Sicurezza dei Temi WordPress Contro la Deserializzazione//Pubblicato il 2026-03-06//CVE-2026-27098

TEAM DI SICUREZZA WP-FIREWALL

Au Pair Agency Theme Vulnerability

Nome del plugin Agenzia Au Pair – Tema Babysitting & Nanny
Tipo di vulnerabilità Vulnerabilità di deserializzazione
Numero CVE CVE-2026-27098
Urgenza Alto
Data di pubblicazione CVE 2026-03-06
URL di origine CVE-2026-27098

URGENTE: CVE-2026-27098 — Vulnerabilità di Deserializzazione nel tema ‘Agenzia Au Pair – Babysitting & Nanny’ (<= 1.2.2) — Cosa devono fare immediatamente i proprietari dei siti

Autore: Team di sicurezza WP-Firewall

Pubblicato: 2026-03-05

Etichette: WordPress, WAF, Vulnerabilità, Sicurezza del Tema, CVE-2026-27098

Riepilogo: Una vulnerabilità critica di deserializzazione che colpisce le versioni <= 1.2.2 del tema WordPress “Agenzia Au Pair – Babysitting & Nanny” è stata divulgata pubblicamente (CVE-2026-27098). Questo problema consente a attaccanti non autenticati di inviare dati serializzati creati ad arte che possono attivare una deserializzazione di oggetti PHP non sicura, con impatti che vanno dalla manipolazione della logica del sito e denial-of-service fino a potenziali esecuzioni di codice remoto in alcuni ambienti. Se utilizzi questo tema (o varianti di esso), devi agire immediatamente. Di seguito esaminiamo i dettagli tecnici, la valutazione del rischio, la rilevazione, le mitigazioni (inclusi regole WAF e patch virtuali), i passaggi di recupero e le raccomandazioni di indurimento a lungo termine dalla prospettiva di WP-Firewall — un fornitore di sicurezza WordPress e WAF.

1 — Cosa è successo (versione breve)

Il 4 marzo 2026 un record pubblico (CVE-2026-27098) ha documentato una vulnerabilità di deserializzazione di dati non attendibili nelle versioni <= 1.2.2 del tema WordPress “Agenzia Au Pair – Babysitting & Nanny”. Essa consente a attaccanti non autenticati di inviare payload PHP serializzati a un endpoint del tema che non gestisce in modo sicuro la deserializzazione, portando a rischi di iniezione di oggetti.

Perché è importante: La deserializzazione di oggetti PHP, quando eseguita su dati controllati dall'attaccante, è un percorso ben noto verso conseguenze gravi perché la deserializzazione di oggetti PHP può attivare metodi magici, eseguire codice arbitrario o consentire la manipolazione della logica del programma. Sfruttamenti come questo spesso si intensificano rapidamente e sono inclusi negli strumenti di sfruttamento automatizzati quando vengono divulgati pubblicamente — aumentando l'urgenza di mitigare.

Baseline CVSS: 8.1 (Alto). Privilegio richiesto: Non autenticato.

2 — Contesto tecnico: cos'è PHP unserialize / iniezione di oggetti?

PHP supporta la serializzazione di valori complessi (array, oggetti) in stringhe con serialize(), e il ripristino con unserialize(). Quando unserialize() ricostruisce oggetti, PHP può chiamare metodi magici degli oggetti (come __wakeup, __destruct) o attivare percorsi di codice all'interno della classe che possono modificare lo stato, eseguire SQL, includere file o chiamare operazioni simili a eval — a seconda di come è stata implementata la classe.

Se un'applicazione chiama unserialize() su input controllato dall'attaccante (o su valori derivati da input dell'attaccante), un attaccante può creare stringhe serializzate che istanziano classi con valori di proprietà forniti dall'attaccante. Se quelle proprietà di classe vengono poi utilizzate in modo pericoloso (percorsi di file, eval, query di database o inclusioni dinamiche), un attaccante può ingannare l'applicazione in comportamenti pericolosi. Questa classe di problemi è chiamata “iniezione di oggetti” o “deserializzazione di dati non attendibili”.

Nei codici sorgente di WordPress, questi rischi spesso si presentano quando temi/plugin aggiungono endpoint AJAX personalizzati, accettano meta serializzati tramite campi di modulo, o deserializzano valori dei cookie senza restrizioni.

3 — Specifiche per CVE-2026-27098 (cosa è stato segnalato)

  • Un endpoint del tema accetta input che viene passato a unserialize() di PHP senza una corretta validazione o restrizioni sulle classi consentite.
  • Poiché l'input non è autenticato, attaccanti remoti possono inviare payload serializzati creati ad arte.
  • Gli impatti potenziali elencati dal segnalatore includono:
    • Manipolazione della logica del tema o di WordPress (ad es., impostazioni modificate).
    • Negazione del servizio (attraverso l'esaurimento delle risorse durante la creazione dell'oggetto).
    • Esecuzione di codice remoto (dipendente dall'ambiente — alcuni metodi di classe possono eseguire comandi di sistema, includere file remoti o chiamare eval).
  • La divulgazione pubblica è avvenuta con il record CVE e il relativo articolo il 4 marzo 2026.

Non riprodurremo qui i payload di exploit. Le indicazioni di seguito sono focalizzate sulla rilevazione e sulla mitigazione sicura.

4 — Valutazione immediata del rischio per i proprietari del sito

  • Se il tuo sito utilizza il tema interessato (≤ 1.2.2), sei ad alto rischio se:
    • Il tema è attivo e il punto finale vulnerabile è raggiungibile da Internet.
    • Il tuo sito consente invii non autenticati ai punti finali del tema (comune con percorsi AJAX, punti finali REST o moduli).
  • Se il tema è presente ma non attivo, il rischio è ridotto ma non eliminato: alcuni temi lasciano i punti finali accessibili anche quando non attivi, e i file residui possono ancora essere mirati su siti mal configurati.
  • Poiché si tratta di un problema non autenticato e pubblico, gli strumenti di scansione automatizzati probabilmente lo prenderanno di mira rapidamente. Il volume degli attacchi può aumentare rapidamente nelle ore o nei giorni successivi alla divulgazione.

Priorità: Tratta i siti interessati come incidenti urgenti ad alta priorità. Applica le mitigazioni immediatamente.

5 — Azioni immediate (nelle prime 1–4 ore)

  1. Identificare i siti interessati
    • Controlla tutte le installazioni di WordPress che gestisci per il nome/versione del tema. Cerca nomi di cartelle del tema che corrispondono allo slug del tema.
    • Dall'amministrazione di WordPress: Aspetto → Temi → conferma il tema attivo.
    • Dal filesystem: wp-content/themes//style.css l'intestazione contiene il nome e la versione del tema.
  2. Metti il tuo sito in una postura protettiva
    • Se puoi mettere rapidamente il sito offline (pagina di manutenzione) senza interrompere i processi aziendali critici, considera di farlo fino a quando le mitigazioni non sono in atto.
    • Se non è possibile, assicurati che le protezioni WAF siano attive (vedi WAF/patching virtuale di seguito).
  3. Blocca il/i punto/i finale vulnerabile/i
    • Se puoi identificare il/i percorso/i del punto finale utilizzato/i dal tema per accettare dati, blocca immediatamente le richieste a quei percorsi a livello di webserver o WAF.
    • Esempio: un percorso AJAX del tema /wp-admin/admin-ajax.php?action=… o un percorso personalizzato come /wp-content/themes/aupair/endpoint.php — blocca o restituisci 403.
  4. Abilita il monitoraggio e gli avvisi
    • Attiva il logging avanzato per errori web e PHP.
    • Aumenta la retention per i log in modo da poter indagare su eventuali attività sospette in arrivo.
  5. Backup (istantanea pulita)
    • Esegui ora un backup di file e database (non fare affidamento sui backup creati dopo il compromesso).
    • Archivia il backup offline o in una posizione non accessibile dal sito.
  6. Aggiorna quando è disponibile una patch
    • Se lo sviluppatore del tema rilascia una versione patchata, applicala solo dopo aver effettuato i backup e testato la patch in staging, se possibile.
    • Se non esiste ancora una patch ufficiale, fai affidamento su patching virtuale e misure di indurimento.

6 — Guida al WAF / Patching virtuale (come WP-Firewall aiuta)

Come fornitore di WAF per WordPress, la nostra mitigazione immediata raccomandata è applicare il patching virtuale: crea regole che rilevano e bloccano payload serializzati dannosi e altri schemi di richiesta indicativi prima che raggiungano PHP.

Importante: Il patching virtuale guadagna tempo fino a quando una patch del fornitore è disponibile e testata. Non è un sostituto per l'aggiornamento del codice quando esiste una patch del fornitore.

Di seguito sono riportati esempi di regole WAF sicure (generiche) che puoi applicare nel tuo firewall web o WAF host. Queste sono intenzionalmente conservative per evitare di bloccare il traffico legittimo; testa prima di un'implementazione ampia.

A. Regex generico per abbinare la notazione degli oggetti serializzati PHP:
– Gli oggetti PHP serializzati seguono schemi come O::””::{…
– Un esempio di regex conservativa (PCRE):

O:\d+:"[^"]+":\d+:{

– Regola di blocco (pseudocodice):
– Se POST o il corpo contiene un abbinamento per O:\d+:"[^"]+":\d+:{ → blocca / sfida.
– Avvertenza: alcune app legittime potrebbero inviare dati serializzati; utilizza regole a portata ristretta che mirano prima agli endpoint sospettati di vulnerabilità.

B. Rileva payload serializzati nella stringa di query o POST su endpoint esposti:

/(?:O:\d+:"[^"]+":\d+:{|s:\d+:"[^"]+";s:\d+:"[^"]+";)/i

C. Blocca indicatori comuni di iniezione di oggetti sospetti:
– I modelli tipici spesso includono: __wakeup, __destruct, __dormire, gzinflate, valutare, base64_decode, E file_put_contents.
– Logica della regola: se i dati serializzati contengono metodi magici o nomi di funzioni sospette → blocca.

Esempio di regola ModSecurity (illustrativa; adatta alla tua piattaforma):

SecRule REQUEST_BODY "@rx O:\d+:\"[^\"]+\":\d+:\{" \"

D. Limitazione della velocità e sfida
– Per qualsiasi POST non autenticato che corrisponde a modelli serializzati, presenta una sfida (CAPTCHA) o limita la velocità piuttosto che un blocco rigido per la prima rilevazione; escalare a blocco se ripetuto.

E. Whitelisting degli endpoint
– Dove possibile, limita l'accesso agli endpoint di amministrazione (o agli endpoint del tema) per IP (per utenti amministratori), richiedendo autenticazione, o restituisci 403 per accesso anonimo.

F. Applicazione del tipo di contenuto
– Richiedi intestazioni Content-Type (application/json o application/x-www-form-urlencoded) e blocca le richieste con tipi di contenuto sospetti o payload serializzati grezzi dove non è previsto.

G. Esempio di regola nginx (utilizzando lua o ngx_re):
– Implementa un controllo regex in NGINX per restituire 403 quando il corpo del POST contiene marcatori di oggetti serializzati su endpoint pubblici.

Note sui falsi positivi:
– Alcuni plugin/temi legittimi potrebbero inviare stringhe serializzate internamente. Mira la regola prima agli endpoint vulnerabili e amplia gradualmente la portata.

Clienti di WP-Firewall: distribuiamo centralmente firme di patch virtuali quando il rischio è alto. Il nostro set di regole includerà modelli ottimizzati, targeting degli endpoint, whitelist per falsi positivi comuni e registrazione per supportare l'indagine.

7 — Mitigazioni a livello di codice sicuro (guida per sviluppatori)

Se mantieni il tema o hai sviluppatori interni, applica immediatamente queste pratiche di codifica sicura:

  1. Rimuovere le chiamate a unserialize() su input controllati dall'attaccante
    • Sostituire con JSON se possibile (json_encode/json_decode).
    • Se devi deserializzare, preferisci json_decode o analizza formati strutturati sicuri.
  2. Se devi usare unserialize(), limita le classi consentite (PHP 7+) 
    <?php;
    • Più sicuro (PHP 7+).
  3. Con l'uso di 'allowed_classes' => false si impedisce l'instanziazione di oggetti: verranno ripristinati solo gli array.
    • Convalida e sanitizza l'input prima di qualsiasi deserializzazione.
    • Assicurati che i dati provengano da una fonte autenticata e autorizzata.
  4. Utilizza controlli rigorosi sul tipo di contenuto e validazione nonce per le richieste AJAX/REST di WordPress.
    • Rimuovi o indurisci i metodi magici __risveglio(), __distruggi(), Evita effetti collaterali in.
    • , e altri metodi magici.
  5. Usa le API di WordPress
    • Usa funzioni di WordPress come wp_verify_nonce(), current_user_can() ove opportuno.
  6. Assicurati che questi metodi non eseguano mai scritture su file, eval, inclusioni remote o chiamate di sistema senza una rigorosa validazione e privilegi.
    • Usa proprietà tipizzate e programmazione difensiva.

Convalida i valori delle proprietà (whitelist) prima dell'uso.

8 — Rilevamento: segni di tentativi di sfruttamento o compromissione

  • Se sospetti tentativi o sfruttamenti riusciti, cerca: O: Log HTTP che mostrano POST con payload serializzati (stringhe contenenti.
  • pattern) contro endpoint pubblici.
  • Nuovi o modificati utenti admin che non hai creato.
  • Eventi programmati imprevisti (cron jobs) o attività (guarda wp_options / cron entries).
  • Errori PHP che fanno riferimento a unserialize, __wakeup, o eccezioni inaspettate nel codice del tema.
  • Modifiche insolite ai file: nuovi file PHP nelle cartelle uploads o tema, o file core/theme modificati.
  • Connessioni in uscita dal server web verso host sconosciuti, o esecuzione di processi insoliti.

Modelli di ricerca (esempi di shell):

# Trova possibili payload serializzati nei log di accesso

Se trovi indicatori di compromissione (IoC), tratta il sito come compromesso: isola, conserva log e backup, e procedi con la risposta all'incidente qui sotto.

9 — Lista di controllo per la risposta all'incidente (cosa fare se trovi segni di compromissione)

  1. Isolare
    • Metti offline il sito interessato o posizionalo dietro una pagina di manutenzione.
    • Blocca gli IP degli attaccanti e isola l'ambiente di hosting se possibile.
  2. Preservare le prove
    • Fai una copia fredda dei file web e del database; cattura log completi con timestamp.
    • Non sovrascrivere i log o rimuovere artefatti prima dell'analisi.
  3. Scansiona e pulisci
    • Usa scanner malware affidabili e revisione manuale per identificare file modificati/aggiunti.
    • Sostituisci i file infetti con copie pulite da fonti verificate (core/theme/plugin).
    • Rimuovi eventuali backdoor o file PHP sconosciuti in uploads, temi e plugin.
  4. Reimposta le credenziali
    • Reimposta le password degli admin di WordPress e qualsiasi credenziale database/FTP/SSH che potrebbe essere compromessa.
    • Revoca le chiavi API e riemetti segreti dove possibile.
  5. Ricostruisci se incerto
    • Se la pulizia è incompleta o non hai fiducia, ricostruisci il sito da uno snapshot pulito o da installazioni fresche e backup puliti ripristinati.
  6. Applicare il rafforzamento
    • Applicare tutte le raccomandazioni in questa guida (regole WAF, aggiornare tema/plugin, disabilitare le modifiche ai file).
    • Ruotare eventuali segreti, token o certificati che potrebbero essere stati esposti.
  7. Revisione post-incidente
    • Determinare la causa principale, la cronologia e l'ambito dell'accesso ai dati.
    • Segnalare agli stakeholder e ai clienti se richiesto da regolamenti o politiche.

Se hai bisogno di assistenza pratica, consulta uno specialista della sicurezza esperto nella risposta agli incidenti di WordPress.

10 — Mitigazioni e rafforzamenti a lungo termine (oltre alla correzione immediata)

  • Mantenere aggiornato il core di WordPress, i temi e i plugin. Rimuovere temi/plugin non utilizzati.
  • Applicare il principio del minimo privilegio: limitare gli utenti admin; utilizzare l'accesso basato sui ruoli.
  • Disabilitare la modifica dei file PHP in wp-admin: 
    <?php;
  • Utilizzare il monitoraggio dell'integrità dei file: rilevare modifiche nei file core/tema.
  • Implementare l'autenticazione a più fattori (MFA) per gli account amministratore.
  • Bloccare l'accesso diretto a wp-config.php e ad altri file sensibili tramite regole del server.
  • Limitare l'accesso a wp-admin per IP o richiedere autenticazione a livello di server dove possibile.
  • Scansionare regolarmente per vulnerabilità e iscriversi a un feed di intelligence sulle vulnerabilità.
  • Garantire un hosting sicuro: PHP aggiornato, permessi di file sicuri e servizi aperti minimi.

11 — Come un WAF gestito / programma di patching virtuale ti aiuta ora

Un WAF gestito che comprende il comportamento dell'applicazione WordPress può:

  • Distribuire rapidamente patch virtuali mirate per bloccare i tentativi di sfruttamento prima che il fornitore del tema rilasci una patch ufficiale.
  • Regola le firme per ridurre al minimo i falsi positivi.
  • Fornisci avvisi dettagliati e registri di traffico per tentativi di sfruttamento sospetti.
  • Limita, sfida o blocca le richieste non autenticate che corrispondono ai modelli di sfruttamento.
  • Fornisci indicazioni per la risoluzione e tempistiche per le patch.

Se non hai un WAF gestito in atto, considera di aggiungere immediatamente protezioni a livello di applicazione. La patch virtuale è il modo più veloce per proteggere il traffico senza modificare l'applicazione.

12 — Esempi di firme WAF sicure e considerazioni di regolazione

Di seguito sono riportate regole illustrative per i team che operano mod_security o WAF a livello di host. Usale come modelli — adatta per il tuo ambiente e testa a fondo.

  1. Blocca POST con oggetto serializzato su endpoint pubblici: 
    SecRule REQUEST_METHOD "POST" "phase:2,t:none,log,chain,deny,id:9201001,msg:'Blocca oggetto PHP serializzato nel corpo POST'"
  2. Sfida le richieste con payload serializzati (restituisci 403 per i trasgressori ripetuti):
    – Implementa una risposta graduata: CAPTCHA -> 429 -> 403.
  3. Limita l'accesso a admin-ajax:
    – Consenti richieste admin-ajax solo quando includono nonce validi e limita agli utenti autenticati dove possibile.

Suggerimenti per la regolazione:

  • Inizia con la modalità solo registrazione per catturare falsi positivi.
  • Crea una lista bianca per l'uso serializzato legittimo noto (interazioni di plugin interne).
  • Monitora i registri per IP unici, regola di conseguenza.

13 — Cosa aspettarsi dagli aggiornamenti dei fornitori di temi

  • Quando un fornitore di temi rilascia una patch ufficiale, rivedi il changelog e applica prima su staging.
  • Dopo l'aggiornamento, esegui test funzionali, esegui scansioni di sicurezza e conferma che le regole WAF siano ancora valide.
  • Se non è disponibile alcuna patch, mantieni le regole WAF e il monitoraggio; considera di rimuovere o sostituire il tema se non può essere protetto.

14 — Indicatori dei tentativi di sfruttamento da monitorare nelle prossime 72 ore

  • Aumento improvviso del traffico verso percorsi correlati al tema.
  • Molte richieste POST contenenti O:\d+:" stringhe.
  • Nuovi errori nei log PHP riguardanti unserialize() o istanziazione di classi oggetto inaspettate.
  • Modifiche amministrative inspiegabili (opzioni tema, modifiche all'aspetto, modifiche ai menu).
  • Nuovi file PHP negli upload — spesso gli attaccanti posizionano web shell negli upload per mantenere l'accesso.

15 — Lista di controllo per uno sviluppo sicuro per gli autori di temi (se sei uno sviluppatore)

  • Non chiamare mai unserialize() su input non affidabili.
  • Preferire JSON per dati strutturati client-server.
  • Utilizzare nonce e controlli di autorizzazione di WordPress su tutti gli endpoint.
  • Evitare operazioni pericolose nei metodi magici.
  • Adottare analisi statica e test di sicurezza automatizzati in CI/CD.
  • Fornire un contatto per la divulgazione delle vulnerabilità fuori banda e una timeline per le patch.

16 — Esempio di snippet WordPress per una decodifica dei dati più sicura (amichevole per gli sviluppatori)

Se ti aspetti dati strutturati forniti dal client, utilizza JSON e validazione rigorosa:

<?php;

Se devi gestire dati serializzati a causa di vincoli legacy, imponi il divieto di classi:

<?php

17 — Impatto aziendale e considerazioni sulla conformità

  • Esposizione dei dati: cerca segni di esfiltrazione dei dati se ospiti PII.
  • SEO e reputazione: i siti compromessi vengono spesso inseriti nella lista nera dai motori di ricerca e dai servizi email.
  • Normativa: le violazioni che riguardano dati personali possono attivare obblighi di notifica (GDPR, CCPA, ecc.).
  • Costi: la rimediazione, i tempi di inattività e i potenziali costi legali possono superare di gran lunga l'investimento preventivo.

18 — Come WP-Firewall può aiutare immediatamente

Presso WP-Firewall gestiamo un firewall per applicazioni WordPress dedicato e una capacità di risposta agli incidenti su misura per temi e plugin WordPress. Il nostro approccio WAF gestito si concentra su:

  • Patch virtuali rapide per bloccare i tentativi di sfruttamento (regole di firma + comportamentali).
  • Protezione mirata degli endpoint e politiche di negazione per impostazione predefinita per payload sospetti.
  • Ottimizzazione continua per bilanciare la sicurezza e i modelli di traffico legittimo.
  • Supporto post-incidente e linee guida per la pulizia.

Spingiamo firme ottimizzate attraverso la nostra flotta quando viene divulgata una vulnerabilità ad alto rischio come CVE-2026-27098, in modo che i nostri clienti ottengano una protezione rapida senza dover aspettare una patch del fornitore.

Proteggi il tuo sito ora — Inizia con il piano gratuito di WP-Firewall

Se desideri una protezione immediata e gestita che puoi configurare in pochi minuti, iscriviti oggi al piano Basic (Gratuito) di WP-Firewall: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Il nostro piano Basic (Gratuito) include:

  • Copertura essenziale del firewall gestito e un WAF a livello di applicazione.
  • Protezione della larghezza di banda illimitata e uno scanner malware.
  • Mitigazioni per i rischi OWASP Top 10 applicate immediatamente.

Questo piano è ideale per mitigare il rischio immediato da vulnerabilità come CVE-2026-27098 mentre pianifichi aggiornamenti e rimedi. Se hai bisogno di rimozione automatica del malware o controlli IP avanzati, i nostri livelli a pagamento aggiungono pulizia automatica e funzionalità di gestione aggiuntive.

19 — Esempio di cronologia per un flusso di lavoro di mitigazione responsabile

  • T+0 a T+1 ora: Identificare le installazioni interessate, abilitare le regole WAF protettive (patch virtuali), eseguire backup, aumentare il logging.
  • T+1 a T+6 ore: Monitorare il traffico sospetto, ottimizzare le firme WAF, bloccare gli IP malevoli identificati, eseguire scansioni dei file.
  • T+6 a T+24 ore: Se ci sono prove di compromissione, avviare la risposta all'incidente (isolare, preservare le prove, pulire o ricostruire).
  • T+24 a T+72 ore: Applica la patch del fornitore se disponibile, testa e rimuovi i vincoli temporanei del WAF solo dopo aver confermato l'efficacia della patch.
  • In corso: Indurimento, monitoraggio e revisione della sicurezza.

20 — Raccomandazioni finali (cosa dovresti fare ora)

  1. Se il tuo sito utilizza il tema vulnerabile (≤ 1.2.2), assumi un alto rischio e agisci ora.
  2. Se hai un WAF gestito, assicurati che la patch virtuale sia attiva; se non lo hai, attivane uno immediatamente o almeno blocca i punti finali sospetti.
  3. Fai un backup e attiva il logging prima di apportare modifiche.
  4. Cerca nei log payload serializzati sospetti e segni di compromissione.
  5. Se non sei sicuro o trovi segni di sfruttamento, coinvolgi un esperto di risposta agli incidenti.

Appendice A — Checklist di riferimento rapido

  • Identifica la versione del tema (Aspetto → Temi o style.css).
  • Esegui immediatamente il backup dei file e del DB.
  • Attiva le regole WAF per bloccare i modelli di oggetti serializzati.
  • Blocca o limita l'accesso pubblico ai punti finali del tema.
  • Scansiona per IoC: nuovi utenti admin, file sconosciuti, modifiche cron.
  • Sostituisci o applica la patch al tema una volta che esiste una correzione ufficiale.
  • Indurire WP: DISALLOW_FILE_EDIT, MFA, account admin limitati.
  • Considera il piano WP-Firewall Basic per una protezione gestita immediata: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se gestisci più siti e hai bisogno di aiuto personalizzato, il team di WP-Firewall può assisterti con il dispiegamento immediato delle regole e la pianificazione della risposta agli incidenti. Sappiamo che queste finestre di divulgazione si muovono rapidamente — agisci in modo rapido e metodico.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™