Atténuation des vulnérabilités XSS dans le plugin Optimole//Publié le 2026-04-13//CVE-2026-5217

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Optimole Plugin Vulnerability Image

Nom du plugin Optimole
Type de vulnérabilité Scripts intersites (XSS)
Numéro CVE CVE-2026-5217
Urgence Moyen
Date de publication du CVE 2026-04-13
URL source CVE-2026-5217

Urgent : Plugin Optimole (<= 4.2.2) — XSS stocké non authentifié via le descripteur srcset (CVE-2026-5217) — Ce que chaque propriétaire de WordPress doit faire maintenant

Auteur: Équipe de sécurité WP-Firewall

Date: 2026-04-14

Mots clés: Sécurité WordPress, XSS, WAF, Optimole, Réponse aux incidents, CVE-2026-5217

Une vulnérabilité de Cross‑Site Scripting (XSS) stockée affectant les versions d'Optimole <= 4.2.2 (CVE-2026-5217) permet aux attaquants non authentifiés de stocker des charges utiles malveillantes dans les descripteurs srcset d'images. Cet article explique les risques, les scénarios d'attaque, la détection, la containment et l'atténuation — y compris le patching virtuel d'urgence utilisant WP‑Firewall.

Remarque : Cet avis est rédigé du point de vue de WP‑Firewall, un fournisseur de sécurité WordPress et de pare-feu d'application web géré (WAF). L'objectif est pratique : aider les propriétaires de sites à comprendre le risque lié à CVE‑2026‑5217 et à prendre des mesures immédiates pour protéger leurs sites et utilisateurs.

Résumé exécutif

Le 13 avril 2026, une vulnérabilité de Cross‑Site Scripting (XSS) stockée a été publiée pour le plugin WordPress Optimole (suivi sous le nom CVE‑2026‑5217). Les versions jusqu'à et y compris 4.2.2 sont affectées. La vulnérabilité est déclenchée via la gestion par le plugin du paramètre descripteur srcset dans les attributs d'image et peut être stockée et rendue dans des pages où elle s'exécute dans le contexte de la page. De manière critique, la vulnérabilité peut être initiée par un attaquant non authentifié et est donc largement exploitable sur les sites vulnérables.

Le fournisseur a publié une version corrigée (4.2.3). Si vous ne pouvez pas mettre à jour immédiatement, vous devez mettre en œuvre des contrôles compensatoires (WAF/patching virtuel), scanner les indicateurs de compromission et suivre les meilleures pratiques de réponse aux incidents.

Ce post couvre :

  • Ce qu'est la vulnérabilité et pourquoi elle est importante.
  • Scénarios d'attaque et impact possible sur votre site WordPress.
  • Comment détecter si vous êtes vulnérable ou compromis.
  • Atténuations pratiques que vous pouvez appliquer dès maintenant (y compris des exemples de règles WAF).
  • Solutions à long terme et conseils pour les développeurs.
  • Comment WP‑Firewall peut protéger votre site en quelques minutes, et comment s'inscrire à notre plan gratuit.

La vulnérabilité en termes simples

Le plugin Optimole construit des balises d'image et des attributs srcset pour des images réactives. Lors de la construction des descripteurs srcset, le code vulnérable n'a pas réussi à valider suffisamment et à échapper en toute sécurité le paramètre descripteur avant de le persister. Cela a permis à un attaquant de stocker une valeur spécialement conçue qui, lorsqu'elle est ensuite sortie dans une page rendue (zone admin ou frontend), peut exécuter du JavaScript arbitraire dans le navigateur de la victime.

Deux propriétés rendent cela particulièrement dangereux :

  1. Privilège requis : Non authentifié — quiconque peut soumettre des données au point de terminaison vulnérable peut tenter de stocker une charge utile.
  2. XSS stocké — la charge utile persiste sur le site et s'exécute plus tard dans le contexte du navigateur de tout utilisateur qui consulte le contenu affecté (y compris les utilisateurs privilégiés tels que les administrateurs).

CVE : CVE‑2026‑5217
Corrigé dans : Optimole 4.2.3
CVSS (informatif) : 7.1 (moyen/élevé selon le contexte et l'utilisation du site)

Pourquoi cela importe — risques réels et impact

Le XSS stocké est une arme extrêmement polyvalente dans l'arsenal d'un attaquant. Même un XSS de gravité “ moyenne ” peut entraîner des résultats à fort impact lorsqu'il est combiné avec le comportement typique d'un site WordPress :

  • Prise de contrôle administrative : Si un payload malveillant s'exécute dans le navigateur d'un administrateur (par exemple, lorsqu'il consulte une bibliothèque multimédia ou un aperçu de publication), l'attaquant peut effectuer des actions en tant qu'administrateur via la session admin (comportements similaires à CSRF), ajouter un plugin de porte dérobée, modifier les paramètres du site, créer de nouveaux utilisateurs administrateurs ou exfiltrer des identifiants.
  • Vol d'identifiants/session : Voler des cookies de session, des jetons ou toute donnée disponible dans le contexte de la page et les réutiliser pour détourner des comptes.
  • Injection SEO/spam persistante : Modifier le contenu de la page pour inclure des pages de spam/phishing ou des fermes de liens.
  • Abus de la chaîne d'approvisionnement et des tiers : Si votre site s'intègre à d'autres services (analytique, authentification unique, portails partenaires), l'exécution de JS peut être utilisée comme pivot pour abuser de ces intégrations.
  • Distribution de logiciels malveillants / téléchargements automatiques : Injecter des scripts qui redirigent les utilisateurs vers des payloads malveillants.

Parce que la vulnérabilité peut être déclenchée par des acteurs non authentifiés, les attaquants peuvent tenter des scans massifs et des exploitations massives sur de nombreux sites avec la version vulnérable du plugin. Les sites utilisant un plugin commun qui ne parvient pas à assainir les valeurs contrôlées par l'utilisateur devraient traiter cela comme urgent.

Scénarios d'attaque typiques

  1. Soumission de payload anonyme à un point de terminaison multimédia :
    • L'attaquant crée une requête spécialement formatée à un point de terminaison que le plugin utilise pour accepter des descripteurs d'image (ou manipule un flux d'importation/téléchargement d'image).
    • Le plugin stocke le descripteur incluant le contenu malveillant.
    • Lorsque l'administrateur ou un visiteur du site consulte plus tard la page ou l'interface admin qui affiche la valeur srcset stockée, le JS s'exécute.
  2. Payload stocké dans le contenu de la publication ou les métadonnées multimédia :
    • Certains flux de travail permettent aux éditeurs ou aux utilisateurs de fournir des données d'image ou des métadonnées. Si le plugin persiste ces données sans assainissement suffisant, le vecteur est similaire.
  3. Chaîne d'infection inter-sites :
    • Le payload s'exécute dans le navigateur d'un administrateur connecté et utilise les privilèges administratifs existants pour installer un code malveillant supplémentaire ou créer des portes dérobées persistantes.
  4. Scan massif et exploitation opportuniste :
    • Les attaquants scannent les sites exécutant des versions vulnérables, tentent de télécharger des payloads de manière automatisée et collectent les sites où les scripts s'exécutent (créant une liste pour un abus ciblé ultérieur).

Comment déterminer rapidement si votre site est affecté

  1. Version du plugin :
    • Si votre site utilise la version 4.2.2 d'Optimole ou une version antérieure, considérez-le comme vulnérable. Mettez à jour en priorité.
  2. Recherche statique du HTML du site :
    • Recherchez dans le HTML public de votre site et les pages d'administration des descripteurs srcset suspects. Recherchez des attributs srcset contenant des caractères ou des motifs inhabituels (mots-clés de gestionnaires d'événements comme onerror, crochets angulaires ou schémas d'URL non-image).
  3. Métadonnées de la bibliothèque multimédia :
    • Inspectez les entrées de métadonnées pour les images dans la base de données (wp_posts et wp_postmeta) et recherchez des colonnes pour srcset, descripteurs ou fragments suspects.
  4. Téléchargements récents et nouveau contenu :
    • Recherchez des fichiers ou des publications récents ajoutés autour du moment de la divulgation de la vulnérabilité. Les attaquants essaient généralement peu après la divulgation.
  5. Journaux :
    • Vérifiez les journaux du serveur web et les journaux d'application pour des requêtes vers des points de terminaison qui acceptent des données image/descripteur autour de timestamps suspects. Recherchez également des requêtes vers des pages d'administration provenant d'adresses IP ou de chaînes d'agent peu communes.
  6. Traces XSS du navigateur :
    • Si vous trouvez des balises script inhabituelles, du JS en ligne dans des zones qui ne devraient pas en contenir, ou des alertes popup, considérez le site comme compromis et suivez les étapes de réponse à l'incident.

Requêtes et indicateurs de détection de menaces

Voici des extraits de détection pratiques (non-exploitants) que vous pouvez utiliser localement ou dans un WAF/IDS pour signaler des entrées suspectes.

Requêtes SQL / base de données (recherchez des descripteurs stockés suspects)
Exemple (MySQL) :

SELECT ID, post_title, post_date;

Analyse de fichiers/HTML (grep) :

grep -R --line-number -E "srcset=[\"'][^\"']{0,200}(on[a-zA-Z]+|<script|javascript:|data:)" .

Indicateurs de journal :

  • Requêtes POST/PUT vers des points de terminaison multimédia incluant srcset ou des caractères inhabituels.
  • Requêtes avec des charges utiles suspectes contenant une erreur, <script, JavaScript :, ou des guillemets errants près srcset.

Note: Ces modèles de recherche sont intentionnellement conservateurs ; adaptez-les à votre environnement et à votre tolérance aux faux positifs.

Atténuation immédiate — liste de contrôle courte (que faire maintenant)

  1. Mise à niveau : Mettez à jour Optimole vers 4.2.3 ou une version ultérieure immédiatement si vous contrôlez le site et pouvez mettre à jour les plugins en toute sécurité. Testez d'abord sur un environnement de staging si possible, puis déployez en production.
  2. Si vous ne pouvez pas mettre à niveau immédiatement :
    • Mettez en œuvre un patch virtuel via votre WAF (déployez une règle entrante pour bloquer ou assainir les requêtes suspectes).
    • Restreignez l'accès aux points de terminaison de téléchargement de médias et d'administration par IP ou exigez une authentification lorsque cela est possible.
    • Désactivez temporairement le plugin si la mise à niveau ou le patch n'est pas réalisable et que la fonctionnalité n'est pas critique.
  3. Recherchez des indicateurs de compromission :
    • Recherchez dans la base de données et le contenu, inspectez les publications/téléchargements récents, examinez les utilisateurs administrateurs et les plugins pour des changements inattendus.
  4. Faites tourner les clés et les secrets :
    • Si vous soupçonnez une compromission de l'administrateur, réinitialisez tous les mots de passe administrateurs et invalidez les sessions. Faites tourner les clés API et autres identifiants utilisés par le site.
  5. Renforcez la journalisation et la surveillance :
    • Augmentez le niveau de journalisation et conservez les journaux pour une analyse judiciaire. Activez la journalisation des événements WAF pour les tentatives bloquées.
  6. Informer les parties prenantes :
    • Alertez votre fournisseur d'hébergement ou votre contact sécurité, et planifiez des fenêtres de remédiation.

Patching virtuel (WAF) — exemples pratiques

Si vous protégez de nombreux sites ou ne pouvez pas mettre à niveau immédiatement, le patching virtuel via un WAF offre une protection rapide et efficace. Voici des stratégies de détection et de blocage suggérées que vous pouvez mettre en œuvre dans un pare-feu d'application web ou un moteur de règles. Les exemples sont conservateurs et destinés à réduire les faux positifs tout en bloquant les charges utiles d'attaque évidentes.

Important: Testez toute règle en mode blocage sur un environnement de staging ou avec surveillance d'abord.

Objectif de la règle : Bloquer ou assainir les requêtes qui tentent d'insérer des descripteurs malveillants dans srcset ou qui contiennent des attributs HTML de gestion d'événements (par exemple, onerror) dans des champs nommés srcset, image_src, descriptor, ou dans des charges utiles génériques.

Modèles suggérés à bloquer (appliquez aux paramètres de chaîne de requête, au corps POST, aux champs JSON, aux champs de métadonnées de fichiers) :

  • Modèles suspects génériques :
    • Gestionnaires d'événements : regex pour détecter sur[a-zA-Z]+\s*= (par exemple, onerror=, onclick=)
    • Balises de script en ligne : <\s*script
    • Pseudo-URLs JavaScript : JavaScript : ou données:text/html
    • Injection de chevrons dans les attributs : présence de < ou > à l'intérieur des valeurs d'attribut où ce n'est pas attendu

Exemple de règle de style ModSecurity/regex (conceptuel) :

SecRule ARGS_NAMES|ARGS|REQUEST_HEADERS|REQUEST_BODY "@rx (?i)(on[a-z]{2,20}\s*=|]*[\"'])" \"

Explication:

  • Rechercher dans les noms et valeurs des arguments, les en-têtes et le corps de la requête pour :
    • attributs de gestionnaire d'événements comme onerror
    • balises script
    • schémas javascript : ou data:text/html
    • attribut srcset contenant des chevrons ou des caractères de citation à des positions inattendues

Approche affinée, à faible faux positif :

  • Cibler uniquement les paramètres couramment utilisés pour les descripteurs d'image ou les métadonnées, par exemple : ‘srcset’, ‘image_src’, ‘image_srcset’, ‘image_descriptor’, ‘descriptor’, ‘img_desc’.
  • Bloquer les entrées où ces paramètres contiennent sur[a-z]+= ou <script ou JavaScript :.

Exemple de règle ciblée :

SecRule ARGS_NAMES "@rx (?i)^(srcset|image_src|image_srcset|image_descriptor|descriptor|img_desc)$" \"

Note: Les règles ci-dessus sont conceptuelles et doivent être adaptées à votre syntaxe et environnement WAF.

Alternative de désinfection :

  • Si le WAF le prend en charge, supprimer/normaliser les caractères offensants avant que la requête n'atteigne l'application (par exemple, supprimer <, >, une erreur les motifs des champs spécifiés).

Limitation de taux :

  • Suivez les demandes qui tentent d'écrire sur les points de terminaison multimédia et limitez/interdisez les clients qui frappent des modèles suspects de manière répétée.

Journalisation :

  • Enregistrez tous les événements bloqués avec le corps de la demande complet et les en-têtes pour permettre une analyse judiciaire. Sauvegardez les journaux hors site.

Un exemple de signature d'atténuation non-exploit (pour le scan de contenu)

Ce qui suit est un exemple d'une expression de détection sûre que vous pourriez utiliser pour scanner le contenu existant à la recherche de descripteurs suspects :

Regex (insensible à la casse) pour trouver des attributs avec des gestionnaires d'événements ou un contenu semblable à un script :

  • (<img[^>]+srcset\s*=\s*[‘”][^'”]*(on[a-z]{2,20}\s*=|<\s*script\b|javascript:|data:text/html|%3C%|%3E%))[^\>]*>

Recherchez dans le contenu de la base de données :

  • “onerror=”
  • “<script”
  • “javascript:”
  • “data:text/html”
  • Encoded forms: “%3Cscript”, “%3C”, “%3E”

Ces modèles aident à faire ressortir les charges utiles stockées sans fournir un exploit fonctionnel.

Comment confirmer une remédiation réussie

  1. Rescannez le HTML de votre site et la base de données pour les modèles ci-dessus. Aucun match ne devrait rester pour les charges utiles stockées insérées par la vulnérabilité.
  2. Vérifiez que les points de terminaison multimédia n'acceptent plus de contenu de descripteur suspect : testez d'abord avec des valeurs sûres et bénignes.
  3. Surveillez les journaux : observez si le nombre de tentatives bloquées diminue et si les attaquants essaient des charges utiles alternatives.
  4. Validez les comptes administratifs et l'intégrité du site :
    • Passez en revue les plugins et thèmes actifs pour des modifications non autorisées.
    • Comparez les sommes de contrôle des fichiers principaux, des plugins et des thèmes avec des versions connues comme bonnes.
    • Si des modifications de code sont détectées que vous n'avez pas autorisées, enquêtez et remédiez (restaurer à partir d'une sauvegarde propre est souvent l'approche sûre la plus rapide).

Réponse aux incidents et nettoyage si vous soupçonnez une compromission

Si vous trouvez des preuves de charges utiles XSS stockées ou des signes de compromission administrative, suivez une réponse prudente et structurée :

  1. Instantané de l'état actuel :
    • Effectuez des sauvegardes complètes (système de fichiers et base de données) à des fins d'analyse judiciaire avant de procéder à des modifications.
  2. Isoler:
    • Si possible, placez le site derrière une page d'urgence WAF/page de maintenance et bloquez l'accès public aux pages administratives jusqu'à ce que l'incident soit contenu.
  3. Contenir :
    • Appliquez un patch virtuel WAF pour bloquer d'autres tentatives d'exploitation.
    • Désactivez le plugin vulnérable jusqu'à ce qu'il puisse être corrigé en toute sécurité.
  4. Éradiquer:
    • Supprimez le contenu malveillant de la base de données et du système de fichiers.
    • Remplacez les fichiers de cœur/plugin/thème modifiés par des copies connues comme bonnes.
    • Supprimez tous les comptes administratifs inconnus ou les tâches planifiées suspectes.
  5. Récupérer:
    • Faites tourner les mots de passe et invalidez les sessions pour tous les utilisateurs (exigez une réinitialisation de mot de passe forcée).
    • Réémettez toutes les clés API qui pourraient avoir été exposées.
    • Réactivez les services et continuez la surveillance accrue.
  6. Après l'incident :
    • Effectuez une analyse des causes profondes et assurez-vous que le chemin de code vulnérable est corrigé (mettez à jour le plugin, appliquez des pratiques de codage sécurisées).
    • Passez en revue et améliorez les règles de surveillance et de WAF pour réduire les chances de ré-exploitation.

Conseils aux développeurs — comment le plugin aurait dû prévenir cela

Pour les auteurs de plugins et les développeurs de thèmes, quelques principes de codage sécurisé de base permettraient d'éviter cette classe de problème :

  • Encodage de sortie : Échappez toujours les valeurs d'attributs selon le contexte (le contexte d'attribut HTML doit utiliser l'encodage d'attribut). Ne concaténez pas simplement des entrées non fiables dans des attributs.
  • Validation des entrées : Validez et normalisez les modèles connus comme bons (par exemple, les descripteurs srcset doivent être des URL et des descripteurs comme “320w” ou “2x”). Rejetez ou assainissez tout le reste.
  • Principe du moindre privilège : Limitez quels points de terminaison acceptent les métadonnées fournies par l'utilisateur qui seront directement affichées.
  • Utilisez les API de base de WordPress : Lorsque cela est possible, utilisez des fonctions de base sécurisées pour échapper et assainir : esc_attr(), esc_url(), wp_kses_post() avec des listes strictes de balises/attributs autorisés.
  • Paramétrez et assainissez les métadonnées de fichiers : Les métadonnées multimédias doivent être stockées avec un schéma strict et des routines d'assainissement.

Si vous êtes développeur, réévaluez les chemins de code où les données fournies par l'utilisateur sont écrites dans un stockage persistant et ensuite rendues dans des pages. Le XSS stocké nécessite à la fois un stockage et une sortie ; chaque étape correctement sécurisée empêche l'exploitation.

Considérations de communication et de divulgation

Si vous êtes responsable d'un site avec des utilisateurs (clients, abonnés), envisagez de notifier les utilisateurs concernés si vous avez confirmé une compromission qui pourrait avoir exposé des données ou des sessions. Suivez les obligations légales et de conformité applicables pour la notification de violation dans votre juridiction.

Pour les auteurs de plugins, coordonnez la divulgation avec les mainteneurs et fournissez des étapes et un calendrier de remédiation clairs. La divulgation publique doit inclure un résumé clair, les versions affectées, l'ID CVE et des conseils d'atténuation sans publier de code d'exploitation fonctionnel.

Pourquoi le WAF / le patch virtuel est important pour les zero-days de plugins

De nombreux sites WordPress ne peuvent pas appliquer de correctifs instantanément en raison de l'étape de mise en scène, des exigences de test ou de préoccupations de compatibilité. Un WAF correctement configuré fournit un filet de sécurité critique :

  • Bloque les tentatives d'exploitation automatisées en transit.
  • Vous donne du temps pour tester et déployer une mise à jour.
  • Protège les sessions administratives et les clients pendant que vous enquêtez.

Chez WP-Firewall, nous émettons régulièrement des correctifs virtuels d'urgence pour les vulnérabilités WordPress nouvellement divulguées. Ce sont des règles ciblées pour bloquer les modèles d'exploitation tout en évitant les faux positifs.

Étapes proactives pour réduire le risque futur

  • Gardez les plugins, thèmes et le noyau à jour sur un rythme prévisible.
  • Utilisez des environnements de mise en scène et des tests automatiques pour les mises à jour.
  • Limitez l'empreinte des plugins : installez uniquement les plugins nécessaires et supprimez ceux qui ne sont pas utilisés.
  • Renforcement : restreignez l'accès à wp-admin avec des listes d'autorisation IP lorsque cela est possible, et exigez une authentification à deux facteurs pour tous les administrateurs.
  • Maintenez des sauvegardes fiables et testez les restaurations régulièrement.
  • Effectuez des analyses périodiques de votre site (à la fois des analyses de vulnérabilité et des vérifications de l'intégrité du contenu).

Questions fréquemment posées (courtes)

Q : J'ai mis à niveau — dois-je encore faire autre chose ?
R : Oui. La mise à niveau est la principale solution. Après la mise à niveau, scannez votre base de données et votre site pour vous assurer qu'aucun chargement malveillant stocké ne reste. Si votre site a été exposé avant la mise à niveau, vous devrez peut-être encore remédier aux charges stockées et faire tourner les clés/mots de passe.

Q : Un WAF peut-il remplacer la mise à jour du plugin ?
R : Non. Un WAF est une solution temporaire qui empêche l'exploitation pendant que vous appliquez la véritable solution. Vous devez toujours mettre à jour vers la version corrigée du plugin pour supprimer la vulnérabilité sous-jacente.

Q : Dois-je désactiver complètement le plugin ?
R : Si la mise à niveau immédiate n'est pas possible et que le plugin n'est pas critique, le désactiver jusqu'à ce que vous puissiez le corriger est une approche sûre.

Commencez à protéger votre site immédiatement — Protection gratuite de WP‑Firewall

Titre: Sécurisez votre site dès maintenant — Pare-feu géré et analyse gratuits

Si vous souhaitez des mesures de protection immédiates pendant que vous corrigez ou enquêtez, WP‑Firewall propose un plan de base gratuit qui inclut une protection de pare-feu géré, un pare-feu d'application web (WAF), une analyse de logiciels malveillants, une bande passante illimitée et une atténuation des risques OWASP Top 10. Notre patch virtuel d'urgence pour CVE‑2026‑5217 peut être appliqué instantanément pour bloquer les tentatives d'exploitation sur le trafic entrant — vous donnant le temps de mettre à jour Optimole, de scanner les charges utiles stockées et d'effectuer des remédiations.

Inscrivez-vous au plan gratuit ici et activez les protections en quelques minutes :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si vous avez besoin d'aide pratique, nos plans payants ajoutent la suppression automatisée de logiciels malveillants, le blocage d'IP, le patching virtuel des vulnérabilités et un support dédié.)

Remarques de clôture de l'équipe de sécurité de WP‑Firewall

Cette vulnérabilité est un rappel opportun que même des fonctionnalités largement utilisées comme les gestionnaires d'images réactives peuvent être une surface d'attaque si l'entrée n'est pas validée et la sortie n'est pas correctement encodée. Si vous utilisez WordPress, considérez les mises à jour de plugins et le patching virtuel comme faisant partie de l'exploitation d'un site sécurisé.

Si vous n'êtes pas sûr de votre exposition, commencez par :

  1. Vérifiez votre version d'Optimole ; mettez à jour si nécessaire.
  2. Activez les règles WAF pour bloquer les activités srcset suspectes.
  3. Recherchez des indicateurs de compromission et nettoyez toutes les charges utiles stockées.
  4. Renforcez l'accès administrateur et changez les identifiants si vous soupçonnez quelque chose de suspect.

Si vous souhaitez de l'aide pour déployer des règles ou scanner vos sites, l'équipe de WP‑Firewall peut vous assister. Inscrivez-vous à notre plan gratuit pour obtenir une protection de pare-feu géré immédiate, ou contactez le support pour obtenir de l'aide avec la remédiation et le renforcement.

Soyez prudent,
L'équipe de sécurité de WP-Firewall

Références et lectures supplémentaires

(Fin du conseil)

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™