
| Pluginnaam | Gutentor |
|---|---|
| Type kwetsbaarheid | Cross Site Scripting |
| CVE-nummer | CVE-2026-2951 |
| Urgentie | Laag |
| CVE-publicatiedatum | 2026-04-23 |
| Bron-URL | CVE-2026-2951 |
Gutentor XSS (CVE-2026-2951): Wat WordPress-site-eigenaren moeten weten en hoe WP-Firewall je beschermt
Gepubliceerd op 2026-04-23 door WP-Firewall Security Team
Samenvatting: Een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid werd openbaar gemaakt die het Gutentor-plugin (versies ≤ 3.5.5) beïnvloedt. Het stelt een geauthenticeerde bijdrager in staat om HTML in te voegen die JavaScript in bepaalde contexten kan uitvoeren. Dit artikel legt het risico, exploitatie-scenario's, detectie- en containment-stappen, remediëring en langdurige versterking uit — en praktische manieren waarop WP-Firewall je helpt om de blootstelling onmiddellijk te verminderen, zelfs als je niet meteen kunt updaten.
Inhoudsopgave
- Achtergrond: wat er is gebeurd
- Technische samenvatting van de kwetsbaarheid
- Wie loopt risico en waarom
- Realistische exploitatiescenario's
- Onmiddellijke acties (update, containment, detectie)
- Hoe veilig te zoeken naar indicatoren van compromittering (IoCs)
- Versterking en configuratiewijzigingen (korte en lange termijn)
- Ontwikkelaarsrichtlijnen: veilige coderingspatronen voor blok HTML
- WAF-strategie & aanbevolen regels (virtuele patching)
- Monitoring, respons en schoonmaakchecklist
- Hoe WP-Firewall kan helpen (inclusief details over het gratis plan)
- Bijlage: snelle commando's en queries
Achtergrond: wat er is gebeurd
Op 23 april 2026 werd een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid die het Gutentor — Gutenberg Blocks / Page Builder-plugin beïnvloedt, openbaar gemaakt (gevolgd als CVE-2026-2951). Het probleem heeft invloed op Gutentor-versies tot en met 3.5.5. De leverancier heeft een gepatchte versie (3.5.6) uitgebracht om het probleem op te lossen.
Belangrijkste feiten in één oogopslag:
- Kwetsbaarheidsklasse: Opgeslagen Cross-Site Scripting (XSS)
- Beïnvloede versies: ≤ 3.5.5
- Gepatchte versie: 3.5.6
- CVE: CVE-2026-2951
- Vereiste bevoegdheid om in te voegen: Bijdrager (geauthenticeerde gebruiker)
- Exploitatie: Vereist gebruikersinteractie (een bevoegde gebruiker moet de payload activeren)
Dit is een typische opgeslagen XSS in een plugin die HTML-inhoud accepteert van minder bevoegde accounts (bijdragers) en deze op een manier uitvoert die scriptuitvoering mogelijk maakt. Terwijl de initiële actor alleen toegang op het niveau van Bijdrager nodig heeft om de payload op te slaan, zijn verdere acties vereist om het probleem volledig te exploiteren — wat de kwetsbaarheid iets minder triviaal maakt om massaal te wapenen, maar nog steeds ernstig voor gerichte aanvallen, workflows met hoge vertrouwensniveaus of sites die gebruikersbijdragen accepteren.
Technische samenvatting van de kwetsbaarheid
Op hoog niveau wordt de bug veroorzaakt door onvoldoende sanitization/escaping van HTML die aan een Gutentor-blok wordt geleverd dat ruwe HTML accepteert (vaak gelabeld als “Gutentor Block HTML” of iets dergelijks). Bijdragers (of hogere rollen) kunnen HTML invoegen in een blok dat is opgeslagen in de postinhoud of blokmeta. Omdat de uitvoer niet goed is ontsnapt of gefilterd, kan die opgeslagen HTML later worden uitgevoerd in de context van de browser van een bevoegde gebruiker — bijvoorbeeld wanneer een redacteur, admin of een andere gebruiker met hogere privileges de post in de admin-editor, preview of bepaalde openbare renderpaden laadt.
Belangrijke technische eigenschappen:
- Het injectiepunt is een blok dat vrije vorm HTML toestaat (het Gutentor HTML-blok).
- De payload is opgeslagen in de database (opgeslagen XSS), niet gereflecteerd.
- Uitvoering vereist een vervolgactie door een andere gebruiker (gebruikersinteractie), zoals het openen van de post in admin, het bekijken van de post of het klikken op een speciaal gemaakte link die de rendering van het kwaadaardige blok veroorzaakt.
- De context van de site maakt dit nuttig voor privilege-escalatieketens (cookies stelen, acties uitvoeren in de admin UI via de browser van het slachtoffer, backdoors installeren, enz.), afhankelijk van browserbescherming en admin-privileges.
Omdat de aanval is opgeslagen, kan deze aanhouden over pagina-ladingen en in de loop van de tijd meerdere gebruikers beïnvloeden.
Wie loopt risico en waarom
Niet elke WordPress-site die Gutentor gebruikt, loopt evenveel risico. Overweeg de volgende risicofactoren:
- Sites die Gutentor ≤ 3.5.5 (niet gepatcht) gebruiken, zijn kwetsbaar.
- Sites die Bijdrager (of enige rol die het creëren van berichten/blokken toestaat) accounts voor externe gebruikers, gastautoren of redacteuren met een laag vertrouwen toestaan, lopen een hoger risico.
- Sites met meerdere redacteuren/admins die regelmatig inhoud bekijken of bewerken, lopen een hoger risico — de payload heeft gebruikersinteractie van bevoegde gebruikers nodig.
- Sites waar bijdragers inhoud kunnen uploaden of schrijven zonder handmatige sanitization lopen een hoger risico.
- Sites met hoge waarde (e-commerce, lidmaatschaps- en redactionele publicaties) zijn aantrekkelijke doelen voor aanvallers om admin-toegang te krijgen.
Als je een site beheert die Gutentor gebruikt, bevestig dan de geïnstalleerde pluginversie en of je bijdragers toestaat om berichten te maken of redacteuren om onbetrouwbare inhoud te bekijken.
Realistische exploitatiescenario's
Het begrijpen van aanvalspaden helpt je prioriteiten te stellen en te mitigeren. Hier zijn plausibele scenario's die een aanvaller zou kunnen gebruiken om van deze kwetsbaarheid te profiteren:
- Gerichte escalatie via redactionele workflow
- Aanvaller registreert (of gebruikt een bestaand account) met Bijdrager-niveau permissies.
- Aanvaller maakt een post of concept aan en voegt een Gutentor HTML-blok in met een kwaadaardige payload.
- Een redacteur of beheerder opent de post in de admin-editor (of preview) en de payload wordt uitgevoerd in hun browser, waardoor sessiediefstal of actie namens hen mogelijk is.
- Sociale engineering om een bevoorrechte actie te triggeren
- De aanvaller creëert inhoud en stuurt een link met een schijnbaar onschuldig reden voor een admin/redacteur om te klikken (bijv. “Bekijk deze concept”).
- De bevoorrechte gebruiker volgt de link en de opgeslagen XSS-payload wordt uitgevoerd.
- Multi-stage persistentie + backdoor
- Na de initiële uitvoering injecteert de XSS verdere code (bijv. om een admin-gebruiker toe te voegen of een backdoor-plugin te uploaden) — beperkt door wat puur vanuit de browsercontext kan worden gedaan, maar haalbaar als de admin-sessie actief is en de site geen aanvullende bescherming heeft.
- Publiek gerichte aanvalsvector
- Als de site de blokken publiekelijk weergeeft zonder sanitization, kunnen bezoekers ook worden getroffen — maar deze kwetsbaarheid, zoals gerapporteerd, benadrukt de admin/bevoorrechte gebruiker vector.
Kortom: een bijdrager kan inhoud maken die wacht tot een bevoorrechte gebruiker het opent; wanneer de bevoorrechte gebruiker dat doet, krijgt de aanvaller de mogelijkheid om JS in de context van die gebruiker uit te voeren.
Onmiddellijke acties die je moet ondernemen (eerste 24–72 uur)
- Werk de plugin bij naar 3.5.6 of later (hoogste prioriteit)
- Dit is de definitieve oplossing. Als het mogelijk is, werk dan onmiddellijk bij op alle omgevingen (productie, staging).
- Als je niet onmiddellijk kunt bijwerken, implementeer dan de tijdelijke mitigaties hieronder.
- Beperking als je niet onmiddellijk kunt bijwerken
- Beperk tijdelijk de mogelijkheden van bijdragers: schakel nieuwe bijdragerregistraties uit of intrek de roltoewijzingen van bijdragers totdat je hebt bijgewerkt.
- Vereis dat concepten van bijdragers eerst in een staging-omgeving worden beoordeeld.
- Verwijder of deactiveer de Gutentor HTML-blok (indien mogelijk) via de plugin-instellingen of beperkingen van de blokeditor.
- Scan op verdachte inhoud
- Doorzoek je berichten en blokinhoud naar script-tags, gebeurtenishandlers (onmouseover, onclick), javascript: URI's en gecodeerde payloads. Zie de bijlage voor veilige zoektips en WP-CLI-query's.
- Dwing herauthenticatie af voor bevoorrechte gebruikers
- Laat beheerders en redacteurs uitloggen en opnieuw inloggen nadat je de site hebt gepatcht of ingeperkt. Dit helpt het risicovenster voor sessiediefstal te verkleinen.
- Verhoog de monitoring en logging
- Bekijk de admin-activiteitslogboeken, nieuwe gebruikerscreaties, pluginwijzigingen en recent bewerkte berichten.
- Gebruik uw webserverlogboeken en beveiligingsscanresultaten om anomalieën op te sporen.
- Als compromittering wordt vermoed
- Isolate de site (onderhoudspagina) als u kwaadaardige activiteit in de admin of gewijzigde bestanden detecteert.
- Volg de procedures voor incidentrespons (bewaar logboeken, maak een snapshot van de site en maak deze vervolgens schoon).
Bijwerken is de eenvoudigste en meest effectieve mitigatie. De andere stappen zijn defensieve compensaties terwijl u bijwerkt.
Hoe veilig te zoeken naar indicatoren van compromittering (IoCs)
Voer geen uitvoerbare inhoud uit of laad deze in een browser wanneer u zoekt naar mogelijke exploit-inhoud. Gebruik tekstgebaseerde zoekopdrachten en databasequery's.
Veilige zoektips:
- Gebruik wp-cli om de database-inhoud te doorzoeken op verdachte HTML (niet-uitvoerend).
- Zoek naar script-tags en gebeurtenishandlers in post_content en postmeta.
Voorbeeld WP-CLI-opdrachten (uitvoeren vanuit een terminal met de juiste toegang):
- Zoek berichten naar “<script”:
wp db query "SELECT ID, post_title, post_author FROM wp_posts WHERE post_content LIKE '%<script%';"
- Zoek naar on* attributen (onmouseover, onclick):
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%onmouseover=%' OR post_content LIKE '%onclick=%';"
- Zoek naar Gutentor-gerelateerde opgeslagen blokken:
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%gutentor%' AND (post_content LIKE '%<script%' OR post_content LIKE '%on%=%');"
Alternatief: Exporteer de DB of gebruik een tekstdump en zoek met grep naar <script, onerror=, javascript:. Behandel geëxporteerde gegevens altijd veilig.
Als u verdachte inhoud vindt, beschouw deze dan als een potentiële compromittering. Bekijk geen berichten in de admin zonder eerst het verdachte blok te verwijderen of te isoleren.
Versteviging en configuratiewijzigingen (korte & lange termijn)
Korte termijn (direct toepassen indien mogelijk):
- Werk Gutentor bij naar 3.5.6 of later.
- Beperk wie berichten kan aanmaken of blokken kan gebruiken (verwijder de rol van bijdrager waar niet nodig).
- Deactiveer de Gutentor HTML-blok voor niet-vertrouwde rollen indien mogelijk.
- Handhaaf sterke wachtwoorden en schakel 2FA in voor alle gebruikers met redacteur/admin rechten.
- Zorg ervoor dat bestandsbewerking via het WordPress Dashboard is uitgeschakeld (
define('DISALLOW_FILE_EDIT', true);). - Zorg ervoor dat plugins en thema's zijn bijgewerkt en verwijder ongebruikte plugins.
Lange termijn:
- Pas het principe van de minste privilege toe: geef rollen alleen de minimale mogelijkheden die nodig zijn.
- Gebruik content review processen: concepten van bijdragers moeten in een wachtrij worden gehouden en worden beoordeeld door vertrouwde redacteuren in een veilige omgeving.
- Implementeer gecentraliseerde logging en waarschuwingen voor admin-activiteit en inhoudsveranderingen.
- Onderhoud een staging site voor plugin testen; update niet alleen op productie.
- Voer periodieke geautomatiseerde scans uit om XSS en bekende kwetsbare pluginversies te detecteren.
Ontwikkelaarsrichtlijnen: veilige coderingspatronen voor blok HTML en ruwe gebruikersinvoer
Als je Gutenberg-blokken ontwikkelt of thema's/plugins onderhoudt die HTML-invoer accepteren, volg dan deze veilige patronen:
- Sanitize bij invoer waar nodig
Voor door gebruikers ingediende HTML, gebruikwp_kses()ofwp_kses_post()met strikte toegestane tags en attributen.
Vertrouw niet op client-side sanitatie — handhaaf server-side filtering. - Escape bij output
Escape altijd gegevens bij het renderen:esc_html(),esc_attr(),esc_url(), ofwp_kses_post()afhankelijk van de context.
Voor blokken die inner HTML renderen, overweeg om gesaniteerde inhoud te renderen in plaats van ruwe HTML. - Gebruik mogelijkheden en nonces
Valideer gebruikersmogelijkheden voordat je inhoud accepteert en opslaat die de paginarendering kan beïnvloeden.
Gebruikwp_verify_nonce()voor formulierindieningen en controleer REST API-capaciteitsargumenten. - Beperk gevaarlijke functies
Als het doel van een blok geen ruwe HTML vereist, bied het dan niet aan. Bied veilige alternatieven aan (bijv. rijke tekst met gecontroleerde opmaak).
Als ruwe HTML noodzakelijk is voor vertrouwde redacteuren, beperk het gebruik tot hogere rollen. - Controleerbare opslag & markup
Sla ruwe invoer alleen op in meta wanneer nodig en documenteer waarom het nodig is.
Bied admin UI-tools aan om gesaneerde output te bekijken. - Logging & monitoring
Log wanneer bevoorrechte gebruikers inhoud met ruwe HTML creëren of bewerken voor auditing.
Pas deze patronen toe op alle plaatsen die HTML of willekeurige attributen accepteren (shortcodes, blokattributen, postmeta).
WAF-strategie & aanbevolen regels (virtuele patching)
Als je niet onmiddellijk kunt updaten, is het gebruik van een applicatielaag-firewall (WAF) of virtuele patching een effectieve tijdelijke oplossing. Hieronder staan defensieve strategieën die een WAF moet implementeren om aanvalspogingen gericht op deze Gutentor XSS te blokkeren of te mitigeren.
Hoogwaardige WAF-doelen voor deze kwetsbaarheid:
- Blokkeer indiening van gevaarlijke scriptachtige inhoud in Gutentor HTML-blokken door verzoeken van de Contributor-rol.
- Voorkom exploitatie tijdens het renderen door antwoorden te saneren die verdachte attributen bevatten.
- Beperk verdachte bewerk-/indieningsgedragingen van niet-vertrouwde accounts.
Aanbevolen beschermingen (conceptuele regels — pas aan voor jouw omgeving):
- Blokkeer indieningen die bevatten
<script>tags of verdachte gebeurtenishandlers in postcreatie/bewerkflows die afkomstig zijn van Contributor-accounts of niet-geauthenticeerde verzoeken.- Detect encoded script tags (e.g., script) and common obfuscations.
- Match op Content-Type en aanvraagpaden die postindiening verwerken (wp-admin/post.php, REST-eindpunten).
- Blokkeer attributen met “on” gebeurtenishandlers (onclick, onerror, onmouseover) in inhoud die is ingediend door accounts met lage privileges.
- Blokkeer “javascript:” URI's in href/src-attributen van accounts met lage privileges.
- 1. Bescherm renderende eindpunten (openbare pagina's en preview-eindpunten) door tags in de respons te verwijderen of te neutraliseren als ze binnen Gutentor-blokcontainers verschijnen, of door Content Security Policy (CSP) headers in te voegen (zie hieronder).
<script>2. Gebruik een WAF-regel om op basis van mogelijkheden beleid af te dwingen: als het verzoek is geverifieerd als Contributor of lager, valideer of saniteer actief specifieke velden (blokkeer of transformeer gevaarlijke invoer). - 3. Implementeer een virtuele patch voor de specifieke Gutentor-blokuitvoer:.
- 4. Detecteer Gutentor-blokmarkup in de respons en voer server-side outputfiltering uit om scripts en on* attributen te verwijderen.
- 5. Suggestie voor Content Security Policy (CSP):.
6. Voeg een strikte CSP toe die inline scripts voor adminpagina's waar mogelijk verbiedt:
7. — maar wees voorzichtig: een te strikte CSP kan plugins of adminfuncties breken; test eerst op staging. Content-Security-Policy: default-src 'self'; script-src 'self' https:; object-src 'none'; 8. Opmerking: WAF-regels moeten op staging worden getest om valse positieven te voorkomen. WP-Firewall biedt beheerde WAF- en virtuele patchopties om deze bescherming te implementeren zonder onmiddellijke codewijzigingen (zie WP-Firewall-functiesectie hieronder).
9. Als je vermoedt dat deze kwetsbaarheid is uitgebuit of je vindt verdachte inhoud, volg dan deze geprioriteerde stappen:.
Monitoring, respons en schoonmaakchecklist
10. Maak onmiddellijk een volledige back-up (database + bestanden) en markeer deze als onveranderlijk voor forensische doeleinden.
- Snapshot en back-up
- 11. Zet de site in onderhoudsmodus als actieve compromittering wordt vermoed.
- Bevatten
- 12. Intrek of vergrendel verdachte gebruikersaccounts.
- 13. Draai admin- en FTP-inloggegevens.
- 14. Bekijk recente bewerkingen en nieuw aangemaakte berichten op kwaadaardige HTML.
- Onderzoeken
- 15. Controleer op nieuw toegevoegde admingebruikers, plugins of geplande taken (cron-invoeren).
- 16. Verwijder kwaadaardige HTML-blokken of saniteer ze.
- Herstel
- 17. Verwijder alle backdoor-scripts of bestanden die aan de server zijn toegevoegd.
- 18. Herinstalleer de plugin vanuit een schone bron als bestanden zijn gewijzigd.
- 19. Werk alle plugins/thema's/core bij naar gepatchte versies.
- Herstellen
- Werk alle plugins/thema's/core bij naar gepatchte versies.
- Versterk inloggegevens en schakel 2FA in.
- Heractiveer diensten en blijf monitoren.
- Na het incident
- Draai geheimen en API-sleutels die in het geheugen kunnen staan.
- Voer een volledige malware-scan en beveiligingsaudit uit.
- Communiceer met belanghebbenden en documenteer de details van het incident.
Als je interne beveiligingsbronnen mist, overweeg dan om een beheerde beveiligingsprovider in te schakelen voor opruiming en versterking na het incident.
Hoe WP-Firewall helpt — onmiddellijke en voortdurende bescherming
Bij WP-Firewall ontwerpen we onze diensten om WordPress-sites op meerdere lagen te beschermen — van preventieve versterking tot realtime virtuele patching en herstel. Voor deze klasse van kwetsbaarheid raden we een gelaagde aanpak aan:
- Patchbeheer: we adviseren en automatiseren updates waar mogelijk. Geef altijd prioriteit aan de patch van de leverancier (3.5.6 voor Gutentor).
- Beheerde WAF: onze WAF kan virtuele patches implementeren die exploitpogingen blokkeren die gericht zijn op de Gutentor HTML-blok, inclusief gecodeerde en obfuscate payloads.
- Malware-scanning en detectie: regelmatige scans helpen opgeslagen scripts of geïnjecteerde bestanden te ontdekken voordat aanvallers actie kunnen ondernemen.
- Richtlijnen voor incidentrespons: stapsgewijze checklists en, op hogere serviceniveaus, praktische hulp om achterdeurtjes te verwijderen en accounts te beveiligen.
- Handhaving van het principe van de minste privileges & rolmonitoring: adviseren over en monitoren van gebruikersrollen en hun activiteiten om het risico te verminderen.
We bieden gratis en betaalde plannen — het gratis plan omvat essentiële bescherming die zeer relevant is voor deze situatie (beheerde firewall, WAF, malware-scanner, mitigatie van OWASP Top 10-risico's). Als je snellere herstel of maandelijkse virtuele patching nodig hebt, bieden onze betaalde plannen geautomatiseerde mitigatie en responsievere ondersteuning.
Beveilig uw site in enkele minuten — WP-Firewall Gratis Plan
Als je op zoek bent naar bewezen onmiddellijke bescherming terwijl je plugins bijwerkt en inhoud controleert, biedt het Basis (Gratis) plan van WP-Firewall essentiële dekking: een beheerde firewall, een applicatie WAF, onbeperkte bandbreedtebescherming, een malware-scanner en mitigatie tegen OWASP Top 10-risico's — alles kosteloos. Meld je aan en schakel onmiddellijk bescherming in op: https://my.wp-firewall.com/buy/wp-firewall-free-plan/
(Als je geautomatiseerde malwareverwijdering en extra controles zoals IP-blacklist/witlijsten nodig hebt, overweeg dan onze Standaard of Pro-plannen. Voor teams die meerdere sites beheren of virtuele patching en toegewijde ondersteuning nodig hebben, omvat onze Pro-laag maandelijkse rapporten en automatische virtuele patching.)
Bijlage: snelle opdrachten, queries en checklists
Voorzichtigheid: Bekijk nooit verdachte berichten in de admin zonder ze eerst te saneren.
Veilige databasezoekvoorbeelden (WP-CLI):
- Zoek berichten die “<script” bevatten:
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%';"
- Zoek berichten die “onerror” of andere gebeurtenisattributen bevatten:
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%onerror=%' OF post_content LIKE '%onclick=%' OF post_content LIKE '%onmouseover=%';"
- Zoek naar verwijzingen naar Gutentor-blokken met verdachte inhoud:
wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%gutentor%' AND (post_content LIKE '%<script%' OR post_content LIKE '%on%=%');"
WordPress-dashboardcontroles:
- Gebruikers → Alle gebruikers: zoek naar recent aangemaakte bijdragersaccounts, vooral die met generieke e-mailadressen.
- Berichten → Alle berichten: filter op auteur om recente concepten te controleren.
- Plugins → Geïnstalleerde plugins: bevestig de versie van de Gutentor-plugin.
Checklist voor veilige remediëring:
- Update Gutentor naar 3.5.6+ op staging, test, en implementeer vervolgens in productie.
- Zoek naar en verwijder verdachte blokken (open ze niet in de admin-preview).
- Draai beheerderswachtwoorden en intrek sessies.
- Scan het bestandssysteem op recent gewijzigde/toegevoegde PHP-bestanden.
- Scan de site opnieuw na remediëring.
Laatste gedachten
Opgeslagen XSS in content builder-blokken is een terugkerend patroon in het WordPress-ecosysteem omdat deze blokken flexibele HTML-functies bieden terwijl ze proberen gebruiksvriendelijkheid en beveiliging in balans te brengen. De Gutentor CVE-2026-2951 herinnert ons aan de gelaagde aard van WordPress-risico: een account met lage privileges kan persistente inhoud creëren, en een onschuldige admin-actie kan dat omzetten in een ernstige inbreuk.
Als je WordPress-sites beheert, is je hoogste prioriteit om de kwetsbare plugin bij te werken naar de gepatchte release (3.5.6). Als je niet onmiddellijk kunt updaten, pas dan containmentmaatregelen toe: beperk de mogelijkheden van bijdragers, scan op verdachte inhoud met veilige queries, en implementeer een WAF-laag (virtuele patching) om veelvoorkomende exploitpatronen te blokkeren.
WP-Firewall is ontworpen om je te helpen de kloof tussen ontdekking en patching te overbruggen met beheerde WAF-regels, malware-scans en duidelijkere operationele richtlijnen. Zelfs het gratis plan bevat essentiële bescherming die het risicovenster snel verkleint terwijl je je site bijwerkt en versterkt.
Blijf waakzaam, handhaaf het principe van de minste privileges, en beschouw inhoud die ruwe HTML kan bevatten als onbetrouwbare invoer, tenzij deze afkomstig is van gecontroleerde bronnen.
Als je een beknopte remediëringschecklist wilt om aan een site-eigenaar of host te overhandigen, download dan onze afdrukbare checklist op één pagina vanuit het WP-Firewall-dashboard nadat je je hebt aangemeld voor het gratis plan.
