Injection d'objet PHP critique Plugin d'archive JS//Publié le 2026-03-11//CVE-2026-2020

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

JS Archive List Vulnerability CVE-2026-2020

Nom du plugin Liste des archives JS
Type de vulnérabilité Injection d'objets PHP
Numéro CVE CVE-2026-2020
Urgence Moyen
Date de publication du CVE 2026-03-11
URL source CVE-2026-2020

Injection d'objet PHP dans le plugin Liste des archives JS (<= 6.1.7) — Ce que chaque propriétaire et développeur WordPress doit faire maintenant

Date: 9 mars 2026
Gravité: Moyenne (CVSS 7.5) — CVE-2026-2020

Une vulnérabilité récemment divulguée dans le populaire plugin WordPress “ Liste des archives JS ” (jQuery Archive List Widget) (versions affectées : ≤ 6.1.7, corrigée dans 6.2.0) permet à un utilisateur authentifié avec des privilèges de niveau Contributeur d'effectuer une injection d'objet PHP via l'attribut de shortcode nommé inclus. Cette classe de vulnérabilité est dangereuse car elle peut conduire à une exécution de code à distance, une élévation de privilèges, une exfiltration de données, une défiguration de site et d'autres conséquences graves lorsqu'elle est utilisée avec une chaîne de gadgets/POP appropriée.

En tant qu'équipe derrière WP­Firewall — fournisseurs de services de pare-feu et de sécurité WordPress gérés — notre objectif dans ce post est de vous donner des conseils clairs et pratiques : ce qu'est cette vulnérabilité, comment les attaquants peuvent en abuser, comment détecter l'exploitation et les étapes exactes que vous devez suivre maintenant pour protéger les sites que vous gérez.

Cet article est écrit du point de vue d'un expert en sécurité WordPress du monde réel ; il se concentre sur la remédiation pratique et la réduction des risques, et non sur les détails d'exploitation.

Résumé exécutif

  • Vulnérabilité : Injection d'objet PHP via l' inclus attribut de shortcode dans les versions du plugin Liste des archives JS jusqu'à et y compris 6.1.7.
  • CVE : CVE-2026-2020
  • Privilège requis : Contributeur (utilisateur authentifié avec droits de publication)
  • Impact : Gravité moyenne (CVSS 7.5) — pourrait conduire à un compromis total si une chaîne de gadgets PHP appropriée est disponible sur le site
  • Correction immédiate : Mettre à jour le plugin vers la version 6.2.0 ou ultérieure
  • Si vous ne pouvez pas mettre à jour immédiatement : mettre en œuvre des atténuations temporaires (restreindre l'accès des contributeurs, désactiver les shortcodes pour les utilisateurs non fiables, appliquer des règles de pare-feu / patching virtuel)
  • Recommandé : Scanner, durcir, surveiller et appliquer le principe du moindre privilège

Qu'est-ce que l'injection d'objets PHP (POI) ?

L'injection d'objet PHP se produit lorsque des entrées d'utilisateur non fiables sont transmises à la désérialiser() routine (ou d'autres mécanismes de désérialisation) sans validation ou assainissement appropriés. unserialiser recréera des objets PHP avec les mêmes définitions de classe trouvées dans l'environnement de l'application ; si l'une de ces classes définit des méthodes magiques telles que __réveillez-vous, __destruct ou __toString et opère sur les propriétés des objets de manière non sécurisée (par exemple, en effectuant des opérations sur le système de fichiers, des requêtes de base de données ou en incluant des fichiers), un attaquant peut créer des charges utiles sérialisées pour déclencher ces comportements. Lorsqu'une chaîne de gadgets “pop” (programmation orientée propriété) existe - une séquence de méthodes magiques dans des classes présentes sur le site - l'attaquant peut être en mesure d'effectuer des actions telles que l'exécution de code à distance, la modification de fichiers ou l'escalade de privilèges.

Dans les environnements WordPress, les classes de plugins ou de thèmes sont souvent la source de tels gadgets. Par conséquent, tout plugin qui désérialise des données utilisateur non fiables, ou qui instancie autrement des objets à partir de contenu contrôlé par l'utilisateur, représente un risque potentiel.

Comment cette vulnérabilité fonctionne (niveau élevé, non-exploitant)

Le problème signalé survient parce que le plugin JS Archive List accepte un inclus attribut sur l'un de ses shortcodes. Un utilisateur authentifié avec des privilèges de contributeur peut créer ou modifier des articles/pages et ajouter des shortcodes. La gestion de cet inclus attribut par le plugin - en particulier la façon dont il traite ou désérialise la valeur de l'attribut - est non sécurisée. Cela permet à un contributeur malveillant d'envoyer une valeur spécialement conçue qui conduit PHP à instancier des objets à partir de données fournies par l'utilisateur, entraînant effectivement une injection d'objet PHP.

Éléments clés qui rendent cette vulnérabilité exploitable :

  • Les contributeurs peuvent ajouter des shortcodes au contenu des articles. C'est une capacité normale pour les contributeurs de blog.
  • Le plugin utilise le inclus attribut d'une manière qui finit par désérialiser ou instancier autrement des objets à partir de l'entrée utilisateur sans validation suffisante.
  • Une chaîne de gadgets/POP appropriée existe dans les classes PHP du site (souvent dans des thèmes, des plugins ou du code de plateforme) qui peut être invoquée par l'objet désérialisé pour effectuer des actions malveillantes.

Parce que l'exploitation nécessite un accès authentifié de contributeur, ce n'est pas une exploitation à distance purement non authentifiée. Cependant, l'accès de niveau contributeur n'est pas rare sur les sites WordPress multi-auteurs ou communautaires, et il est souvent plus facile pour les attaquants de l'obtenir que des identifiants d'administrateur (par exemple, via des identifiants compromis, des mots de passe faibles ou l'ingénierie sociale).

Scénarios d'attaquants réalistes

  • Un contributeur malveillant ou compromis publie une page ou un article contenant le shortcode vulnérable avec un inclus attribut qui injecte un objet sérialisé. Lors de la publication, le site traite le shortcode et instancie l'objet, déclenchant une chaîne de gadgets qui écrit du code PHP sur le disque ou crée un utilisateur administrateur.
  • Un attaquant qui a acheté ou obtenu autrement des identifiants de niveau contributeur pour un site (par exemple, via un remplissage d'identifiants) déclenche la vulnérabilité pour obtenir des privilèges plus élevés.
  • Abus automatisé sur de nombreux sites : si un attaquant peut contrôler au moins des comptes de niveau contributeur sur plusieurs sites (par exemple, via une campagne de soumission de contenu faux), il peut tenter d'exploiter en masse.

Impact potentiel en cas d'exploitation

En fonction de la disponibilité des chaînes de gadgets et de la configuration du serveur, l'exploitation peut conduire à :

  • Exécution de code à distance (RCE)
  • La création ou la modification de comptes administrateurs
  • La compromission totale du site (portes dérobées, redirections malveillantes, injections de spam)
  • L'exfiltration de données (données sensibles du site, listes d'utilisateurs, adresses e-mail)
  • Manipulation du système de fichiers (écritures de fichiers malveillantes, suppression)
  • Mécanismes de persistance (tâches planifiées, travaux cron)
  • Mouvement latéral vers d'autres sites sur le même environnement d'hébergement

Même lorsque l'exécution de code à distance (RCE) n'est pas atteinte, l'attaquant peut souvent utiliser l'inclusion ou la manipulation de fichiers pour dégrader l'intégrité et la disponibilité.

Comment détecter l'exploitation et les signes suspects

Si vous gérez un site WordPress, vérifiez les indicateurs suivants :

  • Nouveaux articles ou pages contenant des shortcodes que vous ne vous attendez pas — en particulier des shortcodes avec un inclus attribut ou d'autres attributs inhabituels.
  • Modifications de contenu par des comptes contributeurs que vous ne faites pas confiance.
  • Erreurs PHP inattendues ou messages fatals dans les journaux d'erreurs autour du rendu de page ou du traitement de shortcode.
  • Nouveaux fichiers ou fichiers modifiés dans le répertoire wp-content, en particulier des fichiers PHP ajoutés aux téléchargements, thèmes ou plugins.
  • Nouveaux utilisateurs de niveau administrateur ou modifications des rôles ou capacités des utilisateurs existants.
  • Événements planifiés suspects (entrées wp_cron) que vous n'avez pas créés.
  • Activité réseau sortante anormale ou recherches DNS depuis le serveur.
  • Entrées de base de données avec des charges utiles sérialisées contenant des motifs comme O:\d+:"NomDeClasse": ou C:\d+:{…

Un certain nombre de ces signes peuvent être détectés par des scanners automatisés et des WAF ; si vous en voyez un de ces signes, passez aux étapes de réponse à l'incident ci-dessous.

Étapes immédiates que chaque propriétaire de site devrait prendre (triage des incidents)

  1. Mettre à jour immédiatement
    La solution la plus simple est de mettre à jour le plugin JS Archive List à la version 6.2.0 ou ultérieure. C'est le correctif publié pour remédier à ce problème spécifique.
  2. Si vous ne pouvez pas mettre à jour immédiatement, prenez ces atténuations temporaires :
    • Supprimez ou désactivez le plugin jusqu'à ce que vous puissiez le mettre à jour.
    • Désactivez le shortcode que le plugin enregistre (si vous contrôlez les fichiers du plugin, commentez ou désenregistrez temporairement le gestionnaire de shortcode).
    • Supprimez les comptes de niveau contributeur que vous ne faites pas confiance, ou changez temporairement les capacités de contributeur (voir la section suivante).
    • Utilisez votre pare-feu d'application Web (WAF) pour bloquer les demandes contenant des modèles d'objet sérialisés dans le inclus attribut — nous fournissons des conseils et des exemples de signatures ci-dessous.
  3. Analysez le site :
    • Effectuez une analyse complète du site pour détecter les logiciels malveillants et un contrôle d'intégrité (comparez les fichiers aux sauvegardes ou copies connues comme bonnes).
    • Recherchez des fichiers récemment modifiés et des fichiers PHP inattendus dans les répertoires de téléchargement.
    • Vérifiez les journaux d'erreurs pour une activité inhabituelle.
  4. Faire pivoter les références :
    • Forcez les réinitialisations de mot de passe pour les auteurs, contributeurs et administrateurs si vous soupçonnez une compromission.
    • Faites tourner les clés et secrets (clés API, mots de passe d'application) s'ils pourraient être affectés.
  5. Restaurez si nécessaire :
    • Si vous trouvez des preuves de compromission, isolez le site et envisagez de restaurer à partir d'une sauvegarde propre effectuée avant la compromission.
    • Après la restauration, appliquez le correctif du plugin et les étapes de durcissement (ci-dessous) avant de remettre le site en ligne.
  6. Moniteur:
    Gardez une surveillance étroite pour de nouveaux changements suspects et vérifiez les journaux pour d'autres tentatives d'exploitation.

Atténuation via WAF / patching virtuel (comment bloquer les tentatives jusqu'à ce que vous puissiez appliquer un correctif)

Si vous gérez un WAF ou utilisez WP­Firewall, vous pouvez mettre en œuvre des règles temporaires qui bloquent les tentatives d'exploitation tout en permettant le fonctionnement normal du site.

Important: N'incluez PAS de charges utiles d'exploitation dans les guides publics. Ce qui suit sont des idées de règles défensives sûres — des modèles pour détecter et bloquer des entrées suspectes — pas des exemples de charges utiles d'exploitation.

Modèles de détection suggérés pour bloquer ou enregistrer :

  • Bloquez les corps de demande ou les paramètres POST contenant des modèles d'objet PHP sérialisés :
    • Regex pour détecter les objets PHP sérialisés : O:\d+:"[^"]+":\d+:{
    • Regex pour détecter les chaînes PHP sérialisées couramment utilisées dans les charges utiles d'exploitation : (O:\d+:|C:\d+:{)
  • Bloquer les requêtes où le inclus le paramètre contient des motifs sérialisés ou des octets NUL.
  • Bloquer les requêtes POST ou AJAX qui créent ou modifient des publications à partir de comptes contributeurs contenant des données sérialisées suspectes.

Exemple de règle pseudo (pour une utilisation conceptuelle par votre administrateur WAF) :

  • Si la requête contient le paramètre inclus et sa valeur correspond à la regex O:\d+:"[^"]+":\d+:{, alors bloquer ou défier (CAPTCHA) la requête.
  • Si POST à wp-admin/post.php d'un utilisateur avec le rôle de Contributeur contient inclus= et correspond à la regex d'objet sérialisé, journaliser + bloquer.

Exemple de motif de style mod_security (pseudo) :

SecRule REQUEST_BODY "@rx (?:O:\d+:"[^\"]+":\d+:\{)" "id:1000013,phase:2,deny,status:403,log,msg:'Objet PHP sérialisé bloqué dans l'attribut inclus'"

Remarque : Un ajustement est nécessaire. Des faux positifs sont possibles, donc d'abord bloquer en mode détection/journalisation et surveiller avant de passer à la négation.

Les clients de WP-Firewall peuvent activer un patch virtuel préconstruit et sûr qui bloque toute requête utilisant le paramètre de shortcode vulnérable avec des charges utiles sérialisées et des motifs caractéristiques. Ce patch virtuel vous donnera du temps jusqu'à ce que tous les sites soient mis à jour.

Guide pour les développeurs : comment cela devrait être corrigé dans le code

Si vous êtes un développeur ou un mainteneur de plugin lisant ceci, voici les principes de codage sécurisé et un aperçu de la façon de corriger la faille sous-jacente :

  1. Ne jamais désérialiser des données contrôlées par l'utilisateur
    • Évitez d'appeler désérialiser() sur toute donnée provenant de sources non fiables (attributs de shortcode, contenu des publications, paramètres de requête, etc.).
    • Préférez des formats plus sûrs (JSON) et des structures validées (par exemple, utilisez json_decode() avec une validation stricte) si vous devez accepter des entrées structurées.
  2. Validez et mettez sur liste blanche
    • Si un attribut de shortcode est destiné à référencer une ressource (fichier, modèle, ID), limitez les valeurs autorisées à une liste blanche explicite (tableau de modèles ou d'ID autorisés).
    • Pour les chemins de fichiers, utilisez chemin réel() des vérifications et des répertoires de liste autorisée. Rejetez les valeurs qui contiennent .. ou commencent par / ou contiennent des octets NUL.
  3. Assainir
    • Utiliser les fonctions de désinfection de WordPress (assainir_champ_texte, absinthe, esc_attr) approprié au type attendu.
    • Assainir les attributs tôt et rejeter les entrées malformées.
  4. Appliquer les contrôles de capacité
    • Validez que toute opération avec des effets privilégiés nécessite la capacité appropriée (edit_posts, modifier_les_options_du_thème, gérer_options).
    • La logique de shortcode qui effectue des opérations sensibles ne doit pas s'exécuter simplement parce qu'un contributeur a utilisé le shortcode.
  5. Isoler les opérations risquées
    • Évitez d'inclure des fichiers PHP arbitraires ou d'exécuter du code basé sur l'entrée utilisateur.
    • Si l'inclusion de modèles est nécessaire, mappez les shortcodes à des fichiers de modèle internes en utilisant une carte contrôlée plutôt qu'une inclusion directe de l'entrée utilisateur.
  6. Fournir des valeurs par défaut défensives
    • Si un attribut est manquant ou invalide, utilisez une valeur par défaut sûre ; ne supposez jamais la présence d'un objet sérialisé bien formé.

Exemple de gestion défensive de shortcode (conceptuel uniquement) :

<?php

L'idée principale : mapper les valeurs d'attributs à des modèles connus, ne jamais accepter d'objets sérialisés provenant de l'entrée utilisateur, et ne jamais désérialiser sans validation rigoureuse.

Recommandations de durcissement pour les propriétaires de sites et les administrateurs

  1. Mettez tout à jour
    • Appliquez la mise à jour du plugin (6.2.0+) comme première priorité. Gardez le cœur de WordPress, les thèmes et les autres plugins à jour.
  2. Principe du moindre privilège
    • Examinez les rôles et les capacités des utilisateurs. Ne donnez des rôles de contributeur qu'aux personnes en qui vous avez confiance. Considérez si les auteurs invités ont vraiment besoin de comptes de contributeur — pour de nombreux sites, un flux de soumission modéré (via des formulaires) est plus sûr.
  3. Gestion des shortcodes
    • Limitez ou désactivez les shortcodes pour les rôles non fiables. Utilisez des plugins ou du code pour restreindre qui peut utiliser des shortcodes dans le contenu des publications.
  4. Pare-feu d'applications Web (WAF)
    • Déployez un WAF (soit côté serveur, soit en tant que pare-feu basé sur un plugin) et activez des règles qui détectent et bloquent les charges utiles basées sur la sérialisation et l'activité suspecte dans la zone d'administration.
  5. Surveillance et enregistrement
    • Activez une journalisation approfondie pour les actions administratives et les modifications de fichiers. Utilisez la surveillance de l'intégrité des fichiers pour détecter les ajouts ou modifications de fichiers inattendus.
  6. Sauvegarde et récupération
    • Maintenez des sauvegardes testées avec des copies hors site. Assurez-vous de pouvoir restaurer rapidement à un état antérieur à la compromission.
  7. Recherchez les compromis
    • Exécutez des analyses de logiciels malveillants sur le système de fichiers, la base de données et les thèmes/plugins. Recherchez du PHP obfusqué, eval() une utilisation dans les téléchargements, ou des fichiers PHP malveillants dans /wp-content/uploads.
  8. Désactiver l'exécution de PHP dans les téléchargements
    • Comme couche de défense supplémentaire, empêchez l'exécution de PHP dans le répertoire de téléchargements en ajoutant des règles appropriées .htaccess ou des règles de configuration du serveur — cela aide à limiter les dommages si des fichiers sont écrits dans les téléchargements.

Manuel de réponse (si vous soupçonnez que vous avez été touché)

  1. Mettez le site en mode maintenance/isolé (déconnectez-le si nécessaire).
  2. Collectez les journaux (serveur web, PHP, WAF, base de données) et prenez un instantané du système de fichiers.
  3. Identifiez le vecteur et l'étendue de l'intrusion : vérifiez les fichiers modifiés et les changements dans la base de données.
  4. Restaurez à partir d'une sauvegarde propre connue si possible, appliquez la mise à jour du plugin et tout autre correctif disponible.
  5. Faites tourner les identifiants et les clés : comptes WordPress, panneau d'hébergement, base de données, clés API.
  6. Réévaluez les permissions des fichiers et la configuration du serveur pour vous assurer qu'aucune porte dérobée ne reste.
  7. Après le nettoyage, activez une surveillance améliorée, des alertes et un patch virtuel WAF pour prévenir toute récurrence.

Si vous n'êtes pas sûr de pouvoir effectuer ces tâches vous-même, engagez un partenaire de réponse aux incidents compétent ayant de l'expérience avec WordPress.

Pourquoi les vulnérabilités de niveau contributeur sont importantes (et pourquoi de nombreux sites sont exposés)

De nombreux propriétaires de sites supposent que seules les vulnérabilités de niveau administrateur sont dangereuses. C'est une erreur. Les comptes contributeurs sont souvent autorisés à ajouter du contenu qui inclut des shortcodes, à intégrer du HTML ou à télécharger des fichiers, et ces capacités offrent une surface d'attaque suffisante pour des plugins malveillants qui gèrent mal les entrées.

Les blogs communautaires, les magazines multi-auteurs, les plateformes d'adhésion et les sites basés sur des soumissions sont particulièrement à risque car ils accordent régulièrement des privilèges de création de contenu à de nombreux utilisateurs. Si vous gérez l'un de ces sites, la vulnérabilité est particulièrement pertinente.

Exemple d'une règle WAF conservatrice que vous pouvez utiliser (conceptuel)

Ci-dessous se trouve un exemple sûr et défensif que votre administrateur de sécurité ou votre fournisseur WAF peut adapter et ajuster. Il détecte les objets PHP sérialisés et bloque la demande. Commencez en mode détection/enregistrement avant de passer au blocage.

Note: Ceci est conceptuel et doit être adapté à votre environnement (encodage des requêtes, exceptions autorisées, tests de performance).

# Détecter les objets PHP sérialisés dans n'importe quel paramètre de requête (insensible à la casse)"

Encore une fois : testez, surveillez et ajustez. Des faux positifs peuvent se produire pour un contenu sérialisé légitime rare.

Corrections à long terme pour les développeurs et leçons à l'échelle de la plateforme

  • Évitez d'accepter des structures PHP sérialisées de l'espace utilisateur. Si vous devez transmettre des données structurées, utilisez JSON et validez strictement le schéma.
  • Utilisez des modèles PHP modernes et évitez d'utiliser des classes lourdes en méthodes magiques pour des tâches critiques ; elles créent des chaînes de gadgets exploitables lorsque la désérialisation est possible.
  • Lorsque vous écrivez des API qui acceptent du contenu structuré, utilisez des données typées et une validation de schéma.
  • Encouragez les auteurs de plugins à adopter un design sécurisé par défaut : liste blanche des entrées, privilèges minimaux et assainissement robuste.

Liste de contrôle pratique pour les agences, les hébergeurs et les gestionnaires de sites

  • Inventoriez les sites qui utilisent le plugin JS Archive List et identifiez les versions.
  • Mettez à jour tous les sites vers la version patchée du plugin (6.2.0+) immédiatement.
  • Si la mise à jour n'est pas possible, désactivez le plugin ou supprimez les comptes de contributeurs non fiables.
  • Appliquez une règle WAF temporaire pour détecter et bloquer les modèles d'objets sérialisés dans les POST de la zone admin.
  • Exécutez des analyses complètes du système de fichiers et de la base de données pour les IOC décrits ci-dessus.
  • Vérifiez les permissions des fichiers et désactivez l'exécution PHP dans les téléchargements.
  • Assurez-vous que les sauvegardes sont à jour et testées.
  • Mettez en œuvre une surveillance continue et des alertes pour les activités suspectes dans la zone d'administration.

Derniers mots : n'attendez pas — considérez les vulnérabilités des contributeurs comme réelles.

Cette vulnérabilité montre comment une capacité apparemment modeste (attributs de shortcode) combinée à une gestion d'entrée non sécurisée peut rapidement se transformer en un compromis à l'échelle du site. Mettez à jour le plugin maintenant. Si vous gérez ou hébergez de nombreux sites, déployez le correctif sur votre flotte et activez les règles de protection automatisées dans votre WAF jusqu'à ce que vous ayez confirmé que toutes les instances sont corrigées.

La sécurité est superposée : les mises à jour, le moindre privilège, le WAF, la surveillance, les sauvegardes et la réponse aux incidents doivent tous fonctionner ensemble.

Protection instantanée et gratuite avec WP­Firewall — commencez ici.

Si vous souhaitez une protection immédiate pendant que vous mettez à jour les plugins et renforcez les sites, WP­Firewall propose un plan de base (gratuit) qui offre une protection essentielle, gérée et adaptée à WordPress :

  • Protection essentielle : pare-feu géré, bande passante illimitée, pare-feu d'application Web (WAF), analyseur de logiciels malveillants
  • Atténuation des 10 principaux risques OWASP
  • Le plan gratuit est idéal pour ajouter rapidement un correctif virtuel et bloquer les tentatives d'exploitation pendant que vous appliquez les mises à jour du fournisseur ou effectuez un examen complet de la sécurité.

Des options de mise à niveau sont disponibles si vous souhaitez un retrait automatique des logiciels malveillants, une liste noire/blanche d'IP, des rapports de sécurité mensuels, un correctif virtuel automatique des vulnérabilités et des services de support premium.

Inscrivez-vous au plan gratuit maintenant et protégez votre site pendant que vous mettez à jour : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Références utiles et lectures complémentaires.

  • CVE-2026-2020 (identifiant de l'avis public).
  • Conseils généraux sur les risques et défenses de désérialisation PHP.
  • Documentation des développeurs WordPress : enregistrement et assainissement des shortcodes, capacités des utilisateurs.
  • Réglage du WAF : commencez en mode détection, examinez les journaux, puis appliquez.

Si vous gérez des sites WordPress et avez besoin d'aide pour le triage, la recherche d'indicateurs de compromission, le correctif virtuel ou le renforcement des plugins, l'équipe d'ingénieurs en sécurité WordPress de WP­Firewall peut vous aider avec des remédiations étape par étape et des plans de protection à long terme. Protéger les sites contre l'exploitation ne consiste pas seulement à appliquer des correctifs — il s'agit d'arrêter les attaques avant qu'elles n'atteignent le code vulnérable, de réduire la surface d'attaque et d'avoir un processus de récupération rapide et fiable.

Restez en sécurité et mettez à jour le plugin maintenant.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™