Atténuer l'authentification cassée dans Tutor LMS Pro//Publié le 2026-03-11//CVE-2026-0953

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Tutor LMS Pro Vulnerability

Nom du plugin Tutor LMS Pro
Type de vulnérabilité Authentification rompue
Numéro CVE CVE-2026-0953
Urgence Critique
Date de publication du CVE 2026-03-11
URL source CVE-2026-0953

Avis de sécurité urgent : Authentification rompue dans Tutor LMS Pro (≤ 3.9.5) — CVE‑2026‑0953

Date: 11 mars 2026
Gravité: Élevé (CVSS 9,8)
Affecté: Plugin Tutor LMS Pro pour WordPress — versions ≤ 3.9.5
Corrigé dans : 3.9.6

En tant qu'équipe derrière WP‑Firewall (un pare-feu d'application Web WordPress professionnel et un service de sécurité géré), nous traitons les failles de contournement d'authentification avec la plus haute priorité. La vulnérabilité récemment divulguée dans le plugin Tutor LMS Pro (CVE‑2026‑0953) permet à un attaquant de contourner l'authentification via la fonctionnalité de connexion sociale du plugin et — dans le pire des cas — d'escalader vers un accès administratif sur des sites vulnérables. Cet avis explique ce qui a mal tourné, comment les attaquants pourraient abuser de la faille, comment détecter si un site a été ciblé ou compromis, des atténuations pratiques que vous pouvez appliquer maintenant, et comment WP‑Firewall protège les sites WordPress contre cette classe de risque.

Il s'agit d'un guide technique, opérationnel et actionnable — écrit du point de vue des défenseurs de WordPress et des opérateurs de sites, et non des chercheurs publiant du code d'exploitation. Si vous gérez un site utilisant Tutor LMS Pro, veuillez lire attentivement et agir maintenant.

Résumé exécutif

  • Ce qui s'est passé: Une faille logique dans la gestion de la connexion sociale de Tutor LMS Pro (versions jusqu'à 3.9.5) pourrait être exploitée pour s'authentifier en tant qu'autre utilisateur sans passer par les étapes de vérification appropriées. Il s'agit d'une vulnérabilité de contournement d'authentification / d'authentification rompue.
  • Impact: Un attaquant non authentifié pourrait potentiellement se connecter en tant qu'utilisateur arbitraire sur le site — y compris des administrateurs — ou obtenir des privilèges élevés et maintenir l'accès.
  • Gravité: Élevé — noté CVSS 9.8. Cette vulnérabilité permet des actions non authentifiées menant à la prise de contrôle de compte et à la compromission du site.
  • Correctif : Mettez à jour Tutor LMS Pro vers 3.9.6 ou une version ultérieure immédiatement.
  • Atténuations immédiates : Si vous ne pouvez pas appliquer le correctif immédiatement, désactivez la fonctionnalité de connexion sociale du plugin, appliquez des règles WAF pour patcher virtuellement le site, imposez une authentification à deux facteurs pour les utilisateurs privilégiés, examinez les comptes et les journaux, faites tourner les identifiants et verrouillez les points de terminaison administratifs.
  • WP‑Firewall : Nous avons publié une règle de patching virtuel pour bloquer les tentatives d'exploitation ciblant les points de terminaison et les comportements de connexion sociale affectés. Les sites protégés par WP‑Firewall sont automatiquement protégés pendant que vous organisez la mise à jour officielle du plugin.

Contexte : connexion sociale et pourquoi elle est risquée lorsqu'elle est mal implémentée

La connexion sociale (flux OAuth/OIDC/OpenID Connect, ou API de fournisseur) simplifie l'intégration et l'authentification des utilisateurs en déléguant l'identité à un fournisseur externe tel que Google, Facebook ou similaire. Les implémentations de connexion sociale appropriées doivent :

  • Valider les réponses du fournisseur (tokens, signatures) par rapport à l'API du fournisseur.
  • Vérifier que la réponse du fournisseur correspond à un utilisateur de site autorisé (par e-mail vérifié ou un lien de compte existant).
  • Protéger les points de terminaison de rappel par CSRF/nonces et exiger un contexte de session approprié.
  • Ne pas permettre que des requêtes non authentifiées soient interprétées comme une authentification réussie sans preuve du fournisseur.

Lorsque l'une de ces vérifications est manquante ou mal implémentée, un attaquant peut falsifier ou rejouer des réponses d'authentification, exploiter le routage des rappels, ou déclencher une logique serveur qui traite une requête non authentifiée comme une session authentifiée. La vulnérabilité de Tutor LMS Pro est un exemple classique d'une faille logique dans le flux de connexion sociale qui conduit à une authentification rompue.

Résumé technique (clair, actionnable)

Nous ne publierons pas d'exploit étape par étape. Cependant, au niveau technique, la vulnérabilité est un défaut de logique dans la façon dont le plugin Tutor LMS Pro validait les réponses de connexion sociale et les liait aux comptes locaux. Le plugin acceptait ou traitait certains rappels d'authentification externes (ou actions API équivalentes) sans valider correctement :

  • l'authenticité de la réponse du fournisseur (signature du jeton du fournisseur ou vérification du fournisseur), ou
  • les sessions/nonces qui lient la réponse à la demande de connexion initiale, ou
  • la correspondance entre l'identité du fournisseur (email/ID) et un compte local, permettant à un attaquant d'usurper l'identité d'un utilisateur.

Parce que le flux du plugin n'a pas réussi à appliquer ces vérifications de manière cohérente, un attaquant pouvait déclencher le chemin de code vulnérable et obtenir une session authentifiée pour un compte cible ou provoquer une élévation de privilèges. La vulnérabilité a été corrigée dans Tutor LMS Pro 3.9.6 en ajoutant les étapes de vérification nécessaires et en renforçant la logique autour du traitement des rappels de connexion sociale.

Ce qu'un attaquant pourrait faire (impact)

L'authentification rompue dans un plugin de système de gestion de l'apprentissage est particulièrement grave car ces sites ont souvent des instructeurs et des administrateurs privilégiés avec de larges capacités. Un exploit réussi pourrait permettre à l'attaquant de :

  • Se connecter en tant qu'utilisateur existant (y compris instructeur ou admin) sans identifiants.
  • Créer de nouveaux comptes avec des rôles élevés (si le plugin créait ou connectait des comptes automatiquement).
  • Accéder ou exfiltrer des données utilisateur sensibles (listes d'étudiants, emails, notes).
  • Télécharger ou exécuter du contenu malveillant (les matériaux de cours peuvent parfois inclure des éditeurs permettant de télécharger ou du code personnalisé).
  • Escalader à une prise de contrôle complète du site : installer des portes dérobées, créer des utilisateurs admin persistants, installer des plugins ou thèmes malveillants, ou modifier la configuration du site.
  • Abuser du site pour héberger du phishing, des logiciels malveillants, ou comme pivot vers d'autres systèmes internes.

Parce que le défaut est exploitable par des acteurs non authentifiés et concerne l'authentification elle-même, le risque est élevé et immédiat.

Détection : signes que votre site pourrait avoir été ciblé ou compromis

Si vous utilisez Tutor LMS Pro (≤ 3.9.5), recherchez ces indicateurs d'analyse dans les journaux, les tables d'utilisateurs et le comportement du site. Aucun de ces éléments à lui seul ne prouve un compromis — mais ce sont de forts signes que vous devez enquêter davantage.

  1. Connexions réussies inattendues depuis des adresses IP inhabituelles
    • Recherchez des connexions aux comptes admin/instructeur depuis des IP, des pays ou des ASN non liés à vos utilisateurs.
  2. Événements de connexion sans vérifications de mot de passe correspondantes
    • Tout journal qui montre une authentification réussie où le mécanisme d'authentification était une connexion sociale mais où il n'y avait pas de vérification appropriée du fournisseur.
  3. Nouveaux comptes administrateurs ou instructeurs créés sans approbation manuelle
    • Auditez la table des utilisateurs (wp_users + wp_usermeta) pour de nouveaux comptes avec des privilèges élevés autour du moment d'activités suspectes.
  4. Anomalies de session
    • Sessions créées dans une courte fenêtre de temps, ou sessions pour des utilisateurs qui n'ont pas demandé de connexion.
  5. Fichiers modifiés ou tâches planifiées ajoutées
    • Recherchez des fichiers de plugin/thème récemment modifiés, des fichiers PHP inconnus dans wp-content/uploads ou des répertoires aléatoires, et des événements cron inconnus.
  6. Connexions sortantes vers des hôtes inhabituels
    • Les webshells ou portes dérobées se connecteront souvent à l'extérieur pour le commandement et le contrôle.
  7. Notifications par e-mail concernant des changements de mot de passe, des changements de rôle d'utilisateur, ou des enregistrements de nouveaux utilisateurs que vous n'attendiez pas.

Comment vérifier rapidement :

  • Exportez et examinez les lignes récentes des journaux d'accès pour les demandes aux points de terminaison des plugins, en particulier les points de terminaison impliqués dans la connexion sociale ou les rappels.
  • Utilisez le scanner et les vérifications d'intégrité de WP‑Firewall pour rechercher des fichiers modifiés ou des indicateurs connus de compromission.
  • Vérifiez le utilisateurs_wp table pour les nouveaux utilisateurs, et wp_usermeta pour les changements de rôle.
  • Vérifiez les comptes administrateurs du site : réinitialisez les mots de passe pour tous les comptes administrateurs si vous trouvez des connexions suspectes.

Liste de vérification de mitigation immédiate (que faire tout de suite)

Suivez cette liste de contrôle priorisée. Si vous gérez plusieurs sites WordPress, appliquez d'abord les mesures d'atténuation les plus restrictives (par exemple, désactiver les fonctionnalités vulnérables) sur tous les sites affectés.

  1. Correctif immédiatement
    • Mettez à jour Tutor LMS Pro vers la version 3.9.6 ou ultérieure dès que possible. C'est la remédiation définitive.
  2. Si vous ne pouvez pas appliquer de correctif immédiatement — désactivez la connexion sociale
    • Désactivez la fonctionnalité de connexion sociale du plugin dans les paramètres du plugin, ou désactivez temporairement le plugin si cela est faisable.
  3. Déployez un correctif virtuel (WAF)
    • Si vous avez un WAF (comme WP‑Firewall), activez l'ensemble de règles ciblant spécifiquement cette vulnérabilité. Notre règle bloque les modèles d'exploitation et empêche les demandes non authentifiées d'être acceptées comme des rappels de connexion sociale authentifiés.
  4. Appliquer l'authentification à deux facteurs (2FA)
    • Exiger la 2FA pour tous les comptes administrateurs et instructeurs. Cela empêche de nombreuses classes de prise de contrôle de compte même si l'authentification est contournée au niveau du plugin.
  5. Faire tourner les identifiants et invalider les sessions
    • Réinitialiser les mots de passe des comptes administrateurs et invalider toutes les sessions actives. Forcer la déconnexion de tous les utilisateurs si possible.
  6. Auditez les utilisateurs
    • Supprimer ou désactiver tout compte administrateur/instructeur suspect ou nouvellement créé. Vérifier que chaque utilisateur privilégié est légitime.
  7. Examiner les journaux et le système de fichiers
    • Rechercher des modèles d'accès suspects, des fichiers inconnus ou des fichiers PHP récemment modifiés.
  8. Restaurer à partir de sauvegardes propres en cas de compromission
    • S'il existe des preuves de compromission et que vous ne pouvez pas supprimer l'intrusion en toute confiance, restaurez à partir de sauvegardes fiables et réappliquez les correctifs et le durcissement avant de vous reconnecter à Internet.
  9. durcissement
    • Restreindre l'accès à wp-admin avec des listes d'IP autorisées lorsque cela est pratique, activer des politiques de mots de passe forts et minimiser le nombre d'utilisateurs ayant des capacités administratives.
  10. Communiquer avec les parties prenantes
    • Si des données utilisateur ont pu être exposées, suivez vos obligations en matière de confidentialité et de divulgation (RGPD ou autres cadres réglementaires applicables).

Protection WP-Firewall : comment notre WAF atténue cette vulnérabilité

En tant que fournisseur de WAF WordPress géré, notre approche comprend un patch virtuel immédiat ainsi qu'une surveillance et un durcissement continus. Pour CVE-2026-0953, nous avons fait ce qui suit :

  • Patch virtuel rapide : Nous avons poussé une règle de protection qui :
    • Identifie et bloque les modèles de requêtes qui tentent d'exploiter la logique de rappel de connexion sociale vulnérable (détection comportementale plutôt que de se fier uniquement aux chemins de fichiers ou aux numéros de version).
    • Bloque les requêtes non authentifiées qui tentent d'invoquer directement le gestionnaire de rappel de connexion sociale sans contexte de session valide ou vérification du fournisseur.
    • Détecte des séquences anormales : requêtes de rappel répétées provenant de la même IP, requêtes manquant de valeurs de référent ou d'origine attendues, et modèles d'agent utilisateur non standard typiques des outils automatisés.
  • Limitation de taux : Appliquer des limites de taux strictes aux points de terminaison d'authentification et de rappel pour prévenir l'exploitation de masse automatisée.
  • Réputation IP et contrôles géographiques : Appliquez optionnellement un scoring de réputation et un blocage temporaire pour les IP ou géographies à haut risque présentant des tentatives d'exploitation.
  • Patching virtuel pour une couverture multi-vecteurs : Bien que la mise à jour officielle du plugin ait été publiée, notre suite de règles empêche les tentatives d'exploiter à la fois les flux logiques connus et connexes qui pourraient être abusés de manière similaire.
  • Rapport post-blocage : Les administrateurs reçoivent des journaux détaillés lorsque des demandes bloquées se produisent, y compris les détails de la demande brute et les actions de remédiation suggérées (mettre à jour le plugin, désactiver la connexion sociale).
  • Scanner d'intégrité : Nous recommandons d'exécuter notre scanner de logiciels malveillants et de vérifier l'intégrité des fichiers pour détecter tout signe de compromission et supprimer les charges utiles malveillantes connues.

Important: Le patching virtuel comble le fossé entre la divulgation et le patching. Ce n'est pas un substitut à l'application du patch fourni par le fournisseur, mais cela réduit considérablement le risque d'exploitation dans la nature.

Exemple de configuration WAF / recommandations de défense en profondeur

Voici des règles et contrôles génériques et exploitables que nous recommandons. Si vous utilisez WP-Firewall, celles-ci sont mises en œuvre automatiquement ; sinon, demandez à votre équipe de sécurité d'hébergement ou à l'administrateur WAF d'appliquer des équivalents.

  1. Bloquez l'accès non authentifié aux points de rappel de connexion sociale
    • Si le plugin expose un chemin de rappel (par exemple, /?tutor_social_callback ou une route REST), bloquez les demandes POST/GET à ce chemin qui n'incluent pas de jetons de session valides ou qui ne proviennent pas de plages IP de fournisseur légitimes.
  2. Exigez une validation de référent/origine sur les rappels d'authentification
    • Rejetez les demandes de rappel qui manquent d'un en-tête de référent/origine correspondant à votre site ou qui ne sont pas initiées par une session d'authentification active.
  3. Limitez le taux des points de terminaison d'authentification
    • Autorisez un petit nombre de tentatives d'authentification par IP par minute (ajustable par site).
  4. Exigez la vérification du jeton de fournisseur côté serveur
    • Assurez-vous que le plugin (ou votre logique personnalisée) invoque l'API du fournisseur (introspection de jeton) pour valider les jetons au lieu de faire confiance aux assertions fournies par le client.
  5. Bloquez les demandes avec des en-têtes/agents utilisateurs suspects
    • De nombreux scripts d'exploitation automatisés utilisent des agents utilisateurs génériques ou vides et contiennent des en-têtes malformés. Bloquez ou contestez de telles demandes.
  6. Détecter et alerter sur les changements de privilèges
    • Les outils WAF ou de surveillance doivent générer des alertes lorsqu'un rôle utilisateur non standard est attribué ou lorsqu'un nouvel utilisateur admin est créé.
  7. Surveiller et alerter sur les anomalies de connexion
    • Une fréquence de connexion rapide, plusieurs IP distinctes se connectant au même compte dans de courts délais, et des connexions à des heures inhabituelles valent la peine d'être signalées.
  8. Appliquer la 2FA sur tous les comptes privilégiés
    • Même si la couche d'authentification de l'application est compromise, un second facteur atténue la prise de contrôle du compte.

Note: Les routes de rappel exactes et les internes du plugin varient selon la version du plugin. Utilisez la documentation du plugin et les journaux de votre hébergeur pour identifier les bons points de terminaison à surveiller et à protéger.

Manuel de réponse aux incidents (étape par étape)

Si vous soupçonnez une compromission, suivez ce manuel priorisé. Le temps et l'ordre comptent.

  1. Isoler
    • Mettez le site en mode maintenance ou restreignez temporairement l'accès à wp-admin uniquement depuis des IP de confiance.
  2. Instantané des journaux et du système de fichiers
    • Conservez les journaux d'accès, les journaux d'erreurs et une copie du système de fichiers/base de données du site avant de faire des changements.
  3. Corrigez ou désactivez la fonctionnalité vulnérable
    • Mettez à jour Tutor LMS Pro vers 3.9.6 OU désactivez la connexion sociale.
  4. Appliquez des blocs WAF
    • Activez l'ensemble de règles WP‑Firewall pour bloquer les tentatives d'exploitation.
  5. Faites tourner les identifiants et révoquez les sessions
    • Forcez les réinitialisations de mot de passe pour les admins et les instructeurs et déconnectez toutes les sessions utilisateur.
  6. Analysez et supprimez la persistance
    • Exécutez des analyses de logiciels malveillants et d'intégrité. Supprimez les portes dérobées, les utilisateurs admin indésirables et les tâches cron inconnues.
  7. Restaurer et valider
    • Si vous restaurez une sauvegarde, assurez-vous que la sauvegarde est propre (créée avant la compromission initiale).
  8. Post-mortem
    • Documentez la chronologie, la cause profonde, les indicateurs et les étapes de remédiation. Ajustez les processus pour éviter une récurrence.
  9. Informez les utilisateurs et les parties prenantes.
    • Si des données personnelles ont été accessibles, préparez des communications et respectez les obligations réglementaires.

Durcissement et contrôles à long terme

Au-delà du correctif de la vulnérabilité et de la réponse aux incidents, mettez en œuvre des contrôles durables :

  • Gardez les plugins, les thèmes et le cœur de WordPress à jour. Planifiez des tests et des mises à jour progressives.
  • Utilisez un WAF géré avec des mises à jour automatiques des règles pour vous protéger contre les vulnérabilités nouvellement divulguées pendant que vous appliquez le correctif.
  • Appliquez l'authentification multi-facteurs (MFA) pour tous les comptes administratifs et les comptes utilisateurs privilégiés.
  • Mettez en œuvre une gestion des utilisateurs avec le principe du moindre privilège : minimisez les comptes administratifs et utilisez la séparation des rôles.
  • Maintenez des sauvegardes hors site, immuables et testez régulièrement les restaurations.
  • Activez la surveillance et l'alerte de l'intégrité des fichiers.
  • Effectuez des audits de sécurité périodiques et des tests de pénétration pour les sites critiques.
  • Examinez les intégrations tierces (fournisseurs de connexion sociale) pour vérifier qu'elles sont correctement configurées.

Foire aux questions (FAQ)

Q : Si je mets à jour vers 3.9.6, suis-je en sécurité ?
A : La mise à jour vers la version corrigée du fournisseur est la principale remédiation et devrait fermer la vulnérabilité. Après la mise à jour, vérifiez votre site pour des signes de compromission et suivez la liste de contrôle de réponse aux incidents si une activité suspecte est trouvée.

Q : Si j'ai désactivé la connexion sociale, le site est-il toujours vulnérable ?
A : Désactiver la fonctionnalité vulnérable supprime la surface d'attaque pour ce problème spécifique. Cependant, appliquez toujours le correctif lorsqu'il est disponible et continuez à renforcer la sécurité ; désactiver une fonctionnalité est une atténuation temporaire.

Q : Que faire si je vois déjà un administrateur que je ne reconnais pas ?
A : Traitez le site comme potentiellement compromis. Isolez, prenez un instantané des journaux et du système de fichiers, supprimez l'administrateur non autorisé, faites tourner les identifiants pour tous les administrateurs restants, recherchez des portes dérobées, restaurez à partir d'une sauvegarde connue comme bonne si nécessaire, et suivez le plan de réponse aux incidents ci-dessus.

Q : Dois-je informer les utilisateurs ?
A : S'il y a des preuves que des données utilisateur ont été accessibles, vous pourriez avoir des obligations de notification en vertu des lois applicables (par exemple, RGPD). Engagez les équipes juridiques/de communication si nécessaire.

Comment WP-Firewall vous aide à récupérer et à prévenir de futurs incidents.

Chez WP‑Firewall, nous combinons des protections automatisées avec une réponse humaine aux incidents :

  • Patches virtuels immédiats pour les vulnérabilités nouvellement divulguées sur des milliers de déploiements.
  • Blocage en temps réel des tentatives d'exploitation et rapports détaillés sur le trafic bloqué.
  • Analyse de logiciels malveillants, surveillance de l'intégrité des fichiers et assistance à la nettoyage.
  • Réglage continu : nous analysons les tentatives bloquées et ajustons les heuristiques pour minimiser les faux positifs tout en maximisant la protection.
  • Pour les clients gérés : nous offrons un support de réponse aux incidents, un nettoyage persistant et des services de renforcement, ainsi qu'une optimisation continue de la sécurité.

Notre objectif est de garder votre site en sécurité pendant que vous gérez le contenu et les opérations d'apprentissage — afin que vous n'ayez pas à passer des nuits à traquer les tentatives d'exploitation.

Commencez à protéger votre site gratuitement (niveau de base WP‑Firewall)

Si vous souhaitez arrêter immédiatement les tentatives d'exploitation et mettre en place des protections essentielles, envisagez de commencer avec le plan de base (gratuit) de WP‑Firewall. Il comprend un pare-feu géré, une bande passante illimitée, des protections WAF robustes, un scanner de logiciels malveillants et une atténuation des risques OWASP Top 10 — tout ce dont vous avez besoin pour fermer les vecteurs connus pendant que vous corrigez les plugins et renforcez votre site.

Inscrivez-vous ici au forfait gratuit : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si vous avez besoin d'une automatisation supplémentaire comme la suppression automatique de logiciels malveillants, le blocage/déblocage d'IP, le patching virtuel des vulnérabilités et des rapports de sécurité mensuels, nos plans Standard et Pro offrent ces extras.)

Référence rapide — Que faire maintenant (liste de contrôle TL;DR)

  1. Mettez à jour Tutor LMS Pro vers 3.9.6 ou une version ultérieure — faites cela en premier si possible.
  2. Si vous ne pouvez pas mettre à jour immédiatement, désactivez la fonction de connexion sociale du plugin ou désactivez le plugin.
  3. Activez les protections WP‑Firewall (ou un WAF géré équivalent) et assurez-vous que le patch virtuel est actif.
  4. Appliquez l'authentification à deux facteurs pour tous les utilisateurs privilégiés et réinitialisez les mots de passe administratifs.
  5. Auditez les rôles des utilisateurs et supprimez les comptes suspects.
  6. Scannez à la recherche de logiciels malveillants, de webshells et de modifications non autorisées ; restaurez à partir de sauvegardes propres si nécessaire.
  7. Surveillez les journaux pour détecter des activités de connexion suspectes et des tentatives d'exploitation bloquées.
  8. Renforcez l'authentification et l'accès à wp-admin (restriction IP, mots de passe forts, moindre privilège).

Réflexions finales de WP‑Firewall

Les vulnérabilités de contournement d'authentification figurent parmi les problèmes les plus dangereux auxquels un site WordPress peut être confronté car elles attaquent le gardien lui-même. Le problème de Tutor LMS Pro est un rappel opportun que même les fonctionnalités pratiques — comme la connexion sociale — doivent être conçues et mises en œuvre avec une validation rigoureuse côté serveur.

Si vous hébergez du contenu d'apprentissage ou gérez des sites avec des utilisateurs à privilèges élevés, priorisez le patching et mettez en place des protections robustes devant les flux d'authentification de votre site. Le patching virtuel via un WAF vous donne du temps ; le durcissement du système, le principe du moindre privilège et des contrôles d'accès solides empêchent les attaquants de transformer une seule vulnérabilité en un compromis complet du site.

Si vous souhaitez de l'aide pour évaluer les risques, confirmer si votre site a été ciblé ou appliquer les mesures de protection décrites dans cet avis, l'équipe de WP‑Firewall est prête à vous aider — en commençant par notre protection de base gratuite à https://my.wp-firewall.com/buy/wp-firewall-free-plan/.

Restez en sécurité là-bas — mais soyez prêt à agir rapidement. La sécurité repose sur des couches, la rapidité et des procédures claires.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™