'exfiltrer des jetons d'authentification ou des cookies accessibles dans le navigateur. Même si HttpOnly est défini sur les cookies, d'autres jetons sensibles ou jetons CSRF présents sur la page pourraient être capturés.
  3. Persistance/backdoors
    – Le script injecté pourrait appeler des points de terminaison REST, télécharger des fichiers de porte dérobée ou déclencher des mises à jour de plugins/thèmes qui installent du code malveillant.
  4. Phishing et défiguration
    – Les scripts injectés peuvent créer des superpositions d'interface utilisateur convaincantes pour capturer des identifiants ou injecter du contenu malveillant dans les pages front-end que les visiteurs voient.
  5. Propagation par chaîne d'approvisionnement ou multi-sites
    – Sur des configurations multisite ou des sites avec de nombreux éditeurs/admins, l'ampleur de l'impact augmente. Les attaquants peuvent cibler un site à faible trafic et pivoter vers des cibles de plus grande valeur via des comptes partagés ou des flux de travail éditoriaux.

Parce que l'attaquant n'a besoin que d'un compte de niveau Contributeur pour stocker la charge utile, tout site qui permet les enregistrements d'utilisateurs avec un accès de niveau contributeur—ou qui a des comptes de contributeurs mal contrôlés—pourrait être ciblé.

Actions immédiates que vous devez entreprendre maintenant (étape par étape)

Si vous hébergez des sites WordPress utilisant WP-Clippy et que vous ne pouvez pas immédiatement appliquer un correctif fourni par le fournisseur (aucun n'est peut-être disponible), suivez ces étapes recommandées, classées par priorité :

  1. Identifiez si vous exécutez une version vulnérable
    – Tableau de bord → Plugins → Recherchez “WP-Clippy” et vérifiez la version. Si la version est <= 1.0.0, considérez-la comme vulnérable.
    – CLI : wp plugin list | grep wp-clippy
  2. Désactivez immédiatement le plugin (si vous n'êtes pas sûr)
    – Désactivez ou désinstallez WP-Clippy jusqu'à ce qu'une version corrigée sécurisée soit publiée ou qu'une alternative sécurisée soit disponible.
    – CLI : wp plugin deactivate wp-clippy
  3. Si vous devez garder le plugin actif (temporaire), réduisez le risque en limitant qui peut soumettre du contenu :
    – Supprimez la capacité d'enregistrement des Contributeurs : désactivez l'enregistrement public ou changez le rôle par défaut en Abonné.
    – Utilisez un plugin de gestion des capacités pour supprimer les droits de téléchargement/modification des contributeurs.
    – Restreindre temporairement l'accès aux pages de plugin affectées par IP ou n'autoriser que les administrateurs.
  4. Mettre en œuvre un patch virtuel WAF (recommandé)
    – Déployer une règle WAF pour bloquer ou assainir les requêtes vers les points de terminaison WP-Clippy contenant des balises script ou des attributs suspects. (Exemples ci-dessous.)
    – Activer les règles pour bloquer les charges utiles POST contenant , javascript:, onerror=, onload=, ou data:text/html;charset=utf-8.
  5. Scannez votre site à la recherche de contenu stocké suspect et de signes de compromission
    – Rechercher dans les articles, pages, types de publication personnalisés, options de plugin et postmeta des blocs HTML ou suspects.
    – Exemple WP-CLI : wp search-replace --regex '<script' '<!--script' --all-tables --dry-run
    – Exemple SQL (lecture seule) : SELECT * FROM wp_posts WHERE post_content LIKE '%<script%' OR post_content LIKE '%onerror=%';
  6. Forcer un examen de sécurité pour tous les utilisateurs ayant des privilèges supérieurs
    – Demander aux administrateurs et éditeurs de revoir le contenu récemment créé/édité.
    – Faire tourner les mots de passe et invalider les sessions si vous soupçonnez une compromission.
  7. Renforcez les rôles des utilisateurs
    – Restreindre qui peut se voir attribuer des rôles de Contributeur+.
    – Utiliser l'authentification à deux facteurs (2FA) pour les comptes Administrateur et Éditeur.
    – Envisager de désactiver l'enregistrement des utilisateurs non essentiels.
  8. Appliquer des en-têtes de sécurité sur votre site (CSP)
    – La politique de sécurité du contenu peut atténuer l'impact des XSS en bloquant l'exécution de scripts en ligne à moins qu'elle ne soit explicitement autorisée. Un CSP progressif peut aider.
    – Exemple (de départ) : Content-Security-Policy : default-src 'self' ; script-src 'self' 'nonce-...' ; object-src 'none' ;
  9. Surveillez les journaux et bloquez les IP suspectes
    – Surveiller les journaux d'accès et d'erreurs pour des POST inhabituels ou des requêtes fréquentes vers les points de terminaison du plugin.
    – Mettre temporairement sur liste noire les IP suspectes. Avec WAF, vous pouvez bloquer ou limiter les tentatives automatisées.

Comment détecter si votre site a été impacté

Les XSS stockés laissent des traces. Voici des vérifications pratiques :

  1. Recherchez du contenu pour des balises script et des gestionnaires d'événements
    – Les fichiers de thème, options, post_content, postmeta, comment_content, termmeta et les tables spécifiques aux plugins peuvent contenir des scripts injectés.
    – WP-CLI :
    wp db query "SELECT ID,post_title,post_author FROM wp_posts WHERE post_content LIKE '%<script%';"
    wp db query "SELECT option_name,option_value FROM wp_options WHERE option_value LIKE '%<script%';"
  2. Recherchez des utilisateurs administrateurs inattendus
    wp user list --role=administrator
    – Vérifiez les dates de création et les dernières connexions.
  3. Vérifiez les fichiers modifiés et les téléchargements récents
    – Comparez les fichiers actuels à une sauvegarde propre ou à un dépôt. Recherchez des fichiers PHP inattendus dans les dossiers de téléchargements ou de thèmes/plugins.
    – Utilisez des moniteurs d'intégrité des fichiers ou exécutez : find . -type f -exec md5sum {} \; > current_hashes.txt et comparez.
  4. Auditez les signes côté navigateur
    – Lorsque vous visitez des pages administratives, surveillez la console de développement du navigateur pour des requêtes vers des points de terminaison tiers inconnus ou une activité réseau inattendue.
  5. Examinez les journaux pour des requêtes POST suspectes
    – Recherchez des POST qui incluent <script, javascript:, onerror=, ou de longues chaînes base64.
  6. Vérifiez la base de données pour des données sérialisées inhabituelles
    – Les attaquants cachent parfois des charges utiles dans des tableaux sérialisés dans les options et les tables meta. Recherchez base64 et des longueurs sérialisées étranges.

Si vous trouvez quelque chose de suspect, mettez le site hors ligne pour une analyse judiciaire, faites tourner les identifiants et restaurez à partir d'une sauvegarde propre si nécessaire.

Guide du développeur — comment les auteurs de plugins devraient résoudre le problème

Si vous maintenez ou développez un plugin (ou pouvez contribuer un correctif), suivez ces principes de codage sécurisé. La cause profonde est l'échec à effectuer une désinfection et une échappement appropriés au contexte des entrées non fiables.

  1. Validez et désinfectez les entrées avant de les enregistrer
    – Utilisez les fonctions de désinfection de WordPress lors de l'enregistrement :
    – Pour les entrées uniquement textuelles : assainir_champ_texte()
    – Pour le HTML autorisé : wp_kses() ou wp_kses_post() avec une liste de balises autorisées
    – Pour les attributs : esc_attr()

    Exemple (enregistrement d'une entrée désinfectée) :

    if ( isset( $_POST['my_plugin_field'] ) ) {
  2. Échappez la sortie au moment du rendu (échappement conscient du contexte)
    – Pour le contenu HTML : echo wp_kses_post( $content );
    – Pour le contexte des attributs : echo esc_attr( $attr );
    – Pour le contexte JavaScript : echo wp_json_encode( $data ) et imprimez de manière sécurisée.

    Exemple (échappement à la sortie) :

    $content = get_option( 'my_plugin_field' );
  3. Principe du moindre privilège et vérifications des capacités
    – Vérifier current_user_can() avant de permettre la soumission de contenu ou le rendu de contenu réservé aux administrateurs.
    – Ne pas faire confiance aux vérifications côté client ; appliquer des vérifications de capacité côté serveur.

    if ( ! current_user_can( 'edit_posts' ) ) {
  4. Utiliser des nonces pour les soumissions de formulaires
    – Utilisez champ_wp_nonce() et vérifiez avec vérifier_admin_référent() avant de traiter les requêtes POST.
  5. Éviter d'écho le contenu fourni par l'utilisateur à l'intérieur des balises de script en ligne
    – Si les données utilisateur doivent être utilisées en JS, les encoder en toute sécurité avec wp_localize_script() ou wp_json_encode().

    wp_localize_script( 'my-script', 'WPData', array( 'someData' => wp_kses_post( $data ) ) );
  6. Restreindre le HTML stocké
    – Éviter de permettre du HTML arbitraire provenant de rôles à faible privilège. Les contributeurs ne devraient pas être autorisés à publier du HTML non filtré.
    – Si le HTML doit être autorisé, utiliser une liste blanche stricte avec wp_kses() et assainir les attributs.
  7. Assainir les données stockées dans les options de plugin et les tables personnalisées
    – Si le plugin stocke des données dans des tables personnalisées, appliquer les mêmes règles d'assainissement.
  8. Tests unitaires et d'intégration
    – Ajouter des tests qui tentent d'insérer des charges utiles risquées pour s'assurer que le plugin les rejette ou les échappe.

Suivre ces étapes empêchera les XSS stockés dans la plupart des scénarios de plugin. Si vous n'êtes pas l'auteur de WP-Clippy, contactez le mainteneur du plugin ou, si le projet n'est plus maintenu, envisagez fortement de le supprimer jusqu'à ce qu'un correctif fiable soit disponible.

Exemples de modèles de code sécurisés

  • Assainir l'entrée avec une liste de balises limitée :
$allowed = array(;
  • Échapper à la sortie :
$content = get_option( 'wp_clippy_content' );
  • Utilisez des vérifications de capacité :
if ( ! current_user_can( 'edit_posts' ) ) {
  • Utilisez des nonces :
// Génération de formulaire

Règles WAF/patch virtuel suggérées (signatures défensives)

Si vous exploitez un pare-feu d'application Web ou un WAF au niveau du site, le patch virtuel peut réduire considérablement le risque avant qu'un correctif officiel du plugin ne soit disponible. Voici des logiques de règles d'exemple (pseudo ou style ModSecurity) axées sur le blocage des tentatives évidentes de XSS stocké dirigées vers les points de terminaison de WP-Clippy. Ajustez-les pour réduire les faux positifs.

  • Règle de base : bloquer les requêtes POST avec dans le corps vers les points de terminaison de WP-Clippy
SecRule REQUEST_URI "@beginsWith /wp-admin/admin.php?page=wp-clippy" \n    "phase:2,deny,status:403,msg:'WP-Clippy XSS - balise script trouvée', \n     chain"
  • Bloquer les modèles XSS courants dans toute requête vers les points de terminaison du plugin :
SecRule REQUEST_URI "@rx /wp-admin.*wp-clippy" "phase:2,deny,log,msg:'WP-Clippy charge utile suspecte'"
  • Honeypot : enregistrer et limiter le taux des POST de Contributeur répétés contenant des balises HTML
Si le rôle de l'utilisateur == Contributeur et REQUEST_METHOD == POST et REQUEST_BODY contient  alors limiter le taux/notifier l'administrateur

Note: Les règles WAF doivent être testées dans un environnement de staging avant le déploiement en production pour éviter de bloquer le trafic légitime.

Liste de contrôle opérationnelle pour les administrateurs de site

  • Identifier et lister tous les sites utilisant WP-Clippy.
  • Désactiver immédiatement WP-Clippy sur tous les sites vulnérables ou bloquer l'accès aux pages d'administration du plugin.
  • Scanner pour les charges utiles XSS stockées existantes et le contenu suspect.
  • Examiner les comptes utilisateurs et supprimer les comptes Contributeur+ non nécessaires.
  • Mettre en œuvre ou activer des règles WAF pour bloquer les charges utiles suspectes.
  • Vérifier les sauvegardes et les procédures de récupération. Préparer un plan de retour en arrière.
  • Faire tourner les identifiants administratifs et FTP si une activité suspecte est trouvée.
  • Appliquez des en-têtes de sécurité (CSP, X-Frame-Options, Referrer-Policy).
  • Surveillez les journaux pour des tentatives répétées et des activités suspectes.
  • Abonnez-vous à un flux de sécurité de confiance ou aux notifications des fournisseurs pour des mises à jour concernant un correctif du fournisseur.

Si vous soupçonnez un compromis — étapes de récupération

  1. Mettez le site hors ligne (mode maintenance) si un compromis actif est confirmé.
  2. Conservez les journaux et un instantané judiciaire pour une analyse ultérieure.
  3. Restaurez à partir d'une sauvegarde connue comme bonne effectuée avant l'incident (si disponible).
  4. Faites tourner tous les mots de passe administratifs WordPress, les clés API, les jetons OAuth et les identifiants de base de données.
  5. Auditez les fichiers de shell web et les modifications récentes des fichiers de base, de thème et de plugin.
  6. Réinstallez le cœur de WordPress et les plugins à partir de sources officielles lorsque cela est possible.
  7. Changez les mots de passe du panneau de contrôle d'hébergement et de FTP/cPanel.
  8. Après le nettoyage, renforcez le site, réactivez la surveillance et gardez un œil attentif sur les comportements inhabituels.

Recommandations à long terme — réduire la surface d'attaque future

  • Minimisez le nombre de plugins installés. Chaque plugin augmente le risque.
  • Appliquez le principe du moindre privilège ; évitez d'accorder le statut de Contributeur+ à des utilisateurs non fiables.
  • Exigez une authentification à deux facteurs pour toute connexion privilégiée.
  • Maintenez un inventaire des thèmes/plugins et suivez leur statut de mise à jour/maintenance.
  • Utilisez des environnements de staging pour tester les mises à jour de plugins et les règles de sécurité.
  • Scannez régulièrement à la recherche de vulnérabilités et surveillez les avis de sécurité.
  • Éduquez les éditeurs/contributeurs sur l'ingénierie sociale et les téléchargements sûrs.

FAQ

Q : Si les contributeurs peuvent déjà publier du contenu, pourquoi est-ce un problème plus important maintenant ?
A : La différence est que WP-Clippy n'a pas réussi à assainir ou à échapper aux données fournies par l'utilisateur dans un contexte qui permettait l'exécution de scripts. Certains plugins stockent et rendent des données dans des pages d'administration ou dans des contextes front-end qui sont exécutés en tant que JavaScript ou insérés dans HTML sans évasion appropriée. Cela fournit un vecteur pour passer du contenu stocké à un script exécuté activement par le navigateur.

Q : CSP peut-il complètement prévenir les XSS ?
A : Une politique de sécurité de contenu (CSP) stricte peut atténuer de nombreuses attaques XSS en empêchant les scripts en ligne ou en restreignant les scripts à des sources spécifiques, mais elle doit être déployée avec précaution. CSP est un mécanisme de défense en profondeur solide mais ne remplace pas une assainissement/évasion approprié des entrées.

Q : Est-il sûr de garder le plugin activé si je restreins les comptes de contributeurs ?
A : Réduire les comptes de contributeurs diminue le risque, mais ce n'est pas une solution complète. Si le plugin a un moyen pour des invités ou d'autres rôles de provoquer des données stockées ou si d'autres utilisateurs du site sont compromis, le risque demeure. La solution la plus sûre est de désactiver jusqu'à ce qu'un correctif vérifié soit disponible.

Pour les développeurs qui souhaitent aider : divulgation responsable et contribution

Si vous êtes un développeur qui a découvert une vulnérabilité, suivez les meilleures pratiques de divulgation responsable :

  • Contactez le mainteneur du plugin en privé avec un reproducer et des suggestions de remédiation.
  • Si le mainteneur ne répond pas, divulguez par le biais d'un programme de signalement de vulnérabilités de confiance ou d'une entité de coordination après un embargo raisonnable.
  • Fournissez des correctifs ou des demandes de tirage qui assainissent/échappent les entrées et ajoutent des tests.
  • Évitez la divulgation publique jusqu'à ce qu'un correctif ou une atténuation soit disponible pour prévenir l'exploitation de masse.

Si vous êtes un mainteneur :

  • Prenez les rapports des contributeurs au sérieux et fournissez des mises à jour de sécurité en temps opportun.
  • Publiez une version corrigée et mettez à jour le journal des modifications avec une référence CVE et des étapes de remédiation.
  • Encouragez les utilisateurs à mettre à jour et fournissez des instructions pour l'atténuation lors du déploiement du correctif.

Pourquoi les WAF et le patching virtuel sont importants (et comment WP-Firewall aide)

Lorsqu'une vulnérabilité est divulguée et qu'un correctif officiel du plugin n'est pas encore disponible, les WAF (pare-feu d'application Web) et le patching virtuel achètent un temps crucial. Le patching virtuel bloque les modèles d'exploitation connus au niveau du trafic sans changer le code de l'application—cela empêche l'exploitation pendant qu'un correctif au niveau du code est en cours de développement, de test et de déploiement.

Chez WP-Firewall, nous nous spécialisons dans les règles WAF gérées adaptées aux plugins WordPress et aux vecteurs d'attaque CMS courants. Notre approche pour des situations comme celle-ci comprend :

  • Analyser rapidement les détails de la divulgation et construire des règles WAF ciblées pour bloquer les charges utiles et les modèles de requêtes connus.
  • Déployer des signatures qui couvrent spécifiquement les points de terminaison WP-Clippy et les modèles de demande tout en minimisant les faux positifs.
  • Combiner le blocage WAF avec des heuristiques de désinfection de contenu et des alertes administratives afin que les propriétaires de sites puissent prioriser en toute sécurité la remédiation.

Protégez votre site aujourd'hui — Protection gérée gratuite de WP-Firewall

Commencez la protection gérée avec WP-Firewall Basic (Gratuit)

Si vous avez besoin d'une protection gérée immédiate sans changer de code, le plan Basic (Gratuit) de WP-Firewall fournit des défenses essentielles pour les sites WordPress. Basic comprend un pare-feu géré, une bande passante illimitée, des mises à jour de règles WAF, un scanner de logiciels malveillants et une couverture de mitigation pour les risques OWASP Top 10 — parfait pour un patch virtuel à court terme et un durcissement immédiat pendant que vous travaillez sur des corrections au niveau du code ou attendez un patch de plugin en amont.

Inscrivez-vous ici au forfait gratuit : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Notre équipe vous aidera à déployer des patches virtuels temporaires, à surveiller les tentatives d'exploitation et à recommander les actions de suivi les plus appropriées pour votre environnement.

Dernières réflexions — priorisez la sécurité, réduisez le risque

Les vulnérabilités XSS stockées comme CVE-2026-5505 peuvent sembler de faible gravité à première vue car elles nécessitent un compte de niveau contributeur, mais en pratique, elles sont très précieuses pour les attaquants qui peuvent passer d'une injection à faible privilège à un compromis d'administrateur. Des étapes rapides et pragmatiques — désactiver les plugins vulnérables, appliquer des patches virtuels via un WAF, scanner les indicateurs de compromission et durcir les rôles utilisateurs — sont les moyens les plus efficaces de réduire le risque en attendant un patch du fournisseur.

Si vous gérez un ou plusieurs sites WordPress, considérez cette divulgation comme un rappel de :

  • faire respecter des privilèges utilisateurs stricts,
  • maintenir un ensemble de plugins minimal et entretenu,
  • avoir un plan de réponse aux incidents et des sauvegardes, et
  • utiliser des défenses gérées pour combler les lacunes immédiatement.

Si vous souhaitez de l'aide pour mettre en œuvre des règles WAF, la détection ou la réponse aux incidents pour ce problème, notre équipe de sécurité chez WP-Firewall est disponible pour vous aider.

Si vous avez trouvé cela utile, partagez-le avec vos collègues qui s'occupent de la maintenance et de la sécurité de WordPress. Si vous avez besoin d'aide pour mapper ces atténuations à votre configuration d'hébergement ou automatiser la détection sur plusieurs sites, contactez notre équipe via le tableau de bord WP-Firewall ou inscrivez-vous au plan Basic gratuit pour commencer rapidement : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™