Atténuer l'inclusion de fichiers locaux dans le thème FindAll//Publié le 2026-03-06//CVE-2026-22478

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

FindAll Theme LFI Vulnerability

Nom du plugin TrouverTout
Type de vulnérabilité Inclusion de fichiers locaux
Numéro CVE CVE-2026-22478
Urgence Haut
Date de publication du CVE 2026-03-06
URL source CVE-2026-22478

Avis urgent : Inclusion de fichiers locaux dans le thème WordPress FindAll (≤ 1.4) — Ce que les propriétaires de sites doivent faire maintenant

Auteur : Équipe de sécurité WP‑Firewall
Date : 2026-03-10

Résumé exécutif

Une vulnérabilité d'inclusion de fichiers locaux (LFI) affectant le thème WordPress FindAll (versions ≤ 1.4) a été divulguée publiquement et a reçu le numéro CVE-2026-22478. Elle permet à des attaquants non authentifiés d'inclure des fichiers locaux du site cible et d'afficher leur contenu, ce qui peut exposer des secrets (identifiants de base de données, fichiers de configuration), mener à une exécution de code à distance supplémentaire, ou permettre une compromission totale du site en fonction de la configuration du serveur.

En tant qu'équipe de sécurité WordPress protégeant des milliers de sites web, nous considérons cette vulnérabilité comme à haut risque (CVSS 8.1). Une atténuation immédiate est requise, surtout lorsque les mises à jour de thème ou les correctifs du fournisseur ne sont pas encore disponibles. Cet avis explique l'impact de la vulnérabilité, les signaux de détection, les étapes d'atténuation sûres, et les règles de WAF/correctif virtuel recommandées que vous pouvez appliquer immédiatement pour réduire l'exposition. Nous incluons également une liste de contrôle de réponse opérationnelle aux incidents et des conseils de prévention à long terme.

Note: Cet avis évite de fournir des détails au niveau de l'exploitation. Notre objectif est d'aider les administrateurs à sécuriser rapidement et de manière responsable les sites.

À propos de cet avis

  • Logiciel affecté : Thème WordPress FindAll
  • Versions affectées : ≤ 1.4
  • Type de vulnérabilité : Inclusion de fichiers locaux (LFI)
  • CVE : CVE-2026-22478
  • Privilège requis : Aucun (non authentifié)
  • Sévérité : Élevée (CVSS 8.1)
  • État du correctif : Aucun correctif officiel disponible au moment de la publication

Qu'est-ce que l'inclusion de fichiers locaux et pourquoi est-ce dangereux

L'inclusion de fichiers locaux (LFI) se produit lorsqu'une application accepte une entrée contrôlée par l'utilisateur pour spécifier un fichier à inclure ou à lire à partir du système de fichiers du serveur sans validation ou assainissement appropriés. Lorsqu'un attaquant peut contrôler cette entrée, il peut tenter de :

  • Lire des fichiers de configuration sensibles (par exemple, wp-config.php, .env) contenant des identifiants de base de données et des clés secrètes.
  • Collecter des identifiants permettant d'accéder à des bases de données, des services externes ou des comptes administratifs WordPress.
  • Enchaîner des attaques (par exemple, lire un fichier qui révèle des identifiants, puis utiliser ces identifiants pour modifier du contenu, injecter un webshell ou accéder à la base de données).
  • Tromper le système pour inclure des fichiers journaux ou des téléchargements d'utilisateurs mis en cache contenant du code PHP fourni par l'attaquant (si le serveur exécute PHP dans des répertoires écrits) — ce qui peut mener à une exécution de code à distance (RCE).
  • Divulguer des informations sur le chemin du serveur qui aident à une exploitation supplémentaire.

Parce que cette LFI particulière est exploitable sans authentification et cible un chemin de fichier de thème largement utilisé, les sites impactés doivent traiter cela comme un problème urgent.

Scénarios d'exploitation réalistes

Les attaquants ont tendance à exploiter LFI de la manière suivante dans le monde réel :

  1. Énumérer et lire les fichiers de configuration :
    • Lire wp-config.php pour extraire DB_USERNAME, DB_PASSWORD et SECRET_KEYS.
    • Lire les fichiers sous la racine du site comme .env ou d'autres fichiers de développeur.
  2. Lire les fichiers système pour des informations sensibles :
    • /etc/passwd (aide à la reconnaissance)
    • Fichiers dans les répertoires de sauvegarde ou de téléchargement qui peuvent contenir des dumps de base de données ou des identifiants
  3. Tirer parti de l'empoisonnement des journaux ou des fichiers contrôlés par téléchargement :
    • Écrire des charges utiles PHP dans un emplacement que le serveur web inclura plus tard (par exemple, via des téléchargements d'utilisateur habilement conçus ou des journaux de cache écrits), provoquant une exécution de code lorsqu'une opération d'inclusion est déclenchée.
  4. Passer à un accès persistant :
    • Utiliser des identifiants divulgués pour accéder à la base de données, créer des utilisateurs administrateurs ou changer les options du site.
    • Télécharger des portes dérobées et des webshells sur le site qui persistent au-delà de l'exploitation initiale.

Parce que la vulnérabilité ne nécessite aucune authentification, les scanners automatisés et les bots tenteront une exploitation de masse rapidement après la divulgation. Une atténuation rapide est donc essentielle.

Indicateurs de compromission (IoCs) et ce qu'il faut surveiller

Lors de l'évaluation de si votre site a été ciblé ou exploité, examinez les journaux et le contenu du site pour les indicateurs suivants :

Journaux du serveur (journaux d'accès) :

  • Requêtes HTTP contenant des paramètres suspects comme file=, inc=, page=, modèle=, chemin=, vue=, ou d'autres champs combinés avec ../ séquences ou motifs de traversée de répertoire encodés (%2e%2e%2f).
  • Requêtes qui incluent une traversée doublement encodée : 2e2e2f.
  • Requêtes qui tentent de récupérer des fichiers couramment ciblés par LFI : /etc/passwd, wp-config.php, .env, php://filter/convert.base64-encode/resource=, ou données://.
  • Pics soudains dans les réponses 4xx/5xx pour les requêtes avec des motifs de traversée.

Corps de la requête :

  • Paramètres POST ou GET contenant .., .., php://, données :, ou de gros blobs base64.

Système de fichiers et contenu :

  • Nouveaux fichiers PHP ou fichiers modifiés dans les dossiers uploads, cache ou thème.
  • Utilisateurs administrateurs inattendus dans la liste des utilisateurs WordPress.
  • Options WordPress modifiées (URL du site, changements d'email administrateur).
  • Tâches planifiées suspectes (cron) ou entrées inconnues dans wp_options.

Base de données :

  • Contenu inattendu dans les publications ou champs d'options qui incluent du PHP obfusqué ou des scripts suspects.
  • Nouveaux utilisateurs de base de données ou privilèges accordés.

Si vous identifiez l'un des éléments ci-dessus, considérez-le comme un possible compromis et suivez la liste de contrôle de réponse aux incidents ci-dessous.

Atténuations immédiates (à court terme, avant le correctif)

Si vous utilisez le thème FindAll (≤ 1.4), mettez en œuvre les étapes immédiates suivantes maintenant — n'attendez pas un correctif officiel.

  1. Faites une sauvegarde (fichiers + base de données)
    Effectuez une sauvegarde complète hors ligne avant de faire des changements. Gardez une copie hors du serveur.
  2. Mettez le site en mode maintenance (si approprié)
    Empêchez d'autres attaques automatisées pendant que vous atténuez.
  3. Supprimez ou désactivez le thème vulnérable
    Si vous pouvez passer à un thème actif sûr, faites-le.
    Si le thème est le shell actif du site et ne peut pas être facilement échangé, envisagez de mettre temporairement le site hors ligne et de servir une page statique.
  4. Restreignez l'accès aux points de terminaison vulnérables.
    Si vous pouvez identifier le fichier de thème spécifique qui accepte un paramètre d'inclusion, bloquez l'accès à celui-ci via des règles de serveur web ou refusez les demandes publiques directes à ce fichier.
    Désactivez toute exécution PHP écrivable publiquement dans les répertoires upload/cache/temp.
  5. Appliquez immédiatement un WAF/patch virtuel.
    Si vous gérez un pare-feu d'application web (WAF) ou un ensemble de règles basé sur l'hôte, appliquez des règles qui :

    • Bloquent les demandes contenant des motifs de traversée de répertoire : ../, %2e%2e%2f, .., %2e%2e%5c (traversée encodée en URL).
    • Bloquer les wrappers suspects : php://, données :, expect://, fichier://.
    • Bloquez les demandes tentant d'accéder aux fichiers de configuration principaux : demandes qui incluent wp-config.php, .env, config.php, etc.
    • Bloquer les requêtes contenant php://filter des constructions utilisées pour lire le contenu des fichiers.

    Appliquez une posture de refus par défaut pour tout paramètre qui semble sélectionner des fichiers (n'autorisez qu'une liste blanche stricte de noms de fichiers connus si possible).

  6. Renforcer les permissions des fichiers
    Assurez-vous que wp-config.php n'est pas lisible par le monde.
    Réglez les répertoires d'uploads et de cache sur 0755 si possible et désactivez l'exécution via .htaccess / configuration du serveur web.
  7. Scannez le site à la recherche de fichiers malveillants et de modifications suspectes.
    Utilisez un scanner de malware de confiance pour localiser des webshells ou des fichiers PHP inhabituels.
    Examinez manuellement les fichiers récemment modifiés dans les répertoires de thème, de plugin et d'upload.
  8. Faites tourner les secrets si vous soupçonnez une exposition
    Si vous trouvez des preuves que wp-config.php a été accédé, faites tourner les identifiants de la base de données immédiatement et mettez à jour wp-config.php avec de nouveaux mots de passe.
    Faites tourner toutes les clés API, jetons et comptes de service s'ils ont pu être exposés.
  9. Surveillez les journaux de près
    Continuez à surveiller les journaux d'accès du serveur web, les journaux d'erreurs et les journaux d'application pour des tentatives d'exploitation.

Règles WAF recommandées (exemples)

Ci-dessous se trouvent des concepts de règles WAF sûrs et défensifs qui peuvent être utilisés pour bloquer des modèles d'exploitation LFI courants. Ceux-ci sont destinés à des modèles défensifs — ne les utilisez pas pour créer ou révéler des charges utiles d'exploitation. Testez les règles dans un environnement de staging lorsque cela est possible avant un déploiement large.

Exemple : bloquer les tentatives évidentes de traversée de répertoire et d'enveloppe (expression conceptuelle — adaptez à votre syntaxe WAF) :

  • Bloquer si une valeur de paramètre contient \.\./ ou %2e%2e%2f (insensible à la casse).
  • Bloquer si une valeur de paramètre contient php://, données :, fichier://, expect://.
  • Bloquer les requêtes qui incluent wp-config.php dans la chaîne de requête ou les données POST.
  • Bloquer l'utilisation de php://filter enveloppes utilisées pour lire des fichiers.

ModSecurity (règles d'exemple, adaptez à votre environnement) :

# Bloquer les tentatives de traversée de répertoire communes.

Nginx (conceptuel) :

# Refuser les requêtes contenant des motifs de traversée

Remarques :

  • Ce qui précède est conceptuel. Adaptez-les à votre technologie de serveur/WAF et testez soigneusement pour éviter les faux positifs.
  • Préférez les listes d'autorisation positives pour les paramètres de sélection de fichiers lorsque vous le pouvez (autorisez uniquement les noms de fichiers connus).
  • Évitez les règles trop larges qui pourraient casser un comportement légitime — testez et surveillez.

Règles de détection sûres (non-bloquantes ; mode de surveillance)

Si vous ne pouvez pas bloquer immédiatement, définissez des alertes de détection pour ce qui suit :

  • Toute requête contenant des jetons de traversée de répertoire dans les paramètres de requête ou les corps POST.
  • Tout php://filter utilisation dans les requêtes.
  • Requêtes qui essaient de récupérer wp-config.php, .env, ou /etc/passwd via la couche application.
  • Tout agent utilisateur ou IP inhabituel qui effectue de nombreuses tentatives similaires à LFI.

Ces alertes vous permettent de prioriser les IP à bloquer et fournissent des preuves judiciaires en cas d'incident.

Liste de contrôle de réponse aux incidents (étape par étape)

Si vous soupçonnez une exploitation, suivez ces étapes dans l'ordre :

  1. Contenir
    • Appliquez des règles WAF pour bloquer d'autres tentatives (bloquer les IP ou les motifs).
    • Mettez le site hors ligne ou activez le mode maintenance si nécessaire.
  2. Préserver
    • Créez des copies judiciaires des journaux, fichiers et instantanés de base de données pour une analyse ultérieure.
    • Conservez une copie de tout fichier suspect.
  3. Détecter
    • Scannez à la recherche de webshells et de fichiers PHP inattendus.
    • Vérifiez les journaux d'accès et d'erreurs pour des paramètres et des requêtes suspects.
  4. Éradiquer
    • Supprimez les portes dérobées identifiées et les fichiers malveillants.
    • Remplacez les fichiers compromis par des versions propres provenant de sauvegardes fiables.
  5. Récupérer
    • Faites tourner les identifiants (base de données, FTP, SSH, clés API).
    • Réinstallez les thèmes/plugins à partir de sources fiables (mettez à jour vers des versions corrigées lorsque disponibles).
    • Restaurez le site à partir d'une sauvegarde propre si nécessaire.
  6. Post-incident
    • Effectuez un audit de sécurité complet, y compris les permissions de fichiers et la révision des plugins/thèmes.
    • Révisez et renforcez les règles WAF et la surveillance.
    • Informez les parties prenantes et (si nécessaire) les clients au sujet de la violation et des étapes de remédiation.
  7. Signaler
    • Si des données clients ont été exposées, respectez les exigences de divulgation et légales applicables pour la notification.

Renforcement et atténuation à long terme

Pour réduire le risque de cette vulnérabilité et d'autres similaires à l'avenir, appliquez ces meilleures pratiques :

  • Gardez les thèmes, plugins et le cœur de WordPress à jour avec un plan pour des correctifs d'urgence.
  • Minimiser les composants installés : supprimer les thèmes ou plugins inutilisés.
  • Utiliser un WAF géré qui peut appliquer des correctifs virtuels pour les vulnérabilités connues jusqu'à ce que des correctifs du fournisseur soient disponibles.
  • Restreindre les permissions de fichiers et désactiver l'exécution PHP dans le répertoire des téléchargements :
    • Utiliser .htaccess (Apache) ou des blocs de localisation (Nginx) pour interdire l'exécution PHP dans /wp-content/uploads, /wp-content/cache et des répertoires similaires.
  • Utiliser le principe du moindre privilège pour les utilisateurs de la base de données.
  • Utiliser un utilisateur de base de données séparé pour chaque site avec des permissions limitées lorsque cela est possible.
  • Mettez en œuvre une surveillance de l'intégrité des fichiers pour détecter les modifications de fichiers inattendues.
  • Maintenir des sauvegardes régulières et testées stockées hors site ou hors ligne.
  • Analyser votre code source et les composants tiers (SCA — analyse de la composition logicielle) pour identifier les dépendances vulnérables.
  • Effectuer des examens de sécurité périodiques et des tests de pénétration.

Comment un pare-feu géré/correctif virtuel aide (une explication pratique)

Lorsqu'une vulnérabilité est divulguée publiquement et qu'aucun correctif officiel n'est immédiatement disponible, appliquer un correctif virtuel via un pare-feu géré peut gagner du temps pendant que le fournisseur de thème prépare et distribue un correctif sûr. Les correctifs virtuels :

  • Interceptent et bloquent les modèles d'attaque connus avant qu'ils n'atteignent le code d'application vulnérable.
  • Sont mis à jour en temps réel par les équipes de sécurité lorsque de nouveaux modèles d'exploitation sont observés.
  • Peuvent être adaptés à la vulnérabilité pour minimiser les faux positifs (par exemple, bloquer uniquement les requêtes montrant un parcours de répertoire ou l'utilisation de wrappers).
  • Fournissent une protection immédiate pour les vulnérabilités non authentifiées et réduisent l'exploitation automatisée par des bots.
  • Sont particulièrement utiles pour les organisations qui ne peuvent pas mettre à jour les thèmes/plugins immédiatement en raison de contraintes de compatibilité ou de test.

Rappelez-vous : le correctif virtuel est une atténuation, pas une solution permanente. Il doit être utilisé pendant que vous planifiez et déployez un correctif permanent fourni par le fournisseur ou en remplaçant le composant vulnérable.

Exemples pratiques : Que rechercher dans les journaux (échantillons)

Voici des exemples sûrs de lignes de journal qui sont suspectes (vous pouvez voir des versions encodées en URL) :

  • GET /?file=../../../../wp-config.php HTTP/1.1
  • GET /?page=../../../../etc/passwd HTTP/1.1
  • POST /theme-handler.php avec un corps contenant php://filter/convert.base64-encode/resource=wp-config.php
  • Requêtes répétées d'une seule IP tentant différentes encodages de traversée.

Si vous trouvez de telles entrées, bloquez l'IP, conservez les journaux et enquêtez.

Si le site a été compromis — priorités de remédiation

  1. Révoquez les identifiants exposés (faites tourner le mot de passe de la base de données, les clés API).
  2. Forcez les réinitialisations de mot de passe pour les administrateurs et tous les comptes privilégiés.
  3. Réinstallez le cœur de WordPress, les thèmes et les plugins à partir de sources propres.
  4. Remplacez tous les fichiers compromis par des versions connues comme sûres.
  5. Recherchez et supprimez les portes dérobées — les webshells utilisent souvent des noms inoffensifs ; inspectez les fichiers récemment modifiés.
  6. Renforcez la configuration et ajoutez des règles WAF pour prévenir la ré-exploitation.

Directives de communication pour les agences et les hébergeurs

Si vous gérez plusieurs sites clients ou hébergez de nombreuses installations WordPress :

  • Identifiez rapidement les sites utilisant le thème impacté (≤ 1.4).
  • Priorisez l'atténuation sur les sites commerciaux exposés et les sites traitant des données sensibles.
  • Appliquez des correctifs virtuels au niveau du réseau/WAF sur plusieurs sites pour réduire la charge de gestion.
  • Coordonnez-vous avec les clients : fournissez des mises à jour claires sur l'état, ce que vous avez changé et les prochaines étapes, y compris la sauvegarde et la rotation des identifiants.

Pourquoi la sécurité proactive est importante (contexte du monde réel)

Les vulnérabilités comme LFI dans des thèmes largement déployés sont des cibles attrayantes pour les attaquants car elles peuvent être automatisées et mises à l'échelle sur de nombreux sites. Une posture réactive qui attend un correctif du fournisseur de thème risque l'exposition des données et la disruption du service. Des mesures proactives telles que le patching virtuel, la surveillance continue et des mises à jour en temps opportun réduiront considérablement le risque et le temps de récupération.

Atténuation WP‑Firewall : comment nous aidons

Chez WP‑Firewall, notre pare-feu géré et notre capacité de patching virtuel sont conçus pour protéger les sites WordPress contre des vulnérabilités comme ce LFI pendant que vous effectuez la remédiation. Notre approche comprend :

  • Déploiement rapide de signatures pour bloquer les modèles d'exploitation associés aux vulnérabilités nouvellement divulguées.
  • Règles de surveillance et de détection ajustées aux contextes spécifiques à WordPress pour réduire les faux positifs.
  • Orientation et support d'incidents pour la rotation des identifiants, le scan et le nettoyage.

Si vous utilisez WP‑Firewall, nous pouvons activer une règle d'atténuation pour ce modèle LFI spécifique sur les sites protégés afin de prévenir les tentatives d'exploitation automatisées pendant que vous planifiez un correctif permanent.

Remarque spéciale sur la divulgation responsable et les prochaines étapes

Si vous êtes un développeur de thèmes, suivez ces étapes :

  1. Accusez réception du rapport rapidement.
  2. Identifiez le chemin de code vulnérable et mettez en œuvre une validation d'entrée appropriée et une liste blanche.
  3. Publiez une version corrigée et fournissez des conseils de mise à niveau aux utilisateurs.
  4. Coordonnez-vous avec les fournisseurs de sécurité afin que les correctifs virtuels et les règles d'atténuation puissent être mis à jour et ensuite supprimés lorsqu'un correctif sûr est disponible.

Si vous êtes propriétaire d'un site :

  • Surveillez le fournisseur de thèmes pour des correctifs officiels.
  • Appliquez le correctif du fournisseur dès qu'il est publié et validé.
  • Conservez des journaux de modifications et des sauvegardes pour revenir en arrière si nécessaire.

Nouveau plan : Protégez votre site immédiatement — Protection de base gratuite de WP‑Firewall

Nous réalisons que tous les propriétaires de sites ne peuvent pas réagir immédiatement à une urgence. Pour aider les propriétaires de sites à obtenir une protection immédiate sans frais, nous proposons un plan de base (gratuit) adapté à une défense rapide et essentielle :

  • Titre: Protection immédiate, sans coût — Essayez WP‑Firewall Basic (gratuit)
  • Ce que vous obtenez dans le plan de base (gratuit) :
    • Protection par pare-feu gérée
    • Bande passante illimitée
    • Règles de pare-feu d'application Web (WAF) contre les 10 principaux de l'OWASP
    • Analyseur de logiciels malveillants
    • Atténuation rapide pour les menaces critiques (correctif virtuel lorsque cela est applicable)
  • Pourquoi s'inscrire :
    • Obtenez une couche de protection gérée qui bloque les modèles d'exploitation courants pendant que vous corrigez ou remplacez des composants vulnérables.
    • Idéal pour les propriétaires de sites uniques, les agences avec de petits clients et quiconque a besoin d'une réduction immédiate des risques.

Commencez votre protection de base gratuite maintenant : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si vous avez besoin de fonctionnalités supplémentaires, nos plans Standard et Pro ajoutent la suppression automatique des logiciels malveillants, la capacité de liste noire/liste blanche IP, des rapports de sécurité mensuels et des services gérés avancés.)

Foire aux questions (FAQ)

Q : Mon thème est mis à jour vers une version corrigée — ai-je toujours besoin d'un WAF ?
UN: Oui. Un WAF offre une défense en profondeur. Il aide à bloquer les tentatives d'exploitation pendant que vous testez et déployez des mises à jour, et il peut protéger contre les attaques zero-day et d'autres vulnérabilités dans les plugins/thèmes que vous n'avez peut-être pas encore mis à jour.

Q : Ces règles WAF vont-elles casser des fonctionnalités légitimes ?
UN: Des règles bien conçues sont conçues pour minimiser les faux positifs. Nous recommandons de tester en mode détection, puis de passer au blocage une fois que vous validez qu'aucun trafic légitime n'est affecté. Une approche de liste blanche pour les paramètres de sélection de fichiers légitimes est la stratégie de production la plus sûre.

Q : J'ai trouvé des demandes suspectes dans les journaux — par quoi commencer ?
UN: Bloquez l'IP (ou les IP) fautive(s) à la périphérie, conservez les journaux, effectuez une sauvegarde, puis suivez la liste de contrôle de réponse à l'incident ci-dessus.

Recommandations finales

  • Traitez la CVE‑2026‑22478 (thème FindAll ≤ 1.4 LFI) comme une menace immédiate si vous utilisez le thème affecté.
  • Si vous le pouvez, désactivez ou remplacez le thème dès maintenant. Si ce n'est pas possible, appliquez un WAF/un patch virtuel et renforcez immédiatement les permissions de fichiers.
  • Surveillez les journaux et recherchez des indicateurs de compromission. Changez les identifiants si vous soupçonnez une divulgation.
  • Utilisez des outils gérés pour appliquer rapidement des patches virtuels et réduire la fenêtre d'attaque pendant que les patches du fournisseur sont préparés.
  • Maintenez des sauvegardes et un plan de réponse aux incidents testé afin de pouvoir réagir rapidement lors de futures divulgations.

Si vous souhaitez de l'aide pour appliquer des règles WAF, scanner des indicateurs de compromission ou mettre en œuvre un plan d'atténuation, l'équipe WP‑Firewall peut vous aider. Notre pare-feu géré protège les sites WordPress avec des règles contextuelles et un patch virtuel rapide adapté à WordPress, aux thèmes et aux plugins.

Restez en sécurité et priorisez une réponse rapide et méthodique — plus vous agissez vite, moins le risque de dommages à long terme est élevé.

Équipe de sécurité WP-Firewall

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™