Vulnerabilità XSS nel plugin Custom Twitter Feeds//Pubblicato il 2026-05-13//CVE-2026-6177

TEAM DI SICUREZZA WP-FIREWALL

Custom Twitter Feeds Vulnerability

Nome del plugin Feed Twitter personalizzati (Widget Tweet)
Tipo di vulnerabilità XSS
Numero CVE CVE-2026-6177
Urgenza Medio
Data di pubblicazione CVE 2026-05-13
URL di origine CVE-2026-6177

Urgente: XSS memorizzato non autenticato in “Feed Twitter personalizzati (Widget Tweet)” — Cosa devono fare ora i proprietari di siti WordPress

Data: 13 maggio 2026
CVE: CVE-2026-6177
Plugin interessato: Feed Twitter personalizzati (Widget Tweet / Widget X Feed) — versioni ≤ 2.5.4
Corretto in: 2.5.5
Gravità: Medio (CVSS 7.1) — Cross-Site Scripting (XSS) memorizzato non autenticato

Come team di sicurezza di WordPress focalizzato sulla protezione dei siti web dalle minacce del mondo reale, pubblichiamo questo avviso per aiutare i proprietari di siti, gli sviluppatori e gli amministratori a comprendere il rischio posto dalla vulnerabilità nel plugin Feed Twitter personalizzati, come gli attaccanti possono sfruttarla e—soprattutto—come rimediare e recuperare se il tuo sito potrebbe essere stato colpito.

Questa vulnerabilità è un XSS memorizzato (persistente) che può essere attivato senza autenticazione, il che significa che un attaccante non ha bisogno di accedere per iniettare un payload malevolo. L'XSS memorizzato è particolarmente pericoloso perché può persistere nel contenuto del sito e colpire più visitatori, inclusi gli amministratori.

Di seguito forniamo indicazioni chiare e praticabili: cosa fare ora, come rilevare segni di compromissione e come indurire il tuo sito contro la stessa classe di attacchi in futuro.


TL;DR — Azioni Immediate

  1. Aggiorna il plugin Feed Twitter personalizzati alla versione 2.5.5 o successiva immediatamente. Questo è il passo più importante.
  2. Se non puoi aggiornare immediatamente, disabilita il plugin o rimuovi eventuali widget/codici brevi attivi che dipendono da esso.
  3. Scansiona il tuo sito per script iniettati e segni di compromissione (indicazioni per la rilevazione di seguito).
  4. Ruota le password degli amministratori, reimposta le sessioni e forzare il logout per tutti gli utenti con privilegi elevati.
  5. Applica regole del Web Application Firewall (WAF) o altri filtri per i payload XSS memorizzati mentre applichi la patch.
  6. Se trovi prove di compromissione, segui l'elenco di controllo per la risposta agli incidenti di seguito e ripristina da un backup pulito se necessario.

Qual è la vulnerabilità (in termini semplici)?

Il Cross-Site Scripting (XSS) memorizzato si verifica quando un attaccante è in grado di memorizzare codice di script malevolo sul sito web target (ad esempio, all'interno dei campi del database, del contenuto del widget o del contenuto del feed salvato). Quando un visitatore umano o un amministratore apre una pagina o una vista della dashboard che rende il contenuto memorizzato senza una corretta escape o sanificazione, il browser esegue il codice malevolo. Tale esecuzione può portare a:

  • furto di cookie di sessione o token (che consente il takeover dell'account),
  • reindirizzamento a siti malevoli,
  • installazioni di malware drive-by, o
  • manipolazione del contenuto (spam SEO, link nascosti, avvisi falsi).

Questo specifico problema (CVE-2026-6177) colpisce le versioni del plugin Custom Twitter Feeds fino alla 2.5.4 e può essere attivato da un attaccante senza autenticarsi al sito WordPress. L'attaccante può inviare input creati ad hoc che vengono memorizzati dal plugin e successivamente visualizzati nelle pagine o nei widget del sito, dove il payload viene eseguito nei browser dei visitatori — inclusi gli amministratori — se quelle pagine vengono visualizzate.


Come un attaccante potrebbe sfruttare questo

Gli exploit XSS memorizzati sono attraenti per gli attaccanti perché possono fornire attacchi persistenti che colpiscono molti visitatori. Gli scenari tipici di sfruttamento per questa vulnerabilità del plugin includono:

  • L'attaccante crea un tweet o un'entrata del feed malevola che contiene tag script o altri payload eseguibili e trova un modo per iniettarlo nel contenuto memorizzato del plugin.
  • Il plugin memorizza quel contenuto nel database senza una corretta sanitizzazione o escaping.
  • Quando il widget o il feed viene visualizzato sul sito web (front-end) o nell'area admin (se le anteprime sono consentite), lo script dell'attaccante viene eseguito nel contesto dell'origine del sito.
  • Se un amministratore visualizza la pagina infetta nel dashboard, l'attaccante può tentare di rubare i cookie dell'amministratore, creare nuovi utenti amministratori, piantare backdoor o attivare azioni aggiuntive tramite l'interfaccia admin.

Poiché la vulnerabilità è non autenticata, un attaccante esterno può tentare di iniettare payload ripetutamente fino a quando non ha successo. Questo rende il problema di alta priorità per i siti che utilizzano le versioni del plugin interessate.


Chi dovrebbe essere più preoccupato?

  • Siti che utilizzano il plugin Custom Twitter Feeds / Tweets Widget (≤ 2.5.4).
  • Siti in cui i dati del feed del plugin sono incorporati in pagine pubbliche o dove gli amministratori visualizzano in anteprima i feed all'interno di wp-admin.
  • Siti con più utenti, specialmente dove alcuni utenti hanno privilegi elevati.
  • Siti ad alto traffico e siti che si basano sulla reputazione (ad es., e-commerce, abbonamenti, finanziari, notizie) — perché lo sfruttamento può essere moltiplicato tra i visitatori.

Rilevamento: Come controllare se sei stato preso di mira o infettato

Inizia con controlli mirati e non distruttivi. L'obiettivo è trovare segni di script iniettati all'interno del contenuto memorizzato. Usa i seguenti controlli come punto di partenza.

Importante: Lavora sempre su una copia o dopo aver effettuato un backup. Se trovi codice iniettato, conserva le prove (log, righe del database) per l'indagine sugli incidenti.

  1. Cerca nel database tag script e modelli sospetti
    Usa WP-CLI o query SQL dirette (sostituisci lastra con il tuo prefisso di tabella):

    WP-CLI:

    • Cerca post e pagine:
      query wp db "SELEZIONA ID, post_title DA wp_posts DOVE post_content COME '%
    • Opzioni di ricerca e widget_text:
      wp db query "SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%<script%';"
    • Cerca i meta post:
      query wp db "SELECT post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%

    SQL diretto (esempio per MySQL):

    • SELECT ID, post_title FROM wp_posts WHERE post_content LIKE ‘%<script%’;
    • SELECT option_name FROM wp_options WHERE option_value LIKE ‘%<script%’;
    • SELECT post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE ‘%<script%’;

    Cerca anche payload URL-encoded come %3Cscript%3E, javascript:, unerrore=, O <img src=x onerror=.

  2. Ispeziona il contenuto del widget
    • Aspetto → Widget → controlla i widget di testo o i widget HTML personalizzati per script o payload iframe inaspettati.
    • Alcuni plugin memorizzano le configurazioni dei widget all'interno opzioni_wp. Cerca lì anomalie.
  3. Controlla per avvisi o reindirizzamenti amministrativi insoliti
    • Se gli amministratori segnalano di essere stati reindirizzati dalle pagine del dashboard, o di vedere popup inaspettati, dai priorità al controllo delle pagine rivolte agli amministratori e degli endpoint di rendering in anteprima.
  4. Controlla i log di accesso e di errore
    • Cerca richieste POST o richieste GET con parametri di query sospetti che includono <script o modelli XSS tipici.
    • Identifica gli IP dei client e ripeti le richieste da fonti insolite.
  5. Scansiona i file per codice iniettato
    • Alcuni attaccanti iniettano backdoor nei file PHP dopo un'esploitazione riuscita. Esegui una scansione dell'integrità dei file o utilizza uno scanner di malware (come lo scanner incluso con WP-Firewall o altri strumenti di rilevamento) per trovare file sospetti con valutazione(), base64_decodifica(), shell_exec(), o codice offuscato.
  6. Cerca nuovi o modificati utenti amministratori
    • wp user lista — controlla per account inaspettati con ruoli elevati (amministratore o editore).

Se viene trovata qualcosa di sospetto: non eliminare semplicemente le voci; conserva copie per l'indagine e poi procedi con la pulizia.


Lista di controllo per la remediation immediata (l'ordine è importante)

  1. Aggiorna il plugin alla versione 2.5.5 (o successiva) — fallo prima se possibile. Questa è la correzione ufficiale dell'autore del plugin.
  2. Se non puoi aggiornare immediatamente, disattiva temporaneamente il plugin Custom Twitter Feeds e rimuovi eventuali pagine o widget che rendono il suo contenuto.
  3. Se rilevi script iniettati:
    • Esegui un backup completo (database + file) e isolalo offline per l'indagine.
    • Esporta il contenuto sospetto come prova.
    • Rimuovi le voci dannose (con attenzione) da widget, post, opzioni o dati memorizzati nei plugin.
  4. Ruota le credenziali di amministratore e costringi tutti gli utenti a ri-autenticarsi:
    • Cambiare le password per tutti gli account amministratore.
    • Reimposta eventuali chiavi API o token OAuth che potrebbero essere utilizzati da integrazioni social.
    • Invalidare le sessioni (WP-Firewall o plugin possono distruggere forzatamente le sessioni).
  5. Scansiona l'intero sito per webshell e backdoor:
    • Cerca nuovi file PHP in uploads, wp-includes o cartelle di plugin/temi.
    • Controlla eventuali attività pianificate sospette (cron).
  6. Indurire l'accesso durante l'indagine:
    • Limita wp-admin a IP noti (se possibile), o mettilo dietro un controllo di accesso/password.
    • Abilita l'autenticazione a due fattori (2FA) per gli account admin.
  7. Se la compromissione è confermata, considera il rollback:
    • Se hai un backup pulito da prima dell'intrusione, ripristina da quel backup dopo aver applicato patch e indurito.
  8. Monitora e valida:
    • Monitora i log di accesso e i log WAF per tentativi di exploit e blocca IP o modelli offensivi.
    • Riesamina il sito dopo la pulizia per garantire che le minacce siano rimosse.

Come pulire in modo sicuro XSS memorizzato (passaggi dettagliati)

Pulire XSS memorizzato significa rimuovere il payload dannoso dal database assicurandosi di non distruggere contenuti legittimi.

  1. Identifica tutte le voci interessate utilizzando le query di rilevamento sopra.
  2. Esporta le righe interessate (per audit e prove) prima di apportare modifiche.
  3. Pulisci le voci rimuovendo i tag script o le varianti codificate in URL. Esempi:
    • Sostituzione sicura WP-CLI:
      wp search-replace '<script' '' --skip-columns=guid --precise --dry-run

      Quando sei sicuro, rimuovi --dry-run per applicare le modifiche. Fai attenzione: la ricerca e sostituzione è potente.

    • Pulizia manuale:
      • Accedi al database (phpMyAdmin, Adminer) ed edita le righe problematiche, rimuovendo i blocchi di script.
      • Per il contenuto del widget in opzioni_wp, individua il nome_opzione per il widget (ad es., widget_text) ed edita con attenzione il valore serializzato. Se modifichi le stringhe serializzate, assicurati che le lunghezze degli array e le lunghezze serializzate rimangano corrette; altrimenti romperai i widget. Utilizzare WP-CLI o l'interfaccia del plugin è più sicuro.
  4. Se più voci sono interessate e la pulizia manuale è impraticabile, considera di ripristinare un backup noto e buono, quindi aggiorna il plugin e riapplica le altre modifiche necessarie.
  5. Dopo la pulizia:
    • Esegui una scansione su tutto il sito.
    • Verifica contenuti e funzionalità.
    • Monitora il traffico e i log per assicurarti che non si verifichino reiniezioni.

Se non sei sicuro, coinvolgi un professionista della sicurezza: una pulizia impropria può lasciare meccanismi di persistenza residui.


Raccomandazioni per l'indurimento per prevenire problemi simili

Lo XSS memorizzato ha successo comunemente a causa di una scarsa sanitizzazione dell'input e di un'errata escape dell'output. Come proprietario o sviluppatore del sito, applica le seguenti difese:

  1. Mantieni tutto aggiornato
    • Core di WordPress, tutti i plugin e i temi. Applica gli aggiornamenti in un ambiente di test prima di distribuirli in produzione, se possibile.
  2. Principio del privilegio minimo
    • Rimuovere o ridurre il numero di utenti amministratori. Dare solo la capacità necessaria.
    • Disabilita non filtrato_html per ruoli non amministrativi (questa capacità consente di pubblicare HTML e script raw).
  3. Utilizzare un WAF
    • Un Web Application Firewall accuratamente sintonizzato può bloccare i payload XSS comuni e i tentativi di sfruttamento, specialmente durante la finestra tra la divulgazione e il rilascio della patch.
    • Implementare regole basate su pattern per i tag script, i gestori di eventi (onerror, onclick), gli URI javascript: e le varianti codificate in URL.
  4. Politica di sicurezza dei contenuti (CSP)
    • Implementare un CSP rigoroso per limitare da dove possono essere caricati o eseguiti gli script. Ad esempio, vietare gli script inline e consentire solo script da domini fidati.
    • Esempio di intestazione CSP minima:
      Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.example.com; object-src 'none'; frame-ancestors 'none';
    • Nota: Introdurre CSP richiede test per garantire che non interrompa il comportamento legittimo del sito.
  5. Disabilitare le funzionalità di contenuto non sicuro
    • Evitare di utilizzare plugin che consentono HTML illimitato da fonti non affidabili. Se hai bisogno di contenuti ricchi, utilizzare librerie di sanificazione (ad es., KSES) o editor fidati.
  6. Sanitizza e scappa
    • Sviluppatori di temi e plugin: sanificare tutti gli input (sanitize_text_field, wp_kses_post) e sfuggire le uscite (esc_html, esc_attr, wp_kses_post) a seconda del contesto.
  7. Limitare l'ingestione di feed di terze parti
    • Se importi feed o contenuti di terze parti, assicurati di sanificarli all'importazione e trattarli come non affidabili.
  8. Monitorare e auditare
    • Abilita il monitoraggio dell'integrità dei file e scansioni di sicurezza periodiche.
    • Monitorare i log di accesso per schemi sospetti.

Mitigazioni a livello di WAF e server (regole pratiche che puoi applicare ora)

Sebbene gli aggiornamenti dei plugin siano la migliore soluzione, le regole WAF e i filtri a livello di server sono soluzioni efficaci temporanee. Di seguito sono riportate regole pratiche ed esempi di regex che un WAF o un proxy inverso possono utilizzare per rilevare e bloccare i payload XSS. Questi dovrebbero essere testati in staging prima di applicarli in produzione per evitare falsi positivi.

  1. Bloccare le richieste contenenti schemi di payload sospetti nelle stringhe di query o nei corpi POST:
    (<|%3C)\s*script\b|%3Cscript%3E|onerror\s*=|onload\s*=|javascript\s*:

    Regola pseudo-WAF (concettuale):

    If request (GET or POST) contains regex (?i)(%3C|<)\s*script\b|javascript:|on(error|load)= allora blocca o sfida.
  2. Regole ristrette per endpoint specifici del plugin

    Identifica gli endpoint del plugin o le rotte AJAX utilizzate dal plugin (ad es., qualsiasi endpoint che accetta contenuti di feed o configurazione di widget) e applica un filtraggio più rigoroso per quelle rotte. Ad esempio, blocca qualsiasi invio a un endpoint widget/update che contiene <script O javascript:.

  3. Blocca contenuti pericolosi nei caricamenti

    Non consentire file con doppie estensioni (ad es., filename.php.jpg) e scansiona i caricamenti per contenuti eseguibili.

  4. Esempio Nginx (blocco di base di script codificati nella stringa di query)
    location / {
        if ($query_string ~* "(%3C|<)\s*script") {
  5. Protezioni dell'intestazione di risposta
    • X-Content-Type-Options: nosniff
    • X-Frame-Options: NEGA
    • Referrer-Policy: no-referrer-when-downgrade (o più rigorosa)
    • Content-Security-Policy: (come discusso sopra)

Importante: I WAF non sono un sostituto per le patch. Riducono il rischio ma non possono garantire protezione contro tutte le variazioni del payload.


Lista di controllo per la risposta agli incidenti: passo dopo passo

Se confermi lo sfruttamento o forti indicatori di compromissione, segui questo piano strutturato:

  1. Isolare: Metti il sito in modalità manutenzione o disconnettilo se necessario. Prevenire ulteriori danni agli utenti.
  2. Preserva: Fai uno snapshot completo (file + database). Conserva i log per almeno 90 giorni.
  3. Triaggio: Identifica i punti di ingresso, i componenti interessati e l'ambito dell'iniezione.
  4. Rimedia:
    • Patching la vulnerabilità (aggiorna il plugin a 2.5.5).
    • Rimuovi i payload dannosi e qualsiasi backdoor aggiunta.
    • Ruota le credenziali (account admin, credenziali DB, chiavi API, token OAuth).
    • Indurire il sito (regole WAF, CSP, limitare l'accesso degli amministratori).
  5. Validare: Riesaminare il sito, controllare i log per tentativi di reiniezione e convalidare la funzionalità.
  6. Ripristina: Se la pulizia è incerta o vengono trovate prove di compromissioni più profonde, ripristinare da un backup pulito precedente alla data di intrusione.
  7. Azioni post-incidente:
    • Notificare le parti interessate e gli utenti dove necessario.
    • Condurre un'analisi delle cause radice e documentare gli insegnamenti.
    • Implementare un monitoraggio continuo e pianificare audit di follow-up.

Se non si dispone della capacità interna, considerare di ingaggiare un servizio professionale di risposta agli incidenti.


Strategia a lungo termine: gestione delle vulnerabilità per i siti WordPress.

  1. Inventario: Mantenere un inventario aggiornato di tutti i plugin e temi con numeri di versione. Dare priorità ai plugin di terze parti ad alto rischio (feed social, importatori di file, editor).
  2. Frequenza delle patch: Iscriversi a avvisi di sicurezza e impostare una politica per l'applicazione degli aggiornamenti, inclusi i periodi di emergenza per vulnerabilità critiche.
  3. Messa in scena: Testare gli aggiornamenti in un ambiente di staging prima di implementarli in produzione.
  4. Aggiornamenti automatici: Dove possibile, abilitare aggiornamenti automatici per plugin e core a basso rischio; riservare aggiornamenti manuali per componenti ad alto rischio o pesantemente personalizzati.
  5. Backup: Mantenere backup automatizzati, offsite, con frequenza almeno giornaliera e retention che supporti un rapido ripristino.
  6. Monitoraggio: Registrare e monitorare accessi degli amministratori, modifiche ai file e modifiche ai contenuti delle pagine che contengono HTML.
  7. Riduzione del rischio: Utilizzare principi di minimo privilegio, 2FA e politiche di password forti.

Esempi pratici di rilevamento e pulizia (appendice).

Questi esempi sono punti di partenza — adattali al tuo ambiente.

  • Ricerca WP-CLI per tag script:
    query wp db "SELEZIONA ID, post_title DA wp_posts DOVE post_content COME '%
  • WP-CLI cerca sequenze di script codificate nelle opzioni:
    wp db query "SELECT option_id, option_name FROM wp_options WHERE option_value LIKE '%\%3Cscript\%3E%'"
  • SQL per trovare valori meta sospetti:
    SELECT post_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%onerror=%' OR meta_value LIKE '%javascript:%';
  • Esempio di regex per la regola WAF (non sensibile al maiuscolo):
    (?i)(%3C|<)\s*script\b|on(error|load|click|mouseover)\s*=|javascript\s*:

Quando utilizzi queste query, esegui sempre in sola lettura o --dry-run opzioni prima di modificare qualsiasi cosa.


Domande frequenti

D: Un Web Application Firewall può proteggere completamente il mio sito fino a quando il plugin non viene aggiornato?

R: Un WAF riduce il rischio bloccando payload e modelli di exploit comuni, ma non può garantire protezione contro tutte le varianti di attacco. Applica le regole WAF come mitigazione a breve termine mentre correggi il plugin. La patch è la correzione autorevole.

D: Dovrei rimuovere completamente il plugin?

R: Se non hai bisogno della funzionalità del plugin, rimuoverlo è la scelta più sicura. Se hai bisogno del plugin, aggiornalo prontamente e considera ulteriori indurimenti e monitoraggio.

D: Come faccio a sapere se uno script malevolo è stato eseguito nel browser di un amministratore?

R: Cerca azioni insolite dell'amministratore, nuovi utenti amministratori, contenuti alterati o chiamate API insolite. Controlla la cronologia di navigazione dell'amministratore se possibile e ispeziona i log di accesso per POST sospetti dall'IP dell'amministratore immediatamente prima di eventuali cambiamenti osservati.


Proteggi il tuo sito con una base di difese gestite

La cura preventiva è la migliore strategia. WP-Firewall è stato costruito per fornire ai proprietari di siti un approccio pratico e stratificato: WAF gestito, scansione malware e monitoraggio continuo per ridurre le finestre di esposizione e mitigare tecniche di sfruttamento comuni come XSS memorizzato.

Sappiamo che non ogni sito dispone di un team di sicurezza 24/7. Ecco perché strati semplici — scansione automatica, regole WAF gestite ottimizzate per WordPress e protezioni facili da attivare per i rischi OWASP Top 10 — fanno una grande differenza. Utilizza aggiornamenti del plugin e una buona sicurezza operativa insieme a queste protezioni per i migliori risultati.


Inizia a proteggere il tuo sito WordPress oggi — Piano Gratuito WP-Firewall

Titolo: Inizia rapidamente con il Piano Gratuito WP-Firewall

Se desideri una protezione pratica senza costi iniziali, iscriviti al piano WP-Firewall Basic (Gratuito) su:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Cosa ottieni con il piano Basic Gratuito:

  • Protezione essenziale: firewall gestito su misura per WordPress
  • Larghezza di banda illimitata per WAF e traffico di protezione
  • Scanner malware per individuare payload iniettati e file sospetti
  • Mitigazione per i rischi OWASP Top 10 per ridurre le finestre di sfruttamento
  • Attivazione facile e un percorso di aggiornamento a bassa frizione a Standard o Pro quando hai bisogno di rimozioni automatiche, whitelisting IP e servizi più avanzati

Se stai ancora decidendo, il piano Basic offre protezioni immediate che riducono la probabilità di sfruttamento riuscito di XSS memorizzato — una prima linea di difesa efficace mentre applichi la patch del plugin e completi la tua rimediazione.


Lista di controllo finale (cosa fare subito)

  • Controlla se utilizzi il plugin Custom Twitter Feeds (Tweets Widget); identifica la versione.
  • Se utilizzi la versione ≤ 2.5.4: Aggiorna a 2.5.5 immediatamente. Se non puoi, disattiva il plugin e rimuovi il widget fino a quando non puoi aggiornare.
  • Cerca nel tuo database e nel contenuto del widget tag script e script codificati in URL (vedi le query di rilevamento sopra).
  • Ruota le password di amministratore e forzare il logout di tutte le sessioni. Abilita 2FA.
  • Applica le regole WAF per bloccare i modelli XSS e monitora i tentativi di attacco ripetuti.
  • Esegui una scansione completa del malware e ispeziona eventuali backdoor. Se trovi compromissioni, segui la checklist di risposta agli incidenti.
  • Considera il piano WP-Firewall Basic Free per aggiungere rapidamente un WAF gestito e scansione malware.

Se hai bisogno di assistenza: WP-Firewall offre supporto pratico e guida per i proprietari di siti e le agenzie che vogliono esternalizzare la gestione degli incidenti o richiedono una postura di sicurezza gestita. Il piano Basic Free è un ottimo punto di partenza — puoi abilitare la protezione oggi e aggiornare quando hai bisogno di rimedi automatici e servizi gestiti.

Rimani al sicuro là fuori — tratta ogni feed pubblico e ogni funzionalità di contenuto generato dagli utenti come input non affidabile, e applica la difesa in profondità affinché una singola vulnerabilità non diventi un compromesso a livello di sito.


wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora
!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.