Mitigazione dell'XSS nel plugin WordPress General Options//Pubblicato il 2026-05-20//CVE-2026-6399

TEAM DI SICUREZZA WP-FIREWALL

General Options Plugin Vulnerability Image

Nome del plugin Opzioni generali
Tipo di vulnerabilità Script tra siti (XSS)
Numero CVE CVE-2026-6399
Urgenza Basso
Data di pubblicazione CVE 2026-05-20
URL di origine CVE-2026-6399

CVE-2026-6399: Cosa devono sapere i proprietari di siti WordPress sul plugin Opzioni generali XSS memorizzato

Il 19 maggio 2026 i ricercatori di sicurezza hanno rivelato una vulnerabilità di Cross-Site Scripting (XSS) memorizzata che colpisce il plugin WordPress “Opzioni generali” (versioni <= 1.1.0). Il problema è stato assegnato a CVE-2026-6399 e ha un punteggio base CVSSv3 riportato intorno a 5.9. La vulnerabilità è un XSS memorizzato che richiede un amministratore autenticato per fornire input che viene successivamente visualizzato senza una sufficiente sanificazione o escaping, e lo sfruttamento richiede l'interazione di un utente privilegiato (ad esempio, cliccando su un link creato ad arte o visitando una pagina admin appositamente creata).

Come professionisti della sicurezza di WordPress, consideriamo questo un serio promemoria: le vulnerabilità che richiedono accesso da amministratore possono comunque essere estremamente dannose perché gli attaccanti prendono frequentemente di mira gli amministratori del sito (phishing, credential stuffing, ingegneria sociale). In questo articolo spiegheremo cosa significa questa vulnerabilità, come gli attaccanti potrebbero sfruttarla, come rilevare segni di abuso, mitigazioni pratiche, un modello di patch di codice sicuro suggerito per gli sviluppatori di plugin, raccomandazioni per WAF / patching virtuale, passaggi di recupero post-compromissione e come WP-Firewall protegge il tuo sito — inclusi i funzionalità disponibili nel nostro piano gratuito.

Nota: Questo post è scritto da una prospettiva pratica sulla sicurezza di WordPress dal team di sicurezza di WP-Firewall. L'obiettivo è fornire ai proprietari di siti e agli sviluppatori passaggi chiari e pratici per ridurre il rischio e rispondere rapidamente.

Riepilogo esecutivo (sintesi rapida)

  • Un XSS memorizzato in Opzioni generali <= 1.1.0 (CVE-2026-6399) consente a uno script malevolo di essere persistente ed eseguito nel contesto degli utenti che caricano la pagina (o le pagine) interessate.
  • Privilegio richiesto per creare il payload memorizzato: Amministratore. Tuttavia, lo sfruttamento è comunque rilevante perché gli amministratori possono essere ingannati a eseguire azioni, e i payload memorizzati possono influenzare altri utenti admin o persino visitatori del sito a seconda di dove viene visualizzato il payload.
  • Gravità riportata: Media/Bassa (CVSS ~5.9) ma l'impatto nel mondo reale dipende da come il plugin restituisce i valori memorizzati (pagine pubbliche vs schermi admin) e se ulteriori interazioni dell'utente vengono ingannate.
  • Azioni immediate per i proprietari di siti: applicare una patch se/quando viene rilasciato un aggiornamento ufficiale; se non è disponibile alcuna patch, applicare misure di mitigazione (limitare l'accesso admin, verificare gli account admin, abilitare MFA forte, utilizzare un WAF o patching virtuale, scansionare e pulire).
  • WP-Firewall fornisce capacità di WAF gestito e scanner nel piano gratuito (Base) che possono aiutare a bloccare i tentativi di sfruttamento e rilevare payload malevoli persistenti.

Come funziona l'XSS memorizzato (breve promemoria tecnico)

Il Cross-Site Scripting (XSS) si verifica quando i dati controllabili dall'utente vengono inseriti nelle pagine HTML senza una corretta sanificazione o escaping, consentendo a un attaccante di iniettare script lato client che vengono eseguiti nei browser delle vittime.

L'XSS memorizzato si verifica specificamente quando input malevoli vengono salvati sul server (database, configurazione o filesystem) e poi successivamente inclusi in una pagina renderizzata. Questo è più pericoloso rispetto all'XSS riflesso perché il contenuto malevolo persiste e può influenzare molti visitatori o utenti admin senza richiedere all'attaccante di fornire ripetutamente il payload.

Cause radice principali:

  • Mancanza di sanificazione quando l'input viene salvato.
  • Mancanza di escaping quando il contenuto salvato viene successivamente restituito.
  • Controlli incompleti delle capacità o nonce durante le operazioni di salvataggio.

Nel caso di CVE-2026-6399, il plugin accetta dati forniti dall'amministratore nelle opzioni generali e successivamente li restituisce senza un'adeguata sanificazione, rendendo possibile l'XSS memorizzato.

Perché un XSS “solo per admin” è importante

È facile sminuire istintivamente le vulnerabilità che richiedono privilegi amministrativi: dopotutto, gli amministratori sono utenti fidati. Questo è un errore per diversi motivi:

  1. Gli amministratori possono essere presi di mira direttamente. Phishing, ingegneria sociale e riutilizzo delle credenziali sono comuni. Una volta che un attaccante persuade o inganna un amministratore a cliccare su un link creato ad hoc, un payload memorizzato può essere attivato.
  2. I dashboard degli amministratori contengono spesso funzionalità di alto valore (creazione di post, modifica di temi/plugin, creazione di utenti). Gli script memorizzati possono tentare di elevare le azioni nel contesto dell'amministratore (ad esempio, creare un amministratore extra, installare un plugin backdoor, esfiltrare credenziali tramite AJAX).
  3. I payload XSS memorizzati possono essere abilmente mirati a essere eseguiti sia nelle pagine di amministrazione che nelle pagine pubbliche (se l'opzione insicura è visualizzata dai visitatori), ampliando l'impatto.
  4. Gli amministratori spesso hanno sessioni persistenti: anche se l'attaccante non può accedere come amministratore, far caricare una pagina a un amministratore mentre è connesso è sufficiente.

Pertanto, anche una vulnerabilità con un CVSS più basso può portare a un compromesso completo del sito nella pratica.

Scenari tipici di sfruttamento

Di seguito sono riportati flussi di attacco realistici che un avversario potrebbe utilizzare:

Scenario A — Ingegneria sociale + XSS memorizzato:

  1. L'attaccante ha un account a bassa visibilità o trova un modo per inviare un valore di opzione (a volte gli sviluppatori commettono errori consentendo agli editor di modificare alcune opzioni del plugin).
  2. L'attaccante inietta un payload che memorizza un tag o un gestore di eventi nelle opzioni del plugin.
  3. L'amministratore riceve un'email riguardo alle impostazioni del plugin e clicca su un link per rivedere le impostazioni mentre è connesso; il payload memorizzato viene eseguito nel browser dell'amministratore e invia una richiesta AJAX al server dell'attaccante contenente token di autenticazione o esegue modifiche privilegiate tramite manipolazione del DOM e trigger diretti.

Scenario B — Amministratore malevolo (minaccia interna):

  1. Per i team con più amministratori, un amministratore compromesso o ribelle potrebbe inserire contenuti malevoli che prendono di mira altri amministratori o utenti.
  2. Il payload viene eseguito quando altri amministratori visualizzano le impostazioni o quando il sito restituisce l'opzione in una pagina pubblica.

Scenario C — Esposizione cross-context:

  1. Il plugin rende alcuni contenuti di opzione sul front-end (i visitatori del sito vedono pezzi di configurazione).
  2. Il payload viene eseguito nei browser dei visitatori, che possono avere privilegi inferiori rispetto all'amministratore, ma possono comunque essere utilizzati per deturpare, reindirizzare o rubare credenziali/cookie degli utenti.

Rilevamento: segni da cercare

Se utilizzi il plugin General Options o plugin simili che memorizzano HTML arbitrario, controlla indicatori sospetti:

  • Ricerca nel database per contenuti simili a script nelle opzioni:
    • Esempi di SQL (eseguiti da wp-cli o da un client DB; eseguire il backup del DB prima di interrogare in produzione):
SELECT option_name, option_value;
  • Look for unusual <script> tags, inline event handlers (onerror, onclick) or encoded payloads (e.g., %3Cscript%3E).
  • Comportamento amministrativo inaspettato: quando sei connesso come amministratore, vedi pagine che reindirizzano, contenuti inaspettati che appaiono nella dashboard o popup che non ti aspettavi?
  • Avvisi da uno scanner di malware (stringhe JS sospette, contenuti iniettati persistenti).
  • Richieste HTTP in uscita insolite dal browser dell'amministratore verso domini sconosciuti quando visiti le pagine delle impostazioni.
  • File nuovi o modificati in wp-content/uploads o nelle directory di plugin/temi (gli attaccanti spesso piantano backdoor dopo un XSS riuscito).

Usa lo scanner di malware di WP-Firewall per rilevare JS sospetti o payload memorizzati nelle opzioni e nel contenuto — il nostro scanner controlla modelli comuni e solleva avvisi se trova stringhe simili a script nelle opzioni memorizzate.

Mitigazioni immediate (se non puoi applicare una patch immediatamente)

Se una patch ufficiale del plugin non è ancora stata rilasciata o non puoi aggiornare immediatamente, applica mitigazioni stratificate:

  1. Limitare l'accesso admin:
    • Limita gli accessi amministrativi a IP fidati dove possibile (whitelisting IP).
    • Usa controlli a livello di host o il tuo WAF per limitare l'accesso a /wp-admin e a endpoint sensibili.
  2. Applica MFA per tutti gli account amministrativi per evitare compromissioni basate su credenziali.
  3. Riduci il numero di amministratori e controlla gli account amministrativi (rimuovi utenti obsoleti e applica le migliori pratiche sui ruoli).
  4. Indurimento:
    • Assicurati di avere password forti e disabilita XML-RPC se non necessario.
    • Disattiva la modifica dei file in WP (define('DISALLOW_FILE_EDIT', true);).
  5. WAF / patching virtuale:
    • Applica regole WAF per rilevare e bloccare tentativi di memorizzare tag o payload sospetti tramite moduli amministrativi (vedi le regole di esempio qui sotto).
  6. Monitora e scansiona:
    • Esegui una scansione completa del sito per malware e scansioni programmate per contenuti sospetti.
  7. Backup:
    • Assicurati di avere backup recenti off-site; fai uno snapshot prima di apportare modifiche in modo da poter tornare indietro se necessario.
  8. Disattiva temporaneamente il plugin vulnerabile se possibile e se puoi accettare la perdita di funzionalità fino a quando non sarà disponibile una patch.

Queste mitigazioni riducono la superficie di attacco mentre aspetti una correzione ufficiale.

Esempio di regole WAF a livello server (patching virtuale)

Il patching virtuale è un controllo immediato pratico: un WAF può bloccare payload dannosi prima che colpiscano il codice vulnerabile. Di seguito sono riportate regole di esempio in stile ModSecurity e spiegazioni concettuali. Usa cautela e regola le regole per evitare di bloccare input legittimi.

Esempio di regola ModSecurity (concettuale):

SecRule REQUEST_URI "@rx /wp-admin/|/wp-admin/options.php|/wp-admin/admin-post.php" \n  "fase:2,rev:'1',msg:'Blocca tentativo sospetto di XSS memorizzato nelle opzioni di amministrazione',id:100001,log,deny,status:403,\n  chain"

Spiegazione:

  • Targetizza gli endpoint di amministrazione dove vengono salvate le opzioni.
  • Controlla gli argomenti/nomi della richiesta e i valori dell'intestazione per firme tipiche di XSS (tag script, gestori inline, accesso a document.cookie).
  • Decodifica e converti in minuscolo gli input per catturare payload codificati.
  • Blocca (nega) e registra i tentativi.

Nginx + Lua / frammento WAF personalizzato (concettuale):

if ngx.var.request_uri ~* "/wp-admin/" then

Importanti avvertenze:

  • Queste regole sono euristiche e possono causare falsi positivi; regola con attenzione e inserisci nella whitelist i modelli di input noti come sicuri.
  • Gli attaccanti possono offuscare i payload (base64, codifica esadecimale); i WAF devono includere trasformazioni di decodifica per rilevare quelle forme.
  • Le regole WAF sono una mitigazione, non una sostituzione per correzioni di codice adeguate. Sono preziose quando le patch non sono ancora disponibili.

Il WAF gestito di WP-Firewall (disponibile con il nostro piano Basic/Free) include firme ed euristiche per rilevare e bloccare modelli di iniezione di script e può essere configurato per fornire patching virtuale fino a quando l'autore del plugin non rilascia un aggiornamento ufficiale.

Correzione sicura raccomandata per gli sviluppatori di plugin

Se mantieni un plugin che memorizza valori di opzione arbitrari, segui il principio “sanitizza all'input, esegui l'escape all'output”. Ecco un esempio minimo per il codice del plugin PHP/WordPress per mitigare XSS memorizzati:

Quando elabori l'input nel tuo gestore POST di amministrazione:

// Controlla la capacità e il nonce;

Quando restituisci i valori di opzione memorizzati (questo è essenziale):

// Esegui l'escape per il contesto in cui viene utilizzato il valore:;

Riepilogo delle migliori pratiche per gli sviluppatori:

  • Controlla sempre la capacità: current_user_can('gestire_opzioni') o una capacità più specifica.
  • Usa nonce e convalidali: check_admin_referer.
  • Sanitizza l'input utilizzando sanitize_text_field(), intval(), floatval(), O wp_kses() a seconda dei contenuti consentiti.
  • Escape dell'output utilizzando esc_html(), esc_attr(), esc_url(), O wp_kses_post().
  • Registra input inaspettati per aiutare a rilevare tentativi malevoli.
  • Aggiungi test unitari/integrati che garantiscano che gli input pericolosi siano sanitizzati e sfuggiti.

Risposta agli incidenti: se sospetti un'esploitazione

Se rilevi un payload memorizzato o sospetti sfruttamenti, agisci rapidamente:

  1. Isolare:
    • Blocca temporaneamente l'accesso a wp-admin da IP non affidabili (WAF o firewall) e considera di mettere il sito in modalità manutenzione.
  2. Fai copie forensi:
    • Esporta il database e gli snapshot del file system per l'analisi.
  3. Cambia le credenziali:
    • Forza il reset della password per tutti gli amministratori e revoca le sessioni attive (WordPress ha plugin/azioni per distruggere le sessioni).
  4. Revoca le chiavi/tokens API:
    • Sostituisci eventuali credenziali API di terze parti che potrebbero essere memorizzate.
  5. Scansione e pulizia:
    • Usa uno scanner malware affidabile e cerca nel DB script iniettati (vedi SQL di rilevamento sopra).
  6. Rimuovi opzioni/voce malevole:
    • Rimuovi con attenzione i payload memorizzati da wp_options o da un altro storage. Fai attenzione ai danni collaterali quando modifichi i record del DB — esegui prima un backup.
  7. Revisioni dei log:
    • Log di accesso del server web e log WAF per POST o richieste sospette che portano all'evento.
  8. Ripristina se necessario:
    • Se l'integrità non può essere garantita, ripristina da un backup noto e pulito e riapplica il rafforzamento della sicurezza.
  9. Dopo l'incidente: Ruota le password, abilita MFA, rivedi i ruoli utente e applica un audit più approfondito.
  10. Considera assistenza professionale se non sei sicuro.

I clienti di WP-Firewall beneficiano del nostro scanner malware e degli avvisi di log che possono evidenziare richieste in uscita sospette e schemi di script e aiutare ad accelerare la risposta.

Indurimento a lungo termine: ridurre il rischio in generale

Queste misure riducono la tua esposizione al rischio di XSS e molte altre classi di vulnerabilità web:

  • Principio del privilegio minimo:
    • Limita gli account admin; utilizza ruoli specifici per le attività quotidiane.
  • Autenticazione a più fattori (MFA) per tutti gli account privilegiati.
  • Aggiornamenti regolari:
    • Mantieni aggiornati il core di WordPress, i temi e i plugin. Se un plugin è abbandonato, sostituiscilo.
  • Scansione automatizzata:
    • Pianifica scansioni del sito per malware e contenuti sospetti.
  • WAF con patching virtuale:
    • Metti un WAF davanti al tuo sito per catturare schemi di attacco noti e tentativi di sfruttamento zero-day.
  • Rivedi il codice del plugin prima di installarlo:
    • Controlla la reputazione del plugin, la data dell'ultimo aggiornamento e il numero di installazioni attive; esegui una rapida revisione del codice per i plugin che saranno utilizzati in contesti admin.
  • Utilizza pratiche di codifica sicure per plugin e temi personalizzati:
    • Sanitizza ed esegui l'escape in modo coerente; utilizza controlli di capacità e nonce.
  • Backup: Ripristini off-site, immutabili e testati.
  • Monitoraggio e avvisi:
    • Registra eventi di accesso admin, modifiche a temi/plugin e modifiche di file inaspettate.
  • Controlli a livello di rete:
    • Riduci l'area di attacco limitando l'accesso ai punti finali admin (VPN, lista di autorizzazione IP) dove appropriato.

Come WP-Firewall ti protegge (capacità del piano Base/Gratuito)

Presso WP-Firewall la nostra missione è ridurre il rischio minimizzando l'attrito per i proprietari del sito. Se utilizzi il piano gratuito Base, ottieni diverse protezioni che sono altamente rilevanti per questa situazione:

  • Firewall gestito con firme WAF che rilevano schemi di iniezione di script e stringhe di exploit noti.
  • Larghezza di banda illimitata e funzionamento WAF a favore del traffico in modo che la protezione si adatti al tuo sito.
  • Scanner malware che cerca JS sospetti e payload memorizzati nelle opzioni del database, contenuti e file.
  • Regole di mitigazione che mirano ai rischi OWASP Top 10 come iniezione e XSS (modelli di patch virtuali applicati a vettori di attacco comuni).

Se esegui l'upgrade ai piani Standard o Pro, ottieni anche capacità avanzate:

  • Standard: rimozione automatica del malware e controlli su blacklist/whitelist IP.
  • Standard: report di sicurezza mensili, patch virtuali automatiche per vulnerabilità (implementazione automatica di regole WAF su misura per nuove divulgazioni) e componenti aggiuntivi di sicurezza gestiti aggiuntivi.

Anche nel piano gratuito, il WAF e lo scanner aiutano a rilevare e bloccare molti tentativi di sfruttamento automatizzati e manuali contro vettori XSS memorizzati mentre implementi correzioni di codice o attendi un aggiornamento ufficiale del plugin.

Esempio: come la patching virtuale di WP-Firewall aiuta nella pratica

Quando una divulgazione come CVE-2026-6399 diventa pubblica, un modello di risposta efficace è:

  1. Scansiona il tuo sito per valori di opzione sospetti e prove di sfruttamento (scanner WP-Firewall).
  2. Applica regole di patching virtuale mirate agli endpoint di salvataggio dell'amministratore per bloccare i tentativi di inviare input simile a script.
  3. Monitora i log del WAF per tentativi bloccati e adatta le regole per ridurre i falsi positivi.
  4. Pulisci eventuali payload persistenti trovati nelle opzioni.
  5. Una volta disponibile una patch ufficiale del plugin, applicala e poi rimuovi la patch virtuale (o conservala per una difesa in profondità).

La patching virtuale guadagna tempo e riduce significativamente il rischio di sfruttamento di massa consentendo una remediation sicura.

Esempi di query SQL e comandi wp-cli per rilevamento e pulizia

Esegui sempre un backup prima di eseguire query di eliminazione.

  1. Cerca tag script nelle opzioni (SQL):
SELECT option_id, option_name, option_value;
  1. Cerca gestori di eventi inline:
SELECT option_id, option_name;
  1. Utilizzando wp-cli per cercare opzioni (più semplice, ma potrebbe richiedere scripting):
wp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%'"
  1. Per ispezionare in sicurezza e poi rimuovere un'opzione singola tramite wp-cli:
wp option get myplugin_option

Importante: In caso di dubbio, mettere in quarantena l'opzione (rinominarla per preservare i dati, ad esempio, update_option('myplugin_option_quarantine', get_option('myplugin_option')); delete_option('myplugin_option')) piuttosto che una cancellazione cieca.

Campi di monitoraggio e registrazione suggeriti da catturare

  • Tutte le richieste POST admin a /wp-admin/ E /wp-admin/admin-post.php
  • registri WAF con conteggi di regole colpite e payload corrispondenti.
  • Timestamp di aggiornamento del database per opzioni e tipi di post personalizzati che contengono HTML.
  • Richieste HTTP in uscita attivate dal sito (connessioni inaspettate possono indicare esfiltrazione).
  • Timestamp di modifica dei file in wp-content/plugins e wp-content/themes.

WP-Firewall include registri centralizzati per eventi del firewall e avvisi di malware per accelerare la triage.

Lista di controllo pratica per i proprietari del sito (passo dopo passo)

Se utilizzi il plugin General Options o simile:

  1. Controlla la versione del plugin. Se è disponibile un aggiornamento del fornitore che affronta CVE-2026-6399, pianifica di aggiornare immediatamente.
  2. Se non c'è ancora una patch: limita l'accesso admin, abilita MFA per tutti gli account admin e riduci il numero di admin.
  3. Esegui una scansione completa di malware e opzioni (scanner WP-Firewall consigliato).
  4. Ispeziona wp_options per contenuti simili a script e metti in quarantena le voci sospette.
  5. Applica regole di patch virtuali WAF per bloccare i tag/handler script che mirano agli endpoint admin.
  6. Ruota le credenziali admin, revoca le sessioni e rivedi i ruoli utente.
  7. Se trovi prove di sfruttamento, segui i passaggi di risposta all'incidente sopra.
  8. Dopo la pulizia, considera di aumentare la frequenza di monitoraggio e abilitare la patch virtuale automatica se disponibile nel tuo piano di sicurezza.

Guida per gli sviluppatori: evita questi errori comuni

  • Non fidarti mai della convalida lato client: sanitizza sempre sul server.
  • Non memorizzare HTML grezzo a meno che non sia assolutamente necessario. Se devi, utilizza una lista di autorizzazione rigorosa (wp_kses con un insieme definito di tag e attributi).
  • Escape sempre l'output in base al contesto: il corpo HTML, gli attributi, JS, URL richiedono tutti funzioni di escape diverse.
  • Evita di usare valutazione(), dangerously_set_innerHTML costrutti di stile, o echo diretto di input non controllati nei modelli dei plugin.
  • Implementa controlli delle capacità e nonce su ogni gestore di salvataggio delle impostazioni.

Considerazioni finali

CVE-2026-6399 è un utile promemoria che anche le vulnerabilità riservate agli amministratori possono diventare il veicolo per compromissioni diffuse se non sono in atto protezioni stratificate. La difesa in profondità è l'unica strategia affidabile: codifica sicura, esposizione limitata degli amministratori, autenticazione a più fattori, patch virtuali tramite un WAF, scansioni programmate e risposta rapida agli incidenti.

Essere proattivi — applicare protezioni WAF di base e scansioni mentre testi e applichi patch — è il modo migliore per evitare di diventare parte di un'ondata di exploit. I passaggi in questa guida ti aiuteranno a ridurre il rischio e a rispondere più rapidamente se viene scoperto un XSS memorizzato in uno dei plugin del tuo sito.

Proteggi il tuo sito con WP-Firewall Basic (Gratuito)

Il piano Basic di WP-Firewall fornisce protezioni essenziali per mantenere i siti al sicuro mentre prepari correzioni permanenti. Nel piano Basic (Gratuito) ottieni:

  • Firewall gestito e WAF con protezioni ottimizzate per modelli comuni di iniezione e XSS
  • Larghezza di banda illimitata (il WAF opera senza limitare il tuo traffico)
  • Scanner malware che controlla file e contenuti del database per script sospetti e payload persistenti
  • Modelli di mitigazione per i rischi OWASP Top 10

Se desideri rimozione automatica e blocco avanzato, considera Standard o Pro — ma il piano Basic offre protezione immediata e pratica senza costi ed è un ottimo primo passo. Inizia il tuo piano gratuito ora: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se hai bisogno di aiuto

Se non sei sicuro di alcun passaggio sopra o desideri triage assistito e regolazione delle regole, il team di sicurezza di WP-Firewall può aiutarti ad analizzare i log, regolare le patch virtuali per il tuo sito e guidarti nella pulizia sicura. Il nostro approccio è pratico e diretto: ci concentriamo sull'eliminazione del rischio immediato, minimizzando i tempi di inattività del sito e garantendo la resilienza a lungo termine.

Rimani al sicuro e tratta ogni divulgazione di vulnerabilità pubblica come un invito a rivedere i modelli di privilegio, applicare la difesa in profondità e rafforzare le basi della tua postura di sicurezza WordPress.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™