RCE critico in WooCommerce Custom Product Addons//Pubblicato il 2026-03-28//CVE-2026-4001

TEAM DI SICUREZZA WP-FIREWALL

WooCommerce Custom Product Addons Pro Vulnerability

Nome del plugin Woocommerce Addons Personalizzati per Prodotti Pro
Tipo di vulnerabilità Esecuzione di codice remoto
Numero CVE CVE-2026-4001
Urgenza Alto
Data di pubblicazione CVE 2026-03-28
URL di origine CVE-2026-4001

Esecuzione di codice remoto in WooCommerce Custom Product Addons Pro (CVE-2026-4001): Cosa devono sapere e fare subito i proprietari di siti WordPress

Aggiornato: 24 marzo 2026
Riguarda: WooCommerce Custom Product Addons Pro <= 5.4.1
Corretto: 5.4.2
CVE: CVE-2026-4001
Rischio: Esecuzione di codice remoto non autenticata (RCE) — gravità pratica massima

Se gestisci un negozio WooCommerce che utilizza il plugin Custom Product Addons Pro, questo avviso è per te. Un difetto critico nelle versioni fino e comprese 5.4.1 consente a un attaccante non autenticato di inviare una formula di “prezzi personalizzati” appositamente creata che viene elaborata in un modo che può portare all'esecuzione di codice remoto sul server. In parole semplici: un attaccante può eseguire comandi arbitrari sul tuo host web, senza bisogno di un account sul tuo sito.

Questo è il tipo di vulnerabilità che viene rapidamente sfruttata in grandi campagne automatizzate. Leggi attentamente questo post — è scritto dalla prospettiva degli ingegneri di sicurezza di WP-Firewall e dei rispondenti ai siti. Spiegheremo cosa è successo, perché è così pericoloso, come confermare l'esposizione, i passi immediati di contenimento che devi applicare, i controlli forensi raccomandati e le mitigazioni robuste, comprese le regole WAF e il rafforzamento a lungo termine. Mostreremo anche come il nostro piano gratuito può aiutarti a proteggere i siti che non possono essere corretti immediatamente.

Riepilogo esecutivo (passi rapidi e attuabili)

  • Se il tuo sito utilizza Custom Product Addons Pro e la versione del plugin è ≤ 5.4.1, aggiorna immediatamente a 5.4.2.
  • Se non puoi applicare l'aggiornamento immediatamente, disattiva il plugin (disattiva) o blocca il traffico di sfruttamento all'esterno (WAF, proxy, firewall a livello di host).
  • Scansiona per indicatori di compromissione (utenti admin inaspettati, file PHP modificati, nuovi compiti programmati, connessioni in uscita) e conserva i log per la risposta agli incidenti.
  • Implementa regole di patching virtuale a breve termine per bloccare i vettori di sfruttamento (esempi di seguito).
  • Ruota le credenziali (amministratori WP, SSH, database) dopo aver confermato che l'ambiente è pulito o ripristinato da un backup affidabile.
  • Iscrivi il sito in una protezione automatizzata di scansione WAF / malware se possibile mentre applichi la patch.

Perché questa vulnerabilità è così grave

L'esecuzione di codice remoto è la classe di vulnerabilità delle applicazioni web peggiore. A differenza di una divulgazione di informazioni o di un'escursione di privilegi che richiede un utente autenticato, la vulnerabilità descritta da CVE-2026-4001 è non autenticata: qualsiasi attore remoto può inviare un payload malevolo. Una volta sfruttata, RCE consente tipicamente agli attaccanti di:

  • Installare backdoor e webshell per accesso persistente.
  • Aggiungere account amministratori non autorizzati e manomettere i contenuti.
  • Esfiltrare database e dati dei clienti memorizzati (inclusi i metadati di pagamento).
  • Distribuire miner di criptovalute, motori di spam o ransomware.
  • Utilizzare la propria infrastruttura come punto di pivot per attaccare altre reti.

Poiché molti negozi WooCommerce gestiscono pagamenti e PII dei clienti, lo sfruttamento può rapidamente portare a esposizione normativa, perdite finanziarie, inattività del sito e danni reputazionali.

Riepilogo tecnico (non esaustivo, sicuro da pubblicare)

  • Causa ultima: Il plugin accetta formule o espressioni di “prezzi personalizzati” fornite dall'utente che vengono valutate lato server senza sufficiente sanificazione o convalida del contesto. Nelle versioni interessate, un attaccante può creare un input che porta alla valutazione lato server di codice o chiamate a funzioni non sicure.
  • Percorso di attivazione: La vulnerabilità viene raggiunta attraverso il codice del plugin che elabora gli input di prezzo personalizzato (solitamente forniti tramite un modulo prodotto o un endpoint AJAX). Il flusso di elaborazione esegue un passo di valutazione o trasformazione che può essere abusato per eseguire codice arbitrario.
  • Autenticazione: Nessuno richiesto. I punti di ingresso vulnerabili sono raggiungibili da richieste non autenticate su molte installazioni.
  • Impatto: Esecuzione di codice remoto nel processo del server web (PHP), con le stesse autorizzazioni dell'utente del server web. Su molti host condivisi o mal configurati, questo è sufficiente per inserire backdoor, accedere ad aree scrivibili o aumentare ulteriormente i privilegi.

Non pubblico intenzionalmente qui il codice di exploit proof-of-concept. Pubblicare codice di exploit in un post di blog pubblico rischia di accelerare lo sfruttamento di massa. Invece, fornirò indicatori tecnici sicuri e firme difensive che puoi utilizzare per bloccare e rilevare attacchi.

Chi è interessato?

  • Qualsiasi sito che esegue il plugin WooCommerce Custom Product Addons Pro alla versione 5.4.1 o precedente.
  • Negozi in cui il plugin è attivo e il sito accetta input di prezzo personalizzati (pagine prodotto, endpoint AJAX che servono add-on prodotto).
  • Gli host con configurazioni PHP permissive o confini di isolamento deboli sono più a rischio di movimento laterale post-sfruttamento.

Se non sei sicuro se il tuo negozio utilizzi il plugin: controlla la pagina Plugin dell'amministratore di WordPress e il filesystem sotto wp-content/plugins/ per il nome della directory del plugin. Se lo trovi e la versione del plugin è ≤ 5.4.1, tratta il sistema come vulnerabile fino a quando non viene corretto.

Azioni immediate (ordinate per priorità)

  1. Controlla subito la versione del plugin
       – Accedi a WordPress (o tramite SFTP) e conferma la versione del plugin installato. Se la versione è ≤ 5.4.1, procedi immediatamente al passo 2.
  2. Applica l'aggiornamento del fornitore (migliore opzione)
       – Aggiorna il plugin a 5.4.2 (o successivo) il prima possibile. Questa è la correzione definitiva.
  3. Se non puoi applicare la patch ora, applica una mitigazione di emergenza.
       – Disattiva il plugin tramite la schermata dei plugin di WordPress o rinomina la cartella del plugin tramite SFTP (ad esempio, aggiungi .disabled al nome della directory del plugin).
       – Se la disattivazione interrompe il flusso di checkout e hai bisogno del plugin, implementa patch virtuali nel tuo firewall per applicazioni web o all'edge dell'host per bloccare i modelli di sfruttamento (seguono esempi).
  4. Blocca immediatamente il traffico sospetto
       – Usa il firewall del server / host per limitare o bloccare le richieste POST/GET in arrivo che includono payload insoliti nei campi del modulo di prezzo personalizzato o nomi di parametri noti. Se hai un WAF, abilita le regole per bloccare modelli di valutazione sospetti.
  5. Conserva i log e fai un backup
       – Prima di apportare modifiche forensi, assicurati che i log del server web, i log di PHP-FPM e i log di accesso siano conservati e salvati per l'indagine.
  6. Cerca segni di compromissione
       – Esegui una scansione approfondita per malware e integrità dei file.
       – Cerca nuovi account admin, attività programmate non autorizzate (cron/cwp), file core modificati o file PHP sospetti caricati in wp-content/uploads o altre directory scrivibili.
  7. Ruota le credenziali dopo la pulizia
       – Ruota tutte le password degli amministratori, le chiavi API, le credenziali del database e eventuali chiavi SSH se trovi prove di compromissione. Se devi ruotare le password prima della pulizia completa, procedi comunque — ma preparati a ruotare di nuovo dopo una conferma di ripristino.

Regole di patch virtuale / WAF suggerite (esempi)

Se non puoi applicare una patch immediatamente, la patch virtuale fornisce una barriera efficace a breve termine. Di seguito sono riportati esempi di regole sicure e conservative che puoi utilizzare per bloccare tentativi di sfruttamento — adatta queste regole per evitare falsi positivi.

Importante: testa qualsiasi regola in un ambiente di staging o in modalità “solo log” prima di misurare i falsi positivi.

  • Blocca le richieste in cui i parametri della formula forniti dall'utente contengono modelli che indicano valutazione del codice:
    • Blocca se il corpo della richiesta o la query contiene valutazione(, assert(, system(, shell_exec(, passthru(, exec(, popen(, proc_open(, O create_function(.
    • Blocca se il parametro contiene base64_decode( seguito da valutare O create_function.
  • Blocca la serializzazione sospetta o i payload codificati:
    • Blocca le richieste in cui un valore di parametro contiene lunghe stringhe base64 (ad esempio, > 200 caratteri) combinate con indicatori di esecuzione.
  • Blocca caratteri sospetti nei campi di prezzo:
    • Blocca le richieste agli endpoint degli add-on di prodotto in cui i campi “prezzo” numerici contengono caratteri alfabetici come ;, |, e, $, — questi sono insoliti nei campi di prezzo numerico e spesso usati per iniezioni.
  • Blocca i modelli di accesso agli endpoint specifici del plugin (se noti):
    • Se il plugin vulnerabile espone un'azione AJAX specifica o un endpoint, blocca o consenti l'accesso a quell'endpoint in modo che solo i referenti noti o le reti interne possano chiamarlo.
  • Limitazione della velocità e reputazione IP:
    • Applica limiti di velocità rigorosi alle richieste POST sugli endpoint dei prodotti. Blocca gli IP che tentano input sospetti ripetuti.

Esempio di firma (pseudocodice; adatta alla sintassi del tuo WAF):

  • Se REQUEST_METHOD == “POST” e (REQUEST_BODY contiene valutazione( O REQUEST_BODY contiene base64_decode() allora BLOCCA
  • Se REQUEST_URI corrisponde /wp-admin/admin-ajax.php e REQUEST_BODY contiene prezzo_personalizzato e REQUEST_BODY contiene caratteri non numerici oltre ai simboli standard, allora REGISTRA e BLOCCA se ripetuto.

Nota: questi modelli di esempio sono intenzionalmente generici. Coordina con il tuo host o la documentazione del WAF per convertirli nella corretta sintassi delle regole (ModSecurity, Nginx, console Cloud WAF, ecc.).

Rilevamento: cosa cercare (indicatori di compromissione)

Se sospetti che il tuo sito sia stato attaccato, cerca i seguenti indicatori. Tieni presente che gli attaccanti spesso cercano di ripulire le prove, quindi l'assenza di artefatti ovvi non prova che sei pulito.

  • Log di accesso del server web:
    • Richieste POST a pagine di prodotto, admin-ajax.php, o endpoint di plugin contenenti lunghe stringhe codificate o simboli sospetti nei parametri relativi ai prezzi.
    • Richieste con stringhe User-Agent insolite o agenti utente vuoti.
    • Picchi di richieste POST simili dallo stesso intervallo IP che tentano invii di prezzi/formule.
  • Sistema di file:
    • Nuovi o modificati file PHP in wp-content/uploads, wp-includes, wp-content/plugins, o altre directory scrivibili.
    • File con nomi sospetti: file .php con una sola lettera, file che fingono di essere immagini ma contengono PHP, o file con timestamp strani.
    • Modifiche a wp-config.php, .htaccess, o theme functions.php.
  • Database:
    • Nuovi account utente con ruolo di amministratore.
    • Opzioni sospette in wp_options (eventi pianificati non autorizzati o blob serializzati inaspettati).
    • Qualsiasi cambiamento inaspettato negli ordini o nei dati dei prodotti.
  • Processi e rete:
    • Lavori cron inaspettati o attività pianificate che chiamano URL esterni.
    • Connessioni di rete in uscita dal server a indirizzi IP sconosciuti, specialmente su porte insolite.
  • Comportamentale:
    • Spam SEO improvviso o cambiamenti nei contenuti.
    • Nuove pagine che reindirizzano i visitatori a domini malevoli.
    • Account admin disabilitati o bloccati.

Se trovi indicatori, agisci in fretta: isola il server, crea un'immagine del disco se possibile e attiva un processo di risposta agli incidenti.

Lista di controllo forense (passo dopo passo)

  1. Preservare le prove
       – Copia e archivia i log rilevanti (accesso, errore, PHP-FPM, log del database). Lavora su copie; non modificare gli originali.
  2. Fai uno snapshot del sito.
       – Fai uno snapshot del file system o crea un backup offsite prima dei passaggi di ripristino che modificano l'ambiente.
  3. Identifica il punto di ingresso
       – Correlare i timestamp delle richieste sospette con le modifiche ai file e ai nuovi account per isolare come un attaccante ha ottenuto accesso.
  4. Caccia alla persistenza
       – Cerca modelli di webshell (funzioni come sistema, esecutivo, popen utilizzate in combinazione con parametri di richiesta), wrapper eval e PHP offuscato (base64_decode, gzinflate, str_rot13, ecc.).
       – Cerca attività pianificate (WP-Cron o cron di sistema) che eseguono script PHP da upload o cache.
  5. Pulisci, ripristina o ricostruisci
       – Se il backup è pulito e recente, ripristina dal backup dopo aver applicato patch e indurito.
       – Se compromesso e non è disponibile un backup pulito, ricostruisci il sito, reinstalla WordPress e plugin da fonti affidabili e ripristina i contenuti solo dopo aver verificato che siano puliti.
  6. Ruota i segreti
       – Dopo la pulizia, ruota tutte le credenziali — account admin WP, utente del database, eventuali token API e chiavi SSH.
  7. Monitoraggio post-incidente
       – Monitora i log intensivamente per almeno due settimane dopo la bonifica per segni di reinfezione.

Raccomandazioni per l'indurimento per ridurre il rischio futuro

  • Tieni aggiornati plugin e temi e applica prontamente gli aggiornamenti di sicurezza.
  • Limita i privilegi di installazione e aggiornamento dei plugin solo agli admin fidati.
  • Usa un ambiente di staging per testare gli aggiornamenti dei plugin prima di distribuirli in produzione.
  • Implementa il principio del minimo privilegio per gli utenti di WordPress: non dare diritti di admin a meno che non sia necessario.
  • Usa il monitoraggio dell'integrità dei file (FIM) per rilevare modifiche non autorizzate ai file.
  • Esegui scansioni regolari per malware e audit di sicurezza.
  • Implementa protezioni WAF inclusi patch virtuali e regole basate sul comportamento.
  • Disabilita le funzionalità che non usi — se la funzionalità di prezzo personalizzato del plugin non è in uso, considera di disabilitare o sostituire il plugin.
  • Usa una politica di password forte e abilita MFA per gli account amministrativi.
  • Tieni backup completi e testati archiviati offsite e verifica regolarmente le procedure di ripristino.

Come un WAF/Firewall gestito aiuta in incidenti come questo

Un firewall per applicazioni WordPress gestito offre molteplici vantaggi in situazioni come CVE-2026-4001:

  • Patch virtuali rapide: le regole WAF possono essere implementate per bloccare il vettore di sfruttamento in pochi minuti, riducendo il rischio mentre pianifichi o testi gli aggiornamenti dei plugin.
  • Protezione comportamentale: il rate limiting e il rilevamento delle anomalie possono interrompere le campagne di scansione e sfruttamento automatiche di massa.
  • Scansione e pulizia del malware: scanner integrati identificano webshell e artefatti sospetti; i servizi di livello superiore possono rimuovere automaticamente alcune classi di malware.
  • Monitoraggio e allerta: avvisi quasi in tempo reale su attività sospette ti consentono di agire più rapidamente.
  • Analisi esperta: un team di sicurezza esperto può ottimizzare le regole per ridurre i falsi positivi mantenendo la protezione.

Se gestisci più siti WordPress, un WAF centralizzato riduce notevolmente il carico operativo di risposta a vulnerabilità emergenti ad alta gravità.

Modelli di log e rilevamenti campione che puoi utilizzare (sicuri, non sfruttabili)

Di seguito sono riportate le euristiche di rilevamento che puoi cercare nei log. Sono destinate a segnalare tentativi potenzialmente dannosi di utilizzare campi di formula o di valutazione.

  • Ricerca nel log di accesso (esempi):
    • Richieste POST contenenti personalizzato 5. Di seguito sono riportate regole pratiche del firewall ed esempi che tu (o il tuo team di hosting/sicurezza) puoi applicare. Queste sono intenzionalmente generiche — dovresti ispezionare il plugin per raccogliere i nomi esatti dei parametri e adattare le regole al tuo ambiente. prezzo E o base64 OR valutare OR sistema nel corpo della richiesta.
    • Sequenze di POST ripetuti allo stesso URL con payload leggermente variati da un IP all'interno di un breve lasso di tempo.
  • Euristica del file system:
    • File con contenuto PHP nella directory degli upload:
      grep -R "<?php" wp-content/uploads
    • Nuovi file modificati dopo il timestamp di compromissione iniziale.
  • Euristica del database:
    • Cerca usermeta per account con amministratore capacità create nello stesso momento in cui è iniziata l'attività sospetta.
    • Controlla le voci recenti in wp_options per eventi programmati sconosciuti.
  • Comportamento:
    • Connessioni in uscita verso host noti come dannosi o endpoint insoliti.
    • Picchi nell'uso della CPU sull'host (indicando un miner di criptovalute o compiti pesanti).

Questi modelli sono ad alto segnale ma non esaustivi. Combina più indicatori per ridurre i falsi positivi.

Esempio pratico: regole di virtual patching sicure per bloccare payload simili a valutazioni

Implementa questi come filtri conservativi nel tuo WAF o nelle regole a livello di server. Sostituisci con la sintassi corretta per qualsiasi firewall o motore di regole tu utilizzi.

  • Regola A (blocca i token simili a eval nei corpi POST)
      – Condizione: REQUEST_METHOD == POST E REQUEST_BODY contiene uno dei seguenti: valutazione(, assert(, create_function(, preg_replace(/e, base64_decode(, gzinflate(.
      – Azione: Blocca o sfida (CAPTCHA) per il blocco iniziale.
  • Regola B (limita il tasso di POST ai punti finali del prodotto)
      – Condizione: Più di X richieste POST a URI relative al prodotto da un singolo IP entro Y secondi.
      – Azione: Blocca temporaneamente o limita.
  • Regola C (validazione dei campi numerici)
      – Condizione: I campi numerici di prezzo o sconto contengono caratteri alfabetici o punteggiatura sospetta (;, |, e).

    •   – Azione: Rifiuta la richiesta con 400.

Nota: Se i tuoi moduli accettano legittimamente formule (raro nei campi di prezzo), applica un approccio di whitelist: consenti solo caratteri e modelli strettamente vincolati che corrispondono al tuo linguaggio di espressione legittimo.

Piano di recupero e rimedio (procedura concisa)

  1. Aggiorna il plugin alla versione 5.4.2 o successiva.
  2. Metti il sito offline se sono presenti segni di compromissione; posiziona una pagina di manutenzione.
  3. Conserva i log e le prove per le indagini forensi.
  4. Scansiona il codice sorgente e i caricamenti per webshell; rimuovi i file dannosi identificati.
  5. Ripristinare da un backup verificato e pulito se necessario.
  6. Ruota tutte le credenziali sensibili.
  7. Implementa le regole WAF e monitora il traffico.
  8. Riattiva il sito e monitora per reinfezioni.

Se gestisci molti siti, dai priorità a quelli che memorizzano dati di pagamento, hanno un grande numero di utenti o sono critici per la missione.

Perché dovresti agire in modo decisivo, anche se il tuo sito sembra piccolo

Gli attaccanti non discriminano sempre in base alla popolarità del sito. Scanner automatici e kit di exploit prendono di mira qualsiasi installazione vulnerabile che possono raggiungere. I negozi più piccoli sono attraenti perché spesso hanno processi di monitoraggio e recupero più deboli. Un RCE non autenticato è una porta aperta: una volta dentro, gli attaccanti possono rapidamente impostare la persistenza e utilizzare il tuo server per prendere di mira altri siti, lanciare campagne di spam o monetizzare l'accesso vendendolo.

Ogni ora di ritardo aumenta la finestra di esposizione.

Come WP-Firewall aiuta (una breve guida alle protezioni disponibili)

Su WP-Firewall forniamo protezione a strati progettata per ambienti WordPress e WooCommerce. Le caratteristiche chiave che difendono contro i tipi di attacco utilizzati contro CVE-2026-4001 includono:

  • Firewall per applicazioni web gestito (WAF) con patch virtuali per minacce zero-day emergenti.
  • Scansione malware per trovare webshell e backdoor.
  • Rilevamento e risposta gestiti: avvisi e indicazioni quando viene rilevato un comportamento sospetto.
  • Regole di auto-mitigazione sintonizzate per i modelli di attacco dei plugin di WordPress (senza impattare il traffico legittimo).
  • Indicazioni per il rafforzamento della sicurezza e supporto per la risposta agli incidenti.

Se non puoi applicare immediatamente l'aggiornamento del plugin, abilitare un WAF gestito che può implementare patch virtuali è uno dei modi più rapidi per ridurre il rischio su molti siti mentre pianifichi le finestre di manutenzione.

Sicurezza del tuo negozio ora — Inizia con il piano gratuito di WP-Firewall

Se hai bisogno di protezione immediata e a bassa frizione mentre pianifichi la patch o la risposta agli incidenti, il piano Basic (gratuito) di WP-Firewall copre le difese essenziali per i siti WordPress e WooCommerce. Il piano gratuito include un firewall gestito, larghezza di banda illimitata, protezioni WAF, uno scanner malware e mitigazione per i rischi OWASP Top 10 — tutto ciò di cui hai bisogno per ridurre rapidamente l'esposizione.

Prova il piano gratuito e proteggi il tuo negozio oggi: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se hai bisogno di pulizia automatizzata, controlli whitelist/blacklist o patch virtuali con report su più siti, considera di passare ai livelli Standard o Pro per ulteriore automazione e risposta gestita.)

Domande frequenti

D: Se applico la patch, devo ancora scansionare il mio sito?
R: Sì. Se eri vulnerabile prima della patch, è importante verificare che gli attaccanti non abbiano sfruttato la vulnerabilità prima dell'aggiornamento. La patch previene sfruttamenti futuri ma non rimuove le backdoor già installate.

D: Posso semplicemente disattivare il plugin e riattivarlo dopo?
R: La disattivazione rimuove il codice vulnerabile dall'esecuzione, il che è una mitigazione valida. Ma se si è già verificata una compromissione, la sola disattivazione non rimuove le backdoor o altri artefatti. Esegui una scansione completa e una bonifica.

D: E se l'aggiornamento rompe il mio sito?
A: Se i test di aggiornamento in staging mostrano problemi di compatibilità, torna al tuo stato precedente all'aggiornamento e applica regole WAF protettive e una validazione degli input più rigorosa mentre risolvi la compatibilità. Idealmente, esegui l'aggiornamento in una finestra di manutenzione dopo i backup.

Q: Quali log o prove dovrei conservare per un investigatore?
A: Conserva i log di accesso, i log di errore, i log di PHP-FPM, i log del database intorno al periodo sospetto di sfruttamento e qualsiasi metadato di file modificati. Le immagini del disco sono molto utili per un lavoro forense dettagliato.

Chiusura: una lista di controllo pratica che puoi seguire ora

  1. Verifica la versione del plugin ora.
  2. Se vulnerabile: aggiorna a 5.4.2 immediatamente.
  3. Se non puoi aggiornare: disattiva il plugin o abilita la patch virtuale WAF.
  4. Conserva i log e fai backup prima di cambiare qualsiasi cosa.
  5. Scansiona e rimuovi eventuali malware/backdoor.
  6. Ruota tutte le credenziali amministrative e infrastrutturali dopo la pulizia.
  7. Implementa monitoraggio, FIM e scansioni periodiche per malware per ridurre il rischio futuro.

Se desideri aiuto nell'implementare quanto sopra — dalla definizione di regole WAF tattiche alla conduzione di un'analisi forense completa — i nostri ingegneri di risposta WP-Firewall sono disponibili per assisterti. Aiutiamo regolarmente i proprietari di negozi a chiudere lacune urgenti, attuare patch virtuali e verificare che i siti siano puliti dopo vulnerabilità ad alta gravità.

Rimani al sicuro e agisci in fretta: il costo del ritardo è spesso molto maggiore dello sforzo per applicare patch e indurire oggi.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™