Vulnérabilité critique de contrôle d'accès dans Coinbase Commerce//Publié le 2026-05-11//CVE-2026-6709

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Coinbase Commerce for Contact Form 7 Vulnerability

Nom du plugin Coinbase Commerce pour Contact Form 7
Type de vulnérabilité vulnérabilité du contrôle d'accès
Numéro CVE CVE-2026-6709
Urgence Faible
Date de publication du CVE 2026-05-11
URL source CVE-2026-6709

Contrôle d'accès rompu dans Coinbase Commerce pour Contact Form 7 (<=1.1.2) — Ce que les propriétaires de sites et les développeurs doivent faire maintenant

Un avis technique approfondi de WP‑Firewall : analyse de la vulnérabilité de Coinbase Commerce pour Contact Form 7 (CVE-2026-6709), scénarios d'exploitation, détection, atténuation, recommandations de patch virtuel et corrections de codage sécurisé que vous pouvez appliquer aujourd'hui.

Auteur : Équipe de sécurité WP‑Firewall
Publié : 2026-05-12


Résumé : Une vulnérabilité de contrôle d'accès rompu dans le plugin WordPress “Coinbase Commerce pour Contact Form 7” (versions <= 1.1.2, CVE-2026-6709) permet à un utilisateur authentifié à faible privilège (rôle d'abonné) de modifier la clé API configurée. Bien que le score CVSS soit modéré/faible (4.3), l'impact dans le monde réel peut être significatif — les attaquants qui contrôlent ou peuvent contraindre un compte abonné peuvent rediriger des paiements ou saboter des flux de paiement. Cet avis explique le problème, les scénarios d'exploitation, les atténuations immédiates, comment renforcer WordPress et votre code de plugin, et comment WP‑Firewall peut aider à protéger votre site maintenant.


Table des matières

  • Que s'est-il passé (aperçu)
  • Pourquoi cela importe — risques dans le monde réel
  • Résumé technique de la vulnérabilité
  • Qui est concerné ?
  • Scénarios d'exploitation (étape par étape)
  • Détecter si vous avez été ciblé ou compromis
  • Atténuations immédiates pour les propriétaires de sites (court terme)
  • Corrections permanentes recommandées pour les administrateurs et les développeurs
    • Patch rapide du plugin (extrait de code)
    • Renforcement des points de terminaison REST / AJAX
    • Meilleures pratiques pour les capacités et les nonces
  • Conseils sur le WAF / patching virtuel (comment un pare-feu d'application web peut atténuer cela)
    • Règles générales de WAF que vous pouvez appliquer
    • Exemples de règles / signatures de style ModSecurity
  • Journalisation, surveillance et alertes pour prévenir la récurrence
  • Liste de contrôle de sécurité pour les auteurs de plugins
  • Que faire si vous découvrez des modifications non autorisées
  • Comment WP‑Firewall aide (protection gratuite et avantages)
  • Annexe : IoCs, liste de contrôle de test et commandes utiles

Que s'est-il passé (aperçu)

Une faille de contrôle d'accès a été découverte dans les versions <= 1.1.2 du plugin “Coinbase Commerce for Contact Form 7” (CVE-2026-6709). Le plugin incluait une fonction ou un point de terminaison qui permettait à un utilisateur WordPress authentifié avec uniquement le rôle d'abonné de changer la clé API Coinbase Commerce stockée utilisée par le site. Le problème provient de l'absence de vérifications d'autorisation et/ou de la vérification de nonce WordPress manquante sur le gestionnaire qui enregistre la clé API.

En résumé : un attaquant qui peut se connecter en tant qu'abonné (ou compromettre un compte d'abonné) peut modifier la clé API et diriger les paiements entrants ou influencer le traitement des paiements. Comme il s'agit d'un changement dans une intégration de paiement, les conséquences peuvent inclure la diversion de paiements, le refus de paiements ou la manipulation de la logique de commerce électronique.


Pourquoi cela importe — risques dans le monde réel

À première vue, “un abonné peut changer une option” semble mineur. Mais pour les intégrations de paiement, la clé API contrôle où les fonds sont acheminés et quel compte reçoit les notifications de paiement. Les conséquences incluent :

  • Paiements redirigés : Un attaquant définit sa propre clé API Coinbase Commerce afin que les paiements destinés à votre entreprise soient dirigés vers son compte.
  • Fraude et rétrofacturations : Les attaquants pourraient manipuler les paramètres de paiement pour faciliter la fraude ou perturber la réconciliation.
  • Dommages à la réputation et financiers : Si les paiements des clients disparaissent ou si les clients sont facturés incorrectement, la confiance et les revenus en souffrent.
  • Escalade latérale : Changer les paramètres de paiement peut être combiné avec d'autres vulnérabilités pour escalader l'accès d'un attaquant ou monétiser l'accès au site.
  • Maux de tête de conformité : La redirection des paiements peut violer des règles contractuelles ou réglementaires concernant le traitement des paiements et la protection des données.

Même si cette vulnérabilité spécifique a un score CVSS “bas”, l'impact commercial peut être matériellement important selon le site.


Résumé technique de la vulnérabilité

  • Plugin concerné : Coinbase Commerce pour Contact Form 7
  • Versions vulnérables : <= 1.1.2
  • Type de vulnérabilité : Contrôle d'accès rompu / Vérifications d'autorisation manquantes
  • CVE : CVE-2026-6709
  • Privilège requis : Abonné (utilisateur authentifié à faible privilège)
  • Cause première: Vérifications de capacité manquantes et/ou vérification de nonce manquante sur le gestionnaire de mise à jour de la clé API — probablement dans un gestionnaire de soumission de formulaire, un crochet admin-post, une route AJAX ou REST qui accepte une clé API et la stocke (par exemple, update_option('cc_cf7_api_key', $key))

Détails techniques clés (modèle typique qui cause cela) :

  • Une demande (POST) à admin-post.php, admin-ajax.php ou un point de terminaison REST accepte la chaîne de clé API, la nettoie/met à jour et renvoie un succès sans validation :
    • current_user_can('manage_options') (ou une autre capacité d'administrateur)
    • OU vérification d'un wpnonce valide via vérifier_admin_référent() ou check_ajax_referer()
    • OU permission_callback pour la route REST

Parce que le gestionnaire manque des vérifications de permission requises, tout utilisateur connecté peut appeler le point de terminaison et mettre à jour l'option.


Qui est concerné ?

  • Tout site WordPress exécutant le plugin et la version <= 1.1.2.
  • Les sites qui permettent aux utilisateurs non fiables de s'inscrire ou pour que des abonnés soient invités sont à risque plus élevé.
  • L'hébergement partagé ou les environnements multi-sites où des comptes d'abonnés sont présents sont également affectés.

Si vous exécutez une version affectée — considérez cela comme une priorité élevée pour l'atténuation même si le CVSS est “bas”.


Scénarios d'exploitation (étape par étape)

  1. L'attaquant crée un compte d'abonné (ou compromet un compte existant) via une inscription publique ou par ingénierie sociale.
  2. L'attaquant se connecte au site WordPress.
  3. L'attaquant prépare une demande POST au point de terminaison de mise à jour de clé API du plugin (cela peut être admin-post.php le paramètre d'action, admin-ajax le point de terminaison, ou un point de terminaison REST).
  4. La demande contient la nouvelle valeur de clé API et tous les champs de formulaire requis. Parce que le point de terminaison manque de vérifications de capacité ou de nonce, le plugin l'accepte et met à jour la clé API stockée dans la base de données (par exemple, update_option('cc_cf7_api_key', $new_key)).
  5. Le site utilise maintenant la clé API fournie par l'attaquant pour l'intégration Coinbase Commerce : les paiements peuvent être envoyés au compte de l'attaquant.
  6. L'attaquant peut maintenant tester des paiements et potentiellement rediriger des fonds.

Si le plugin enregistre également des webhooks en utilisant la clé API sauvegardée, l'attaquant pourrait configurer des webhooks pour divulguer des données de transaction ou cacher des signes de vol.


Détecter si vous avez été ciblé ou compromis

Indicateurs immédiats à vérifier :

  • Recherchez les modifications récentes des noms d'options susceptibles de contenir la clé API, par exemple des options comme clé_api_coinbase_commerce, clé_api_cc_cf7, options_cccf7, etc.
  • Journaux d'audit WordPress : vérifiez les entrées où les options ou les paramètres de plugin ont été modifiés. Qui a effectué le changement ? Si un compte Abonné a mis à jour les paramètres, c'est anormal.
  • Journaux d'accès au serveur : requêtes POST vers admin-ajax.php, admin-post.php, ou wp-json/** routes autour du moment du changement.
  • Nouvelles ou modifications des enregistrements de webhook dans le compte Coinbase Commerce (journaux dans Coinbase).
  • URLs de redirection inattendues ou traitement de formulaire modifié sur les formulaires de contact.
  • Nouveaux comptes utilisateurs dans le rôle Abonné créés peu avant le changement de clé API.
  • Notifications de paiement échouées ou inhabituelles ou plaintes de clients.

Recherchez dans MySQL les modifications récentes :

SELECT * FROM wp_options WHERE option_name LIKE '%coinbase%' OR option_name LIKE '_%' ORDER BY option_id DESC LIMIT 100;

SELECT * FROM wp_users WHERE user_registered > '2026-05-01' ORDER BY user_registered DESC;

SELECT * FROM wp_users WHERE user_registered > “2026-05-01” ORDER BY user_registered DESC;.


Atténuations immédiates pour les propriétaires de sites (court terme)

Si vous identifiez des modifications non autorisées, considérez cela comme un compromis et suivez la section « Si compromis » ci-dessous.

  1. Si vous ne pouvez pas immédiatement mettre à jour ou désinstaller le plugin, suivez ces étapes pour réduire le risque :.
  2. Restreindre les points de terminaison des paramètres du plugin via WAF (voir la section WAF ci-dessous) — bloquez les requêtes qui tentent une mise à jour de la clé API de tout rôle utilisateur sauf les administrateurs.
  3. Désactivez temporairement le plugin jusqu'à ce qu'une version corrigée soit disponible.
  4. Faites tourner les clés API de Coinbase Commerce immédiatement : générez une nouvelle clé sur Coinbase Commerce et mettez-la à jour vous-même pendant que le plugin est désactivé ou après reconfiguration de manière sécurisée.
  5. Déconnexion forcée de tous les utilisateurs (utilisez un plugin ou invalidez les sessions) pour bloquer les sessions actives des attaquants.
  6. Limitez les nouvelles inscriptions d'utilisateurs : désactivez l'enregistrement du site ou exigez une confirmation par e-mail ou une approbation de l'administrateur.
  7. Restreignez l'accès à admin-wp à des IP spécifiques si possible (panneau de contrôle d'hébergement ou règle .htaccess).
  8. Examinez les journaux et bloquez les comptes suspects en attente d'un examen judiciaire.

Ces étapes réduisent la capacité immédiate d'exploiter le bug et stoppent les abus en cours pendant que vous mettez en œuvre un correctif permanent.


Corrections permanentes recommandées pour les administrateurs et les développeurs

Il existe deux façons de remédier : (A) correction de code du développeur de plugin, et (B) durcissement au niveau du site. Les deux doivent être appliqués selon leur pertinence.

A. Correctif rapide du plugin (guidance pour les développeurs)

Si vous maintenez le plugin ou pouvez temporairement appliquer un correctif, assurez-vous que le gestionnaire de mise à jour des paramètres :

  • Vérifie un nonce valide
  • Vérifie la capacité de l'utilisateur (de préférence gérer_options ou une capacité appropriée)
  • Assainit l'entrée
  • Journalise le changement et notifie un administrateur

Exemple de gestionnaire sécurisé (remplacez les noms d'options et les hooks réels pour correspondre au plugin) :

<?php

Points clés :

  • Utiliser vérifier_admin_référent() ou wp_verify_nonce() avec un nonce généré dans le formulaire de paramètres.
  • Utiliser current_user_can('manage_options') ou une capacité appropriée pour le rôle qui devrait contrôler les paramètres de paiement.
  • Ne comptez jamais uniquement sur est_l'utilisateur_connecté().

B. Points de terminaison REST API et AJAX

Si votre plugin expose des points de terminaison REST (register_rest_route) ou les gestionnaires AJAX, incluez toujours un rappel de permission :

register_rest_route( 'cccf7/v1', '/update-key', array(;

Pour les points de terminaison AJAX, utilisez vérifier_ajax_référent et vérifications de capacité :

function cccf7_ajax_update_key() {;

C. Meilleures pratiques lors du stockage des clés API

  • Stockez les clés sensibles en utilisant update_option avec autoload désactivé si approprié : update_option( 'cccf7_api_key', $value, false )
  • Envisagez de chiffrer les clés au repos ou d'utiliser des variables d'environnement pour les clés gérées en production (définir dans wp-config.php).
  • Limitez les privilèges des clés API du côté du fournisseur de paiement si possible (portées, restrictions de webhooks).

Conseils sur le WAF / patching virtuel (comment un pare-feu d'application web peut atténuer cela)

Un pare-feu d'application web fournit un chemin de mitigation rapide lorsque vous ne pouvez pas mettre à jour le code du plugin immédiatement. Le patch virtuel bloque les tentatives d'exploitation au niveau HTTP.

Règles défensives courantes à appliquer :

  • Bloquez les requêtes POST vers des points de terminaison de plugin connus qui changent les paramètres à moins que le demandeur ne soit une IP d'administrateur.
  • Pour admin-post.php ou admin-ajax.php appels avec des paramètres d'action suspects (par exemple, cc_cf7_enregistrer, cc_cf7_mettre_a_jour_cle), autorisez uniquement les requêtes provenant de sessions de rôle administrateur ou d'IP d'administrateur connues.
  • Faites respecter la présence d'un nonce valide dans les paramètres POST pertinents — bloquez les requêtes qui ne présentent pas un format de nonce valide.
  • Limitez le taux des requêtes qui tentent plusieurs écritures de paramètres depuis la même IP ou le même compte.
  • Bloquez les requêtes qui tentent de définir des clés API de style Coinbase depuis des comptes à faibles privilèges.

Remarque : La vérification du nonce au niveau du WAF ne peut pas vérifier la valeur du nonce côté serveur, mais le WAF peut exiger la présence du paramètre nonce et la bonne longueur/format pour filtrer certains abus automatisés.

Exemple de règle de style ModSecurity (conceptuel)

Ce sont des signatures d'exemple pour illustrer l'idée ; adaptez-les à votre moteur WAF et ne copiez pas aveuglément :

SecRule REQUEST_URI "@contains admin-post.php" "phase:2,chain,deny,msg:'Bloquer le changement de clé API admin-post non autorisé',id:100001"

Parce que les règles exactes dépendent de votre environnement et de votre WAF, testez en staging et surveillez les faux positifs.


Journalisation, surveillance et alertes pour prévenir la récurrence

  • Activez la journalisation des audits pour les actions administratives (utilisez un plugin de journalisation d'activité de confiance ou des journaux côté serveur).
  • Créez des alertes pour tout événement option_update pour les noms d'options qui correspondent aux clés d'intégration de paiement.
  • Surveillez les changements dans les fichiers de plugin, les valeurs d'options et les tâches planifiées.
  • Configurez le WAF pour alerter (pas seulement bloquer) lors de la première occurrence d'une tentative de mise à jour de clé API depuis un compte non administrateur.
  • Examinez les journaux chaque semaine pour détecter des pics d'enregistrement d'utilisateurs et une activité suspecte sur admin-post.

Liste de contrôle de sécurité pour les auteurs de plugins

Si vous maintenez des plugins WordPress, appliquez toujours les normes suivantes :

  • Utilisez des vérifications de capacité pour toute opération qui modifie la configuration ou les secrets (par exemple, current_user_can('manage_options')).
  • Utilisez des nonces pour les soumissions de formulaires et les appels AJAX (vérifier_admin_référent(), check_ajax_referer()).
  • Pour les points de terminaison REST, spécifiez un permission_callback qui appliquent des vérifications de capacité.
  • Assainissez et validez les entrées utilisateur avant de les stocker (assainir_champ_texte, wp_kses_post, esc_url_raw).
  • Évitez d'exposer des actions sensibles via des points de terminaison accessibles aux utilisateurs à faible privilège.
  • Enregistrez les changements administratifs aux options et informez les administrateurs du site pour les événements de changement critiques.
  • Minimisez les options autoloadées pour les secrets ; envisagez des variables d'environnement pour les clés de production.
  • Utilisez des tests unitaires et d'intégration qui affirment que les utilisateurs non autorisés ne peuvent pas effectuer d'actions privilégiées.
  • Fournissez des notes de version et un canal VDP/contact pour la divulgation responsable.

Que faire si vous découvrez des changements non autorisés maintenant

  1. Faites immédiatement tourner la clé compromise sur Coinbase Commerce.
  2. Révoquez toutes les abonnements webhook qui ont été créés avec la clé malveillante.
  3. Remplacez la clé API de votre site par la nouvelle clé via une interface d'administration que vous avez corrigée localement (ou directement dans la base de données si nécessaire — utilisez avec précaution).
  4. Désactivez le plugin jusqu'à ce qu'une version corrigée soit disponible ou que vous ayez appliqué une atténuation côté serveur.
  5. Forcez les réinitialisations de mot de passe pour les utilisateurs qui pourraient être compromis ; supprimez les comptes d'abonnés inconnus.
  6. Scannez le site à la recherche de portes dérobées supplémentaires ou de fichiers malveillants (scan complet de malware).
  7. Si des fonds ont été détournés, contactez votre fournisseur de paiement (Coinbase Commerce) et votre banque pour signaler une fraude et demander de l'aide.
  8. Conservez les journaux et les preuves pour la réponse à l'incident. Envisagez de faire appel à un fournisseur professionnel de réponse à l'incident si des fonds ou des données ont été perdus.

Comment WP‑Firewall aide

WP‑Firewall protège les sites WordPress en utilisant des règles WAF gérées, un scan de malware et une surveillance des événements. Pour cette vulnérabilité en particulier, WP‑Firewall peut :

  • Appliquer des correctifs virtuels (signatures WAF) pour bloquer les demandes d'exploitation connues contre les points de terminaison du plugin, empêchant un attaquant de mettre à jour la clé API même si le plugin n'est pas encore mis à jour.
  • Surveiller les appels admin-post, admin-ajax et REST API et alerter sur les tentatives suspectes de modification des paramètres de paiement.
  • Détecter un comportement utilisateur inhabituel (tentatives de changement de paramètres multiples à partir de comptes d'abonnés) et bloquer automatiquement les IP ou sessions fautives.
  • Fournir un scan de malware et une remédiation pour trouver et supprimer tout fichier malveillant supplémentaire qui pourrait avoir été téléchargé dans le cadre d'une attaque.
  • Maintenir une trace des modifications administratives pour un triage rapide.

Si vous avez besoin d'une couverture immédiate, le plan gratuit de WP‑Firewall fournit une protection essentielle incluant un pare-feu géré, une bande passante illimitée, un WAF, un scan de malware et une atténuation des risques OWASP Top 10. C'est un moyen simple d'ajouter une couche de protection pendant que vous mettez en œuvre les corrections à long terme décrites ci-dessus.


Protégez vos intégrations de paiement — sécurisez votre site en quelques minutes

Inscrivez-vous au plan gratuit de WP‑Firewall (protection essentielle) à :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Plan de snapshot :

  • Basique (gratuit) : pare-feu géré, bande passante illimitée, WAF, scanner de logiciels malveillants, mitigation des risques OWASP Top 10.
  • Standard ($50/an) : Basique + suppression automatique de malware + liste noire/liste blanche jusqu'à 20 IPs.
  • Pro ($299/an) : Standard + rapports de sécurité mensuels + correctifs virtuels automatiques de vulnérabilités + modules complémentaires premium (gestionnaire de compte dédié, optimisation de la sécurité, services gérés).

Tests et vérification — comment confirmer que votre site est sûr

Après avoir appliqué soit un correctif de code soit une atténuation WAF, vérifiez :

  1. Tentez de mettre à jour la clé API tout en étant connecté en tant qu'abonné :
    • Vous devriez recevoir un 403/Non autorisé ou être redirigé avec une erreur.
  2. Tentez d'appeler le même point de terminaison sans un nonce valide :
    • La demande devrait être rejetée.
  3. En tant qu'administrateur, essayez de mettre à jour la clé API :
    • Les mises à jour de l'administrateur devraient réussir.
  4. Vérifiez les journaux d'audit :
    • Le changement de l'administrateur est enregistré ; les tentatives des abonnés sont enregistrées et/ou bloquées.
  5. Confirmez que les webhooks et le traitement des paiements fonctionnent avec votre clé contrôlée.

Liste de contrôle des tests :

  • Créez un compte d'abonné de test et connectez-vous.
  • Tentez de mettre à jour la clé API via l'interface utilisateur — échec attendu.
  • Tentez un POST direct vers le point de terminaison (admin-post, admin-ajax, route REST) — échec ou blocage attendu.
  • Confirmez que l'administrateur peut mettre à jour la clé avec succès.
  • Confirmez que le WAF bloque les motifs correspondants (vérifiez les journaux du WAF).

Indicateurs de compromission (IoCs)

  • Changement inattendu des valeurs d'option telles que clé_api_cc_cf7, clé_api_coinbase ou des options nommées de manière similaire.
  • Demandes POST à admin-post.php?action=... ou admin-ajax.php avec des paramètres qui incluent des chaînes de clé API.
  • Nouveaux points de terminaison de webhook ou adresses de destinataire de webhook modifiées dans le tableau de bord Coinbase Commerce.
  • Comptes d'abonnés ayant effectué des actions liées aux paramètres du plugin dans le journal d'audit.
  • Notifications de paiement ou reçus acheminés vers des comptes marchands inconnus.

Exemple de formulaire de paramètres sécurisés (nonce + capacité)

Lors du rendu de la page des paramètres du plugin, incluez un nonce et montrez le formulaire uniquement aux utilisateurs qui peuvent gérer les options :

<?php

Derniers conseils et priorités

Si vous gérez un site WordPress qui traite des paiements via des plugins tiers :

  1. Priorisez la sécurité des éléments de configuration liés aux paiements par rapport aux paramètres cosmétiques.
  2. Supposez que tout point de terminaison acceptant et stockant des secrets est de grande valeur et doit avoir des contrôles d'autorisation stricts et une journalisation robuste.
  3. Minimisez le nombre d'utilisateurs ayant le privilège de modifier les paramètres de paiement.
  4. Appliquez l'authentification multi-facteurs (MFA) pour les comptes administratifs et faites tourner les clés critiques selon un calendrier.
  5. Utilisez une défense en profondeur : sécurisez le code du plugin, appliquez des protections au niveau du serveur (restreindre l'accès à wp-admin) et exécutez un WAF externe et un scanner de logiciels malveillants.

Si vous n'êtes pas sûr que cette vulnérabilité vous affecte ou comment corriger en toute sécurité, envisagez de faire appel à un spécialiste de la sécurité WordPress ou utilisez WP‑Firewall pour bloquer les tentatives d'exploitation pendant que vous complétez la remédiation.

Restez en sécurité, conservez des sauvegardes et vérifiez toujours l'intégrité de tout plugin avant de déployer des modifications en production.


Annexe A — Commandes et requêtes rapides

  • Trouvez des options suspectes :
    SELECT option_name, option_value FROM wp_options WHERE option_name LIKE '%coinbase%' OR option_name LIKE '_%';
        
  • Liste des utilisateurs abonnés récents :
    SÉLECTIONNER ID, user_login, user_email, user_registered DE wp_users OÙ ID DANS (SÉLECTIONNER user_id DE wp_usermeta OÙ meta_key='wp_capabilities' ET meta_value LIKE '%sscriber%') ORDER BY user_registered DESC;
        
  • Pour expirer toutes les sessions (forcer la déconnexion de tous les utilisateurs), mettez à jour la clé secrète :
    wp option update wp_session_tokens ''  -- (utilisez un plugin/un outil ; consultez la documentation pour votre site)
        

Annexe B — Si vous êtes un développeur et que vous souhaitez de l'aide

Si vous maintenez un plugin qui gère les clés de paiement et que vous souhaitez un examen de sécurité ou de l'aide pour mettre en œuvre des contrôles de capacité + nonce, nous (WP‑Firewall) fournissons des conseils et une assistance en sécurité gérée. Notre plan gratuit peut fournir une protection WAF immédiate pendant que vous mettez en œuvre des corrections permanentes.

Protégez vos intégrations de paiement — sécurisez votre site en quelques minutes :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/


Crédits : Équipe de sécurité WP‑Firewall — recherche et conseil.


wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant
!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.