Krytyczna luka w uwierzytelnianiu dwuetapowym e-mail//Opublikowano 2026-02-21//CVE-2025-13587

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

Two-Factor (2FA) Authentication via Email Vulnerability

Nazwa wtyczki Uwierzytelnianie dwuskładnikowe (2FA) za pomocą e-maila
Rodzaj podatności Luka w uwierzytelnianiu dwuetapowym
Numer CVE CVE-2025-13587
Pilność Wysoki
Data publikacji CVE 2026-02-21
Adres URL źródła CVE-2025-13587

Krytyczne: Wtyczka Uwierzytelnianie Dwuetapowe (2FA) przez Email — Luka w Ominięciu Tokena (<= 1.9.8) — Co właściciele stron WordPress muszą teraz zrobić

Autor: Zespół ds. bezpieczeństwa WP‑Firewall
Data publikacji: 2026-02-19
Tagi: wordpress, bezpieczeństwo, uwierzytelnianie-dwuetapowe, waf, luka, reakcja-na-incydent

Uwaga od WP‑Firewall: jeśli prowadzisz strony WordPress, przeczytaj tę całą informację. Wyjaśnia ona niedawną lukę w wtyczce Uwierzytelnianie Dwuetapowe (2FA) przez Email (CVE‑2025‑13587), jak napastnicy mogą ją wykorzystać, jak wykryć eksploatację oraz priorytetowy, praktyczny plan naprawy i łagodzenia, który możesz zastosować już teraz.

Streszczenie

Zgłoszono lukę w uwierzytelnianiu, która dotyczy wtyczki WordPress “Uwierzytelnianie Dwuetapowe (2FA) przez Email” w wersjach do i włącznie 1.9.8. Problem (śledzony jako CVE‑2025‑13587) pozwala nieautoryzowanemu napastnikowi na ominięcie uwierzytelniania dwuetapowego w określonych warunkach, używając zmanipulowanego lub niewłaściwie zweryfikowanego tokena. Autor wtyczki wydał wersję 1.9.9, aby rozwiązać problem.

To jest problem o wysokim priorytecie (Patchscore/CVSS równoważny: 6.5), ponieważ podważa podstawową ochronę strony przed przejęciem konta — 2FA — i może pozwolić napastnikom na wykonywanie uprzywilejowanych działań, w tym dostęp do administratora, bez ukończenia drugiego czynnika.

Jeśli hostujesz strony, które używają tej wtyczki, lub zarządzasz stronami klientów, które to robią, postępuj zgodnie z poniższymi natychmiastowymi wskazówkami, aby zminimalizować ryzyko, wykryć aktywną eksploatację i odzyskać się z potencjalnych kompromisów.

Dlaczego to ma znaczenie (prosty język)

Uwierzytelnianie dwuetapowe jest jedną z najskuteczniejszych obron przed przejęciem konta. Oparte na emailu 2FA polega na krótkotrwałych tokenach wysyłanych na adres email użytkownika. Jeśli napastnik może oszukać stronę, aby zaakceptowała token, którego nie powinna — lub jeśli weryfikacja tokena jest wadliwa — to drugi czynnik jest skutecznie wyłączony. To pozostawia nazwy użytkowników i hasła (w tym wyciekłe lub łatwe do odgadnięcia dane) jako jedyną barierę dla wrażliwych kont.

Ponieważ wada pozwala na ominięcie bez wcześniejszego uwierzytelnienia (nieautoryzowany napastnik), znacznie podnosi to profil ryzyka. Napastnicy mogą próbować uwierzytelnić się jako użytkownicy o wysokich uprawnieniach i obejść 2FA, uzyskując kontrolę nad pulpitami administratorów, instalując tylne drzwi, tworząc nowych użytkowników administratorów lub kradnąc dane.

Co uznaliśmy (WP‑Firewall) za ważne w tej luce

  • Dotknięte wersje: wersje wtyczki <= 1.9.8.
  • Wersja z poprawką: 1.9.9 (zainstaluj natychmiast).
  • Typ ataku: Uszkodzone uwierzytelnianie — ominięcie weryfikacji tokena 2FA.
  • Wymagane uprawnienia: brak — nieautoryzowany napastnik może próbować eksploatacji.
  • Prawdopodobne przyczyny źródłowe (ujednolicona, bezpieczna wyjaśnienie):
    • Logika walidacji tokena nie zweryfikowała poprawnie, że przedstawiony token należy do żądającej sesji lub użytkownika, lub
    • Subtelny problem z obsługą stanu/parametru pozwolił na traktowanie pustych, wygasłych lub sfałszowanych tokenów jako ważnych w określonych przepływach API/endpointów.
  • Skutek: napastnik mógłby ominąć 2FA i wykonać działania, które normalnie wymagają drugiego czynnika, potencjalnie uzyskując dostęp administratora.

Notatka: unikamy reprodukcji kodu exploitów tutaj — to mogłoby ułatwić aktywne ataki. Zamiast tego skup się na praktycznych środkach łagodzących, wykrywaniu i odzyskiwaniu.

Natychmiastowe działania (zrób to teraz)

  1. Zaktualizuj wtyczkę do wersji 1.9.9 (lub nowszej)
    • WordPress Admin: Dashboard → Wtyczki → zlokalizuj wtyczkę Two‑Factor (2FA) Authentication via Email → Zaktualizuj.
    • WP‑CLI: uruchom wp wtyczka aktualizacja two-factor-2fa-via-email (potwierdź, że slug/nazwa pasuje do twojej instalacji).
    • Jeśli nie możesz zaktualizować natychmiast, postępuj zgodnie z tymczasowymi środkami łagodzącymi poniżej.
  2. Jeśli nie możesz zaktualizować natychmiast, tymczasowo wyłącz wtyczkę
    • Przejdź do Wtyczki → Zainstalowane wtyczki → Dezaktywuj wtyczkę.
    • Wyłączenie 2FA opartego na e-mailu zmniejsza wygodę, ale natychmiast usuwa powierzchnię ataku.
  3. Wprowadź alternatywne metody 2FA dla administratorów
    • Zachęcaj lub wymagaj TOTP (opartego na aplikacji) lub sprzętowego klucza 2FA dla wszystkich użytkowników administracyjnych i uprzywilejowanych, gdzie to możliwe.
  4. Zmień dane logowania administratorów i unieważnij sesje (jeśli podejrzewasz kompromitację)
    • Zresetuj hasła dla wszystkich administratorów i innych uprzywilejowanych kont.
    • Unieważnij aktywne sesje, usuwając tokeny sesji (zobacz “Kroki po kompromitacji” poniżej).
  5. Zwiększ monitorowanie i alertowanie
    • Włącz rejestrowanie audytów dla zdarzeń uwierzytelniania i działań zarządzania użytkownikami.
    • Monitoruj podejrzane logowania, resetowanie haseł, tworzenie nowych użytkowników administracyjnych, instalację wtyczek/motywów lub dodawanie nieznanych plików PHP do wp‑content.
  6. Zastosuj ochrony WAF
    • Wdróż zasady WAF, aby zablokować podejrzane wzorce nadużyć tokenów na poziomie HTTP, aż zaktualizujesz.
    • Jeśli używasz WP‑Firewall, upewnij się, że twoja zarządzana zapora i zasady są aktywne, a sygnatury otrzymują aktualizacje.

Jak napastnicy mogą nadużywać problemu — wiarygodne scenariusze

Poniżej znajdują się realistyczne scenariusze eksploatacji, które pokazują, dlaczego problem jest niebezpieczny. To nie są instrukcje krok po kroku dotyczące eksploatacji, ale wzorce, które obrońcy mogą monitorować.

  1. Przejęcie konta za pomocą ataku credential stuffing + obejście 2FA
    • Napastnicy używają skompromitowanych danych logowania lub ataku brute force, aby uwierzytelnić główny czynnik (nazwa użytkownika + hasło).
    • Gdy 2FA powinno zablokować logowanie, obejście tokena umożliwia natychmiastowy dostęp.
  2. Celowe kompromitowanie kont administratorów
    • Napastnik wymienia nazwy użytkowników administracyjnych (lub polega na powszechnych nazwach) i omija 2FA, aby uzyskać dostęp do pulpitu nawigacyjnego.
    • Mając dostęp administratora, mogą instalować tylne drzwi, zmieniać ustawienia witryny lub wykradać dane.
  3. Automatyzacja na dużą skalę
    • Ponieważ atak niekoniecznie wymaga wcześniejszej uwierzytelnionej sesji, napastnicy mogą szybko automatyzować próby obejścia tokena przeciwko wielu witrynom, zwiększając prawdopodobieństwo udanego kompromitowania przed zastosowaniem poprawek.
  4. Utrzymywanie dostępu po eksploatacji
    • Po początkowym przejęciu napastnicy tworzą nowych użytkowników administratorów, umieszczają web shelle lub dodają złośliwe zadania zaplanowane, aby utrzymać dostęp nawet po wykryciu.

Wykrywanie: na co zwracać uwagę w dziennikach i telemetrii

Jeśli zarządzasz logami, telemetrią WAF lub danymi SIEM, poszukaj następujących wskaźników możliwych prób eksploatacji:

  • Wydarzenia uwierzytelniania, w których krok drugiego czynnika jest zgłaszany jako obejrzany, brakujący lub zwracający nieoczekiwane wartości.
  • Wiele nieudanych prób 2FA, po których następuje nieoczekiwany sukces bez dostarczenia tokena e-mail.
  • Podejrzane żądania HTTP do punktów końcowych związanych z wtyczką (szukaj żądań, które zawierają parametry tokena o nienormalnej długości lub formacie).
  • Wzrost prób uwierzytelniania z tego samego adresu IP lub podsieci w różnych kontach.
  • Tworzenie nowych kont administracyjnych, szczególnie z nieznanych adresów IP.
  • Zmiany plików w wp‑content/plugins, wp‑content/uploads lub katalogach rdzeniowych po datach odpowiadających podejrzanym logowaniom.
  • Logi e-mail wychodzących pokazujące wiele dostarczeń tokenów (mogą być wywołane przez napastnika) lub brak dostarczeń tokenów przed udanym zaakceptowaniem drugiego czynnika.

Praktyczne zapytania logów (przykłady, które możesz dostosować):

  • Logi serwera WWW: szukaj żądań do punktów końcowych zawierających token= Lub /2fa i szukaj nietypowych wzorców.
  • Dzienniki WordPress: zdarzenia uwierzytelniania, aktualizacje metadanych użytkowników lub liczniki nieudanych logowań.
  • Dzienniki poczty: tokeny wysyłane na adresy e-mail administratorów — duża ilość lub nieoczekiwani odbiorcy.

WAF i rekomendacje dotyczące reguł (tymczasowe wzmocnienie)

Zapora aplikacji internetowej może zablokować wiele prób wykorzystania, nawet zanim zostanie zastosowana poprawka dostawcy. Poniżej znajdują się ogólne pomysły na reguły oraz przykład szablonu reguły ModSecurity (styl OWASP CRS), który możesz dostosować. Są one konserwatywne i zaprojektowane w celu zmniejszenia fałszywych alarmów; traktuj je jako tymczasowe rozwiązania, a nie trwałe zamienniki dla poprawki dostawcy.

Ważny: testuj reguły w trybie monitorowania przed wprowadzeniem ich w produkcji.

Sugerowane priorytety reguł:

  • Ogranicz liczbę podejrzanych punktów końcowych logowania/2FA.
  • Zablokuj żądania, które przedstawiają podejrzane wartości tokenów (ekstremalnie krótkie, puste lub powtarzające się tokeny).
  • Zablokuj wzorce skanowania automatycznego i znane sygnatury ładunków eksploitacyjnych.

Przykład reguły ModSecurity (przykład koncepcyjny — przetestuj i dostosuj do swojego środowiska):

# Zablokuj żądania z pustym parametrem 'token' do /wp-login.php lub punktów końcowych 2FA"

Wyjaśnienie:

  • Reguła powyżej odrzuca żądania do punktów końcowych logowania/2FA, gdzie token parametr nie jest obecny lub nie pasuje do oczekiwanej struktury (alfanumeryczna, długość 6–128).
  • Zastąp /twofa-endpoint z rzeczywistym punktem końcowym weryfikacji 2FA, którego używa Twoja strona, jeśli jest znany.
  • Monitoruj dzienniki pod kątem trafień reguł i dostosuj progi.

Ograniczanie liczby żądań (przykład fragmentu Nginx)

Ogranicz podejrzane żądania do 5 na minutę na IP dla punktów końcowych logowania/2fa
  • Użyj ograniczenia przepustowości, aby spowolnić zautomatyzowane próby wykorzystania; dostosuj stawki i wybuchy do oczekiwanego ruchu.

Notatka: to są ilustracyjne. Twoje środowisko hostingowe może używać różnych zasad WAF/edge; skonsultuj się z zespołem operacyjnym przed wdrożeniem.

Lista kontrolna łatania i wzmacniania (krok po kroku)

  1. Zaktualizuj wtyczkę natychmiast do 1.9.9 (lub nowszej).
  2. Jeśli nie możesz natychmiast załatać, dezaktywuj wtyczkę.
  3. Upewnij się, że wszystkie inne wtyczki, motywy i rdzeń WordPress są aktualne.
  4. Wymuś silniejsze 2FA dla uprzywilejowanych kont (oparte na aplikacji TOTP lub klucze sprzętowe).
  5. Zresetuj hasła administratorów i rotuj klucze API lub sekrety integracji powiązane z kontami administratorów.
  6. Unieważnij aktywne sesje:
    • Jeśli możesz, użyj wtyczki do zarządzania sesjami, aby wymusić wylogowanie wszystkich użytkowników.
    • Alternatywnie, wyczyść rekordy sesji w bazie danych (klucz user_meta: session_tokens) dla dotkniętych użytkowników — wykonaj kopię zapasową przed wprowadzeniem zmian.
  7. Skanuj witrynę pod kątem złośliwego oprogramowania i tylnej furtki:
    • Uruchom kontrole integralności plików po stronie serwera.
    • Skanuj katalogi wtyczek i motywów w poszukiwaniu niedawno zmodyfikowanych plików i nieznanych plików PHP.
  8. Wykonaj analizę logów kryminalistycznych:
    • Eksportuj logi uwierzytelniania, logi serwera WWW i logi panelu sterowania obejmujące okres wokół podejrzewanego wykorzystania.
  9. Jeśli wykryto kompromitację, postępuj zgodnie z krokami reakcji na incydent (poniżej).

Reakcja na incydent: jeśli uważasz, że zostałeś skompromitowany

Jeśli wykryjesz oznaki wykorzystania (nowe konta administratorów, powłoki WWW, podejrzane żądania POST akceptowane bez tokenów), postępuj zgodnie z przemyślanym procesem reakcji na incydent:

  1. Izoluj stronę (wyłącz ją lub wprowadź białą listę adresów IP) aby zapobiec dalszym szkodom.
  2. Wykonaj pełną kopię zapasową (pliki + baza danych) do analizy kryminalistycznej przed naprawą.
  3. Zmień wszystkie hasła dla kont administratora, bazy danych, FTP/SFTP i panelu sterowania.
  4. Usuń lub poddaj kwarantannie złośliwe pliki i tylne drzwi (najlepiej pod kierunkiem zaufanego zespołu ds. bezpieczeństwa).
  5. Przywróć z czystej kopii zapasowej, jeśli jest dostępna i znana jako dobra przed datą kompromitacji.
  6. Zmień wszystkie sekrety i klucze API, które istniały na stronie.
  7. Ponownie zastosuj aktualizacje zabezpieczeń i potwierdź, że wtyczka ma co najmniej wersję 1.9.9.
  8. Ponownie przeskanuj stronę kilka razy w ciągu kilku dni, aby potwierdzić, że mechanizmy utrzymywania są usunięte.
  9. Powiadom dotkniętych użytkowników, jeśli ich konta lub dane zostały skompromitowane (przestrzegaj obowiązujących przepisów o ujawnianiu informacji i najlepszych praktyk).
  10. Wzmocnij środowisko, aby zapobiec powtórnym atakom (WAF, ścisłe uprawnienia do plików, wyłącz wykonanie PHP w przesyłanych plikach itp.).

Jeśli zarządzasz wieloma stronami lub klientami, priorytetowo traktuj dochodzenie w przypadku najcenniejszych celów (ecommerce, strony z danymi osobowymi, użytkownicy z wysokimi uprawnieniami).

Lista kontrolna wzmocnienia po kompromitacji

  • Wprowadź silne zasady haseł i MFA dla wszystkich uprzywilejowanych użytkowników.
  • Wprowadź kontrolę dostępu opartą na rolach — zminimalizuj liczbę administratorów.
  • Zaplanuj regularne monitorowanie integralności plików i skanowanie złośliwego oprogramowania.
  • Wzmocnij PHP i uprawnienia do plików (np. wyłącz edytowanie plików w WP, zabroń wykonania PHP w przesyłanych plikach).
  • Ogranicz dostęp do obszaru administratora według adresu IP, gdzie to możliwe.
  • Włącz logowanie i centralizację logów dla łatwiejszej pracy kryminalistycznej.
  • Ustal rutynowy harmonogram łatania i testowania, aby zminimalizować okna narażenia.

Jak wykryć, czy twoja strona została już wykorzystana (szybkie kontrole)

  • Sprawdź listę użytkowników WP pod kątem nieoczekiwanych użytkowników administratora: WordPress admin → Użytkownicy → Wszyscy użytkownicy.
  • Sprawdź katalogi wtyczek i motywów pod kątem niedawno zmodyfikowanych plików:
    • znajdź wp-content -type f -mtime -30 -name '*.php' (przykład dla systemu Linux; dostosuj okno czasowe).
  • Szukaj podejrzanych zaplanowanych zdarzeń:
    • Sprawdź opcje_wp dla cron wpisów, których nie rozpoznajesz.
  • Sprawdź katalog uploads pod kątem plików PHP lub plików z podwójnymi rozszerzeniami (.jpg.php).
  • Przejrzyj logi serwera WWW pod kątem żądań POST do punktów końcowych logowania/2FA, które zakończyły się kodem 200/302, ale bez odpowiadających logów e-mailowych dla dostarczonych tokenów.
  • Sprawdź logi e-mailowe wychodzące pod kątem e-maili z tokenami wyzwalanymi dla kont, w których użytkownicy zgłaszają, że nie otrzymali tokenów.

Jeśli którakolwiek z tych kontroli wykazuje anomalie, traktuj witrynę jako potencjalnie skompromitowaną i postępuj zgodnie z powyższymi krokami reagowania na incydenty.

Praktyczne wskazówki dla hostów i agencji

  • Sporządź inwentaryzację wszystkich witryn i sprawdź, czy korzystają z podatnej wtyczki. Użyj skryptów lub pulpitów zarządzania, aby wykryć obecność wtyczki.
  • Priorytetowo traktuj łatanie w całej flocie — narażenie witryny i profil klienta określają priorytet.
  • Wykorzystaj okna konserwacyjne do aktualizacji i testowania wtyczki dla każdej witryny.
  • Wprowadź zasady WAF globalnie, aby zmniejszyć narażenie podczas stosowania poprawek.
  • Oferuj zarządzane czyszczenie dla skompromitowanych witryn, w tym analizę forensyczną i usuwanie.
  • Komunikuj się przejrzyście z dotkniętymi klientami na temat wykrywania, łagodzenia i podjętych kroków.

Długoterminowe zalecenia dotyczące wdrożeń 2FA

E-mail jako drugi czynnik jest wygodny, ale ma znane słabości (przejęcie konta e-mail, przechwycenie lub nadużycie tokenów). Dla wyższych wymagań bezpieczeństwa, preferuj:

  • Hasła jednorazowe oparte na czasie (TOTP) za pośrednictwem aplikacji uwierzytelniających (Google Authenticator, Authy).
  • Klucze bezpieczeństwa sprzętowego (FIDO2 / U2F), gdzie to możliwe.
  • Unikaj polegania wyłącznie na 2FA przez e-mail dla dostępu na poziomie administratora; używaj 2FA przez e-mail jako drugorzędnego lub zapasowego.

Również zweryfikuj, że twój dostawca/plugin 2FA:

  • Wiąże tokeny z konkretnymi sesjami i kontami użytkowników.
  • Wymusza ścisłe wygasanie tokenów i semantykę jednorazowego użycia.
  • Wprowadza dokładną walidację danych wejściowych po stronie serwera parametrów tokenów i pochodzenia żądania.

Przykładowy szablon komunikacji dla właścicieli stron, aby poinformować użytkowników

Temat: Aktualizacja zabezpieczeń — Ważna zmiana w uwierzytelnianiu dwuetapowym

Treść:

  • Krótko wyjaśnij lukę w pluginie i że załatano lub dezaktywowałeś dotknięty plugin 2FA.
  • Doradź użytkownikom, aby zresetowali hasła, jeśli są administratorami lub mają podwyższone uprawnienia na stronie.
  • Zalecaj włączenie aplikacji uwierzytelniającej opartej na aplikacji lub klucza sprzętowego dla silniejszej ochrony.
  • Podaj dane kontaktowe do wsparcia.

Utrzymuj ton jasny i uspokajający. Przejrzystość buduje zaufanie.

Dlaczego WAF + Aktywne Monitorowanie ma znaczenie (i jak WP‑Firewall pomaga)

Łatka pluginu jest poprawnym długoterminowym rozwiązaniem, ale w rzeczywistości zawsze istnieje okno między ujawnieniem a uniwersalnym łatawaniem. Prawidłowo skonfigurowany Web Application Firewall (WAF) może:

  • Blokować powszechne wzorce eksploatacji na krawędzi (zanim proces PHP je zobaczy).
  • Ograniczać i spowalniać automatyczne skanowanie i próby ataków brute-force.
  • Zapewniać wirtualne łatanie — tymczasowe zasady, które chronią znane luki, aż będziesz mógł zaktualizować.
  • Dawać ci wgląd w podejrzaną aktywność i ruch ataków automatycznych.

W WP‑Firewall nasze zarządzane zapory i automatyzacja są zaprojektowane, aby skrócić czas między ujawnieniem a ochroną. Oferujemy zarządzane zestawy reguł, monitorowanie w czasie rzeczywistym i możliwość szybkiego wdrażania wirtualnych łatek na twoich stronach — zmniejszając szansę na sukces atakującego przed wdrożeniem aktualizacji pluginu.

Zabezpiecz swoją stronę w kilka minut — zacznij od WP‑Firewall Basic (Darmowy)

Dołącz do tysięcy właścicieli stron, którzy wolą proaktywnie chronić swoje strony WordPress. Podstawowy plan WP‑Firewall (darmowy) zapewnia Ci niezbędną ochronę od razu: zarządzany firewall, nielimitowaną przepustowość, zaporę aplikacji internetowej (WAF), skaner złośliwego oprogramowania oraz łagodzenie ryzyk OWASP Top 10. Jeśli potrzebujesz więcej, łatwe ścieżki aktualizacji dodają automatyczne usuwanie złośliwego oprogramowania, kontrolę czarnych/białych list IP, miesięczne raporty bezpieczeństwa, automatyczne łatki wirtualne oraz usługi wsparcia premium. Zarejestruj się teraz i włącz podstawową ochronę w ciągu kilku minut: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Często zadawane pytania (krótkie)

P: Zaktualizowałem do 1.9.9 — czy teraz jestem bezpieczny?
O: Aktualizacja usuwa lukę w wtyczce. Jednak jeśli atakujący wcześniej miał dostęp, musisz również wykonać kroki wykrywania i naprawy (zmiana hasła, unieważnienie sesji, skanowanie złośliwego oprogramowania).

P: Czy mogę polegać na 2FA przez e-mail w dłuższej perspektywie?
O: 2FA przez e-mail jest lepsze niż nic, ale dla administratorów i kont o wysokiej wartości używaj TOTP lub kluczy sprzętowych dla silniejszego bezpieczeństwa.

P: Czy powinienem wyłączyć wtyczkę?
O: Jeśli nie możesz zaktualizować od razu, tak — dezaktywuj go tymczasowo. Jeśli potwierdziłeś, że 1.9.9 jest zastosowane w całym Twoim środowisku, włącz ponownie i monitoruj.

P: Czy WAF zastępuje łatanie?
O: Nie — WAF-y są komplementarne. Mogą łagodzić ryzyko i dawać czas na łatki, ale nie są substytutami poprawek dostawcy.

Zakończenie uwag od zespołu bezpieczeństwa WP‑Firewall

Bezpieczeństwo to warstwowa dyscyplina. Ten bypass tokena 2FA pokazuje, jak luka w dodatku może podważyć podstawowe założenia bezpieczeństwa. Łataj niezwłocznie, wdrażaj kontrolę kompensacyjną (WAF, monitoring, wzmocnione 2FA) i traktuj wszelkie oznaki eksploatacji poważnie.

Jeśli potrzebujesz pomocy w stosowaniu pilnych środków zaradczych na wielu stronach lub chcesz pomocy w wykrywaniu i oczyszczaniu, nasz zespół jest dostępny, aby pomóc. Rozważ rozpoczęcie od podstawowego planu WP‑Firewall (darmowego), aby uzyskać natychmiastową ochronę, a następnie oceń Standard lub Pro w celu automatycznego usuwania złośliwego oprogramowania, łatania wirtualnego i zarządzanego wsparcia.

Bądź bezpieczny i działaj szybko — kilka godzin może zrobić różnicę między zablokowaną próbą a pełnym kompromisem.

— Zespół ds. bezpieczeństwa WP‑Firewall

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.

Skontaktuj się z nami, aby zaplanować bezpłatną konsultację dotyczącą bezpieczeństwa WordPress

Skontaktuj się z nami

Zapora sieciowa WP
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Cechy Wycena Blog Login
Polityka prywatności Warunki korzystania z usługi Dokumenty Przyłączać

© 2026 WP-Firewall™