Critica XSS nel plugin WPFAQBlock//Pubblicato il 2026-03-23//CVE-2026-1093

TEAM DI SICUREZZA WP-FIREWALL

WPFAQBlock Vulnerability Image

Nome del plugin WPFAQBlock
Tipo di vulnerabilità Script tra siti (XSS)
Numero CVE CVE-2026-1093
Urgenza Basso
Data di pubblicazione CVE 2026-03-23
URL di origine CVE-2026-1093

WPFAQBlock Stored XSS (CVE-2026-1093): Cosa devono fare ora i proprietari e gli sviluppatori di siti WordPress

Pubblicato: 23 marzo 2026

In qualità di professionisti della sicurezza di WordPress, monitoriamo continuamente le vulnerabilità dei plugin che mettono a rischio i siti web. Una vulnerabilità recentemente divulgata nel WPFAQBlock — FAQ & Accordion Block per Gutenberg (versioni <= 1.1) — è un problema di Cross-Site Scripting (XSS) memorizzato autenticato che merita attenzione immediata.

Questo post spiega, in linguaggio semplice e dettagli tecnici, cos'è la vulnerabilità, come gli attaccanti possono (e spesso fanno) cercare di abusare dell'XSS memorizzato, chi è più a rischio, come puoi rilevare segni di compromissione e passi pratici e prioritari che dovresti intraprendere ora per proteggere il tuo sito. Mostrerò anche modelli di codifica sicura che gli sviluppatori possono adottare per prevenire problemi simili e come le opzioni di protezione di WP-Firewall (incluso il piano gratuito) possono aiutarti a mitigare il rischio mentre correggi o rimuovi il plugin vulnerabile.

Nota: Eviterò di condividere codice di sfruttamento o ricette di attacco passo dopo passo. L'obiettivo qui è consentire ai proprietari di siti web, agli amministratori e agli sviluppatori di difendere i propri siti — non di aiutare gli attaccanti.

Sintesi (breve)

  • Vulnerabilità: Scripting Cross-Site memorizzato (XSS) tramite il classe attributo shortcode nel plugin WPFAQBlock (<= 1.1).
  • CVE assegnato: CVE-2026-1093.
  • Privilegio richiesto per creare l'entrata malevola: Collaboratore (autenticato).
  • CVSS: 6.5 (moderato). Lo sfruttamento richiede un'interazione di un utente privilegiato per attivarsi in alcuni scenari.
  • Mitigazione immediata: rimuovi o disattiva il plugin se non puoi aggiornare, limita i privilegi dei collaboratori e la pubblicazione dei contenuti, sanitizza le voci esistenti e abilita un WAF/patch virtuale fino a quando il plugin non viene corretto.
  • A lungo termine: applica una sanitizzazione sicura degli input nel codice del plugin, adotta pratiche di minimo privilegio e esegui un monitoraggio continuo.

Cosa è successo — in termini semplici

WPFAQBlock contiene una debolezza nel modo in cui gestisce il classe attributo nell'output dello shortcode FAQ. Un utente autenticato malevolo con privilegi di livello Collaboratore può inviare un attributo di classe creato ad arte che viene memorizzato nel database e successivamente restituito non sanitizzato nelle pagine o nell'editor. Quando il valore non sanitizzato viene reso, può causare l'esecuzione di JavaScript malevolo nel browser di chiunque visualizzi la pagina — potenzialmente editor di siti, amministratori o anche visitatori — a seconda di come il plugin colloca l'attributo nel contesto HTML.

Il termine “XSS memorizzato” significa che il contenuto malevolo è persistito sul server (in post, meta o archiviazione specifica del plugin) e servito ai clienti in seguito, il che può dare agli attaccanti un appiglio affidabile e duraturo. In questo caso specifico, lo sfruttamento della vulnerabilità richiede ulteriore interazione da parte di un utente privilegiato (ad esempio, un amministratore o un editor che visualizza il contenuto interessato). Ciò riduce l'immediatezza rispetto a un XSS completamente non autenticato, ma rappresenta comunque un rischio reale e pericoloso per qualsiasi sito che consenta account di livello collaboratore o abbia editor che potrebbero visualizzare contenuti nel pannello di amministrazione o nel frontend.

Perché l'XSS memorizzato è pericoloso

L'XSS memorizzato è frequentemente utilizzato in campagne del mondo reale a causa della persistenza e della portata:

  • Se un attaccante può iniettare JavaScript nel contenuto consegnato a un amministratore, l'attaccante può elevare l'accesso (rubare cookie o token di sessione) e dirottare le sessioni di amministrazione, consentendo il completo controllo del sito.
  • JavaScript può modificare il markup della pagina per fornire ulteriori attacchi di ingegneria sociale (falsi avvisi di aggiornamento, raccoglitori di credenziali).
  • Script malevoli possono reindirizzare i visitatori a siti di phishing o malware, o caricare script di criptomining e altri contenuti indesiderati.
  • Poiché il payload è memorizzato, un'unica iniezione può influenzare molti utenti nel tempo ed è facile da propagare.

Anche se una vulnerabilità richiede un'interazione aggiuntiva, quell'interazione può essere ingegnerizzata (link di phishing, pagina admin appositamente creata, o un editor ignaro che visualizza il post sbagliato) — quindi il rischio rimane reale per qualsiasi sito che accetta contenuti da ruoli meno fidati.

Chi è a rischio

  • Siti che utilizzano versioni di WPFAQBlock <= 1.1.
  • Siti che consentono al ruolo di Collaboratore o ad altri utenti non fidati di creare contenuti — in particolare siti che permettono ai Collaboratori di inviare shortcode, HTML o altri attributi senza moderazione.
  • Siti in cui editor e amministratori navigano nel sito o nel contenuto del blocco nell'interfaccia di amministrazione (ad es., visualizzando in anteprima i post o visualizzando l'interfaccia del plugin).
  • Blog multi-autore, siti di abbonamento, piattaforme di apprendimento e qualsiasi installazione di WordPress che consente la creazione di contenuti a più utenti autenticati.

Se il tuo sito non consente account di Collaboratore o ruoli equivalenti, e sei certo che nessun utente non fidato possa aggiungere o modificare contenuti, il rischio pratico è inferiore. Ma dovresti comunque ispezionare i tuoi contenuti per voci malevole e tenere d'occhio caricamenti e modifiche al database.

Come potrebbe apparire una tipica catena di attacco (livello alto)

  1. L'attaccante crea un account collaboratore o compromette un account esistente a basso privilegio.
  2. L'attaccante invia un nuovo blocco FAQ o modifica un post, fornendo un valore di classe attributo creato che contiene contenuti malevoli.
  3. Il plugin memorizza l'attributo creato nel database senza una corretta sanitizzazione o escaping.
  4. In un secondo momento, un amministratore o un editor visita la pagina o apre le anteprime dei post nell'amministrazione di WordPress (o il markup malevolo viene reso nel frontend).
  5. Lo script memorizzato viene eseguito nel browser dell'utente privilegiato; lo script può inviare i cookie o i token di autenticazione dell'amministratore al server dell'attaccante o eseguire azioni per conto di quell'utente (ad es., creare un account admin).
  6. Con accesso di livello superiore, l'attaccante può fare qualsiasi cosa, dall'installare una backdoor all'exfiltrazione di dati o alla defacement del sito.

Questo scenario sottolinea perché lo XSS memorizzato nei flussi di lavoro di editing dei contenuti è particolarmente rischioso: sfrutta il comportamento normale di gestione dei contenuti per aumentare l'accesso.

Indicatori di compromissione — cosa cercare

Quando si indaga su questa vulnerabilità, prestare attenzione a:

  • Nuovi post, FAQ o pagine create da account collaboratori che contengono shortcode o insoliti classe valori di attributo.
  • Frammenti di JavaScript inaspettati che appaiono nel sorgente della pagina dove WPFAQBlock rende i contenuti.
  • Amministratori o editor che ricevono reindirizzamenti sospetti o popup inaspettati durante il caricamento di pagine specifiche.
  • Nuovi account amministratore o cambiamenti sospetti nei ruoli utente subito dopo che un collaboratore ha pubblicato contenuti.
  • File inspiegabili nella directory degli upload o modifiche ai file di plugin/tema.
  • Connessioni in uscita dal sito verso domini sconosciuti (possibili endpoint di esfiltrazione).
  • Avvisi dal tuo scanner di sicurezza o WAF che indicano tentativi di XSS o payload bloccati.

Puoi cercare nel database le occorrenze dello shortcode FAQ o dei marker specifici del plugin. Ad esempio, cerca post_content per il nome dello shortcode (ad es., [faq o HTML specifico del plugin) e rivedi eventuali attributi sospetti. Se vedi markup come HTML iniettato nell' classe attributo o attributi con parentesi angolari, è un campanello d'allarme.

Risposta immediata — azioni prioritarie

Se sei responsabile di un sito che utilizza WPFAQBlock (<=1.1), segui ora questa lista di controllo per la risposta prioritaria:

  1. Se possibile, aggiorna immediatamente il plugin
      – Controlla se l'autore del plugin ha rilasciato una versione corretta. Se è disponibile una versione aggiornata, aggiorna tramite la dashboard di WordPress o WP-CLI.
      – Se un aggiornamento non è ancora disponibile, passa al passo 2.
  2. Disattiva temporaneamente o rimuovi il plugin se non puoi applicare una patch subito
      – Disattivare impedisce ulteriori rendering del codice vulnerabile e rimuove il percorso di esecuzione immediato.
      – Se hai bisogno della funzionalità, considera di sostituirla con un'alternativa sicura.
  3. Limita la pubblicazione e le sottomissioni dei collaboratori
      – Disallow temporaneamente ai Collaboratori di pubblicare o creare contenuti senza revisione editoriale.
      – Converti gli account dei Collaboratori a un livello di privilegio inferiore, o abilita la moderazione per i contenuti prima che vengano pubblicati.
  4. Esegui un audit dei contenuti
      – Cerca nelle tabelle post_content e meta dei plugin il shortcode FAQ e ispeziona eventuali classe valori degli attributi per contenuti sospetti.
      – Rimuovi o sanitizza eventuali voci sospette trovate. Usa un'esportazione del database e una ricerca/sostituzione accurata (evita la corruzione accidentale dei dati) o gestisci con WP-CLI e sostituzione sanitizzata.
  5. Abilita o migliora le protezioni WAF (patching virtuale)
      – Configura il firewall del tuo sito web per bloccare valori di attributo sospetti classe negli shortcode e blocca le richieste che sembrano cercare di iniettare script negli attributi.
      – Se hai già un WAF gestito, assicurati che le firme per questa vulnerabilità siano applicate o chiedi al tuo fornitore di firewall una regola temporanea.
  6. Indurire i ruoli e le autorizzazioni degli utenti
      – Applica il principio del minimo privilegio. Solo gli utenti fidati dovrebbero avere il permesso di creare shortcode o HTML non filtrato.
      – Esegui un audit degli account utente per account sconosciuti e ruota le password per gli utenti admin.
  7. Scansiona per malware
      – Esegui una scansione malware dell'intero sito per rilevare eventuali backdoor, script piantati o file core/plugin modificati.
  8. Monitora i log e il traffico di rete
      – Cerca accessi admin sospetti, nuovi caricamenti di plugin/temi e connessioni in uscita verso host sconosciuti.
  9. Se sospetti un compromesso, segui un flusso di risposta agli incidenti
      – Isola il sito se necessario, ripristina da backup puliti (pre-iniezione), ruota le credenziali e esegui una revisione forense completa.

Se uno di questi passaggi è al di fuori della tua zona di comfort, contatta il tuo fornitore di hosting o un professionista della sicurezza WordPress qualificato.

Esempi di mitigazione a breve termine (sicuri, non distruttivi)

  • Usa l'Editor di WordPress o un editor di testo per sostituire class="..." le occorrenze negli shortcode memorizzati con un valore sanitizzato o rimuovi completamente l'attributo per i post creati di recente da utenti a bassa fiducia.
  • Crea un plugin temporaneo che filtra il contenuto prodotto da WPFAQBlock per sanificare il classe attributo prima dell'output. Esempio di scheletro di filtro sicuro:
<?php<>"\']+/', '', $safe );

Nota: Le modifiche basate su regex possono essere fragili. Testa su un sito di staging e fai un backup del tuo database prima di eseguire qualsiasi modifica di massa.

Guida per sviluppatori — come risolvere questo in modo sicuro nel codice

Se mantieni o sviluppi plugin/blocchi, segui queste pratiche di codifica sicura:

  • Non presumere mai che gli attributi (anche qualcosa di innocuo come classe) siano sicuri. Sanifica all'input e scappa all'output.
    • Utilizzo sanitize_text_field() per attributi di testo semplici.
    • Utilizzo wp_kses() / wp_kses_allowed_html() dove l'HTML è necessario, e definisci rigorosamente i tag e gli attributi consentiti.
    • Quando outputti attributi in HTML, usa sempre esc_attr() per contesti di attributo e esc_html() per contesti HTML.
  • Esempio di modello di gestore shortcode sicuro:
&lt;?php
  • Valida le capacità per qualsiasi azione che memorizza dati dagli utenti. Non consentire agli utenti di livello Contributor di memorizzare HTML arbitrario a meno che non sia rigorosamente filtrato e moderato.
  • Usa nonce e controlli di capacità su qualsiasi endpoint AJAX o REST che accetta dati per shortcode o contenuti di blocco.
  • Preferisci la whitelist lato server rispetto al blacklist: definisci i caratteri e i modelli consentiti per attributi come classe.

Come WP-Firewall ti protegge (cosa raccomandiamo e perché)

In WP-Firewall forniamo difese a strati che riducono la finestra di esposizione per vulnerabilità come questa:

  • Regole WAF gestite: Il nostro firewall per applicazioni web include regole per rilevare e bloccare schemi di iniezione di attributi sospetti, inclusi i tentativi di inserire markup o script in attributi come classe. Questo blocca la maggior parte dei tentativi automatizzati e molti attacchi manuali.
  • Scanner malware: Scansioniamo alla ricerca di payload dannosi noti e script anomali nelle pagine e nei caricamenti.
  • Mitigazione OWASP Top 10: Il piano gratuito include protezioni mirate a vettori comuni come attacchi XSS e di iniezione.
  • Patching virtuale (Pro): Se viene divulgata una vulnerabilità di un plugin e una patch non è ancora stata rilasciata o non puoi aggiornare immediatamente, il nostro patching virtuale può mitigare la vulnerabilità a livello di applicazione web fino a quando non installi l'aggiornamento ufficiale.
  • Monitoraggio e avvisi: Attività sospette (tentativi ripetuti di creare o generare attributi dannosi, anomalie nel login dell'amministratore) attivano avvisi in modo che tu possa agire rapidamente.

Se gestisci un sito colpito da questo problema WPFAQBlock e non puoi aggiornare immediatamente il plugin, abilitare il WAF gestito di WP-Firewall e la scansione malware ridurrà significativamente la possibilità di sfruttamento riuscito mentre rimedi.

Piano di rilevamento e recupero (passaggi dettagliati)

  1. Fai uno snapshot / backup
      – Esporta il tuo database e i file per analisi forensi e punto di ripristino. Se il sito è attivamente compromesso, isola (modalità manutenzione).
  2. Patching o rimozione del componente vulnerabile
      – Se esiste una versione del plugin corretta: aggiorna e verifica.
      – Se non c'è ancora una correzione: disattiva e sostituisci il plugin o blocca tutti i percorsi di rendering.
  3. Identifica e rimuovi contenuti dannosi
      – Cerca attributi di shortcode sospetti, specialmente classe voci che contengono parentesi angolari, gestori di eventi (un errore, al clic), javascript:, sequenze simili a , o contenuti codificati in base64.
      – Rimuovi o sanitizza quelle voci e ripubblica il contenuto dopo la revisione.
  4. Controlla l'attività e gli account degli utenti
      – Verifica l'attività recente dei collaboratori. Blocca o reimposta le password per eventuali account che sembrano sospetti. Rimuovi gli account non utilizzati.
      – Abilita 2FA per gli account di amministratore ed editor.
  5. Scansione del sito
      – Utilizza uno scanner di malware affidabile per individuare backdoor o file sospetti nelle directory di temi, upload e plugin.
  6. Registri di audit
      – Esamina i log di accesso del server web e i log di debug di WordPress per trovare prove di iniezione, richieste POST insolite e connessioni in uscita.
  7. Ripristina e monitora
      – Una volta puliti e patchati, ripristina i servizi e monitora attentamente per tentativi ripetuti. Mantieni uno stato di monitoraggio elevato per almeno due settimane.

Suggerimenti pratici per i proprietari e gli editori del sito

  • Limita chi può creare contenuti: quella piccola comodità di consentire ai collaboratori di pubblicare senza revisione comporta un rischio per la sicurezza. Utilizza la revisione editoriale dove possibile.
  • Disabilita non filtrato_html capacità per ruoli non fidati. Anche se WordPress limita l'HTML non filtrato agli amministratori per impostazione predefinita, i plugin possono cambiare comportamento — quindi verifica regolarmente le capacità dei ruoli.
  • Utilizza una politica di sicurezza dei contenuti (CSP) per limitare da dove possono essere caricati gli script. CSP è uno strato extra efficace che rende molti attacchi XSS molto meno utili.
  • Abilita l'autenticazione forte (2FA) per tutti gli account con capacità di pubblicazione.
  • Mantieni un server di staging e testa gli aggiornamenti dei plugin prima di applicarli sui siti di produzione.
  • Pianifica backup regolari e verifica che i backup siano ripristinabili.

Per host e operatori di piattaforme

  • Applica processi di onboarding per i publisher e di verifica degli account per rendere più difficile l'abuso delle credenziali.
  • Offri opzioni di moderazione dei contenuti e notifiche via email ai proprietari del sito quando i collaboratori creano nuovi contenuti.
  • Fornisci protezioni WAF per impostazione predefinita e rendi disponibile la patch virtuale ai clienti fino a quando non arrivano gli aggiornamenti dei plugin.
  • Monitora comportamenti anomali degli editor o un gran numero di shortcode/attributi aggiunti in un breve periodo.

Perché dovresti prendere sul serio questa situazione (contesto reale)

Gli attaccanti prendono sempre più di mira gli ecosistemi dei plugin di WordPress perché milioni di siti utilizzano componenti comuni. Le vulnerabilità nei plugin minori possono avere effetti sproporzionati quando abilitano l'escalation dei privilegi o forniscono un percorso verso gli account admin. Anche quando la capacità di iniezione iniziale è limitata a account a basso privilegio, l'XSS memorizzato può essere trasformato in un completo takeover del sito ingannando un admin o un editor.

Se sei uno sviluppatore che crea plugin o blocchi, considera quanto possa comportarsi pericolosamente la codifica dell'output errata in flussi di editing complessi. Se sei un proprietario di sito, assumi che contenuti non fidati possano diventare un vettore — e pianifica di conseguenza.

Checklist di esempio — riferimento rapido

  • [ ] Conferma la versione del plugin: È installato WPFAQBlock <= 1.1?
  • [ ] Aggiorna il plugin (se è disponibile una patch) o disattiva il plugin ora.
  • [ ] Controlla post_content e lo storage specifico del plugin per attributi di shortcode sospetti.
  • [ ] Limita i privilegi dei Collaboratori e richiedi approvazione editoriale.
  • [ ] Abilita o regola le regole WAF per bloccare l'iniezione di script basata su attributi.
  • [ ] Scansiona per file dannosi e ispeziona i recenti accessi degli amministratori.
  • [ ] Esegui il backup e, se necessario, ripristina da un backup noto e funzionante.
  • [ ] Indurire gli account: reimposta le password, abilita l'autenticazione a due fattori.
  • [ ] Documenta l'incidente e rivedi la postura di sicurezza per prevenire ricorrenze.

Per gli sviluppatori: modelli da evitare e da adottare

Evitare:

  • Echo diretto degli attributi forniti dall'utente in HTML senza sanificazione.
  • Fare affidamento solo sulla sanificazione lato client.
  • Permettere ai ruoli di livello Collaboratore di fornire HTML grezzo, attributi o script senza controlli lato server.

Adottare:

  • Whitelisting e escaping lato server tramite funzioni core di WordPress (sanitize_text_field, wp_kses, esc_attr, esc_html).
  • Validazione esplicita degli attributi (accettare solo caratteri o modelli di token che ti aspetti per classe, id, ecc.).
  • Controlli nonce e di capacità sugli endpoint REST e sui gestori AJAX.
  • Logging e fallimento elegante: se un attributo fornito è non valido, scartalo o sostituiscilo con un valore predefinito sicuro e registra l'evento per l'audit.

Come pulire in modo sicuro il contenuto memorizzato (approccio esemplificativo)

  1. Metti il tuo sito in modalità manutenzione e fai il backup di tutto.
  2. Esporta i post in un file per ispezione offline, o cerca nel DB le occorrenze dello shortcode (ad esempio, usa WP-CLI: wp post list --post_type=post --format=ids e ispeziona contenuto_post).
  3. Per ogni voce sospetta, ispezionare manualmente in un ambiente sicuro, quindi sanificare o eliminare l'attributo.
  4. Se hai bisogno di effettuare sostituzioni automatiche, utilizza WP-CLI o uno script testato e verifica con un diff prima di applicare.

Ancora: non eseguire mai sostituzioni automatiche distruttive su database live senza un backup testato e un'esecuzione di staging.

Come il nostro team di WP-Firewall affronta un problema come questo

Quando appare una nuova divulgazione di XSS memorizzato autenticato, i nostri team di operazioni di sicurezza e ingegneria:

  1. Analizzano i dettagli della vulnerabilità per determinare gli endpoint e i contesti di rendering colpiti.
  2. Creano regole WAF che mirano specificamente ai modelli di rendering insicuri (ad es., valori di attributo sospetti contenenti parentesi angolari, attributi di evento come onerror, o javascript: modelli negli attributi).
  3. Distribuiscono patch virtuali ai clienti gestiti per bloccare i tentativi di sfruttamento mentre il fornitore del plugin rilascia una correzione ufficiale.
  4. Forniscono indicazioni dettagliate per la remediazione per i proprietari di siti e gli host.
  5. Monitorano i tentativi di sfruttamento e aggiornano le firme man mano che appaiono nuove tattiche.

Questo approccio a strati riduce il rischio per i proprietari di siti che non possono aggiornare o rimuovere immediatamente il plugin vulnerabile.

Proteggi il tuo sito oggi con il Piano Gratuito di WP-Firewall

Se desideri una protezione immediata mentre rivedi o correggi la vulnerabilità di WPFAQBlock, considera di iniziare con il piano WP-Firewall Basic (Gratuito). Fornisce protezioni essenziali che contano in questo momento:

  • Firewall gestito con regole ottimizzate per le minacce di WordPress
  • Protezioni WAF per bloccare comuni vettori di XSS e iniezione
  • Larghezza di banda illimitata (senza limiti nascosti sulle richieste)
  • Scansione malware per rilevare script dannosi noti
  • Mitigazioni preconfigurate per i rischi OWASP Top 10

Iscriviti al piano gratuito qui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

L'aggiornamento successivo è semplice: Standard aggiunge la rimozione automatica del malware e le capacità di blacklist/whitelist IP, e Pro aggiunge la patching virtuale automatica, report di sicurezza mensili e servizi gestiti premium se desideri una remediation attiva e supporto per l'account.

Considerazioni finali

Le vulnerabilità XSS memorizzate come il problema WPFAQBlock sottolineano una verità perenne della sicurezza di WordPress: piccoli errori nella gestione degli input possono portare a grandi violazioni. La differenza tra una vulnerabilità e un incidente è spesso quanto rapidamente un proprietario di sito rileva e mitiga il rischio.

Dai priorità: aggiorna i plugin quando sono disponibili patch, limita chi può pubblicare contenuti, sanitizza e valida tutti gli input degli utenti, e esegui un WAF e uno scanner di malware come parte di una difesa a strati. Se stai eseguendo WPFAQBlock (<= 1.1), agisci ora: aggiorna, disattiva o applica misure di mitigazione temporanee. Se hai bisogno di protezione temporanea mentre rimedi, il piano gratuito di WP-Firewall fornisce copertura immediata WAF e scanner per ridurre il rischio.

Se desideri aiuto per esaminare il tuo sito per questo problema o per implementare rapidamente regole protettive, i nostri ingegneri delle operazioni di sicurezza possono assisterti con valutazioni e opzioni di patching virtuale.

Rimani al sicuro — e tratta ogni aggiornamento del plugin come un evento di sicurezza fino a prova contraria.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™