Téléchargement de fichiers arbitraires critique dans le plugin WooCommerce//Publié le 2026-05-20//CVE-2026-45444

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Gift Cards For WooCommerce Pro Vulnerability

Nom du plugin Cartes Cadeaux Pour WooCommerce Pro
Type de vulnérabilité Téléchargement de fichiers arbitraires
Numéro CVE CVE-2026-45444
Urgence Critique
Date de publication du CVE 2026-05-20
URL source CVE-2026-45444

Avis de Sécurité d'Urgence : Téléversement de Fichiers Arbitraires (CVE-2026-45444) dans Cartes Cadeaux pour WooCommerce Pro (<= 4.2.6) — Ce que les Propriétaires de Sites WordPress Doivent Faire Maintenant

Auteur: Équipe de sécurité WP-Firewall

Résumé: Une vulnérabilité de téléversement de fichiers arbitraires non authentifiée de haute gravité (CVE-2026-45444) affectant le plugin “Cartes Cadeaux pour WooCommerce Pro” (versions <= 4.2.6) a été divulguée et est déjà activement exploitée dans la nature. Cet article explique le risque, ce que les attaquants peuvent faire, comment détecter une compromission, les atténuations immédiates que vous pouvez appliquer, et une liste de contrôle de remédiation et de récupération priorisée pour les propriétaires de sites WordPress, les hébergeurs et les agences.

Table des matières

  • Que s'est-il passé (en bref)
  • Pourquoi c'est crucial
  • Aperçu technique (ce que le bug permet)
  • Impact de l'exploitation : scénarios réalistes d'attaquants
  • Étapes immédiates (premières 60–120 minutes)
  • Détection et enquête (comment savoir si vous avez été touché)
  • Nettoyage et remédiation complète (confinement → éradication → récupération)
  • Renforcement pour prévenir de futurs téléversements de fichiers arbitraires
  • Règles WAF et serveur que vous pouvez appliquer dès maintenant (modèles recommandés)
  • Comment nous, chez WP-Firewall, pouvons aider (y compris notre plan gratuit)
  • Annexe : commandes utiles et requêtes de détection

Que s'est-il passé (en bref)

Des chercheurs ont divulgué une vulnérabilité de téléversement de fichiers arbitraires non authentifiée dans le plugin “Cartes Cadeaux pour WooCommerce Pro” pour WordPress, suivie sous le nom de CVE-2026-45444. Les versions à 4.2.6 ou inférieures sont affectées. Parce que la vulnérabilité permet à un attaquant de téléverser des fichiers sans authentification, le risque immédiat est sévère : les attaquants peuvent téléverser des webshells, des portes dérobées et d'autres artefacts malveillants pour parvenir à une compromission complète du site.

Cette vulnérabilité est classée critique/élevée (CVSS 10 dans certaines sources) et présente des caractéristiques de Vulnérabilité Exploitée Connue (KEV). Cela signifie que des attaques automatisées à grande échelle et des analyses de masse sont probables ou déjà en cours.

Pourquoi c'est crucial

  • Non authentifié : le téléversement peut être déclenché par quiconque sur Internet — aucune connexion ou privilèges spéciaux requis.
  • Téléversement de fichiers arbitraires : le contenu et les types de fichiers arbitraires peuvent être placés sur votre serveur web. Les attaquants téléversent souvent des webshells PHP ou des scripts permettant l'exécution de code à distance.
  • Portée étendue : le plugin est utilisé par de nombreux magasins WooCommerce, donc les attaquants opportunistes scanneront à grande échelle.
  • Post-exploitation rapide : une fois qu'un webshell est en place, les attaquants peuvent pivoter rapidement — élever les privilèges, créer des utilisateurs administrateurs, exfiltrer des données, pivoter vers d'autres hôtes sur le réseau.
  • Exploitation automatique : les attaquants transforment souvent de telles vulnérabilités en bots automatisés, entraînant une compromission à grande échelle en quelques heures.

Si vous utilisez WordPress avec WooCommerce et avez ce plugin (ou vos clients le font), traitez cela comme un incident actif jusqu'à ce que vous puissiez prouver le contraire.

Aperçu technique (ce que le bug permet)

À un niveau élevé, la vulnérabilité expose un point de terminaison (partie du plugin) qui accepte les téléversements de fichiers et échoue à valider ou restreindre correctement le contenu téléversé ou les privilèges du téléverseur. Parce que le traitement des requêtes manque de vérifications d'autorisation et/ou de validation appropriées :

  • Tout utilisateur non authentifié peut soumettre un POST qui inclut un fichier.
  • Le fichier téléchargé est stocké dans un emplacement accessible via le web (par exemple, à l'intérieur de wp-content/uploads ou d'un répertoire de téléchargement de plugin).
  • Il y a des vérifications inadéquates pour le type de fichier, le contenu et l'extension — ce qui signifie que des fichiers PHP exécutables ou PHP intégrés dans d'autres types de fichiers peuvent être acceptés.
  • Il peut y avoir une sanitation insuffisante du nom de fichier/chemin, permettant l'écrasement ou le placement arbitraire dans les répertoires de téléchargement autorisés.

Nous ne publierons pas de scripts d'exploitation ici, mais d'un point de vue défensif, vous devez supposer qu'un attaquant peut placer une porte dérobée PHP n'importe où où le plugin écrit des fichiers téléchargés.

Impact de l'exploitation — scénarios d'attaquants réels

Une fois qu'un attaquant peut télécharger des fichiers dans un emplacement accessible via le web, les chaînes d'attaque typiques incluent :

  1. Télécharger un webshell PHP léger (shell web à une ligne qui accepte des commandes ou évalue du base64).
  2. Utiliser le shell pour exécuter des commandes système et sonder l'environnement :
    • Lire wp-config.php pour récolter les identifiants de la base de données.
    • Créer un nouvel utilisateur administrateur WordPress via wp-cli ou insertion directe dans la base de données.
    • Installer une porte dérobée persistante dans wp-includes ou les fichiers de thème.
  3. Passer de cet hôte à d'autres hôtes partageant des identifiants/réseaux.
  4. Déployer des logiciels malveillants pour servir du spam, héberger des pages de phishing ou miner des cryptomonnaies.
  5. Exfiltrer des données clients via des dumps de base de données ou une lecture directe des téléchargements (si des informations clients sont présentes).
  6. Manipuler des commandes, des soldes de cartes-cadeaux ou des flux financiers dans les magasins WooCommerce.

Parce que les magasins de commerce électronique traitent des paiements et des informations personnelles identifiables, l'impact réputationnel et de conformité d'une telle violation est très significatif.

Étapes immédiates (premières 60–120 minutes)

Si vous gérez un site WordPress qui utilise Gift Cards for WooCommerce Pro (<=4.2.6), agissez immédiatement. Ceux-ci sont prioritaires par rapidité et impact.

  1. Mettez le site en mode maintenance ou mettez-le temporairement hors ligne (si cela est pratique).
  2. Désactivez immédiatement le plugin :
    • Depuis WP Admin : Plugins → désactiver le plugin.
    • Si vous ne pouvez pas accéder à WP Admin, renommez le répertoire du plugin via SFTP/SSH (/wp-content/plugins/giftware → /wp-content/plugins/giftware.disabled).
  3. Restreindre le trafic entrant (niveau réseau) :
    • Utilisez votre panneau de contrôle d'hébergement / pare-feu (ou votre WAF) pour bloquer les IP suspectes et bloquer l'accès au chemin de point de terminaison du plugin si vous le connaissez (voir la section détection pour les points de terminaison courants).
    • Si vous avez un pare-feu d'application web, activez l'ensemble de règles ou la mitigation pour cette vulnérabilité ; si vous n'en avez pas, appliquez des règles génériques de blocage de téléchargement (voir notre section sur les règles WAF ci-dessous).
  4. Mettez à jour le plugin uniquement si le fournisseur a publié une version corrigée et sécurisée pour votre plugin et environnement WordPress exacts. S'il n'y a pas encore de correctif, ne réactivez PAS le plugin vulnérable. (S'il existe un correctif sûr, suivez les meilleures pratiques de mise à jour des plugins.)
  5. Prenez immédiatement un instantané ou sauvegardez les fichiers du site et la base de données pour une analyse judiciaire (stockez les sauvegardes hors serveur).

Faites d'abord cela — ce sont des actions rapides qui réduisent l'exposition continue.

Détection et enquête — comment savoir si vous avez été touché

Supposer que des tentatives de scan et d'exploitation automatisée se produisent. Vérifiez immédiatement les indicateurs suivants.

  1. Recherchez des fichiers PHP dans les répertoires de téléchargement (ceux-ci devraient être principalement des médias — images, pdf, etc. — pas de code PHP) :
# Trouvez des fichiers PHP sous uploads
  1. Recherchez dans l'ensemble du répertoire webroot des motifs suspects communs aux webshells :
grep -RIl --exclude-dir=vendor -e "eval(base64_decode" -e "assert(" -e "preg_replace(.*/e" /path/to/wordpress || true
  1. Recherchez des fichiers récemment modifiés que vous ne reconnaissez pas :
find /path/to/wordpress -type f -mtime -7 -printf '%TY-%Tm-%Td %TT %p
  1. Examinez les journaux d'accès du serveur web pour des requêtes POST suspectes vers des chemins de plugin, des téléchargements multipart/form-data inhabituels ou des requêtes contenant des noms de fichiers suspects :
    • Recherchez des POST vers des points de terminaison de plugin (par exemple, tout ce qui se trouve sous /wp-content/plugins/giftware/ ou similaire).
    • Rechercher des demandes qui incluent multipart/form-data avec des noms de fichiers se terminant par .php ou contenant du code php.
    • Rechercher Agent utilisateur chaînes qui sont soit vides, soit connues comme des bots de scan, demandes répétées de téléchargement de points de terminaison, ou demandes provenant d'IP inhabituelles.
  2. Vérifiez la base de données WordPress pour des utilisateurs administrateurs inattendus :
# WP-CLI liste tous les utilisateurs avec des rôles
  1. Examinez les tâches planifiées (cron) pour des travaux inconnus et vérifiez les sommes de contrôle des fichiers de base et des plugins pour des changements inattendus.
  2. Scannez avec un scanner de malware réputé au niveau des fichiers et de la base de données (si disponible) pour détecter des signatures de webshell connues.

Si vous découvrez des indicateurs de compromission (IoC), traitez cela comme une violation active et suivez les étapes de confinement/éradication ci-dessous.

Nettoyage et remédiation complète (confinement → éradication → récupération)

Si votre enquête montre des indicateurs de compromission, suivez un flux de travail complet de réponse aux incidents. Voici une liste de contrôle pratique :

  1. Confinement
    • Gardez le site hors ligne ou en mode maintenance.
    • Bloquez l'accès web aux répertoires de téléchargement (via le serveur web ou le WAF).
    • Réinitialisez les identifiants pour tous les comptes privilégiés (administrateurs WordPress, panneau d'hébergement, FTP/SFTP, base de données, SSH). Utilisez des mots de passe forts et uniques et activez la 2FA lorsque cela est possible.
    • Faites tourner toutes les clés API, les jetons OAuth ou les identifiants de passerelle de paiement exposés via des variables d'environnement compromises.
  2. Préservation des preuves
    • Faites des sauvegardes judiciaires des fichiers et de la base de données ; conservez les journaux (journaux d'accès et d'erreur).
    • Si vous prévoyez de faire appel à des intervenants en cas d'incident, ces artefacts sont critiques.
  3. Éradication
    • Supprimez tous les fichiers malveillants et les portes dérobées. Spécifiquement :
      • Supprimez tous les fichiers PHP inattendus dans les répertoires de téléchargements ou de plugins.
      • Comparez les fichiers de plugins et de thèmes avec des copies officielles et propres. Remplacez les fichiers modifiés par des copies propres.
      • Réinstallez les fichiers de base de WordPress en utilisant une source vérifiée (wp core download ou réinstaller depuis WP-Admin).
    • Nettoyez la base de données des options injectées, des utilisateurs administrateurs malveillants et des hooks planifiés suspects.
    • Utilisez des outils de surveillance de l'intégrité des fichiers (ou git) pour vérifier que seuls les fichiers attendus restent.
  4. Récupération
    • Restaurez à partir d'une sauvegarde propre si disponible et connue comme bonne (préférable lorsque vous ne pouvez pas nettoyer de manière fiable).
    • Appliquez les correctifs du fournisseur : mettez à jour le plugin vulnérable vers la version corrigée dès qu'elle est disponible et vérifiée.
    • Réactivez les services progressivement, surveillez attentivement les journaux pour une réinfection.
  5. Durcissement post-incident
    • Forcez la réinitialisation des mots de passe pour tous les utilisateurs.
    • Faites tourner les certificats SSL/TLS et toutes les informations d'identification qui ont pu être exposées.
    • Ajoutez ou renforcez la journalisation et les alertes pour les téléchargements de fichiers suspects et les modifications administratives.
    • Créez un rapport d'incident (ce qui s'est passé, quand, portée, cause profonde, étapes de remédiation).

Si vous n'êtes pas sûr de votre capacité à effectuer un nettoyage complet, engagez un service de sécurité professionnel expérimenté dans la réponse aux incidents WordPress.

Renforcement pour prévenir les téléchargements de fichiers arbitraires à l'avenir.

Plusieurs contrôles de durcissement pratiques réduisent considérablement le risque et l'impact des failles de téléchargement de fichiers arbitraires.

  1. Principe du moindre privilège :
    • N'installez que les plugins nécessaires. Réduisez la surface d'attaque.
    • Limitez l'accès aux plugins par capacité — évitez de donner aux plugins des privilèges de système de fichiers ou des privilèges élevés au-delà de ce dont ils ont besoin.
  2. Patching cohérent :
    • Gardez le cœur de WordPress, les plugins et les thèmes à jour. Abonnez-vous aux alertes de vulnérabilité pour les plugins que vous utilisez.
  3. Désactiver l'exécution PHP dans les téléchargements :
    • Bloquez l'exécution des fichiers PHP dans le répertoire des téléchargements en plaçant une règle .htaccess (Apache) ou de serveur web :
    # Apache (.htaccess dans wp-content/uploads)
  
    # Nginx (bloc serveur)
  4. Validation stricte des types de fichiers :
    • Appliquez des vérifications à la fois d'extension et de type MIME au niveau de l'application.
    • Vérifiez le contenu des fichiers téléchargés (octets magiques) pour vous assurer que les signatures image/pdf correspondent à l'extension.
  5. Assainissez les noms de fichiers et les chemins :
    • Assurez-vous que les plugins échappent et assainissent les noms de fichiers. Évitez d'accepter directement les chemins de fichiers et les extensions fournis par l'utilisateur.
  6. Utilisez un WAF et des défenses en couches :
    • Un bon WAF peut intercepter les téléchargements malveillants ou bloquer des motifs suspects même lorsqu'un plugin est vulnérable. (Voir nos suggestions de règles WAF ci-dessous.)
  7. Surveillance continue :
    • Surveillance de l'intégrité des fichiers (par exemple, sommes de contrôle), analyses régulières de logiciels malveillants et alertes de journal pour les POSTs et écritures de fichiers suspects.
  8. Renforcez les permissions du serveur :
    • Exécutez PHP-FPM en tant qu'utilisateur non privilégié et assurez-vous que les permissions des fichiers et des dossiers suivent les directives de renforcement de WordPress (fichiers 644, répertoires 755, wp-config.php 600/640).
  9. Identifiants de base de données à accès minimal :
    • Assurez-vous que les permissions de l'utilisateur DB sont limitées à ce dont WordPress a besoin (les privilèges DROP ou FILE ne sont pas requis).

Règles WAF et serveur que vous pouvez appliquer dès maintenant (modèles recommandés)

Un WAF est l'un des moyens les plus rapides de réduire la surface d'attaque lorsqu'une vulnérabilité de plugin est présente mais qu'aucun correctif n'est disponible. Ci-dessous se trouvent des motifs de règles et des atténuations au niveau du serveur que vous pouvez mettre en œuvre rapidement.

Règles de blocage à forte valeur ajoutée (génériques, non spécifiques au fournisseur) :

  • Bloquez les téléchargements de fichiers contenant du contenu PHP :
    • Inspectez les corps téléchargés pour "<?php", ", "base64_décoder(", "eval(" et bloquez.
  • Bloquez les téléchargements avec des noms de fichiers suspects :
    • Refusez les fichiers avec des extensions comme .php, .phtml, .php5, .phar, ou des points supplémentaires comme image.jpg.php.
  • Restreignez les types de contenu autorisés pour les points de terminaison de téléchargement connus :
    • Autoriser uniquement image/jpeg, image/png, image/gif, application/pdf si le point de terminaison est destiné aux images/docs.
  • Limitez le taux des POSTs anonymes vers les points de terminaison de téléchargement de plugins :
    • Si vous avez un point de terminaison de téléchargement /wp-content/plugins/.../upload.php, limitez les POST par minute par IP.
  • Bloquez les requêtes POST brutes vers les répertoires de plugins provenant de sources anonymes :
    • Si un point de terminaison n'est pas destiné à accepter des téléchargements publics, bloquez tous les POST publics vers ce chemin.

Exemples de pseudo-règles WAF (adaptez à votre syntaxe WAF) :

  • Règle A : Bloquez si le corps contient "<?php" OU "eval(base64_decode"
  • Règle B : Bloquez si le nom de fichier Content-Disposition se termine par .php OU contient .php
  • Règle C : Limitez le taux /wp-content/plugins/giftware/* POST à 5 requêtes par minute par IP
  • Règle D : Bloquez les requêtes avec des chaînes d'agent utilisateur suspectes ou un UA vide avec de grandes charges utiles POST

Atténuations au niveau du serveur :

  • Refuser l'exécution dans les téléchargements (voir l'extrait .htaccess/nginx précédent).
  • Si le plugin écrit dans un répertoire dédié, rendez ce répertoire non exécutable avec des règles au niveau du serveur.

N'oubliez pas : les règles WAF doivent être testées d'abord sur un environnement de staging lorsque cela est possible pour éviter les faux positifs qui perturbent les téléchargements légitimes des utilisateurs.

Comment vérifier la persistance et les portes dérobées (post-nettoyage)

Après avoir supprimé les fichiers malveillants évidents, faites ce qui suit pour attraper les portes dérobées persistantes :

  • Re-scanner avec plusieurs scanners de malware indépendants (basés sur des fichiers et basés sur des bases de données).
  • Inspectez wp-config.php pour le code ajouté ou injecté.
  • Vérifiez les fichiers de thème actifs (header.php, functions.php) et les mu-plugins pour le code injecté.
  • Recherchez des éléments suspects .ico, .jpg, ou .txt fichiers contenant du code PHP (les attaquants cachent parfois du code dans des fichiers mal nommés).
  • Révision options_wp tableau pour suspect url_du_site, accueil, ou des charges utiles sérialisées, et plugins_actifs pour les entrées inconnues.
  • Exportez et auditez les tâches planifiées et les entrées cron (liste des événements cron wp ou vérifiez l' options_wp "option "cron").
  • Si vous avez utilisé l'accès administrateur pendant l'incident, confirmez qu'il n'y a pas de tâches planifiées inconnues qui rétablissent la porte dérobée.

Quand restaurer à partir d'une sauvegarde contre tenter de nettoyer

  • Restaurez à partir d'une sauvegarde connue comme bonne (avant l'infection) lorsque disponible et lorsque vous ne pouvez pas trouver et supprimer toutes les portes dérobées en toute confiance. C'est souvent la voie la plus rapide et la plus fiable.
  • Si aucune sauvegarde propre n'existe, un nettoyage manuel est possible mais nécessite un travail d'analyse plus approfondi : vérifiez tous les fichiers, scannez pour du PHP obfusqué et validez l'intégrité de la base de données.
  • Après la restauration, assurez-vous d'appliquer tous les durcissements et de corriger la vulnérabilité avant de réactiver les services.

Réponse à l'incident : communications et conformité

Si vous traitez des données clients, vous pouvez avoir des obligations légales ou contractuelles :

  • Documentez la chronologie, la portée et les actions entreprises.
  • Informez le fournisseur d'hébergement et tous les tiers (processeurs de paiement) si des identifiants ou des données clients ont probablement été exposés.
  • Déterminez les obligations de déclaration pour les réglementations sur la vie privée (RGPD, CCPA, etc.) et suivez les conseils de votre conseiller juridique.

Comment WP-Firewall aide (et pourquoi vous devriez envisager notre plan gratuit)

Commencez à protéger vos sites WordPress immédiatement avec WP-Firewall Basic

Chez WP-Firewall, nous construisons et maintenons des défenses pratiques qui aident à stopper les attaques de masse exploitant des vulnérabilités comme celle-ci. Si vous avez besoin d'un moyen rapide et peu coûteux de réduire le risque dès maintenant, notre plan Basic (Gratuit) offre une protection essentielle :

  • Protection essentielle : pare-feu géré, bande passante illimitée, WAF, scanner de logiciels malveillants et atténuation des 10 principaux risques OWASP.
  • Configuration rapide : un plugin léger et des règles gérées qui commencent à protéger votre site immédiatement.
  • Atténuation sans coût : idéal pour les environnements de staging, les sites à faible trafic ou les sites où vous avez besoin d'une couverture immédiate pendant que vous appliquez des correctifs ou effectuez un nettoyage.

Si vous souhaitez plus d'automatisation et de remédiation sans intervention :

  • Standard ($50/an) ajoute la suppression automatique des logiciels malveillants et la possibilité de mettre sur liste noire/liste blanche jusqu'à 20 IP.
  • Pro ($299/an) inclut des rapports de sécurité mensuels, un patch virtuel automatique pour les vulnérabilités nouvellement découvertes, et des modules complémentaires premium (Gestionnaire de compte dédié, Optimisation de la sécurité, Jeton de support WP, Service WP géré, et Service de sécurité géré).

Inscrivez-vous au plan gratuit et obtenez un WAF géré et un scanner protégeant votre site en quelques minutes : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nous avons créé ces niveaux car des contrôles de protection rapides et des nettoyages sont souvent le facteur décisif pour empêcher les attaquants de compléter leur chaîne de destruction. Si vous préférez une assistance pratique, nos niveaux supérieurs incluent des services de remédiation plus proactifs.

Commandes de détection et de remédiation pratiques (annexe)

Découverte de fichiers et recherche de fichiers suspects :

# Trouver des fichiers PHP dans les uploads (signe courant de compromission)

Vérifications de la base de données :

# Lister tous les utilisateurs pour trouver des comptes administrateurs inattendus (utiliser WP-CLI)

Règles Apache / Nginx (uploads non exécutables) :

Apache (.htaccess dans wp-content/uploads) :

<FilesMatch "\.(php|phtml)$">
  Deny from all
</FilesMatch>

Nginx (partie du bloc serveur) :

location ~* /wp-content/uploads/.*\.(php|phtml|phps)$ {

Liste de contrôle finale — priorisée

  1. Désactivez immédiatement le plugin vulnérable ou renommez son répertoire.
  2. Prenez un instantané du site et de la base de données pour enquête.
  3. Bloquez ou limitez le taux des POST publics vers les points de terminaison des plugins au niveau du pare-feu.
  4. Vérifiez la présence de fichiers PHP dans les téléchargements et le répertoire web. Supprimez ou mettez en quarantaine les fichiers suspects.
  5. Réinitialisez les identifiants (admin WP, db, hébergement, FTP) et activez l'authentification à deux facteurs pour les administrateurs.
  6. Scannez le site avec plusieurs outils et/ou engagez des intervenants professionnels pour un nettoyage complet.
  7. Une fois nettoyé, mettez à jour le plugin vers la version corrigée fournie par le fournisseur (ou remplacez-le par une fonctionnalité alternative).
  8. Mettez en œuvre des contrôles à long terme : désactivez l'exécution PHP dans les téléchargements, déployez des règles WAF et activez la surveillance de l'intégrité des fichiers.

Si vous gérez plusieurs sites WordPress, automatisez la détection de ces indicateurs à travers votre flotte (recherchez des fichiers PHP dans les journaux et les téléchargements, alertez sur les POST anonymes vers les chemins des plugins). Une détection rapide et l'arrêt du trafic d'attaque vous donnent le temps d'effectuer une remédiation appropriée.

Si vous avez besoin de conseils ou d'assistance pour mettre en œuvre des règles WAF, scanner ou répondre à des incidents, l'équipe de sécurité de WP-Firewall est disponible. Et si vous cherchez à mettre en place des protections immédiates sans coût, essayez notre plan de base (gratuit) et faites fonctionner rapidement la gestion WAF et le scan de malware : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Restez en sécurité — gardez vos plugins à jour et verrouillez agressivement les téléchargements et les chemins d'exécution. Si vous souhaitez une liste de contrôle d'incidents ou une aide adaptée à votre environnement, répondez avec la version du plugin et la configuration d'hébergement et nous fournirons des conseils étape par étape.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™