Pluginnaam	Onbeperkte Elementen Voor Elementor
Type kwetsbaarheid	Willekeurige Bestandsdownload
CVE-nummer	CVE-2026-4659
Urgentie	Medium
CVE-publicatiedatum	2026-04-19
Bron-URL	CVE-2026-4659

CVE-2026-4659: Willekeurige Bestandsdownload in ‘Unlimited Elements For Elementor’ — Wat Elke WordPress-eigenaar Nu Moet Doen

Een deskundige analyse van de geauthenticeerde paddoorsteek kwetsbaarheid in Unlimited Elements For Elementor (<= 2.0.6). Wat het is, waarom het gevaarlijk is, hoe aanvallers het kunnen misbruiken, hoe exploitatie te detecteren, en hoe risico's snel en veilig te mitigeren — inclusief een praktische WP-Firewall benadering.

Auteur: WP-Firewall Beveiligingsteam
Datum: 2026-04-18
Trefwoorden: WordPress Beveiliging, Kwetsbaarheid, WAF, Plugin Beveiliging, Incident Respons

Opmerking: Deze post is bedoeld voor site-eigenaren, ontwikkelaars en hosts die WordPress-websites beheren. Het biedt alleen technische details op hoog niveau en defensieve richtlijnen. Het biedt geen exploitcode of stapsgewijze offensieve instructies.

Samenvatting

Een recent onthulde kwetsbaarheid (CVE-2026-4659) in de WordPress-plugin “Unlimited Elements For Elementor” (versies tot en met 2.0.6) stelt een geauthenticeerde gebruiker met Contributor-rechten (of hoger) in staat om willekeurige bestandslezingen uit te voeren via een paddoorsteek in bepaalde CSV/JSON/repeater URL-eindpunten. De plugin-ontwikkelaar heeft een patch (versie 2.0.7) uitgebracht om het probleem op te lossen. De kwetsbaarheid is beoordeeld met een CVSS-gelijkwaardige ernst van 7.5 en gecategoriseerd als willekeurige bestandsdownload / gebroken toegangscontrole.

Waarom dit belangrijk is:

• Contributors zijn gebruikelijk op multi-auteur sites, lidmaatschapsites, LMS, bureaus en sites die inhoud van externe schrijvers accepteren.
• Willekeurige bestandslezing kan gevoelige bestanden onthullen (wp-config.php, back-uparchieven, omgevingsbestanden, .env-bestanden, privé-upload) en inloggegevens.
• Aanvallers combineren vaak bestandslezing met andere technieken om toegang te escaleren, te pivoteren of inloggegevens te verzamelen voor massale compromitteringscampagnes.

Als uw site deze plugin gebruikt (<= 2.0.6), moet u onmiddellijk actie ondernemen: pas de officiële update toe, of als u niet meteen kunt updaten, implementeer dan de hieronder beschreven mitigaties en monitoring.

Wat de kwetsbaarheid is — eenvoudige taal

De plugin stelt eindpunten bloot die een URL-parameter accepteren die bedoeld is om JSON- of CSV-inhoud op te halen voor gebruik door herhalers of externe gegevensbronnen. Onjuiste validatie en sanering van die parameter maakten het mogelijk om paddoorsteeksequenties (bijvoorbeeld ../ of gecodeerde equivalenten) te gebruiken, waardoor een geauthenticeerde maar lager bevoegde gebruiker willekeurige bestanden op de webserver kan lezen.

Essentiële punten:

• De aanvaller moet geauthenticeerd zijn op de WordPress-site met ten minste Contributor-rechten (d.w.z. niet publiek/anoniem).
• De kwetsbare functionaliteit controleert niet voldoende of de opgevraagde bronnen zich binnen een toegestane directory bevinden of handhaaft de capaciteitscontroles correct.
• Aanvallers kunnen verzoeken opstellen om bestanden buiten de bedoelde directory op te halen, waardoor ze potentieel elk bestand kunnen lezen dat de webservergebruiker kan openen.

Technische samenvatting (niet-exploitatief)

• Doel: Unlimited Elements For Elementor plugin, versies <= 2.0.6
• Kwetsbaarheidsklasse: Paddoorsteek leidend tot willekeurige bestandslezing (Gebroken Toegangscontrole)
• Vereiste bevoegdheid: Contributor (geauthenticeerd)
• Impact: Onthulling van willekeurige bestanden die leesbaar zijn door de webservergebruiker — kan configuratiebestanden, back-ups, database-exporten, omgevingsbestanden, privé-upload, tokens en andere gevoelige artefacten omvatten.
• Gepatchte versie: 2.0.7

Het risico is gemiddeld tot hoog omdat het vereiste authenticatieniveau laag is (Contributor) en de impact (inloggegevenslek, gegevensblootstelling) ernstig kan zijn. Aanvallers die al Contributor-accounts hebben — of zich kunnen registreren en worden verhoogd, of andere accountcreatieflows kunnen misbruiken — kunnen dit misbruiken.

Wie moet zich zorgen maken?

• WordPress-sites die de Unlimited Elements For Elementor plugin draaien op <= 2.0.6.
• Sites die derden toestaan om inhoud bij te dragen, gastautoren of multi-auteur workflows.
• Agentschappen en hosts die de sites van klanten beheren waar bijdragers aanwezig zijn.
• Sites die back-ups, configuratiebestanden of geheimen opslaan in de documentroot of anderszins leesbaar zijn voor de webserver.

Hoe aanvallers deze kwetsbaarheid kunnen gebruiken

Aanvallers die zich als een bijdrager kunnen authentiseren, kunnen:

• wp-config.php lezen om DB-inloggegevens te verkrijgen.
• Back-ups of geëxporteerde bestanden ophalen die in webtoegankelijke locaties zijn achtergelaten (bijv. /wp-content/uploads/backups.zip).
• Controleren op de aanwezigheid van privésleutels, API-tokens of SMTP-inloggegevens in bestanden.
• Server-side mappen en gevoelige bestanden opsommen om meer exploiteerbare artefacten te vinden.
• De gelekte inloggegevens combineren met andere vectoren om toegang tot admin-rechten te escaleren of om database-inhoud te extraheren.

Zelfs zonder escalatie kan openbaarmaking van e-mails, klantgegevens of eigendomsinhoud schadelijk zijn.

Detectie — indicatoren van compromittering en logs om op te letten

Als je vermoedt dat er pogingen of exploitatie plaatsvinden, zoek dan naar de volgende tekenen in toegangslogs, applicatielogs en WordPress-activiteitslogs:

• HTTP GET/POST-verzoeken naar plugin-eindpunten (repeater/JSON/CSV-eindpunten) met verdachte parameters zoals:
  • ../
  • %2e%2e%2f (URL encoded ../)
  • Sequenties die proberen buiten de toegestane mappen te navigeren
  • Lange ‘url’-parameters die naar lokale bestandslocaties wijzen (bijv. /etc/passwd, wp-config.php, /home/)
• Verzoeken van geauthentiseerde accounts (bijdrager rol of gelijkwaardig) die veel van dergelijke pogingen tot bestand lezen uitvoeren.
• Onverwachte 200-antwoorden die inhoud serveren die lijkt te bevatten server-side configuratie (php-code, SQL, omgevingsvariabelen) in plaats van JSON/CSV.
• Plotselinge downloads van bestanden van paden buiten de gebruikelijke pluginbronnen.
• Verhoogd aantal downloads van .sql, .zip, .bak, .env, .sql.gz of configuratiebestanden.

Controleer de WordPress audit-/activiteitslogboeken voor Contributor-accounts die verzoeken doen buiten normale gedragingen. Als je een beveiligings- of monitoringplugin gebruikt, zoek dan naar ongebruikelijke patronen van herhaalde geparameteriseerde verzoeken naar plugin-eindpunten.

Directe respons checklist (eerste 24–72 uur)

1. De plug-in bijwerken
   • Pas de officiële update toe op Unlimited Elements For Elementor en bevestig dat de pluginversie 2.0.7 of later is. Dit is de primaire oplossing.
2. Als u niet onmiddellijk kunt updaten
   • Deactiveer tijdelijk de plugin of schakel de specifieke functie (remote JSON/CSV/repeater ophalen) uit als er een optie bestaat.
   • Verwijder de plugin uit productie als de functie niet kritisch is.
3. Blokkeer het aanvalsvlak op de web/app-laag (virtuele patching)
   • Voeg tijdelijke WAF-regels toe om verzoeken met traversiepatronen en verdachte bestandsnamen te blokkeren.
   • Weiger toegang tot eindpunten die door de plugin worden gebruikt voor JSON/CSV-laden van niet-beheerder gebruikers.
   • Block GET/POST requests containing sequences like ../ or %2e%2e in the query string.
4. Controleer accounts en roteer geheimen
   • Beoordeel gebruikers met Contributor (en hogere) rollen. Verwijder of beperk verdachte accounts.
   • Roteer databasewachtwoorden en eventuele API-referenties die in bestanden zijn opgeslagen als je vermoedt dat ze zijn gelezen.
   • Roteer eventuele gelekte referenties die in logboeken zijn gevonden of door de site zijn gerapporteerd.
5. Scan en onderzoek
   • Voer een malware- en bestandsintegriteitscontrole uit van de site en het hostingbestandssysteem.
   • Controleer webserverlogboeken op verdachte downloads in de periode voorafgaand aan de patch.
   • Als je bewijs van gegevensexfiltratie vindt, volg dan de procedures voor incidentrespons en informeer belanghebbenden indien nodig.

Aanbevolen webserver/WAF-mitigaties (praktische suggesties)

Hier zijn defensieve regels en configuraties die je onmiddellijk kunt implementeren. Ze zijn vendor-onafhankelijk en bedoeld voor WAF's, reverse proxies of webserverregelsets.

• Blokkeer padtraversietokens in querystrings en verzoeklichamen:
  • Deny requests that contain “../” or encoded equivalents (%2e%2e, %252e%252e, %2f%2e%2e etc.)
• Blokkeer directe toegang tot gevoelige bestanden (weiger alle verzoeken die overeenkomen met):
  • wp-config.php, .env, .git, .sql, .bak, .zip, .tar, .tgz, .pem, .key
• Beperk plugin-eindpunten op basis van rol:
  • Als de plugin een eindpunt zoals /wp-json/ue/v1/data of vergelijkbaar blootlegt, blokkeer of vereis admin-rechten voor die eindpunten.
• Valideer verzoekoorsprongen:
  • Zorg ervoor dat eindpunten die voor interne ophalen worden gebruikt geldige nonces of geauthenticeerde admin-sessies vereisen.
• Beperk de snelheid van verdachte eindpunten:
  • Beperk hoge frequentieverzoeken naar CSV/JSON-ophaaleindpunten om enumeratie te stoppen.

Voorbeeld (Apache/mod_rewrite) — een voorbeeld om voor de hand liggende traversalsequenties te blokkeren (plaats in .htaccess in de root van de site). Opmerking: test zorgvuldig in een staging-omgeving voordat je het toepast:

# Block common path traversal patterns in query string
<IfModule mod_rewrite.c>
RewriteEngine On

# Deny requests containing ../ or encoded variants
RewriteCond %{QUERY_STRING} (\.\./|\%2e\%2e) [NC,OR]
RewriteCond %{REQUEST_URI} (\.\./|\%2e\%2e) [NC]
RewriteRule .* - [F,L]
</IfModule>

Nginx voorbeeld (toevoegen aan serverblok):

# Block path traversal sequences
if ($request_uri ~* "\.\./" ) {
    return 403;
}
if ($query_string ~* "(%2e%2e|%252e%252e)" ) {
    return 403;
}

Dit zijn tijdelijke mitigaties en geen vervangers voor de pluginpatch. Wees voorzichtig en test op staging voordat je in productie gaat.

Versterkingsaanbevelingen (na-incident / lange termijn)

1. Principe van de minste privileges voor gebruikersrollen
   • Herbeoordeel de noodzaak voor Contributor-niveau machtigingen. Beperk upload- of bestandgerelateerde mogelijkheden voor gebruikers met lage privileges.
   • Overweeg het gebruik van rolbeheerplugins om onnodige mogelijkheden uit de Contributor-rol te verwijderen (bijvoorbeeld, upload_files niet toestaan als het niet nodig is).
2. Verwijder gevoelige bestanden uit web-toegankelijke paden
   • Verplaats back-ups en exports uit wp-content/uploads of een andere webroot-directory. Gebruik niet-publieke opslag (SFTP, cloudopslag met juiste toegangscontrole).
   • Zorg ervoor dat databaseback-ups of geëxporteerde werkbladen nooit worden opgeslagen in publiek toegankelijke directories.
3. Beveilig bestandsrechten
   • Zorg ervoor dat bestanden zoals wp-config.php niet wereldleesbaar zijn waar mogelijk. Typische machtigingen:
     • Bestanden: 644
     • Mappen: 755
     • wp-config.php: 600 of 640 (afhankelijk van hosting)
   • Raadpleeg uw host voor strikte best practices voor bestandsmachtigingen voor gedeelde versus dedicated omgevingen.
4. Bescherm gevoelige eindpunten
   • Beperk de toegang tot wp-admin en andere administratieve eindpunten per IP waar mogelijk.
   • Vereis 2FA voor alle beheerdersgebruikers.
5. Inhoudsbeveiliging
   • Sanitize en valideer alle door gebruikers aangeleverde URL's of bestandslocaties in aangepaste code.
   • Voor aangepaste plugins: gebruik realpath() en controleer of het aangevraagde bestandspad binnen een toegestane map ligt voordat u de bestandsinhoud serveert.
6. Monitoring en logging
   • Implementeer applicatielogboekregistratie voor plugin-eindpunten en monitor op paddoorlooppatronen.
   • Integreer waarschuwingen voor afwijkende bestandslezen of downloads.
7. Regelmatige geautomatiseerde scans en virtuele patches
   • Gebruik een beheerde WAF om virtuele patches toe te passen totdat leveranciersupdates zich verspreiden of niet onmiddellijk kunnen worden toegepast.
   • Voer geplande kwetsbaarheidsscans en bestandsintegriteitscontroles uit.

Hoe te controleren of uw site is getroffen

1. Bevestig plugin en versie
   • Ga naar WordPress Dashboard → Plugins en bevestig de geïnstalleerde versie van Unlimited Elements For Elementor.
   • Elke versie <= 2.0.6 is getroffen. Werk bij naar 2.0.7 of later.
2. Inspecteer recente toegangslogs
   • Zoek naar verzoeken met doorloopsequenties of verdachte URL's naar de getroffen plugin-eindpunten.
3. Inspecteer sitebestanden op gevoelige blootstellingen
   • Zoek naar back-upbestanden, geëxporteerde SQL-bestanden en andere artefacten onder /wp-content/uploads of andere webtoegankelijke mappen.
4. Beoordeel gebruikersrollen en recente activiteiten van bijdragers
   • Controleer op nieuwe bijdrageraccounts, recent gewijzigde wachtwoorden of ongebruikelijke inlogtijden.

Wat hosts en site-operators moeten doen

Hostingproviders en beheerde serviceteams moeten:

• Klanten die de getroffen plugin met getroffen versies draaien, op de hoogte stellen.
• Overweeg om een tijdelijke virtuele patch (WAF-regel) aan de rand voor klanten te implementeren totdat ze bijwerken.
• Klanten begeleiden om bij te werken, gebruikers te auditen en inloggegevens te roteren.
• Voor hostingpanelen die plugin-beheer bieden, automatisch updates toepassen op getroffen plugins als automatische updates zijn ingeschakeld of aanbieden om deze in te schakelen.
• Zorg ervoor dat klantback-ups standaard buiten de openbare webroot worden opgeslagen.

Voor ontwikkelaars: waarom deze klasse van bugs voorkomt en hoe deze te vermijden

Paddoorsteek- en willekeurige bestandsleesbugs komen vaak voor wanneer code:

• Een pad- of URL-parameter van de client accepteert en deze vertrouwt.
• Paden niet canoniseert en normaliseert voordat ze worden gecontroleerd.
• Een webroot of toegestane directory aanneemt zonder het echte pad van de gevraagde bron te verifiëren.
• Ontbrekende robuuste capaciteit/vergunningcontroles voor eindpunten die server-side bestanden openen.

Vermijdingspatronen:

• Lees nooit bestanden op basis van directe gebruikersinvoer zonder canonisatie: bereken het absolute pad met realpath(), verifieer vervolgens dat het zich binnen een toegestane basisdirectory bevindt voordat je leest.
• Gebruik strikte toegestane lijsten voor bestandsnamen en directories.
• Handhaaf capaciteitcontroles server-side (current_user_can()) voor gevoelige bewerkingen — niet alleen client-side controles.
• Gebruik nonces en server-side oorsprongscontroles voor AJAX-eindpunten.
• Vermijd het opslaan van gevoelige bestanden in webtoegankelijke directories.

Detectierecept (voor SOC's en SRE's)

Voeg regelgebaseerde detecties toe aan je logging/waarschuwingspipeline:

• If URI or query string contains (%2e%2e|../|%252e%252e) generate a medium-high priority alert.
• Als verzoeken naar plugin-eindpunten bestanden van het type text/x-php of application/x-sharedlib retourneren — markeer.
• Als een Contributor-account >N verzoeken doet naar bestandserverende eindpunten binnen een kort tijdsvenster — markeer voor beoordeling.
• Bestandsintegriteitswaarschuwingen voor wijzigingen aan wp-config.php, .env, of onverwachte nieuwe back-upbestanden in uploads moeten onmiddellijke onderzoek triggeren.

Incident response playbook (bondig)

1. Bevatten
   • Werk de plugin bij naar 2.0.7 of deactiveer de plugin.
   • Pas WAF-regels toe om traversiepatronen te blokkeren.
2. Uitroeien
   • Verwijder alle web-toegankelijke back-ups of gelekte bestanden.
   • Draai geheimen (DB-gegevens, API-sleutels, SMTP, enz.).
3. Herstellen
   • Herstel vanaf schone back-ups als de integriteit van de site in twijfel is.
   • Herbou compromised accounts en herissueer inloggegevens.
4. Geleerde lessen
   • Patchbeheer: zorg ervoor dat plugins tijdig worden bijgewerkt.
   • Toegangscontrole: evalueer het gebruik van de Contributor-rol en verscherp beleid.
   • Monitoring: verbeter logging en waarschuwingen voor verdachte toegang tot plugin-eindpunten.

Veelgestelde vragen

Q: Staat deze kwetsbaarheid externe code-uitvoering toe?

A: De kwetsbaarheid is een willekeurige bestandsleestoegang (onthulling) en geen directe RCE. Echter, gegevens verkregen via bestandslezen (DB-gegevens, geheime tokens) kunnen leiden tot verdere acties, inclusief escalatie of ongeautoriseerde toegang, wat uiteindelijk code-uitvoering via secundaire middelen kan mogelijk maken.

Q: Kan een niet-geauthenticeerde gebruiker dit misbruiken?

A: Nee. De kwetsbaarheid vereist authenticatie met ten minste Contributor-niveau privileges. Sommige sites kunnen echter zelfregistratie toestaan of hebben soepele controles die aanvallers in staat stellen Contributor-accounts te verkrijgen.

Q: Is deactivering van de plugin genoeg?

A: Deactivering voorkomt in veel gevallen dat de kwetsbare eindpunten draaien, maar als de plugin artefacten (bijv. tijdelijke bestanden of gecachte kopieën) op de schijf heeft achtergelaten, moet je deze inspecteren en verwijderen. Deactiveren is een geldige kortetermijnmaatregel.

Praktische voorbeelden van mitigatieregels (vendor-onafhankelijk)

Hieronder staan conceptuele WAF-regeluitdrukkingen die je kunt vertalen naar de syntaxis van jouw WAF. Dit zijn voorbeelden; test voordat je ze toepast.

• Blokkeer paddoorsteek in de querystring:
  • Condition: QUERY_STRING matches regex (\.\./|%2e%2e|%252e%252e)
  • Actie: Blokkeer of daag uit (403 of Captcha)
• Blokkeer waarschijnlijk exfiltratie-doelen:
  • Voorwaarde: REQUEST_URI of QUERY_STRING bevat (wp-config.php|\.env|\.sql|\.zip|\.tar|\.bak)
  • Actie: Blokkeren
• Beperk CSV/JSON-eindpunten tot admin
  • Voorwaarde: REQUEST_URI komt overeen met plugin-eindpunt EN gebruikersrol is geen administrator
  • Actie: Blokkeer of vereis een sessie op admin-niveau

Hoe WP-Firewall helpt (korte uitleg van onze diensten)

WP-Firewall biedt beheerde WAF-regels, virtuele patching, malware-scanning en continue monitoring om exploitatiepogingen zoals paddoorsteek en willekeurige bestandslezen te blokkeren. Ons systeem kan gerichte regels toepassen om verdachte verzoeken aan de rand te stoppen, wat betekent dat jouw site beschermd is, zelfs als een plugin-patch niet onmiddellijk kan worden toegepast. We bieden ook begeleiding voor onderzoek, geautomatiseerde scanning voor blootgestelde gevoelige bestanden en herstelservices na incidenten.

---

Beveilig je site met een onmiddellijke, gratis beschermingslaag

Houd je site beschermd terwijl je patcht — Begin met een gratis beheerde firewall

Als je een of meer WordPress-sites beheert, is de eerste stap na het leren over een plugin-kwetsbaarheid het verkleinen van het aanvalsvlak terwijl je patcht. Het Basis (Gratis) plan van WP-Firewall biedt je onmiddellijk essentiële bescherming: een beheerde firewall met een WAF, onbeperkte bandbreedte, een malware-scanner en geautomatiseerde mitigatie voor OWASP Top 10-risico's. Meld je aan en activeer nu het gratis plan om een beschermingslaag aan de rand van je site toe te voegen voordat je plugins bijwerkt of een diepere audit uitvoert: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Voor teams die meer automatisering en herstel willen, voegen onze betaalde plannen automatische malwareverwijdering, whitelisting/blacklisting, automatische kwetsbaarheid virtuele patching, maandelijkse rapporten en premium add-ons toe.

---

Checklist: Stapsgewijze acties voor site-eigenaren

1. Onmiddellijk: Bevestig de pluginversie. Als <= 2.0.6, update naar 2.0.7.
2. Als je niet binnen enkele uren kunt updaten: deactiveer de plugin of schakel de kwetsbare functie uit.
3. Pas randregels toe om ../ en gecodeerde equivalenten in verzoeken naar plugin-eindpunten te blokkeren.
4. Beoordeel bijdrageraccounts en verwijder of bevestig de legitimiteit.
5. Draai alle inloggegevens die mogelijk zijn blootgesteld of opgeslagen in web-toegankelijke bestanden.
6. Voer een volledige malware- en bestandsintegriteitsscan uit.
7. Controleer de toegangslogboeken op tekenen van exfiltratie en meld uw host als er verdachte activiteiten worden gevonden.
8. Meld u aan voor een beheerde WAF/virtuele patchservice (bijvoorbeeld het WP-Firewall gratis plan) om tijd te kopen terwijl u patcht en onderzoekt.

Laatste woorden van ons beveiligingsteam

Kwetsbaarheden zoals deze benadrukken twee terugkerende thema's in WordPress-beveiliging: de noodzaak van tijdige patches en het belang van verdediging in de diepte. Een enkele plugin-kwetsbaarheid kan zeer schadelijk zijn als een site laaggeprivilegieerde geauthenticeerde gebruikers toestaat, of als gevoelige bestanden in web-toegankelijke locaties worden achtergelaten. Behandel plugin-updates als beveiligingsupdates, niet als optionele functies — en combineer patchen met randbescherming en monitoring.

Als u hulp nodig heeft bij het triëren of verhelpen van deze kwetsbaarheid op veel sites, kan ons beveiligingsteam helpen met prioritaire patches, virtuele patches aan de rand en inbreukonderzoek. De snelste manier om de blootstelling vandaag te verminderen is door te updaten naar de gepatchte pluginversie (2.0.7) en de tijdelijke WAF-bescherming toe te passen die hierboven is beschreven.

Blijf veilig, en als u een onmiddellijke beschermlaag wilt terwijl u handelt, probeer dan ons Basis (Gratis) plan om beheerde firewallbescherming en scanning te krijgen: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

---

Bijlage: Snelle referenties

• Kwetsbaarheid identificatie: CVE-2026-4659
• Aangetaste software: Unlimited Elements For Elementor plugin — versies <= 2.0.6
• Gepatchte versie: 2.0.7
• Vereiste rechten voor uitbuiting: Contributor (geauthenticeerd)
• Aanbevolen onmiddellijke acties: Update plugin, of deactiveer/deactiveer functie; pas WAF-regels toe; controleer bijdrageraccounts; draai geheimen; scan bestanden.

Voor praktische hulp is ons beveiligingsteam beschikbaar om te helpen met triage, virtuele patches en opruiming. Neem contact op met uw accountmanager of meld u aan voor het gratis plan om onmiddellijk sites te beschermen: https://my.wp-firewall.com/buy/wp-firewall-free-plan/