Nom du plugin	Gestionnaire d'accès avancé
Type de vulnérabilité	Contournement de vulnérabilité
Numéro CVE	CVE-2026-42674
Urgence	Haut
Date de publication du CVE	2026-05-16
URL source	CVE-2026-42674

Avis de sécurité : Advanced Access Manager (≤ 7.1.0) — Vulnérabilité de contournement (CVE-2026-42674) et atténuations pratiques pour les sites WordPress

Auteur: Équipe de sécurité WP-Firewall
Date: 2026-05-16

Résumé: Une vulnérabilité de contournement a été divulguée dans le plugin Advanced Access Manager affectant les versions ≤ 7.1.0 (CVE-2026-42674). Un acteur non authentifié pourrait contourner les restrictions d'accès dans certaines conditions. Le fournisseur a publié un correctif dans la version 7.1.1. Cet avis explique le risque, les scénarios d'attaque dans le monde réel, les conseils de détection, les actions immédiates recommandées et les étapes d'atténuation en couches — y compris des règles WAF concrètes et des stratégies de patch virtuel que vous pouvez déployer rapidement si vous ne pouvez pas mettre à jour immédiatement.

Table des matières

• Introduction
• Ce qui a été signalé (niveau élevé)
• Versions impactées et CVE
• Comment les attaquants peuvent abuser des vulnérabilités de contournement (schémas typiques)
• Scénarios d'exploitation réalistes et impact commercial
• Comment évaluer rapidement l'exposition sur votre site
• Indicateurs de compromission (IoCs) et vérifications des journaux
• Remédiation immédiate — correctif officiel et fortes atténuations temporaires
• WAF et patching virtuel : règles recommandées et exemples
• Contrôles serveur/hébergement et recettes de durcissement .htaccess / Nginx
• Actions post-incident : confinement, enquête et récupération
• Renforcement et prévention à long terme
• Comment WP-Firewall aide (ce que nous fournissons)
• Protégez votre site maintenant — Commencez avec le plan gratuit WP‑Firewall
• Clôture / résumé

---

Introduction

En tant que mainteneurs de WP-Firewall, nous surveillons de près les vulnérabilités émergentes des plugins WordPress et préparons des conseils pratiques pour les propriétaires de sites, les développeurs et les hébergeurs. Le 14 mai 2026, une vulnérabilité de contournement affectant Advanced Access Manager (versions jusqu'à et y compris 7.1.0) a été signalée publiquement et a reçu le CVE-2026-42674. Le fournisseur a publié un correctif dans la version 7.1.1.

Cet avis est rédigé pour les propriétaires de sites et les administrateurs qui ont besoin d'étapes claires et pratiques pour déterminer l'exposition et protéger immédiatement les sites WordPress — que vous puissiez appliquer le correctif du fournisseur immédiatement ou que vous ayez besoin d'atténuations à court terme. J'expliquerai la nature de la vulnérabilité en termes simples, comment les attaquants pourraient en tirer parti, et des atténuations pratiques (y compris des règles WAF et des techniques de patching virtuel) qui fonctionnent en production.

Ce qui a été signalé (niveau élevé)

Un chercheur en sécurité a signalé une vulnérabilité de contournement dans Advanced Access Manager qui permet aux acteurs non authentifiés de contourner certaines restrictions d'accès imposées par le plugin. En termes larges, le plugin n'a pas réussi à appliquer des vérifications d'autorisation appropriées dans certains chemins de code, permettant l'accès ou la modification de fonctionnalités qui devraient être restreintes.

Le fournisseur a publié la version 7.1.1 qui corrige les vérifications d'autorisation mises en œuvre. Étant donné que la vulnérabilité peut être déclenchée sans identifiants valides, elle est considérée comme suffisamment grave pour nécessiter une attention urgente, mais elle est également considérée comme un problème de contournement/de conception non sécurisée (le défaut se situe dans la logique/l'autorisation, pas dans l'exécution de code à distance ou l'injection SQL).

Versions impactées et CVE

• Logiciels concernés : Advanced Access Manager (plugin WordPress)
• Versions vulnérables : ≤ 7.1.0
• Version corrigée : 7.1.1 (mettre à niveau vers 7.1.1 ou une version plus récente)
• Divulgation publique : 14 mai 2026
• CVE : CVE-2026-42674
• Classification: Vulnérabilité de contournement (Conception non sécurisée)
• Privilège requis : Non authentifié (aucune connexion valide requise)

Comment les attaquants peuvent abuser des vulnérabilités de contournement (schémas typiques)

Un “ contournement ” ou “ contournement d'autorisation ” signifie généralement qu'un morceau de code destiné à restreindre l'accès manque de vérifications, utilise une condition défectueuse ou peut être trompé pour traiter une demande non authentifiée ou à faible privilège comme autorisée. Les modèles courants incluent :

• Vérifications de capacité manquantes sur les points de terminaison AJAX/REST.
• Vérifications de permission qui dépendent de valeurs contrôlables par l'utilisateur (par exemple, noms de rôles fournis par l'utilisateur).
• Erreurs logiques dans les instructions conditionnelles qui court-circuitent incorrectement l'autorisation.
• Échec de validation des nonces ou de leur utilisation dans le chemin d'exécution correct.
• Routes qui exposent des opérations administratives mais qui sont accessibles sans authentification dans des cas limites.

Parce que les attaquants peuvent souvent scanner les points de terminaison des plugins et essayer d'interagir directement avec eux, un contournement non authentifié est particulièrement utile pour les campagnes d'exploitation de masse.

Scénarios d'exploitation réalistes et impact commercial

Bien que cette vulnérabilité soit classée comme un contournement (et non comme une exécution de code à distance directe), l'impact potentiel varie selon la façon dont le plugin est utilisé sur le site :

• Exposition de données de configuration ou de politique restreintes (divulgation).
• Changement des règles d'accès ou des rôles qui pourraient élever les privilèges d'un attaquant (élévation de privilèges).
• Activation d'attaques ultérieures (persistance, injection de contenu ou prise de contrôle de compte ciblée).
• Sur des sites complexes avec des intégrations personnalisées, un contournement dans un plugin de contrôle d'accès peut débloquer d'autres fonctionnalités critiques.

En production, les attaquants utilisent souvent plusieurs vulnérabilités plus petites ensemble (un contournement plus un CSRF ou un point de terminaison mal configuré) pour obtenir un point d'appui. Même si le contournement seul ne permet pas directement l'exécution de code, il peut affaiblir matériellement les défenses.

Comment évaluer rapidement l'exposition sur votre site

1. Inventaire des versions de plugins
   • Connectez-vous à WordPress, allez dans Plugins et vérifiez la version d'Advanced Access Manager.
   • Depuis le shell du serveur, vous pouvez lire l'en-tête du plugin dans /wp-content/plugins/advanced-access-manager/advanced-access-manager.php ou équivalent pour voir la ligne de version.
2. Vérifiez l'exposition publique des fichiers du plugin
   • Essayez de visiter des URL de plugins connues (n'essayez pas d'exploiter). Recherchez des points de terminaison administratifs accessibles, des fichiers readme ou des gestionnaires exposés publiquement.
3. Examinez le trafic récent et les demandes des clients ciblant les chemins du plugin
   • Recherchez dans vos journaux d'accès des demandes vers des chemins contenant “advanced-access-manager”, ou des points de terminaison REST/AJAX associés. Faites attention aux demandes répétées provenant d'IP uniques ou à des motifs de scan.
4. Confirmez si votre site permet une interaction non authentifiée avec les fonctionnalités gérées par le plugin
   • Si le plugin expose des points de terminaison REST ou AJAX destinés aux administrateurs, un contournement pourrait les exposer.

Indicateurs de compromission (IoCs) et vérifications des journaux

Recherchez les signaux suivants dans vos journaux et panneaux de contrôle :

• Demandes inhabituelles vers des points de terminaison spécifiques au plugin : /wp-admin/admin-ajax.php actions faisant référence aux hooks du plugin, demandes REST vers /wp-json/… qui mentionnent le plugin, ou toute requête GET/POST directe vers des fichiers PHP du plugin.
• Changements inattendus dans les fichiers de configuration du plugin ou les entrées de base de données liées au plugin.
• Nouveaux comptes utilisateurs ou comptes modifiés, en particulier ceux avec des rôles élevés ou la capacité d'installer des plugins/thèmes.
• Tâches programmées suspectes (entrées cron) ajoutées à options_wp ou à la base de données.
• Connexions sortantes inconnues ou pics inhabituels dans les journaux d'erreurs après l'accès au plugin.

Remédiation immédiate — correctif officiel et fortes atténuations temporaires

1. Mettez à niveau immédiatement (préféré)
   • Installez la mise à jour du plugin (7.1.1 ou ultérieure). Testez d'abord sur un environnement de staging si possible, puis déployez en production pendant une fenêtre de maintenance.
2. Si vous ne pouvez pas appliquer le correctif immédiatement, suivez les atténuations temporaires :
   • Désactivez le plugin : Si le plugin n'est pas essentiel au fonctionnement du site, désactivez-le jusqu'à ce qu'il soit corrigé. C'est l'option la plus sûre à court terme.
   • Restreindre l'accès aux pages d'administration du plugin : Bloquez l'accès public aux dossiers de plugins ou aux pages d'administration via des règles de serveur web (.htaccess / Nginx) ou des contrôles d'hébergement.
   • Mettez en œuvre des règles WAF ou un patch virtuel : Créez des règles WAF pour bloquer les demandes suspectes aux points de terminaison des plugins ou aux modèles associés à la vulnérabilité (exemples ci-dessous).
   • Durcir l'accès à l'administration : Limiter l'accès à /wp-admin et l'API REST depuis des adresses IP de confiance, utilisez une MFA forte pour tous les comptes administratifs, et faites tourner les identifiants si vous soupçonnez un abus.

WAF et patching virtuel : règles recommandées et exemples

Le patch virtuel au niveau HTTP empêche les tentatives d'exploitation d'atteindre le code vulnérable jusqu'à ce qu'un correctif du fournisseur puisse être appliqué. Ci-dessous se trouvent des exemples de règles défensives et des explications. Ces règles sont défensives, non invasives, et conçues pour bloquer des modèles malveillants plutôt que de fournir des détails d'exploitation.

Principes généraux pour les règles WAF :

• Bloquez ou contestez les demandes aux points de terminaison spécifiques aux plugins, sauf si elles proviennent de sessions administratives authentifiées ou de plages IP de confiance.
• Limitez le taux des demandes aux points de terminaison administratifs, admin-ajax et API REST.
• Inspectez les méthodes de demande, les en-têtes et les valeurs de paramètres suspects, et bloquez les comportements évidents de scan/spam.

Exemple de règle de style ModSecurity pour bloquer les demandes de plugin suspectes (générique)

# Bloquez les demandes vers des chemins de plugin connus sauf si elles proviennent d'IP autorisées"

Explication: Cette règle refuse toutes les demandes au répertoire du plugin. Utilisez avec prudence — si le plugin sert légitimement des fichiers à des utilisateurs non authentifiés (rare pour les plugins de contrôle d'accès), mettez sur liste blanche les actifs nécessaires.

Exemple de règle pour protéger les actions admin-ajax (générique)

SecRule REQUEST_URI "@endsWith /wp-admin/admin-ajax.php" \n    "chain,deny,log,status:403,id:100002,msg:'Demande admin-ajax suspecte bloquée'"

Explication: Bloquez ou contestez les demandes AJAX qui incluent des noms de paramètres spécifiques aux plugins. Ajustez les vérifications de jetons pour correspondre à votre environnement.

Exemple de règle pour les points de terminaison de l'API REST (générique)

SecRule REQUEST_URI "@beginsWith /wp-json/advanced-access-manager" \n    "id:100003,phase:1,deny,log,status:403,msg:'Accès bloqué aux points de terminaison REST d'Advanced Access Manager'"

Limitation de taux et réputation

• Configurez les limites de taux pour /wp-admin/* et /wp-json/* qui diffèrent pour les demandes authentifiées et non authentifiées.
• Utilisez la réputation IP pour bloquer les acteurs malveillants connus.
• Présentez un CAPTCHA/défi pour les sources suspectes avant de permettre les demandes.

Inspection de charge utile JSON/XML personnalisée

• Si la vulnérabilité est déclenchée par des données JSON ou POST spécifiques, ajoutez des vérifications pour les clés et les motifs de charge utile suspects et bloquez-les immédiatement.

Tests et effets secondaires

• Testez les règles WAF en mode “ surveillance ” avant de passer en mode “ refus ” pour éviter les faux positifs.
• Enregistrez toutes les demandes bloquées pour un examen judiciaire ultérieur.

Contrôles serveur/hébergement et recettes de durcissement .htaccess / Nginx

Si vous ne pouvez pas déployer un WAF immédiatement, utilisez des règles de serveur web pour restreindre l'accès aux pages administratives du plugin.

Apache (.htaccess) — restreindre le répertoire du plugin aux IPs administratives

<Directory "/var/www/html/wp-content/plugins/advanced-access-manager">
    Order deny,allow
    Deny from all
    # Allow your IP(s) only
    Allow from 203.0.113.45
</Directory>

Remarque : Dans les environnements d'hébergement partagé, vous n'aurez peut-être pas accès aux directives Directory ; utilisez plutôt FilesMatch ou des règles de réécriture.

.Exemple .htaccess pour refuser l'accès direct aux fichiers PHP du plugin

# Refuser l'accès direct aux fichiers PHP du plugin

Exemple Nginx — bloquer le chemin du plugin sauf s'il provient d'une IP de confiance

location ~* /wp-content/plugins/advanced-access-manager/ {

Important: N'utilisez ces règles que si elles ne compromettent pas la fonctionnalité requise (testez sur un environnement de staging). Si les fonctionnalités du plugin doivent être disponibles pour les non-administrateurs, ces blocs peuvent être trop restrictifs — dans ce cas, appliquez des règles WAF/patch virtuel plus ciblées.

Protégez l'API REST de WordPress et wp-admin

• Limitez l'accès à l'API REST pour les utilisateurs non authentifiés aux seuls points de terminaison nécessaires.
• Protégez /wp-login.php et /wp-admin avec des listes d'autorisation IP et MFA.

Actions post-incident : confinement, enquête et récupération

Si votre site a été ciblé ou si vous soupçonnez un compromis, suivez un flux de réponse aux incidents structuré :

1. Contenir
   • Si le plugin est actuellement actif et que le site est vulnérable, appliquez immédiatement le correctif du fournisseur ou désactivez le plugin.
   • Appliquez des règles WAF ou bloquez le chemin du plugin au niveau du serveur web.
2. Préserver les preuves
   • Faites des sauvegardes des fichiers et bases de données actuels (stockez hors ligne).
   • Exportez les journaux (journaux d'accès, d'erreur, journaux d'application) avant qu'ils ne soient tournés.
3. Enquêter
   • Examinez les connexions récentes des administrateurs, les nouveaux comptes utilisateurs, les changements de rôles et de permissions des utilisateurs.
   • Recherchez dans la base de données des options suspectes, des entrées cron ou du contenu de publication.
   • Inspectez wp-content/uploads pour des fichiers .php ou des fichiers inhabituels.
   • Vérifiez les fichiers de base, de thème ou de plugin modifiés.
4. Remédier
   • Supprimez les fichiers/code malveillants.
   • Restaurer à partir d'une sauvegarde connue si nécessaire.
   • Faites tourner tous les identifiants administratifs et système (base de données, FTP/SFTP, clés API).
   • Relancez l'analyse de malware et confirmez le nettoyage.
5. Récupérez et vérifiez
   • Réinstallez le plugin à partir d'une source de confiance (après mise à niveau).
   • Surveillez les journaux de près pendant au moins 30 jours pour détecter une activité suspecte.
6. Informer les parties prenantes
   • Si la violation a affecté les données des utilisateurs, suivez les lois et obligations de confidentialité applicables pour la divulgation.

Renforcement et prévention à long terme

1. Maintenez des mises à jour en temps opportun
   Gardez le cœur de WordPress, les thèmes et les plugins à jour. Abonnez-vous à des flux de vulnérabilité de confiance ou utilisez une solution de mise à jour gérée.
2. Principe du moindre privilège
   Limitez le nombre d'utilisateurs ayant des capacités d'administrateur. Utilisez des rôles personnalisés avec précaution et évitez d'accorder des capacités inutiles.
3. Utilisez une authentification forte
   Appliquez l'authentification multi-facteurs sur tous les comptes administratifs. Utilisez des mots de passe forts et uniques stockés dans un gestionnaire de mots de passe.
4. Réduisez la surface d'attaque
   Supprimez les plugins et thèmes inutilisés. Désactivez l'édition de fichiers dans le tableau de bord (define('DISALLOW_FILE_EDIT', true)). Désactivez les fonctionnalités inutilisées comme XML-RPC si elles ne sont pas nécessaires.
5. Surveillance et enregistrement
   Stockez les journaux de manière centralisée et surveillez les anomalies. Activez la surveillance de l'intégrité des fichiers pour les répertoires critiques.
6. Patching virtuel et défense en profondeur
   Maintenez des règles WAF qui bloquent les probes courants et les abus spécifiques aux plugins. Utilisez des protections au niveau de l'hôte (durcissement PHP, désactivation de fonctions) lorsque cela est approprié.

Comment WP-Firewall aide

Chez WP-Firewall, nous concevons des protections et des plans d'incidents spécifiquement pour les environnements WordPress :

• WAF géré : Notre pare-feu d'application Web géré fournit des ensembles de règles qui détectent et bloquent les techniques d'exploitation courantes des plugins WordPress, y compris les modèles de contournement d'autorisation, les appels REST et AJAX suspects, et les profils de requêtes anormaux. Ces règles sont ajustées pour minimiser les faux positifs pour les sites WordPress.
• Patching virtuel : Lorsqu'une vulnérabilité est divulguée, nous pouvons déployer des patchs virtuels (règles WAF) pour protéger votre site instantanément pendant que vous planifiez des mises à jour — bloquant les requêtes qui correspondent aux modèles d'exploitation à la périphérie.
• Analyse et atténuation des logiciels malveillants : Des scanners continus recherchent des changements dans les fichiers et du contenu suspect dans les téléchargements et la base de données, et nos aides à la remédiation rendent le nettoyage plus rapide.
• Alertes et surveillance : Nous fournissons des alertes en temps opportun sur les vulnérabilités des plugins, les indicateurs de compromission et l'activité administrative anormale.
• Conseils de sauvegarde et de récupération : Les plans d'incidents, les étapes de récupération et la surveillance continue aident à réduire le temps moyen de récupération (MTTR).

Protégez votre site maintenant — Commencez avec le plan gratuit WP‑Firewall

Si vous souhaitez une protection immédiate et pratique pendant que vous évaluez ou corrigez, notre Plan de base gratuit est conçu pour vous donner une base solide :

Protection essentielle contre les risques urgents — essayez le Plan de base gratuit WP‑Firewall

Protégez votre site WordPress dès maintenant avec le plan WP‑Firewall Basic (gratuit). Il fournit des protections essentielles, toujours actives : un pare-feu géré qui bloque les tentatives d'exploitation courantes, une bande passante illimitée pour que votre site reste rapide, un WAF basé sur des règles ajusté pour WordPress, et un scanner de logiciels malveillants automatisé qui trouve des fichiers et des changements suspects. Le plan de base comprend également des atténuations pour les risques OWASP Top 10, vous offrant un solide filet de sécurité pendant que vous planifiez des mises à jour ou appliquez des protections plus avancées. Inscrivez-vous au Plan gratuit ici : https://my.wp-firewall.com/buy/wp-firewall-free-plan/ — il s'installe rapidement et réduit immédiatement l'exposition aux vulnérabilités côté plugin comme le contournement d'Advanced Access Manager.

(Si vous avez besoin de capacités supplémentaires — suppression automatique de logiciels malveillants, liste blanche/noire d'IP, rapports de sécurité mensuels et patching virtuel automatique — nos niveaux payants ajoutent ces fonctionnalités et sont tarifés pour convenir aux petits et grands sites. Le plan gratuit est un excellent premier pas et vous aidera à rester protégé pendant que vous mettez à jour des plugins ou effectuez une réponse aux incidents.)

Liste de contrôle pratique — étape par étape pour les propriétaires de sites et les administrateurs

Immédiat (0–24 heures)

• Vérifiez la version du plugin. Si ≤ 7.1.0, mettez à niveau vers 7.1.1 immédiatement.
• Si vous ne pouvez pas corriger immédiatement, désactivez le plugin ou restreignez l'accès au plugin via des règles serveur.
• Activez une MFA forte sur tous les comptes administrateurs.
• Effectuez une analyse complète des logiciels malveillants et prenez un instantané de vos fichiers/base de données.

Court terme (24–72 heures)

• Déployez des règles WAF ou de patch virtuel pour bloquer les demandes ciblant le plugin et les modèles d'abus REST/AJAX.
• Recherchez dans les journaux des demandes suspectes et conservez-les.
• Faites tourner toutes les informations d'identification administratives si vous identifiez une activité suspecte.

Moyen terme (3–14 jours)

• Examinez les comptes utilisateurs et les capacités pour une élévation de privilèges.
• Réinstallez le plugin à partir de sources officielles et testez les configurations sur un environnement de staging.
• Renforcez les configurations du serveur (désactivez les fonctions PHP dangereuses, limitez les types de fichiers dans les téléchargements).

Long terme (en cours)

• Mettez en œuvre un plan de gestion des correctifs et abonnez-vous aux alertes de vulnérabilité provenant de sources fiables.
• Maintenez des sauvegardes et un suivi de l'intégrité des fichiers.
• Utilisez un modèle de sécurité en couches : WAF + durcissement + surveillance + manuels d'incidents.

Dernières réflexions et conseils pratiques

Les vulnérabilités de contournement d'autorisation comme CVE-2026-42674 ont tendance à être subtiles mais conséquentes. Le risque est amplifié lorsque le plugin contrôle l'accès et les rôles sur un site : les attaquants apprécient les contournements car ils peuvent influencer directement les autorisations et permettre des attaques secondaires.

Votre solution la plus sûre et la plus rapide est d'appliquer le correctif du fournisseur (7.1.1 ou plus récent). Si vous ne pouvez pas suivre cette voie immédiatement, le patch virtuel avec un WAF et des contrôles d'accès simples au serveur web sont très efficaces pour stopper les tentatives d'exploitation massive pendant que vous validez et déployez la mise à jour officielle. Gardez à l'esprit l'importance de la préservation des preuves et des étapes d'analyse judiciaire minutieuses si vous soupçonnez un compromis.

Nous comprenons la pression que ressentent les propriétaires de sites lorsque des vulnérabilités sont publiées — l'objectif ici est de fournir des étapes pragmatiques et sans fioritures que vous pouvez mettre en œuvre rapidement pour réduire le risque et récupérer en toute sécurité.

Si vous avez besoin d'aide — que ce soit pour l'ajustement des règles, le patching virtuel d'urgence ou la réponse aux incidents — notre équipe de WP‑Firewall est prête à vous assister. Nous avons construit une pile de sécurité spécialisée pour WordPress et un ensemble de manuels pour exactement ce genre de problèmes d'autorisation de plugin.

Restez en sécurité, gardez vos sites à jour et considérez les mises à jour de plugins comme une partie cruciale de votre posture de sécurité.

— Équipe de sécurité WP-Firewall

Annexe A — Exemples supplémentaires de règles défensives (pour utilisateurs avancés)

1) Nginx : Limitez le taux des demandes admin-ajax suspectes

# limiter les requêtes admin-ajax par IP

2) .htaccess : Protéger l'API REST si non requise par les utilisateurs publics

# Bloquer l'accès public à l'API REST sauf pour les requêtes des utilisateurs connectés

Remarque : Cela bloque les requêtes API REST non authentifiées. Assurez-vous que les services tiers nécessitant un accès API ne sont pas impactés.

3) ModSecurity : Journaliser et contester les modèles de scan suspects

SecRule REQUEST_URI|ARGS "@rx (eval\(|base64_decode\(|UNION|select.+from)" \n    "id:100010,phase:2,log,pass,exec:/usr/local/bin/antivirus_scan.sh"

Cet exemple journalise et déclenche un script secondaire pour une inspection approfondie des fichiers plutôt que de bloquer directement. Personnalisez-le pour votre environnement.

Annexe B — Requêtes utiles pour l'analyse des journaux (exemples de commandes)

• Trouver des requêtes vers le chemin du plugin dans les journaux d'accès Apache/Nginx :

  grep -i "gestion-des-accès-avancée" /var/log/nginx/access.log | tail -n 200
  

• Rechercher des POST inhabituels vers admin-ajax :

  grep "POST /wp-admin/admin-ajax.php" /var/log/nginx/access.log | grep -i "aam\|gestionnaire-d'accès"
  

• Identifier les nouveaux utilisateurs administrateurs dans la base de données WP :

  SELECT ID, user_login, user_email, user_registered FROM wp_users ORDER BY user_registered DESC LIMIT 50;
  

Merci de prendre le temps de sécuriser votre site WordPress. Si vous préférez une remédiation assistée, envisagez notre Plan Gratuit pour mettre en place rapidement des défenses essentielles : https://my.wp-firewall.com/buy/wp-firewall-free-plan/