Vulnérabilité d'injection SQL critique dans Taskbuilder//Publié le 2026-05-17//CVE-2026-6225

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Taskbuilder SQL Injection Vulnerability

Nom du plugin Constructeur de tâches
Type de vulnérabilité Injection SQL
Numéro CVE CVE-2026-6225
Urgence Haut
Date de publication du CVE 2026-05-17
URL source CVE-2026-6225

Critique : Injection SQL dans Taskbuilder (<= 5.0.6) — Ce que les propriétaires de sites WordPress doivent faire maintenant

TL;DR

  • Une injection SQL aveugle basée sur le temps a été signalée dans le plugin Taskbuilder pour WordPress affectant les versions <= 5.0.6 (CVE‑2026‑6225).
  • Privilège requis : utilisateur authentifié avec niveau Abonné — cela signifie qu'un compte à faible privilège peut être abusé.
  • Corrigé dans Taskbuilder 5.0.7 — mettez à jour immédiatement si vous utilisez ce plugin.
  • Si vous ne pouvez pas mettre à jour immédiatement, déployez des mesures d'atténuation : patching virtuel via un WAF, restreindre les capacités des abonnés, restreindre ou désactiver la fonctionnalité du plugin affecté, surveiller les latences de base de données inhabituelles et les requêtes POST.
  • Clients de WP-Firewall : activez le patching virtuel/règles WAF, effectuez une analyse de malware et suivez la liste de contrôle ci-dessous pour la containment et la récupération.

Pourquoi cela importe (court, en anglais simple)

Cette vulnérabilité est de haute gravité et pratique. Une injection SQL aveugle basée sur le temps réussie permet à un attaquant de faire dormir la base de données ou de retarder les réponses afin d'extraire des données bit par bit, même lorsque l'application ne révèle pas directement la sortie SQL. Comme elle est exploitable par quiconque peut s'inscrire ou a déjà un compte Abonné, elle élargit considérablement la surface d'attaque — de nombreux sites WordPress permettent l'inscription d'abonnés pour des commentaires, des adhésions ou un accès client. Cela rend possibles des campagnes d'exploitation automatisées en masse.

Si vous hébergez des sites WordPress, traiter cette alerte comme urgente est la bonne réponse : corrigez, surveillez et (si nécessaire) appliquez un patch virtuel via votre pare-feu d'application web jusqu'à ce que vous puissiez mettre à jour.

Les faits (ce que nous savons en ce moment)

  • Type de vulnérabilité : Injection SQL (aveugle basée sur le temps).
  • Logiciel affecté : plugin Taskbuilder pour WordPress, versions <= 5.0.6.
  • Corrigé dans : 5.0.7.
  • CVE : CVE‑2026‑6225.
  • Privilège requis : Abonné (utilisateur authentifié de bas niveau).
  • CVSS : ~8.5 (Élevé).
  • Découverte : signalée par un chercheur en sécurité externe (divulgation publique).
  • Exploitabilité : L'injection SQL aveugle basée sur le temps signifie que l'attaquant n'a pas besoin que l'application renvoie les résultats de la requête — il peut déduire des données en mesurant les temps de réponse.

Comment fonctionne l'injection SQL aveugle basée sur le temps (aperçu, sûr)

L'injection SQL aveugle basée sur le temps est une technique utilisée par un attaquant où l'application ne renvoie pas la sortie de la requête de base de données à l'attaquant, mais la base de données peut être instruite de retarder la réponse dans certaines conditions. L'attaquant émet à plusieurs reprises des requêtes élaborées contenant du SQL conditionnel provoquant la base de données à attendre (dormir) si un bit d'information deviné est vrai. En mesurant combien de temps le serveur met à répondre à travers de nombreuses requêtes, l'attaquant reconstruit des secrets (noms d'utilisateur, hachages de mots de passe, clés API, etc.).

Implications pratiques :

  • Comme il n'est pas nécessaire d'avoir des erreurs ou des sorties visibles, le scan traditionnel basé sur le contenu peut ne pas voir l'extraction.
  • L'attaque est lente mais fiable et facile à automatiser ; une fois qu'un seul compte (par exemple, un Abonné) peut atteindre le chemin de code vulnérable, l'attaquant peut étendre l'extraction sur de nombreux sites.
  • L'injection basée sur le temps produit généralement des pics de latence anormaux (des requêtes qui prennent plusieurs secondes de plus que la normale).

Nous ne publierons pas de preuve de concept d'exploitation ici. Au lieu de cela, suivez les conseils de remédiation et de détection pour réduire le risque.

Vecteurs d'exploitation probables dans WordPress

  • Points de terminaison AJAX de plugin ou points de terminaison REST personnalisés exposés par Taskbuilder qui acceptent des paramètres fournis par l'utilisateur (POST/GET).
  • Toute forme ou point de terminaison qui accepte des entrées d'utilisateurs à faibles privilèges (commentaires, tâches, champs personnalisés) et interagit avec la base de données sans une paramétrisation appropriée.
  • Bots automatisés qui enregistrent des abonnés et ensuite bombardent les points de terminaison du plugin pour des tentatives d'exploitation.

Comme le privilège requis est Abonné, tout site permettant l'enregistrement, ou tout site avec des comptes Abonnés existants (clients, utilisateurs), est potentiellement à risque.

Ce qu'un attaquant peut réaliser

Si un attaquant exploite avec succès cette injection SQL, les résultats possibles incluent :

  • L'extraction de données des tables de la base de données (emails des utilisateurs, hachages de mots de passe, clés API stockées dans les options ou tables de plugin).
  • L'escalade d'accès en acquérant les identifiants d'un utilisateur admin ou en réinitialisant les données utilisées pour l'authentification.
  • Ajouter des portes dérobées (si combinées avec d'autres vulnérabilités ou si les écritures sont autorisées) ou ajouter de nouveaux utilisateurs admin en manipulant les lignes de la base de données.
  • Exfiltrer du contenu privé ou des données clients, entraînant des violations de conformité et de confidentialité.
  • Passer à un compromis au niveau du serveur si les identifiants ou secrets côté serveur sont exposés.

Comme l'extraction basée sur le temps est discrète, les attaquants peuvent maintenir une persistance avant que des signes évidents n'apparaissent.

Actions immédiates (pour les propriétaires de site et les administrateurs)

  1. Mettez à jour le plugin vers 5.0.7 (ou version ultérieure) immédiatement —
    • Si vous gérez plusieurs installations, automatisez le processus de mise à jour mais testez d'abord sur un environnement de staging.
  2. Si vous ne pouvez pas mettre à jour immédiatement, appliquez des atténuations :
    • Activez votre pare-feu d'application web (WAF) et appliquez une règle pour bloquer les demandes aux points de terminaison Taskbuilder qui acceptent les entrées utilisateur (voir les conseils WAF ci-dessous).
    • Désactivez temporairement la fonctionnalité Taskbuilder qui permet aux abonnés d'envoyer des données, ou désactivez le plugin jusqu'à ce que vous puissiez mettre à jour.
  3. Restreignez temporairement les nouvelles inscriptions si votre site permet l'inscription publique (ou appliquez des CAPTCHA / vérification par e-mail) pour réduire les abus de création de comptes.
  4. Examinez les journaux pour détecter une activité suspecte (voir la section détection).
  5. Sauvegardez immédiatement le site et la base de données au cas où vous auriez besoin de restaurer.
  6. Changez les mots de passe administratifs et faites tourner les secrets d'application si vous soupçonnez une compromission.
  7. Effectuez une analyse complète des logiciels malveillants sur les fichiers et la base de données ; supprimez tout utilisateur administrateur inconnu et vérifiez la présence de code injecté.

Détection — quoi surveiller dans les journaux et la surveillance

Étant donné qu'il s'agit d'une attaque basée sur le temps, la détection se concentre sur les anomalies de timing et les modèles de demande inhabituels.

Recherchez dans les journaux de votre serveur web et de votre application :

  • Des demandes vers des points de terminaison spécifiques au plugin (POST ou GET) qui incluent des entrées inhabituelles contenant des mots-clés SQL (SELECT, UNION, SLEEP, BENCHMARK) ou des caractères de contrôle SQL (‘ — ; #).
  • Des pics soudains de demandes provenant de la même adresse IP ou plage d'adresses IP, ou un grand nombre de demandes similaires ciblant le même point de terminaison.
  • Des demandes provenant de comptes authentifiés avec le rôle d'abonné effectuant des actions qu'ils ne feraient normalement pas (par exemple, soumettre plusieurs fois des formulaires de création de tâches avec des charges utiles étranges).
  • Des temps de réponse anormaux — des demandes qui prennent systématiquement plusieurs secondes de plus que la normale. Pour les SQLi basés sur le temps, vous pouvez voir des retards répétés de 5 à 20 secondes alors que les demandes normales sont inférieures à une seconde.
  • Des erreurs répétées de la série 500 autour des points de terminaison du plugin. Bien que le SQLi aveugle ne renvoie souvent pas d'erreurs, une entrée malformée peut toujours déclencher des erreurs de base de données ou PHP.

Requêtes de journal pratiques (exemples que vous pouvez adapter) :

  • Recherchez des demandes POST/GET vers des points de terminaison de plugin et filtrez les mots-clés liés à SQL dans les valeurs des paramètres.
  • Filtrez par temps de réponse : montrez les demandes > 3s vers les points de terminaison pertinents.
  • Agrégez par IP pour trouver une activité inhabituelle concentrée à partir de sources spécifiques.

Remarque : Ne pas utiliser les journaux de production pour effectuer des tests bruyants qui imitent l'exploitation (cela pourrait déclencher des limitations ou des alertes). Concentrez-vous sur l'analyse passive.

Conseils WAF et de patching virtuel (comment bloquer rapidement cette attaque)

Si vous exploitez un WAF (comme la solution WP-Firewall), le patching virtuel est le moyen le plus rapide d'arrêter l'exploitation active pendant que vous planifiez une mise à jour.

Contrôles WAF recommandés :

  • Bloquez ou challengez les requêtes vers les points de terminaison exacts des plugins qui traitent les entrées des abonnés si ces points de terminaison sont connus pour être vulnérables. Une approche conservatrice consiste à exiger une vérification plus forte (nonce, jeton Ajax authentifié) ou un défi supplémentaire (CAPTCHA) pour ces actions.
  • Créez des règles pour détecter les motifs d'injection SQL dans les paramètres d'entrée : plusieurs mots-clés SQL (SELECT, UNION), commentaires SQL (–, #), motifs de concaténation et utilisation de fonctions de temporisation de base de données (SLEEP, BENCHMARK). Action déclenchée : bloquer ou servir un 403.
  • Limitez le taux ou régulez les requêtes par IP et par utilisateur authentifié pour éviter un grand nombre de requêtes de sondage basées sur le temps. L'extraction basée sur le temps nécessite de nombreuses requêtes — la limitation de taux ralentira ou arrêtera considérablement un attaquant.
  • Bloquez les requêtes avec des chaînes de requête ou des corps POST anormalement longs contenant de nombreuses ponctuations ou des séquences non sécurisées pour les URL qui apparaissent couramment dans les charges utiles d'injection.
  • Appliquez les règles WAF pour les requêtes authentifiées — de nombreux WAF n'examinent par défaut que le trafic non authentifié ; assurez-vous que le trafic des utilisateurs authentifiés est inspecté.

Exemple de logique de règle (niveau élevé) — évitez de publier des motifs d'exploitation bruts dans des canaux publics :

  • Si l'URL de la requête correspond au point de terminaison de tâche/action du plugin ET
    • le corps de la requête ou les paramètres contiennent des mots-clés de temporisation SQL OU
    • la requête provoque un temps de réponse > X avec des occurrences répétées de la même source
  • ALORS bloquez ou présentez un défi.

WP-Firewall peut mettre en œuvre ces protections de manière centrale afin que vous n'ayez pas besoin de toucher au code de chaque site.

Liste de contrôle de remédiation sécurisée (étape par étape)

  1. Mettez immédiatement à jour Taskbuilder vers 5.0.7 ou une version ultérieure.
  2. Si la mise à jour ne peut pas être appliquée maintenant :
    • Désactivez le plugin ou désactivez les fonctionnalités spécifiques qui acceptent les entrées des utilisateurs.
    • Fermez l'enregistrement des utilisateurs ou ajoutez une vérification plus forte pour les nouveaux comptes temporairement.
    • Appliquez les règles WAF qui bloquent les points de terminaison pertinents et les motifs SQLi.
  3. Sauvegardez le site et la base de données (datée). Gardez la sauvegarde hors ligne.
  4. Inspectez les comptes utilisateurs :
    • Supprimez les utilisateurs administrateurs inconnus.
    • Confirmez qu'il n'y a aucun changement dans le rôle ou les capacités de l'administrateur.
  5. Scannez le système de fichiers à la recherche de fichiers PHP injectés ou obfusqués ; exécutez une analyse de malware.
  6. Inspectez la base de données pour des entrées suspectes dans les tables options, utilisateurs ou plugins.
  7. Faites tourner toutes les clés API ou les identifiants, surtout s'ils sont stockés dans les tables de plugins ou options.
  8. Après avoir appliqué le correctif, surveillez les journaux pour des tentatives répétées (les attaquants essaient souvent à nouveau).
  9. Envisagez de forcer une réinitialisation de mot de passe pour les utilisateurs privilégiés si vous détectez des signes d'extraction.
  10. Documentez la chronologie de l'incident et les actions entreprises.

Récupération et durcissement post-incident

  • Appliquez le principe du moindre privilège : minimisez ce que les comptes Abonnés peuvent faire. Si les abonnements nécessitent uniquement un accès au contenu de base, évitez de leur accorder la capacité d'écrire des charges utiles complexes ou de télécharger des fichiers.
  • Appliquez une authentification forte pour l'accès administrateur : 2FA pour les administrateurs et les éditeurs.
  • Maintenez un processus de mise à jour en plusieurs étapes : testez les mises à jour de plugins en staging et appliquez des correctifs automatisés lorsque cela est judicieux.
  • Maintenez une couverture WAF continue et exécutez des analyses de sécurité programmées.
  • Établissez des seuils de journalisation et d'alerte : des réponses retardées aux points de terminaison critiques et des motifs de mots-clés SQL répétés devraient déclencher des alertes immédiates.
  • Maintenez un manuel de réponse aux incidents qui inclut ces étapes afin que vous puissiez agir rapidement la prochaine fois.

Pour les développeurs : rappels de codage sécurisé

Si vous êtes un développeur de plugin ou de thème, tirez des leçons de cet incident :

  • Utilisez des instructions préparées et des requêtes paramétrées pour chaque interaction avec la base de données (n'interpolez jamais les entrées utilisateur dans des chaînes SQL).
  • Validez et assainissez les entrées selon le type d'entrée attendu (par exemple, entier, email, slug) avant utilisation.
  • Ne faites jamais confiance aux données fournies par l'utilisateur — même les entrées des Abonnés doivent être validées.
  • Évitez le SQL dynamique autant que possible ; si vous devez l'utiliser, mettez en œuvre une liste blanche stricte des opérations autorisées et échappez les entrées.
  • Implémentez des nonces et des vérifications de permission pour les points de terminaison AJAX et REST. Confirmez que les points de terminaison nécessitant des écritures dans la base de données sont protégés par des vérifications de capacité, et que les vérifications de permission correspondent au rôle minimum requis.
  • Implémentez une limitation de taux sur les points de terminaison qui peuvent être ciblés par des sondages automatisés.

Exemples de signatures de détection (sûr, niveau élevé)

Voici des idées de règles sûres et de haut niveau que vous pouvez appliquer dans votre WAF ou votre surveillance — celles-ci évitent les chaînes d'exploitation explicites mais attraperont les sondages SQLi basés sur le temps courants :

  • Détecter les requêtes vers des points de terminaison de plugin où le corps contient à la fois des mots-clés SQL et des parenthèses plus d'une fois (par exemple, occurrences de SELECT + noms de fonctions similaires à SLEEP) — marquer comme suspect.
  • Détecter les requêtes POST d'utilisateurs authentifiés qui incluent des motifs de ponctuation similaires à des commentaires ou des déclarations (guillemets, points-virgules) et provoquent des temps de réponse > 3s lors de tentatives répétées.
  • Suivre le même utilisateur authentifié ou l'IP émettant > N requêtes vers le même point de terminaison dans un délai de M minutes et augmenter la gravité si beaucoup de ces requêtes ont de longs temps de réponse.
  • Surveiller les séquences de requêtes presque identiques ne différant que par un seul caractère ou bit : cela suggère une extraction par bit/temps.

Ces heuristiques produisent des faux positifs si elles ne sont pas ajustées ; combinez-les avec des listes blanches (IP d'administrateurs connus) et appliquez des limites de taux pour les sources bruyantes.

Pourquoi vous ne devriez pas ignorer les vulnérabilités au niveau des abonnés

Les propriétaires de sites supposent régulièrement que les comptes de bas niveau sont bénins, mais cette hypothèse est risquée :

  • De nombreuses installations WordPress accessibles au public permettent l'enregistrement de comptes pour des commentaires, des portails clients ou des fonctionnalités d'adhésion. Les attaquants peuvent s'inscrire à grande échelle.
  • Même un seul compte utilisateur compromis peut être utilisé comme point d'appui : en exploitant un bogue d'application (comme SQLi), l'attaquant peut escalader pour lire ou modifier des données qui devraient être privées.
  • Les scanners d'exploitation automatisés sondent constamment les sites pour des vulnérabilités connues ; une fois qu'une preuve de concept publique existe, l'exploitation augmente souvent de manière spectaculaire en quelques jours.

La combinaison d'un faible privilège requis et d'un SQLi aveugle basé sur le temps rend ce problème particulièrement urgent.

Une correction au niveau de la base de données peut-elle aider ? (court)

Si votre application utilise des utilisateurs de base de données avec des privilèges limités, vous pouvez réduire le rayon d'explosion :

  • Créez un utilisateur de base de données séparé pour WordPress avec des droits restreints lorsque cela est possible (WordPress lui-même a besoin de CREATE/ALTER typiques dans certains flux de travail, donc la séparation des privilèges n'est pas triviale).
  • Appliquez le principe du moindre privilège sur les comptes de base de données utilisés par les plugins. Cela dit, la principale remédiation consiste à corriger le code du plugin et à appliquer des correctifs — le renforcement des privilèges est complémentaire mais ne remplace pas la mise à jour du code vulnérable.

Exemple de scénario d'incident (ce qui s'est passé dans d'autres cas)

Un attaquant enregistre plusieurs comptes d'abonnés sur plusieurs sites et déclenche le point de terminaison du plugin avec des entrées élaborées. Ils mesurent les temps de réponse pour inférer des bits d'un e-mail d'administrateur haché ou d'une valeur d'option. Sur une période de plusieurs heures, ils reconstruisent un jeton API à partir de la table des options, puis l'utilisent pour appeler un point de terminaison REST exposé pour créer un nouveau compte administrateur. Au moment où le propriétaire du site s'en rend compte, plusieurs portes dérobées peuvent avoir été créées.

C'est pourquoi des défenses en couches (correctifs + WAF + surveillance) sont essentielles.

Foire aux questions

Q : Je gère un site privé sans inscription publique — suis-je en sécurité ?
A : Risque réduit, mais pas immunisé. Si des attaquants peuvent obtenir un compte Abonné (par exemple, via l'ingénierie sociale ou la réutilisation de mots de passe), le vecteur peut être utilisé. Gardez les plugins à jour et surveillez les journaux.

Q : Mon site n'utilise pas Taskbuilder — dois-je m'inquiéter ?
A : Aucune action requise pour ce plugin spécifique. Cependant, les principes généraux s'appliquent : gardez tous les plugins à jour, bloquez les comportements suspects et exécutez un scanner de sécurité.

Q : J'ai mis à jour le plugin — ai-je toujours besoin d'un WAF ?
A : Oui. Les WAF fournissent une protection contre les vulnérabilités zero-day et peuvent défendre contre l'exploitation pendant la période entre la découverte de la vulnérabilité et le déploiement du correctif. Ils réduisent également le risque d'autres classes d'attaques (XSS, mauvais bots, force brute).

Comment WP-Firewall aide avec des incidents comme celui-ci

En tant que pare-feu WordPress et service de sécurité, WP-Firewall est conçu pour combler l'écart de mitigation entre la découverte et le patching :

  • Règles WAF gérées : WP-Firewall peut déployer des correctifs virtuels ciblés qui couvrent les points de terminaison de plugin connus comme vulnérables et les modèles SQLi courants pour arrêter rapidement les tentatives d'exploitation.
  • Analyse de logiciels malveillants : Détecte les fichiers modifiés ou malveillants qui peuvent être le résultat d'une exploitation.
  • Protection sans limite de bande passante : Maintient le site disponible même sous des sondages automatisés agressifs.
  • Mitigation OWASP Top 10 : Protège contre les injections, l'authentification cassée et d'autres classes d'attaques courantes.
  • Auto-mitigation pour les abonnés : Nous pouvons identifier et limiter l'activité suspecte provenant de comptes authentifiés à faible privilège.
  • Pour les niveaux payants : le patching virtuel automatisé et les rapports de sécurité mensuels aident à réduire la charge administrative et à augmenter la visibilité.

Si vous préférez gérer les choses en interne, utilisez nos modèles de règles WAF documentés et les conseils de surveillance ci-dessus.

Plan d'action étape par étape (que faire dans les 60 prochaines minutes)

  1. Vérifiez si Taskbuilder est installé et sa version (si installé, mettez à jour vers 5.0.7+).
  2. Si vous ne pouvez pas effectuer la mise à jour immédiatement :
    • Désactivez Taskbuilder OU désactivez la fonctionnalité vulnérable.
    • Activez la protection WAF et appliquez des règles strictes pour les points de terminaison du plugin.
  3. Exécutez une analyse de logiciels malveillants et sauvegardez le site + DB.
  4. Vérifiez les journaux pour des demandes suspectes plus lentes que la normale et des modèles de demandes répétées vers les points de terminaison du plugin.
  5. Restreindre temporairement les nouvelles inscriptions ou appliquer des vérifications plus strictes.
  6. Informez votre équipe de sécurité ou votre fournisseur d'hébergement et documentez les étapes prises.

Renforcez votre site maintenant — essayez la protection de base gratuite de WP-Firewall.

Si vous souhaitez une protection immédiate et continue pendant que vous corrigez et sécurisez votre site, le plan de base (gratuit) de WP-Firewall vous offre une couverture essentielle de pare-feu géré, un WAF, une analyse de logiciels malveillants et une atténuation des risques OWASP Top 10 — sans frais mensuels. Inscrivez-vous au plan gratuit et obtenez instantanément une couche de défense supplémentaire : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Résumé du plan gratuit : Protection essentielle avec pare-feu géré, bande passante illimitée, WAF, scanner de logiciels malveillants et atténuation des risques OWASP Top 10. Les options de mise à niveau ajoutent la suppression automatique des logiciels malveillants, le blocage/l'autorisation d'IP, le patching virtuel automatique des vulnérabilités et des services premium.)

Derniers mots — priorisez le patching et les défenses en couches.

Cette injection SQL de Taskbuilder est un exemple classique de l'importance de la sécurité en couches : même un utilisateur à faible privilège peut être dangereux lorsque l'application ne gère pas correctement les entrées. La solution permanente la plus rapide est de mettre à jour vers la version corrigée, mais les défenses intermédiaires que vous mettez en place — une politique WAF stricte, une limitation de taux et une surveillance active — arrêteront souvent l'exploitation massive dans son élan.

Si vous avez besoin d'aide pour trier un site affecté, l'équipe de WP-Firewall peut vous aider avec le patching virtuel, l'analyse et des conseils de nettoyage. Protéger les données de vos utilisateurs et la réputation de votre site commence par rester informé et agir rapidement.

Si vous souhaitez une liste de contrôle de remédiation étape par étape adaptée à votre site spécifique (y compris les points de terminaison à surveiller et les règles WAF personnalisées que nous recommandons en fonction de votre configuration), répondez avec :

  • version de WordPress,
  • La version de Taskbuilder (si installée), et
  • Si l'inscription des utilisateurs est publique sur votre site.

Nous fournirons un plan d'action concis que vous pourrez passer en revue avec votre équipe ou remettre à votre hébergeur.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™