Vulnerabilità del controllo degli accessi nel plugin Google Calendars//Pubblicato il 2026-02-02//CVE-2025-12526

TEAM DI SICUREZZA WP-FIREWALL

WordPress Private Google Calendars Plugin Vulnerability

Nome del plugin Plugin di Google Calendar Privati per WordPress
Tipo di vulnerabilità vulnerabilità di controllo accessi
Numero CVE CVE-2025-12526
Urgenza Basso
Data di pubblicazione CVE 2026-02-02
URL di origine CVE-2025-12526

Controllo degli accessi compromesso nel plugin ‘Google Calendar Privati’ per WordPress (CVE-2025-12526) — Cosa devono fare ora i proprietari dei siti

Data: 2026-02-02
Autore: Team di sicurezza WP-Firewall

Riepilogo

  • Vulnerabilità: Controllo degli accessi compromesso — Mancanza di autorizzazione che consente agli account autenticati (Subscriber+) di ripristinare le impostazioni del plugin.
  • Plugin interessato: Google Calendar Privati — versioni <= 20250811
  • Risolto in: 20251128
  • CVE: CVE-2025-12526
  • Segnalato da: Athiwat Tiprasaharn (Jitlada)
  • Gravità: Bassa (CVSS 4.3) — impatto sull'integrità (ripristino delle impostazioni), richiede un account autenticato
  • Azione immediata consigliata: Aggiornare a 20251128 quando possibile. Se non puoi aggiornare immediatamente, applica mitigazioni e utilizza patch virtuali tramite il tuo WAF.

Introduzione

Sto scrivendo questo come parte del team di risposta alle vulnerabilità di WP-Firewall per darti una spiegazione pratica e diretta della vulnerabilità recentemente divulgata che colpisce il plugin Google Calendar Privati (CVE-2025-12526). La ricerca indica una condizione di controllo degli accessi compromesso che consente a un utente autenticato con privilegi di livello Subscriber (o superiore) di attivare un'operazione di ripristino delle impostazioni che avrebbe dovuto richiedere un controllo di autorizzazione più rigoroso.

Questo post spiega il rischio tecnico, come un attaccante potrebbe sfruttarlo nella pratica, come rilevare segni di sfruttamento, mitigazioni immediate che puoi implementare oggi (inclusi schemi di patching WAF/virtuali) e consigli di indurimento a lungo termine sia per i proprietari dei siti che per gli sviluppatori di plugin. Spiegherò anche come WP-Firewall può aiutare a proteggere i siti mentre pianifichi un aggiornamento.

Nota: Eviteremo di divulgare codice di sfruttamento o istruzioni passo-passo che potrebbero aiutare in modo significativo gli attaccanti. Questa guida è rivolta a difensori e amministratori di siti.

Sommario

  • Cos'è esattamente il “controllo degli accessi compromesso” in questo contesto?
  • Perché questa vulnerabilità è importante (impatto nel mondo reale)
  • Meccaniche della vulnerabilità — come viene introdotto il problema
  • Sfruttabilità e modello di minaccia
  • Indicatori di compromissione e come rilevare abusi
  • Passi di mitigazione immediati per i proprietari dei siti (patching e protezioni temporanee)
  • Patching virtuale con un Web Application Firewall (schemi di regole WAF consigliati)
  • Linee guida per la correzione a livello di codice per gli sviluppatori di plugin
  • Raccomandazioni operative e checklist di indurimento
  • Come WP-Firewall aiuta (firewall gestito, patch virtuali, scansione)
  • Informazioni sul piano gratuito: Proteggi il tuo sito oggi
  • Raccomandazioni di chiusura e checklist

Cos'è esattamente il “controllo degli accessi compromesso” in questo contesto?

Il controllo degli accessi interrotto significa generalmente che l'applicazione esegue un'azione senza verificare se l'utente attuale è autorizzato a farlo. Nel problema del plugin Private Google Calendars, una funzione che ripristina le impostazioni del plugin (un'operazione amministrativa ad alto impatto dal punto di vista dell'applicazione) non richiedeva un controllo delle capacità appropriato o una verifica del nonce. Di conseguenza, qualsiasi utente autenticato—specificamente gli account con privilegi di livello Subscriber o superiori—poteva chiamare quella funzione e attivare un ripristino delle impostazioni del plugin.

Punti chiave:

  • L'azione richiede un utente autenticato (quindi gli utenti anonimi non possono sfruttare questo a meno che non ci sia una configurazione errata aggiuntiva).
  • Il problema sorge perché il plugin non verifica che l'account autenticato abbia le autorizzazioni amministrative adeguate.
  • C'è anche un controllo del nonce mancante o insufficiente che aumenta il rischio di abuso in stile CSRF quando un attaccante può indurre un utente connesso a visitare una pagina malevola.

Perché questa vulnerabilità è importante (impatto nel mondo reale)

A prima vista, un “ripristino delle impostazioni” potrebbe sembrare innocuo. Ma considera scenari del mondo reale:

  • Ripristinare le impostazioni del plugin potrebbe scollegare credenziali esterne (chiavi API di Google) o ripristinare impostazioni di visibilità e accesso che erano state configurate con attenzione. Ciò potrebbe comportare interruzioni del servizio o esposizione pubblica non intenzionale delle voci del calendario.
  • Gli attaccanti potrebbero attivare ripristini ripetutamente per causare un'interruzione del servizio sulla funzionalità del calendario o causare confusione amministrativa e lavoro di remediation non necessario.
  • Se l'azione di ripristino tocca configurazioni persistenti utilizzate da altri plugin o integrazioni autorizzate, gli attaccanti potrebbero forzare la rotazione delle credenziali o introdurre lacune che rendono più facili gli attacchi successivi.
  • Se un sito consente la registrazione pubblica o ha molti utenti di livello subscriber (ad esempio, comunità, siti di membri, installazioni LMS), la base di attaccanti è più ampia.
  • Poiché il problema richiede autenticazione, non è un compromesso totale remoto da parte di utenti anonimi, ma la barriera è bassa su molti siti che abilitano la registrazione degli utenti.

Ecco perché lo valutiamo “Basso” a livello CVSS: lo sfruttamento richiede accesso autenticato (una barriera piccola) e l'impatto principale è l'integrità (impostazioni), non l'esfiltrazione diretta dei dati o il completo takeover del sito. Ma in molti contesti operativi, forzare configurazioni errate o ripristinare credenziali può essere dannoso e dirompente.

Meccaniche della vulnerabilità — come viene introdotto il problema

Da una prospettiva di sviluppatore e revisore, questa classe di bug appare tipicamente quando:

  • Un plugin espone un'azione AJAX, un endpoint REST o un gestore POST admin che esegue compiti privilegiati.
  • Il codice verifica se un utente è connesso—ma non se l'utente ha capacità sufficienti (ad es., manage_options).
  • Uno sviluppatore presume che “gli utenti autenticati siano fidati” (un'assunzione errata comune).
  • Il codice manca completamente di un controllo del nonce o il nonce non viene verificato prima di eseguire un'operazione distruttiva.

Flusso vulnerabile tipico (concettuale):

  1. Un endpoint è registrato (tramite admin-ajax.php, REST API o gestore della pagina del plugin).
  2. Il gestore legge i parametri della richiesta e esegue un ripristino della configurazione.
  3. Il gestore non contiene alcun controllo delle capacità (current_user_can) e nessuna verifica nonce (check_admin_referer o wp_verify_nonce).
  4. Qualsiasi sessione autenticata (Subscriber+) può inviare il POST e attivare il ripristino.

Dove ciò accade comunemente:

  • Azioni di admin-ajax.php (wp_ajax_{action}) che sono registrate senza controlli delle capacità
  • Percorsi REST che mancano di callback di autorizzazione adeguati
  • Gestori di moduli sul front-end che controllano solo is_user_logged_in()

Sfruttabilità e modello di minaccia

Chi può sfruttarlo?

  • Qualsiasi utente autenticato con almeno privilegi di Subscriber sul sito WordPress.
  • Un attaccante che ha compromesso un account a basso privilegio, o che può creare account (registrazione aperta) e ottenere lo stato di subscriber.
  • Scenari CSRF in cui un utente connesso viene ingannato a visitare una pagina malevola che effettua richieste in background.

Quanto è facile l'exploitation?

  • Su siti con registrazione aperta: banale — un attaccante si registra e utilizza l'account.
  • Su siti con registrazione chiusa: l'exploitation è più difficile ma possibile se un attaccante ha un account subscriber compromesso (phishing, riutilizzo delle credenziali).
  • Il rischio CSRF è alto se il plugin si basa solo su is_user_logged_in() e manca di controlli nonce, poiché una pagina web malevola potrebbe utilizzare il browser della vittima per chiamare l'endpoint.

Cosa può ottenere un attaccante?

  • Ripristinare la configurazione per un'integrazione del calendario (ad es., rimuovere o modificare le chiavi API, visibilità).
  • Ripristini ripetuti per causare interruzioni.
  • Se esistono regressioni, il ripristino potrebbe comportare esposizione o ulteriori malfunzionamenti (a seconda della logica interna del plugin).

Esempio di sfruttabilità (concettuale, non azionabile):

  • POST all'endpoint di reset del plugin, includendo i parametri minimi richiesti, con il cookie di sessione.
  • La richiesta ha successo perché il plugin non verifica la capacità del chiamante né controlla un nonce.

Non condividiamo qui script di exploit funzionanti.

Indicatori di compromissione e come rilevare abusi

Se sospetti sfruttamento, cerca:

  • Cambiamenti imprevisti nelle impostazioni del plugin: chiavi API mancanti, ID calendario modificati, flag attivati/disattivati.
  • Email di amministrazione o avvisi di sistema riguardanti errori di integrazione (richiesta di re-autenticazione Google API OAuth).
  • Richieste simili ripetute nei log di accesso del tuo server web/applicazione che mirano a admin-ajax.php o all'endpoint specifico del plugin.
  • Richieste POST che risultano in un 200 OK con corpo che indica “reset completato” o messaggi simili.
  • Aumento dei log di errore da chiamate API di calendario fallite (credenziali mancanti dopo il reset).

Cerca questi log:

  • Log di accesso del server web (nginx/apache) per richieste a:
    • /wp-admin/admin-ajax.php?action=…
    • /wp-json/{plugin}/{route} (se il plugin espone rotte REST)
    • /wp-admin/admin.php?page=private-google-calendars o simile
  • WordPress debug.log per vedere se gli avvisi generati dal plugin rivelano reset
  • Log di autenticazione per account appena registrati, schemi di accesso sospetti o accessi simultanei da IP diversi (possibile compromissione dell'account)

Modello di log di esempio da cercare (concettuale):

  • POST /wp-admin/admin-ajax.php?action=pgc_reset_settings 200
  • O POST /wp-json/private-google-calendars/v1/reset-settings 200

Se trovi molte richieste simili da IP diversi utilizzando cookie di sessione diversi, potrebbe indicare un abuso automatizzato.

Passi immediati di mitigazione (proprietari del sito)

  1. Aggiorna il plugin
    • La soluzione definitiva è aggiornare Private Google Calendars alla versione 20251128 (o successiva). Quella versione include una correzione di autorizzazione.
    • Se puoi aggiornare immediatamente, fallo. Testa sempre prima su un sito di staging se hai integrazioni complesse.
  2. Se non puoi aggiornare immediatamente: mitigazioni temporanee
    • Disabilita le registrazioni di nuovi utenti se non ne hai bisogno (Impostazioni → Generale → Iscrizione).
    • Controlla gli account degli abbonati: rimuovi gli account degli abbonati sconosciuti o non utilizzati e ruota le credenziali per gli account che sospetti siano compromessi.
    • Cambia le credenziali API di Google che il plugin utilizza se vedi segni che sono state reimpostate o cambiate. Revoca le chiavi/token precedenti e fornisci nuove.
    • Introduci una restrizione temporanea solo per gli amministratori sulle pagine delle impostazioni del plugin utilizzando un plugin di ruolo-capacità (limita l'accesso alle pagine del plugin solo agli amministratori).
  3. Usa immediatamente un Web Application Firewall (WAF) / patch virtuale
    • Se gestisci un WAF (come il WAF gestito di WP-Firewall), abilita il set di regole che blocca i punti finali di reimpostazione delle impostazioni del plugin e blocca le richieste che mancano di nonce validi.
    • La patch virtuale può bloccare il vettore di attacco anche se non puoi aggiornare immediatamente il plugin—vedi la sezione delle regole WAF qui sotto.
  4. Richiedi l'autenticazione a più fattori (MFA) per gli account amministrativi
    • Applica MFA per tutti gli account al ruolo di Editor o superiore per ridurre il rischio di uso improprio delle credenziali.
  5. Monitoraggio
    • Abilita la registrazione delle audit (o installa un plugin di registro delle attività) per catturare le modifiche alle impostazioni del plugin e chi le ha iniziate.
    • Fai attenzione ad attività insolite degli amministratori e a più tentativi di reimpostazione.

Patch virtuale con un Web Application Firewall — modelli di regole raccomandati

Sebbene le correzioni del codice nel plugin siano la soluzione a lungo termine, un WAF configurato correttamente può mitigare rapidamente lo sfruttamento. Di seguito sono riportati modelli e idee per le regole WAF che proteggono il tuo sito senza interrompere il comportamento legittimo (testa le regole in staging dove possibile).

Importante: Adatta queste regole all'azione effettiva o ai nomi dei percorsi utilizzati dal tuo plugin sul tuo sito.

A. Blocca le chiamate all'azione di reimpostazione da contesti non amministrativi

  • Abbina le richieste:
    • Metodo: POST
    • URI: /wp-admin/admin-ajax.php
    • Stringa di query o parametro del corpo della richiesta: action=private_gc_reset_settings (o il nome reale dell'azione del plugin)
  • Condizione: Se la richiesta non contiene un parametro nonce valido per l'amministratore (ad es., security=[nonce]) OPPURE il Referer non proviene dall'URL dell'amministratore del tuo sito
  • Azione: Blocca o sfida (403 o CAPTCHA)

B. Richiedere la presenza di nonce e modello

  • Abbina le richieste a admin-ajax.php con l'azione del plugin E nega se il parametro nonce è assente o il parametro nonce non corrisponde al modello [a-zA-Z0-9-_]{10,}
  • Alcuni WAF possono anche convalidare i valori nonce rispetto a nonce memorizzati noti se integrati con WordPress — se disponibile, convalida lato server.

C. Proteggi le rotte REST

  • Se il plugin espone endpoint REST come /wp-json/private-google-calendars/v1/reset:
    • Blocca le richieste POST a meno che non presentino un'intestazione X-WP-Nonce che convalida o la richiesta proviene dal contesto admin.
  • Regola: Se POST alla rotta REST del plugin e manca X-WP-Nonce O il callback di autorizzazione richiederebbe manage_options, blocca.

D. Blocca i vettori CSRF anonimi

  • Per i moduli front-end che richiedono utenti autenticati, blocca i POST cross-site privi di un'intestazione Origin o Referer che corrispondono al tuo dominio.
  • Nega le richieste POST con Referer assente o non corrispondente per gli endpoint che dovrebbero essere inviati solo da pagine admin.

E. Limita le azioni di reset

  • Applica limiti di frequenza rigorosi per l'endpoint di reset per ogni account autenticato e per IP (ad es., max 1 reset ogni 24 ore per account).
  • Se il tuo WAF supporta il rate-limiting per account utilizzando cookie di sessione, allega regole ai cookie di sessione.

F. Posizionamento e test sicuri

  • Distribuisci le regole in modalità solo rilevamento prima (solo log) per 24–48 ore per garantire che nessun flusso di lavoro legittimo venga bloccato. Poi passa al blocco quando sei sicuro.
  • Fornisci un percorso di bypass (whitelist temporanea per admin) per consentire agli amministratori del sito di accedere alla funzionalità mentre le regole vengono ottimizzate.

Regola pseudo-esempio (concettuale, non sintassi del fornitore):

SE request.method == POST E request.uri == /wp-admin/admin-ajax.php E request.params['action'] == 'pgc_reset_settings' E NON request.params.contains('security') ALLORA BLOCCA

Linee guida per la correzione a livello di codice per gli sviluppatori di plugin

Se mantieni plugin, il modello da seguire è:

  • Verifica che il chiamante abbia la capacità appropriata (current_user_can).
  • Verifica un nonce (check_admin_referer o wp_verify_nonce).
  • Sanitizza e valida l'input.
  • Restituisci codici di stato HTTP appropriati e messaggi per chiamate non autorizzate.

Esempio di gestore sicuro (concettuale; adatta i nomi al tuo plugin):

add_action( 'wp_ajax_pgc_reset_settings', 'pgc_reset_settings' );

Cose da notare per gli autori di plugin:

  • Usa una capacità che corrisponda all'operazione: il reset della configurazione del plugin è tipicamente un'operazione riservata agli amministratori — richiedi manage_options o una capacità personalizzata assegnata solo agli amministratori.
  • I nomi dei nonce dovrebbero essere specifici e legati all'azione (vedi l'uso di check_admin_referer per i moduli degli amministratori).
  • Registra le azioni amministrative (chi ha fatto cosa e quando) per la tracciabilità.
  • Documenta chiaramente gli endpoint e le aspettative di autorizzazione.

Raccomandazioni operative e checklist di indurimento

Per i proprietari e gli amministratori del sito:

  • Aggiorna i plugin non appena sono disponibili le patch; applica prima a staging se necessario.
  • Riduci il numero di account con privilegi elevati. Usa la gestione dei ruoli per imporre il minimo privilegio.
  • Limita o rimuovi la registrazione pubblica degli utenti a meno che non sia necessaria. Aggiungi verifica email e moderazione se necessario.
  • Imposta password forti e abilita MFA per gli utenti privilegiati.
  • Installa un plugin di registrazione delle attività/audit per rilevare modifiche alle impostazioni del plugin e azioni amministrative.
  • Pianifica un inventario ricorrente del plugin e una scansione delle vulnerabilità.
  • Mantieni backup offsite e un processo di ripristino testato. Se rilevi abusi, ripristina da un backup noto e buono quando necessario.
  • Usa protezioni a livello di rete: WAF, limitazione della velocità e blocco dei bot.

Per gli sviluppatori:

  • Valida sempre le capacità, i nonce e sanitizza gli input su qualsiasi percorso di codice che modifica la configurazione o persiste nello stato.
  • Utilizza callback di autorizzazione basati su capacità per le rotte REST (parametro permission_callback).
  • Aggiungi test automatizzati per l'applicazione delle autorizzazioni (test unitari e di integrazione).
  • Registra e audita azioni sensibili.

Come WP-Firewall aiuta

Presso WP-Firewall ci concentriamo nel fornire ai proprietari di siti protezioni pratiche e immediate oltre a linee guida per il rafforzamento a lungo termine:

  • Firewall per Applicazioni Web Gestito (WAF): Il nostro WAF gestito può implementare patch virtuali mirate per bloccare i tentativi di sfruttamento contro difetti noti dei plugin mentre pianifichi un aggiornamento. Per questo problema il nostro team raccomanda una regola che blocca le richieste che tentano di chiamare l'azione di reset del plugin senza un nonce valido o da referenti non amministratori.
  • Scanner malware e controlli di integrità: Il nostro scanner monitora i file e le impostazioni dei plugin per cambiamenti che indicano manomissioni o reset di massa.
  • Mitigazioni OWASP Top-10: Il firewall gestito e la suite di scansione includono protezioni che riducono la finestra di esposizione per classi di rischio comuni come il Controllo Accessi Interrotto e il Cross-Site Request Forgery.
  • Patch virtuali automatiche (per clienti Pro): Possiamo implementare firme temporanee che bloccano i modelli di traffico di sfruttamento noti per la vulnerabilità fino a quando non viene applicata una patch del fornitore.
  • Log, avvisi e report: Forniamo log e avvisi azionabili quando richieste sospette vengono bloccate, e report di sicurezza mensili nei piani di livello superiore.
  • Assistenza gestita: Se hai bisogno di una risposta rapida agli incidenti, il nostro team può aiutarti ad analizzare i log, suggerire passi di contenimento e aiutarti a ripristinare le impostazioni corrette.

Se sei in una finestra di manutenzione limitata, la patch virtuale tramite WP-Firewall è un passo intermedio pratico: ti dà tempo per pianificare un aggiornamento sicuro e test di regressione.

Proteggi il tuo sito WordPress adesso — inizia con un piano gratuito

Proteggi il cuore del tuo sito — inizia con una protezione essenziale

Se desideri una protezione di base immediata che puoi abilitare subito, il piano Basic (Gratuito) di WP-Firewall offre difese essenziali che fermano molti attacchi automatizzati e mirati. Il piano gratuito include un firewall gestito, larghezza di banda illimitata per il traffico del sito, un robusto Web Application Firewall (WAF), uno scanner malware e mitigazione per i rischi OWASP Top-10. È una prima linea di difesa pratica mentre pianifichi aggiornamenti dei plugin o esegui una risposta agli incidenti.

Iscriviti al piano gratuito qui:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

L'aggiornamento a Standard o Pro sblocca la rimozione automatica del malware, il blacklisting/whitelisting degli IP, report di sicurezza mensili e patch virtuali automatizzate per vulnerabilità note — utile se gestisci più siti o hai bisogno di monitoraggio continuo e rapida rimediazione.

Rilevamento, registrazione e passaggi post-incidente

  1. Ruota immediatamente le credenziali API rilevanti (chiavi API di Google, token OAuth) e ri-autorizza le integrazioni.
  2. Controlla i registri delle attività per identificare l'account utente utilizzato per il reset. Blocca e reimposta la password di quell'account e forzane un nuovo accesso.
  3. Rimuovi eventuali account di abbonati non autorizzati e indaga sulle registrazioni del sito.
  4. Ripristina le impostazioni del plugin da un backup se ne hai uno e conferma la configurazione prevista.
  5. Applica la patch al plugin per la versione corretta (20251128 o successiva).
  6. Considera di ruotare altri segreti e controllare eventuali movimenti laterali — un reset potrebbe essere stato parte di una campagna mirata più ampia.

Nota per gli sviluppatori: perché i controlli delle capacità sono importanti

Le capacità in WordPress separano il concetto di un utente autenticato (is_user_logged_in()) da un utente autorizzato (current_user_can()). Per le azioni che cambiano lo stato del sito, fai affidamento solo sulle capacità; non considerare l'accesso come sufficiente. I nonce proteggono contro il furto di richieste cross-site; sia i controlli delle capacità che la verifica dei nonce sono prassi standard.

Cronologia e credito

  • Vulnerabilità divulgata: 2026-02-02
  • Segnalato da: Athiwat Tiprasaharn (Jitlada)
  • CVE: CVE-2025-12526
  • Versioni interessate: <= 20250811
  • Risolto in: 20251128

Ringraziamo il ricercatore per aver segnalato responsabilmente questo problema. La divulgazione responsabile e la rapida applicazione delle patch sono il modo più veloce per ridurre il rischio nell'ecosistema di WordPress.

Raccomandazioni finali (lista di controllo rapida)

  • Aggiorna i Google Calendar privati a 20251128 (o successivo) — massima priorità.
  • Se non riesci ad aggiornare subito:
    • Disabilita temporaneamente la registrazione aperta.
    • Audit degli account degli abbonati.
    • Usa WP-Firewall per applicare una patch virtuale (blocca l'endpoint di reset o richiedi nonce).
    • Ruota le credenziali API se vedi prove di manomissione.
  • Applica MFA e il principio del minimo privilegio per tutti gli utenti con capacità elevate.
  • Monitora i registri per richieste POST a admin-ajax.php o endpoint REST associati al plugin.
  • Implementa le correzioni per sviluppatori di plugin sopra descritte per qualsiasi codice personalizzato.

Considerazioni finali

Questa vulnerabilità è un utile promemoria che anche piccoli errori di design (presumendo che gli utenti autenticati siano automaticamente autorizzati) possono creare problemi operativi. Il controllo degli accessi interrotto è una causa frequente di escalation dei privilegi o abuso nei plugin di WordPress. La soluzione è semplice: richiedere una capacità appropriata e verificare un nonce per qualsiasi azione che modifica la configurazione o esegue cambiamenti di stato sensibili.

Se hai bisogno di aiuto per valutare i tuoi siti, implementare regole WAF temporanee o condurre una revisione post-incidente, il nostro team WP-Firewall può assisterti — forniamo sia protezioni automatizzate che supporto per la remediation guidato da esseri umani. Inizia con il piano gratuito per ottenere protezioni immediate e vedere come il firewall gestito e la scansione riducono la tua esposizione mentre aggiorni i plugin e indurisci il tuo ambiente.

Rimani al sicuro e mantieni il tuo sito aggiornato.

— Team di Sicurezza WP-Firewall

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™