Sécuriser Profile Builder Pro contre XSS//Publié le 2026-04-29//CVE-2026-42385

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Profile Builder Pro Vulnerability

Nom du plugin Profile Builder Pro
Type de vulnérabilité Scripts intersites (XSS)
Numéro CVE CVE-2026-42385
Urgence Moyen
Date de publication du CVE 2026-04-29
URL source CVE-2026-42385

Avis de sécurité urgent — Profile Builder Pro XSS (CVE-2026-42385) : ce que les propriétaires de sites WordPress doivent faire dès maintenant

Date: 27 avr, 2026
Auteur: Équipe de sécurité WP-Firewall

Une vulnérabilité de type Cross‑Site Scripting (XSS) affectant les versions de Profile Builder Pro jusqu'à et y compris 3.15.0 a été récemment divulguée (CVE‑2026‑42385). Le fournisseur a publié la version 3.15.1 pour corriger le problème. La vulnérabilité a une note CVSS de 7.1 (moyenne) et peut être dangereuse dans des attaques réelles — surtout lorsqu'elle est combinée avec l'ingénierie sociale ou des permissions utilisateur élevées.

Si vous gérez des sites WordPress incluant Profile Builder Pro, considérez cela comme une priorité élevée pour la révision et la remédiation. Cet article explique quel est le problème, comment les attaquants peuvent l'exploiter, comment détecter si vos sites ont été impactés, et fournit des conseils pratiques, étape par étape, pour atténuer et récupérer. Nous décrivons également comment WP‑Firewall peut vous aider à arrêter les attaques actives et à durcir vos installations pour prévenir des incidents similaires.

Remarque : cet avis est rédigé du point de vue de l'équipe de sécurité de WP‑Firewall et suppose une connaissance de base de l'administration WordPress. Si vous préférez que nous gérions la remédiation, notre équipe peut vous aider (détails à la fin).


Résumé exécutif (tl;dr)

  • Vulnérabilité : Cross‑Site Scripting (XSS) dans Profile Builder Pro <= 3.15.0 (corrigé dans 3.15.1).
  • CVE : CVE‑2026‑42385 (date de divulgation publique : 27 avr 2026).
  • Gravité : Moyenne (CVSS 7.1). L'exploitation peut conduire au vol de session, à l'usurpation d'identité, à des redirections malveillantes, à des charges utiles persistantes sur le site, ou à une élévation de privilèges combinée avec d'autres faiblesses.
  • Actions immédiates :
    1. Mettez à jour Profile Builder Pro vers 3.15.1 (ou version ultérieure) immédiatement.
    2. Si vous ne pouvez pas mettre à jour tout de suite, activez un WAF géré et des règles de patch virtuel pour bloquer les charges utiles d'exploitation courantes.
    3. Scannez votre base de données et votre système de fichiers à la recherche de scripts injectés et de portes dérobées ; nettoyez ou restaurez à partir d'une sauvegarde propre.
    4. Auditez les comptes utilisateurs et les journaux ; changez les mots de passe administratifs et les clés API si une activité suspecte est présente.
  • Si vous utilisez WP‑Firewall : activez nos règles d'atténuation et notre scanner de logiciels malveillants maintenant — notre WAF peut bloquer les tentatives d'exploitation pendant que vous mettez à jour.

Quelle est exactement cette vulnérabilité ?

L'avis public liste les versions de Profile Builder Pro jusqu'à 3.15.0 comme vulnérables au Cross‑Site Scripting (XSS). Les vulnérabilités XSS permettent à un attaquant d'injecter du JavaScript contrôlé par l'attaquant (ou d'autres contenus actifs) dans des pages que d'autres utilisateurs — souvent des administrateurs — vont consulter. Selon l'endroit où la charge utile injectée s'exécute, l'attaquant peut :

  • Voler des cookies d'authentification ou des jetons de session,
  • Effectuer des actions en tant que victime (CSRF combiné avec XSS),
  • Installer des portes dérobées (créer des utilisateurs administratifs ou télécharger des shells PHP),
  • Défigurer des pages ou insérer des redirections/publicités malveillantes,
  • Livrer d'autres charges utiles aux visiteurs, entraînant un compromis des visiteurs et des dommages au SEO/marque.

Les détails publiés indiquent que la vulnérabilité peut être déclenchée sans authentification dans certains contextes, mais une exploitation réussie peut nécessiter une interaction de l'utilisateur (par exemple, un administrateur ou un utilisateur privilégié visitant une page conçue). En pratique, cela signifie que les attaquants peuvent stocker ou concevoir des charges utiles ciblant des utilisateurs à privilèges plus élevés plus tard.

Étant donné que la vulnérabilité est XSS, deux variantes courantes peuvent s'appliquer :

  • XSS stocké — une entrée malveillante est enregistrée (par exemple, dans les profils utilisateurs, les champs personnalisés) et exécutée lorsque la page est consultée, affectant potentiellement les administrateurs ou les visiteurs du site.
  • XSS réfléchi — une charge utile malveillante est incluse dans une URL ou une requête conçue et exécutée immédiatement dans le navigateur d'une victime.

Jusqu'à ce que vous mettiez à jour vers 3.15.1, supposez les deux possibilités et agissez en conséquence.


Scénarios d'attaque réalistes

Comprendre comment les attaquants pourraient abuser de ce problème aide à prioriser les réponses.

  1. L'attaquant soumet une valeur malveillante à un champ de profil (XSS stocké). Un administrateur visualisant la page de profil exécute la charge utile, qui utilise la session de l'administrateur pour créer un nouvel utilisateur administrateur ou modifier des paramètres.
  2. L'attaquant conçoit une URL vers le site contenant des paramètres malveillants (XSS réfléchi). Un administrateur clique sur le lien (hameçonnage), exécutant du JS pour voler des cookies de session ou effectuer des appels API authentifiés.
  3. La charge utile injecte un script externe qui charge une porte dérobée distante, donnant un accès persistant.
  4. Les pages de profil orientées client sont armées pour servir des cryptomineurs ou des publicités malveillantes aux visiteurs, entraînant des pertes de trafic ou un blacklistage par les moteurs de recherche.
  5. L'attaque est enchaînée avec d'autres vulnérabilités (plugin/thème faible, cœur obsolète, permissions de fichiers non sécurisées) pour passer de XSS à une prise de contrôle complète du site.

Étant donné que la vulnérabilité peut être armée à grande échelle (des scanners automatisés peuvent sonder des milliers de sites), ne retardez pas l'atténuation.


Qui est concerné ?

  • Sites WordPress avec Profile Builder Pro installé et actif, exécutant la version 3.15.0 ou antérieure.
  • Réseaux multisites utilisant le plugin (tous les sous-sites du réseau sont potentiellement affectés).
  • Tout site qui affiche ou traite des données de profil, des entrées de formulaire ou du contenu utilisateur rendu sans échappement approprié.

Si vous n'êtes pas sûr d'avoir le plugin, vérifiez la page des Plugins de l'administration WordPress, utilisez WP-CLI ou examinez le répertoire des plugins sous wp-content/plugins.


Liste de contrôle immédiate — quoi faire dans les 60 prochaines minutes

  1. Mise à jour:
    • Si possible, mettez à jour Profile Builder Pro vers la version 3.15.1 ou ultérieure immédiatement via l'administration WordPress ou WP-CLI :
      • wp plugin mettre à jour profile-builder-pro --version=3.15.1
  2. Si vous ne pouvez pas effectuer la mise à jour immédiatement :
    • Activez un pare-feu d'application Web (WAF) géré et importez des règles de patch virtuel qui bloquent les modèles d'exploitation pour ce XSS.
    • Mettez le site en mode maintenance pour les utilisateurs administrateurs jusqu'à ce que vous ayez appliqué des protections.
  3. Bloquez les charges utiles suspectes (règles WAF temporaires que vous pouvez utiliser) :
    • Bloquez les requêtes entrantes contenant des balises script dans les paramètres ou les champs de formulaire multipart (par exemple, des paramètres contenant “<script”, “javascript:”, “onerror=”, “onload=”, “svg onload=”).
    • Block URIs that include suspicious encoded payloads such as “script” or double‑encoded sequences.
    • Limitez ou bloquez les scanners automatisés / agents utilisateurs suspects.
  4. Scannez à la recherche de signes de compromis :
    • Recherchez dans la base de données des balises script insérées ou du contenu suspect (exemples ci-dessous).
    • Exécutez une analyse de logiciels malveillants (le scanner de logiciels malveillants de WP‑Firewall recherchera des indicateurs connus).
    • Vérifiez les modifications récentes de fichiers, en particulier dans wp-content/uploads, thèmes et mu‑plugins.
  5. Auditez les comptes administratifs et les journaux :
    • Vérifiez la liste des utilisateurs WordPress pour des administrateurs inconnus.
    • Examinez wp_users et wp_usermeta pour des entrées inattendues.
    • Consultez les journaux d'accès du serveur web pour des requêtes inhabituelles ou de nombreuses requêtes provenant de la même IP.
  6. Sauvegarder :
    • Prenez un instantané du site actuel (fichiers et base de données) pour des analyses judiciaires avant de nettoyer.
    • Si vous trouvez une compromission active, restaurez à partir d'une sauvegarde propre, avant la compromission, après nettoyage.

Si vous utilisez WP‑Firewall, activez le jeu de règles d'atténuation XSS et demandez un patch virtuel d'urgence pendant que vous mettez à jour.


Comment détecter l'exploitation — requêtes et analyses pratiques

Commencez par rechercher du contenu injecté évident. Ces exemples SQL sont fournis pour les administrateurs expérimentés ; testez toujours dans un environnement de staging ou exportez avant de modifier les données de production.

Recherchez dans usermeta où les scripts sont souvent stockés :

SELECT umeta_id, user_id, meta_key, meta_value;

Recherchez dans les articles et les pages :

SELECT ID, post_title;

Options de recherche et autres tables :

SELECT option_id, option_name;

Utilisez WP‑CLI pour des analyses rapides :

# Trouvez des fichiers uploads et thèmes contenant <script

Recherchez de nouveaux utilisateurs administrateurs ou des utilisateurs modifiés :

SELECT ID, user_login, user_email, user_registered
FROM wp_users
WHERE ID IN (SELECT user_id FROM wp_usermeta WHERE meta_key = 'wp_capabilities' AND meta_value LIKE 'ministrator%');

Inspect web server logs (nginx/apache) for suspicious requests containing encoded script patterns such as “script” or sequences of suspicious attributes.

Si vous trouvez des occurrences de scripts injectés, traitez-les comme des indicateurs de compromission (IoCs) et isolez le site pour remédiation.


Exemples de règles WAF et conseils de patch virtuel

Lorsqu'un patch est disponible, la mise à jour est la meilleure—et permanente—solution. Mais si vous ne pouvez pas patcher immédiatement (tests de compatibilité, fenêtres de maintenance programmées, personnalisations), un WAF avec patching virtuel peut bloquer les tentatives d'exploitation.

Voici des exemples de concepts de règles défensives (ne pas coller textuellement sur des sites publics ; adaptez à votre syntaxe WAF et environnement de test) :

  • Bloquez les requêtes avec des balises de script HTML dans les chaînes de requête ou les données POST :
    • Condition : Le corps de la requête OU la chaîne de requête contient regex (?i)<\s*script\b
  • Bloquez les URI “javascript:” dans les entrées :
    • Condition : Valeurs de paramètres correspondantes (?i)javascript\s*:
  • Bloquez les attributs de gestionnaire d'événements :
    • Condition : Valeurs de paramètres contenant onmouseover=|onerror=|onload=|onclick=
  • Bloquez les charges utiles SVG suspectes :
    • Condition : Valeurs contenant <svg à côté de onload=|onerror=|onmouseover=
  • Bloquez les marqueurs de script doublement encodés :
    • Condition : Séquences encodées script ou 3Cscript

Rappelez-vous :

  • Testez chaque règle en mode de détection/surveillance avant l'application pour éviter de perturber le trafic légitime.
  • Mettez sur liste blanche les IP internes sûres connues pour éviter de bloquer votre propre accès administrateur pendant le réglage.
  • Enregistrez les demandes bloquées pour un examen judiciaire (enregistrez les IP, UA, extraits de charge utile exacts).

Clients de WP‑Firewall : notre ensemble de règles géré et notre moteur de patch virtuel incluent déjà des signatures pour des modèles de charge utile XSS courants et peuvent être activés pour bloquer les attaques contre des vulnérabilités connues pendant que vous mettez à jour.


Étapes de nettoyage et de récupération si vous détectez un contenu malveillant

Si vous confirmez des scripts injectés ou des portes dérobées, suivez ces étapes :

  1. Mettez le site en mode maintenance pour arrêter d'autres dommages et protéger les visiteurs.
  2. Prenez un instantané du site complet (fichiers + DB) pour une analyse judiciaire.
  3. Si vous avez une sauvegarde propre (connue comme bonne, antérieure à la compromission), restaurez-la. Appliquez d'abord les mises à jour des plugins en staging et testez.
  4. S'il n'existe pas de sauvegarde propre, retirez manuellement le code injecté :
    • Supprimez les balises de script de usermeta, posts, options.
    • Recherchez dans wp-content/uploads des fichiers PHP (les uploads ne devraient pas contenir de PHP).
    • Vérifiez wp-config.php et theme functions.php pour des changements inattendus.
    • Recherchez des mu‑plugins ou des fichiers drop‑in ajoutés par des attaquants (les plugins must‑use sont souvent utilisés pour la persistance).
  5. Changez tous les mots de passe administratifs et faites tourner les clés API/tokens secrets.
  6. Examinez les tâches planifiées (wp_cron) pour des rappels non autorisés.
  7. Réappliquez les mises à jour pour le cœur de WordPress, tous les thèmes et plugins.
  8. Rescannez avec un scanner de malware fiable et vérifiez à nouveau les journaux pour vous assurer qu'il n'y a pas de nouvelle activité suspecte.
  9. Envisagez un nettoyage professionnel si l'attaquant a modifié des fichiers principaux ou laissé des portes dérobées — un nettoyage incomplet entraînera souvent une réinfection.

Si vous avez besoin d'aide, WP‑Firewall propose des services de réponse aux incidents et de nettoyage ; notre équipe peut aider à identifier les mécanismes de persistance et nettoyer le site rapidement.


Liste de contrôle pour les développeurs — durcissement du code pour prévenir les XSS

Si vous ou vos développeurs maintenez du code personnalisé ou intégrez des entrées tierces, suivez les meilleures pratiques de sécurité de WordPress pour réduire le risque de XSS :

  • Toujours assainir les entrées au moment de l'acceptation :
    • Utiliser assainir_champ_texte(), assainir_email(), sanitize_user() le cas échéant.
    • Pour les entrées HTML que vous autorisez, utilisez wp_kses() avec une liste de balises autorisées sécurisée.
  • Échapper la sortie au point de rendu :
    • Utiliser esc_html(), esc_attr(), esc_url(), wp_kses_post() selon le contexte.
    • L'échappement de sortie doit être appliqué à tout contenu qui pourrait contenir des entrées utilisateur ou des données de plugin.
  • Utilisez correctement l'API REST :
    • Fournissez des rappels d'assainissement et de validation pour tous les points de terminaison REST.
    • Limitez les autorisations en vérifiant current_user_can() ou des vérifications de capacité appropriées dans les fonctions de rappel.
  • Utilisez des nonces pour les actions de formulaire :
    • Utiliser champ_wp_nonce() et vérifiez avec vérifier_admin_référent() ou wp_verify_nonce().
  • Évitez de faire confiance au contenu des plugins/thèmes :
    • Si vous utilisez des plugins tiers qui rendent des données utilisateur brutes, inspectez comment ils échappent la sortie et soumettez des correctifs ou demandez des corrections au fournisseur s'ils ne le font pas.
  • Sécuriser les téléchargements :
    • Interdisez l'exécution de fichiers PHP dans wp-content/uploads via la configuration du serveur.
    • Validez strictement les types de fichiers et préférez stocker les images des utilisateurs via des bibliothèques sécurisées.
  • Implémentez des en-têtes de politique de sécurité du contenu (CSP) pour empêcher l'exécution de scripts en ligne :
    • Une CSP bien conçue peut atténuer l'impact de nombreuses vulnérabilités XSS. Commencez par un mode de rapport uniquement pour trouver des problèmes de compatibilité avant l'application.

Indicateurs de compromission (IoCs) à surveiller

  • Des utilisateurs ou rôles administratifs inattendus apparaissant dans l'écran des utilisateurs.
  • Nouveaux fichiers PHP dans wp-content/uploads ou dans les répertoires de thèmes.
  • Champs de base de données (usermeta, posts, options) contenant <script ou des attributs d'événements suspects.
  • Demandes fréquentes de réinitialisation de mot de passe ou changements de mot de passe pour les comptes administratifs.
  • Volume élevé de demandes vers des pages de profil ou des formulaires avec des chaînes de requête suspectes.
  • Connexions sortantes vers des domaines inconnus depuis le serveur (utilisez netstat / lsof ou des listes de processus hôtes).
  • Notifications de mise sur liste noire SEO ou avertissements de navigateur pour votre site.

Si vous repérez l'un de ces éléments, agissez rapidement : isolez, prenez un instantané et commencez la remédiation.


Meilleures pratiques opérationnelles pour la prévention

Cet incident renforce les meilleures pratiques de sécurité WordPress pérennes. Nous recommandons :

  • Mettez à jour rapidement : appliquez les correctifs du fournisseur dans votre fenêtre de maintenance. Maintenez un environnement de test/staging pour les mises à jour de plugins.
  • Limitez les plugins : supprimez les plugins et thèmes inactifs/inutiles.
  • Principe du moindre privilège : attribuez les rôles et capacités minimaux nécessaires aux utilisateurs.
  • Activez l'authentification à deux facteurs pour les comptes administrateurs.
  • Implémentez le durcissement du serveur : permissions de fichiers appropriées, désactivez l'exécution PHP dans les répertoires de téléchargement et maintenez le système d'exploitation et les composants du serveur à jour.
  • Sauvegardes régulières : conservez des sauvegardes hors site, versionnées, et testez les restaurations régulièrement.
  • Surveillance et WAF : utilisez un WAF géré pour bloquer les attaques web courantes et fournir un patch virtuel pour les vulnérabilités connues.
  • Scans réguliers : scans programmés de logiciels malveillants et d'intégrité des fichiers.

La plateforme de WP‑Firewall intègre bon nombre de ces contrôles en un seul service (WAF, analyses programmées, surveillance et options de réponse aux incidents).


Comment WP‑Firewall aide pour cette vulnérabilité

Du point de vue de WP‑Firewall, voici comment nos services protègent vos sites WordPress lors d'événements comme cette divulgation XSS :

  • WAF géré avec correctifs virtuels :
    • Dès qu'une vulnérabilité est divulguée, nos analystes en sécurité créent et déploient des signatures de règles qui bloquent les charges utiles d'exploitation les plus courantes ciblant le problème.
    • Ces règles sont immédiatement livrées aux sites protégés, réduisant la surface d'attaque pendant que vous planifiez et testez une mise à jour.
  • Filtrage du trafic en temps réel :
    • Nos règles inspectent les chaînes de requête, les corps POST, les en-têtes et les téléchargements de fichiers pour des charges utiles contenant des balises de script, des gestionnaires d'événements ou d'autres marqueurs d'injection.
    • Les requêtes malveillantes sont bloquées ou mises au défi ; le trafic légitime est enregistré pour analyse.
  • Analyseur de logiciels malveillants :
    • Analyse le système de fichiers et la base de données à la recherche d'injections de scripts et de modèles de code malveillant connus, signalant les éléments suspects pour examen.
  • Support de réponse aux incidents :
    • Si vous détectez des signes de compromission, notre équipe de sécurité peut aider à trier les journaux, identifier les mécanismes de persistance et recommander des étapes de remédiation.
  • Protections en couches :
    • La limitation de débit, l'atténuation des bots et les contrôles de réputation IP réduisent les tentatives de scan et d'exploitation automatisées.

Si vous utilisez WP‑Firewall, activez notre ensemble de règles d'urgence pour Profile Builder Pro et effectuez une analyse complète des logiciels malveillants. Si vous n'êtes pas encore protégé, envisagez d'ajouter le plan gratuit (pare-feu géré, WAF, scanner de logiciels malveillants et atténuations OWASP Top 10) pour défendre vos sites pendant que vous corrigez.


Exemples pratiques : commandes et vérifications sûres

Rechercher dans la DB des modèles de charges utiles de script (exemple WP‑CLI) :

# Rechercher des publications pour <script

Vérifier les comptes administrateurs nouvellement ajoutés :

wp user list --role=administrator --fields=ID,user_login,user_email,user_registered

Rechercher dans les téléchargements des fichiers PHP exécutables (qui devraient rarement exister) :

find wp-content/uploads -name '*.php' -print

Remarque : Toujours faire une sauvegarde avant d'exécuter des commandes destructrices ; en cas de doute, travaillez avec votre hébergeur ou un fournisseur de sécurité.


Communication et rapport d'incidents

Si vous gérez un site avec des données clients ou des comptes utilisateurs, considérez les implications légales et orientées client :

  • Documentez les étapes de réponse à l'incident.
  • Si des données personnelles ont été accessibles, suivez les règles de notification de violation de votre juridiction.
  • Informez les parties prenantes (propriétaires du site, équipes internes, fournisseur d'hébergement) et envisagez de faire appel à une équipe professionnelle de réponse aux incidents si nécessaire.

Nous pouvons vous aider avec le rapport d'incidents et les délais pour vous aider à rester conforme.


Commencez à protéger votre site avec WP‑Firewall — niveau gratuit disponible

Commencez à protéger votre site avec le plan gratuit de WP‑Firewall

Si vous souhaitez une protection immédiate et continue pendant que vous appliquez des mises à jour et renforcez la sécurité, envisagez le Plan Gratuit WP‑Firewall. Il offre une protection essentielle sans coût :

  • Basique (Gratuit) : pare-feu géré, bande passante illimitée, WAF, scanner de logiciels malveillants et atténuation des risques OWASP Top 10.

C'est une excellente première étape pour les petits sites, les environnements de développement et les agences qui nécessitent une protection de base immédiate sans changer d'hébergement. Inscrivez-vous au plan gratuit ici : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Si vos besoins incluent la suppression automatique de logiciels malveillants ou le patching virtuel, nous proposons des plans payants (Standard et Pro) qui ajoutent ces fonctionnalités ainsi que des listes noires/blanches d'IP, des rapports de sécurité mensuels et un patching virtuel automatique complet.


Résumé de la liste de contrôle — actions à compléter dans les 24 heures

  • [ ] Mettez à jour Profile Builder Pro vers 3.15.1 (ou version ultérieure).
  • [ ] Si vous ne pouvez pas mettre à jour immédiatement, activez un WAF géré et importez les règles de patch virtuel.
  • [ ] Exécutez une analyse de la base de données et du système de fichiers pour détecter des scripts injectés ou des portes dérobées.
  • [ ] Vérifiez les utilisateurs administrateurs non autorisés et faites tourner les identifiants.
  • [ ] Examinez les journaux du serveur web pour des modèles d'accès suspects.
  • [ ] Prenez un instantané/sauvegarde de votre site actuel pour des analyses judiciaires avant de modifier des données.
  • [ ] Si vous trouvez des signes de compromission, mettez en œuvre une containment (mode maintenance), nettoyez ou restaurez, et réappliquez les mises à jour et les contrôles de sécurité.
  • [ ] Activez l'authentification multi‑facteurs pour les utilisateurs administrateurs et examinez les attributions de privilèges.

Remarques de clôture de l'équipe de sécurité WP‑Firewall

Les vulnérabilités XSS comme celle révélée dans Profile Builder Pro sont courantes et sont souvent combinées avec l'ingénierie sociale pour atteindre des compromissions à fort impact. L'action immédiate la plus importante est le patching — mais lorsque le patching est retardé, un WAF géré et une surveillance attentive réduisent le risque d'exploitation.

Si vous souhaitez de l'aide pour mettre en œuvre les étapes techniques ci-dessus, effectuer une analyse d'urgence ou placer un patch virtuel devant votre site, les spécialistes en sécurité de WP‑Firewall peuvent vous aider. Activer notre plan gratuit offre une protection de base (WAF géré + scanner de logiciels malveillants) pendant que vous appliquez le patch du fournisseur et complétez un audit post-patch.

Restez en sécurité et considérez les mises à jour des plugins comme faisant partie de votre hygiène de sécurité régulière. Si vous avez des questions ou souhaitez que nous examinions les journaux de votre site, contactez-nous via les canaux de support de WP‑Firewall — nous sommes là pour vous aider.


wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant
!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.