XSS critico negli shortcode di WordPress PayPal//Pubblicato il 2026-03-23//CVE-2026-3617

TEAM DI SICUREZZA WP-FIREWALL

WordPress Paypal Shortcodes Plugin Vulnerability

Nome del plugin Plugin WordPress Paypal Shortcodes
Tipo di vulnerabilità Script tra siti (XSS)
Numero CVE CVE-2026-3617
Urgenza Basso
Data di pubblicazione CVE 2026-03-23
URL di origine CVE-2026-3617

Urgente: XSS memorizzato autenticato del contributore nel plugin Paypal Shortcodes (≤ 0.3) — Cosa significa e come proteggere il tuo sito

Una recente divulgazione ha identificato una vulnerabilità di cross-site scripting (XSS) memorizzata nel plugin WordPress Paypal Shortcodes (versioni fino e comprese 0.3). La vulnerabilità consente a un utente autenticato con privilegi di Contributore (o superiori) di iniettare contenuti dannosi negli attributi dello shortcode — specificamente gli importo E nome attributi — che possono essere memorizzati e successivamente eseguiti nel browser di un utente amministrativo o privilegiato. Il problema è stato assegnato a CVE-2026-3617 e ha un punteggio CVSS riportato di 6.5.

Come team dietro WP‑Firewall — un firewall per applicazioni web WordPress (WAF) professionale e servizio di sicurezza — vogliamo spiegare i dettagli tecnici, il reale rischio per il tuo sito, i passaggi di rilevamento e mitigazione che puoi implementare immediatamente, approcci sicuri per la risoluzione e come ridurre la tua esposizione a questa classe di vulnerabilità in futuro.

Questo è un post lungo e pratico destinato ai proprietari di siti WordPress, sviluppatori e amministratori. Se gestisci siti WordPress, ti preghiamo di leggere l'intera guida e applicare le mitigazioni pertinenti al tuo ambiente.

Riepilogo esecutivo (punti chiave rapidi)

  • Esiste un XSS memorizzato nel plugin Paypal Shortcodes (≤ 0.3) dove gli attributi dello shortcode non sanitizzati (importo E nome) vengono salvati e successivamente visualizzati senza una corretta escape.
  • Privilegio richiesto per creare il contenuto vulnerabile: Contributore (o superiore). Ciò significa che un attaccante ha solo bisogno di un account a basso privilegio per iniettare un payload in un post o una pagina.
  • Impatto: Quando un utente privilegiato (spesso un amministratore o un editore) visualizza la pagina in cui viene reso lo shortcode, il payload può essere eseguito nel loro browser. Questo può portare a furto di sessione, escalation dei privilegi, takeover del sito, modifiche dannose o installazione di backdoor.
  • CVE: CVE-2026-3617. Gravità riportata: Media (CVSS 6.5).
  • Azioni immediate: Aggiorna il plugin se diventa disponibile una patch ufficiale; in caso contrario, rimuovi o disattiva il plugin, limita i ruoli, scansiona il contenuto iniettato nei post e implementa regole WAF per bloccare attributi dello shortcode sospetti.
  • A lungo termine: Applica una codifica sicura per gli shortcode e gli attributi, limita le capacità dei contributori quando possibile, abilita protezioni WAF robuste e scansione dei contenuti, e applica un modello di minimo privilegio per gli account.

Comprendere la vulnerabilità: cosa sta succedendo tecnicamente

Gli shortcode sono una funzionalità comune di WordPress che consente ai plugin di accettare attributi e rendere HTML quando il post viene visualizzato. Un tipico shortcode potrebbe essere utilizzato come:

[paypal name="Supporta il nostro progetto" amount="25.00"]

Se un plugin accetta attributi e li visualizza nell'HTML risultante senza una corretta sanitizzazione e escape, un attaccante può iniettare contenuti negli attributi che includono HTML o JavaScript. Quando quell'HTML reso viene memorizzato nel database (ad esempio, come contenuto del post o meta del post) e successivamente servito a un utente con privilegi sufficienti (un amministratore che visualizza il post, o l'editore nella visualizzazione admin), il browser esegue lo script dannoso — classico XSS memorizzato.

In questo specifico problema, gli attributi vulnerabili sono importo E nome. Il plugin accettava stringhe arbitrarie per questi attributi e le restituiva nella pagina senza una valida validazione o escape. Un account contributore può creare o modificare post e aggiungere uno shortcode con attributi creati ad hoc. Quando un utente privilegiato visita la pagina, il payload memorizzato viene eseguito nel loro browser.

Punti chiave:

  • Vettore: XSS memorizzato tramite attributi shortcode.
  • Account attaccante: un contributore (privilegi bassi) è sufficiente per iniettare.
  • Obiettivo: qualsiasi utente che visualizza la pagina renderizzata (spesso amministratori, editor).
  • Attivatore: rendering della pagina nel front-end o anteprima dell'amministratore che esegue l'output non sicuro.

Perché questo è importante (rischi nel mondo reale)

L'XSS memorizzato non è solo un fastidio. I suoi impatti nel mondo reale includono:

  • Presa di controllo dell'account: Se i cookie o i token di sessione dell'amministratore o dell'editor sono accessibili a uno script nella pagina, gli attaccanti possono rubare quei valori e dirottare l'account.
  • Escalation dei privilegi: Con un account amministratore compromesso, l'attaccante può installare backdoor, cambiare password, creare nuovi utenti amministratori, modificare dettagli DNS o di hosting, distribuire codice malevolo e monetizzare l'accesso.
  • Compromissione persistente del sito: Anche se il contributore originale viene rimosso, il payload memorizzato può rimanere e continuare a influenzare gli utenti.
  • Espansione dell'attacco alla catena di fornitura/esterno: Gli attaccanti possono sfruttare account amministratori compromessi per aggiungere plugin malevoli o accedere ai dati dei clienti sui siti di e-commerce.
  • Danno alla reputazione e SEO: Annunci iniettati, reindirizzamenti o malware possono portare a inserimenti nella lista nera da parte di motori di ricerca o browser.

Poiché ai contributori è spesso consentito di operare su blog multi-autore o siti comunitari, questa vulnerabilità abbassa la soglia richiesta per gli attaccanti: non hanno bisogno di phishing di un amministratore, basta utilizzare un account contributore e aspettare che un amministratore visualizzi il post o la pagina.

Chi è a rischio?

  • Siti che hanno installato il plugin vulnerabile (versione ≤ 0.3).
  • Siti che consentono account di Contributore (o superiori) di creare post/pagine che vengono renderizzati in produzione o visualizzati in anteprima dagli amministratori.
  • Siti i cui amministratori o editor visualizzano comunemente o visitano contenuti forniti dagli utenti senza sanitizzazione.
  • Siti senza un WAF o scansione dei contenuti che bloccherebbero payload malevoli.

Anche piccoli blog personali possono essere colpiti se un account contributore viene compromesso, poiché gli attaccanti possono sfruttarlo per espandere un compromesso più serio.

Riproduzione (panoramica, sicura e non sfruttabile)

Descriveremo il flusso dell'attacco a un livello alto senza fornire un exploit funzionante. Questo per evitare di abilitare un uso malevolo, pur rendendo chiaro il problema ai difensori.

  1. L'attaccante registra o utilizza un account Contributor esistente sul sito WordPress.
  2. L'attaccante crea un nuovo post o modifica uno esistente, inserendo lo shortcode vulnerabile con valori di nome O importo attributo appositamente creati contenenti payload HTML/JS.
  3. Il plugin memorizza questi attributi shortcode con il contenuto del post o i meta associati al post.
  4. Un amministratore/editor visita il post sul front end o lo visualizza in anteprima nell'amministrazione. Quando lo shortcode viene renderizzato, il plugin restituisce l' nome e/o importo attributo nella pagina senza escaping.
  5. Il browser esegue lo script, che può funzionare nel contesto della sessione del sito dell'amministratore e compiere azioni disponibili per quell'utente.

Questo è il motivo per cui lo XSS memorizzato è considerato di impatto maggiore rispetto allo XSS riflesso: il contenuto malevolo è memorizzato e può essere eseguito ogni volta che la pagina viene visualizzata da un utente idoneo.

Rilevamento — come cercare segni di sfruttamento sul tuo sito

Se hai installato questo plugin (controllo del sito attuale), dai priorità ai passaggi di rilevamento immediatamente. Di seguito sono riportati modi pratici per rilevare tentativi di iniezione esistenti:

  1. Cerca nel contenuto del post shortcode con attributi sospetti: 
    wp db query "SELECT ID, post_title, post_content FROM wp_posts WHERE post_content LIKE '%[paypal %' OR post_content LIKE '%[paypal]%';"
  2. Grep il dump del database:
    • Esporta il tuo database e cerca [paypal e ispeziona importo E nome attributi per payload HTML o codificati.
  3. Cerca elementi inaspettati 6. tag o attributi on-event nel contenuto: 
    SELEZIONA ID, post_title DA wp_posts DOVE post_content LIKE '%<script%' O post_content LIKE '%onerror=%' O post_content LIKE '%javascript:%';
  4. Audit delle modifiche recenti dagli account dei Contributori:
    • Controlla i log delle modifiche degli utenti e dei post nell'amministrazione (o i log delle attività se hai un plugin di audit) per nuovi post o post modificati da account contributor.
    • Rivedi le revisioni del post per vedere quale contenuto è stato aggiunto.
  5. Scansiona utilizzando uno scanner di sicurezza che include l'ispezione del contenuto (WP‑Firewall, altri scanner): cerca attributi shortcode contenenti parentesi angolari, virgolette con tag incorporati o payload codificati.
  6. Controlla i log del server per attività sospette degli utenti admin da IP o orari insoliti.

Se trovi un utilizzo sospetto di shortcode, trattalo come un potenziale compromesso e segui i passaggi di recupero qui sotto.

Mitigazioni immediate che dovresti applicare (passo dopo passo)

Se il tuo sito utilizza il plugin vulnerabile e non puoi aggiornare immediatamente, prendi queste misure di emergenza:

  1. Disabilita o rimuovi immediatamente il plugin
    La disattivazione è il modo più veloce per fermare il rendering dello shortcode vulnerabile sul front end. Rimuovere il plugin previene ulteriori sfruttamenti.
  2. Limita le azioni di anteprima dei contributor/editor
    A breve termine, evita di visualizzare o visualizzare post creati o modificati da contributor fino a quando non hai scansionato e pulito il contenuto.
  3. Scansiona per contenuti dannosi e rimuovili
    Cerca nel database per [paypal shortcode e ispeziona il importo E nome attributi manualmente (vedi i passaggi di rilevamento). Rimuovi eventuali attributi sospetti o sanitizzali sostituendoli con valori sicuri.
  4. Ruota le credenziali admin e conferma gli account admin
    Se sospetti che un account admin sia stato preso di mira o possa aver eseguito l'XSS, ruota le password per gli amministratori e applica 2FA per tutti gli account privilegiati immediatamente.
  5. Audita gli account utente e rimuovi contributor sconosciuti
    Sospendi temporaneamente nuovi account contributor sospetti e rivedi i loro post.
  6. Implementa regole WAF o filtraggio dei contenuti (patch virtuale immediata)
    Usa il tuo WAF per bloccare POST o aggiornamenti che contengono payload sospetti in post_content o in richieste in cui i contributor creano contenuti. Ad esempio, blocca le richieste contenenti <script, javascript:, o attributi di gestore eventi sospetti nel contesto degli attributi shortcode.
  7. Cerca e rimuovi backdoor persistenti
    Esegui una scansione malware (file, database) e controlla opzioni_wp, wp_posts, e directory dei plugin/temi per file PHP iniettati o modifiche.
  8. Inizia a monitorare comportamenti anomali
    Abilita la registrazione delle azioni degli amministratori, delle modifiche ai file e delle nuove installazioni di plugin.

Raccomandazione per una riparazione a lungo termine

  1. Aggiorna il plugin quando viene rilasciata una patch ufficiale
    L'opzione migliore è aggiornare il plugin a una versione sicura e corretta non appena l'autore pubblica una correzione.
  2. Se non è disponibile alcuna patch, sostituisci la funzionalità
    Considera di rimuovere il plugin e utilizzare un'alternativa ben codificata o implementare la funzionalità richiesta in modo personalizzato e sicuro.
  3. Indurire i flussi di creazione
    Riconsidera di consentire ruoli di Collaboratore se non necessario. Usa un flusso di lavoro di moderazione in cui i Collaboratori creano post ma gli editori revisionano e sanitizzano i contenuti prima della pubblicazione.
  4. Applica il principio del minimo privilegio
    Valuta i ruoli e le capacità e concedi solo ciò che è necessario.
  5. Usa funzioni di sanitizzazione dei contenuti
    Gli sviluppatori dovrebbero sanitizzare e convalidare tutti gli attributi degli shortcode in input e sfuggire in output. Ad esempio:

    • Per valori numerici: cast a float/int o usa floatval() / intval() E number_format() come richiesto.
    • Per valori di testo: usa sanitize_text_field() all'input e esc_html() O esc_attr() in output, a seconda del contesto.
    • Utilizzo wp_kses() quando si consente un piccolo sottoinsieme di HTML.
  6. Implementa pratiche di revisione del codice e sviluppo sicuro
    I gestori degli shortcode dovrebbero essere revisionati per la gestione di input/output. Non fidarti mai degli attributi da utenti non fidati.
  7. Utilizza test automatizzati e controlli di sicurezza
    Integra l'analisi statica e il testing di sicurezza dinamico nel tuo processo di sviluppo.

Patch sicura suggerita per gli sviluppatori di plugin (concettuale)

Di seguito è riportato un esempio di come il gestore dello shortcode dovrebbe sanificare e sfuggire agli attributi. Questo è concettuale e su misura per gli autori di plugin che devono risolvere la causa principale.

Esempio (PHP concettuale):

function paypal_shortcode_handler( $atts ) {'<div class="paypal-shortcode"><span class="paypal-name">%s</span><span class="paypal-amount">%s</span></div>'$a = shortcode_atts( array(;

Punti chiave per gli sviluppatori:

  • Sanifica sempre l'input precocemente (all'input o appena prima dell'uso).
  • Sfuggi sempre l'output con la corretta funzione di escaping per il contesto.
  • Per gli input numerici, applica rigorosamente la validazione numerica — non consentire caratteri arbitrari.
  • Evita di echoare valori di attributo grezzi in gestori di eventi inline o in contesti in cui il JavaScript potrebbe essere iniettato.

Esempio di regole WAF e strategie di patching virtuale (raccomandato)

Come fornitore di WAF e risponditore agli incidenti, raccomandiamo il patching virtuale tramite il tuo WAF fino a quando non puoi applicare un aggiornamento completo del plugin. Gli approcci seguenti non sono specifici per il fornitore e possono essere implementati come regole generiche. Adattali alla sintassi delle regole del tuo WAF.

  1. Blocca gli aggiornamenti di contenuto con payload di attributi sospetti:
    Se un POST a wp-admin/post.php O wp-admin/post-new.php contiene contenuto_post con [paypal e parentesi angolari o javascript: all'interno degli attributi, blocca la richiesta.
  2. Rileva schemi simili a script negli attributi degli shortcode:
    Esempio regex (concettuale):

    (\[paypal[^\]]*(nome|importo)\s*=\s*"(?:[^"]*]+>[^"]*|[^"]*javascript:)[^"]*")

    Blocca o registra e sfida (CAPTCHA) le richieste che corrispondono.

  3. Sanifica le risposte (rimuovi attributi dannosi prima del rendering in alcuni casi):
    Se la pagina contiene [paypal shortcode, il WAF può riscrivere la risposta per rimuovere 6. tag o attributi on* sospetti all'interno dell'HTML generato come mitigazione temporanea.
  4. Limita il tasso di anteprima e modifica degli endpoint per gli IP del ruolo di collaboratore:
    Aggiungi controlli di richiesta più rigorosi su post endpoint di modifica quando provengono da ruoli non amministrativi.
  5. Monitora la creazione di post sospetti da account nuovi/bassa reputazione:
    Segnala nuovi account collaboratori che creano immediatamente post pieni di shortcode.

Importante: evita regole eccessivamente aggressive che bloccano contenuti legittimi. Testa qualsiasi regola in modalità apprendimento/log prima di applicarla, se il tuo WAF lo supporta.

Come ripulire dopo un sospetto sfruttamento

  1. Identifica e isola i post interessati
    Usa i passaggi di rilevamento per trovare post contenenti shortcode alterati. Esportali e ispezionali attentamente.
  2. Rimuovi il payload malevolo
    Elimina i post offensivi, oppure modifica e rimuovi gli attributi shortcode iniettati. Sostituisci con contenuti sicuri.
  3. Rivedi la cronologia degli utenti
    Controlla gli account collaboratori per modifiche sospette e gli indirizzi IP utilizzati. Rimuovi o disabilita gli account che non riconosci.
  4. Ruota le credenziali
    Reimposta le password per tutti gli account privilegiati e per qualsiasi account che potrebbe essere stato accesso dopo il sospetto compromesso.
  5. Scansiona tutti i file
    Scansiona contenuto wp, temi e plugin per file recentemente modificati e file con contenuti strani. Rimuovi o sostituisci i file alterati.
  6. Rivedi i compiti programmati e le tabelle del database
    Cerca eventi programmati non autorizzati, utenti amministratori non autorizzati e modifiche a opzioni_wp.
  7. Ripristinare dal backup pulito se necessario
    Se non puoi pulire il sito in modo affidabile, ripristina da un backup noto e buono e applica i passaggi di indurimento prima di riattivare l'accesso remoto.
  8. Monitora per reinfezioni
    Continua a monitorare i log e integra il monitoraggio dell'integrità dei file.

Esempi pratici di query di rilevamento e comandi di ripristino

  • Trova contenuti con il codice breve: 
    wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[paypal %' OR post_content LIKE '%[paypal]%';"
  • Sostituisci contenuti potenzialmente pericolosi (esempio: rimuovi i tag script dai post contenenti il codice breve — procedi con cautela e fai prima un backup del DB): 
    wp db query "UPDATE wp_posts SET post_content = REPLACE(post_content, '<script', '&ltscript_removed' ) WHERE post_content LIKE '%[paypal %';"

    Nota: Quanto sopra è illustrativo. Preferisci la revisione manuale o utilizza uno script testato per sanificare piuttosto che sostituzioni ampie e cieche.

  • Esporta i post sospetti per ispezione: 
    wp post get  --field=post_content > /tmp/post-.html
  • Rimuovi il plugin: 
    wp plugin deactivate paypal-shortcodes wp plugin delete paypal-shortcodes

Fai sempre un backup completo prima di eseguire aggiornamenti di massa.

Prevenzione: sicuri schemi di codice breve e checklist per sviluppatori

  • Valida sempre gli attributi secondo i tipi attesi.
  • Sanifica sempre gli input: usa sanitize_text_field(), esc_url_raw(), absint(), floatval() come appropriato.
  • Escape le uscite utilizzando le funzioni corrette: esc_attr(), esc_html(), esc_url(), wp_kses_post() quando necessario.
  • Evita di rendere dati non affidabili in gestori di eventi inline o href="javascript:...".
  • Evita di usare valutazione() O innerHTML-style costruzioni sul front end con dati non attendibili.
  • Avere test unitari e test di sicurezza che controllano i vettori di iniezione comuni.
  • Considerare una politica dei contenuti in cui i codici brevi forniti dagli utenti vengono visualizzati solo dopo l'approvazione dell'amministratore.

Esempio: come appare un flusso di attributi di codice breve sicuro

  1. Gli attributi di codice breve vengono analizzati dal core di WordPress tramite shortcode_atts().
  2. Sanitizzare immediatamente con funzioni appropriate prima di qualsiasi scrittura nel DB (se gli attributi vengono memorizzati).
  3. Escape in output, in base a se l'output è all'interno di testo HTML, un attributo o JavaScript.

Un flusso sicuro di esempio (alto livello):

  • All'input: l'utente fornisce attributi → sanitize_text_field() / floatval() → memorizzare il valore canonico sicuro.
  • Sull'output: usa esc_attr() se utilizzato all'interno degli attributi degli elementi, utilizzare esc_html() per contenuti testuali.

Cronologia e CVE

  • Divulgazione: Pubblicato il 23 marzo 2026.
  • CVE: CVE-2026-3617.
  • Gravità segnalata: CVSS 6.5 (media). Sebbene un punteggio medio rifletta la necessità di un utente privilegiato per attivare lo sfruttamento in molti casi, l'impatto — furto di sessione dell'amministratore o takeover del sito — può essere grave se un amministratore viene ingannato a visualizzare il contenuto.

Cosa raccomanda WP‑Firewall (lista di controllo concisa)

  • Se utilizzi il plugin vulnerabile (≤ 0.3), disabilitalo immediatamente fino a quando non è disponibile una versione corretta.
  • Scansiona il tuo contenuto e il database per il [paypal] shortcode e guarda da vicino nome E importo attributi.
  • Rimuovi o sanifica eventuali attributi e contenuti sospetti.
  • Applica il principio del minimo privilegio: riduci il numero di account con capacità di creazione o anteprima.
  • Ruota le credenziali e abilita 2FA per tutti gli utenti admin.
  • Distribuisci patch virtuali sul tuo WAF: blocca le richieste che creano shortcode con parentesi angolari o javascript: negli attributi.
  • Monitora i log del sito per attività amministrative insolite seguendo la cronologia di eventuali cambiamenti sospetti.
  • Applica pratiche di sviluppo sicuro per tutti gli shortcode e l'input degli utenti.

Scenario di incidente reale (anonymizzato e plausibile)

Immagina un blog comunitario che consente ai contributori registrati di inviare articoli. Un attaccante registra un account di contributore e inserisce un payload malevolo nell' nome attributo di uno shortcode di PayPal in uno dei loro post. Quando un editor esamina il post e lo visualizza in anteprima nell'amministrazione di WordPress, il payload viene eseguito ed esfiltra il token di sessione dell'editor all'attaccante. L'attaccante quindi accede come editor, aumenta i privilegi creando un nuovo utente admin e installa un plugin backdoor. Questo è come piccoli difetti diventano compromissioni complete del sito — e inizia con input utente non sanificato in un plugin.

Suggerimento per il titolo e breve paragrafo per incoraggiare l'iscrizione al piano gratuito di WP‑Firewall

Rafforza le tue difese oggi con il piano gratuito di WP‑Firewall

Se gestisci uno o più siti WordPress e desideri una rete di sicurezza immediata e senza costi, prova il nostro piano WP‑Firewall Basic (Gratuito). Fornisce una protezione essenziale e gestita fin da subito — un WAF rinforzato, scansione continua per malware, mitigazione dei rischi OWASP Top 10 e larghezza di banda illimitata per operazioni di sicurezza. Distribuire un WAF gratuito e uno scanner di contenuti riduce la tua esposizione a XSS memorizzati e attacchi simili di iniezione di contenuti mentre correggi o sostituisci plugin vulnerabili. Iscriviti al piano gratuito ora e dai al tuo sito uno strato di sicurezza mentre pulisci o aggiorni componenti vulnerabili: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se sei pronto per protezioni aggiuntive come rimozione automatica del malware o report di sicurezza mensili, consulta i piani Standard e Pro — aggiungono pulizia automatizzata, gestione degli IP, patching virtuale delle vulnerabilità e una suite di servizi gestiti progettati per siti di produzione.)

Considerazioni finali — cosa fare dopo

Questa vulnerabilità è un utile promemoria di due realtà:

  1. I plugin sono una superficie di attacco facile e comune. Anche piccole funzionalità come gli shortcode possono introdurre rischi sistemici quando l'input non è gestito correttamente.
  2. La difesa in profondità è importante. Un singolo strato protettivo (ad es., rimuovere plugin rischiosi) non è sufficiente. Combina sviluppo sicuro, indurimento dei ruoli, revisione dei contenuti, backup, 2FA e un WAF capace.

Presso WP‑Firewall diamo priorità a difese pragmatiche e stratificate che guadagnano tempo per la correzione e la pulizia. Se hai bisogno di assistenza per la scansione, la pulizia o l'implementazione di patch virtuali di emergenza, il nostro team di sicurezza può aiutarti a progettare un piano di risposta proporzionato al tuo rischio.

Se sei preoccupato che il tuo sito possa essere colpito oggi, prendi le misure di emergenza delineate in precedenza: disattiva il plugin, cerca nei tuoi post shortcode iniettati e ruota le credenziali privilegiate. Quindi implementa protezioni continue di scansione WAF e contenuti in modo da non essere colto impreparato la prossima volta che viene divulgata una vulnerabilità.

Resta al sicuro e mantieni i tuoi siti aggiornati e privi di plugin e ruoli non necessari. Se desideri aiuto per rinforzare il tuo sito o implementare il servizio gratuito WP‑Firewall, visita: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se vuoi, possiamo:

  • Fornisci un set di regole WAF pronte per l'implementazione, ottimizzate per bloccare le iniezioni di attributi shortcode (lo adatteremo alla sintassi del tuo WAF).
  • Esegui una scansione del tuo sito per rilevare istanze dello shortcode vulnerabile e aiutarti a pulirle.
  • Fornisci una breve guida per sviluppatori che puoi consegnare all'autore del plugin per implementare una gestione sicura degli attributi.

Contatta il supporto di WP‑Firewall per una consulenza e ti guideremo attraverso i passaggi specifici per il tuo ambiente.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™