Prévention de l'escalade de privilèges dans le plugin de mentorat//Publié le 2026-05-05//CVE-2025-13618

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

WordPress Mentoring Plugin Vulnerability

Nom du plugin Plugin de Mentorat WordPress
Type de vulnérabilité L'escalade de privilèges
Numéro CVE CVE-2025-13618
Urgence Critique
Date de publication du CVE 2026-05-05
URL source CVE-2025-13618

Élévation de privilèges dans le plugin WordPress “Mentorat” (CVE‑2025‑13618) — Ce que les propriétaires de sites doivent faire maintenant

Auteur: Équipe de sécurité WP-Firewall

Publié : 2026-05-05

Mots clés: WordPress, WAF, Vulnérabilité, Élévation de privilèges, Réponse aux incidents

Résumé: Une vulnérabilité d'élévation de privilèges non authentifiée de haute gravité a été divulguée dans le plugin WordPress “Mentorat” (toutes les versions ≤ 1.2.8). Elle permet aux attaquants d'élever les privilèges lors du processus d'inscription. Cet article explique les détails techniques, les étapes de détection et d'atténuation, la réponse immédiate aux incidents, le patch virtuel / les règles WAF que vous pouvez appliquer maintenant, et des conseils de durcissement à long terme pour protéger les sites WordPress.

TL;DR (pour les propriétaires de sites qui doivent agir maintenant)

  • CVE : CVE‑2025‑13618 — élévation de privilèges non authentifiée dans le plugin Mentorat via son gestionnaire d'inscription.
  • Versions concernées : ≤ 1.2.8. Corrigé dans 1.2.9.
  • Risque: Élevé (CVSS 9.8). Exploitable par des attaquants non authentifiés et adapté à un scan/exploit automatisé de masse.
  • Actions immédiates :
    1. Mettez à jour le plugin vers 1.2.9 ou une version ultérieure. Si vous ne pouvez pas mettre à jour immédiatement :
    2. Appliquez des règles WAF / patch virtuel pour bloquer le gestionnaire d'inscription vulnérable et supprimer les paramètres de rôle.
    3. Auditez les comptes utilisateurs pour détecter des utilisateurs administrateurs inattendus et faites tourner les identifiants.
    4. Suivez la liste de contrôle de réponse aux incidents ci-dessous.

Contexte : que s'est-il passé

Des chercheurs en sécurité ont divulgué une vulnérabilité critique dans le plugin Mentorat utilisé par certains sites WordPress pour gérer les inscriptions aux cours et au mentorat. Le plugin expose un gestionnaire d'inscription (utilisé pour créer ou mettre à jour des utilisateurs pendant le flux d'inscription) qui accepte des requêtes non authentifiées. En raison d'une validation d'entrée insuffisante et de contrôles de capacité/nonce manquants, un attaquant peut fournir des paramètres qui changent les rôles de compte ou élèvent un utilisateur à faible privilège au statut d'administrateur — sans authentification.

Le défaut se trouve dans un point de terminaison de traitement des inscriptions (le gestionnaire AJAX/REST du plugin). Parce que le point de terminaison traite des requêtes non authentifiées et fait confiance à certains paramètres d'entrée (par exemple rôle ou ID de l'utilisateur), les attaquants peuvent en abuser pour créer ou modifier des utilisateurs avec des privilèges élevés.

Un correctif a été publié dans la version 1.2.9. Si vous utilisez 1.2.8 ou une version inférieure, vous devez traiter les sites affectés comme à haut risque.

Comment la vulnérabilité fonctionne (aperçu technique)

Remarque : Je décris la vulnérabilité de manière générique afin que les conseils de défense soient utiles même si votre installation diffère légèrement.

  1. Le plugin expose un point de terminaison d'inscription (généralement via l'action admin-ajax.php ou une route REST du plugin) par exemple :
    • POST /wp-admin/admin-ajax.php?action=mentoring_process_registration
    • ou POST /wp-json/mentoring/v1/registration
  2. Le point de terminaison accepte un corps de requête contenant des champs d'inscription :
    • nom d'utilisateur
    • e-mail
    • mot de passe (facultatif)
    • et — de manière critique — un rôle paramètre ou ID de l'utilisateur paramètre.
  3. Le gestionnaire manque :
    • une vérification de capacité pour current_user_can( 'create_users' ) / modifier_utilisateurs lors de la modification des rôles,
    • une vérification de nonce appropriée pour les requêtes non authentifiées,
    • une validation que le rôle fourni est autorisé pour une inscription publique,
    • et/ou une désinfection autour des mises à jour des enregistrements d'utilisateur existants.
  4. Un attaquant non authentifié envoie un POST conçu avec :
    • action=mentoring_process_registration
    • nom d'utilisateur=attaquant
    • [email protected]
    • role=administrateur
    • éventuellement user_id pointant vers un compte existant à faible privilège qu'il contrôle

Parce que le plugin fait confiance à l'entrée, le résultat peut être :

  • création d'un compte avec administrateur rôle, ou
  • modification d'un rôle d'abonné/éditeur existant en administrateur, ou
  • injection/création d'un usermeta qui accorde des privilèges supérieurs.

Après l'escalade des privilèges, l'attaquant peut :

  • installer des portes dérobées,
  • ajouter des utilisateurs administrateurs persistants,
  • télécharger des plugins/thèmes malveillants,
  • exfiltrer des données ou pivoter vers d'autres parties de l'infrastructure.

Preuve de concept (illustrative, ne pas exécuter sur des sites en direct que vous ne possédez pas)

Ce qui suit est une requête simulée pour illustrer ce que les attaquants peuvent envoyer. Le point de terminaison exact et les paramètres varient selon l'implémentation du plugin ; il s'agit d'un exemple conceptuel :

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: victim.example
Content-Type: application/x-www-form-urlencoded

action=mentoring_process_registration&username=eviluser&email=evil%40example.com&password=Passw0rd!&role=administrator

Si le gestionnaire ne vérifie pas les capacités ou ne valide pas le rôle paramètre, cette requête peut créer ou promouvoir un utilisateur.

Indicateurs de compromission (IoCs) — quoi surveiller

Si vous gérez des sites WordPress, recherchez ces signes :

  • Nouveaux comptes administrateurs avec des noms d'utilisateur ou des adresses e-mail inconnus.
  • Utilisateurs existants avec des changements de rôle d'abonné/éditeur/contributeur à administrateur.
  • Requêtes POST inhabituelles dans les journaux d'accès à :
    • /wp-admin/admin-ajax.php?action=mentoring_process_registration
    • /wp-json/ (toute route spécifique au plugin contenant ‘mentoring’, ‘register’, ‘registration’)
  • Des requêtes qui contiennent role=administrateur ou ID de l'utilisateur sans cookies authentifiés ou sans en-têtes nonce manquants.
  • Pic de demandes provenant d'une seule IP ou d'un petit groupe d'IPs ciblant le point de terminaison d'enregistrement.
  • Changements suspects dans les entrées de la table wp_usermeta (capacités).
  • Installations inattendues de plugins/thèmes ou horodatages de fichiers modifiés dans wp-content.
  • Tâches planifiées (entrées wp_cron) ajoutées sans activité d'administrateur.

Comment interroger rapidement :

Rechercher dans les journaux du serveur web des POSTs suspects :

Exemple de journal combiné # Apache / Nginx :

Vérifiez la base de données pour des utilisateurs administrateurs inattendus :

SELECT ID, user_login, user_email, user_registered
FROM wp_users
WHERE ID IN (
  SELECT user_id FROM wp_usermeta WHERE meta_key = 'wp_capabilities' AND meta_value LIKE '%administrator%'
);

Vérifiez les changements récents apportés aux plugins/thèmes :

trouver /var/www/html/wp-content -type f -mtime -7 -ls

Contention et remédiation immédiates (étape par étape)

Si vous avez le plugin installé et ne pouvez pas mettre à jour immédiatement, agissez comme suit.

  1. Mettre à jour maintenant (meilleure option)
    • Mettez à jour le plugin Mentoring vers 1.2.9 ou une version ultérieure sur tous les sites (règle de base).
    • Testez sur un environnement de staging avant la mise à jour en masse si vous avez de nombreux sites.
  2. Si vous ne pouvez pas mettre à jour immédiatement — appliquez un WAF d'urgence/patching virtuel
    • Bloquez les requêtes POST vers le point de terminaison d'enregistrement vulnérable provenant d'utilisateurs non authentifiés.
    • Supprimez ou bloquez les requêtes qui incluent un rôle paramètre ou tentent de définir ID de l'utilisateur sur ce point de terminaison.
    • Limitez le nombre de requêtes à l'endpoint d'enregistrement et exigez un nonce valide pour le trafic légitime.
    • Des exemples de modèles WAF et des règles suggérées sont fournis dans la section suivante.
  3. Audit des comptes d'utilisateurs
    • Passez immédiatement en revue tous les utilisateurs administrateurs.
    • Supprimez tous les comptes administrateurs inconnus.
    • Pour tout compte que vous conservez, forcez les réinitialisations de mot de passe et faites tourner les identifiants.
    • Révoquez les mots de passe d'application et réinitialisez les clés API.
  4. Recherche de portes dérobées
    • Exécutez une analyse de malware : recherchez eval(base64_decode(, file_put_contents des chemins étranges, preg_replace avec /e des modificateurs ou des fichiers PHP inconnus dans les téléchargements.
    • Vérifiez les modifications suspectes dans les répertoires de thèmes et de plugins.
  5. Vérifier la persistance
    • Révision options_wp pour des entrées autoloadées suspectes et plugins_actifs.
    • Vérifiez les tâches planifiées (wp_cron) pour des hooks inattendus.
    • Inspectez .htaccess et la configuration du serveur pour des redirections/backdoors.
  6. Restaurez à partir d'une sauvegarde propre si nécessaire.
    • Si la compromission est confirmée et qu'une remediation propre n'est pas possible, restaurez à partir des sauvegardes effectuées avant l'intrusion.
    • Faites tourner tous les identifiants (comptes administrateurs, mots de passe de base de données, clés API) après la restauration.
  7. Renforcez l'accès
    • Mettez en œuvre l'authentification multi-facteurs (MFA) pour les comptes administrateurs.
    • Déplacez les tableaux de bord administratifs derrière des restrictions IP lorsque cela est possible.
    • Envisagez de placer les interfaces de gestion sur un réseau privé ou au moins un accès à deux facteurs.

Patching virtuel et règles WAF que vous pouvez appliquer maintenant.

Bien que la mise à jour soit la seule véritable solution, des règles WAF correctement ajustées atténuent immédiatement le risque d'exploitation. Ci-dessous se trouvent des exemples de règles et de stratégies. Adaptez-les à votre moteur WAF (ModSecurity, Nginx LUA, Cloud WAF ou l'appareil WP-Firewall).

Principe important : bloquez le comportement sur lequel la vulnérabilité repose (attribution de rôle non authentifiée / modification d'utilisateur), pas les flux d'enregistrement normaux.

Plan de règle générique

  • Bloquez ou contestez les requêtes POST vers admin-ajax.php ou les routes REST du plugin où action (ou chemin de route) est égal au gestionnaire d'enregistrement du plugin lorsque :
    • il n'y a pas de cookie valide de connexion WordPress (pas de cookie d'authentification), ET
    • le corps de la requête POST contient rôle ou ID de l'utilisateur des paramètres, OU
    • le corps de la requête POST tente de définir des rôles élevés (administrateur, super_admin, etc.)
  • Si des enregistrements publics légitimes nécessitent certains des champs, à la place :
    • Refuser toute attribution de rôle dans les requêtes publiques (supprimer rôle), et
    • Exiger un nonce ou un jeton valide.

Exemple de pseudo-règle de style ModSecurity

(Ceci est illustratif — testez soigneusement dans un environnement de staging.)

# Bloquez les requêtes anonymes qui fournissent un paramètre 'role' à l'action d'enregistrement suspectée"

Exemple de logique Nginx Lua / WAF personnalisé

  • Correspondre aux POST vers admin-ajax.php.
  • Si le paramètre de requête action=mentoring_process_registration et pas de cookie d'authentification WordPress :
    • Retourner 403 ou 429.
  • Si le corps contient role=administrateur et la requête est non authentifiée :
    • Retourner 403.

Règles de signature suggérées

  • Bloquez ou contestez les demandes avec :
    • Le chemin de la requête contient mentorat ET le corps de la requête contient role=administrateur
    • Demandes aux points de terminaison d'enregistrement qui incluent ID de l'utilisateur ou rôle tout en manquant d'un cookie valide X-WP-Nonce ou authentifié.
  • Limitez le nombre d'appels au gestionnaire d'enregistrement à, par exemple, 5 demandes par minute par IP.

Exemple de regex Fail2Ban pour détecter les tentatives répétées

Ajoutez au filtre :

/wp-admin/admin-ajax.php.*action=mentoring_process_registration.*role=administrateur

Puis bannissez les IP avec plusieurs occurrences dans une courte fenêtre de temps.

Journalisation et alertes

  • Configurez le WAF pour enregistrer les demandes bloquées avec le corps de la demande complet (attention à la vie privée) et alerter sur :
    • >5 tentatives bloquées par minute de la même IP,
    • >10 IP distinctes touchant le même point de terminaison dans une petite fenêtre de temps,
    • Nouveaux événements de création d'administrateur détectés par les hooks CMS (si le WAF s'intègre avec les journaux d'application).

Que faire si votre site a déjà été compromis

Si vous détectez des preuves de compromission, suivez une réponse formelle à l'incident :

  1. Isoler
    • Mettez temporairement le site hors ligne si nécessaire ou désactivez l'accès public à wp-admin.
  2. Triage et collecte de preuves
    • Conservez les journaux (serveur web, WAF, syslog) et les sauvegardes de base de données.
    • Instantanés des serveurs affectés (images disque si possible).
  3. Identifier l'impact
    • Listez tous les comptes administrateurs créés/modifiés, les plugins/thèmes ajoutés, les tâches cron programmées et les fichiers téléchargés.
    • Recherchez des webshells et des portes dérobées dans les téléchargements, les dossiers de thèmes/plugins et la racine wp-content.
  4. Supprimez les portes dérobées et changez les clés.
    • Supprimez les fichiers malveillants et nettoyez les fichiers de plugins/thèmes altérés (restaurez à partir du code du fournisseur lorsque cela est possible).
    • Mettez à jour les sels de WordPress (dans wp-config.php), faites tourner les mots de passe de la base de données et faites tourner toutes les identifiants d'API externes.
  5. Réinstallez et appliquez les correctifs.
    • Réinstaller le cœur de WordPress, les plugins et les thèmes à partir de sources fiables.
    • Mettez à jour le plugin Mentoring vers 1.2.9+ et d'autres composants obsolètes.
  6. Restaurez si nécessaire.
    • Si la compromission est étendue et que le nettoyage est incertain, restaurez à partir d'une sauvegarde connue comme bonne et mettez à jour immédiatement.
  7. Examen post-incident
    • Effectuez une analyse des causes profondes et ajustez les défenses (règles WAF, surveillance, cadence de patching).

Guide pour les développeurs : comment cela aurait dû être mis en œuvre

Si vous développez des plugins WordPress, suivez ces principes de codage sécurisé pour prévenir cette classe de vulnérabilité :

  • Ne faites jamais confiance aux entrées des clients lorsqu'elles affectent les privilèges. N'acceptez jamais un rôle paramètre provenant de requêtes non authentifiées.
  • Utilisez des vérifications de capacité :
    • Lors de la modification des rôles des utilisateurs ou de l'édition des utilisateurs, appelez current_user_can('edit_users') ou current_user_can('create_users').
  • des points de terminaison AJAX sécurisés :
    • Pour les gestionnaires AJAX authentifiés, utilisez add_action( 'wp_ajax_my_action', 'handler' );
    • Pour les points de terminaison non authentifiés qui doivent réellement être publics, validez un nonce en utilisant vérifier_ajax_référent et appliquez une validation stricte des entrées.
  • Éviter wp_set_current_user ou wp_update_user des flux qui acceptent des entrées arbitraires. ID de l'utilisateur ou rôle variables de demande sans vérifications.
  • Assainir/valider toutes les entrées (utiliser sanitize_user, sanitize_email, et une liste blanche de rôles stricte).
  • Restreindre les points de terminaison REST : utiliser des rappels de permission pour s'assurer que seuls les utilisateurs autorisés peuvent changer de rôle.
  • Journaliser les tentatives suspectes dans un journal de sécurité et limiter le taux des points de terminaison d'inscription publics.
  • Suivre le principe du moindre privilège : si l'inscription publique est requise, n'accorder que le rôle d'abonné et ne jamais permettre de remplacer le rôle.

Exemple de squelette de vérification côté serveur :

function mentoring_process_registration() {

Règles de détection et requêtes pour les équipes de sécurité

  • Journaux du serveur Web / WAF :
    • Motif : admin-ajax.php avec action=mentoring_process_registration et role=administrateur.
  • WordPress : interroger la table des utilisateurs pour les changements de capacité d'administrateur dans une fenêtre temporelle récente.

SQL pour trouver les utilisateurs créés/modifiés récemment :

SELECT ID, user_login, user_email, user_registered;

Trouver les métadonnées utilisateur pour l'activité de rôle d'administrateur :

SELECT u.ID, u.user_login, um.meta_value
FROM wp_users u
JOIN wp_usermeta um ON u.ID = um.user_id
WHERE um.meta_key = 'wp_capabilities'
  AND um.meta_value LIKE '%administrator%';

Rechercher dans les fichiers PHP des modèles de porte dérobée courants :

# Exemple de scan rapide (ne pas se fier uniquement à cela)

Recommandations à long terme et meilleures pratiques

  1. Gardez tous les plugins, thèmes et le cœur de WordPress à jour.
  2. S'abonner à un flux de vulnérabilités et surveiller les avis CVE pertinents pour votre pile.
  3. Mettre en œuvre un WAF qui peut appliquer rapidement des correctifs virtuels pour une protection d'urgence.
  4. Activez l'authentification à deux facteurs pour tous les utilisateurs administrateurs.
  5. Utilisez des mots de passe uniques et forts et un gestionnaire de mots de passe ; faites tourner les identifiants après tout événement de sécurité.
  6. Activez les mises à jour automatiques pour les versions mineures et pour les plugins de confiance lorsque cela est possible.
  7. Effectuez des vérifications d'intégrité quotidiennes/hebdomadaires et surveillez les changements de fichiers dans wp-content.
  8. Appliquez le principe du moindre privilège pour les comptes et évitez d'utiliser des comptes administratifs partagés.
  9. Renforcez le serveur :
    • Désactivez l'exécution de PHP dans wp-content/uploads (lorsque cela est faisable).
    • Gardez le système d'exploitation du serveur et les paquets à jour avec les correctifs.
  10. Maintenez des sauvegardes fréquentes, stockées hors ligne ou hors site, et testez les procédures de restauration.

Exemples de recommandations de règles WAF pour les hébergeurs WordPress

Les hébergeurs et les équipes de services gérés devraient envisager les mesures de défense en profondeur suivantes :

  • Règle WAF globale : bloquer les POST non authentifiés qui tentent de définir rôle ou capacités via admin-ajax ou les points de terminaison REST des plugins.
  • Moniteurs au niveau de l'application : accrochez-vous à utilisateur_enregistrer et mise_à_jour_du_profil pour alerter lorsqu'un rôle d'utilisateur est changé en administrateur en dehors d'un flux de travail approuvé (envoyer une alerte + verrouiller temporairement le compte).
  • Limitation de débit : throttling par IP pour les points de terminaison d'inscription (par exemple, 5 inscriptions par heure).
  • Listes de blocage de réputation : ajoutez des IP malveillantes connues aux listes de blocage, mais évitez le blocage excessif.
  • Points de terminaison de piège à miel : créez de fausses actions d'inscription que les plugins légitimes n'utilisent pas — les appels à ces points de terminaison indiquent un scanner ou un attaquant.

Foire aux questions

Q : J'ai mis à jour le plugin — dois-je encore faire quelque chose ?
R : Oui. Mettez à jour immédiatement, puis auditez les utilisateurs et recherchez des signes de compromission (vérifiez les nouveaux administrateurs, les changements de fichiers récents et les tâches planifiées suspectes). Si vous avez corrigé rapidement et qu'aucune activité suspecte n'est présente, continuez à surveiller les journaux.

Q : Mon site a utilisé le plugin mais je n'ai jamais utilisé la fonctionnalité d'inscription — suis-je en sécurité ?
R : Pas nécessairement. La vulnérabilité affecte le gestionnaire d'inscription lui-même. Si le plugin est actif et que le gestionnaire est accessible, il peut être abusé même si vous n'avez pas intentionnellement activé l'inscription publique. Auditez et corrigez de toute façon.

Q : Puis-je bloquer l'ensemble du point de terminaison du plugin jusqu'à ce qu'une mise à jour soit disponible ?
A : Oui. Bloquer temporairement l'accès au point de terminaison d'enregistrement du plugin est une atténuation efficace pendant que vous vous préparez à mettre à jour. Assurez-vous de ne pas interrompre les flux d'utilisateurs légitimes si vous comptez sur cette fonctionnalité du plugin.

Q : J'ai trouvé un administrateur suspect — devrais-je le supprimer ?
A : Supprimez les comptes administrateurs inconnus, mais d'abord collectez des journaux et des preuves. Si vous soupçonnez une intrusion, mettez le site hors ligne pour contenir et suivez les étapes de réponse à l'incident ci-dessus.

Cas réel : pourquoi cela compte maintenant

Les bugs d'escalade de privilèges dans les enregistrements ou les gestionnaires AJAX sont attrayants pour les attaquants car :

  • Ils peuvent être découverts et exploités par des scanners automatisés.
  • Ils peuvent être exploités sans authentification.
  • L'impact est élevé : un seul compte administrateur donne un contrôle total sur le CMS, les plugins et souvent l'environnement d'hébergement de manière indirecte.

Les campagnes d'exploitation de masse scannent généralement ces points de terminaison sur des milliers de sites et tentent des charges utiles courantes. Cela rend le patching rapide ou le patching virtuel essentiel pour réduire l'exposition.

Rejoignez le plan gratuit de WP‑Firewall pour protéger votre site WordPress (Protection facile et rapide)

Titre: Commencez à protéger votre site WordPress gratuitement — pare-feu et analyse immédiats

Si vous souhaitez une méthode facile et sans coût pour obtenir une protection proactive pendant que vous appliquez des correctifs et auditez, le plan de base (gratuit) de WP‑Firewall inclut des défenses essentielles qui aident à bloquer des exploits comme celui-ci immédiatement. Les fonctionnalités incluent :

  • Pare-feu géré avec patching virtuel pour bloquer les modèles d'exploitation connus,
  • Bande passante illimitée pour le trafic WAF,
  • Règles de pare-feu d'application Web (WAF) qui peuvent être activées instantanément,
  • Scanner de logiciels malveillants pour détecter des fichiers suspects et des portes dérobées courantes,
  • Couverture de mitigation pour les risques OWASP Top 10.

Commencez avec le plan gratuit à :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Nous recommandons d'activer la protection gratuite maintenant pendant que vous mettez à jour les plugins et effectuez un audit approfondi.)

Recommandations de clôture — liste de contrôle d'un expert

  • Mettez à jour le plugin Mentoring vers 1.2.9 ou une version ultérieure sur chaque site.
  • Si la mise à jour est retardée, activez immédiatement les règles WAF qui :
    • Bloquent les requêtes non authentifiées vers le gestionnaire d'enregistrement du plugin,
    • Supprimer rôle et ID de l'utilisateur les paramètres dans les requêtes publiques,
    • Limitent le taux et enregistrent les tentatives d'enregistrement.
  • Auditez tous les comptes administrateurs et faites tourner les identifiants.
  • Scannez à la recherche de portes dérobées et de fichiers altérés ; restaurez les fichiers propres si nécessaire.
  • Renforcez votre installation WordPress : MFA, privilège minimal, sauvegardes et surveillance continue.

Si vous avez besoin d'aide pour protéger de grandes flottes de sites WordPress ou si vous souhaitez un ensemble de règles WAF que vous pouvez déployer immédiatement, l'équipe WP‑Firewall peut préparer des correctifs virtuels sur mesure et des règles de détection pour votre environnement. Notre plan gratuit fournit une couche de protection de base instantanée pendant que vous complétez les mises à jour et le nettoyage. Visitez https://my.wp-firewall.com/buy/wp-firewall-free-plan/ pour activer le plan gratuit sur votre site.

Auteur: Équipe de sécurité WP‑Firewall — ingénieurs en sécurité avec une expérience pratique en réponse aux incidents WordPress. Si vous avez des journaux ou des indicateurs spécifiques que vous souhaitez faire examiner, rassemblez vos journaux de serveur web et une liste des plugins installés et contactez votre équipe de sécurité ou un fournisseur de réponse aux incidents.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™