Vulnérabilité critique de contrôle d'accès dans WP Blockade//Publié le 2026-04-08//CVE-2026-3480

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

WP Blockade Plugin Vulnerability

Nom du plugin Plugin WordPress WP Blockade
Type de vulnérabilité Contrôle d'accès brisé
Numéro CVE CVE-2026-3480
Urgence Moyen
Date de publication du CVE 2026-04-08
URL source CVE-2026-3480

Contrôle d'accès défaillant dans WP Blockade (≤ 0.9.14) : Ce que chaque propriétaire de site WordPress doit savoir

Le 8 avril 2026, une vulnérabilité de contrôle d'accès défaillant affectant le plugin WP Blockade (versions ≤ 0.9.14) a été divulguée publiquement (CVE-2026-3480). Le problème permet à un utilisateur ayant uniquement un accès de niveau Abonné, dans certaines circonstances, de déclencher l'exécution de codes courts arbitraires en fournissant un shortcode paramètre à un point de terminaison qui manque de vérifications d'autorisation ou de nonce appropriées.

En tant qu'équipe de sécurité WordPress avec une longue expérience dans la protection de milliers de sites, nous voulons expliquer le risque en termes simples, donner des conseils pratiques et sûrs pour l'atténuation, et montrer comment une solution WAF gérée (comme WP‑Firewall) peut vous protéger immédiatement pendant que vous corrigez et renforcez votre site.

Cet article est rédigé pour les propriétaires de sites, les administrateurs, les développeurs et les fournisseurs d'hébergement qui ont besoin d'un briefing de sécurité clair et actionnable — sans divulguer de recettes d'exploitation ou exposer les lecteurs à des risques inutiles.

Résumé (TL;DR)

  • Vulnérabilité : Contrôle d'accès défaillant dans le plugin WP Blockade (≤ 0.9.14) — CVE-2026-3480.
  • Gravité : Moyenne (CVSS ~6.5) ; l'attaquant nécessite au moins un compte Abonné.
  • Impact : Un utilisateur authentifié à faible privilège peut provoquer l'exécution de codes courts arbitraires. Selon les codes courts enregistrés sur le site, cela peut entraîner une exposition de données, des actions indésirables ou une élévation de privilèges lorsqu'il est combiné avec d'autres codes de plugin/thème.
  • Atténuation immédiate : Si possible, mettez à jour le plugin vers une version corrigée une fois que le fournisseur la publie. D'ici là, prenez les mesures temporaires ci-dessous : supprimez/limitez les comptes Abonnés, désactivez ou supprimez le plugin WP Blockade, bloquez les chemins de requête vulnérables avec un WAF, et ajoutez des vérifications de capacité à la gestion des codes courts.
  • À long terme : Utilisez le principe du moindre privilège, scannez les plugins affectés, appliquez des nonces/des vérifications d'autorisation dans le code personnalisé, et déployez un pare-feu d'application avec une capacité de patch virtuel (déploiement automatique de règles) pour une protection en fenêtre inconnue.

Qu'est-ce qu'un “contrôle d'accès défaillant” dans ce contexte ?

Le contrôle d'accès défaillant couvre les faiblesses où une fonction qui devrait être disponible uniquement pour les utilisateurs authentifiés avec certains privilèges est appelable par un utilisateur avec des privilèges inférieurs ou inexistants. Dans WordPress, cela se produit souvent lorsqu'un développeur :

  • Expose une action ou un point de terminaison AJAX sans vérifier les capacités ou les nonces, ou
  • Enregistre un gestionnaire de code court ou un point de terminaison REST qui fait confiance aux paramètres provenant de la requête sans validation ni autorisation.

Dans ce cas spécifique, WP Blockade expose un chemin qui accepte un shortcode paramètre et exécute la valeur en tant que gestionnaire de code court. Cette exécution n'est pas correctement protégée — un Abonné authentifié peut envoyer ce paramètre et provoquer l'exécution de code court arbitraire sur le site. Étant donné que les codes courts tiers exécutent souvent du code (y compris des opérations qui accèdent à la base de données ou appellent des services externes), l'étendue de l'impact dépend des codes courts existants sur votre site.

1. Pourquoi cela importe — scénarios d'attaque réalistes

Un compte de niveau Abonné est courant : de nombreux sites d'adhésion, systèmes de commentaires ou comptes de commerce électronique correspondent au rôle d'Abonné ou équivalent. Voici des scénarios réalistes que des attaquants ou des initiés malveillants pourraient exploiter :

  • Injection de contenu de publication : Utilisez un code court pour intégrer du contenu ou des charges utiles élaborées dans des publications ou des widgets qui sont rendus à d'autres utilisateurs ou administrateurs.
  • Exposition des données : Exécutez un shortcode qui déverse les métadonnées de publication, les métadonnées utilisateur ou d'autres données renvoyées par un shortcode créé pour un usage administratif.
  • Abus inter-plugin : Déclenchez un shortcode d'un autre plugin qui effectue des actions privilégiées (par exemple, fournit un point de terminaison d'import/export ou déclenche une logique réservée aux administrateurs) car le shortcode lui-même peut ne pas re-valider les capacités.
  • Phishing ou persistance : Modifiez le contenu frontal ou insérez des formulaires cachés pour la capture de données d'identification, ou créez des éléments persistants qui survivent aux nettoyages standards.
  • Attaques combinées : Si le site a des configurations incorrectes supplémentaires (par exemple, un point de terminaison de téléchargement non protégé), l'exécution de shortcode pourrait être enchaînée avec d'autres problèmes pour accroître l'impact.

Le risque principal : les utilisateurs que vous attendez comme ayant peu de privilèges pourraient interagir avec des chemins de code destinés à des privilèges plus élevés, avec des conséquences imprévisibles et spécifiques au site.

Vue d'ensemble technique (sûre, non-actionnable)

  • Versions vulnérables : Versions de WP Blockade égales ou antérieures à 0.9.14.
  • Vecteur d'attaque : Un utilisateur authentifié (Abonné+) envoie une requête à un point de terminaison qui accepte un shortcode paramètre. Le plugin évalue le paramètre et exécute le shortcode sans vérifier que l'appelant est autorisé à le faire (pas de vérification de capacité, pas de nonce, ou contrôle d'autorisation équivalent).
  • Privilèges requis : Abonné (le rôle de base par défaut dans WordPress avec des capacités minimales).
  • CVE : CVE-2026-3480 (identifiant public pour le suivi).

Nous ne publierons pas de charges utiles d'exploitation ni de preuve de concept. L'objectif ici est la défense : comment détecter, atténuer et prévenir.

Comment détecter si votre site est affecté

  1. Inventaire des plugins et des versions :
    • Vérifiez votre liste de plugins et confirmez si WP Blockade est installé et si la version est ≤ 0.9.14.
    • Tenez un registre des versions de plugins dans tous les environnements (dev/staging/production).
  2. Passez en revue les comptes utilisateurs :
    • Identifiez les comptes Abonnés ou tout compte non standard avec des privilèges d'Abonné.
    • Faites attention aux comptes inactifs ou anciens et aux comptes créés à des moments suspects.
  3. Journaux d'audit / journaux de requêtes :
    • Recherchez des requêtes qui incluent un shortcode paramètre ciblant les points de terminaison WP Blockade ou ajax/admin-ajax.php qui correspondent au plugin.
    • Dans les journaux du serveur web, recherchez des requêtes contenant shortcode et des valeurs de paramètres suspectes — cela pourrait indiquer des tentatives de sondage.
  4. Journaux de débogage et de plugins WordPress :
    • Activez temporairement la journalisation de débogage (attention : ne la laissez pas activée indéfiniment en production). Vérifiez les chemins d'exécution de shortcode inattendus.
    • Si vous avez un plugin de journal d'activité, filtrez les actions récentes liées aux shortcodes.
  5. Signes de compromission :
    • Contenu inattendu dans les publications, widgets ou sur le front-end que vous n'avez pas créé.
    • Nouveaux utilisateurs ou changements inattendus dans les rôles des utilisateurs.
    • Requêtes sortantes inattendues du site (callbacks externes), qui peuvent être trouvées par les journaux de sortie réseau ou la surveillance au niveau de l'hôte.

Si vous trouvez des preuves d'abus, traitez le site comme potentiellement compromis et suivez les étapes de réponse aux incidents (voir ci-dessous).

Atténuations immédiates (à court terme, sûres)

Si vous ne pouvez pas appliquer immédiatement un correctif fourni par le fournisseur, suivez ces étapes d'atténuation. Celles-ci sont classées de la plus rapide à la plus impliquée :

  1. Désactivez ou supprimez le plugin :
    • L'action immédiate la plus sûre — désactivez WP Blockade sur les sites affectés. Cela élimine le chemin de code vulnérable.
    • Si vous dépendez du plugin pour d'autres fonctionnalités, testez d'abord le comportement du site sur un environnement de staging.
  2. Restreindre l'accès des abonnés :
    • Restreindre temporairement la création de nouveaux comptes d'abonnés.
    • Auditez les comptes d'abonnés existants et supprimez ou élevez uniquement ceux en qui vous avez confiance.
  3. Renforcez l'exécution des shortcodes :
    • Supprimez ou désenregistrez temporairement les shortcodes qui ne sont pas essentiels, en particulier ceux qui appellent des routines administratives.
    • Pour les shortcodes tiers que vous contrôlez, ajoutez des vérifications de capacité dans leurs gestionnaires (exemple ci-dessous).
  4. Bloquez les modèles de requêtes au niveau du WAF / serveur :
    • Utilisez votre pare-feu d'application web pour bloquer ou contester les demandes contenant le shortcode paramètre ciblant les points de terminaison du plugin.
    • Si vous utilisez ModSecurity ou un WAF géré, ajoutez des règles de patch virtuel pour bloquer shortcode l'utilisation de paramètres sur les chemins affectés.
  5. Mettez en œuvre des blocages au niveau du serveur web :
    • Si vous ne pouvez pas utiliser un WAF, utilisez la configuration du serveur (nginx/apache) pour bloquer les demandes vers les fichiers PHP spécifiques du plugin ou pour refuser les demandes contenant des shortcode paramètres suspects. Faites preuve de prudence pour éviter de casser des fonctionnalités légitimes.
  6. Appliquez une authentification à deux facteurs pour les utilisateurs ayant des privilèges élevés :
    • Bien que cela ne prévienne pas l'utilisation abusive par les abonnés, cela réduit le risque de prise de contrôle de compte privilégié entraînant des dommages plus importants.

Exemple de code sécurisé : protégez votre propre gestionnaire de shortcode en vérifiant la capacité actuelle avant de faire quoi que ce soit d'important. Ajoutez quelque chose comme :

add_shortcode( 'my_sensitive_shortcode', function( $atts, $content = '' ) {;

N'ajoutez pas de code qui évalue l'entrée comme PHP ou appelle eval(). Le snippet ci-dessus est un exemple de vérification de capacité — adaptez-le à votre cas d'utilisation.

Comment un WAF (patch virtuel) vous protège

Un WAF WordPress moderne peut fournir une protection immédiate, à l'échelle du site, pendant que vous recherchez un patch permanent et une remédiation. Principales capacités défensives à rechercher :

  • Patch virtuel : règles WAF qui ciblent le paramètre vulnérable et bloquent ou assainissent les demandes avant qu'elles n'atteignent WordPress PHP. Cela empêche l'exploitation même si le plugin reste installé.
  • Inspection des paramètres : blocage ou rejet des demandes qui incluent des paramètres spécifiques (shortcode) pour des points de terminaison connus comme vulnérables.
  • Protections pour utilisateurs authentifiés : appliquez des règles plus agressives pour les demandes où la session est authentifiée en tant qu'abonné (un WAF peut corréler les cookies de session).
  • Limitation de débit : prévenez les tentatives d'abus massives de la part des abonnés ou des comptes compromis en limitant les demandes qui tentent d'exploiter le même point de terminaison de manière répétée.
  • Mises à jour en direct : un WAF géré qui pousse rapidement des règles vérifiées lorsque de nouvelles vulnérabilités sont divulguées réduit le temps de détection à protection.

Si vous utilisez WP‑Firewall, nous appliquons rapidement des règles d'atténuation pour les vulnérabilités confirmées à nos clients. Les règles peuvent être ajustées pour éviter les faux positifs (bloquant uniquement des chemins, méthodes ou sessions authentifiées spécifiques).

Liste de contrôle de réponse aux incidents (si vous trouvez des preuves d'exploitation)

  1. Contenir :
    • Désactivez le plugin vulnérable ou appliquez une règle WAF pour bloquer immédiatement le chemin d'exploitation.
    • Désactivez les comptes suspects (changez les mots de passe, supprimez les comptes d'abonnés inutilisés).
    • Mettez le site hors ligne si vous soupçonnez une exfiltration de données active.
  2. Préservez les preuves :
    • Conservez les journaux (serveur web, WAF, activité WordPress) pour une analyse judiciaire. Ne pas écraser ou effacer les journaux avant un examen.
    • Exportez un instantané du site et de la base de données de manière à préserver les horodatages et les métadonnées.
  3. Enquêter :
    • Examinez les journaux pour déterminer le moment et l'étendue des actions effectuées via le chemin du shortcode.
    • Identifiez les fichiers modifiés, les nouveaux utilisateurs ajoutés ou les portes dérobées persistantes.
  4. Éradiquer:
    • Supprimez tous les fichiers malveillants, portes dérobées ou comptes non autorisés.
    • Réinstallez le cœur de WordPress et les plugins à partir de sources propres si vous détectez une altération de fichiers.
    • Réinitialisez tous les mots de passe administratifs et envisagez de faire tourner les clés et secrets API.
  5. Récupérer:
    • Restaurez à partir d'une sauvegarde connue comme bonne prise avant la compromission, si approprié.
    • Réintroduisez les services et surveillez attentivement pour détecter une récurrence.
  6. Après l'incident :
    • Effectuez un audit de sécurité pour identifier la ou les causes profondes et combler d'autres lacunes potentielles.
    • Mettez à jour tous les plugins et thèmes vers des versions corrigées.
    • Informez les utilisateurs concernés si des données sensibles ont pu être exposées, conformément aux réglementations applicables.

Si vous avez besoin d'assistance en cas d'incident, contactez des professionnels de la sécurité WordPress expérimentés ou votre équipe de sécurité d'hébergement. Un fournisseur de sécurité géré peut aider avec les étapes judiciaires et la remédiation.

Recommandations de durcissement pour les développeurs WordPress et les propriétaires de sites

Cette vulnérabilité met en évidence les meilleures pratiques courantes en matière de développement sécurisé. Voici ce que vous devriez faire en tant que développeur, auteur de plugin ou propriétaire de site :

  • Vérifications des capacités : Vérifiez toujours les capacités des utilisateurs avant d'effectuer des actions nécessitant des privilèges. Ne supposez pas que les shortcodes ou les points de terminaison AJAX ne sont appelés que par du code de confiance.
  • Nonces : Utilisez des nonces WordPress pour les actions modifiant l'état. Bien que les nonces ne soient pas un mécanisme d'autorisation infaillible, ils font partie intégrante de la défense en profondeur.
  • Évitez d'exécuter les entrées fournies par l'utilisateur : N'acceptez jamais d'entrées brutes de l'utilisateur qui seront exécutées en tant que code ou passées dans des fonctions qui exécutent un comportement dynamique. Nettoyez et validez tout.
  • Principe du moindre privilège : Évitez de donner aux utilisateurs plus de capacités que nécessaire. Pour les grands sites, envisagez des rôles personnalisés avec des capacités précisément définies.
  • Minimisez la surface d'attaque exposée : Évitez d'enregistrer des shortcodes ou des points de terminaison de niveau administrateur qui peuvent être déclenchés par des rôles à faible privilège. Si un point de terminaison doit exister, assurez-vous qu'il vérifie l'autorisation à chaque appel.
  • Journalisation et surveillance : Maintenez des journaux complets qui incluent le contexte de l'utilisateur authentifié et les paramètres de demande pour la détection d'activités suspectes.
  • Environnement de mise en scène et révision de code : Testez les plugins et le code dans des environnements de mise en scène et effectuez des revues de code par des pairs pour le code sensible à la sécurité.
  • Utilisez une sécurité gérée : Combiner un WAF avec des analyses régulières et des correctifs virtuels réduit la fenêtre d'exposition pour les problèmes de jour zéro.

Recettes de surveillance des journaux (ce qu'il faut rechercher)

  • Journaux du serveur web :
    • Requêtes avec des chaînes de requête contenant shortcode= vers des points de terminaison de plugin ou admin-ajax.php.
    • Haute fréquence de telles requêtes provenant de la même session authentifiée ou de la même adresse IP.
  • Journaux de débogage / d'activité WordPress :
    • Exécutions de shortcode inattendues dans des contextes où seuls les administrateurs ou les éditeurs les déclenchent normalement.
    • Changements de publication ou d'option corrélés avec des soumissions de paramètres de shortcode.
  • Alertes WAF / pare-feu :
    • Déclenchements sur des règles qui inspectent les paramètres contenant des noms ou des motifs de shortcode connus.

Effectuez une corrélation basée sur le temps : si plusieurs comptes d'abonnés effectuent des requêtes similaires dans une fenêtre étroite, considérez cela comme suspect.

Coordination avec les auteurs de plugins / calendrier de divulgation

  • Si vous êtes un développeur de plugins : répondez rapidement aux rapports de divulgation responsable et appliquez des correctifs aux séries prises en charge. Ajoutez des tests pour garantir que les points de terminaison sont couverts par des vérifications d'autorisation et des nonces.
  • Si vous êtes propriétaire d'un site : vérifiez les canaux officiels du fournisseur de plugin pour un correctif et planifiez une maintenance programmée pour l'appliquer. Préférez un déploiement progressif avec des sauvegardes.
  • Si un fournisseur n'a pas encore fourni de version corrigée, comptez sur des contrôles d'atténuation (désactiver le plugin, règles WAF, restrictions de capacité) jusqu'à ce qu'un correctif soit publié et vérifié.

Pourquoi vous devriez éviter les publications d'exploit publics

Publier des détails d'exploitation ou des PoCs dans des forums publics invite à une exploitation de masse. Pour les problèmes qui affectent de nombreux sites — surtout lorsque des comptes à faible privilège suffisent pour l'abus — la divulgation responsable et des conseils de remédiation mesurés protègent l'écosystème. Ce post se concentre sur des étapes défensives actionnables plutôt que sur des recettes d'exploitation.

Foire aux questions

Q : Mon site n'utilise pas le shortcode WP Blockade — suis-je toujours vulnérable ?
UN: L'exploit nécessite que le shortcode paramètre déclenche un shortcode enregistré sur votre site. Si aucun gestionnaire de shortcode n'est appelable dans ce contexte, l'impact peut être limité. Cependant, de nombreux sites ont des shortcodes provenant de thèmes/plugins. Meilleure pratique : considérez le site comme potentiellement affecté jusqu'à ce que vous confirmiez le contraire.

Q : J'ai mis à jour le plugin — dois-je encore faire quelque chose ?
UN: Après la mise à jour, vérifiez la version du plugin et testez le site en staging. Gardez les protections WAF en place pendant au moins une fenêtre de maintenance pour vous assurer qu'aucune surface d'attaque persistante n'existe. Vérifiez également toute persistance post-exploitation (fichiers malveillants, comptes).

Q : Puis-je compter uniquement sur le nettoyage des rôles (suppression des abonnés) ?
UN: Le nettoyage des rôles réduit le risque mais peut ne pas être pratique pour tous les sites. Combiner l'hygiène des rôles avec la protection WAF et supprimer le plugin vulnérable est une approche plus solide.

Stratégie à long terme : réduire le rayon d'explosion du code tiers

Les plugins et les thèmes sont nécessaires, mais ils augmentent votre surface d'attaque. Traitez-les comme des frontières de confiance potentielles :

  • Réduisez le nombre de plugins : moins de composants tiers signifient moins de points faibles potentiels.
  • Utilisez la signature de code / vérifications d'intégrité de source si disponible.
  • Appliquez un processus d'approbation de plugin pour les sites de production.
  • Effectuez des analyses automatisées périodiques (code et comportement) et des examens manuels pour les composants critiques.
  • Assurez-vous de mises à jour et de gestion des correctifs en temps opportun : gardez un calendrier pour mettre à jour et tester les plugins dans une courte fenêtre de temps.

Un flux de travail responsable de correction et de test

1. Inventaire → 2. Tester le correctif en staging → 3. Déployer sur un petit sous-ensemble de sites (si vous gérez beaucoup) → 4. Surveiller → 5. Déploiement complet → 6. Audit post-déploiement.

Ayez toujours des sauvegardes et des procédures de restauration pour gérer les régressions inattendues.

Protégez votre site immédiatement — un plan accessible pour commencer

Si vous gérez un site WordPress et que vous êtes préoccupé par cette vulnérabilité ou des vulnérabilités similaires, commencez par ces actions immédiates :

  1. Vérifiez si WP Blockade est installé et déterminez sa version.
  2. S'il est vulnérable et que vous pouvez tolérer une interruption de service, désactivez le plugin et planifiez une révision.
  3. Si le plugin est essentiel et ne peut pas être désactivé, utilisez un WAF pour bloquer les requêtes contenant le shortcode paramètre sur les points de terminaison spécifiques au plugin et restreindre temporairement les comptes d'abonnés.
  4. Passez en revue les shortcodes enregistrés par votre thème et les plugins installés. Désactivez ceux qui exposent des fonctions administratives ou sensibles à des appelants non fiables.
  5. Renforcez la journalisation et surveillez les anomalies shortcode trafic.

Renforcez votre défense avec WP‑Firewall

Obtenez une protection immédiate avec le plan gratuit WP‑Firewall — un moyen rapide et fiable de réduire votre exposition pendant que vous corrigez et durcissez votre site.

Commencez à protéger gratuitement — Plan de base WP‑Firewall

  • Protection essentielle : pare-feu géré, bande passante illimitée, WAF, scanner de logiciels malveillants et atténuation des 10 principaux risques OWASP.
  • Moyen sans coût d'obtenir une base durcie pour vos installations WordPress et de gagner du temps pour appliquer des correctifs en toute sécurité.

Inscrivez-vous au plan gratuit à : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Si vous souhaitez des défenses plus proactives, envisagez nos niveaux payants qui incluent la suppression automatique des logiciels malveillants, des contrôles IP, des rapports de sécurité mensuels et un patching virtuel automatique pour les vulnérabilités critiques.

Services proactifs qui réduisent les fenêtres de risque

Si vous gérez plusieurs sites ou des propriétés critiques, envisagez de combiner ces services :

  • WAF géré avec patching virtuel et règles ajustables.
  • Analyse continue des vulnérabilités et alertes prioritaires.
  • Tests de pénétration périodiques ou audits de code axés sur la logique d'autorisation.
  • Réponse aux incidents gérée ou support ad hoc pour réduire le temps de récupération.

Une approche en couches — WAF + analyse proactive + hygiène de sécurité opérationnelle — réduit à la fois la probabilité et l'impact de problèmes comme le contrôle d'accès rompu de WP Blockade.

Réflexions finales

Les vulnérabilités de contrôle d'accès rompu ne sont que rarement spectaculaires, mais elles sont parmi les plus impactantes car elles subvertissent les frontières de confiance supposées. Lorsqu'un attaquant peut utiliser un compte à faible privilège pour déclencher un comportement administratif ou privilégié, l'ensemble du site peut être mis en danger.

Le chemin recommandé est clair : inventorier, atténuer, corriger et durcir. Utilisez un WAF géré pour une protection immédiate et un flux de travail de maintenance rigoureux pour garder votre écosystème de plugins sécurisé. Si vous avez besoin d'aide pour la détection, le patching virtuel ou la réponse aux incidents, WP‑Firewall propose des solutions (y compris notre plan de base gratuit) qui peuvent réduire le temps entre la découverte et la protection.

Protégez votre site, limitez l'exposition et faites des pratiques de sécurité une partie routinière des opérations du site — la vigilance d'aujourd'hui est le temps de fonctionnement de demain.

Si vous avez besoin d'aide pour évaluer votre site WordPress ou configurer des règles de patching virtuel pour vous protéger contre cette vulnérabilité et d'autres similaires, notre équipe de sécurité est disponible pour vous guider tout au long du processus.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™