XSS critique dans le plugin DeMomentSomTres Shortcodes//Publié le 2026-06-01//CVE-2026-8885

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

DeMomentSomTres Shortcodes Vulnerability

Nom du plugin DeMomentSomTres Shortcodes
Type de vulnérabilité Scripts intersites (XSS)
Numéro CVE CVE-2026-8885
Urgence Faible
Date de publication du CVE 2026-06-01
URL source CVE-2026-8885

Urgent : DeMomentSomTres Shortcodes (<= 1.1.1) — XSS stocké par un contributeur authentifié (CVE-2026-8885) — Ce que les propriétaires de sites WordPress doivent savoir

Date: 1 juin 2026
Auteur: Équipe de recherche et de réponse WP‑Firewall

Une vulnérabilité récemment publiée (CVE-2026-8885) affecte le plugin WordPress “DeMomentSomTres Shortcodes” dans les versions jusqu'à et y compris 1.1.1. Le problème est une vulnérabilité de Cross-Site Scripting (XSS) stockée qui peut être déclenchée par un utilisateur authentifié avec le rôle de Contributeur. Les auteurs de correctifs et les chercheurs lui ont attribué un score CVSS de 6.5 (moyen). Bien que la classification rapportée soit “priorité basse” selon certaines sources, le XSS stocké reste un risque puissant lorsqu'il peut être déclenché ou vu par des utilisateurs privilégiés ou de nombreux visiteurs du site.

Cet article est rédigé du point de vue de WP‑Firewall — un fournisseur de sécurité WordPress professionnel — et vise à aider les administrateurs de sites, les développeurs et les équipes de services gérés à comprendre le risque, à détecter si leur site a été impacté, et à appliquer des atténuations à court terme et des correctifs robustes à long terme. Nous évitons de fournir du code d'exploitation, mais nous donnerons des étapes défensives pratiques et des conseils de mise en œuvre.


Résumé exécutif (version courte)

  • Une vulnérabilité XSS stockée dans DeMomentSomTres Shortcodes <= 1.1.1 permet à un compte de niveau Contributeur d'injecter du JavaScript qui devient persistant sur le site et s'exécute lorsqu'il est visualisé.
  • CVE : CVE-2026-8885.
  • Prérequis d'exploitation : l'attaquant doit avoir un compte avec des privilèges de Contributeur et l'exploitation réussie nécessite une interaction de l'utilisateur (par exemple, un administrateur de site ou un utilisateur authentifié visualisant une page créée de manière malveillante, ou cliquant sur un lien conçu).
  • Actions immédiates des propriétaires de sites : désactiver temporairement le plugin si possible ; restreindre les privilèges de Contributeur ; scanner à la recherche de contenu malveillant ; appliquer un patch virtuel via des règles WAF ; surveiller les activités suspectes.
  • À long terme : mettre à jour le plugin lorsqu'une version corrigée est disponible, appliquer le principe du moindre privilège, renforcer la désinfection des entrées dans le code du plugin, et utiliser un WAF géré avec un patch virtuel jusqu'à ce qu'un correctif officiel soit publié.

Qu'est-ce que l'XSS stocké et pourquoi cela compte ici

Le Cross-Site Scripting (XSS) se produit lorsqu'une application inclut des données non fiables dans une page web sans validation ou échappement appropriés, permettant à un attaquant d'injecter des scripts dans des pages vues par d'autres utilisateurs. Le XSS stocké (persistant) est particulièrement dangereux car la charge utile malveillante est enregistrée sur le serveur (dans la base de données, les options, postmeta, etc.), et s'exécute chaque fois que la page compromise est chargée.

Dans ce cas, le plugin vulnérable expose un point d'entrée que les utilisateurs de niveau Contributeur peuvent contrôler. Les Contributeurs peuvent normalement créer et éditer des publications et soumettre du contenu, mais sont censés être limités par rapport aux Éditeurs et Administrateurs. Si le plugin ne parvient pas à désinfecter ou à échapper aux données stockées qui se retrouvent dans les pages rendues ou dans les écrans d'administration, le script malveillant peut s'exécuter dans le contexte des utilisateurs authentifiés (ou des visiteurs du site) — potentiellement en volant des cookies, en effectuant des actions en tant que victimes, ou en chargeant des actifs malveillants supplémentaires.

Même si un attaquant ne peut pas immédiatement prendre le contrôle administratif, le XSS stocké peut être utilisé dans des attaques ciblées (ingénierie sociale pour amener un utilisateur privilégié à cliquer), pour exécuter des défigurations persistantes, pour insérer du spam ou rediriger le trafic, ou pour récolter des identifiants et des jetons de session.


Analyse d'impact — qui et quoi est à risque

  • Les sites utilisant DeMomentSomTres Shortcodes dans les versions <= 1.1.1 sont potentiellement vulnérables.
  • Tout utilisateur avec des privilèges de Contributeur peut créer une charge utile stockée. Sur de nombreux sites, les Contributeurs sont des auteurs externes ou des membres de la communauté — un niveau souvent négligé lors de l'audit des accès.
  • La vulnérabilité est particulièrement dangereuse lorsque :
    • Un utilisateur privilégié (Éditeur/Administrateur) ou tout utilisateur avec des privilèges d'interface utilisateur élevés visualise du contenu créé par des Contributeurs.
    • Le site affiche du contenu soumis par des Contributeurs dans la zone d'administration ou dans les aperçus de publications où des scripts peuvent s'exécuter dans le contexte d'un utilisateur authentifié.
    • Le site a des implications cross-origin (par exemple, des cookies d'administration sans drapeaux appropriés), ou manque de politique de sécurité de contenu (CSP), de cookies HttpOnly, et d'autres protections du navigateur.
  • Le CVSS rapporté (6.5) reflète une gravité moyenne ; cependant, les sites avec de nombreux contributeurs, des flux de travail multi-auteurs ou qui permettent des aperçus publics sont à un risque opérationnel plus élevé.

Comment les attaquants pourraient (mal) utiliser la faille — niveau élevé (pas de détails sur l'exploitation)

Un attaquant crée un compte Contributeur ou compromet un compte existant. Il utilise ensuite la fonctionnalité du plugin (codes courts, paramètres ou entrées de contenu) pour stocker des charges utiles contenant du JavaScript ou des attributs d'événements qui sont ensuite rendus dans des pages ou des interfaces administratives. Lorsque qu'un Éditeur, un Administrateur ou tout utilisateur ayant des privilèges suffisants charge la page affectée, le script stocké s'exécute. Les actions possibles de l'attaquant incluent :

  • Détournement de sessions authentifiées (vol de cookies lorsque cela est possible),
  • Exécution d'actions en tant que victime (opérations de type CSRF utilisant la session de la victime),
  • Injection de contenu malveillant supplémentaire,
  • Redirection des visiteurs vers des pages de phishing ou chargement de scripts de cryptominage,
  • Installation de portes dérobées si des capacités d'écriture de fichiers existent ou si la victime déclenche une action qui expose des fonctions de téléchargement.

Étant donné que les contributeurs sont couramment utilisés pour l'auteur invité, ce vecteur relie le contenu externe à des contextes privilégiés.


Étapes immédiates pour les propriétaires de sites (confinement et triage)

Si vous utilisez WordPress et le plugin DeMomentSomTres Shortcodes, suivez immédiatement cette liste de contrôle priorisée :

  1. Identifiez si le plugin est installé et quelle version :
    • WP‑admin → Plugins → localisez “DeMomentSomTres Shortcodes”.
    • Si la version est <= 1.1.1, considérez le site comme potentiellement vulnérable.
  2. Si possible, désactivez temporairement le plugin :
    • Allez dans Plugins et désactivez. C'est l'étape de confinement la plus rapide pour empêcher de nouvelles charges utiles d'être rendues.
    • Si vous ne pouvez pas désactiver le plugin en raison des exigences du site, appliquez un patch virtuel via votre WAF (voir ci-dessous) ou restreignez les pages administratives du plugin à certaines adresses IP ou rôles via des règles .htaccess/IIS.
  3. Examinez et renforcez les rôles des utilisateurs :
    • Auditez immédiatement les utilisateurs avec des rôles de Contributeur ou supérieurs.
    • Supprimez ou suspendez tout compte de contributeur inconnu ou inutilisé.
    • Exiger des réinitialisations de mot de passe pour les comptes utilisateurs qui pourraient être à risque.
  4. Scanner le site à la recherche de charges utiles stockées :
    • Rechercher dans la base de données des modèles de contenu suspects, en particulier des balises script ou des gestionnaires d'événements dans les publications, postmeta, commentaires et options.
    • Exemples de recherches dans la base de données :
      • Rechercher dans wp_posts et wp_postmeta pour “<script” ou “onerror=” ou “javascript:” (à utiliser avec précaution).
      • Rechercher dans wp_options des scripts injectés suspects si le plugin y stocke des paramètres.
  5. Vérifier les journaux du serveur et les analyses du site pour un comportement anormal :
    • Rechercher des chargements de pages administratives inhabituels, des requêtes externes inattendues ou des horodatages de création de nouveaux utilisateurs administrateurs.
  6. Préservez les preuves :
    • Avant de nettoyer, exporter la base de données du site et un instantané des fichiers pour référence judiciaire, puis commencer la remédiation.
  7. Si vous trouvez du contenu malveillant :
    • Supprimer toutes les charges utiles découvertes ou remplacer les publications/pages affectées par des versions propres.
    • Réinitialiser les mots de passe des contributeurs et administrateurs impactés.
    • Faire tourner les clés API, les jetons et toutes les informations d'identification qui ont pu être exposées.
  8. Prévoir de mettre à jour le plugin :
    • Surveiller les notifications des fournisseurs et mettre à jour vers la première version corrigée du plugin.
    • Si un correctif du fournisseur n'est pas encore disponible, garder le plugin désactivé ou compter sur un patch virtuel.

Détection : quoi rechercher (indicateurs de compromission)

Rechercher les signes et indicateurs suivants (IOC). Ceux-ci ne garantissent pas un compromis, mais justifient une inspection plus approfondie :

  • Balises inattendues, JavaScript en ligne ou gestionnaires d'événements (onerror, onload, onclick) dans les publications, postmeta, descriptions de termes, widgets ou options de plugin.
  • Publications nouvelles ou modifiées rédigées par des comptes de contributeurs que vous ne reconnaissez pas.
  • Pages de l'interface administrateur qui se comportent de manière étrange ou affichent des pop-ups inattendus lors de la visualisation de contenu particulier.
  • Requêtes sortantes suspectes du site (vers des domaines peu communs) immédiatement après avoir consulté certaines pages.
  • Changements inattendus du contenu du site, publications illisibles ou références iframe externes injectées.
  • Comptes administrateurs créés à des heures inhabituelles, ou avec des adresses e-mail faibles.

Conseil pro : Utilisez votre WAF et les journaux du serveur pour rechercher des requêtes POST vers les points de terminaison administratifs des plugins contenant des charges utiles semblables à des scripts et croisez-les avec les comptes de contributeurs.


Recommandations de mitigation immédiates de WP‑Firewall (patching virtuel)

En attendant une mise à jour officielle du plugin, le patching virtuel avec un WAF géré (Web Application Firewall) vous offre une protection immédiate contre les tentatives d'exploitation. Voici des concepts de règles défensives que nous recommandons de mettre en œuvre avec votre pare-feu ou filtrage au niveau du serveur :

  1. Bloquez les requêtes POST/PUT vers les points de terminaison administratifs du plugin en provenance d'adresses IP de niveau contributeur si ce n'est pas nécessaire. Logique de règle d'exemple :
    Si le chemin de la requête contient /wp-admin/.*demomentsomtres.* ou des points de terminaison spécifiques au plugin, et que la charge utile contient des balises comme “<script” ou “onerror=” ou “javascript:”, alors bloquez.
  2. Signatures d'inspection de contenu :
    Bloquez ou assainissez les champs contenant des motifs HTML suspects dans les requêtes provenant de comptes de contributeurs ou d'utilisateurs anonymes :

    • Patterns to monitor: “<script”, “script”, “onerror=”, “onload=”, “javascript:”, “data:text/html”.
    • Bloquez également les utilisations suspectes de srcdoc, iframe, embed, object lorsqu'ils apparaissent dans les soumissions de contenu.
  3. Assainissement des réponses (contrôle de sortie) :
    Si votre WAF prend en charge la réécriture des réponses HTML, masquez ou supprimez le JavaScript en ligne des pages rendues générées par le plugin pendant que vous attendez un patch.
  4. Limitation de taux et détection d'anomalies :
    Limitez la fréquence de création de contenu par les comptes de contributeurs.
    Détectez une augmentation soudaine de nouveaux posts rédigés par des contributeurs avec des motifs de charge utile similaires.
  5. Protection de l'interface utilisateur admin :
    Restreignez l'accès aux pages de configuration du plugin aux plages d'adresses IP des administrateurs, ou imposez une authentification à deux facteurs pour les utilisateurs accédant aux pages du plugin.
  6. Filtres XSS génériques :
    Ajoutez une règle pour refuser les POST contenant des protocoles JavaScript ou des balises de script encodées à tout point de terminaison qui stocke du contenu (par exemple, wp-admin/post.php, admin-ajax.php, points de terminaison spécifiques au plugin).

Exemple (simplifié) de regex utilisé de manière défensive par les WAF (PAS un exploit) :

  • Détecter le jeton de script encodé ou décodé : (?i)(|<)\s*script\b|javascript:\s*|on\w+\s*=
  • Détecter les gestionnaires d'événements en ligne courants : (?i)on(error|load|click|mouseover)\s*=

Remarques :
– Les règles de regex et de WAF doivent être testées pour éviter de bloquer les entrées légitimes des éditeurs (par exemple, HTML légitime autorisé par wp_kses_post). Commencez en mode blocage/monitoring et ajustez pour votre site avant le déploiement complet.
– Un WAF géré avec patching virtuel est la solution recommandée à court terme pour les sites à haut risque.


Guide pour les développeurs — comment les auteurs de plugins devraient corriger et prévenir cette classe de bogue

Si vous maintenez le plugin ou êtes un développeur, suivez des pratiques de codage sécurisées :

  1. Principe du moindre privilège :
    Limitez les fonctionnalités qui acceptent du contenu HTML ou des shortcodes aux rôles de confiance. Les contributeurs ne devraient que rarement être autorisés à soumettre du HTML non filtré.
    Utilisez des vérifications de capacité : vérifier current_user_can(‘edit_posts’) n'est pas suffisant dans certains cas ; préférez des vérifications de capacité spécifiques et des autorisations contextuelles.
  2. Validez et assainissez à l'entrée, échappez à la sortie :
    Assainissez les entrées avant de les enregistrer :

    • 13. Pour le texte brut : utilisez assainir_champ_texte().
    • Pour les URL : utilisez esc_url_raw() / wp_http_valider_url().
    • Pour le balisage qui nécessite du HTML sûr : utilisez wp_kses() avec une liste blanche stricte de HTML/attributs autorisés.

    Échappez toujours les données lors de la sortie :

    • esc_html() pour les contextes HTML,
    • esc_attr() pour les attributs,
    • wp_kses_post() pour le contenu qui permet le HTML typique des publications.
  3. Gestion des shortcodes :
    Pour les attributs de shortcode : utilisez shortcode_atts() et assainissez les valeurs en utilisant des assainisseurs appropriés.
    Pour le contenu des codes courts : évitez d'écho directement le contenu fourni par l'utilisateur. Utilisez wp_kses_post() ou une règle personnalisée wp_kses() 17. Assurez-vous que tous les points de terminaison qui acceptent du contenu vérifient.
  4. Utilisez des nonces et des vérifications de capacité pour les actions administratives :
    Validez les nonces dans les formulaires administratifs (vérifier_admin_référent()).
    Confirmez que l'utilisateur a la capacité requise avant de traiter ou de stocker le contenu soumis (current_user_can()).
  5. Stockez les données aux bons endroits :
    Évitez de stocker du HTML brut dans les options ou les paramètres globaux, sauf si cela est strictement nécessaire et assaini.
  6. Exemple de codage défensif (évitez l'écho brut) :
&lt;?php
  1. Revue de code et tests :
    Incluez des tests unitaires et d'intégration qui affirment que les charges utiles malveillantes sont assainies et ne peuvent pas provoquer l'exécution de scripts.
    Utilisez un scan de sécurité automatisé sur CI pour détecter les régressions.

Meilleures pratiques de durcissement du site pour réduire les risques XSS et autres

  • Appliquez le principe du moindre privilège :
    • Accordez uniquement des rôles de contributeur (ou supérieurs) lorsque cela est nécessaire ; préférez examiner manuellement les soumissions des invités.
  • Désactivez “unfiltered_html” pour les rôles de moindre privilège.
  • Appliquez des politiques de mot de passe fortes et activez l'authentification à deux facteurs pour les comptes d'éditeur/administrateur.
  • Gardez le cœur de WordPress, les thèmes et tous les plugins à jour.
  • Désactiver l'édition de fichiers via le tableau de bord :
    définir('DISALLOW_FILE_EDIT', vrai);
  • Utilisez des indicateurs de cookie sécurisés : HttpOnly et Secure, et définissez les attributs de cookie SameSite.
  • Mettez en œuvre une politique de sécurité du contenu (CSP) lorsque cela est raisonnable ; même une politique de rapport uniquement peut réduire le risque.
  • Maintenez des sauvegardes récentes et testez les procédures de restauration.
  • Surveillez l'intégrité des fichiers importants (hachage) pour détecter les modifications non autorisées.
  • Limitez les installations de plugins et de thèmes à un petit ensemble d'extensions approuvées.

Manuel de réponse aux incidents — que faire si vous trouvez des charges utiles XSS persistantes.

  1. Contenir :
    Désactivez immédiatement le plugin vulnérable (ou appliquez des règles de blocage WAF).
    Désactivez les aperçus publics et restreignez l'accès administrateur par IP lorsque cela est possible.
  2. Préserver:
    Exportez une copie de votre base de données et des fichiers du site pour une analyse judiciaire.
    Instantanés des journaux : journaux du serveur web, de l'application et du WAF.
  3. Enquêter :
    Identifiez quand les charges utiles ont été ajoutées, par quels comptes et quelles pages sont affectées.
    Vérifiez les compromis supplémentaires (nouveaux utilisateurs administrateurs, plugins/thèmes modifiés, fichiers téléchargés).
  4. Éradiquer:
    Supprimez le code malveillant des publications/options/postmeta affectés.
    Réinstallez le cœur de WordPress et le plugin à partir d'un téléchargement frais une fois corrigé.
    Faites tourner les identifiants, clés et jetons ; réinitialisez les mots de passe des utilisateurs affectés.
  5. Récupérer:
    Restaurez à partir d'une sauvegarde propre si le site est fortement compromis et que la remédiation prend du temps.
    Surveillez de près la récurrence.
  6. Après l'incident :
    Effectuez une analyse des causes profondes et partagez les leçons apprises avec votre équipe.
    Ajustez les politiques (provisionnement des utilisateurs, flux de travail des contributeurs) pour réduire la récurrence.

Comment WP‑Firewall aide dans des situations comme CVE-2026-8885

D'après notre expérience de protection de centaines de sites WordPress, le moyen le plus rapide de réduire le risque dans le monde réel en attendant un correctif du fournisseur est de superposer des défenses :

  • WAF géré avec des correctifs virtuels bloque les tentatives d'exploitation à la périphérie, y compris les charges utiles POST malveillantes et les soumissions de contenu suspectes.
  • La désinfection des réponses HTML réduit les chances que les charges utiles stockées s'exécutent dans les navigateurs des victimes.
  • La détection du comportement des utilisateurs et des anomalies signale une activité de création de contenu inhabituelle par des comptes de contributeurs.
  • La numérisation automatique des logiciels malveillants met en lumière des fichiers suspects et des charges utiles stockées dans des publications, options et postmeta.
  • Des conseils intégrés en matière de réponse aux incidents et des rapports de sécurité vous aident à suivre les progrès de la remédiation.

Si vous utilisez WP‑Firewall, notre équipe peut vous aider à déployer des ensembles de règles adaptés à cette vulnérabilité spécifique du plugin, vérifier votre site pour des signes d'exploitation et aider à la containment pendant que vous mettez à jour.


Requêtes pratiques et scripts pour aider à enquêter sur votre site (pour les administrateurs expérimentés)

Exécutez ces requêtes de base de données depuis un shell admin sécurisé ou via un client DB sûr (ne pas exécuter de requêtes directement dans des outils accessibles au public). Remplacez le préfixe de table si différent.

Rechercher des publications pour des injections de script probables :

SELECT ID, post_title, post_author, post_date;

Rechercher dans postmeta et options :

SELECT meta_id, post_id, meta_key, meta_value;

Rechercher des attributs d'événements courants :

SELECT ID, post_title;

Utilisez ces requêtes comme outils de triage. Des faux positifs peuvent se produire (utilisations légitimes de scripts dans des zones administratives de confiance), donc validez les correspondances avant un retrait massif.


Modèle de communication pour les agences et partenaires d'hébergement

Si vous gérez des sites pour des clients, vous pouvez utiliser le modèle suivant pour notifier rapidement les clients :

Objet : Avis de sécurité — Plugin DeMomentSomTres Shortcodes (<=1.1.1) — Action requise

Corps (court) :
Nous vous contactons pour vous informer d'une vulnérabilité XSS stockée (CVE-2026-8885) affectant les versions DeMomentSomTres Shortcodes jusqu'à 1.1.1. Cela permet aux comptes de niveau Contributeur de stocker des scripts qui pourraient s'exécuter dans la zone admin ou sur le site. Nous examinons proactivement nos installations et allons :

  • Désactiver temporairement le plugin si nécessaire,
  • Scanner et supprimer le contenu suspect,
  • Appliquer un patch virtuel WAF pour bloquer les exploits,
  • Mettre à jour le plugin une fois qu'un patch du fournisseur est publié.

Aucune autre action n'est requise de votre part pour le moment ; nous vous informerons lorsque le patch sera appliqué. Si vous avez des contributeurs externes, veuillez examiner leurs comptes.


Nouveau : Sécurisez votre site avec le plan gratuit WP‑Firewall — commencez à protéger en quelques minutes

Protégez rapidement : Commencez avec WP‑Firewall Basic (Gratuit) aujourd'hui

Si vous souhaitez une protection immédiate et sans coût pendant que vous évaluez et remédiez à cette vulnérabilité, commencez avec notre plan WP‑Firewall Basic (Gratuit). Il est conçu pour les propriétaires de sites qui ont besoin d'une couche de défense rapide sans configuration lourde :

  • Protection essentielle : pare-feu géré, bande passante illimitée, WAF, scanner de malware et atténuation proactive contre les risques OWASP Top 10.
  • Possibilités de patching virtuel instantané pour se défendre contre les problèmes de plugin connus en attendant les mises à jour des fournisseurs.
  • Intégration facile — nous vous aiderons à appliquer des protections adaptées pour les points de soumission de contenu et les pages d'administration.

Inscrivez-vous ici au forfait gratuit : https://my.wp-firewall.com/buy/wp-firewall-free-plan/
Si vous préférez une automatisation supplémentaire (suppression automatique de logiciels malveillants, mise sur liste noire d'IP) ou des rapports mensuels de patching de vulnérabilités, nos niveaux payants ajoutent ces capacités à des tarifs abordables.


Recommandations finales — une liste de contrôle concise

  • Identifiez les installations de plugins et confirmez les versions. Si ≤ 1.1.1, agissez maintenant.
  • Désactivez temporairement le plugin lorsque cela est possible ou appliquez des patches virtuels WAF.
  • Auditez les comptes de contributeurs et restreignez ou suspendez ceux qui sont suspects.
  • Scannez les charges utiles XSS stockées dans les publications, postmeta et options.
  • Appliquez un durcissement fort du site : 2FA, mots de passe forts, privilège minimal et indicateurs de cookie sécurisés.
  • Pour les développeurs : assainissez les entrées, échappez les sorties, validez les nonces et écrivez des tests robustes pour prévenir les régressions.
  • Utilisez un WAF géré et un scan de logiciels malveillants jusqu'à ce que le plugin soit patché et que votre site soit propre.

Clôture (nous sommes là pour aider)

Les vulnérabilités XSS stockées qui permettent aux comptes de niveau contributeur d'injecter des scripts persistants rappellent que les rôles d'utilisateur et les flux de contenu sont des surfaces d'attaque. La bonne nouvelle est que des défenses pratiques (patching virtuel WAF, examens des rôles, assainissement du contenu et réponse rapide aux incidents) peuvent réduire considérablement le risque et gagner du temps jusqu'à ce qu'un patch officiel soit disponible.

Si vous souhaitez de l'aide pour analyser votre site, ajuster les règles pour bloquer les tentatives contre cette vulnérabilité spécifique, ou scanner les indicateurs de compromission, l'équipe WP‑Firewall est disponible pour aider. Pour de nombreux sites, commencer avec le plan de base (gratuit) offre une couverture protectrice immédiate et le chemin le plus simple vers une configuration sécurisée et une détection.

Soyez prudent,
Équipe de recherche et de réponse WP‑Firewall

Ressources et lectures complémentaires

(Fin du conseil)


wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant
!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.