XSS critique dans le plugin WordPress Unlimited Elements//Publié le 2026-03-11//CVE-2026-2724

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Unlimited Elements For Elementor Vulnerability

Nom du plugin Éléments Illimités Pour Elementor
Type de vulnérabilité Scripts intersites (XSS)
Numéro CVE CVE-2026-2724
Urgence Moyen
Date de publication du CVE 2026-03-11
URL source CVE-2026-2724

XSS stocké non authentifié dans “Unlimited Elements for Elementor” (≤ 2.0.5) — Ce que les propriétaires de sites WordPress doivent faire dès maintenant

Résumé

  • Le 11 mars 2026, une vulnérabilité de Cross-Site Scripting (XSS) stockée affectant le plugin Unlimited Elements for Elementor (versions ≤ 2.0.5) a été divulguée et a reçu l'identifiant CVE-2026-2724. Le problème est un XSS stocké via des champs de saisie de formulaire et a un score CVSS de 7.1 (moyen).
  • Un exploit réussi peut entraîner le stockage de JavaScript malveillant sur un site et son exécution dans les navigateurs des utilisateurs ou des administrateurs qui consultent le contenu affecté. Selon l'endroit où la charge utile est rendue, cela peut conduire à des prises de contrôle de compte, à des défigurations de site, au vol de session et à d'autres installations de portes dérobées.
  • Le développeur du plugin a publié un correctif de sécurité dans la version 2.0.6. Les propriétaires de sites doivent appliquer la mise à jour immédiatement. Si la mise à jour n'est pas possible tout de suite, appliquez un patch virtuel via un pare-feu d'application web (WAF) et effectuez un nettoyage et une surveillance agressifs.

En tant qu'équipe de sécurité WP-Firewall, nous avons analysé l'avis public et élaboré un guide pratique étape par étape pour aider les administrateurs WordPress, les agences et les hébergeurs à comprendre le risque, détecter l'infection et récupérer en toute sécurité.

1. Que s'est-il passé — aperçu technique

La vulnérabilité est un Cross-Site Scripting (XSS) stocké déclenché via les champs de saisie de formulaire du plugin. Voici comment cela se décompose :

  • Taper: XSS stocké (persistant)
  • Composant affecté : Logique de soumission/traitement des entrées de formulaire dans le plugin Unlimited Elements for Elementor ≤ 2.0.5
  • Cause première: Encodage/échappement de sortie insuffisant lorsque les valeurs stockées sont ensuite rendues dans le contexte d'administration ou de front-end du site. L'entrée est stockée sans assainir ou échapper correctement les caractères dangereux d'une manière sûre pour les contextes HTML/JS.
  • Résultat : Un attaquant peut soumettre une charge utile malveillante dans un champ de formulaire qui est persisté dans la base de données. Lorsque les données stockées sont consultées par un utilisateur (visiteur du site ou administrateur), la charge utile s'exécute dans le navigateur de cette victime.
  • CVE : CVE-2026-2724 (identifiant public)
  • Corrigé dans : 2.0.6

L'XSS stocké diffère de l'XSS réfléchi en ce sens que la charge utile est enregistrée sur le serveur. Cela signifie que l'attaquant n'a pas besoin de tromper un utilisateur spécifique pour cliquer sur une URL unique pour chaque attaque ; une fois stockée, la charge utile peut cibler plusieurs spectateurs au fil du temps.

2. Qui est à risque et scénarios d'attaque

  • Formulaires accessibles au public : Si le plugin expose des entrées de formulaire stockées sur le site accessible au public (par exemple, affichage des soumissions, modèles rendant les entrées), tout visiteur pourrait être ciblé.
  • Interfaces administratives : Si le plugin stocke du contenu non échappé qui est ensuite rendu dans les pages d'administration de WordPress (écrans de modification de publication, visionneurs d'entrées de plugin), les administrateurs ou éditeurs du site visualisant le contenu pourraient exécuter la charge utile. C'est particulièrement dangereux car les privilèges administratifs permettent à un attaquant d'installer des plugins, de créer des utilisateurs, de modifier des paramètres et de télécharger des portes dérobées.
  • Vecteur non authentifié : La vulnérabilité permet la soumission non authentifiée de charges utiles dans de nombreux cas. Cependant, le contexte dans lequel la charge utile est exécutée, qu'il soit administrateur ou public, détermine l'impact final. Les attaquants combinent souvent la soumission non authentifiée avec l'ingénierie sociale (par exemple, phishing d'un administrateur pour voir une page de soumissions).

Flux d'attaque typique :

  1. L'attaquant soumet une charge utile malveillante à un champ de formulaire géré par un plugin.
  2. La charge utile est stockée dans la base de données WordPress.
  3. Une victime (administrateur ou visiteur) consulte plus tard la page ou l'écran d'administration où le contenu stocké est rendu.
  4. La charge utile s'exécute et effectue des actions malveillantes telles que :
    • Voler des cookies de session ou des jetons d'authentification
    • Effectuer des actions en utilisant les privilèges de la victime via des requêtes XHR authentifiées.
    • Charger d'autres scripts depuis un hôte distant pour escalader le compromis.
    • Rendre une interface de phishing pour récolter des identifiants.

3. Actions immédiates (premières 48 heures)

  1. Mettez à jour le plugin vers la version corrigée (2.0.6) immédiatement.
    C'est l'étape la plus importante. Appliquez les mises à jour en production après un bref contrôle sur une copie de staging, mais si vous devez prioriser, mettez à jour la production — le risque est actif.
  2. Si vous ne pouvez pas mettre à jour immédiatement, désactivez temporairement le plugin
    Désactivez le plugin ou mettez le site en mode maintenance jusqu'à ce que vous puissiez appliquer la mise à jour corrigée.
  3. Déployez des correctifs virtuels / règles WAF
    Bloquez les requêtes POST vers les points de terminaison du plugin qui acceptent les entrées de formulaire ou appliquez des règles pour assainir les entrées à la périphérie.
    Utilisez un blocage basé sur des motifs pour les charges utiles XSS courantes (voir les exemples de règles WAF ci-dessous).
  4. Changez les mots de passe et faites tourner les secrets
    À court terme, réinitialisez les mots de passe administrateurs et faites tourner les clés API pour quiconque a pu voir des entrées suspectes, surtout si vous soupçonnez qu'un administrateur a vu les charges utiles stockées.
  5. Créez une sauvegarde complète (fichiers + base de données).
    Avant toute remédiation et nettoyage, prenez un instantané de l'état actuel. Cela préserve les preuves judiciaires.

4. Comment détecter si vous avez été ciblé ou compromis.

Commencez par des recherches ciblées pour des preuves de JavaScript malveillant stocké dans la base de données de votre site et le système de fichiers.

A. Recherchez dans la base de données des charges utiles probables.

Interrogez les publications, postmeta, commentaires et tables de plugins personnalisés pour des balises script ou des charges utiles javascript :

Exemples de requêtes SQL (à utiliser avec prudence ; exécutez d'abord des SELECT en lecture seule) :

Recherchez dans wp_posts et postmeta :

SELECT ID, post_title, post_type FROM wp_posts WHERE post_content LIKE '%<script%';

Recherchez dans les commentaires :

SELECT comment_ID, comment_post_ID, comment_author, comment_content FROM wp_comments WHERE comment_content LIKE '%<script%' ;

Rechercher dans postmeta :

SELECT post_id, meta_key, meta_value;

Si le plugin utilise des tables personnalisées pour stocker les entrées de formulaire, recherchez également ces tables :

SELECT * FROM wp_yourplugin_submissions WHERE field_value LIKE '%<script%' ;

B. Utilisez WP-CLI pour une recherche rapide de texte

Requête wp db "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%' ;"

C. Analysez le système de fichiers à la recherche de fichiers PHP suspects et de modifications récentes

  • Recherchez de nouveaux fichiers dans wp-content/uploads, wp-content/plugins ou wp-content/mu-plugins.
  • Vérifiez les fichiers avec des noms suspects, des charges utiles encodées en base64 ou des fichiers modifiés autour de la date de divulgation.

D. Recherchez des administrateurs ou des changements d'utilisateur suspects

Vérifiez wp_users et usermeta pour de nouveaux comptes administrateurs :

SÉLECTIONNER ID, user_login, user_email, user_registered DE wp_users OÙ ID DANS (SÉLECTIONNER user_id DE wp_usermeta OÙ meta_key='wp_capabilities' ET meta_value LIKE 'ministrator%');

E. Vérifiez les journaux du serveur web

  • Inspectez les journaux d'accès pour des requêtes POST vers des points de terminaison de plugins ou une activité inhabituelle provenant d'IP uniques.
  • Recherchez des en-têtes referer inhabituels et des requêtes précédées de POST de formulaire.

F. Indicateurs basés sur le navigateur

  • Utilisateurs signalant des redirections, des pop-ups inattendus ou un comportement étrange lors de la visualisation des pages de soumission.

5. Nettoyage et récupération (si vous trouvez des charges utiles malveillantes)

Si vous localisez des charges utiles stockées malveillantes ou des preuves de compromission, suivez un flux de travail de nettoyage soigneux :

  1. Isoler et contenir
    Désactivez les comptes utilisateurs qui ont probablement été utilisés pour voir la charge utile (admin/éditeur) et invalidez les sessions. Déconnectez tous les utilisateurs via l'administration WP ou en faisant tourner les clés.
  2. Supprimer les contenus malveillants
    Pour les artefacts XSS stockés : supprimez les lignes de base de données offensantes ou assainissez les valeurs en supprimant les balises de script et les attributs suspects.
    Exemple d'assainissement PHP utilisant des fonctions WordPress : 
<?php
  1. Remplacez les fichiers corrompus
    Si des fichiers ont été modifiés, remplacez-les par des copies propres provenant de sauvegardes ou de paquets WordPress core/plugin/theme vérifiés.
  2. Rotation des identifiants et des secrets
    Réinitialisez les mots de passe pour tous les utilisateurs administrateurs et faites tourner les clés API, les jetons OAuth et toutes les identifiants externes.
  3. Analyse approfondie des logiciels malveillants
    Exécutez une analyse complète du système de fichiers et de la base de données pour les logiciels malveillants. Recherchez des webshells, des tâches cron inattendues et des tâches planifiées.
  4. Préservation des preuves judiciaires
    Conservez une sauvegarde de l'instantané avant nettoyage pour un examen judiciaire. Enregistrez les horodatages et les journaux.
  5. Surveillance post-nettoyage
    Surveillez les journaux et les rapports des utilisateurs pour des signes d'infection persistante. Réanalysez fréquemment au cours des 14 à 30 jours suivants.

6. Comment supprimer en toute sécurité les entrées XSS stockées (conseils pratiques)

A. Utilisez un environnement de staging
Testez toujours les scripts de suppression en staging. Les erreurs dans les mises à jour massives de la base de données peuvent corrompre le contenu.

B. Supprimez uniquement le contenu malveillant confirmé
Examinez soigneusement chaque constatation. Ne faites pas de remplacement regex aveugle dans la base de données à moins d'être certain.

C. Exemple SQL pour suppression manuelle (à utiliser avec une extrême prudence) :
Supprimez les balises de script dans post_content (il est plus sûr d'exporter les lignes, de nettoyer et de réimporter) :

UPDATE wp_posts;

Note: Ce qui précède est fourni à des fins conceptuelles — utilisez des outils appropriés ou une désinfection au niveau de l'application plutôt que des manipulations SQL brutes, sauf si vous êtes expérimenté.

D. Utilisez les API WordPress lorsque cela est possible
Utiliser wp_update_post() et wp_update_comment() après avoir nettoyé le contenu de manière programmatique avec wp_kses() ou d'autres désinfectants.

7. Exemples de règles WAF et conseils de patching virtuel

Si vous ne pouvez pas appliquer de patch immédiatement, déployer des règles WAF pour arrêter les vecteurs d'attaque est une mesure intérimaire pratique. Voici des modèles de détection conceptuels que vous pouvez utiliser dans un WAF (edge, reverse proxy ou niveau plugin) :

A. Règle générique pour bloquer les requêtes avec des scripts en ligne dans les champs de formulaire :
Bloquer les champs POST contenant <script, </script>, JavaScript :, onerror=, onload=, document.cookie modèles.

Exemple de règle similaire à ModSecurity :

SecRule REQUEST_METHOD "POST" "chain,deny,status:403,id:12345,phase:2,msg:'Tentative de XSS stocké - bloqué'"

Exemple d'approche nginx + Lua/NGINX Unit :
Inspecter le corps de la requête pour des sous-chaînes suspectes et retourner 403.

B. Bloquer des points de terminaison de plugin spécifiques
Si vous identifiez le point de terminaison du plugin (chemin URL) qui accepte les soumissions, créez une règle pour interdire le contenu non sécurisé à ce chemin ou bloquez complètement POST jusqu'à ce que le patch soit appliqué.

C. Normalisation et journalisation
Normalisez les charges utiles encodées (URL-encodées, doublement encodées) avant inspection.
Journalisez les requêtes bloquées pour un examen judiciaire ultérieur.

Avertissement important : Les règles WAF sont des atténuations de secours. Elles peuvent réduire le risque mais ne peuvent pas corriger une logique de rendu côté serveur non sécurisée. Appliquez les mises à jour de plugin dès que possible.

8. Étapes de durcissement pour réduire le risque XSS sur l'ensemble du site

  1. Gardez le cœur de WordPress, les thèmes et les plugins à jour
  2. Principe du moindre privilège pour les comptes — restreindre le nombre d'administrateurs
  3. Mots de passe forts et authentification à deux facteurs pour tous les administrateurs
  4. Politique de sécurité du contenu (CSP)
    • Mettre en œuvre un CSP strict qui restreint les sources de scripts et bloque les scripts en ligne lorsque cela est possible.
    • Exemple d'en-tête : Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-scripts.example.com; object-src 'none'; base-uri 'self';
    • Remarque : le CSP peut être perturbateur ; tester sur un environnement de staging.
  5. Encodage de sortie
    • Les plugins et thèmes doivent échapper la sortie pour le contexte dans lequel elle apparaît (HTML, attribut, JS, CSS).
  6. Assainir les entrées à l'entrée et échapper à la sortie
    • Utiliser des listes HTML autorisées (wp_kses) et un échappement contextuel (echapper_html, esc_attr, esc_js).
  7. Scans automatisés réguliers
    • Planifier des vérifications d'intégrité des fichiers et des scans de logiciels malveillants.
  8. Stratégie de sauvegarde
    • Maintenir des sauvegardes fréquentes (fichiers + DB) et tester les restaurations.

9. Liste de contrôle de réponse aux incidents (détaillée)

  1. Corriger ou désactiver le plugin vulnérable.
  2. Instantané : prendre une sauvegarde complète des fichiers et de la DB.
  3. Commencer le triage : localiser les charges utiles stockées et vérifier si des charges utiles ont été exécutées par des administrateurs.
  4. Forcer la déconnexion de tous les utilisateurs et faire tourner les mots de passe et clés d'administrateur.
  5. Supprimer les entrées malveillantes ; remplacer les fichiers compromis.
  6. Restaurer à partir d'une sauvegarde antérieure à la compromission si un état propre et sûr existe.
  7. Durcissement : activer les règles WAF, CSP et une protection supplémentaire des points de terminaison.
  8. Surveiller : augmenter la rétention des journaux, configurer des alertes pour les POST suspects et les modifications de fichiers.
  9. Rapport : notifier les parties prenantes, les clients ou les utilisateurs si vous êtes un fournisseur géré et que la compromission peut les affecter.
  10. Après l'incident : effectuer un examen des leçons apprises et mettre à jour les processus pour réduire la récurrence.

10. Conseils à long terme pour les développeurs d'auteurs de plugins

Si vous écrivez des plugins ou des thèmes, respectez ces meilleures pratiques :

  • Nettoyez à l'entrée et encodez à la sortie. Ne supposez jamais que le contenu stocké sera imprimé dans le même contexte.
  • Utilisez les fonctions d'échappement de WordPress pour le contexte : esc_html(), esc_attr(), esc_js(), wp_kses_post() le cas échéant.
  • Validez les longueurs et les types d'entrée.
  • Utilisez des nonces et des vérifications de capacité pour les actions administratives.
  • Évitez de rendre du HTML arbitraire provenant de sources non fiables, sauf s'il est strictement filtré.
  • Utilisez des instructions préparées ou des fonctions ORM pour éviter les vecteurs d'injection pour d'autres types d'attaques.
  • Effectuez des revues de code de sécurité et une analyse SAST automatisée dans le cadre de l'intégration continue.

11. Analyse et surveillance : quoi surveiller après la divulgation

  • Pics dans les requêtes POST vers les points de terminaison des plugins après divulgation publique.
  • Tentatives de connexion échouées répétées ou changements de privilèges.
  • Nouveaux utilisateurs administrateurs ou élévations de rôle.
  • Connexions sortantes inattendues de votre serveur (indicateur d'un accès à distance).
  • Nouvelles tâches planifiées (cron jobs) ou modifications de fichiers inhabituelles.

Configurez des vérifications à court terme (quotidiennes) pendant au moins 30 jours après la divulgation.

12. Exemples de motifs regex pour rechercher des charges utiles malveillantes

Utilisez ces motifs lors de la recherche dans des sources textuelles (exportations de DB, journaux) :

  • <script\b[^<]*(?:(?!</script>)<[^<]*)*</script> — capture générale des balises de script (attention ; c'est gourmand)
  • (?i)(onerror|onload|onclick|onmouseover|javascript:|document\.cookie|window\.location|eval\(|innerHTML\s*=)
  • (?i)src\s*=\s*(?:'|")?data:text/javascript

Note: Les recherches Regex peuvent produire des faux positifs. Inspectez toujours manuellement les correspondances.

13. Pourquoi un WAF + sécurité gérée a du sens pour cette classe de vulnérabilité

Les vulnérabilités XSS stockées sont souvent rapidement armées car elles sont persistantes et faciles à étendre. Bien que les mises à jour des plugins corrigent les causes profondes, de nombreux sites ne patchent pas immédiatement pour des raisons opérationnelles. Un WAF géré fournit un filet de sécurité :

  • Patching virtuel : bloque les tentatives d'exploitation avant qu'elles n'atteignent le chemin de code vulnérable.
  • Mises à jour de signature : le fournisseur de WAF peut distribuer des règles à des milliers de sites dès qu'une vulnérabilité est divulguée.
  • Analyse du trafic malveillant : détection précoce du comportement des attaquants à travers les actifs.
  • Analyse intégrée : synergie entre l'analyse de logiciels malveillants et le blocage pour trouver et arrêter les infections.

Cette approche en couches réduit la probabilité qu'une charge utile stockée atterrisse sur le site ou soit exécutée par des utilisateurs à privilèges élevés.

14. Exemples pratiques pour différents rôles de site

Pour les propriétaires de sites / petites entreprises :

  • Mettez à jour le plugin immédiatement. Si vous dépendez de la fonctionnalité du plugin, testez sur un site de staging puis mettez à jour en direct.
  • Utilisez le niveau WAF géré gratuit (voir ci-dessous) pendant que vous patchiez.

Pour les agences web :

  • Scannez les sites des clients pour le plugin vulnérable. Créez une liste priorisée et mettez à jour d'abord tous les sites à risque.
  • Si le temps de disponibilité du client empêche des mises à jour immédiates, déployez des règles WAF ou désactivez le plugin jusqu'à ce qu'il soit patché.

Pour les fournisseurs d'hébergement :

  • Identifiez tous les sites clients avec le plugin vulnérable installé et informez les clients avec des conseils de remédiation.
  • Optionnellement, poussez des patchs virtuels à la périphérie d'hébergement ou bloquez l'accès au point de terminaison du plugin.

15. Chronologie recommandée des actions

  • Dans les 0–24 heures : Mettre à jour vers 2.0.6 ou désactiver le plugin ; prendre un instantané du site ; déployer un patch virtuel WAF si disponible.
  • Dans les 24–72 heures : Analyse complète du site ; rechercher et supprimer les charges utiles stockées ; faire tourner les mots de passe administratifs.
  • Dans les 7 jours : Examiner les journaux et les modèles d'accès ; effectuer une analyse forensic complète s'il existe des preuves d'exploitation.
  • Dans les 30 jours : Renforcer les paramètres, mettre en œuvre le reporting CSP, effectuer des analyses de suivi.

16. Exemple de jeu de règles WAF (conceptuel, pour les équipes de sécurité)

Règle 1 — Bloquer les POST avec des balises script :
Si METHOD == POST et REQUEST_BODY contient regex (?i)<script||javascript: => retourner 403.

Règle 2 — Bloquer les charges utiles de données URI suspectes :
Si REQUEST_BODY contient données:text/javascript => retourner 403.

Règle 3 — Bloquer les attributs d'événements suspects dans les paramètres :
Si des ARGS contiennent (?i)on(error|load|click|mouseover)= => assainir ou bloquer.

Règle 4 — Limitation de débit pour les POST vers les points de terminaison du plugin :
Si plus de X POST vers /wp-admin/admin-ajax.php avec le paramètre d'action du plugin dans Y secondes => défier ou bloquer.

17. Notification post-incident et conseils de divulgation

  • Pour les sites ou clients gérés, notifier rapidement les parties prenantes concernées avec :
    • Ce qui s'est passé, quels actifs ont été affectés
    • Étapes immédiates que vous avez prises
    • Si des données sensibles des clients ont été exposées
    • Prochaines étapes et calendrier de remédiation
  • Tenez un calendrier des incidents en cours pour les besoins réglementaires et les audits futurs.

18. Recommandations finales et liste de contrôle

  • Mettez à jour Unlimited Elements pour Elementor vers 2.0.6 ou une version ultérieure — priorisez cela par rapport aux autres changements.
  • Si la mise à jour n'est pas possible immédiatement, désactivez le plugin ou appliquez un patch virtuel à la périphérie.
  • Analysez et nettoyez votre base de données et vos fichiers pour détecter les charges malveillantes.
  • Faites tourner les identifiants pour les utilisateurs administratifs et révoquez les jetons de session pour les utilisateurs qui ont pu voir du contenu malveillant.
  • Renforcez votre environnement WordPress (moindre privilège, 2FA, CSP).
  • Surveillez les journaux pour une activité inhabituelle et définissez des alertes pour des modèles suspects.

Protégez votre site maintenant — commencez avec le plan de base WP-Firewall

Si vous avez besoin d'une protection rapide et gérée pendant que vous corrigez ou nettoyez votre site, WP-Firewall propose un plan de base gratuit qui inclut des fonctionnalités de protection essentielles adaptées à WordPress :

  • Protection essentielle : pare-feu géré couvrant les risques OWASP Top 10.
  • Bande passante illimitée et protection WAF.
  • Scanner de logiciels malveillants pour détecter les menaces persistantes.

Nous avons déployé des règles de patching virtuel pour bloquer les modèles d'exploitation divulgués pour cette vulnérabilité, réduisant le risque pendant que vous appliquez le patch du développeur. Inscrivez-vous au plan de base gratuit et obtenez une protection immédiate : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Note: Passer aux plans Standard ou Pro apporte une suppression automatique des logiciels malveillants, des contrôles de liste noire/liste blanche IP, des rapports de sécurité mensuels, un patching virtuel automatique et un support premium et des modules complémentaires pour simplifier la gestion de la sécurité à long terme.

Réflexions finales

Les vulnérabilités XSS stockées comme CVE-2026-2724 sont particulièrement dangereuses car elles permettent aux attaquants de laisser des pièges persistants sur un site. La bonne nouvelle est que l'auteur du plugin a publié un patch. La mauvaise nouvelle est que la fenêtre entre la divulgation et le patching est lorsque les attaquants ciblent agressivement les sites non corrigés. Si vous gérez des sites WordPress, agissez maintenant : mettez à jour, analysez et appliquez des protections à la périphérie pour minimiser l'exposition.

Si vous souhaitez de l'aide pour trier un site affecté, nous pouvons vous aider avec des analyses, des patchs virtuels et des workflows de nettoyage. Notre plan gratuit est un bon point de départ pour une atténuation immédiate et une protection continue pendant que vous effectuez vos étapes de remédiation : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Restez en sécurité — appliquez les correctifs rapidement, surveillez en continu et supposez que les attaquants vont explorer rapidement les vulnérabilités connues.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™