Vulnerabilità critica di NPM Turbo Workspaces scoperta//Pubblicato il 2026-05-20//CVE-2026-45772

TEAM DI SICUREZZA WP-FIREWALL

Turbo Workspaces CVE-2026-45772

Nome del plugin @turbo/workspaces
Tipo di vulnerabilità Esecuzione di codice remoto
Numero CVE CVE-2026-45772
Urgenza Alto
Data di pubblicazione CVE 2026-05-20
URL di origine CVE-2026-45772

NPM: Turbo ( @turbo/workspaces ) — Esecuzione di codice locale imprevista durante il rilevamento di Yarn Berry (CVE-2026-45772)

Una guida esperta per proprietari di siti WordPress, sviluppatori e host

In breve

  • Una vulnerabilità di alta gravità nella supply chain (CVE-2026-45772 / GHSA-3qcw-2rhx-2726) che colpisce il pacchetto NPM @turbo/workspaces (Turbo / strumenti Turborepo) può portare a un'esecuzione di codice locale imprevista durante il rilevamento degli ambienti Yarn Berry (Yarn 2+).
  • Versioni interessate: >= 2.3.4, < 2.9.14 — corretto in 2.9.14.
  • Impatto su WordPress: mentre questo è un problema dell'ecosistema npm (non un bug del plugin WordPress), i siti WordPress possono essere esposti tramite pipeline di sviluppo, build e distribuzione, CI/CD, build lato hosting e qualsiasi ambiente che esegue strumenti node su server che hanno accesso a risorse di produzione, credenziali o hook di distribuzione.
  • Azioni immediate: aggiorna @turbo/workspaces a 2.9.14 o versioni successive in tutti i luoghi (sviluppo locale, CI, immagini di build), blocca/fissa le dipendenze, controlla le pipeline e i repository di artefatti, ruota i segreti se le macchine CI o di build non sono affidabili e scansiona i tuoi repository e server per segni di compromissione.
  • WP-Firewall può aiutare a rilevare e mitigare comportamenti post-sfruttamento sui siti WordPress (WAF gestito, scanner malware, patching virtuale e monitoraggio). Vedi i dettagli e un'offerta di piano gratuito qui sotto.

Perché una vulnerabilità di un pacchetto Node è importante per WordPress

La maggior parte degli utenti di WordPress pensa a PHP, plugin e temi quando considera la sicurezza. Ma lo sviluppo e le operazioni moderne di WordPress includono frequentemente strumenti Node.js:

  • I processi di build di temi e plugin utilizzano Node (npm/yarn) per raggruppare risorse JS/CSS.
  • Le build statiche, i siti WordPress headless e le risorse dell'editor a blocchi si basano su npm.
  • Le pipeline CI/CD spesso eseguono npm/yarn su runner di build che hanno accesso alle credenziali di distribuzione.
  • Alcuni host e piattaforme di distribuzione gestita eseguono passaggi di build sulla loro infrastruttura.

Una vulnerabilità che consente l'esecuzione di codice locale in uno strumento per sviluppatori ampiamente utilizzato può quindi essere sfruttata per piantare malware nelle build, estrarre segreti dagli ambienti di build o eseguire movimenti laterali nei sistemi di produzione. La gravità è amplificata quando gli agenti di build hanno accesso a credenziali di produzione, chiavi SSH o token di distribuzione automatizzati.

Cos'è la vulnerabilità (linguaggio semplice)

La vulnerabilità è nel @turbo/workspaces pacchetto NPM e si verifica durante il rilevamento automatico degli ambienti Yarn Berry (Yarn v2+). Durante quella routine di rilevamento, codice non affidabile o malevolo può essere eseguito localmente sulla macchina che esegue il rilevamento — ad esempio, un laptop dello sviluppatore, un runner CI o un server di build lato host.

Poiché questo avviene prima dei controlli genuini al momento della build o del sandboxing in molte configurazioni, può essere sfruttato per:

  • Eseguire comandi locali arbitrari.
  • Modificare file (inclusi sorgente, file di blocco, artefatti costruiti).
  • Rubare segreti a cui l'agente di build può accedere.
  • Persistente una backdoor negli artefatti generati che vengono successivamente distribuiti ai siti WordPress in produzione.

La vulnerabilità è stata valutata altamente (CVSS 9.8) perché può essere attivata da attività di rete, non richiede privilegi, ha bassa complessità per essere attivata e potrebbe portare a compromissioni remote su larga scala se gli attaccanti modificano pacchetti o il registro.

Identificatori di riferimento: CVE-2026-45772, GHSA-3qcw-2rhx-2726. Corretto in @turbo/workspaces 2.9.14.

Chi dovrebbe essere più preoccupato

  • Sviluppatori di temi e plugin che eseguono npm/yarn localmente e in CI.
  • Ingegneri DevOps e di piattaforma che gestiscono runner di build o repository di artefatti.
  • Host WordPress gestiti che eseguono processi di build per conto dei clienti.
  • Agenzie che mantengono pipeline CI/CD per molti siti client.
  • Proprietari di siti che consentono accesso di terze parti a repository o token di distribuzione.

Anche se il tuo sito WordPress in produzione non esegue Node direttamente, la tua pipeline di build potrebbe produrre un artefatto (JS/CSS) o un installer (zip) che include codice malevolo iniettato durante il tempo di build. Quell'artefatto è ciò che alla fine viene distribuito al sito — e un WAF o scanner che controlla solo i file PHP di WordPress in esecuzione potrebbe perdere JS abilmente incorporato o backdoor aggiunte durante il tempo di build.

Scenari di attacco — come questo potrebbe essere abusato nella pratica

  1. Dipendenza transitoria compromessa o dirottamento del registro
    Un attaccante pianta codice malevolo in un pacchetto che viene estratto come dipendenza transitoria. Quando @turbo/workspaces esegue la logica di rilevamento di Yarn su un runner CI, quel payload malevolo viene eseguito localmente e modifica gli artefatti di build prima della distribuzione.
  2. Pacchetto malevolo in monorepo
    In un monorepo che utilizza turborepo, uno sviluppatore malevolo (o un account compromesso) introduce un pacchetto che sfrutta la routine di rilevamento. Durante la CI, il codice viene eseguito ed esfiltra segreti o scrive una backdoor in asset destinati a un sito WordPress.
  3. Compromissione del runner CI pubblico
    Codice non autorizzato viene eseguito su runner condivisi con ampio accesso (archivi di artefatti, credenziali Docker hub, chiavi di distribuzione). L'attaccante utilizza l'esecuzione di codice locale per rubare token e attivare distribuzioni contenenti l'artefatto malevolo.
  4. Build lato host
    Alcuni host eseguono passaggi di build sulla propria infrastruttura quando un utente invia una modifica. Se il processo di build lato host esegue @turbo/workspaces la logica di rilevamento in modo non sicuro, l'ambiente host (e qualsiasi sito tenant) potrebbe essere esposto.
  5. Compromissione della macchina dello sviluppatore che porta a un attacco alla supply chain
    Il laptop di uno sviluppatore viene utilizzato per eseguire build e pubblicare artefatti. L'esecuzione di codice locale viene utilizzata per impegnare o pubblicare pacchetti con payload nascosti che successivamente infettano artefatti ufficiali.

Causa radice tecnica (livello alto, non esaustivo)

La vulnerabilità si concentra sulla routine di rilevamento per Yarn Berry. Quando il pacchetto cerca di determinare se Yarn Berry è in uso, la sua logica di rilevamento può eseguire codice non attendibile o seguire file non attendibili in modi che consentono l'esecuzione di codice arbitrario nell'ambiente locale. I dettagli esatti sono dettagli di implementazione nel pacchetto; l'effetto pratico è che input non attendibili o contenuti del pacchetto possono causare l'esecuzione di codice sul runner di rilevamento.

Poiché il rilevamento avviene precocemente in molti flussi di lavoro di build e spesso con gli stessi privilegi di altri passaggi di build, la superficie di attacco è significativa.

Valutazione del rischio per gli ambienti WordPress

  • CVSS: 9.8 (critico/alta gravità)
  • Privilegio richiesto: Nessuno (l'attaccante può attivare tramite rete o supply chain)
  • Complessità: Bassa (il processo di build tipico attiva il rilevamento)
  • Impatto: Esecuzione di codice remoto sull'agente di build, potenziale per una compromissione ampia della supply chain

Per un sito WordPress, il vero vettore di rischio non è il codice PHP in esecuzione stesso, ma l'integrità delle risorse e degli artefatti di distribuzione. Un processo di build compromesso può inserire backdoor nel codice distribuito, nascondere JS malevolo in temi/plugin o modificare script di distribuzione in modo che gli ambienti di produzione siano successivamente mirati.

Azioni immediate (cosa fare oggi)

  1. Aggiorna @turbo/workspaces a 2.9.14 o successivo ovunque venga utilizzato — macchine di sviluppo locali, immagini Docker, immagini di build CI e qualsiasi infrastruttura di build lato server.
    • In package.json o strumenti monorepo, aumenta la versione o esegui il comando di aggiornamento del tuo gestore di dipendenze.
  2. Fissa/blocca le tue dipendenze in modo che le installazioni transitorie siano riproducibili:
    • Assicurati che i file di blocco (yarn.lock / package-lock.json) siano impegnati e utilizzati da CI.
    • Utilizzo npm ci O yarn --frozen-lockfile in CI per garantire l'integrità del lockfile.
  3. Ricostruire e ridistribuire le risorse dopo aver aggiornato le dipendenze.
  4. Ispezionare gli artefatti di build e i repository per cambiamenti inaspettati:
    • Controllare file nuovi o modificati, script imprevisti in package.json, o file scritti durante i passaggi di build.
  5. Audit delle segrete e dei token CI/CD utilizzati dai runner di build:
    • Ruotare le credenziali utilizzate dai runner o dai servizi che potrebbero essere stati esposti.
  6. Cerca segni di compromissione:
    • Eseguire scanner di malware su repository, server e risorse pubblicate.
    • Controllare connessioni outbound sospette dai server di build.
  7. Indurire gli ambienti di build:
    • Utilizzare runner di build effimeri e immagini immutabili.
    • Limitare l'accesso alla rete e l'ambito delle credenziali.
  8. Informare il tuo team e condurre una revisione mirata degli incidenti se ci sono prove di attività insolita.

Lista di controllo per il rafforzamento di sviluppatori e CI/CD

  • Eseguire sempre build in ambienti effimeri e isolati (runner containerizzati, VM effimere).
  • Limitare l'ambito delle credenziali negli ambienti di build (token con il minimo privilegio; separare i token di distribuzione dallo storage degli artefatti).
  • Utilizzare il pinning delle immagini dei container e immagini di base riproducibili per le immagini di build.
  • Assicurati della verifica del lockfile (npm ci / yarn –frozen-lockfile) e abilita i controlli di integrità.
  • Utilizza la firma dei pacchetti, la verifica dei checksum o registri privati dove possibile.
  • Controlla tutte le dipendenze transitive e considera la scansione "adotta una dipendenza": segnala nuovi pacchetti o pacchetti insoliti aggiunti nelle PR.
  • Applica una politica rigorosa per la pubblicazione dei pacchetti e la fusione delle modifiche alle dipendenze; richiedi una revisione del codice per le modifiche a package.json.
  • Utilizza un Software Bill of Materials (SBOM) per le build e la trasparenza della catena di fornitura.
  • Esegui analisi statica e SCA (analisi della composizione del software) come parte delle pipeline PR e CI.
  • Limita l'ambiente di runtime dei processi di build (nessun accesso alle credenziali del database di produzione, chiavi SSH o chiavi di distribuzione a meno che non sia strettamente necessario).
  • Rimuovi node_modules o artefatti di build dai repository di codice prima della distribuzione se non sono necessari per il runtime.

Come rilevare sfruttamenti e cosa cercare

Se sei preoccupato che un agente di build o una pipeline possano essere stati sfruttati, controlla quanto segue:

  • Modifiche inaspettate agli asset costruiti (file JS, bundle minificati, mappe sorgente) contenenti codice offuscato o sconosciuto.
  • Script appena aggiunti o modificati in package.json non approvati dagli sviluppatori.
  • Connessioni in uscita dai server CI/build a endpoint sconosciuti durante il tempo di build.
  • Nuovi commit o tag creati da agenti CI o utenti sconosciuti.
  • Eventi di pubblicazione npm inaspettati dai tuoi account o token CI.
  • Log di accesso degli endpoint di distribuzione che mostrano distribuzioni inaspettate al di fuori delle operazioni programmate.
  • Un aumento insolito di build fallite o artefatti di build inspiegabili.

Per i server WordPress, controlla anche:

  • JavaScript appena introdotto nell'area tema/footer, annunci iniettati o skimmer di carte di credito.
  • Backdoor PHP mascherate da file innocui (cerca file con nomi strani o timestamp di ultima modifica insoliti).
  • File core modificati o file di plugin/tema che non corrispondono ai checksum attesi.

Contenimento e rimedio se trovi indicatori

  1. Isola le macchine colpite: disconnetti il runner CI o il server di build.
  2. Revoca e ruota eventuali segreti utilizzati dagli agenti di build (chiavi API, chiavi di distribuzione, token).
  3. Ricostruisci gli artefatti in un ambiente pulito e patchato dopo aver aggiornato le dipendenze.
  4. Sostituisci gli artefatti sui server con versioni fresche e verificate.
  5. Se un repository di plugin/temi pubblicato è stato compromesso, indaga su eventuali rilasci nel periodo di compromissione e considera di tornare indietro o ripubblicare da una fonte pulita.
  6. Esegui una revisione completa del codice e della configurazione per eventuali modifiche sospette introdotte durante il periodo sospetto.
  7. Notifica i clienti o gli stakeholder colpiti secondo il tuo piano di risposta agli incidenti e le obbligazioni normative.
  8. Se un attaccante ha probabilmente avuto accesso ai sistemi di produzione, segui la risposta completa agli incidenti: forense, rotazione delle credenziali a lungo termine e possibilmente aiuto da parte di terzi per la risposta agli incidenti.

Limitazioni dei firewall di rete e dei WAF per problemi di supply chain

Un Web Application Firewall (WAF) e un firewall di rete sono essenziali per difendere un sito WordPress attivo contro attacchi basati sul web, tentativi di iniezione e traffico malevolo. Tuttavia, i WAF hanno una capacità limitata di prevenire compromissioni della supply chain o del tempo di build perché:

  • Il codice malevolo può essere iniettato prima del deployment: un WAF non può bloccare qualcosa che è già parte dei file distribuiti.
  • Le compromissioni del tempo di build avvengono spesso in ambienti che un WAF non vede (laptop degli sviluppatori, runner CI, sistemi di build lato host).
  • La rilevazione di payload offuscati o nuovi richiede scansione comportamentale, aggiornamenti delle firme e monitoraggio dell'integrità dei file: non tutti i WAF possono rilevare affidabilmente questi in asset statici.

Detto ciò, i WAF sono ancora preziosi come rete di sicurezza finale: possono rilevare e bloccare modelli di sfruttamento comuni, prevenire tentativi di esfiltrazione e sollevare allerta quando si verifica un comportamento anomalo sul sito attivo. Combina il WAF con le misure di indurimento della pipeline descritte in precedenza: la difesa in profondità è l'unica strategia affidabile.

Come WP-Firewall aiuta a proteggere i siti WordPress (cosa forniamo)

Come fornitore di sicurezza WordPress focalizzato sulla protezione del sito e sulla mitigazione degli incidenti, WP-Firewall offre un approccio a strati per aiutare a limitare i danni derivanti da questo tipo di incidente della supply chain:

  • Regole WAF gestite che bloccano i vettori di attacco web comuni e rilevano comportamenti di sfruttamento sospetti contro il tuo sito attivo.
  • Scansione malware che cerca JavaScript iniettato, schemi di codice backdoor e file anomali in temi/plugin.
  • Monitoraggio dell'integrità dei file in tempo reale che può avvisare su cambiamenti imprevisti ai file del tuo filesystem WordPress.
  • Patching virtuale per determinati modelli di attacco (mitigazione rapida quando un nuovo exploit viene visto in natura).
  • Mitigazione automatizzata dei rischi OWASP Top 10, che riduce la possibilità che il codice iniettato possa essere utilizzato per sfruttare altre vulnerabilità sul sito.
  • Per i piani a pagamento, patching virtuale automatico delle vulnerabilità e report di sicurezza mensili per tenerti informato sullo stato di rischio e rimedio.

Importante: WP-Firewall non può sostituire una buona igiene di sviluppo. Le nostre funzionalità sono destinate a mitigare e rilevare problemi post-deployment e a supportare il recupero: i passaggi di indurimento della supply chain e CI/CD descritti in precedenza sono complementi essenziali.

Pratiche di supply chain a lungo termine che ogni organizzazione WordPress dovrebbe adottare.

  • Mantenere un Software Bill of Materials (SBOM) per tutti i processi di build.
  • Utilizzare immagini di build minime e immutabili per CI che includano solo gli strumenti necessari per compilare le risorse.
  • Preferire registri privati per pacchetti critici e utilizzare liste di autorizzazione per le dipendenze.
  • Implementare attestazioni per artefatti di build (firmare artefatti e verificare le firme durante il deployment).
  • Eseguire build riproducibili quando possibile in modo che gli artefatti costruiti in un runner compromesso possano essere confrontati con un output di build fidato.
  • Stabilire una politica di revisione delle dipendenze e allerta per le modifiche delle dipendenze all'interno delle PR.
  • Implementare il principio del minimo privilegio per i token CI e ruotarli regolarmente.
  • Mantenere gli strumenti per sviluppatori aggiornati e imporre aggiornamenti regolari delle dipendenze con test e rollout graduali.

Comandi pratici e aggiunte CI (esempi).

  • Utilizzare installazioni di lockfile congelati per evitare cambiamenti imprevisti:
    • npm: npm ci
    • yarn: yarn install --frozen-lockfile
  • In CI, aggiungere un passaggio di scansione SCA:
    • Esegui npm audit o utilizzare uno strumento SCA per segnalare vulnerabilità note in anticipo.
  • Applicare i lockfile nel CI:
    • Controlla che yarn.lock O package-lock.json corrispondano alle versioni del repository prima della build e fallire le build se non corrispondono.
  • Utilizzare runner effimeri e cancellare le cache dopo le build per ridurre la superficie di attacco persistente.

Nota: I comandi esatti e la configurazione del CI dipendono dal tuo fornitore di CI e dallo stack. Il principio è rendere le build ripetibili e verificabili.

Esempio di playbook per incidenti (livello alto)

  1. Patch: aggiorna @turbo/workspaces a >= 2.9.14 in tutti i codici e immagini.
  2. Verifica: esegui build pulite utilizzando versioni degli strumenti patchate e confronta gli artefatti.
  3. Quarantena: porta offline i runner di build sospetti e raccogli i log.
  4. Ruota: rigenera segreti CI e di distribuzione immediatamente dove si sospetta esposizione.
  5. Ridistribuisci: distribuisci artefatti verificati da build pulite.
  6. Monitora: aumenta il logging e il monitoraggio sul sito e nel CI per 30 giorni dopo l'incidente.
  7. Riporta: documenta la cronologia dell'incidente e le azioni per conformità e responsabilità.

Indicatori di rilevamento (lista di controllo rapida per audit)

  • Attività npm/yarn inaspettata dai log CI non correlata a build tipiche.
  • Nuovi pacchetti installati al momento della build che non erano nei lockfile.
  • Gli asset impacchettati contengono chiamate di rete inaspettate o payload offuscati.
  • Costruisci macchine che avviano connessioni in uscita verso domini sconosciuti o sospetti.
  • Modifiche di file insolite sul server web poco dopo i deployment.

Se sei un proprietario di un sito WordPress e non sei sicuro di cosa fare in questo momento

  • Assicurati che i tuoi sviluppatori e i sistemi CI abbiano applicato la patch (2.9.14+).
  • Chiedi al tuo fornitore di hosting se eseguono passaggi di build per tuo conto; in tal caso, conferma che hanno patchato le loro immagini di build.
  • Se utilizzi un'agenzia o uno sviluppatore di terze parti, conferma che hanno aggiornato gli ambienti locali e CI.
  • Scansiona il tuo sito con uno scanner malware completo ed esegui un controllo dell'integrità dei file — se hai WP-Firewall, esegui lo scanner malware e il rilevamento delle modifiche ai file.
  • Tieni backup e assicurati di poter ripristinare uno stato pulito se necessario.

Rafforza le difese in modo proattivo (politiche raccomandate)

  • Richiedi che tutte le pipeline di deployment in produzione vengano eseguite in ambienti ephemeri isolati.
  • Imposta l'applicazione del lockfile e controlli SCA automatizzati per tutte le fusioni nei rami principali.
  • Applica commit firmati e firma degli artifact per la creazione di release dove possibile.
  • Ruota regolarmente i token di deployment e limita il loro ambito a ciò che è strettamente necessario.

Metti in sicurezza la tua pipeline di sviluppo WordPress — prova WP-Firewall Free

Se desideri un punto di partenza pratico per proteggere il tuo sito WordPress live mentre indurisci la tua pipeline di build, WP-Firewall offre un piano Basic gratuito che include protezioni essenziali:

  • Protezione essenziale: firewall gestito, larghezza di banda illimitata, WAF, scanner antimalware e mitigazione dei 10 principali rischi OWASP.

Iscriviti al piano gratuito oggi e ottieni monitoraggio continuo e scansione automatizzata per aiutare a rilevare modifiche sospette post-deployment e tentativi di attacco basati sul web:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se hai bisogno di funzionalità più avanzate—rimozione automatica di malware, blacklist di IP, report di sicurezza mensili, patching virtuale e servizi gestiti—vedi i nostri piani a pagamento che si adattano alle esigenze di agenzie e host.)

Domande frequenti (FAQ)

D: Il mio sito è puramente PHP — devo comunque preoccuparmi di una vulnerabilità di un pacchetto NPM?
R: Sì. Se la tua pipeline di sviluppo, tema o plugin utilizza strumenti Node.js in qualsiasi momento (per il bundling di JS, la creazione di asset dell'editor di blocchi o CI), gli artifact di build possono essere modificati da una toolchain compromessa. Anche se il PHP di produzione non utilizza Node, il JavaScript iniettato in temi/plugin o script di deployment modificati può compromettere un sito WordPress.
D: Eseguo build localmente e distribuisco artifact manualmente — il rischio è inferiore?
A: Potenzialmente, ma non eliminato. Gli ambienti locali sono ancora superfici di attacco. Assicurati che gli strumenti locali siano aggiornati, esegui build riproducibili e utilizza artefatti firmati o checksum per verificare l'integrità prima del deployment.
Q: Un WAF può prevenire questo?
A: Un WAF può aiutare a mitigare alcune minacce post-deployment e bloccare sfruttamenti contro schemi web noti, ma i WAF non possono riparare artefatti di build compromessi. L'approccio corretto è stratificato: indurire le pipeline di build e utilizzare WAF + scansione malware per rilevare e mitigare problemi sul sito live.

Parole finali — una mentalità di sicurezza per WordPress moderno

Lo sviluppo moderno di WordPress è integrato con il più ampio ecosistema JavaScript e DevOps. Questo porta produttività ma anche nuovi tipi di rischio. Una vulnerabilità della supply chain in uno strumento di build potrebbe non essere una vulnerabilità PHP, ma le conseguenze possono essere identiche: backdoor, furto di dati, spam SEO e impatto sugli utenti.

Tratta la tua pipeline di build come un confine di sicurezza critico. Aggiorna gli strumenti prontamente, adotta build riproducibili e principi di minimo privilegio, monitora sia i sistemi CI che quelli di produzione e utilizza una difesa stratificata per il tuo sito. WP-Firewall è progettato per far parte di quella difesa stratificata: un WAF gestito, scansione e rilevamento malware, e funzionalità di mitigazione che ti aiutano a ridurre il raggio d'azione se uno strumento upstream viene abusato.

Se hai bisogno di aiuto immediato, inizia aggiornando @turbo/workspaces a 2.9.14 (o successivo) in tutti gli ambienti, imponi l'uso del lockfile in CI e esegui una scansione completa del sito. E se non hai già un monitoraggio continuo degli endpoint e un WAF gestito che protegge il tuo sito WordPress live, considera il piano WP-Firewall Basic per ottenere una protezione essenziale rapidamente: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Rimani vigile. Gli strumenti continueranno a evolversi — le tue pratiche di sicurezza devono evolversi con essi.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™