Atténuer l'escalade de privilèges dans les plugins de connexion personnalisés//Publié le 2026-02-01//CVE-2025-14975

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

WordPress Custom Login Page Customizer Plugin Vulnerability

Nom du plugin Plugin de personnalisation de page de connexion WordPress
Type de vulnérabilité L'escalade de privilèges
Numéro CVE CVE-2025-14975
Urgence Critique
Date de publication du CVE 2026-02-01
URL source CVE-2025-14975

Urgent : Réinitialisation de mot de passe arbitraire non authentifiée (CVE-2025-14975) — Ce que les propriétaires de sites WordPress doivent faire maintenant

Auteur : Équipe de sécurité WP‑Firewall
Date : 2026-02-01
Tags : wordpress, sécurité, wpfirewall, vulnérabilité, réponse à l'incident

Résumé: Une vulnérabilité de haute gravité dans le plugin ‘Custom Login Page Customizer’ avant la version 2.5.4 permet des réinitialisations de mot de passe arbitraires non authentifiées et une élévation de privilèges. Découvrez comment le problème fonctionne, comment détecter l'exploitation, les atténuations à court terme (y compris les règles WAF) et les étapes complètes de réponse à l'incident et de récupération que vous devez suivre maintenant.

Remarque : Cet article est rédigé par l'équipe de sécurité WP‑Firewall avec des conseils pratiques et pragmatiques pour les administrateurs WordPress, les hébergeurs et les agences. Si vous gérez des sites WordPress, lisez attentivement les sections Actions et Atténuation immédiate et mettez-les en œuvre maintenant.

Résumé exécutif

Le 30 janvier 2026, une vulnérabilité de haute gravité (CVE‑2025‑14975) a été publiée pour le plugin WordPress “Custom Login Page Customizer” (slug du plugin : login‑customizer). Les versions antérieures à 2.5.4 sont concernées. La faille permet à un attaquant non authentifié de déclencher une réinitialisation de mot de passe arbitraire pour les utilisateurs du site, y compris les comptes administratifs, entraînant une élévation de privilèges immédiate et une prise de contrôle complète du site dans les pires cas.

  • Gravité: Élevé — CVSS 9.8 (impact critique, accessible par réseau, aucune authentification requise).
  • Vecteur d'attaque : non authentifié à distance (HTTP).
  • Impact principal : la réinitialisation de mot de passe arbitraire conduit à la prise de contrôle de compte ; compromission potentielle complète du site si les comptes administratifs sont réinitialisés.
  • Version corrigée : 2.5.4.
  • Chercheur crédité : Drew Webber (mcdruid).

Si vous exploitez un site WordPress avec ce plugin (version < 2.5.4), vous devez agir immédiatement : appliquez le correctif du fournisseur, ou appliquez des mesures de blocage temporaires et suivez les conseils de réponse à l'incident ci-dessous.

Pourquoi c'est important (en langage clair)

Le plugin vulnérable expose un mécanisme qui permet à quiconque sur Internet de réinitialiser le mot de passe de n'importe quel compte sur un site où le plugin est actif. Contrairement aux flux de réinitialisation de mot de passe WordPress standard qui nécessitent une vérification de lien par e-mail et un traitement de jeton, cette faille contourne ou mal implémente les protections requises. Un attaquant peut changer le mot de passe d'un compte admin sans avoir accès à l'adresse e-mail de l'admin, puis se connecter en tant qu'admin et prendre le contrôle total du site (installer des portes dérobées, changer le contenu, voler des données, pivoter).

Parce que la réinitialisation de mot de passe est le principal chemin de récupération pour l'accès au compte, un bug qui permet des réinitialisations de mot de passe non authentifiées est l'un des types de vulnérabilités les plus dangereux pour les plateformes multi-utilisateurs comme WordPress.

Qui est à risque

  • Tout site WordPress avec le plugin “Custom Login Page Customizer” installé et actif où la version du plugin est antérieure à 2.5.4.
  • Sites qui dépendent des points de terminaison de connexion/réinitialisation personnalisés fournis par le plugin (certains plugins enregistrent des points de terminaison ou des actions AJAX supplémentaires).
  • Sites sans authentification multi-facteurs (MFA) pour les comptes administratifs.
  • Sites où la surveillance et la journalisation sont limitées ou non examinées activement.

Vue d'ensemble technique de haut niveau (non-exploitante)

Nous ne publierons pas de code d'exploitation. Mais pour comprendre le risque et mettre en œuvre des atténuations ciblées, vous avez besoin de l'image technique générale :

  • Le plugin implémente un flux de réinitialisation de mot de passe ou un point de terminaison qui, en raison de l'absence de vérifications de vérification, accepte des paramètres permettant de définir un nouveau mot de passe pour un compte utilisateur arbitraire.
  • Le point de terminaison ne vérifie pas un jeton de réinitialisation (ou le vérifie incorrectement), ou il échoue à valider que le demandeur est le véritable propriétaire de l'email.
  • Parce qu'un attaquant peut définir un nouveau mot de passe pour un compte administratif, il peut immédiatement s'authentifier et effectuer des actions privilégiées.

Il s'agit d'un échec classique d'authentification/autorisation — une faiblesse d“” Identification et Authentification » — combinée à une validation côté serveur insuffisante.

Impact de l'attaquant et objectifs probables

Un attaquant qui exploite avec succès ce problème peut :

  • Se connecter en tant que n'importe quel utilisateur (y compris les administrateurs) sans avoir besoin d'accès à l'email ou au jeton.
  • Créer de nouveaux utilisateurs administratifs pour un accès persistant.
  • Installer des logiciels malveillants/backdoors, ajouter du JavaScript aux pages (skimming ou défiguration de site), ou pivoter vers d'autres sites sur le même hôte.
  • Exfiltrer des données (informations clients, données de paiement stockées dans des publications ou des tables de plugins).
  • Utiliser le site comme une plateforme pour du spam, du phishing ou des abus de SEO.

Étant donné que la vulnérabilité est non authentifiée et à distance, l'exploitation peut être automatisée à grande échelle. Attendez-vous à des tentatives de scan et d'exploitation rapides peu après la divulgation publique.

Actions immédiates (premières 60 minutes) — triage et atténuation d'urgence

Si vous gérez un ou plusieurs sites avec le plugin installé :

  1. Mettez les sites affectés en mode de confinement d'urgence :
    • Si vous exécutez un pare-feu d'application web (WAF) ou un pare-feu géré, appliquez une règle de blocage pour les requêtes ciblant les points de terminaison du plugin (exemples ci-dessous).
    • Si vous n'avez pas de WAF, restreignez l'accès aux fichiers du plugin avec des règles serveur (exemples ci-dessous).
  2. Vérifiez la version du plugin sur chaque site :
    • WordPress admin → Plugins → localisez “Custom Login Page Customizer”.
    • Si la version < 2.5.4 : envisagez de désactiver le plugin immédiatement si vous pouvez accepter de perdre temporairement le comportement de connexion personnalisé.
  3. Si vous ne pouvez pas mettre à jour ou désactiver immédiatement, au minimum appliquez un durcissement supplémentaire :
    • Exiger une authentification à deux facteurs (2FA) pour tous les comptes administrateurs.
    • Réinitialiser les mots de passe de tous les comptes administratifs et faire tourner tous les secrets qui ont pu être exposés (clés API, jetons de service).
    • Forcer la déconnexion de toutes les sessions (voir comment dans la section “ Récupération ”).
  4. Surveiller les indicateurs d'intrusion (voir la section Détection) pendant et après la containment.

Le reste de cet article explique les atténuations techniques, les modèles WAF, les requêtes de détection, le plan d'intervention en cas d'incident et le durcissement à long terme.

Atténuations recommandées à court terme

La meilleure action unique : mettre à jour le plugin vers 2.5.4 (ou version ultérieure) dès que possible sur chaque site affecté. Si vous ne pouvez pas appliquer le correctif immédiatement, appliquez les atténuations ci-dessous.

A. Désactiver ou supprimer le plugin
– Avantages : Élimine immédiatement le chemin de code vulnérable.
– Inconvénients : Vous perdez la fonctionnalité du plugin (apparence/comportement de connexion personnalisée) jusqu'à ce que vous puissiez le remplacer en toute sécurité.

B. Bloquer les points de terminaison HTTP du plugin via des règles serveur (correctif temporaire recommandé)
– Utilisez nginx, Apache (.htaccess) ou ModSecurity pour refuser les requêtes POST ciblant les chemins du plugin.

Extrait nginx exemple (placer dans le bloc serveur ou fichier d'inclusion — adapter à votre environnement) :

# Blocage temporaire pour les points de terminaison de login-customizer

Exemple de règle Apache .htaccess (placer dans le .htaccess du document racine du site) :

<IfModule mod_rewrite.c>
  RewriteEngine On
  # Block POSTs to plugin directory
  RewriteCond %{REQUEST_METHOD} POST
  RewriteRule ^wp-content/plugins/login-customizer/ - [F,L]
</IfModule>

C. Exemples de règles WAF (génériques / pseudo-code)
– Bloquer les requêtes POST où l'URI contient “ login-customizer ” ou où un paramètre AJAX est égal aux noms d'actions de plugin suspectés.
– Limiter ou bloquer les tentatives rapides de réinitialisation de mot de passe vers des points de terminaison connus.
– Exemple de règle de style ModSecurity (conceptuel, adapter à votre syntaxe de règle) :

SecRule REQUEST_METHOD "POST" "chain,deny,status:403,msg:'Bloquer les POSTs de login-customizer'"

Remarque : Ne bloquez pas aveuglément admin‑ajax.php si votre site dépend d'autres fonctionnalités AJAX — bloquez plutôt des paramètres d'action spécifiques.

D. Limitation de taux et CAPTCHA
– Si le plugin expose des formulaires de réinitialisation de mot de passe, ajoutez une limitation de taux et un CAPTCHA sur la page de réinitialisation publique. C'est un atténuateur, pas un remède.

Détection : comment savoir si vous avez été ciblé ou compromis

Recherchez dans les journaux du serveur, les journaux WordPress et l'activité des plugins les indicateurs suivants :

  1. Requêtes POST inhabituelles vers les points de terminaison des plugins
    • Recherchez des requêtes POST avec des URIs contenant “login-customizer” ou vers admin‑ajax.php avec des paramètres d'action suspects.
  2. Changements de mot de passe inattendus
    • WordPress par défaut ne consigne pas les horodatages de changement de mot de passe dans un champ standard. Mais vous pouvez détecter des événements suspects :
    • Vérifiez wp_users pour les valeurs user_password récemment modifiées en comparant les sauvegardes (ou instantanés) si disponibles.
    • Recherchez des connexions soudaines depuis de nouvelles adresses IP vers des comptes administratifs.
  3. Nouveaux utilisateurs administrateurs 
    SELECT u.ID, u.user_login, u.user_email, u.user_registered
FROM wp_users u
JOIN wp_usermeta m ON m.user_id = u.ID
WHERE m.meta_key LIKE '%capabilities' AND m.meta_value LIKE '%administrator%';

    Tout compte inattendu est un signal d'alarme majeur.

  4. Événements d'authentification dans les journaux
    • Recherchez des connexions à /wp-admin ou /wp-login.php depuis des IP inhabituelles suite à des demandes de réinitialisation suspectes.
  5. Changements dans le système de fichiers et nouveaux fichiers
    • Scannez les fichiers de plugins/thèmes modifiés, les nouveaux fichiers PHP dans wp-content, les uploads avec du code PHP, ou les horodatages de fichiers récemment modifiés.
  6. Connexions sortantes ou tâches planifiées inhabituelles (wp_cron)
    • Recherchez du code qui configure des tâches planifiées ou l'exécution de commandes externes.
  7. Alertes d'intégrité et de scanner de malware
    • Exécutez un outil de scan de malware et comparez les hachages de fichiers à une base de référence connue. Les utilisateurs de WP‑Firewall peuvent exécuter le scanner dans le produit pour des vérifications rapides (voir la section Récupération).

Manuel complet de réponse aux incidents (étape par étape recommandée)

Si vous détectez une exploitation possible, suivez ce manuel de réponse aux incidents.

  1. Contenir
    • Bloquez immédiatement le trafic vers les points de terminaison vulnérables (WAF, règles du serveur), ou mettez le site hors ligne temporairement si nécessaire.
    • Faites tourner les clés et les identifiants (base de données, FTP, SFTP, panneau de contrôle d'hébergement).
    • Forcez les déconnexions et invalidez les sessions : dans WordPress, vous pouvez forcer la réauthentification pour tous les utilisateurs en changeant les sels AUTH_KEY dans wp-config.php et/ou en mettant à jour une option de “déconnexion forcée”.
  2. Préserver les preuves
    • Faites des sauvegardes complètes du site actuel (fichiers + DB) dans un emplacement isolé pour une analyse judiciaire.
    • Conservez les journaux bruts du serveur web pendant au moins la période de temps de la compromission suspectée + une semaine.
    • Ne procédez pas à des nettoyages destructeurs avant que les preuves ne soient collectées ; copiez plutôt l'environnement.
  3. Éradiquer
    • Mettez à jour le plugin vers 2.5.4 (ou désinstallez-le si vous prévoyez de le remplacer).
    • Supprimez tous les comptes administratifs malveillants découverts.
    • Nettoyez ou restaurez les fichiers modifiés à partir d'une sauvegarde propre, ou remplacez les fichiers de base/plugin/thème modifiés par des copies officielles.
  4. Récupérer
    • Changez les mots de passe pour tous les comptes administratifs ; exigez des mots de passe forts.
    • Activez l'authentification à deux facteurs sur tous les comptes administrateurs.
    • Réactivez la fonctionnalité (uniquement après avoir vérifié que le site est propre).
  5. Notifiez et apprenez
    • Informez les parties prenantes et les clients (si vous gérez des sites pour d'autres).
    • Documentez la chronologie, la détection et les étapes de remédiation.
    • Ajustez la surveillance et les règles pour détecter les futures variantes.

Commandes et vérifications de récupération pratiques

A. Forcer la déconnexion de tous les utilisateurs :
Changez les quatre sels d'authentification dans wp-config.php (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY). Changer ceux-ci invalidera tous les cookies existants et forcera la réauthentification.

B. Réinitialiser les mots de passe des administrateurs (exemple via wp‑cli) :

# lister les administrateurs'

C. Trouver de nouveaux utilisateurs administrateurs via MySQL :

SELECT u.ID, u.user_login, u.user_email, u.user_registered
FROM wp_users u
JOIN wp_usermeta m ON u.ID = m.user_id
WHERE m.meta_key = 'wp_capabilities' AND m.meta_value LIKE '%administrator%';

D. Scanner le système de fichiers à la recherche de fichiers PHP suspects dans des répertoires écrits :
Regardez sous wp-content/uploads pour des fichiers .php et des horodatages de fichiers inhabituels :

find wp-content/uploads -type f -name '*.php' -ls

Règles WAF que nous recommandons (exemples concrets, adaptez à votre pile)

Utilisez les règles suivantes comme guide. Testez-les en mode blocage ou alerte uniquement avant l'application complète.

1. Blocage URI générique (nginx) :

# Bloquer les POST vers le dossier du plugin

2. Bloquer les actions admin‑ajax (si le plugin expose des actions spécifiques) — utilisez les noms d'action uniquement si vous les avez vérifiés dans votre environnement :

# Bloquer les actions admin-ajax risquées connues

3. Limitation de taux des points de terminaison de réinitialisation de mot de passe (nginx + limit_req_zone) :

limit_req_zone $binary_remote_addr zone=reset_zone:10m rate=2r/m;

4. Règle conceptuelle ModSecurity :

SecRule REQUEST_METHOD "POST" "chain,deny,status:403,msg:'Bloquer la réinitialisation de mot de passe non authentifiée via un plugin vulnérable'"

Important : adaptez ces règles à l'environnement exact et testez-les. Un blocage large peut casser des fonctionnalités légitimes ; priorisez les règles ciblées.

Renforcement pour réduire le risque de vulnérabilités similaires

  • Gardez tous les plugins, thèmes et le cœur de WordPress à jour.
  • Limitez les plugins installés à ceux que vous utilisez activement et auditez avant d'installer.
  • Appliquez le principe du moindre privilège : ne donnez le rôle d'administrateur qu'aux utilisateurs nécessaires ; utilisez des comptes à privilèges inférieurs pour le travail quotidien.
  • Activez l'authentification à deux facteurs (2FA) pour tous les comptes administrateurs et éventuellement pour les éditeurs.
  • Utilisez des mots de passe forts et uniques, ainsi qu'un gestionnaire de mots de passe.
  • Mettez en œuvre un outil de surveillance des changements de sécurité/contenu pour alerter sur les changements de fichiers ou les nouveaux fichiers PHP.
  • Utilisez un accès basé sur les rôles et des identifiants séparés pour les environnements de développement/test/staging.
  • Mettez en œuvre un WAF avec des règles ajustées et une limitation de débit.
  • Examinez le code des plugins pour des points de terminaison inhabituels avant l'installation, ou comptez sur les équipes de sécurité pour examiner les plugins critiques.

Surveillance post-incident et détection continue

Après remédiation, maintenez une surveillance ciblée pendant au moins 90 jours :

  • Surveillez les demandes répétées vers des points de terminaison précédemment bloqués — suivez comme une éventuelle exploration.
  • Surveillez les nouveaux utilisateurs administrateurs ou les changements de privilèges.
  • Surveillez les changements dans wp_options qui pourraient persister des comportements malveillants (par exemple, nouvelles entrées cron, mises à jour automatiques des options).
  • Surveillez les connexions sortantes du serveur pour détecter les tentatives d'exfiltration.

Si vous trouvez des signes de compromission — étapes supplémentaires

Si l'enquête montre que l'attaquant avait un accès administrateur :

  • Supposer que l'exfiltration de données est possible : vérifiez les journaux et les bases de données pour l'accès à des informations sensibles.
  • Envisagez de faire tourner les identifiants pour tous les services intégrés au site (processeurs de paiement, CRM, services de mailing).
  • Si des données de paiement ou des informations personnelles ont été exposées, suivez les lois de notification des violations applicables et informez les clients comme requis.
  • Si vous n'êtes pas sûr d'éradiquer complètement la menace, reconstruisez le site à partir d'une sauvegarde propre et migrez le contenu et les données avec soin après les avoir assainis.

Notes du développeur — à quoi s'attendre dans un correctif approprié

Un correctif robuste devrait :

  • S'assurer que les flux de réinitialisation de mot de passe impliquent toujours des jetons uniques et infalsifiables qui sont validés par rapport à l'utilisateur et à l'horodatage.
  • Confirmer que toute opération de changement de mot de passe nécessite la vérification d'un jeton par e-mail ou de la session de l'utilisateur actuel (selon le flux).
  • Ajouter une validation stricte des entrées et des vérifications anti-CSRF sur les points de terminaison AJAX.
  • Fournir une limitation de débit pour les demandes de réinitialisation et un journal pour l'audit.

Chronologie & divulgation (rapportée publiquement)

  • Vulnérabilité découverte et signalée par un chercheur en sécurité.
  • Correctif publié dans la version 2.5.4 du plugin.
  • Divulgation publique et attribution CVE (CVE-2025-14975) survenue le 30 janvier 2026.
  • Parce que la faille permet des réinitialisations de mot de passe non authentifiées et une élévation rapide des privilèges, les propriétaires de sites ne devraient pas compter sur des correctifs lents : si vous avez de nombreuses installations, prévoyez une remédiation par étapes et des protections WAF.

Foire aux questions (FAQ)

Q : J'ai mis à jour vers 2.5.4 — dois-je encore faire autre chose ?
R : La mise à jour est l'action principale. Après la mise à jour, confirmez qu'aucun nouveau compte administrateur n'a été créé et changez les mots de passe administratifs si vous soupçonnez une tentative d'exploitation. Si vous avez appliqué des règles WAF temporaires, retirez-les ou assouplissez-les après avoir testé le site après le correctif.

Q : Que faire si le plugin est essentiel et ne peut pas être mis à jour immédiatement ?
R : Déployez les règles WAF/serveur à court terme documentées ci-dessus pour bloquer les points de terminaison vulnérables jusqu'à ce que vous puissiez mettre à jour. Envisagez de désactiver temporairement le plugin si le blocage casse des fonctionnalités critiques.

Q : Cette vulnérabilité permettra-t-elle aux attaquants d'accéder à la base de données ?
R : Indirectement — une fois qu'un attaquant a accès à l'administrateur via une réinitialisation, il peut installer des plugins ou des fichiers PHP qui peuvent lire ou modifier la base de données. La vulnérabilité elle-même n'est pas une injection SQL ; c'est un contournement d'authentification.

Q : Dois-je changer mes mots de passe d'hébergement ?
R : Si un attaquant a pu être administrateur, vous devriez changer tous les identifiants qui peuvent être accessibles depuis le site, y compris le panneau de contrôle d'hébergement, FTP/SFTP et les clés API de service.

Liste de contrôle — Liste d'actions immédiates en 10 points (copiez & utilisez)

  1. Identifiez tous les sites exécutant le plugin (versions < 2.5.4).
  2. Mettez à jour vers 2.5.4 ou une version supérieure sur chaque site immédiatement.
  3. Si vous ne pouvez pas mettre à jour dans l'heure, désactivez le plugin ou appliquez des règles WAF/serveur pour bloquer les demandes vers les chemins du plugin.
  4. Réinitialisez les mots de passe de tous les comptes administrateurs.
  5. Déconnectez toutes les sessions (changez les sels d'authentification ou utilisez les fonctionnalités du plugin de sécurité).
  6. Activer l'authentification à deux facteurs pour les administrateurs.
  7. Recherchez dans les journaux des demandes suspectes et de nouveaux utilisateurs administrateurs (voir Détection).
  8. Scannez le système de fichiers pour de nouveaux fichiers PHP dans les uploads ou d'autres répertoires écrits.
  9. Faites tourner les clés API et les identifiants que le site utilise.
  10. Surveillez la réapparition d'activités suspectes pendant 90 jours.

Comment WP‑Firewall aide (brève présentation)

Chez WP‑Firewall, nous fournissons des services WAF gérés et de sécurité de site web qui peuvent rapidement bloquer les points d'extrémité vulnérables, détecter des activités de réinitialisation suspectes et aider à répondre aux incidents. Notre scanner et nos règles gérées peuvent être déployés pour arrêter les tentatives d'exploitation même avant que vous puissiez corriger chaque site que vous gérez.

Commencez à protéger votre site aujourd'hui — Plan gratuit disponible

Titre: Protégez votre site WordPress instantanément avec le plan gratuit de WP‑Firewall

Si vous souhaitez une protection immédiate et pratique pendant que vous corrigez ou évaluez les sites affectés, envisagez de vous inscrire au plan de base WP‑Firewall (gratuit). Il fournit une protection essentielle, toujours active, un scan de malware et une atténuation contre les risques OWASP Top 10 — tout ce dont vous avez besoin pour arrêter les tentatives d'exploitation automatisées pendant que vous effectuez un triage et une remédiation.

  • Basic (Gratuit) : pare-feu géré, bande passante illimitée, WAF, scanner de malware, atténuation des risques OWASP Top 10.
  • Standard : Suppression automatique de malware et options de liste noire/blanche contrôlées.
  • Pro : Patching virtuel automatique des vulnérabilités, rapports mensuels et options de support premium.

Inscrivez-vous au plan gratuit et protégez votre site maintenant :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Dernières réflexions (conseils de clôture de l'équipe)

Cette vulnérabilité rappelle que les flux d'authentification sont des cibles de grande valeur — tant pour les attaquants que pour les défenseurs. Si vous gérez des sites WordPress, intégrez le patching et une stratégie de défense en couches dans votre routine : gardez les logiciels à jour, limitez l'accès administratif, exigez MFA et utilisez un WAF pour fournir une protection immédiate lorsque des problèmes de jour zéro ou de haute gravité sont divulgués.

Si vous avez besoin d'aide pour évaluer vos sites à grande échelle, déployer des protections temporaires ou effectuer un nettoyage après un compromis suspecté, notre équipe de réponse aux incidents WP‑Firewall fournit une remédiation pratique et des déploiements WAF gérés.

Restez en sécurité et agissez maintenant — passez en revue vos installations, appliquez la correction et renforcez l'accès administrateur.

— L'équipe de sécurité WP-Firewall

Références et lectures complémentaires

  • CVE‑2025‑14975 (dossier public)
  • Notes de version du fournisseur de plugin pour la version 2.5.4
  • Détails du plugin WordPress.org (vérifiez le slug et la version du plugin)
  • Guides généraux de durcissement de WordPress (appliquez le principe du moindre privilège et 2FA)

(Fin de l'article)

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™