Risque critique de XSS dans le plugin Motta Addons//Publié le 2026-03-22//CVE-2026-25033

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Motta Addons CVE-2026-25033

Nom du plugin Motta Addons
Type de vulnérabilité Scripts intersites (XSS)
Numéro CVE CVE-2026-25033
Urgence Moyen
Date de publication du CVE 2026-03-22
URL source CVE-2026-25033

XSS réfléchi dans Motta Addons (< 1.6.1) — Ce que les propriétaires de sites WordPress doivent faire maintenant

Auteur: Équipe de sécurité WP-Firewall
Date: 2026-03-21

Résumé: Une vulnérabilité récemment divulguée de Cross‑Site Scripting (XSS) réfléchi affecte le plugin Motta Addons pour WordPress dans les versions antérieures à 1.6.1 (CVE‑2026‑25033). Cette vulnérabilité peut être utilisée pour exécuter du JavaScript arbitraire dans le navigateur d'un utilisateur qui visite une URL spécialement conçue. Dans cet article, nous expliquons ce que cela signifie pour les propriétaires de sites, comment les attaquants peuvent abuser de ce problème, les étapes pratiques pour atténuer le risque immédiatement, comment valider les correctifs et comment notre produit WP‑Firewall peut vous protéger pendant que vous mettez à jour.

Note: Si votre site utilise Motta Addons, considérez cela comme un élément de haute priorité. Mettez à jour vers la version 1.6.1 (ou ultérieure) immédiatement et appliquez des contrôles compensatoires jusqu'à ce que vous soyez corrigé.

Table des matières

  • Aperçu des vulnérabilités
  • Comment fonctionne l'XSS réfléchi (niveau élevé)
  • Pourquoi cela est important pour les sites WordPress
  • Détails techniques (sûrs, non-exploitants)
  • Risque et contexte CVSS
  • Qui est le plus à risque
  • Actions immédiates pour les propriétaires de sites
  • Comment WP‑Firewall peut protéger votre site maintenant
  • Mesures de durcissement recommandées et mesures à long terme
  • Pour les développeurs : correction de problèmes similaires
  • Détection, test et validation
  • Réponse aux incidents si vous pensez avoir été compromis
  • FAQ
  • Notes finales et ressources
  • Sécurisez votre site aujourd'hui — protection gratuite WP‑Firewall

Aperçu des vulnérabilités

  • Titre: Cross‑Site Scripting (XSS) réfléchi dans le plugin Motta Addons
  • Logiciels concernés : Plugin WordPress Motta Addons
  • Versions vulnérables : Toute version antérieure à 1.6.1
  • Corrigé dans : 1.6.1
  • Identifiant : CVE‑2026‑25033
  • Signalé : divulgué par un chercheur en sécurité indépendant
  • Taper: XSS réfléchi (non persistant)
  • Impact: Exécution de JavaScript arbitraire dans le contexte du navigateur de la victime ; les actions possibles incluent le vol de session, des astuces d'escalade de privilèges, des redirections non désirées ou le placement de contenu malveillant dans le navigateur de l'utilisateur.
  • CVSS (tel que rapporté par la divulgation publique) : ~7.1 (moyenne/important). Le contexte et l'environnement affectent la gravité finale pour votre site.

Comment fonctionne l'XSS réfléchi (niveau élevé)

Le XSS réfléchi se produit lorsqu'une application prend une entrée fournie par l'utilisateur et l'inclut dans une réponse de page sans l'encoder ou la désinfecter correctement. Les données malveillantes sont “réfléchies” immédiatement dans la réponse du serveur et exécutées par le navigateur de la victime. Flux d'attaque typique :

  1. L'attaquant crée une URL contenant du JavaScript malveillant (ou une entrée qui sera rendue comme un script).
  2. L'attaquant attire une cible (souvent un rôle privilégié tel qu'un administrateur ou un éditeur) à cliquer sur l'URL — par email, chat ou un autre canal.
  3. Le navigateur de la cible demande l'URL créée.
  4. Le serveur renvoie une page contenant la charge utile de l'attaquant non échappée ; le navigateur l'exécute.
  5. Une fois exécutée, la charge utile peut faire tout ce que le navigateur de l'utilisateur permet : lire des cookies, soumettre des requêtes en utilisant la session de l'utilisateur, modifier du contenu ou effectuer des actions au nom de l'utilisateur.

Le XSS réfléchi est particulièrement dangereux lorsque la victime est un utilisateur privilégié (administrateur/éditeur du site) car le script peut utiliser les identifiants/cookies de l'utilisateur pour effectuer des actions administratives.

Pourquoi cela est important pour les sites WordPress

Les sites WordPress sont superposés : les plugins étendent la fonctionnalité et augmentent donc la surface d'attaque. Une vulnérabilité de plugin qui permet le XSS réfléchi peut être exploitée dans un certain nombre de scénarios :

  • Attaques ciblées sur les administrateurs de site pour injecter des portes dérobées persistantes ou modifier des paramètres.
  • Campagnes de phishing de masse : les attaquants créent des liens et les distribuent largement, espérant que les mainteneurs du site cliqueront.
  • Actions de style chaîne d'approvisionnement : un attaquant compromet un seul site et l'utilise pour diffuser du contenu malveillant ou injecter du spam SEO.
  • Dommages à la réputation et exposition de données : des jetons de session, des jetons CSRF ou des données utilisateur pourraient être capturés.

Même si le plugin n'est pas activement utilisé sur les pages visitées par des utilisateurs anonymes, la zone d'administration et d'autres points de terminaison de plugin sont souvent accessibles et peuvent accepter des paramètres créés. Comme de nombreux administrateurs réutilisent des emails et cliquent sur des liens depuis des appareils mobiles ou des environnements non-sandbox, le risque dans le monde réel peut être élevé.

Détails techniques (résumé sûr, non-exploitant)

La vulnérabilité est un XSS réfléchi dans le plugin Motta Addons jusqu'à, mais n'incluant pas, la version 1.6.1. Les chemins d'application exacts et les paramètres ne sont pas reproduits ici pour éviter de permettre un usage abusif. La condition essentielle non sécurisée est :

  • L'entrée fournie par l'utilisateur (provenant des paramètres d'URL ou des champs de formulaire) est renvoyée dans une réponse HTML sans un encodage de sortie contextuel approprié ou une désinfection adéquate.
  • Le contenu renvoyé peut inclure des caractères ou des séquences qu'un navigateur interprétera comme du HTML/JS exécutable lorsque la victime visite un lien créé.

Clarifications importantes :

  • Il s'agit d'un XSS réfléchi, pas stocké/persistant. La charge utile doit être livrée via une requête créée (URL ou formulaire) et exécutée lorsque la victime charge cette réponse.
  • L'exploitation nécessite généralement une interaction de l'utilisateur (cliquer sur un lien) et a un impact significatif lorsque la victime a des privilèges administratifs.
  • L'auteur du plugin a publié un correctif (1.6.1) qui assainit/encode correctement les entrées et élimine le vecteur de sortie réfléchie.

En tant que meilleure pratique de sécurité, si vous évaluez si vous êtes affecté et que vous devez tester, faites-le dans un environnement de staging isolé — jamais en production avec de vrais comptes utilisateurs.

Risque et contexte CVSS

Le score CVSS rapporté pour ce problème (environ 7.1) reflète plusieurs facteurs :

  • Vecteur d'attaque : Réseau — l'attaquant peut héberger une URL conçue.
  • Complexité de l'attaque : Faible — nécessite seulement de l'ingénierie sociale (clic).
  • Privilèges requis : Aucun à découvrir, mais une interaction de la victime est nécessaire ; l'impact augmente si la victime est un administrateur.
  • Interaction utilisateur : Requis — l'attaquant doit convaincre un utilisateur d'ouvrir le lien malveillant.
  • Impact: Élevé pour l'intégrité/la confidentialité en présence de victimes privilégiées.

Le CVSS est une base utile mais ne raconte pas toute l'histoire pour WordPress. L'impact commercial final dépend des rôles des utilisateurs de votre site, des pratiques administratives et de savoir si le plugin fonctionne dans des contextes où des entrées non fiables sont réfléchies.

Qui est le plus à risque

  • Sites avec Motta Addons installés et exécutant des versions antérieures à 1.6.1.
  • Sites où les administrateurs ou d'autres utilisateurs privilégiés ont une forte chance de recevoir et de cliquer sur des liens non sollicités.
  • Agences gérant de nombreux sites clients où les mises à jour de plugins peuvent être en retard.
  • Sites qui exposent des points de terminaison administratifs à Internet sans restrictions IP ou authentification à deux facteurs.

Si le plugin est inactif (installé mais désactivé), le risque est généralement plus faible, mais pas nul — certains plugins inactifs exposent encore des points de terminaison ou des gestionnaires AJAX. Désinstallez complètement le plugin si vous n'en avez pas besoin.

Actions immédiates pour les propriétaires de sites (faites cela maintenant)

  1. Mettre à jour le plugin
    Mettez à jour Motta Addons vers la version 1.6.1 ou ultérieure immédiatement. C'est la solution définitive pour le problème signalé.
  2. Si vous ne pouvez pas mettre à jour immédiatement, appliquez des contrôles compensatoires :
    • Mettez en place une règle de pare-feu d'application web (WAF) pour bloquer les modèles XSS réfléchis ciblant les points de terminaison du plugin.
    • Restreignez l'accès à l'administration WordPress (wp‑admin et wp‑login.php) par liste blanche IP ou authentification HTTP.
    • Appliquez l'authentification à deux facteurs (2FA) pour les comptes administrateurs.
    • Exigez des mots de passe forts et faites tourner toutes les informations d'identification si vous soupçonnez une exposition.
  3. Examiner l'activité de l'administrateur
    Vérifiez les journaux pour des connexions inhabituelles, des changements de contenu inattendus ou de nouveaux comptes administrateurs.
  4. Analysez votre site
    Exécutez une analyse de malware et d'intégrité pour vous assurer qu'aucune page malveillante ou porte dérobée n'a été ajoutée.
  5. Informer les parties prenantes
    Informez votre équipe, votre fournisseur d'hébergement et tous les clients du problème et du plan de remédiation.

Mettre à jour le plugin est la solution la plus rapide et la plus fiable. Les contrôles compensatoires sont des mesures d'atténuation si vous ne pouvez pas mettre à jour immédiatement.

Comment WP‑Firewall peut protéger votre site maintenant

Chez WP‑Firewall, nous nous concentrons sur une protection pratique et en couches. Voici comment notre solution aide à atténuer les vulnérabilités XSS réfléchies et similaires aux plugins — immédiatement et en continu.

  1. Règles WAF gérées et patching virtuel
    Notre WAF peut être configuré pour bloquer les modèles d'entrée suspects et les charges utiles de requête avant qu'elles n'atteignent le code vulnérable. Cela s'appelle le patching virtuel : une couche de protection immédiate pendant que vous planifiez et effectuez une mise à jour.
    Nous déployons des règles qui recherchent des indicateurs XSS courants (balises de script, attributs de gestionnaire d'événements dans les paramètres, URIs javascript:, charges utiles encodées qui se décodent en script) ciblant spécifiquement les points de terminaison du plugin.
  2. Analyse de malware et détection de comportement
    WP‑Firewall analyse les pages rendues et les réponses du serveur pour détecter les scripts injectés, les modifications suspectes et les indicateurs de compromission.
  3. Journalisation des attaques et alertes
    Chaque tentative bloquée est enregistrée avec les détails de la requête, l'adresse IP et la règle déclenchée — vous fournissant des données d'analyse pour évaluer la menace.
  4. Règles adaptatives et gestion des faux positifs
    Le système utilise la conscience contextuelle pour réduire les faux positifs (par exemple, distinguer l'utilisation légitime de HTML dans les publications des charges utiles malveillantes dans les paramètres).
  5. Règles préventives pour l'OWASP Top 10
    Notre ensemble de règles géré comprend des atténuations pour l'OWASP Top 10, y compris les vecteurs d'injection et XSS.

Si vous ne pouvez pas mettre à jour un plugin vulnérable immédiatement, le WAF géré de WP‑Firewall et le patching virtuel offrent une protection immédiate pour réduire le risque d'exploitation réussie.

Conseils pratiques de WP‑Firewall et atténuations suggérées (non-exploitatives)

Voici des mesures pratiques que nous recommandons — y compris des concepts de règles WAF que vous pouvez mettre en œuvre, soit via WP‑Firewall, soit avec d'autres couches de sécurité.

  1. Bloquez les modèles de mots-clés XSS courants dans les chaînes de requête et les champs de formulaire
    Bloquez ou assainissez les entrées qui se décodent en ouvertures de script telles que <script, </script>, JavaScript :, et des modèles d'attributs suspects comme onerror= ou onload=.
    Exemple (conceptuel, pas exact) : Refuser les demandes où le paramètre de requête décodé contient “<script” ou “onerror=”.
  2. Normaliser et décoder les charges utiles encodées avant inspection.
    Les attaquants encodent les charges utiles (encodage URL, double encodage, entités HTML) pour contourner les filtres naïfs. Les règles WAF efficaces normalisent d'abord les entrées.
  3. Appliquer des restrictions sur le chemin de la requête.
    Limiter les méthodes HTTP autorisées sur les points de terminaison des plugins (si seulement GET/POST nécessaires).
    Appliquer la validation du type de contenu : n'accepter que les types de contenu attendus pour les points de terminaison qui acceptent des données.
  4. Limiter le taux et défier les demandes suspectes.
    Pour des volumes de requêtes anormaux vers les points de terminaison administratifs, réduire le débit ou présenter un défi (CAPTCHA) pour se défendre contre les tentatives automatisées.
  5. Protéger l'accès administrateur.
    Appliquer l'authentification à deux facteurs, limiter les tentatives de connexion administratives, utiliser la liste blanche d'IP pour wp-admin.
    Rediriger ou obscurcir les URL administratives uniquement comme une couche supplémentaire — pas comme un remplacement des contrôles d'authentification appropriés.
  6. Utilisez la politique de sécurité du contenu (CSP)
    CSP peut arrêter de nombreuses attaques XSS de charger des scripts externes ; bien que les CSP doivent être soigneusement configurés, même une base restrictive peut bloquer les charges utiles des attaquants qui chargent des ressources externes.
  7. Supprimer les plugins inutilisés.
    Si Motta Addons n'est pas utilisé, désinstallez-le complètement plutôt que de le laisser désactivé. Les plugins désactivés exposent parfois encore des chemins de code.
  8. Analysez et surveillez
    Effectuer des vérifications régulières de l'intégrité des fichiers et des analyses de logiciels malveillants programmées pour détecter des scripts injectés ou des fichiers altérés.

Nous recommandons de mettre en œuvre une combinaison des contrôles ci-dessus pour une défense en profondeur.

Concepts de règles WAF d'exemple (niveau élevé, sûr).

Ci-dessous se trouvent des modèles de règles conceptuelles pour illustrer comment bloquer les tentatives XSS réfléchies ; celles-ci sont intentionnellement non spécifiques et conçues pour que les administrateurs ou les équipes de sécurité s'adaptent — ne les considérez pas comme des signatures à insérer directement.

  • Règle A (refuser le script encodé dans les paramètres de requête).
    Normaliser l'encodage URL.
    Si un paramètre contient la sous-chaîne <script (insensible à la casse) OU JavaScript : OU onerror= après normalisation, bloquer et enregistrer.
  • Règle B (bloquer les attributs d'événements suspects dans les valeurs de requête)
    Si les valeurs des paramètres correspondent à des modèles pour les attributs d'événements HTML (onload, onmouseover, onclick) combinés avec des caractères spéciaux < ou >, bloc.
  • Règle C (bloquer les charges utiles encodées en base64 ou longues suspectes ciblant les points de terminaison des plugins)
    Si une requête vers les points de terminaison des plugins contient des valeurs de paramètres anormalement longues avec une haute entropie et avec des indicateurs ‘=’ ou ‘base64’, défier ou bloquer.
  • Règle D (protection de la zone d'administration)
    Pour les chemins wp-admin et les pages d'administration des plugins, exiger une authentification valide ; sinon, défier avec une authentification HTTP ou bloquer.

Ces règles conceptuelles doivent être testées dans un environnement de staging, ajustées par rapport au trafic légitime de votre site, et appliquées avec une journalisation appropriée pour réduire l'impact opérationnel.

Mesures de durcissement recommandées et mesures à long terme

La mise à jour et un WAF temporaire sont des étapes immédiates — mais à long terme, vous devriez adopter une hygiène et des contrôles pour réduire l'impact de futures vulnérabilités de plugins.

  • Maintenir une politique de mise à jour
    Garder les plugins, thèmes et le noyau à jour selon un calendrier ; prioriser les mises à jour de sécurité.
  • Inventaire des plugins et des versions
    Maintenir un enregistrement des plugins installés, actifs vs inactifs, et des propriétaires responsables des mises à jour.
  • Utiliser le staging
    Tester les mises à jour en staging avant la production ; tester également les règles de sécurité là-bas.
  • Contrôles d'accès.
    Appliquer le principe du moindre privilège : donner aux utilisateurs uniquement les capacités dont ils ont besoin.
  • 2FA et authentification forte
    La 2FA élève considérablement la barre pour les attaquants utilisant XSS pour passer à des actions administratives.
  • Journalisation et surveillance
    Journaux centralisés et alertes pour les actions administratives, les changements de fichiers et les requêtes suspectes.
  • Stratégie de sauvegarde et de restauration
    Testez régulièrement les sauvegardes et les procédures de restauration. En cas de compromission, vous devez pouvoir restaurer en toute sécurité.

Pour les développeurs : comment éviter cette classe de vulnérabilité

Si vous développez des plugins ou des thèmes WordPress, les pratiques suivantes réduisent le risque XSS :

  • Encodage de sortie contextuel
    Échappez toujours la sortie en utilisant les bonnes fonctions WordPress pour le contexte de sortie : esc_html(), esc_attr(), esc_url(), wp_kses_post() pour HTML autorisé, etc.
  • Évitez d'écho l'entrée brute de l'utilisateur dans HTML
    Assainissez les entrées mais, plus important encore, échappez les sorties dans le contexte où elles sont utilisées.
  • Utilisez des instructions préparées pour l'accès à la base de données
    Bien que l'injection de base de données soit différente, une gestion sûre de la base de données évite d'autres risques d'injection.
  • Validez les entrées
    Utilisez des règles de validation strictes et rejetez les données inattendues ou malformées.
  • Utilisation de nonce
    Utilisez des nonces WordPress pour les actions qui changent d'état afin de réduire le risque de CSRF.
  • CSP et API JavaScript sûres
    Minimisez l'utilisation de JavaScript en ligne ; utilisez CSP et des pratiques JS sûres.
  • Revues de sécurité et tests automatisés
    Incluez des tests de sécurité dans CI et les revues de code.

Lorsque vous publiez du code, documentez les entrées et sorties attendues, et envisagez une politique de divulgation de sécurité pour encourager les rapports responsables.

Détection, test et validation

Comment valider que votre site est sûr après avoir appliqué des mises à jour et des atténuations :

  1. Vérifiez la version du plugin
    Confirmez que Motta Addons est mis à jour vers 1.6.1 ou une version ultérieure dans votre admin WP (page des plugins) ou via CLI (wp plugin list).
  2. Vérifiez les journaux WAF
    Confirmez que toutes les tentatives ciblant les points de terminaison vulnérables ont été bloquées ou atténuées.
  3. Reproduisez l'attaque uniquement en staging
    Si vous êtes un testeur de sécurité, reproduisez le problème sur une copie locale ou de staging, jamais en production avec des comptes actifs.
  4. Exécutez des scanners de vulnérabilité automatisés
    Utilisez un scanner qui vérifie les XSS réfléchis sans effectuer de tests destructeurs.
  5. Inspectez les actions récentes des administrateurs
    Recherchez des publications, des utilisateurs ou des modifications de paramètres inattendus autour de la date de divulgation.
  6. Vérifiez l'intégrité des fichiers
    Comparez le système de fichiers avec des copies ou des sauvegardes connues comme bonnes pour trouver des fichiers injectés ou des fichiers de base/plugin modifiés.
  7. Surveiller le trafic
    Recherchez des référents inhabituels ou des pics de trafic qui pourraient indiquer une campagne d'attaque.

Si vous détectez des preuves d'exploitation (par exemple, nouvel utilisateur administrateur, options de site modifiées ou tâches planifiées inconnues), escaladez vers la réponse aux incidents.

Réponse aux incidents si vous pensez avoir été compromis

  1. Isoler
    Si possible, mettez le site hors ligne ou restreignez l'accès administrateur à un petit ensemble d'IP.
  2. Changez les mots de passe
    Faites tourner les identifiants du panneau de contrôle administrateur et d'hébergement depuis une machine propre.
  3. Révoquer des sessions
    Déconnectez tous les utilisateurs et réinitialisez les cookies/sessions.
  4. Numériser et nettoyer
    Utilisez des scanners de confiance et une inspection manuelle pour supprimer les portes dérobées. Si vous avez des sauvegardes d'avant la compromission, envisagez de les restaurer.
  5. Faites tourner les clés et les secrets
    Si le site a stocké des clés API ou des identifiants privés, faites-les tourner.
  6. Enquêter
    Utilisez les journaux pour déterminer l'étendue et le point d'entrée. Recherchez la chronologie et les actions de l'attaquant.
  7. Informer les parties concernées
    Si des données utilisateur ont été exposées, suivez les obligations légales et de confidentialité pour les notifications.

Si nécessaire, engagez une réponse professionnelle aux incidents pour le retrait de logiciels malveillants et l'analyse judiciaire.

Foire aux questions

Q : J'ai mis à jour vers 1.6.1 — suis-je en sécurité ?
R : La mise à jour vers 1.6.1 ou une version ultérieure supprime la vulnérabilité dans le code du plugin. Vous devriez toujours scanner votre site et examiner les journaux pour tout indicateur d'exploitation antérieure, et continuer à suivre les étapes de durcissement.

Q : Mon plugin Motta Addons est installé mais désactivé. Suis-je en sécurité ?
A : Les plugins désactivés présentent généralement un risque moindre, mais ils peuvent toujours exposer des chemins de code dans certaines configurations. Si vous n'en avez pas besoin, désinstallez-le. Si vous devez le garder, mettez-le à jour ou appliquez des règles WAF.

Q : Un XSS réfléchi peut-il capturer les mots de passe WordPress ?
A : Un XSS réfléchi peut exécuter du JavaScript qui lit des cookies ou soumet des formulaires. Si le cookie de session d'un administrateur ou les jetons CSRF sont accessibles dans le contexte du navigateur, l'attaquant peut tenter d'agir au nom de cet utilisateur. Une utilisation appropriée des cookies HttpOnly et sécurisés aide, mais les autorisations XSS peuvent toujours être nuisibles.

Q : WP‑Firewall bloque-t-il cela automatiquement ?
A : Le jeu de règles géré de WP‑Firewall inclut des protections pour les modèles XSS réfléchis et nous déployons des correctifs virtuels ciblés pour les vulnérabilités actives. Bien que les WAF réduisent considérablement le risque, la mise à jour du plugin est toujours nécessaire pour une solution permanente.

Notes finales et ressources

  • Mettez à jour les addons Motta vers la version 1.6.1 ou plus récente comme votre principale remédiation.
  • Si vous ne pouvez pas mettre à jour immédiatement, une approche en couches — correctifs virtuels WAF, restriction d'accès administrateur et 2FA — réduira le risque.
  • Maintenez une politique de mise à jour et un inventaire pour réduire l'exposition aux problèmes futurs de plugins.

La sécurité est un voyage, pas une destination. De petites pratiques routinières (mises à jour, privilège minimal, 2FA, surveillance) s'accumulent pour créer un site résilient qui résiste aux attaques opportunistes et ciblées.

Sécurisez votre site aujourd'hui — Protection gratuite WP‑Firewall

Protégez votre site maintenant pendant que vous mettez à jour les plugins et prenez des mesures de durcissement. WP‑Firewall propose un plan de base gratuit qui vous offre une protection gérée immédiate :

Commencez avec WP‑Firewall Free — défenses essentielles pendant que vous appliquez des correctifs

Notre plan de base (gratuit) inclut des protections essentielles dont chaque site WordPress a besoin : un pare-feu géré, une bande passante illimitée, des règles de pare-feu d'application Web (WAF), un scanner de logiciels malveillants et des atténuations pour les risques OWASP Top 10. Si vous manquez de temps ou avez besoin d'une protection instantanée pendant que vous mettez à jour les addons Motta vers une version sûre, inscrivez-vous au plan de base WP‑Firewall et obtenez immédiatement des correctifs virtuels gérés et une surveillance en place.

Obtenez votre protection gratuite ici

Si vous souhaitez une automatisation et des fonctionnalités supplémentaires, nos plans payants incluent la suppression automatique des logiciels malveillants, la gestion des listes noires/blanches d'IP, des rapports de sécurité mensuels, des correctifs virtuels automatiques et des add-ons d'entreprise pour les équipes et les agences.

  • Basique (gratuit) : Pare-feu géré, bande passante illimitée, WAF, scanner de logiciels malveillants, atténuations OWASP.
  • Standard ($50/an) : Ajoute la suppression automatique des logiciels malveillants et la gestion des listes noires/blanches d'IP jusqu'à 20 adresses.
  • Pro ($299/an) : Ajoute des rapports de sécurité mensuels, des correctifs virtuels automatiques pour les vulnérabilités et des add-ons premium tels qu'un gestionnaire de compte dédié, une optimisation de la sécurité, un jeton de support WP, un service WP géré et un service de sécurité géré.

Inscrivez-vous et protégez votre site maintenant

Si vous avez besoin d'aide pour évaluer si votre site a été ciblé, mettre en œuvre des correctifs virtuels ou effectuer un examen d'incident, notre équipe de sécurité chez WP‑Firewall est disponible pour vous aider. Une configuration sécurisée, des défenses en couches et une réponse rapide sont la meilleure combinaison pour rester en sécurité dans le paysage des menaces d'aujourd'hui.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™