Atténuation des CSRF dans le plugin BirdSeed//Publié le 2026-06-02//CVE-2026-4071

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

BirdSeed Vulnerability

Nom du plugin Graines d'oiseaux
Type de vulnérabilité CSRF
Numéro CVE CVE-2026-4071
Urgence Faible
Date de publication du CVE 2026-06-02
URL source CVE-2026-4071

BirdSeed <= 2.2.0 — Vulnérabilité CSRF (CVE-2026-4071) : Ce que les propriétaires de sites WordPress doivent savoir et comment WP‑Firewall vous protège

Date: 1 juin 2026
Gravité: Faible (CVSS 4.3)
Affecté: Plugin BirdSeed — versions <= 2.2.0
CVE : CVE-2026-4071

Une divulgation récente a identifié une vulnérabilité de falsification de requête cross-site (CSRF) dans le plugin WordPress BirdSeed (versions jusqu'à 2.2.0). Bien que la note CVSS soit faible et que la vulnérabilité nécessite une interaction de l'utilisateur, les problèmes CSRF ciblent les utilisateurs ayant des privilèges plus élevés (éditeurs de site, administrateurs) et peuvent être exploités dans des attaques de phishing ciblées ou de masse. Dans cet article, j'expliquerai la vulnérabilité en termes simples, vous guiderai à travers des scénarios d'exploitation réalistes, fournirai des mesures d'atténuation immédiates que vous pouvez appliquer même avant qu'un correctif du fournisseur ne soit publié, et expliquerai comment WP‑Firewall protège les sites contre ce genre de problèmes.

J'écris cela du point de vue d'un praticien de la sécurité WordPress chez WP‑Firewall — pratique, concret et orienté vers les propriétaires de sites, les développeurs et les administrateurs qui souhaitent des défenses efficaces et rapides.

Résumé exécutif (court)

  • Le plugin BirdSeed (<= 2.2.0) présente une vulnérabilité CSRF (CVE‑2026‑4071).
  • L'exploitation nécessite un utilisateur privilégié (par exemple, un administrateur) pour effectuer une action (par exemple, cliquer sur un lien, visiter une page) tout en étant authentifié.
  • Aucun correctif officiel n'est disponible au moment de la divulgation.
  • Options immédiates : appliquer des contrôles compensatoires (WAF/correctif virtuel, bloquer les points de terminaison vulnérables, restreindre l'accès administrateur, désactiver temporairement le plugin) et assurer le durcissement du site (nonces, vérifications de capacité) lorsque les mainteneurs du plugin publient des correctifs.
  • WP‑Firewall peut protéger votre site avec un correctif virtuel géré et des règles WAF pendant que vous attendez une mise à jour officielle.

Qu'est-ce que le CSRF et pourquoi est-ce important pour les plugins WordPress ?

La falsification de requête cross-site (CSRF) est une attaque où un attaquant trompe un utilisateur connecté pour qu'il effectue une requête non intentionnelle à une application web dans laquelle l'utilisateur est authentifié. Dans WordPress, cela signifie généralement tromper un administrateur ou un éditeur pour qu'il visite une page malveillante ou clique sur un lien qui provoque une action administrative sur le site (modifier des paramètres, publier du contenu, changer des options), car le navigateur de l'utilisateur inclut automatiquement ses cookies d'authentification.

Points clés :

  • Le CSRF exploite la session authentifiée de la victime — ce n'est pas un bug côté serveur qui nécessite un contournement de l'authentification.
  • Des défenses CSRF appropriées nécessitent que les requêtes modifiant l'état incluent un jeton secret que l'attaquant ne peut pas deviner ou présenter depuis une autre origine (dans WordPress, des nonces).
  • Si un plugin expose un point de terminaison d'action qui effectue un travail privilégié sans vérification de nonce et vérifications de capacité, il peut être vulnérable au CSRF.

Dans le cas de BirdSeed, le comportement s'aligne sur un modèle classique de CSRF : le plugin accepte des requêtes modifiant l'état sans validation appropriée du jeton CSRF, ce qui signifie qu'un attaquant peut créer une requête qui, lorsqu'elle est exécutée par un administrateur connecté, effectue cette action sur le site.

Comment un attaquant pourrait exploiter cette vulnérabilité — scénarios réalistes

Bien que la vulnérabilité soit étiquetée “ faible priorité ”, le flux d'attaque est simple et efficace dans les bonnes conditions :

  1. L'attaquant crée une page web malveillante ou un email (phishing) qui soumet silencieusement une requête POST (ou GET) au point de terminaison du plugin vulnérable sur le site WordPress cible.
  2. Un administrateur/éditeur du site cible, actuellement connecté au tableau de bord WordPress, visite la page malveillante ou clique sur le lien.
  3. Le navigateur inclut automatiquement les cookies de session de l'administrateur, donc la requête est exécutée avec des privilèges d'administrateur. Comme le point de terminaison manque de vérifications appropriées de nonce/capacité, l'action est effectuée — modifiant possiblement les paramètres du plugin, déclenchant des fonctionnalités ou activant un comportement indésirable.
  4. Selon l'action, l'attaquant peut obtenir une persistance (paramètres de porte dérobée), perturber la fonctionnalité du site ou pivoter vers d'autres attaques.

Nuance importante : Le CSRF nécessite que la victime soit authentifiée et effectue une action (visite/clic). Cependant, les attaquants peuvent cibler n'importe quel administrateur en grand nombre — un spear-phishing à l'administrateur d'un site suffit. C'est pourquoi même les vulnérabilités CVSS “faibles” nécessitent une atténuation soigneuse pour les sites de production.

Pourquoi l'étiquette “Non authentifié” peut être trompeuse

Certains rapports indiquent “Privilège requis : Non authentifié.” En pratique, les attaques CSRF s'appuient sur une victime authentifiée. La raison pour laquelle “non authentifié” apparaît parfois est que l'attaquant n'a pas besoin de s'authentifier pour envoyer la requête malveillante ; il lui suffit d'attirer un utilisateur privilégié pour l'exécuter. Supposons toujours qu'une vulnérabilité CSRF soit capable de provoquer des actions avec les privilèges de l'utilisateur connecté qui effectue l'action — souvent un administrateur.

Étapes immédiates pour les propriétaires de sites (liste de vérification de remédiation rapide)

Si vous administrez un site WordPress utilisant BirdSeed (<= 2.2.0), suivez ces étapes prioritaires immédiatement — vous n'avez pas besoin d'attendre un correctif de plugin :

  1. Faites l'inventaire
      – Identifiez tous les sites exécutant les versions vulnérables de BirdSeed. Utilisez votre tableau de bord de gestion de plugins, WP-CLI ou votre panneau de contrôle d'hébergement.
  2. Restreindre temporairement l'accès admin
      – Limitez l'accès à /wp-admin et /wp-login.php avec des listes d'autorisation IP ou une authentification HTTP à court terme.
      – Si votre hébergement le permet, restreignez l'accès aux pages d'administration du plugin par IP.
  3. Utilisez un WAF / Correctif virtuel (recommandé)
      – Déployez des règles pour bloquer les requêtes vers les points de terminaison d'action vulnérables à moins qu'elles ne contiennent un nonce valide ou un en-tête attendu. Les clients de WP-Firewall peuvent recevoir un correctif virtuel immédiat qui bloque les modèles d'exploitation.
  4. Désactivez le plugin (si acceptable)
      – Si la fonctionnalité de BirdSeed n'est pas critique, envisagez de la désactiver jusqu'à ce qu'une version corrigée soit disponible.
  5. Surveillez les journaux et les comptes administratifs
      – Recherchez des changements suspects, des mises à jour de paramètres inattendues ou de nouveaux utilisateurs administrateurs. Activez la journalisation et exportez les journaux pour une analyse judiciaire.
  6. Informez les administrateurs et le personnel
      – Avertissez les administrateurs de site de ne pas cliquer sur des liens inconnus ou de visiter des pages non fiables tout en étant connectés au tableau de bord. Envisagez de forcer la déconnexion des administrateurs et de faire tourner les identifiants.
  7. Préparez-vous à la remédiation une fois qu'un correctif est publié
      – Gardez un plan pour mettre à jour le plugin immédiatement lorsque le fournisseur publie un correctif. Testez la mise à jour sur un environnement de staging d'abord si possible.

Si vous gérez plusieurs sites, l'automatisation est essentielle — utilisez des scripts WP-CLI ou votre outil de gestion de site pour identifier les sites vulnérables et appliquer des atténuations cohérentes.

Mesures recommandées à long terme pour le renforcement du site

Au-delà des actions rapides, adoptez ces défenses à long terme pour réduire le risque de vulnérabilités similaires à l'avenir.

  • Appliquez le principe du moindre privilège : exécutez les comptes quotidiens en tant qu'éditeurs ou auteurs, pas en tant qu'administrateurs. Limitez les comptes administrateurs à un nombre minimal.
  • Appliquez l'authentification à deux facteurs (2FA) pour tous les comptes administrateurs. La 2FA réduit le risque de prise de contrôle de compte qui pourrait être utilisée avec CSRF ou d'autres attaques.
  • Limitez l'installation et les mises à jour des plugins à un petit ensemble de mainteneurs de confiance. Auditez régulièrement la liste des plugins et supprimez les plugins inutilisés.
  • Désactivez l'éditeur de plugins et de thèmes intégré (DISALLOW_FILE_EDIT).
  • Gardez le cœur de WordPress, les thèmes et les plugins à jour ; utilisez un environnement de staging pour tester les mises à jour.
  • Mettez en œuvre des listes d'autorisation IP pour les consoles administratives critiques au niveau de l'hébergement / du serveur web lorsque cela est possible.
  • Utilisez des politiques de sécurité de contenu (CSP) et des options X-Frame pour réduire l'exposition à certaines techniques d'attaque côté client.
  • Assurez-vous que les développeurs utilisent les meilleures pratiques de WordPress pour les vérifications de nonce/capacité dans tous les gestionnaires d'actions (voir la section suivante).

Guide pour les développeurs : comment corriger les vulnérabilités CSRF dans les plugins WordPress

Si vous maintenez un plugin ou êtes responsable du développement, assurez-vous que tout point de terminaison modifiant l'état applique trois vérifications :

  1. Une vérification de nonce (côté serveur) — pas seulement côté client.
  2. Vérifications de capacité (current_user_can) pour s'assurer que l'utilisateur a la bonne autorisation.
  3. Validation et assainissement appropriés des entrées.

Exemple : protéger un formulaire d'administration de plugin en utilisant des nonces WordPress

Dans le formulaire d'administration (sortie) :

<?php

Dans le gestionnaire :

<?php

Pour les routes de l'API REST, implémentez toujours des rappels de permission :

register_rest_route(;

Erreurs courantes à éviter :

  • Se fier uniquement aux vérifications de référent — bien que la validation du référent aide, ce n'est pas un substitut aux nonces et aux vérifications de capacité.
  • Utiliser des nonces prévisibles ou réutiliser des nonces pour des actions non liées. Créez des nonces par action.
  • Exposer des actions administratives via GET sans défenses CSRF appropriées.

Si vous maintenez le plugin, ajoutez des tests unitaires et un audit de tous les gestionnaires d'actions administratives pour vous assurer que chacun effectue des vérifications de nonce et de capacité.

Comment détecter les tentatives d'exploitation et les indicateurs de compromission (IoCs)

Les attaques CSRF sont discrètes lorsqu'elles réussissent car les actions proviennent d'utilisateurs légitimes. Recherchez les signes suivants :

  • Changements inattendus dans les paramètres du plugin ou les options du site.
  • Nouveaux utilisateurs administrateurs créés sans activité administrative correspondante.
  • Changements inexpliqués dans le contenu, les redirections ou le comportement du plugin.
  • Sessions administratives récentes provenant d'IP ou de moments inhabituels.
  • Requêtes POST vers les points de terminaison d'action du plugin provenant de référents externes, en particulier les requêtes sans un nonce valide (si vous enregistrez les charges utiles des requêtes).

Étapes de détection exploitables :

  • Activez et collectez des journaux de serveur détaillés (journaux d'accès, journaux d'erreurs PHP, journaux de plugins).
  • Activez la journalisation de WordPress pour les actions administratives (plugins d'audit ou outils WP-CLI).
  • Configurez votre WAF pour enregistrer les requêtes bloquées avec les paramètres pertinents — cela est inestimable pour la réponse aux incidents.
  • Changez les mots de passe administratifs pour les comptes qui avaient des sessions actives pendant la fenêtre de risque.

Exemples de règles WAF / patch virtuel que vous pouvez utiliser immédiatement

Si vous ne pouvez pas mettre à jour immédiatement, un WAF (ou règle de serveur) peut arrêter les tentatives d'exploitation. Voici des modèles et une approche de règle d'exemple. Ce sont des modèles défensifs ; ajustez-les à votre environnement.

Stratégie générale :

  • Bloquez les requêtes POST vers les points de terminaison administratifs du plugin à moins qu'elles n'incluent un en-tête nonce WP valide ou une IP administrateur connue.
  • Bloquez les modèles de charge utile d'exploitation connus (par exemple, des noms de paramètres suspects utilisés par les actions du plugin).
  • Limitez le taux des requêtes vers les points de terminaison administratifs.

Exemple de règle de style ModSecurity (OWASP ModSecurity CRS) :

# Bloquez les requêtes POST vers admin-post.php avec un paramètre d'action correspondant aux modèles du plugin"

Une approche plus légère et plus sûre consiste à refuser les requêtes qui semblent être des POST vers les routes d'action du plugin lorsque le Referer est externe et que la requête manque d'un en-tête nonce WP (X‑WP‑Nonce) ou d'un cookie. ModSecurity ou votre WAF peut être configuré pour vérifier un modèle de nonce valide et bloquer les requêtes qui ne répondent pas aux exigences.

Si le plugin expose une page d'administration nommée (par exemple, /wp-admin/admin.php?page=birdseed), une règle WAF peut bloquer les requêtes POST vers ce chemin à moins qu'elles ne proviennent d'IP sur liste blanche ou ne contiennent un nonce valide.

Important: Ne créez pas de règles trop larges qui nuisent à l'utilisation légitime de l'administration. Testez les règles sur un environnement de staging et surveillez les journaux avant le déploiement complet.

Les clients de WP‑Firewall reçoivent des correctifs virtuels préconstruits qui bloquent les signatures d'exploitation courantes pour le plugin et bloquent les requêtes suspectes modifiant l'état sur les sites de notre réseau. Le patching virtuel vous donne le temps d'appliquer des mises à jour officielles tout en empêchant l'exploitation.

Que faire si votre site est déjà compromis

  1. Isolez le site — mettez-le hors ligne ou restreignez l'accès à l'administration pendant que vous enquêtez.
  2. Conservez les journaux et les preuves — ne réécrivez pas les journaux avant de les copier hors site.
  3. Faites tourner les identifiants pour tous les utilisateurs administratifs et pour toutes les clés ou jetons API.
  4. Scannez le site à la recherche d'indicateurs (malware, portes dérobées). WP‑Firewall inclut un scan de malware et peut aider à supprimer les portes dérobées courantes.
  5. Restaurez à partir d'une sauvegarde connue et bonne si vous en avez une d'avant la compromission. Assurez-vous que la sauvegarde est propre.
  6. Corrigez la vulnérabilité (mettez à jour le plugin) ou appliquez un patch virtuel.
  7. Réalisez un post-mortem pour comprendre le vecteur et renforcer les contrôles.

Si vous avez besoin d'aide pour trier une compromission, contactez votre fournisseur de sécurité ou d'hébergement — plus vous agissez rapidement, moins un attaquant peut causer de dommages.

Comment WP‑Firewall vous défend contre les CSRF et les vulnérabilités similaires des plugins

Chez WP‑Firewall, nous nous concentrons sur des défenses en couches qui protègent les sites même lorsqu'un seul plugin présente un défaut. Voici comment nous abordons ce risque :

  • WAF géré et patching virtuel : Nous déployons des règles ciblées qui bloquent les modèles d'exploitation et les demandes suspectes à la périphérie. Les patches virtuels peuvent bloquer le trafic vers des points de terminaison vulnérables jusqu'à ce que le fournisseur de plugin émette un correctif.
  • Détection basée sur le comportement : Nous surveillons les activités administratives inhabituelles et gardons un œil sur les demandes modifiant l'état qui correspondent à des signatures d'exploitation connues.
  • Analyse et suppression de malware : Scannez le système de fichiers et la base de données à la recherche de portes dérobées courantes ou de code injecté et supprimez-les automatiquement lorsque cela est sûr (optionnel et contrôlé).
  • Contrôles d'accès : Nous vous aidons à configurer des restrictions IP pour les panneaux d'administration et les points de terminaison critiques.
  • Conseils pour la réponse aux incidents : Pour les clients, nous fournissons des conseils de triage et de remédiation des incidents étape par étape adaptés à l'événement.
  • Mises à jour de sécurité régulières et rapports (plan Pro) : Pour les équipes et les agences, nous fournissons des rapports de sécurité mensuels et des conseils de patching automatisés.

Ces couches réduisent la fenêtre d'exposition et vous permettent de continuer vos opérations en toute sécurité en attendant que les fournisseurs de plugins publient des patches officiels.

Exemples pratiques : patch virtuel appliqué à une action de plugin

Un modèle d'exploitation courant est les requêtes POST à admin-post.php?action=birdseed_save sans nonces. Un patch virtuel peut :

  • Bloquer les requêtes POST vers admin-post.phpaction correspondre au préfixe du plugin (par exemple, birdseed*) et aucun X‑WP‑Nonce en-tête ou paramètre valide _wpnonce n'est présent.
  • Autoriser les requêtes provenant de plages IP administratives connues (si disponibles).
  • Journaliser et notifier les propriétaires de sites des tentatives bloquées.

Exemple de logique de pseudo-règle :

  • Si REQUEST_URI se termine par /wp-admin/admin-post.php ET que la méthode de requête est POST ET ARGS:action correspond ^(graines_d'oiseaux|bs_).* ALORS :
    • Si _wpnonce paramètre manquant OU motif invalide ET X-WP-Nonce en-tête manquant :
    • Bloquez la requête et enregistrez les détails.

Cette approche bloque la plupart des tentatives CSRF car les formulaires d'administration légitimes (correctement implémentés) incluent des nonces et les appels AJAX légitimes incluent X‑WP‑Nonce. Cela évite également de casser la plupart des flux légitimes tout en protégeant le site.

Recommandations pour les auteurs de plugins et les développeurs de thèmes

Si vous développez des plugins ou des thèmes, effectuez ces vérifications dans votre code :

  • Recherchez toute utilisation de hooks d'action destinés à l'administration, admin_post_*, admin_post_nopriv_*, gestionnaires AJAX utilisant wp_ajax_* et assurez-vous que chaque gestionnaire modifiant l'état vérifie un nonce et une capacité.
  • Audit register_rest_route points de terminaison pour s'assurer que permission_callback n'est pas trivialement vrai.
  • Évitez d'exposer des actions privilégiées via des paramètres GET. Utilisez POST avec vérification de nonce.
  • Utilisez les normes de codage WP et incluez des tests automatisés pour les vérifications de permission et de nonce.

Une courte liste de contrôle pour les développeurs :

  • Tous les gestionnaires d'action d'administration vérifient les nonces avec vérifier_admin_référent ou wp_verify_nonce.
  • Tous les gestionnaires appliquent l'utilisateur actuel peut avec la capacité appropriée.
  • Les points de terminaison REST mettent en œuvre des rappels de permission significatifs.
  • Aucune action privilégiée n'est exposée aux demandes non authentifiées, sauf si absolument nécessaire avec d'autres défenses.

Communication et divulgation responsable

Si vous découvrez une vulnérabilité dans un plugin, suivez les étapes de divulgation responsable : contactez l'auteur/mainteneur du plugin avec des résultats détaillés, fournissez une preuve de concept en privé et laissez un délai raisonnable pour la remédiation. Si le mainteneur ne répond pas et que le risque est élevé, coordonnez-vous avec votre fournisseur d'hébergement ou un fournisseur de sécurité de confiance pour appliquer des atténuations temporaires comme une règle WAF.

Questions fréquemment posées

Q : Dois-je immédiatement retirer BirdSeed de mes sites ?
R : Pas nécessairement. Si le plugin est essentiel et que vous ne pouvez pas mettre à jour immédiatement, appliquez des contrôles compensatoires (WAF/patch virtuel, restriction d'IP admin). Si le plugin n'est pas critique, la désactivation est la mesure à court terme la plus sûre.

Q : Une exploitation CSRF peut-elle modifier des fichiers ou injecter des portes dérobées ?
R : Cela dépend de ce que fait l'action vulnérable. Si le plugin effectue des opérations sur des fichiers ou active des fonctionnalités permettant des téléchargements de fichiers ou l'exécution de code arbitraire, alors oui. C'est pourquoi il est crucial de revoir les gestionnaires d'actions du plugin.

Q : Quelle est la fiabilité des patches virtuels WAF ?
R : Les patches virtuels sont très efficaces pour bloquer rapidement les modèles d'exploitation connus, mais ils ne remplacent pas les correctifs des fournisseurs — ils vous donnent du temps et réduisent considérablement le risque d'exploitation.

Commencez à protéger votre site aujourd'hui — Essayez WP‑Firewall gratuitement

Si vous souhaitez une protection immédiate pour vos sites WordPress, WP‑Firewall propose un plan de base gratuit qui couvre les défenses essentielles et est conçu pour arrêter rapidement les exploits courants et liés aux plugins.

Pourquoi essayer WP‑Firewall Basic (Gratuit) ?

  • Pare-feu géré et WAF ajusté pour les menaces WordPress
  • Bande passante illimitée, donc la protection s'adapte à votre site
  • Scanner de logiciels malveillants pour trouver des fichiers et du code suspects
  • Atténuation des risques OWASP Top 10 et des modèles d'attaque courants

Si vous avez besoin d'une réduction de risque plus proactive, nos plans payants ajoutent la suppression automatique de logiciels malveillants, le blacklistage/whitelistage d'IP, des rapports de sécurité mensuels et un patching virtuel automatisé. Visitez la page d'inscription de WP‑Firewall pour commencer avec le plan gratuit et voir à quelle vitesse nous pouvons sécuriser votre site : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Liste de contrôle finale — actions immédiates pour protéger les sites exécutant BirdSeed <= 2.2.0

  1. Inventoriez les sites avec le plugin installé.
  2. Appliquez un patch virtuel WAF ou une règle personnalisée pour bloquer les modèles d'exploitation probables.
  3. Restreignez temporairement l'accès admin par IP ou authentification HTTP.
  4. Avertissez les administrateurs d'éviter de cliquer sur des liens inconnus pendant qu'ils sont connectés ; envisagez de forcer une déconnexion et de faire tourner les identifiants admin.
  5. Surveillez les journaux pour des actions administratives suspectes ; conservez les journaux pour un travail d'analyse judiciaire.
  6. Désactivez le plugin si possible jusqu'à ce qu'une mise à jour sécurisée soit disponible.
  7. Si vous êtes développeur, corrigez le plugin pour inclure des vérifications de nonce et de capacité comme indiqué ci-dessus et publiez une version mise à jour.

Réflexions finales

Les vulnérabilités CSRF sont parmi les plus faciles à exploiter pour les attaquants une fois découvertes - l'attaquant doit simplement attirer un administrateur authentifié à cliquer ou à visiter une ressource conçue. La bonne nouvelle est que l'atténuation est bien comprise : nonces, vérifications de capacité et défenses en couches. Bien que ce problème particulier soit classé comme de faible gravité, chaque vulnérabilité impliquant des actions au niveau administrateur mérite de l'attention en raison des privilèges impliqués.

Si vous souhaitez de l'aide pour auditer votre ensemble de plugins, mettre en œuvre des correctifs virtuels rapidement, ou si vous avez besoin d'un partenaire de réponse aux incidents, WP‑Firewall propose des services gérés et un WAF intégré pour réduire rapidement votre exposition. Commencez avec le plan de base gratuit pour obtenir une protection essentielle en quelques minutes : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Restez en sécurité et priorisez à la fois une atténuation rapide et un plan de durcissement à long terme pour vos installations WordPress.

— Équipe de sécurité WP-Firewall

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™