Menace CSRF dans WordPress Word Two Cash//Publié le 2026-05-19//CVE-2026-6395

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Word 2 Cash Vulnerability

Nom du plugin Mot 2 Espèces
Type de vulnérabilité CSRF
Numéro CVE CVE-2026-6395
Urgence Moyen
Date de publication du CVE 2026-05-19
URL source CVE-2026-6395

Urgent : Word 2 Cash (≤ 0.9.2) — CSRF → XSS stocké (CVE-2026-6395) — Ce que les propriétaires de sites WordPress et les développeurs doivent faire maintenant

Auteur: Équipe de sécurité WP-Firewall
Date: 2026-05-19

Résumé

Une vulnérabilité récemment divulguée affectant le plugin WordPress “Mot 2 Espèces” (versions ≤ 0.9.2) permet à un attaquant non authentifié de déclencher une falsification de requête cross-site (CSRF) qui entraîne une condition de script intersite stocké (XSS) (CVE-2026-6395). Bien que l'exploitation nécessite une interaction de l'utilisateur d'un utilisateur privilégié, l'impact d'une exploitation réussie peut être sévère — y compris un compromis persistant du site, le vol d'identifiants et une prise de contrôle administrative complète.

Cet avis est rédigé du point de vue de WP-Firewall, une équipe de sécurité WordPress dédiée et fournisseur de pare-feu d'application Web (WAF). Notre objectif est d'expliquer la vulnérabilité en termes clairs et pratiques, de décrire les scénarios de risque et d'exploitation, et de fournir des conseils de mitigation et de détection prioritaires pour les propriétaires de sites, les administrateurs et les développeurs de plugins.

Si vous gérez des sites WordPress — en particulier ceux avec plusieurs administrateurs ou personnel éditorial — lisez ceci attentivement et appliquez immédiatement les atténuations recommandées.

Quelle est la vulnérabilité ?

  • Plugin concerné : Word 2 Cash (plugin WordPress)
  • Versions concernées : ≤ 0.9.2
  • Taper: Falsification de requête cross-site (CSRF) menant à un script intersite stocké (XSS stocké)
  • CVE : CVE-2026-6395
  • Date de divulgation : 19 mai 2026
  • Privilège requis pour initier l'exploitation : Non authentifié (l'attaquant peut concevoir l'attaque sans s'authentifier), mais une exploitation réussie nécessite qu'un utilisateur privilégié (administrateur ou un autre rôle à privilèges élevés) interagisse (par exemple, visiter une page malveillante, cliquer sur un lien ou effectuer une action).
  • Gravité: Moyen/Faible (CVSS 6.1 rapporté) — mais le contexte est important : un attaquant qui convainc un admin d'interagir peut tirer parti du XSS stocké pour escalader à un compromis complet.

En résumé : le plugin ne parvient pas à valider correctement et/ou à protéger une action côté serveur contre les requêtes intersites, et un attaquant peut utiliser cela pour stocker du JavaScript malveillant qui s'exécutera dans le contexte du navigateur d'un administrateur.

Comment l'attaque fonctionne (niveau élevé, non-actionnable)

  1. L'attaquant crée une page web ou un email contenant un lien ou un formulaire qui soumettra des données au point de terminaison du plugin vulnérable sur le site WordPress cible.
  2. Le point de terminaison vulnérable accepte la requête et stocke du contenu contrôlé par l'utilisateur (par exemple, des champs de texte, HTML) sans validation appropriée ni vérifications de nonce/capacité.
  3. Le contenu malveillant contient une charge utile JavaScript qui est sauvegardée dans le site (XSS stocké).
  4. Lorsqu'un utilisateur privilégié (admin/éditeur) visite plus tard la page d'administration affectée ou toute page où la charge utile stockée est rendue, le JavaScript s'exécute avec ses privilèges.
  5. Une fois exécuté, l'attaquant peut effectuer des actions dans le contexte de la session admin : lire les cookies/tokens de session, effectuer d'autres actions administratives via l'interface admin, créer de nouveaux comptes administrateurs, modifier des fichiers, installer des portes dérobées ou exfiltrer des données.

Note: La demande initiale peut être faite sans authentification, mais l'exploitation ne se termine que si un utilisateur privilégié effectue l'action nécessaire (visiter une page, cliquer sur un lien conçu, etc.). Cela fait de l'ingénierie sociale un élément important dans les attaques réussies.

Impact dans le monde réel : pourquoi cela compte

Le XSS stocké dans le contexte admin est l'une des vulnérabilités web les plus dangereuses car il permet une interaction directe avec les flux de travail admin authentifiés. Les attaquants peuvent :

  • Détourner des sessions admin et effectuer des actions administratives (créer des utilisateurs, éditer des publications, changer des paramètres).
  • Injecter des portes dérobées qui persistent au-delà d'une seule session (plugins/thèmes/fichiers malveillants).
  • Extraire des données sensibles (clés API, contenu privé, données utilisateur).
  • Passer de l'application WordPress à l'environnement d'hébergement, atteignant potentiellement l'exécution de code à distance si le téléchargement de fichiers ou l'édition de plugins/thèmes est exposé.
  • Mener une persistance à long terme et une compromission de masse à travers un cluster d'hébergement si les mêmes identifiants admin sont réutilisés sur plusieurs sites.

Même si le score CVSS est modéré, l'impact dans le monde réel dépend de la présence d'utilisateurs privilégiés, de leur comportement et de la mise en place de mesures d'atténuation supplémentaires (authentification multi-facteurs, privilèges minimaux).

Qui est à risque ?

  • Sites qui utilisent activement le plugin Word 2 Cash, versions ≤ 0.9.2.
  • Sites avec plusieurs utilisateurs admin/éditeurs qui pourraient être manipulés socialement pour visiter des liens externes.
  • Sites sans protections administratives (2FA, restrictions IP, gestion des sessions).
  • Sites qui n'ont pas mis en œuvre de WAF ou de patching virtuel pour bloquer les requêtes malveillantes.

Si votre site utilise ce plugin, considérez cela comme un élément de tri de haute priorité.

Étapes immédiates pour les propriétaires de sites (classées par priorité)

  1. Identifiez si vous exécutez le plugin
    • Connectez-vous à votre tableau de bord WordPress → Plugins → recherchez “Word 2 Cash”.
    • Vérifiez la version du plugin (si elle affiche ≤ 0.9.2, procédez de toute urgence).
  2. Mettez à jour (si une version corrigée est disponible)
    • Si l'auteur du plugin publie un correctif, mettez à jour vers la version corrigée immédiatement.
    • Si aucun correctif n'est disponible, passez à l'étape 3.
  3. Désactivez le plugin (atténuation temporaire)
    • Désactivez immédiatement le plugin si une mise à jour n'est pas disponible. La désactivation empêche l'appel du point de terminaison vulnérable.
    • Si vous ne pouvez pas désactiver complètement (raisons professionnelles), restreignez l'accès à la fonctionnalité du plugin via un blocage au niveau du serveur ou de l'application.
  4. Limitez l'activité et les sessions des administrateurs
    • Demandez à tous les administrateurs d'éviter temporairement de visiter les pages d'administration du site pendant que vous traitez (ou restreignez l'accès à la zone wp-admin par IP).
    • Forcez la déconnexion de tous les utilisateurs ou imposez des réinitialisations de mot de passe pour les administrateurs si vous soupçonnez une compromission.
  5. Renforcez l'accès administrateur
    • Activez l'authentification à deux facteurs (2FA) pour tous les administrateurs.
    • Restreignez wp-admin et wp-login.php aux IP de confiance si possible (via .htaccess, pare-feu ou contrôles d'hébergement).
    • Envisagez le mode maintenance pour les environnements hautement critiques jusqu'à ce que vous ayez terminé le triage.
  6. Scannez le site à la recherche de signes de compromission
    • Effectuez une analyse complète des logiciels malveillants et un contrôle de l'intégrité des fichiers.
    • Recherchez des publications, des pages, des widgets et des options pour un JavaScript inhabituel, des iframes ou du contenu obfusqué.
    • Vérifiez les fichiers récemment modifiés pour des changements suspects.
    • Examinez les comptes utilisateurs pour des ajouts non autorisés.
  7. Rotation des identifiants et des secrets
    • Réinitialisez les mots de passe administratifs et toutes les clés API qui pourraient être exposées.
    • Changez les identifiants du panneau de contrôle d'hébergement et des FTP/SFTP si vous soupçonnez des téléchargements de fichiers ou un placement de shell.
  8. Contactez votre fournisseur d'hébergement / partenaire de sécurité
    • Si vous détectez une compromission active ou si vous n'êtes pas sûr de la marche à suivre, contactez votre hébergeur ou un fournisseur de sécurité pour une réponse à l'incident.

Signes d'exploitation — quoi surveiller

  • Nouvelles publications/pages ou publications modifiées avec des balises insérées ou du JavaScript obfusqué.
  • Contenu inattendu dans les widgets ou les champs d'options de thème.
  • Utilisateurs administrateurs non reconnus créés récemment.
  • Tâches planifiées inattendues (entrées WP-Cron).
  • Fichiers modifiés autour du moment où un administrateur a visité un lien externe.
  • Alertes basées sur le navigateur des administrateurs concernant des popups étranges lors de la visite du tableau de bord administrateur.
  • Journaux du serveur montrant des requêtes POST vers des points de terminaison de plugin provenant de référents externes ou de modèles d'ingénierie sociale courants.

Si vous trouvez l'un de ces indicateurs, supposez un compromis potentiel et suivez les étapes de réponse aux incidents (sauvegarde, isolement, analyse judiciaire).

Pour les développeurs : cause racine et corrections de codage sécurisé

Analyse de la cause profonde pour CSRF → XSS stocké identifie généralement un ou plusieurs des éléments suivants :

  • Nonces manquants ou mal validés pour les actions qui changent l'état côté serveur.
  • Échec de la vérification des current_user_capabilities (par exemple, en utilisant current_user_can(‘manage_options’)).
  • Stockage des entrées utilisateur sans assainissement ou autorisation de HTML non filtré à être persistant et rendu plus tard dans les pages administratives sans échappement.
  • Points de terminaison exposés à des requêtes non authentifiées qui acceptent des données POST/GET et les stockent.

Corrections recommandées au niveau du code (exemples) :

  1. Appliquer les contrôles de capacité

    if ( ! current_user_can( 'manage_options' ) ) {
  2. Utilisez des nonces pour les soumissions de formulaires et les actions AJAX/REST
    Ajoutez un champ nonce aux formulaires :

    wp_nonce_field( 'my_plugin_action', 'my_plugin_nonce' );

    Validez lors de la soumission :

    if ( ! isset( $_POST['my_plugin_nonce'] ) || ! wp_verify_nonce( $_POST['my_plugin_nonce'], 'my_plugin_action' ) ) {
  3. Assainissez l'entrée avant le stockage
    Si le champ ne doit contenir que du texte brut :

    $safe = sanitize_text_field( wp_unslash( $_POST['some_field'] ) );

    Si vous devez autoriser du HTML sécurisé, utilisez wp_kses_post ou une liste blanche plus stricte :

    $html = wp_kses_post( wp_unslash( $_POST['allowed_html_field'] ) );
  4. Échappez la sortie au moment du rendu
    Lors de l'affichage du contenu stocké, échappez toujours en fonction du contexte :

    echo esc_html( $stored_value ); // pour du texte brut
  5. Pour les points de terminaison REST et AJAX
    Utilisez des rappels de permission pour les routes REST :

    register_rest_route( 'my-plugin/v1', '/save', array(;

    Pour les actions admin-ajax.php, vérifiez les capacités et le nonce.

  6. Évitez d'accepter du HTML persistant provenant de sources non authentifiées
    Si vous devez accepter du contenu HTML, exigez des utilisateurs authentifiés avec la capacité appropriée et nettoyez soigneusement.

Si vous êtes l'auteur ou le développeur du plugin, appliquez ces modifications et publiez une version corrigée. Suivez les pratiques de cycle de vie de développement sécurisé et de révision de code.

Guide WAF et de patch virtuel (ce que nous recommandons)

En tant que fournisseur de WAF, nous voyons souvent deux approches d'atténuation immédiates :

  • Mise à jour de l'application / suppression du plugin vulnérable (solution ultime).
  • Patching virtuel via WAF pour bloquer les tentatives d'exploitation pendant qu'un correctif de code est préparé ou jusqu'à ce que vous puissiez mettre à jour en toute sécurité.

Si vous ne pouvez pas mettre à jour le plugin immédiatement, mettez en œuvre les atténuations WAF suivantes :

  1. Bloquez les requêtes vers le point de terminaison vulnérable qui manquent d'un nonce WordPress valide ou d'un référent légitime
    Logique : Si une requête modifie l'état (POST/PUT/PATCH) et n'inclut pas d'en-tête/paramètre nonce WP valide, inspectez et bloquez.
    Remarque : Les WAF ne peuvent pas valider parfaitement les nonces WP, mais ils peuvent faire respecter le fait que les requêtes modifiant l'état proviennent du même hôte (vérifiez les en-têtes Origin/Referer) et contiennent des motifs de cookie/session attendus.
  2. Bloquez les charges utiles suspectes enregistrées dans les tentatives XSS stockées
    Logique : Bloquez les POST contenant des motifs JavaScript dans des champs qui sont stockés (par exemple, , onerror=, eval(, document.cookie, ).
    Utilisez une approche conservatrice pour éviter les faux positifs sur le HTML légitime ; si votre site accepte le HTML uniquement de rôles de confiance, bloquez le HTML dans les requêtes provenant d'IP non authentifiées.
  3. Mettez sur liste blanche les pages administratives pour des IP connues ou imposez une authentification.
    Si vous pouvez restreindre wp-admin à vos IP d'entreprise, faites-le à la périphérie (WAF / pare-feu d'hébergement).
  4. Limitez le taux et régulez les requêtes inconnues/suspectes.
    Empêchez les tentatives d'exploitation massive en régulant les POST répétés vers les points de terminaison vulnérables.
  5. Surveillez et alertez pour les événements bloqués.
    Configurez des alertes pour les blocs WAF répétés ciblant les points de terminaison de plugins vulnérables, en particulier provenant de plusieurs IP ou géolocalisations distinctes.

Exemple d'une règle pseudo-sûre (non exécutable, à titre d'illustration) :

Si la méthode de requête est POST ET le chemin de la requête correspond au modèle de point de terminaison du plugin ET (aucun cookie d'administration WordPress présent OU l'en-tête d'origine est externe OU le corps de la requête contient une balise ) → bloquez et consignez.

Évitez de créer de petites règles de signature qui ne correspondent qu'à une seule chaîne de charge utile ; les attaquants mutent rapidement. Combinez des contrôles comportementaux (nonce manquant, référent externe, modèles JS dans les champs stockés) pour une meilleure protection.

Détection : journaux et indices d'analyse.

Lors de l'examen d'une possible exploitation, vérifiez :

  • Les journaux d'accès du serveur Web pour les requêtes POST vers les points de terminaison de plugins à des heures inhabituelles ou avec des référents externes.
  • WordPress wp_posts tableau pour les publications récentes avec des scripts suspects.
  • options_wp tableau pour des valeurs sérialisées inattendues ou des entrées contenant du JavaScript.
  • Liste des utilisateurs administrateurs pour de nouveaux comptes administratifs ou des changements de rôles.
  • Tentatives de connexion échouées et réussies et journaux de création de session.
  • Horodatages du système de fichiers : créations de fichiers inattendues ou changements de permissions sous wp-content, uploads, plugins et thèmes.
  • Journaux WAF : événements bloqués et hits de règles autour des points de terminaison pertinents.

Conservez des copies des journaux (faites-les tourner et archivez) avant d'effectuer des étapes de nettoyage destructrices.

Liste de contrôle de réponse aux incidents (si vous trouvez des preuves d'exploitation)

  1. Isoler
    Bloquez temporairement l'accès public ou restreignez wp-admin aux IP de confiance.
    Mettez le site hors ligne si une défiguration active ou une exfiltration de données se produit.
  2. Préserver les preuves
    Faites des sauvegardes complètes des fichiers du site et de la base de données pour une analyse judiciaire.
    Conservez les journaux de serveur et de WAF pertinents.
  3. Contenir
    Désactivez le plugin vulnérable et d'autres plugins non essentiels.
    Révoquez les clés API et faites tourner les identifiants potentiellement exposés.
  4. Éradiquer
    Supprimez le contenu malveillant des publications, des widgets et des options.
    Restaurez des fichiers propres à partir de sauvegardes connues si l'intégrité des fichiers est compromise.
    Réinstallez le cœur de WordPress et les plugins à partir de sources officielles.
  5. Récupérer
    Changez les mots de passe des comptes administratifs et d'hébergement.
    Réactivez les services progressivement et surveillez de près.
  6. Actions post-incident
    Effectuez une analyse des causes profondes et corrigez les vulnérabilités restantes.
    Envisagez des audits de sécurité périodiques et une surveillance continue.

Si vous n'avez pas d'expérience interne pour gérer les compromissions, engagez un fournisseur de réponse aux incidents ou votre hébergeur pour obtenir de l'aide.

Recommandations à long terme et durcissement

  • Privilège minimum : Assignez aux utilisateurs le rôle le plus bas nécessaire. Évitez de partager des comptes administratifs.
  • Authentification multi-facteurs : Appliquez l'authentification à deux facteurs pour tous les utilisateurs ayant des privilèges élevés.
  • Hygiène des plugins : Supprimez les plugins que vous n'utilisez pas activement. Vérifiez les plugins avant de les installer — vérifiez la date de la dernière mise à jour, le nombre d'installations et la réactivité du développeur.
  • Mises à jour automatiques : Activez les mises à jour automatiques pour les plugins de confiance et surveillez les alertes de mise à jour.
  • Sauvegardes : Maintenez des sauvegardes régulières et testées stockées hors site. Cela réduit le temps de récupération après une compromission.
  • Surveillance : Mettez en œuvre une surveillance des changements de fichiers, des alertes de connexion admin et une surveillance des événements WAF.
  • Mise en scène: Testez les mises à jour des plugins en staging avant de les appliquer en production.
  • Revue de code : Si les plugins acceptent et stockent du HTML, assurez-vous d'une désinfection stricte et d'une échappement lors du rendu.

Pour les auteurs de plugins : divulgation responsable et conseils de remédiation

  • Reproduisez et confirmez rapidement le problème.
  • Mettez en œuvre des correctifs : vérifications de capacité, validation de nonce, désinfection des entrées et échappement des sorties.
  • Publiez une version corrigée et publiez un avis incluant les versions affectées et les instructions de mise à niveau.
  • S'il n'y a pas de correctifs immédiats, communiquez de manière transparente aux utilisateurs et fournissez des conseils de mitigation temporaires (par exemple, désactiver le plugin, règles WAF).
  • Envisagez d'ajouter des tests unitaires et d'intégration automatisés pour les protections CSRF et XSS.

Une communication claire et un patching rapide réduisent la fenêtre d'exploitation et aident les administrateurs à répondre efficacement.

Exemple de liste de contrôle pour les développeurs pour corriger CSRF → XSS stocké

  • Ajouter wp_nonce_field aux formulaires et vérifiez avec wp_verify_nonce lors de la soumission.
  • Ajouter des vérifications de capacité (l'utilisateur actuel peut) toutes les actions modifiant l'état.
  • Restreindre les points de terminaison REST/AJAX via des rappels de permission.
  • Assainir les entrées avec assainir_champ_texte / wp_kses_post / liste blanche personnalisée.
  • Échapper les sorties avec echapper_html, esc_attr, wp_kses_post le cas échéant.
  • Ajoutez des journaux pour les changements administratifs (journalisation personnalisée dans un fichier ou hooks d'action).
  • Publiez des tests et mettez à jour le changelog du plugin avec le correctif de sécurité.

Pourquoi un attaquant ciblerait votre site

Certains propriétaires de sites supposent qu'ils sont “trop petits” pour être ciblés. C'est faux. Le XSS stocké et le CSRF peuvent être utilisés dans des campagnes de masse automatisées où les attaquants explorent des milliers de sites à la recherche de points de terminaison vulnérables et utilisent ensuite tout utilisateur privilégié qui visite une page malveillante pour parvenir à une compromission. Les attaquants n'ont pas besoin que votre site soit de haut profil — ils ont besoin qu'il soit exploitable.

Un seul compte administrateur compromis sur un site par ailleurs petit peut être abusé pour du phishing, du spam, du minage de cryptomonnaie, la distribution de logiciels malveillants, ou comme point d'ancrage pour pivoter vers d'autres systèmes.

Commencez à protéger votre site avec le plan gratuit WP-Firewall

Si vous souhaitez une protection rapide et pratique pendant que vous enquêtez et corrigez, WP-Firewall propose un plan de base gratuit qui inclut une couverture de pare-feu gérée, un WAF, un scan de logiciels malveillants, une bande passante illimitée et une mitigation contre les risques du Top 10 de l'OWASP — tous conçus pour réduire la fenêtre d'exposition aux vulnérabilités comme celle-ci. Vous pouvez vous inscrire au plan gratuit à : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Notre plan de base (gratuit) offre une protection essentielle pour bloquer les modèles d'exploitation courants et détecter les activités suspectes. Si vous avez besoin d'une remédiation plus proactive, nos plans payants ajoutent des fonctionnalités telles que la suppression automatique des logiciels malveillants, les contrôles d'autorisation/refus d'IP, les rapports de sécurité mensuels, le patching virtuel et les services de sécurité gérés. Pour un plugin vulnérable comme Word 2 Cash (≤ 0.9.2), activer immédiatement les protections basées sur WAF peut réduire considérablement votre risque pendant que vous appliquez des corrections à long terme.

Chronologie recommandée pour les propriétaires/admins

  • Dans l'heure : Identifiez si le plugin est installé et actif. S'il est actif et non corrigé, envisagez de désactiver et de restreindre l'accès admin.
  • Dans les 24 heures : Effectuez une analyse complète du site et inspectez le contenu malveillant ; restreignez les sessions admin ; activez l'authentification à deux facteurs et faites tourner les identifiants si nécessaire.
  • Dans les 72 heures : Appliquez les mises à jour (si disponibles) ou maintenez les règles WAF/patches virtuels jusqu'à l'arrivée des corrections du développeur ; effectuez un contrôle forensic complet si des indicateurs de compromission existent.
  • Dans les 7 jours : Finalisez la remédiation, restaurez des sauvegardes propres et mettez en œuvre des contrôles de durcissement à long terme.

Questions fréquemment posées (réponses rapides)

Q : Cette vulnérabilité est-elle exploitable à distance sans aucune interaction de l'utilisateur ?
R : Non. L'attaquant peut soumettre la demande initiale sans authentification, mais un utilisateur privilégié doit interagir (visiter une page ou effectuer une action). Cela dit, l'ingénierie sociale peut être utilisée pour obtenir cette interaction — donc le risque doit être traité comme urgent.

Q : Un WAF peut-il me protéger complètement ?
R : Les WAF peuvent fournir une forte protection temporaire (patching virtuel) mais ne remplacent pas l'application de patches en amont. Utilisez les protections WAF pour réduire l'exposition pendant que vous appliquez la correction permanente.

Q : Que faire si mon site a été compromis ?
R : Suivez la liste de contrôle de réponse aux incidents : isolez, préservez les preuves, contenir, éradiquer, récupérer et apprendre. Envisagez une assistance professionnelle en réponse aux incidents si vous détectez des portes dérobées actives ou une exfiltration de données.

Notes finales de l'équipe de sécurité WP-Firewall

Cette vulnérabilité est un rappel pratique de deux vérités universelles en matière de sécurité WordPress :

  1. Validez toujours l'origine et les privilèges pour les actions qui changent l'état côté serveur (les nonces + vérifications de capacité sont essentielles).
  2. Assainissez et échappez — ne traitez jamais les entrées utilisateur stockées comme inoffensives, surtout lorsqu'elles peuvent être rendues dans des contextes admin.

Si vous utilisez le plugin Word 2 Cash, agissez maintenant : identifiez, atténuez et corrigez. Si vous êtes développeur, appliquez des modèles de codage sécurisés et expédiez une correction. Si vous gérez plusieurs sites ou des environnements clients, envisagez d'utiliser un service WAF géré et de surveillance pour réduire votre temps de réaction et ajouter une couche de protection pendant que vous complétez la remédiation.

Protéger les sites WordPress est un processus continu — une action rapide économise du temps, de l'argent et de la réputation.

Soyez prudent,
— L'équipe de sécurité de WP-Firewall

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™