Vulnérabilité de contrôle d'accès de Zoho ZeptoMail//Publié le 2026-05-21//CVE-2025-67972

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Zoho ZeptoMail Vulnerability

Nom du plugin Zoho ZeptoMail
Type de vulnérabilité Vulnérabilité de contrôle d'accès
Numéro CVE CVE-2025-67972
Urgence Faible
Date de publication du CVE 2026-05-21
URL source CVE-2025-67972

Plugin WordPress Zoho ZeptoMail (≤ 3.2.9) — Contrôle d'accès défaillant (CVE‑2025‑67972) : Ce que les propriétaires de sites doivent savoir et faire maintenant

Auteur: Équipe de sécurité WP-Firewall
Publié : 21 mai 2026

Cet article est rédigé du point de vue d'une équipe de sécurité WordPress expérimentée responsable de la protection de milliers de sites. Nous expliquerons la vulnérabilité récemment divulguée de contrôle d'accès défaillant affectant le plugin Zoho ZeptoMail (TransMail) (versions ≤ 3.2.9, CVE‑2025‑67972), pourquoi cela importe, comment les attaquants peuvent en abuser, comment détecter si vous avez été affecté, et un plan de remédiation et de mitigation clair et priorisé que vous pouvez mettre en œuvre immédiatement — y compris des règles de durcissement pratiques et de pare-feu que vous pouvez appliquer dès maintenant.

Si vous gérez des sites WordPress (les vôtres, ceux de vos clients ou des clients d'hébergement), lisez ceci attentivement. Les problèmes de contrôle d'accès défaillant sont souvent sous-estimés ; ils peuvent être exploités dans des campagnes de masse et utilisés comme tremplins pour des compromissions plus importantes.

Table des matières

  • Résumé exécutif
  • Qu'est-ce que le “contrôle d'accès défaillant” dans les plugins WordPress ?
  • La vulnérabilité Zoho ZeptoMail — faits rapides
  • Pourquoi cette vulnérabilité est importante (scénarios et impact)
  • Comment un attaquant peut exploiter le problème
  • Signes d'exploitation — liste de vérification de détection
  • Actions immédiates pour les propriétaires de sites (0–24 heures)
  • Règles de pare-feu et de patching virtuel recommandées
  • Remédiation à long terme pour les développeurs et les propriétaires de sites
  • Réponse aux incidents : si vous soupçonnez une compromission
  • Comment WP‑Firewall vous protège (aperçu du plan + avantages)
  • Protégez votre site maintenant — WP‑Firewall Basic (Gratuit)
  • Annexe : conseils aux développeurs (exemples de code)
  • Réflexions finales

Résumé exécutif

Une vulnérabilité de contrôle d'accès défaillant dans le plugin Zoho ZeptoMail (versions jusqu'à et y compris 3.2.9) permet à un utilisateur authentifié à faible privilège (rôle d'abonné) de déclencher des actions privilégiées du plugin car une vérification d'autorisation et/ou de nonce est manquante ou mal appliquée. Le problème a été corrigé dans la version 3.3.0.

Gravité: Faible (CVSS 4.3) — mais une faible gravité ne signifie pas “ignorer”. Comme le privilège requis est juste Abonné, un grand nombre de sites qui permettent l'enregistrement d'utilisateurs (ou qui ont été attaqués pour créer des comptes d'abonnés) peuvent être ciblés en masse. Le risque immédiat est des modifications non autorisées des paramètres de messagerie, l'envoi de courriers indésirables/phishing via votre site, ou l'utilisation de la fonctionnalité du plugin comme vecteur d'attaque pour des actions ultérieures.

Si vous êtes responsable de la sécurité des sites WordPress : mettez à jour le plugin vers 3.3.0 ou une version ultérieure. Si une mise à jour immédiate n'est pas possible, appliquez les mesures d'atténuation décrites ci-dessous (règles de pare-feu, restrictions de rôle, blocage temporaire des points de terminaison AJAX/action affectés, et surveillance).

Qu'est-ce que le “contrôle d'accès défaillant” dans les plugins WordPress ?

Le contrôle d'accès défaillant fait référence à des vérifications manquantes ou insuffisantes qui devraient restreindre quels utilisateurs peuvent effectuer une action donnée. Dans WordPress, cela signifie généralement :

  • Vérifications de capacité manquantes (par exemple, ne pas appeler current_user_can(...))
  • Vérification de nonce manquante (par exemple, check_ajax_referer()) pour les actions AJAX/REST
  • Points de terminaison (admin‑ajax.php ou routes REST) qui acceptent des requêtes d'utilisateurs non authentifiés ou à faibles privilèges mais exécutent une logique à privilèges supérieurs
  • Utilisation de rôles et de capacités mal configurés

Lorsque l'un de ces éléments est absent ou défaillant, un utilisateur avec des privilèges inférieurs (ou un acteur non authentifié, selon le bug) peut effectuer des opérations sensibles.

Dans les plugins qui s'intègrent aux services de livraison de mails, de telles opérations peuvent inclure le changement des identifiants SMTP, la modification des adresses d'expéditeur, la mise en file d'attente ou l'envoi d'e-mails, ou l'exportation de paramètres. Ces actions peuvent être abusées pour envoyer des campagnes de phishing, contourner les protections SPF/DKIM, ou pivoter vers d'autres attaques.

La vulnérabilité Zoho ZeptoMail — faits rapides

  • Plugin : Zoho ZeptoMail (également référencé comme TransMail) pour WordPress
  • Versions affectées : ≤ 3.2.9
  • Corrigé dans : 3.3.0 — mettez à jour immédiatement vers cette version ou toute version ultérieure
  • Classe de vulnérabilité : Contrôle d'accès défaillant (OWASP A1 / A4 selon la taxonomie)
  • CVE : CVE‑2025‑67972
  • CVSS (Évaluation du correctif) : 4.3 (Faible)
  • Privilège requis pour exploiter : Abonné (faible privilège)
  • Rapporté par : chercheur en sécurité (divulgation publiée le 21 mai 2026)

Point clé à retenir : Un attaquant a seulement besoin d'un compte abonné sur un site vulnérable pour interagir avec une action de plugin qui aurait dû être restreinte — rendant la vulnérabilité attrayante pour une exploitation de masse où les sites permettent l'enregistrement d'utilisateurs ou où les attaquants peuvent créer des comptes abonnés.

Pourquoi cette vulnérabilité est importante (scénarios et impact)

Voici des scénarios du monde réel de ce qu'un attaquant peut faire s'il exploite ce problème de contrôle d'accès défaillant :

  • Envoyer du spam ou du phishing via le service de livraison de mails de votre site. Si l'attaquant peut déclencher des actions de plugin pour envoyer des mails, il peut envoyer des e-mails malveillants qui semblent provenir de votre domaine.
  • Changer les adresses/settings d'expéditeur pour faciliter le phishing ou contourner les filtres anti-spam.
  • Remplacer les identifiants SMTP/API par des identifiants contrôlés par l'attaquant, permettant un abus persistant de la réputation des e-mails de votre domaine.
  • Utiliser la fonctionnalité de mail pour exfiltrer des données (par exemple, envoyer le contenu des e-mails administratifs ou des fichiers de configuration).
  • Combiner avec d'autres failles pour escalader les privilèges ou télécharger des portes dérobées (par exemple, tromper un administrateur pour qu'il effectue une action via un e-mail conçu).
  • Dommages à la réputation et mise sur liste noire : un volume élevé de spam provenant de votre domaine peut entraîner une mise sur liste noire des e-mails.
  • Conséquences réglementaires et de conformité si des informations sensibles sont divulguées.

Même si l'action du plugin semble inoffensive à première vue, lorsque les attaquants enchaînent plusieurs actions, les résultats peuvent être significatifs. La faible difficulté d'attaque (niveau abonné) est ce qui augmente l'urgence de la correction.

Comment un attaquant peut exploiter le problème

Flux d'exploitation typique :

  1. L'attaquant obtient un compte Abonné sur le site cible.
    • De nombreux sites WordPress permettent l'auto-inscription (par exemple, sites d'adhésion, systèmes de commentaires).
    • Certains sites peuvent avoir des comptes abonnés dormants qui peuvent être abusés.
  2. L'attaquant appelle le point de terminaison du plugin affecté (souvent une action admin-ajax ou une route REST) qui manque de vérifications de capacité ou de nonce.
  3. Le plugin exécute un code à privilèges plus élevés (envoi d'e-mail, mise à jour des paramètres du plugin, mise en file d'attente des e-mails).
  4. L'attaquant répète ou automatise cela sur de nombreux sites (campagnes d'exploitation de masse).

Note: L'exploitation ne nécessite pas d'injection SQL ou de téléchargement de fichiers ; elle exploite des erreurs de logique et de contrôle d'accès pour effectuer des actions privilégiées. Le scan automatisé des versions de plugins vulnérables connues + la tentative d'appeler l'action est un modèle d'attaque attrayant à grande échelle.

Signes d'exploitation — liste de vérification de détection

Si vous gérez un site WordPress avec le plugin vulnérable, recherchez ces indicateurs :

  • Pics inattendus de mails sortants (vérifiez les journaux de mails, la file d'attente sortante, les journaux du fournisseur SMTP).
  • Adresses d'expéditeur inconnues configurées dans les paramètres du plugin.
  • Nouveaux paramètres de plugin ou paramètres modifiés non effectués par des administrateurs connus.
  • Appels API inattendus depuis des IP internes (ou depuis des comptes abonnés authentifiés) vers des points de terminaison de plugin (par exemple, appels admin-ajax.php).
  • Création de nouveaux articles, pages ou options qui coïncident avec des e-mails sortants suspects.
  • Présence de comptes abonnés inconnus ou pics soudains de nouvelles inscriptions.
  • Journaux WAF/Serveur montrant des requêtes POST répétées vers admin-ajax.php ou vers des points de terminaison REST de plugin avec des identifiants d'abonné.
  • Utilisateurs signalant des e-mails de phishing qui semblent provenir de votre domaine.

Journaux utiles à inspecter :

  • Journaux du fournisseur de mail / SMTP
  • Journaux d'accès du serveur web (recherchez des requêtes POST vers /wp-admin/admin-ajax.php ou /wp-json/* avec des noms d'actions de plugin)
  • Journaux d'audit WordPress (s'ils sont présents) pour les mises à jour d'options ou les modifications de paramètres de plugin
  • Alertes WAF (si actives) et journaux IDS/IPS

Si l'un des éléments ci-dessus est présent, traiter comme une compromission suspecte et suivre les étapes de réponse à l'incident ci-dessous.

Actions immédiates pour les propriétaires de sites (0–24 heures)

  1. Mettez à jour le plugin immédiatement vers la version 3.3.0 ou ultérieure. C'est l'étape la plus importante.
  2. Si vous ne pouvez pas mettre à jour immédiatement, désactivez temporairement le plugin ou bloquez les points de terminaison affectés via des règles de pare-feu (voir les règles suggérées ci-dessous).
  3. Restreindre l'enregistrement et supprimer ou examiner les comptes d'abonnés inconnus :
    • Désactivez l'enregistrement de nouveaux utilisateurs (Réglages → Général → Adhésion) si ce n'est pas nécessaire.
    • Auditez tous les abonnés existants et supprimez ou changez les mots de passe pour tout compte suspect.
  4. Forcez les réinitialisations de mot de passe pour tous les utilisateurs ayant des privilèges plus élevés (Admin/Éditeur/Auteur) par précaution.
  5. Activez l'authentification à deux facteurs (2FA) pour tous les comptes administrateurs.
  6. Scannez votre site à la recherche de logiciels malveillants/backdoors à l'aide de votre scanner (WP‑Firewall inclut un scanner de logiciels malveillants dans Basic).
  7. Examinez les journaux de courrier sortant et les tableaux de bord des fournisseurs SMTP pour une activité suspecte et révoquez/rotations les clés API si nécessaire.
  8. Si vous détectez des signes d'exploitation : isolez le site (mettez-le temporairement hors ligne ou restreignez l'accès), initiez la collecte judiciaire des journaux et suivez les étapes de réponse à l'incident ci-dessous.

Règles de pare-feu et de patching virtuel recommandées

Si vous exploitez un pare-feu d'application Web (WAF) ou un pare-feu géré, appliquez des correctifs virtuels temporaires pour bloquer les tentatives d'exploitation pendant que vous mettez à jour. Ci-dessous se trouvent des règles et suggestions WAF pratiques et généralement applicables. Utilisez avec précaution et testez en staging lorsque cela est possible.

Important: L'objectif est de bloquer les appels abusifs aux points de terminaison/actions du plugin qui manquent de vérifications d'autorisation sans casser la fonctionnalité légitime.

Défenses suggérées :

  • Bloquez les requêtes POST vers admin‑ajax.php qui incluent les noms d'actions de plugin spécifiques connus pour être vulnérables (la découverte de modèles de noms peut nécessiter l'aide d'un développeur). Exemple (pseudo-règle) :
SI request.uri == "/wp-admin/admin-ajax.php"

Remarque : Remplacez les noms d'actions ci-dessus par les noms d'actions exacts utilisés par le plugin (déterminez à partir du code du plugin). Si vous ne pouvez pas identifier les noms d'actions, utilisez un filtrage plus large (limite de taux + exigence d'en-tête nonce).

  • Exigez un nonce WordPress valide pour les actions AJAX suspectes :
    • Faire respecter la présence/validité des en-têtes/paramètres X‑WPNONCE ou _wpnonce.
    • Bloquer les requêtes manquant un nonce lorsqu'elles ciblent l'action du plugin.
  • Restreindre les routes de l'API REST utilisées par le plugin aux utilisateurs authentifiés avec des capacités spécifiques :
    • Exemple de pseudo-règle : 
      SI request.uri correspond à "^/wp-json/transmail/.*"
  • Limiter le taux des requêtes provenant d'IP individuelles pour les points de terminaison administratifs :
    • Réguler le volume de POSTs suspects vers admin‑ajax.php et les points de terminaison REST.
    • Cela réduit le risque d'exploitation de masse automatisée.
  • Bloquer par géolocalisation ou IP si l'exploitation est concentrée à partir de sources malveillantes connues (utilisez votre intelligence sur les menaces WAF). Soyez prudent pour éviter des dommages collatéraux.
  • Bloquer les tentatives d'énumération d'utilisateurs et limiter les points de terminaison d'inscription :
    • Limiter le taux des POSTs vers wp-login.php?action=register et wp-json/wp/v2/users ou d'autres points de terminaison d'inscription.
  • Patching virtuel via la signature WAF :
    • Créer une signature pour détecter et bloquer le modèle HTTP spécifique utilisé par les tentatives d'exploitation (par exemple, des champs de charge utile POST spécifiques qui ne devraient pas être présents pour les abonnés).

Si vous utilisez WP‑Firewall :

  • Activer le WAF et s'assurer que le plugin est configuré pour inspecter admin‑ajax.php et les routes REST.
  • Dans les plans Pro, nous pouvons déployer un patch virtuel automatique pour cette vulnérabilité spécifique ; sinon, appliquez les règles personnalisées décrites ci-dessus via l'interface WP‑Firewall.

Remédiation à long terme pour les développeurs et les propriétaires de sites

Pour les développeurs de plugins (ou les mainteneurs de sites qui modifient le code du plugin), suivez les meilleures pratiques de codage sécurisé pour prévenir le contrôle d'accès défaillant :

  1. Principe du moindre privilège :
    • N'autoriser que la capacité minimale requise pour une action. Utilisez current_user_can('manage_options') ou une capacité plus spécifique. Ne supposez pas que l'authentification implique l'autorisation.
  2. Vérification de nonce :
    • Pour les requêtes AJAX et les soumissions de formulaires, appelez toujours check_ajax_referer('my_action_nonce', 'nonce_field') ou vérifier_admin_référent le cas échéant.
  3. Utilisez des rappels de permission REST :
    • Lors de l'enregistrement des routes REST, assurez-vous que le permission_callback des vérifications current_user_can(...) ou d'autres vérifications appropriées.
  4. Assainissez et validez toutes les entrées :
    • Utiliser assainir_champ_texte(), intval(), wp_kses_post(), et des instructions préparées pour les opérations DB.
  5. Auditer les chemins de code :
    • Passez régulièrement en revue les chemins de code accessibles par des utilisateurs à faibles privilèges.
  6. Tests unitaires / Tests d'intégration :
    • Ajoutez des tests vérifiant que les rôles non autorisés ne peuvent pas appeler des actions privilégiées.

Pour les propriétaires de sites :

  • Gardez les plugins et le cœur de WordPress à jour et abonnez-vous aux listes de diffusion de sécurité ou aux flux de vulnérabilités.
  • Appliquez le principe du moindre privilège aux rôles du site : n'attribuez des rôles supérieurs qu'aux utilisateurs de confiance.
  • Utilisez des plugins de gestion des rôles pour créer des rôles personnalisés et limités si nécessaire.
  • Utilisez des plugins de renforcement de la sécurité (WAF, scanner de logiciels malveillants) et activez la surveillance et l'enregistrement.

Réponse aux incidents : si vous soupçonnez une compromission

  1. Isoler:
    • Mettez temporairement le site hors ligne ou restreignez l'accès à la zone d'administration (via une liste blanche d'IP ou une authentification HTTP) pendant l'enquête.
  2. Collectez des journaux :
    • Conservez les journaux du serveur web, les journaux de WordPress, les journaux du WAF et les journaux du fournisseur de messagerie pour une analyse judiciaire.
  3. Analyse :
    • Effectuez une analyse complète des logiciels malveillants et de l'intégrité. Recherchez des fichiers de base modifiés, des portes dérobées dans wp-content/uploads et des tâches planifiées suspectes.
  4. Faire pivoter les références :
    • Faites tourner les clés SMTP/API, les clés API des plugins et les mots de passe pour les comptes administrateurs et l'utilisateur de la base de données s'ils sont compromis.
  5. Supprimez la persistance :
    • Identifiez et supprimez les portes dérobées, les administrateurs inattendus ou les événements planifiés malveillants.
  6. Restaurez à partir d'une sauvegarde connue comme bonne si l'intégrité ne peut être assurée.
  7. Appliquez des correctifs :
    • Mettez à jour le plugin vers la version corrigée, renforcez la configuration et appliquez les règles du WAF.
  8. Notifier :
    • Si les données utilisateur ou les e-mails ont pu être exposés, suivez les règles de notification applicables et informez les parties prenantes.
  9. Moniteur:
    • Maintenez une surveillance élevée pendant plusieurs jours (e-mails entrants/sortants, alertes WAF, tentatives de connexion).
  10. Revue post-incident :
    • Identifiez la cause profonde et mettez à jour le durcissement/les playbooks pour prévenir la récurrence.

Si nécessaire, faites appel à un fournisseur professionnel de réponse aux incidents WordPress pour aider à la nettoyage judiciaire et à la rédaction de rapports.

Comment WP‑Firewall vous protège (aperçu du plan + avantages)

Chez WP‑Firewall, nous construisons des défenses avec deux objectifs : prévenir l'exploitation à grande échelle et donner aux propriétaires de sites des options pratiques et rapides pour atténuer les problèmes pendant qu'ils mettent à jour.

Résumé des fonctionnalités par plan :

  • Basique (gratuit) : Protection essentielle — pare-feu géré, bande passante illimitée, WAF, scanner de logiciels malveillants, atténuation des risques OWASP Top 10. Cela est efficace pour la détection immédiate et le blocage du trafic d'exploitation typique, y compris les actions de plugin mal autorisées.
  • 16. ajoute la suppression automatique de logiciels malveillants et la gestion des listes noires/blanches d'IP (jusqu'à 20 IP). Toutes les fonctionnalités de base plus suppression automatique des logiciels malveillants et la possibilité de mettre sur liste noire/liste blanche jusqu'à 20 IP pour un contrôle plus granulaire.
  • 18. inclut le patching virtuel automatique, des rapports de sécurité mensuels, ainsi que des services premium et des modules complémentaires pour des environnements plus grands ou gérés. Toutes les fonctionnalités standard plus des rapports de sécurité mensuels, un patching virtuel automatique des vulnérabilités (nous pouvons déployer des signatures temporaires pour les vulnérabilités nouvellement découvertes) et l'accès à des modules complémentaires premium tels qu'un gestionnaire de compte dédié et des services de sécurité gérés.

Pourquoi cela compte pour le problème actuel de Zoho ZeptoMail :

  • Le WAF dans la version de base peut être configuré pour bloquer les POST suspects vers admin‑ajax.php ou les points de terminaison REST des plugins pendant que vous mettez à jour.
  • Le scanner de logiciels malveillants peut détecter des fichiers inhabituels ou des portes dérobées que les attaquants pourraient avoir téléchargés.
  • Si vous avez besoin d'une protection immédiate et sans intervention et que vous gérez de nombreux sites, Pro vous offre un patching virtuel automatique afin que vous n'ayez pas à attendre des mises à jour manuelles sur chaque site.

Protégez votre site maintenant — WP‑Firewall Basic (Gratuit)

Protéger un site WordPress devrait être rapide et abordable. WP‑Firewall Basic (Gratuit) vous offre une protection essentielle et gérée immédiatement — y compris un WAF, un scanner de logiciels malveillants et des atténuations automatisées pour les risques courants du Top 10 OWASP.

Pourquoi WP‑Firewall Basic aide dans des incidents comme celui-ci :

  • Le WAF géré couvre admin‑ajax et les routes REST pour bloquer les tentatives d'exploitation.
  • Le scanner de logiciels malveillants aide à localiser les portes dérobées ou les modifications suspectes.
  • Déploiement rapide : obtenez une protection de base sur un site en quelques minutes.

Inscrivez-vous et activez un compte gratuit à :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Plans en un coup d'œil :

  • Basique (gratuit) — Protection essentielle : pare-feu géré, bande passante illimitée, WAF, scanner de logiciels malveillants, atténuation des risques OWASP Top 10.
  • Standard ($50/an) — Toutes les fonctionnalités de base + suppression automatique des logiciels malveillants et jusqu'à 20 entrées de liste noire/liste blanche d'IP.
  • Pro ($299/an) — Toutes les fonctionnalités standard + rapports de sécurité mensuels, correctifs virtuels automatiques pour les vulnérabilités et support premium et services gérés.

Si vous gérez plusieurs sites, Basic est un excellent point de départ pour stopper les vecteurs d'attaque les plus courants pendant que vous mettez en œuvre les étapes spécifiques de correction et de durcissement que nous décrivons dans cet article.

Annexe : conseils aux développeurs (exemples de code)

Ci-dessous se trouvent des modèles sécurisés que les développeurs et intégrateurs devraient suivre. Ces extraits sont illustratifs — adaptez-les à votre code de plugin.

1) Exemple : Vérification appropriée des capacités et nonce pour une action AJAX admin

<?php

2) Exemple : Route REST sécurisée avec rappel de permission

register_rest_route(;

3) Conseils de durcissement :

  • Ne comptez jamais uniquement sur est_l'utilisateur_connecté() pour les actions sensibles. Authentifiez + autorisez.
  • Préférez les vérifications de capacité adaptées à l'action (par exemple, edit_posts, manage_options, etc.).
  • Gardez les actions AJAX séparées entre admin (wp_ajax_*) et public (wp_ajax_nopriv_*) et assurez-vous que seuls les hooks prévus sont utilisés.
  • Nettoyez toujours l'entrée et échappez la sortie.

Réflexions finales

Les vulnérabilités de contrôle d'accès brisé sont une cause fréquente d'escalades dans WordPress — en particulier pour les plugins qui exposent des points de terminaison AJAX ou REST. Le problème de Zoho ZeptoMail démontre comment un attaquant avec des privilèges minimaux (un compte Abonné) peut essayer d'abuser de la logique du plugin si les vérifications d'autorisation sont manquantes.

Liste de contrôle prioritaire (répétable) :

  1. Mettez à jour le plugin vers 3.3.0 ou une version ultérieure — faites-le maintenant.
  2. Si vous ne pouvez pas mettre à jour immédiatement, désactivez le plugin ou appliquez des règles WAF pour bloquer les points de terminaison du plugin.
  3. Auditez les comptes abonnés et désactivez les nouvelles inscriptions si elles ne sont pas nécessaires.
  4. Faites tourner les clés mail/API et vérifiez les mails sortants suspects.
  5. Analysez les malwares et surveillez les journaux pour une activité suspecte d'admin‑ajax ou de REST.

La sécurité est superposée : corrigez rapidement, renforcez continuellement et utilisez un WAF géré et un scanner pour réduire la surface d'attaque. Si vous souhaitez de l'aide pour déployer des protections immédiates, configurer des correctifs virtuels ou répondre à une compromission suspectée, l'équipe et les outils de WP‑Firewall sont conçus pour vous aider à agir rapidement et à limiter l'exposition.

Restez en sécurité et mettez à jour rapidement.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™