Vulnérabilité d'inclusion de fichiers locaux dans WordPress FundEngine//Publié le 2025-08-08//CVE-2025-48302

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

FundEngine LFI Vulnerability Image

Nom du plugin FundEngine
Type de vulnérabilité Inclusion de fichiers locaux
Numéro CVE CVE-2025-48302
Urgence Haut
Date de publication du CVE 2025-08-08
URL source CVE-2025-48302

Urgent : FundEngine (≤ 1.7.4) Inclusion de Fichiers Locaux (LFI) — Ce que les propriétaires de sites WordPress doivent faire maintenant

Résumé de la publication

Une vulnérabilité critique d'inclusion de fichiers locaux (LFI) affectant le plugin WordPress FundEngine (versions ≤ 1.7.4) a été divulguée publiquement et a reçu le CVE-2025-48302. Le problème permet à un utilisateur à faible privilège (rôle d'abonné) de provoquer l'inclusion de fichiers locaux arbitraires depuis le serveur web et de rendre leur contenu. Si elle est exploitée, la LFI peut entraîner l'exposition de fichiers sensibles (y compris wp-config.php), la fuite de données d'identification, et potentiellement une prise de contrôle complète de la base de données ou du site en fonction de la configuration du serveur.

Cet article est rédigé du point de vue de l'équipe de sécurité WP-Firewall pour aider les propriétaires de sites, les développeurs et les administrateurs à comprendre le risque, à reconnaître les tentatives d'exploitation et à effectuer des remédiations immédiates et à long terme. J'expliquerai la vulnérabilité, montrerai des exemples de schémas d'attaque, fournirai des suggestions de règles WAF et des étapes de durcissement du serveur, et fournirai des conseils pratiques pour la réponse aux incidents et la récupération.

Table des matières

  • Qu'est-ce que la LFI et pourquoi cela compte
  • Détails du CVE (versions affectées, gravité)
  • Comment la LFI de FundEngine peut être exploitée (analyse technique)
  • Exemple de demande d'exploitation
  • Actions immédiates (liste de contrôle rapide)
  • Règles WAF recommandées et exemples de patchs virtuels
  • Corrections de codage sécurisé que les auteurs de plugins devraient appliquer
  • Détection : quoi rechercher dans les journaux et le système de fichiers
  • Réponse aux incidents : si vous soupçonnez une compromission
  • Durcissement à long terme et meilleures pratiques
  • Plan gratuit WP-Firewall — protégez votre site aujourd'hui
  • Notes finales

Qu'est-ce que l'inclusion de fichiers locaux (LFI) et pourquoi cela compte

L'inclusion de fichiers locaux (LFI) est une classe de vulnérabilité où une application prend une entrée utilisateur et l'utilise pour construire un chemin de fichier utilisé par une fonction include/require (ou similaire), sans validation ni assainissement appropriés. wp-config.php Au lieu de se limiter à des fichiers sûrs à l'intérieur d'un répertoire contrôlé, l'application peut être trompée pour lire des fichiers arbitraires sur le serveur.

Un LFI réussi peut révéler des fichiers de configuration sensibles (par exemple

  • ou d'autres fichiers contenant des identifiants), du code source, des journaux, ou même permettre des attaques en chaîne menant à une exécution de code à distance.wp-config.phpPourquoi cela est particulièrement dangereux pour les sites WordPress :.
  • Les sites WordPress stockent couramment les identifiants de la base de données et les sels dans des fichiers php (.
  • ). L'exposition de ceux-ci peut permettre un accès à la base de données ou une élévation de privilèges.

Les environnements d'hébergement partagé ont souvent plusieurs sites Web sur le même serveur ; un LFI peut fournir aux attaquants des informations utiles pour un mouvement latéral.

Automatisation des attaques : une fois qu'un LFI est public, les attaquants automatisent généralement les scans et les tentatives d'exploitation rapidement.

  • Parce que ce LFI FundEngine peut être déclenché par un compte de niveau Abonné, il présente un risque élevé pour les sites multi-utilisateurs (sites d'adhésion, de dons ou communautaires) où les comptes à faible privilège sont faciles à enregistrer.
  • CVE et versions affectées
  • Logiciel affecté : plugin WordPress FundEngine
  • Versions vulnérables : ≤ 1.7.4
  • Corrigé dans : 1.7.5
  • CVE : CVE-2025-48302

Privilège signalé : Abonné (faible privilège).

Gravité : CVSS 7.5 (Élevé)

Si votre site utilise FundEngine et que le plugin est en version 1.7.4 ou antérieure, considérez cela comme critique et prenez des mesures immédiates.

  • Comment le LFI FundEngine peut être exploité (découpage technique).
  • À un niveau élevé, le plugin vulnérable inclut un fichier PHP basé sur un paramètre fourni par l'utilisateur sans restreindre correctement le chemin autorisé.
  • Un attaquant fournit des séquences de traversée de répertoire (../) ou des équivalents codés pour échapper au dossier de plugin prévu et référencer des fichiers locaux arbitraires.
  • Le serveur inclut le fichier et renvoie sa sortie — si des fichiers PHP sont inclus, le contenu PHP peut ne pas s'exécuter mais peut être exposé dans certaines configurations de serveur ; plus souvent, le contenu de fichiers sensibles basés sur du texte (fichiers de configuration, journaux) est révélé. Dans des configurations mal configurées où l'inclusion de fichiers distants est possible, cela peut conduire à une exécution de code à distance.

Parce que l'attaquant peut être un abonné, l'exploitation nécessite juste un compte à faible privilège (ce qui est trivial à obtenir sur de nombreux sites).

Faiblesses courantes observées dans LFI :

  • En utilisant include($_GET['page']) ou include(ABSPATH . '/path/' . $_GET['file']) sans normalisation ni vérifications de chemin réel.
  • Échouer à bloquer l'injection de byte nul, différentes encodages (%2e%2e%2f) ou wrappers PHP (php://filter).
  • Ne pas limiter les inclusions à un répertoire sûr ou utiliser une liste blanche d'identifiants acceptables.

Exemple de demande d'exploitation

Ci-dessous se trouvent des exemples illustratifs du type de requêtes HTTP qu'un attaquant pourrait envoyer. Ceux-ci sont uniquement à des fins de défense et de détection.

Exemple 1 — tentative de traversée de répertoire (simple) :

GET /?fundpage=../../../../wp-config.php HTTP/1.1

Exemple 2 — traversée encodée en URL :

GET /?fundpage=%2e%2e%2f%2e%2e%2f%2e%2e%2fwp-config.php HTTP/1.1
Host: victim.example

Exemple 3 — php://filter pour révéler la source PHP :

GET /?fundpage=php://filter/read=convert.base64-encode/resource=../../../../wp-config.php HTTP/1.1

Si le plugin ne nettoie pas l'entrée et inclut directement le chemin, ces charges utiles peuvent amener le site à afficher wp-config.php contenus (ou sa représentation encodée en base64), ou d'autres fichiers tels que .env, journal_d'erreurs, ou des fichiers personnalisés.

Remarque : les attaquants essaieront souvent des variations avec des octets nuls, différents encodages, ou tenteront d'inclure des fichiers PHP de thème/plugin pour exposer des identifiants ou créer une chaîne RCE plus avancée.

Actions immédiates — liste de contrôle rapide (pour les propriétaires de sites)

Si vous hébergez des sites WordPress avec FundEngine installé, suivez ces étapes dès maintenant :

  1. Mettez à jour le plugin
    • Mettez à jour FundEngine vers la version 1.7.5 ou ultérieure immédiatement. C'est la seule solution garantie.
  2. Si vous ne pouvez pas effectuer la mise à jour immédiatement :
    • Désactivez temporairement le plugin FundEngine.
    • Ou placez une règle WAF qui bloque le point de terminaison vulnérable ou des paramètres suspects ressemblant à des inclusions (voir les règles ci-dessous).
  3. Inspectez les journaux pour des signes d'exploitation :
    • Search web server access logs for patterns like “..”, “%2e%2e”, “php://filter”, or requests hitting the plugin endpoints from unknown IPs.
  4. Scannez pour des compromissions :
    • Effectuez un scan complet de malware et un contrôle d'intégrité des fichiers de base, de thème et de plugin WordPress.
    • Recherchez de nouveaux utilisateurs administrateurs, des fichiers modifiés et des fichiers PHP suspects.
  5. Si vous trouvez des preuves d'exposition de wp-config.php ou d'autres secrets :
    • Faites tourner les identifiants de la base de données immédiatement et mettez à jour wp-config.php avec de nouveaux identifiants.
    • Faites tourner toutes les clés API, identifiants SMTP ou autres secrets qui ont pu être exposés.
  6. Sauvegardez l'état actuel :
    • Faites une sauvegarde judiciaire (fichiers + DB) et isolez-la pour une analyse ultérieure.
  7. Renforcez les paramètres PHP du serveur :
    • Désactivez allow_url_include (php.ini).
    • Restreignez open_basedir aux répertoires WordPress si possible.

La mise à niveau est la priorité absolue. Si vous ne pouvez pas mettre à niveau immédiatement, appliquez un correctif virtuel via votre WAF et réduisez la surface d'attaque.

Règles WAF recommandées et exemples de patchs virtuels

Ci-dessous se trouvent des exemples de règles WAF (pare-feu d'application web) que vous pouvez utiliser comme correctif virtuel temporaire jusqu'à ce que vous passiez à 1.7.5. Utilisez-les dans votre hôte ou plugin WAF (il s'agit de conseils indépendants du fournisseur). Testez les règles dans un environnement de staging avant la production lorsque cela est possible.

1) Bloquez les traversées de chemin suspectes dans les paramètres :

SecRule ARGS_NAMES|ARGS "@rx (?:\bfile\b|\bpage\b|\bpath\b|\bview\b|\bfundpage\b)" "phase:2,deny,log,status:403,id:100001,msg:'Block possible LFI attempts - traversal in include param',t:none,t:lowercase,chain"
  SecRule ARGS "@rx (\.\./|\%2e\%2e|\.\.\\x2f|php://|/etc/passwd|wp-config\.php)" "t:none,log"

2) Bloquez les tentatives utilisant php://filter pour lire la source :

SecRule ARGS|REQUEST_URI "@contains php://filter" "phase:2,deny,log,status:403,id:100002,msg:'Bloquer les tentatives php://filter'"

3) Prévenir les révélations encodées en base64 :

SecRule REQUEST_URI|ARGS "@rx (base64_encode|convert.base64-encode)" "phase:2,deny,log,status:403,id:100003,msg:'Bloquer les tentatives de lecture de fichiers encodés en base64'"

4) Bloquez les motifs de traversée sous des formes encodées :

SecRule ARGS "@rx (%2e%2e%2f|%c0%ae%c0%ae|%252e%252e%252f)" "phase:2,deny,log,status:403,id:100004,msg:'Block URL-encoded traversal sequences'"

5) Refuser les demandes aux points de terminaison d'inclusion de plugin provenant d'utilisateurs non fiables :

  • Si le paramètre vulnérable est connu (par exemple page de fonds ou déposer), restreignez l'accès aux administrateurs connectés uniquement via la vérification des cookies WAF ou bloquez les demandes anonymes et d'abonnés à ce point de terminaison.

6) Bloquez les tentatives d'inclure des fichiers sensibles :

SecRule ARGS|REQUEST_URI "@rx (wp-config\.php|\.env|/etc/passwd|/proc/self/environ|config\.inc\.php)" "phase:2,deny,log,status:403,id:100005,msg:'Bloquer l'accès aux fichiers sensibles'"

7) Limitez le taux des points de terminaison suspects :

  • Mettez en œuvre des limites de taux sur les points de terminaison du plugin pour ralentir les tentatives d'exploitation automatisées et aider à réduire l'impact pendant que vous corrigez.

Considérations importantes :

  • Adaptez les règles au nom exact du paramètre et au point de terminaison du plugin utilisé par FundEngine. Des règles génériques peuvent bloquer des faux positifs ; la mise sur liste blanche des sources de trafic ou des chemins légitimes réduit les perturbations.
  • Surveillez les journaux après avoir activé les règles pour vous assurer qu'il n'y a pas de ruptures involontaires.
  • Un WAF fournit une atténuation immédiate mais ne remplace pas la mise à jour du plugin vulnérable.

Corrections de codage sécurisé que les développeurs de plugins devraient appliquer

Si vous êtes un développeur de plugin ou responsable de code personnalisé, la bonne solution est de supprimer toute inclusion directe de chemins contrôlés par l'utilisateur et d'adopter ces pratiques sécurisées :

  1. Utilisez une liste d'autorisation (de préférence un tableau associatif) de modèles/partiels autorisés identifiés par des clés courtes, pas des noms de fichiers directs : 
    <?php
  2. Si vous devez accepter des identifiants de fichiers, mappez ces identifiants côté serveur à des fichiers sûrs connus — ne pas utiliser de concaténation directe.
  3. N'incluez jamais d'entrées utilisateur brutes dans les chemins de fichiers. Utilisez la canonicalisation et comparez les chemins réels : 
    <?php
  4. Rejetez les wrappers et les filtres :
    • Bloquez php://, données :, zip://, phar:// et des wrappers similaires dans l'entrée.
    • Supprimez les octets nuls et gérez les encodages.
  5. Validez les capacités des utilisateurs :
    • Si un fichier doit être inclus via une requête, exigez une vérification de capacité (par exemple current_user_can('manage_options')) ou une vérification de nonce.
  6. Utiliser les fonctions de WordPress :
    • sanitize_key(), esc_attr(), wp_verify_nonce(), current_user_can(), et les API de système de fichiers WP pour réduire les risques.
  7. Journalisation et audit :
    • Ajoutez une journalisation aux tentatives d'inclusion suspectes pour une enquête ultérieure, sans exposer de contenus sensibles dans les journaux.

Ces mesures transforment un modèle non sécurisé en un design explicitement contrôlé.

Détection : quoi rechercher dans les journaux et le système de fichiers

Recherchez dans les journaux d'accès/d'erreurs de votre serveur web et dans les journaux WordPress les éléments suivants :

Modèles de requêtes

  • Requêtes contenant ..%2f, ..%2e, %2e%2e%2f, php://filter, convert.base64-encode, wp-config.php, .env, /etc/passwd.
  • Paramètres GET/POST inattendus nommés déposer, page, vue, modèle, page de fonds, charger.
  • Requêtes avec de longues charges utiles encodées ou des tentatives de traversée répétées.

Comportements du serveur

  • Réponses 200 OK à des demandes suspectes qui devraient autrement renvoyer 403.
  • Demandes renvoyant de grandes réponses de données sources ou de configuration PHP.
  • Demandes répétées d'une seule IP ou balayage distribué de nombreuses IP.

Indicateurs de système de fichiers

  • Nouveaux fichiers PHP dans wp-content/uploads ou répertoires de plugins.
  • Fichiers de base ou de plugin modifiés (vérifiez les horodatages).
  • Fichiers inattendus avec des noms suspects (par exemple, phpinfo.php, wp-admin/includes/backup.php, shell.php).

Indicateurs WordPress

  • Nouveaux utilisateurs administrateurs que vous n'avez pas créés.
  • Tâches planifiées inconnues (événements cron).
  • Emails sortants excessifs ou pics de trafic vers des points de terminaison inhabituels.

Si vous détectez l'un de ces éléments, supposez une exposition possible et suivez la réponse à l'incident ci-dessous.

Réponse aux incidents : si vous soupçonnez une compromission

  1. Isoler
    • Mettez temporairement le site hors ligne (mode maintenance) ou bloquez le trafic vers le point de terminaison affecté.
    • Supprimez l'accès public pendant que vous enquêtez.
  2. Capture judiciaire
    • Créez une sauvegarde complète des fichiers et de la base de données pour enquête (stockez hors site ou hors ligne).
    • Conservez les journaux du serveur web, de PHP et de tout WAF.
  3. Identifier le périmètre
    • Déterminez quels fichiers ont été accédés via LFI et si des identifiants ont été révélés ou utilisés.
    • Recherchez des indicateurs d'activité post-exploitation : webshells, tâches planifiées, jobs cron, nouveaux comptes administrateurs, connexions sortantes.
  4. Rotation des identifiants
    • Si wp-config.php ou si des secrets ont été exposés, faites immédiatement tourner les identifiants de la base de données et mettez à jour wp-config.php.
    • Faites tourner toutes les clés API ou tokens qui ont pu être stockés sur le site.
  5. Nettoyer et restaurer
    • Supprimez les fichiers malveillants et restaurez les fichiers de base/plugin/thème modifiés vers des versions connues comme bonnes.
    • Si c'est étendu ou peu clair, restaurez à partir d'une sauvegarde antérieure à la compromission (vérifiée propre).
  6. Reconstruisez (si nécessaire)
    • Dans les cas graves, reconstruisez l'environnement du site : reconstruisez le serveur à partir d'une image propre et restaurez le contenu à partir d'une sauvegarde propre.
  7. Surveillance post-incident
    • Augmentez la journalisation et la surveillance pendant plusieurs semaines pour détecter tout accès résiduel.
    • Envisagez un service professionnel de réponse aux incidents si vous manquez d'expérience interne.
  8. Divulgation et transparence
    • Informez les utilisateurs concernés si leurs données ou comptes ont pu être exposés. Suivez les obligations réglementaires en matière de violations de données.

Durcissement à long terme et meilleures pratiques

Au-delà du patching de cette vulnérabilité spécifique, mettez en œuvre ces contrôles pour réduire le risque futur :

  1. Gardez WordPress, les plugins et les thèmes à jour — priorisez les mises à jour de sécurité.
  2. Réduisez le nombre de plugins actifs ; désinstallez les plugins que vous n'utilisez pas.
  3. Appliquez le principe du moindre privilège :
    • Limitez les inscriptions ou exigez une modération pour les nouveaux utilisateurs.
    • Donnez uniquement aux utilisateurs les rôles/capacités dont ils ont besoin ; évitez d'accorder des capacités supplémentaires aux abonnés.
  4. Renforcez la configuration PHP et du serveur :
    • Désactiver allow_url_include.
    • Utiliser des restrictions open_basedir.
    • Garder les paquets PHP et OS à jour.
  5. Prévenir l'édition de fichiers :
    • Définir define('DISALLOW_FILE_EDIT', true) dans wp-config.php.
  6. Utiliser un accès basé sur les rôles aux points de terminaison de plugin sensibles (vérifications de capacité et nonces).
  7. Sauvegardes régulières :
    • Conserver des sauvegardes hors site avec rétention.
  8. Surveillance de l'intégrité des fichiers :
    • Utiliser des comparaisons de sommes de contrôle pour détecter des changements inattendus.
  9. WAF au niveau de l'application :
    • Déployer des règles WAF et maintenir un examen régulier du trafic bloqué pour réduire les faux positifs.
  10. Audits de sécurité :
    • Revue de code périodique pour les plugins et thèmes personnalisés ; utiliser des outils SAST automatisés et des audits manuels pour les composants critiques.
  11. Surveillance et alertes :
    • Configurer des alertes pour les demandes suspectes, un taux d'erreur élevé ou des événements administratifs inattendus.
  12. Éduquer les utilisateurs administrateurs :
    • Former les administrateurs de site sur l'installation sécurisée de plugins, les mises à jour et la reconnaissance de phishing ou d'ingénierie sociale.

Exemple de snippet de configuration ModSecurity + nginx (défensif)

Ci-dessous un exemple de bloc de localisation nginx avec une vérification simple pour refuser les demandes avec des traversées suspectes ou des motifs php:// dans les chaînes de requête. C'est une solution temporaire légère ; ajustez pour votre environnement.

Exemple de configuration nginx :

server {
    ...
    location / {
        if ($query_string ~* "(?:\.\./|%2e%2e%2f|php://|convert.base64-encode|wp-config\.php)") {
            return 403;
        }
        try_files $uri $uri/ /index.php?$args;
    }
}

Rappelez-vous : il s'agit d'une atténuation rapide. Des règles WAF appropriées et une mise à jour des plugins restent indispensables.

Configuration recommandée de WP-Firewall pour cette vulnérabilité

Si vous utilisez WP-Firewall (notre WAF géré pour WordPress), nous recommandons :

  • Activez les mises à jour automatiques des règles afin que votre site bénéficie d'une couverture de patch virtuel pour les vulnérabilités nouvellement divulguées.
  • Assurez-vous que le WAF bloque les charges utiles de traversée de répertoire, les filtres php:// et les tentatives de filtrage base64.
  • Activez la limitation de débit et le blocage pour les points de terminaison de plugin suspects et les signatures spécifiques à FundEngine.
  • Activez la journalisation détaillée pour les points de terminaison de plugin afin que vous puissiez identifier les tentatives d'exploitation.
  • Si vous gérez un site multi-locataire ou d'adhésion où des comptes d'abonnés existent, définissez des contrôles d'accès plus stricts et envisagez d'exiger une confirmation par e-mail et une approbation manuelle pour les nouveaux comptes.

Si vous souhaitez essayer notre niveau de protection gratuit pour obtenir immédiatement un pare-feu géré, un WAF et une analyse de logiciels malveillants (et pour appliquer des règles de protection pendant que vous mettez à jour), consultez la section ci-dessous.

Nouveau : sécurisez votre site avec le niveau de protection gratuit de WP-Firewall

Protégez les chemins critiques instantanément avec notre plan de base (gratuit) — sécurisé, automatisé et simple à déployer.

Pourquoi essayer WP-Firewall Basic (gratuit) ?

  • Protection essentielle au moment où une vulnérabilité est divulguée : pare-feu géré, règles WAF et analyse automatisée pour les attaques courantes.
  • Bande passante illimitée avec des règles légères qui bloquent les tentatives de traversée et d'inclusion de fichiers à travers les points de terminaison de plugin.
  • Atténuation des risques OWASP Top 10 dès la sortie de la boîte — réduisant l'exposition pendant que vous appliquez les correctifs du fournisseur.
  • Activation facile : inscrivez-vous, vérifiez votre site, et nos règles de patch virtuel sont livrées automatiquement afin que vous obteniez une protection rapidement.

Commencez avec le plan gratuit maintenant :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Si vous avez besoin de fonctionnalités plus avancées, nous proposons des plans Standard et Pro avec suppression automatisée des logiciels malveillants, contrôles de liste blanche/noire, rapports mensuels, patching virtuel automatique et support premium.

Ce qu'il faut communiquer aux parties prenantes et aux utilisateurs

Si votre site a des membres de la communauté, des donateurs ou des utilisateurs, faites ce qui suit :

  • Soyez transparent si des données personnelles ont pu être exposées. Fournissez un résumé précis de ce qui s'est passé et des mesures que vous avez prises.
  • Encouragez les utilisateurs à changer de mot de passe s'il y a une chance d'exposition des identifiants.
  • Si des informations financières ou de don ont pu être affectées, informez votre processeur de paiement et suivez les règles de notification de violation requises.
  • Fournissez un calendrier prévu pour la résolution et gardez les communications factuelles et non alarmantes.

Remarques finales et calendrier recommandé

  1. Immédiat (prochaines 1 à 2 heures)
    • Mettez à jour FundEngine vers 1.7.5. Si vous ne pouvez pas, désactivez le plugin ou appliquez une règle WAF qui bloque les paramètres risqués.
    • Recherchez dans les journaux pour php://, wp-config.php, ..%2f et des charges utiles similaires.
  2. À court terme (dans les 24 à 72 heures)
    • Faites tourner les identifiants de la base de données et de l'API si vous avez trouvé des preuves d'exposition.
    • Effectuez une analyse de malware et d'intégrité sur l'ensemble du site.
    • Déployez un durcissement supplémentaire (INTERDIRE_MODIFICATION_FICHIER, désactivez autoriser_inclusion_url, open_basedir).
  3. À moyen terme (1 à 4 semaines)
    • Auditez d'autres plugins pour des modèles d'inclusion de fichiers non sécurisés.
    • Mettez en œuvre des contrôles de rôle et d'inscription pour les abonnés.
    • Envisagez un audit de sécurité complet ou un service géré si plusieurs sites ou des actifs de grande valeur sont impliqués.

Les vulnérabilités LFI attirent une exploitation automatisée rapide. Mettre à jour le plugin est le moyen le plus rapide de protéger votre site. Lorsque cela n'est pas immédiatement possible, un correctif virtuel WAF et les atténuations ci-dessus réduiront le risque.

Si vous avez besoin d'aide pour configurer des règles, tester des atténuations ou effectuer une réponse à un incident, notre équipe est disponible pour vous aider.

Restez en sécurité — corrigez rapidement, surveillez en continu et restreignez la surface d'attaque autant que possible.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™