Krytyczna wrażliwość XSS w AddFunc Head Footer//Opublikowano 2026-04-10//CVE-2026-2305

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

AddFunc Head & Footer Code Vulnerability CVE-2026-2305

Nazwa wtyczki Kod nagłówka i stopki AddFunc
Rodzaj podatności Atak typu cross-site scripting (XSS)
Numer CVE CVE-2026-2305
Pilność Niski
Data publikacji CVE 2026-04-10
Adres URL źródła CVE-2026-2305

Wtyczka kodu nagłówka i stopki AddFunc XSS (CVE-2026-2305): Co właściciele stron WordPress powinni wiedzieć — i jak WP­Firewall cię chroni

Data: 10 kwietnia 2026
Powaga (lista Patchstack): Niska (CVSS 6.5)
Wersje dotknięte: <= 2.3
Poprawione w: 2.4
Wymagane uprawnienia: Współtwórca (uwierzytelniony)

Niedawne ujawnienie (CVE-2026-2305) opisuje uwierzytelnioną, przechowywaną podatność na skrypty międzywitrynowe (XSS) w wtyczce kodu nagłówka i stopki AddFunc dla WordPress (wersje do 2.3). Ta podatność pozwala użytkownikowi z dostępem na poziomie Współpracownika na wstrzykiwanie ładunków przypominających skrypty przez pola niestandardowe, które mogą być później renderowane bez sanitizacji — co prowadzi do przechowywanego XSS na stronach lub ekranach administracyjnych, gdzie te pola są wyświetlane.

Jako zespół stojący za WP­Firewall (dostawca zabezpieczeń WordPress i zarządzanego WAF), chcę przedstawić ci czytelne, praktyczne podsumowanie ryzyka, realistycznych scenariuszy ataków, kroków wykrywania i czyszczenia oraz warstwowych zabezpieczeń, które powinieneś natychmiast zastosować. Wyjaśnię również, jak nasze możliwości zapory chronią cię (w tym wirtualne łatanie i sygnatury WAF) oraz dostarczę konkretne, bezpieczne wskazówki dotyczące kodu i konfiguracji dla programistów i administratorów stron.

To jest napisane z perspektywy praktyka bezpieczeństwa WordPress — praktyczne, bez zbędnych słów, z powtarzalnymi krokami, które możesz wykorzystać już dziś.

Streszczenie wykonawcze — co się stało i dlaczego to ma znaczenie

  • Wtyczka kodu nagłówka i stopki AddFunc (wersje <= 2.3) pozwalała na włączenie treści dostarczonej przez użytkownika z niestandardowych pól postów do wyjścia bez wystarczającej sanitizacji/escapingu.
  • Uwierzytelniony użytkownik z uprawnieniami Współpracownika (mogący dodawać lub edytować posty i pola niestandardowe) mógł zapisać ładunek zawierający tagi skryptów lub obsługiwacze zdarzeń.
  • Gdy ta treść jest później renderowana na froncie lub w obrębie strony administracyjnej bez odpowiedniego escapingu, przechowywany skrypt wykonuje się w przeglądarce odwiedzającego lub administratora.
  • Wpływ zależy od miejsca, w którym pole jest renderowane:
    • Jeśli ładunek wykonuje się na froncie (publiczne strony), odwiedzający stronę mogą być dotknięci (złośliwe przekierowania, fałszywe formularze, koparki kryptowalut, wstrzykiwanie treści).
    • Jeśli ładunek wykonuje się w stronach administracyjnych (np. gdy edytor lub administrator otwiera post w panelu), użytkownicy z wyższymi uprawnieniami mogą być celem, co prowadzi do przejęcia strony: kradzież konta, instalacja wtyczek/tematów, zmiany ustawień lub instalacja tylnej furtki.
  • Wtyczka została poprawiona w wersji 2.4. Natychmiastową poprawną akcją dla dotkniętych stron jest aktualizacja do 2.4 lub nowszej.

Dlaczego Współpracownik może być niebezpieczny — model zagrożeń w rzeczywistym świecie

Wielu właścicieli stron uważa, że użytkownicy na poziomie Współpracownika są niskiego ryzyka, ponieważ nie mogą publikować treści. Chociaż jest to słuszne pojęcie w zarządzaniu treścią, współpracownicy nadal zazwyczaj mogą tworzyć posty, edytować swoje własne szkice i dodawać pola niestandardowe (w zależności od konfiguracji strony). Przechowywane XSS przez pola niestandardowe jest szczególnie niebezpieczne, ponieważ:

  • Złośliwa treść jest trwała — jest przechowywana w bazie danych i zostanie uruchomiona za każdym razem, gdy zostanie wyświetlona.
  • Jeśli strona lub motyw wyświetla niestandardowe pola na stronach administracyjnych (podglądy postów, meta boxy) lub na stronach front-endowych bez odpowiedniego zabezpieczenia, skrypty wykonują się z uprawnieniami użytkownika przeglądającego w jego przeglądarce.
  • Napastnicy mogą tworzyć ładunki, które wykonują działania w imieniu administratora (zmiana haseł, tworzenie kont administratorów, instalowanie wtyczek) wykorzystując uwierzytelnioną sesję administratora i sfałszowane żądania (CSRF w połączeniu z XSS).

Krótko mówiąc: wkłady od użytkowników, którym ufałeś w kwestii treści, mogą być wykorzystane do przejęcia strony, jeśli brakuje sanitizacji/zabezpieczeń.

Typowy przebieg eksploatacji (na wysokim poziomie, nie do działania)

  1. Napastnik rejestruje lub używa konta z uprawnieniami Współpracownika (lub kompromituje jedno).
  2. Napastnik edytuje szkic lub tworzy post i dodaje złośliwą treść do niestandardowego pola (na przykład, <script>…</script> lub ładunki oparte na atrybutach, takie jak onerror=… wewnątrz dozwolonego tagu).
  3. Strona przechowuje tę treść w postmeta.
  4. Gdy post jest ładowany w kontekście, w którym wtyczka lub motyw wyświetla to niestandardowe pole bez sanitizacji (strona front-endowa, podgląd administracyjny lub meta box), przeglądarka uruchamia wstrzyknięty kod.
  5. Jeśli administrator przegląda dotkniętą stronę lub post w interfejsie administracyjnym (lub jeśli celowani są odwiedzający), wstrzyknięty skrypt może:
    • Kraść ciasteczka administratora (jeśli nie są HttpOnly — chociaż nowoczesne najlepsze praktyki zmniejszają kradzież ciasteczek, ale nie wszystkie strony się do nich stosują),
    • Wykorzystać uprawnienia administratora do stworzenia nowego konta administratora za pomocą REST API / punktów końcowych administracyjnych,
    • Modyfikować pliki lub ustawienia wtyczek/motywów,
    • Zainstalować tylne drzwi lub utrzymać dalsze złośliwe oprogramowanie,
    • Ekstrahować dane.

Ponieważ eksploatacja często wymaga interakcji administratora (przeglądania postu w administracji lub kliknięcia w konkretny link podglądu), Patchstack wymienia “Wymagana interakcja użytkownika”, ale ta interakcja może być tak prosta, jak otwarcie edytora postów lub stworzony link podglądu.

Praktyczne kroki w celu ochrony Twojej witryny — natychmiastowe działania (lista kontrolna)

  1. Aktualizacja wtyczki
    – Jeśli używasz AddFunc Head & Footer Code, natychmiast zaktualizuj do wersji 2.4 lub nowszej. To jest kanoniczna poprawka.
  2. Jeśli nie możesz zaktualizować natychmiast
    – Usuń lub tymczasowo wyłącz wtyczkę.
    – Zablokuj konta współpracowników przed edytowaniem lub dodawaniem niestandardowych pól, aż wtyczka zostanie zaktualizowana.
    – Zastosuj wirtualne łatanie na poziomie WAF (zobacz wskazówki WAF poniżej).
  3. Skanuj pod kątem złośliwej zawartości w niestandardowych polach
    – Użyj WP­CLI lub bezpośrednich zapytań DB, aby znaleźć wartości meta zawierające <script, onerror=, JavaScript:, lub podejrzany HTML.
        – Przykład (najpierw zrób kopię zapasową swojej bazy danych):
           wp db query "SELECT post_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%<script%';"
        – Szukaj również onerror=, ładowanie=, JavaScript: wzorców.
    – Przejrzyj wpisy i usuń lub oczyść podejrzane wartości meta.
  4. Kontrola kont użytkowników
    – Zweryfikuj wszystkich Współpracowników i Redaktorów: czy są legalni? Usuń nieaktualne lub podejrzane konta.
    – Wymuszaj silne hasła i 2FA dla ról uprzywilejowanych (Redaktor, Administrator).
  5. Sprawdź oznaki kompromitacji
    – Szukaj nieznanych kont administratorów, nieoczekiwanych plików wtyczek/tematów, niedawno zmodyfikowanych plików, zaplanowanych zadań i wychodzących połączeń z serwera.
    – Uruchom skanowanie złośliwego oprogramowania (skaner WP­Firewall lub inny renomowany skaner).
  6. Zmień dane uwierzytelniające i klucze API, jeśli istnieje podejrzenie naruszenia
    – Zmień hasła administratorów i wszelkie ujawnione klucze API.
    – Unieważnij sesje, jeśli to konieczne (wymuś wylogowanie dla wszystkich użytkowników).
  7. Wykonaj kopię zapasową przed czyszczeniem
    – Zrób pełną kopię zapasową witryny (pliki i DB) przed naprawą. To zachowuje dowody i daje punkt przywracania.
  8. Wzmocnij niestandardowe pola na przyszłość
    – Wymagaj oczyszczania przy zapisie i ucieczki przy wyjściu — zobacz rekomendacje kodu poniżej.

Jak bezpiecznie znaleźć złośliwe wpisy XSS przechowywane

Wyszukiwanie podejrzanej zawartości w bazie danych jest kluczowe, ale musi być przeprowadzane ostrożnie:

  • Zawsze twórz kopię zapasową przed uruchomieniem zapytań lub wprowadzeniem zmian.
  • Zacznij od zapytań tylko do odczytu, aby zidentyfikować podejrzane wpisy, a następnie przeglądaj je ręcznie.
  • Przykładowe zapytania wykrywania WP­CLI:
# Znajdź postmeta, które zawiera <script"

Eksportuj podejrzane wartości meta i sprawdź je, a następnie zdecyduj, czy je oczyścić, czy usunąć.

Czyszczenie podejrzanych wpisów

Jeśli zidentyfikujesz złośliwe wartości meta:

  • Jeśli wpis jest oczywiście złośliwy (pełne <script> bloki), usuń wiersz meta.
  • Jeśli wpis zawiera przydatne dane, ale także wstrzyknięte tagi, oczyść zawartość:
<?php

Jeśli nie czujesz się komfortowo edytując DB ręcznie, zaangażuj swojego dewelopera lub hosta.

Wskazówki dla dewelopera: bezpieczne zarządzanie polami niestandardowymi (oczyszczanie w czasie zapisu i ucieczka przy wyjściu)

Takie luki są zazwyczaj spowodowane brakiem lub niewystarczającym oczyszczaniem danych wejściowych oraz brakiem ucieczki przy wyjściu. Przestrzegaj obu zasad:

  1. Oczyszczaj przy zapisie (aby przechowywane dane były bezpieczne)
  2. Uciekaj przy wyjściu (nigdy nie ufaj przechowywanym danym)

Zalecane wzorce:

  • Używaj funkcji oczyszczania WordPressa podczas zapisywania meta:
<?php
  • Przy wyjściu zawsze escape w zależności od kontekstu:
<?php
  • Lepszy wzór: zarejestruj meta z callbackiem do sanityzacji (dobrze działa z REST):
<?php
  • Zawsze sprawdzaj uprawnienia przed zapisaniem lub renderowaniem meta tylko dla administratorów. Używaj nonce dla formularzy administracyjnych.

WAF i wirtualne łatanie — natychmiastowa ochrona na poziomie sieci

Gdy istnieje luka w wtyczce i natychmiastowa aktualizacja nie jest możliwa, dobrze skonfigurowany zapora aplikacji webowej (WAF) zapewnia wirtualne łatanie. Wirtualne łatanie oznacza przechwytywanie złośliwych żądań i blokowanie ich przed dotarciem do podatnej ścieżki kodu.

Typowe łatania WAF dla tego typu przechowywanego XSS obejmują:

  • Blokowanie żądań POST, które zawierają podejrzane ładunki skryptów w znanych nazwach pól meta (np. zawartości postmeta, _niestandardowy_*).
  • Blokowanie lub sanityzacja żądań, które zawierają <script> tagi, atrybuty obsługi zdarzeń (onerror=, ładowanie=), JavaScript: URI, treść skryptu zakodowaną w base64 lub oczywiste wzorce obfuskacji.
  • Ograniczenie liczby żądań POST, które tworzą lub aktualizują posty od użytkowników o niskich uprawnieniach.
  • Blokowanie znanych sygnatur exploitów i kodowań ładunków.

Przykład pseudo-reguły (dla ogólnego silnika WAF) — tylko koncepcyjnie:

# Pseudokod reguły WAF: blokuj tagi skryptów w polach postmeta'

Jeśli uruchamiasz WAF oparty na hoście lub WAF w chmurze, skonfiguruj regułę, która sprawdza treść żądania pod kątem tych wzorców i blokuje je dla użytkowników z uprawnieniami Współtwórcy/Autora. To zapewnia natychmiastowe łatanie podczas aktualizacji.

W WP­Firewall zapewniamy ukierunkowane reguły wirtualnego łatania, które wykrywają i blokują wzorce używane w próbach przechowywanego XSS, w połączeniu z monitorowaniem i powiadamianiem, gdy wystąpiła zablokowana próba.

Przykłady reguł WAF — styl ModSecurity (przykład, dostosuj do swojego środowiska)

Poniżej znajdują się przykładowe wzorce do użycia jako punkt wyjścia. Są one ilustracyjne — testuj dokładnie, aby uniknąć fałszywych pozytywów:

Przykład reguły ModSecurity do wykrywania tagów  w treści POST"

Przykład reguły do wykrywania atrybutów zdarzeń takich jak onerror= lub onload="

Ważne: zawsze testuj reguły w środowisku stagingowym, aby zidentyfikować uzasadnione przypadki brzegowe (niektóre uzasadnione treści mogą zawierać dozwolony HTML) i dostosuj reguły odpowiednio.

Wykrywanie — logi i wskaźniki eksploatacji

Jeśli podejrzewasz, że doszło do eksploatacji:

  • Sprawdź logi dostępu serwera pod kątem POST-ów, które tworzą lub modyfikują posty (POST-y do /wp-admin/post.php, /wp-json/wp/v2/posts).
  • Sprawdź logi aplikacji (jeśli je masz) pod kątem podejrzanych parametrów POST.
  • Szukaj alertów z twojego skanera złośliwego oprogramowania pokazujących zmodyfikowane pliki wtyczek/tematów, nieznane pliki lub webshells.
  • Sprawdź listę użytkowników administratora pod kątem nowo utworzonych kont administratorów.
  • Szukaj wychodzących połączeń z twojego serwera do nieznanych hostów.
  • Przejrzyj ostatnie zadania cron i zaplanowane zadania pod kątem nieznanych wykonania PHP.

Jeśli znajdziesz wstrzykniętą treść w postmeta, traktuj to jako potencjalne naruszenie: przeprowadź pełną reakcję na incydent (kwarantanna, snapshot forensyczny, przywrócenie z czystej kopii zapasowej, jeśli to konieczne).

Po infekcji — usuwanie i wzmocnienie

Jeśli znajdziesz dowody na to, że strona została naruszona:

  1. Izolować strona (wyłącz ją lub zablokuj dostęp przychodzący) podczas prowadzenia dochodzenia.
  2. Zachowaj dowody: wykonaj pełny snapshot, zachowaj logi (serwer www, baza danych).
  3. Zidentyfikuj mechanizmy utrzymywania: sprawdź dodanych użytkowników administratora, zmodyfikowany wp-config.php, zastąpione pliki rdzenne, złośliwe wtyczki/tematy, zadania cron, zaplanowane zdarzenia.
  4. Czyszczenie: usuń złośliwe pliki i wpisy w bazie danych. Jeśli nie jesteś pewien, przywróć z czystej kopii zapasowej.
  5. Zmień dane uwierzytelniające: zresetuj wszystkie hasła, unieważnij klucze API, obróć klucze SSH.
  6. Poprawka: zaktualizuj rdzeń WordPressa, wtyczki i motywy do najnowszych wersji.
  7. Wzmocnij: ogranicz uprawnienia do plików, wyłącz edytowanie plików za pomocą wp-config.php (Wyłącz edytowanie plików wtyczek/tematów z poziomu administratora (), wymuś 2FA dla wszystkich administratorów, przeglądaj minimalne uprawnienia dla wszystkich kont.
  8. Monitor: włącz monitorowanie bezpieczeństwa, monitorowanie integralności plików i powiadamianie o krytycznych zdarzeniach.

Długoterminowe kontrole — zmniejsz ryzyko związane z nadużywaniem ról i nieufnym HTML

  • Zminimalizuj liczbę kont, które mogą edytować treści; zastosuj minimalne uprawnienia.
  • Wymagaj procesów zatwierdzania dla treści przesyłanych przez użytkowników, gdzie to możliwe (przegląd przed publikacją).
  • Ogranicz, które role mogą dodawać niestandardowe pola lub używać wtyczek, które ujawniają renderowanie niestandardowych pól.
  • Edukuj współpracowników o ryzyku osadzania HTML w polach.
  • Użyj nagłówków Polityki Bezpieczeństwa Treści (CSP), aby ograniczyć wpływ wstrzykniętych skryptów (może to zmniejszyć zasięg niektórych ataków XSS).
  • Dla stron z wieloma współpracownikami, włącz silniejsze rozdzielenie ról i rozważ wtyczki do moderacji przepływu.

Jak zaufany WAF + zarządzane bezpieczeństwo skraca czas naprawy

Zarządzany WAF i usługa bezpieczeństwa zapewniają:

  • Szybkie wirtualne łatanie: blokuj próby wykorzystania natychmiast bez potrzeby modyfikacji kodu aplikacji.
  • Aktualizacje sygnatur w miarę publikacji badań, aby zasady wychwytywały nowe ładunki.
  • Narzędzia do skanowania i usuwania złośliwego oprogramowania, aby znaleźć i naprawić wstrzyknięte treści.
  • Monitorowanie i powiadamianie, abyś nie musiał obserwować dzienników 24/7.
  • Wskazówki podczas reakcji na incydenty i pomoc w przywracaniu, gdy jest to potrzebne.

WP­Firewall łączy te możliwości z wyspecjalizowaną logiką dla WordPressa (wzorce żądań, punkty końcowe REST, punkty końcowe administratora), dzięki czemu możemy wykrywać i łagodzić ataki, które celują w powszechne wektory WordPressa, takie jak przechowywane XSS w meta.

Praktyczne notatki dotyczące dostosowywania WAF (zmniejszenie fałszywych alarmów)

  • Wykluczenie zaufanych adresów IP administratorów z agresywnego blokowania może zapobiec przerwom w pracy administratora — ale należy to zrównoważyć z ryzykiem bezpieczeństwa.
  • Używaj reguł, które pasują do nazw parametrów powszechnie używanych dla pól meta (meta[], postmeta, acf, pola niestandardowe) zamiast blokować wszystkie <script> tagi globalnie.
  • Rejestruj podejrzane, ale nie wyraźnie złośliwe żądania (tryb tylko powiadomień) przez pewien czas przed zablokowaniem — to pomaga dostosować sygnatury do wzorców użycia twojej witryny.

Przykładowy podręcznik reakcji na incydenty (zwięzły)

  1. Zaktualizuj wtyczkę do 2.4 (jeśli to możliwe).
  2. Jeśli natychmiastowa aktualizacja jest niemożliwa: włącz regułę wirtualnej łatki, która sprawdza ciała POST pod kątem skryptów i atrybutów zdarzeń celujących w parametry postmeta.
  3. Uruchom zapytanie DB, aby znaleźć podejrzane wartości meta; wyeksportuj wyniki do przeglądu.
  4. Usuń potwierdzone złośliwe wpisy i oczyść niejednoznaczne.
  5. Zresetuj hasła dla wszystkich administratorów; wymuś 2FA.
  6. Skanuj system plików w poszukiwaniu zmodyfikowanych plików i nieznanych plików PHP.
  7. Przywróć z czystej kopii zapasowej, jeśli naprawa jest niepewna.
  8. Monitoruj logi pod kątem powtarzających się prób; zablokuj obraźliwe adresy IP.

Rekomendacje przyjazne dla deweloperów w celu wyeliminowania tej klasy błędów

  • Zawsze oczyszczaj przy zapisie i escape'uj przy wyjściu.
  • Używaj interfejsów API WordPressa: register_post_meta z funkcjami oczyszczającymi, sanitize_text_field, wp_kses_post, esc_html, esc_attr.
  • Używaj nonce'ów i sprawdzeń uprawnień dla wszelkich operacji zapisu po stronie administratora.
  • Unikaj przechowywania surowego HTML, chyba że to absolutnie konieczne; jeśli to robisz, ogranicz dozwolone tagi i atrybuty za pomocą wp_kses.
  • Uczyń bezpieczeństwo częścią pipeline'u CI/CD: analiza statyczna, sprawdzanie zależności i przeglądy bezpieczeństwa przed wydaniem wtyczek/motywów.

Jak zweryfikować, że Twoja strona nie jest już podatna

  1. Upewnij się, że kod AddFunc Head & Footer jest zaktualizowany do wersji 2.4 lub nowszej.
  2. Sprawdź, czy nie ma wpisów postmeta z <script> lub atrybutami zdarzeń, które mogłyby zostać wykonane.
  3. Potwierdź, że strony front-end i admina witryny poprawnie zabezpieczają wyjście z pól niestandardowych.
  4. Sprawdź logi WAF w poszukiwaniu zablokowanych prób i upewnij się, że masz włączone logowanie/alerty.
  5. Przeprowadź pełne skanowanie złośliwego oprogramowania i zweryfikuj integralność plików.

Zacznij od bezpłatnej ochrony od WP­Firewall

Ochrona Twojej witryny WordPress nie powinna być skomplikowana. Jeśli chcesz natychmiastowej podstawowej ochrony podczas przeglądania aktualizacji wtyczek i usuwania podejrzanych treści, rozważ zapisanie się na bezpłatny plan podstawowy WP­Firewall. Bezpłatny plan obejmuje aktywnie zarządzany zaporę, nielimitowaną przepustowość, WAF, skaner złośliwego oprogramowania i pokrycie w zakresie ryzyk OWASP Top 10 — wystarczająco, aby zablokować wiele powszechnych prób wykorzystania i dać Twojemu zespołowi czas na bezpieczne wprowadzenie poprawek. Wypróbuj WP­Firewall Basic za darmo tutaj: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Jeśli chcesz automatycznego usuwania złośliwego oprogramowania i bardziej zaawansowanej kontroli, takiej jak czarne listy IP, nasze płatne plany dodają te funkcje za umiarkowaną roczną opłatą.)

Ostateczne zalecenia — lista priorytetowych działań (krótka)

  1. Zaktualizuj kod AddFunc Head & Footer do wersji 2.4+ teraz.
  2. Jeśli nie możesz zaktualizować od razu, zablokuj lub wyłącz wtyczkę i zastosuj zasady wirtualnego łatania WAF.
  3. Skanuj i usuń złośliwe wpisy pól niestandardowych.
  4. Audytuj użytkowników i wymuszaj hasła/2FA dla kont uprzywilejowanych.
  5. Wzmocnij sanitację w czasie zapisu i zabezpieczanie w czasie wyjścia dla pól niestandardowych.
  6. Użyj WP­Firewall lub zarządzanego WAF, aby uzyskać natychmiastową ochronę i monitorowanie.

Podsumowanie

Ta podatność przypomina, że nawet pozornie niskoprawne role i małe wtyczki mogą stanowić duże ryzyko, jeśli dane są przechowywane i później renderowane bez odpowiedniej sanitacji i zabezpieczenia. WordPress jest elastyczny, co jest jego największą siłą — a także najczęstszym źródłem ryzyka, gdy kod zakłada zaufanie tam, gdzie go nie ma.

Zastosuj aktualizację, zeskanuj i usuń podejrzane wartości meta, a przed swoją stroną umieść WAF — nie jako stały substytut bezpiecznego kodu, ale jako niezbędną kontrolę kompensacyjną, która daje Ci czas na naprawę przyczyny. Jeśli potrzebujesz pomocy w implementacji zasad WAF, wirtualnym łatach lub sprzątaniu po incydencie, zespół WP­Firewall specjalizuje się w szybkim, świadomym WordPressa łagodzeniu.

Jeśli potrzebujesz audytu krok po kroku lub pomocy, skontaktuj się ze swoim dostawcą zabezpieczeń lub skorzystaj z darmowego planu WP­Firewall, aby uzyskać natychmiastową podstawową ochronę podczas usuwania problemów.

Bądź bezpieczny i traktuj pola niestandardowe jako niezaufane dane wejściowe — oczyszczaj, escape'uj i przeglądaj.

— Zespół Bezpieczeństwa WP-Firewall

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.

Skontaktuj się z nami, aby zaplanować bezpłatną konsultację dotyczącą bezpieczeństwa WordPress

Skontaktuj się z nami

Zapora sieciowa WP
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Cechy Wycena Blog Login
Polityka prywatności Warunki korzystania z usługi Dokumenty Przyłączać

© 2026 WP-Firewall™