Wzmacnianie dodatków Elementor przeciwko atakom typu Cross Site Scripting//Opublikowano 2026-04-08//CVE-2026-4655

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

Element Pack Elementor Addons Vulnerability

Nazwa wtyczki Element Pack Elementor Dodatki
Rodzaj podatności Cross Site Scripting (XSS)
Numer CVE CVE-2026-4655
Pilność Niski
Data publikacji CVE 2026-04-08
Adres URL źródła CVE-2026-4655

Uwierzytelniony wkład XSS przechowywany w dodatkach Element Pack dla Elementora (CVE-2026-4655): Co właściciele stron WordPress powinni wiedzieć — Łagodzenie i wskazówki WAF od WP‑Firewall

Data: 2026-04-09
Autor: Zespół ds. bezpieczeństwa WP‑Firewall
Tagi: WordPress, bezpieczeństwo, WAF, podatność, XSS, Elementor, wtyczka

Krótko mówiąc

Przechowywana podatność na Cross‑Site Scripting (XSS) (CVE‑2026‑4655) dotyczy dodatków Element Pack dla Elementora (wersje ≤ 8.4.2). Uwierzytelniony użytkownik z uprawnieniami Wkładowcy może przesłać spreparowany plik SVG za pomocą widżetu obrazu SVG wtyczki, co skutkuje przechowywanym XSS. Problem został naprawiony w wersji 8.5.0. Wpływ oceniono na średni (CVSS 6.5) — wykorzystanie wymaga obecności podatnej wtyczki oraz uwierzytelnowanego konta Wkładowcy, z pewną interakcją atakującego.

Jeśli prowadzisz strony WordPress, powinieneś:

  • Natychmiast zaktualizować dodatki Element Pack dla Elementora do wersji 8.5.0 lub nowszej.
  • Jeśli nie możesz zaktualizować natychmiast, zablokuj wektor za pomocą WAF, wyłącz przesyłanie plików SVG, ogranicz, kto może przesyłać pliki, i monitoruj oznaki kompromitacji.
  • Użyj wirtualnego łatania / ukierunkowanych reguł WAF, aby zatrzymać próby wykorzystania i usunąć złośliwe pliki SVG z biblioteki mediów.

Poniżej wyjaśniamy podatność w praktycznych terminach, jak atakujący mogą ją wykorzystać, jakie natychmiastowe środki łagodzące możesz podjąć (w tym praktyczne reguły WAF i wzmocnienie serwera), kroki wykrywania i odzyskiwania oraz długoterminowe zalecenia dotyczące wzmocnienia, które możesz zastosować już teraz.

Tło — podatność w prostych słowach

Dodatki Element Pack dla Elementora zawierają błąd sanitizacji/obsługi związany z SVG w wersjach do 8.4.2. Konkretnie, uwierzytelnieni użytkownicy z uprawnieniami Wkładowcy (lub wyższymi, w zależności od konfiguracji Twojej strony) mogą dostarczyć plik SVG, który zawiera funkcje skryptowe (na przykład inline JavaScript lub obsługiwacze zdarzeń). Widżet obrazu SVG wtyczki przechowywał lub renderował niebezpieczny plik SVG w sposób, który pozwalał na uruchomienie tego skryptu w kontekście strony później — klasyczne przechowywane XSS.

Przechowywane XSS jest niebezpieczne, ponieważ ładunek jest utrwalany na stronie (biblioteka mediów, meta postów, baza danych) i może być wykonywany, gdy inny użytkownik (często z wyższymi uprawnieniami) lub jakikolwiek odwiedzający stronę zobaczy stronę. W tym przypadku atakujący potrzebuje jednej z dwóch rzeczy: albo użytkownika z wyższymi uprawnieniami, aby interagował z treścią (na przykład kliknięcie lub odwiedzenie), albo niczego niepodejrzewającego odwiedzającego stronę, na której renderowany jest złośliwy plik SVG.

Dostawca wydał poprawkę w wersji 8.5.0. Przyznano CVE‑2026‑4655, a publiczne szczegóły wskazują, że wykorzystanie wymaga uwierzytelnowanego wkładowcy (lub strony, na której konta Wkładowcy mogą przesyłać media). Opublikowany wynik CVSS to 6.5 (średni).

Dlaczego to ma znaczenie dla stron WordPress

  • Pliki SVG to dokumenty XML, które mogą zawierać treści skryptowe. W przeciwieństwie do obrazów rastrowych (PNG, JPG), SVG mogą osadzać elementy i atrybuty, które wykonują JavaScript, jeśli przeglądarki renderują je inline.
  • Wiele stron używa Elementora i powiązanych pakietów dodatków do budowy stron. Ekosystemy wtyczek i widżetów zwiększają powierzchnię ataku.
  • Konta Wkładowcy są czasami dostępne dla pisarzy, osób przesyłających treści lub zewnętrznych współpracowników. Jeśli te konta mają prawo do przesyłania mediów (jak to ma miejsce na wielu stronach), atakujący może wykorzystać to uprawnienie.
  • Przechowywane XSS może prowadzić do:
    • Przejęcia konta administratora lub kradzieży sesji (jeśli ciasteczka sesji są dostępne)
    • Eskalacji uprawnień lub wstrzykiwania treści
    • Zmiany wyglądu, przekierowania, dostarczania złośliwego oprogramowania, spam SEO
    • Dystrybucja trwałych backdoorów lub złośliwego kodu

Nawet jeśli Twoja strona jest mała lub mało ruchliwa, zautomatyzowane skanowanie masowe i zestawy exploitów mogą znaleźć i wykorzystać takie luki.

Przepływ ataku (na wysokim poziomie)

  1. Atakujący rejestruje się lub uzyskuje dostęp jako Współpracownik (lub kompromituje istniejące konto Współpracownika).
  2. Atakujący przesyła złośliwy plik SVG za pomocą widżetu obrazu SVG wtyczki lub formularza przesyłania mediów.
  3. Wtyczka przechowuje plik SVG i później renderuje go na stronie lub w widżecie, nie usuwając niebezpiecznej zawartości (skryptów lub obsługi zdarzeń).
  4. Gdy uprzywilejowany użytkownik lub odwiedzający stronę otwiera stronę (lub uprzywilejowany użytkownik wchodzi w interakcję z widżetem), JavaScript w pliku SVG wykonuje się w ich przeglądarce.
  5. Skrypt atakującego wykonuje złośliwe działania: kradzież ciasteczek (jeśli to możliwe), publikowanie treści, tworzenie użytkowników z uprawnieniami administratora lub ładowanie dalszych ładunków.

Notatka: Wiele nowoczesnych przeglądarek i ustawień zabezpieczeń może blokować niektóre ładunki (np. ciasteczka SameSite, HttpOnly, CSP). Ale obejścia XSS są nadal powszechne i niebezpieczne.

Natychmiastowe działania (pierwsze 6–24 godziny)

  1. Aktualizacja (najlepsza opcja)
    • Natychmiast zaktualizuj wtyczkę do wersji 8.5.0 lub nowszej. To jedyne pełne rozwiązanie.
  2. Jeśli nie możesz zaktualizować natychmiast, zastosuj warstwy łagodzące:
    • Ogranicz przesyłanie: Tymczasowo ogranicz możliwość przesyłania plików dla ról o niskich uprawnieniach (Współpracownicy, Autorzy). Usuń uprawnienia do przesyłania, aż będziesz mógł bezpiecznie zaktualizować.
    • Wyłącz przesyłanie SVG: Zablokuj przesyłanie plików SVG na poziomie WordPressa lub za pośrednictwem swojego serwera (blokowanie typu MIME lub rozszerzenia).
    • Wirtualne łatanie WAF: Wdróż zasady WAF, aby wykrywać i blokować przesyłanie plików SVG zawierających konstrukcje przypominające skrypty lub podejrzane elementy/atrybuty SVG.
    • Audyt biblioteki mediów: Sprawdź bibliotekę mediów pod kątem niedawno przesłanych plików SVG przez konta współpracowników i usuń nieoczekiwane lub nieufne pliki.
    • Ogranicz role edytorów: Upewnij się, że tylko zaufani użytkownicy mają uprawnienia do edytowania lub możliwość wstawiania widżetów renderujących przesłane treści SVG.
  3. Monitoruj logi i punkty końcowe w poszukiwaniu oznak eksploatacji.

Zdecydowanie zalecamy najpierw zaktualizowanie wtyczki — każda inna miara to tymczasowa łatka, która pomaga zmniejszyć ryzyko, aż załatwisz problem.

Praktyczne zasady WAF i serwera (zalecane)

Zapora aplikacji internetowej to najszybszy sposób na zapobieganie wykorzystaniu na dużą skalę. Poniżej znajdują się praktyczne pomysły na reguły, które możesz zastosować w swojej WAF lub przetłumaczyć na polityki ModSecurity / Nginx / chmurowej WAF. Te reguły koncentrują się na blokowaniu złośliwej zawartości SVG i podejrzanych żądań. Celem jest zapobieżenie dotarciu niebezpiecznego pliku na stronę lub zablokowanie prób renderowania.

Ważny: Dostosuj wyrażenia regularne i progi do swojego środowiska, aby uniknąć fałszywych alarmów (szczególnie jeśli legalnie używasz inline SVG).

  1. Zablokuj przesyłanie plików SVG, które zawierają atrybuty skryptu lub obsługi zdarzeń.
    • Dopasuj typ zawartości lub rozszerzenie pliku. .svg i odrzuć, jeśli ładunek zawiera ciągi takie jak <script, ładowanie=, onerror=, JavaScript:, <![CDATA[, xmlns:xlink połączone z xlink:href="data:, Lub <!ENTITY.
    • Przykład logiki reguły (pseudo):
      • Jeśli żądanie zawiera nazwę pliku kończącą się na .svg LUB Content-Type == image/svg+xml:
      • Jeśli ciało żądania (pierwsze N KB) zawiera <script LUB ładowanie= LUB onerror= LUB JavaScript: LUB <iframe to zablokuj.
  2. Zablokuj inline SVG zwracane przez renderer widgetów, które zawierają wykonywalny JS.
    • Sprawdź odpowiedzi pod kątem Content-Type: text/html stron, które zawierają <svg tagi z <script Lub on.*= atrybutami i zgłoś alert.
  3. Zablokuj podejrzane żądania POST do punktów końcowych widgetów.
    • Zidentyfikuj wzorce punktów końcowych używane przez wtyczkę do zapisywania danych widgetów / metadanych mediów i dodaj blokowanie/sprawdzanie do tych tras POST.
  4. Ogranicz liczbę przesyłanych danych z kont o niskich uprawnieniach.
    • Zastosuj surowsze ograniczenia przesyłania dla kont współtwórców lub anonimowych punktów końcowych, aby zredukować automatyczne nadużycia.
  5. Oznacz nowe rejestracje użytkowników i pierwsze przesłanie mediów
    • Jeśli nowe konto Współtwórcy przesyła SVG natychmiast po utworzeniu, zablokuj lub oznacz do ręcznego przeglądu.

Przykładowa zasada w stylu ModSecurity (koncepcyjna — przetestuj przed wdrożeniem):

SecRule REQUEST_HEADERS:Content-Type "image/svg+xml" "phase:2,chain,deny,id:10001,msg:'Zablokuj przesyłanie SVG z osadzonym skryptem'"

Notatka: Powyższe jest uproszczone i ma na celu służyć jako koncepcyjny szablon. Zawsze testuj zasady w trybie wykrywania przed przełączeniem na blokowanie, aby zminimalizować fałszywe pozytywy.

Rekomendacje dotyczące serwera/HTACCESS/nginx

  • Na poziomie serwera WWW zablokuj bezpośrednie osadzone wykonywanie SVG przesyłanych do katalogu mediów, wymuszając ich pobieranie zamiast serwowania jako treści osadzonej:

Apache (przykład .htaccess w wp-content/uploads):

<FilesMatch "\.svg$">
  Header set Content-Disposition "attachment"
  # Optional: Force content type to application/octet-stream
  Header set Content-Type "application/octet-stream"
</FilesMatch>

Nginx (koncepcyjnie):

location ~* \.svg$ {

To zapobiega renderowaniu SVG w trybie osadzonym z katalogu przesyłania, łagodząc wykorzystanie przechowywanego XSS, gdy strona bezpośrednio odnosi się do przesłanego pliku. Uwaga: To również zapobiega legalnemu użyciu SVG osadzonego z Twojej biblioteki mediów.

  • Odrzuć treści przypominające skrypty w przesyłanych plikach, używając serwerowych kontroli treści. Jeśli Twoje hostowanie wspiera skanowanie treści podczas przesyłania (niektóre panele sterowania pozwalają na kontrole treści plików), włącz zasady do wykrywania <script i atrybutów obsługi zdarzeń.

Środki zaradcze na poziomie WordPressa

  1. Wyłącz wsparcie dla przesyłania SVG
    • Wiele stron pozwala na przesyłanie SVG za pomocą wtyczki lub motywu. Tymczasowo usuń wszelkie wtyczki, które dodają wsparcie dla SVG lub wymuś sanitizację.
  2. Użyj sanitizatora SVG dla legalnych potrzeb SVG
    • Jeśli projektanci polegają na SVG, użyj zaufanego sanitizatora, który usuwa skrypty, obsługę zdarzeń, zewnętrzne odniesienia i niebezpieczne encje przed zapisaniem pliku.
  3. Przejrzyj możliwości ról
    • Audytuj zdolność ‘upload_files’. O ile to nie jest absolutnie konieczne, nie należy zezwalać Użytkownikom na przesyłanie mediów. Użyj edytora ról, aby usunąć zdolność przesyłania, jeśli jest obecna.
  4. Wymuś ograniczenie “unfiltered_html”.
    • Upewnij się, że tylko zaufane role administratorów/edytorów mają zdolność unfiltered_html. Ogranicz możliwość edytorów treści do wstawiania surowego HTML.
  5. Zastosuj Politykę Bezpieczeństwa Treści (CSP)
    • Użyj nagłówków CSP, aby zapobiec wykonywaniu skryptów inline, gdzie to możliwe: 
      Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-'; object-src 'none'; base-uri 'self';
    • CSP może złagodzić ryzyko XSS, nawet gdy złośliwy znacznik jest obecny.

Wykrywanie — na co zwrócić uwagę

  • Nowe podejrzane pliki SVG w bibliotece mediów, szczególnie przesyłane przez role o niskich uprawnieniach lub niedawno utworzone konta.
  • Niespodziewane zmiany na stronach, które zawierają widżety SVG lub widżety obrazów.
  • Nietypowe żądania wychodzące z konsoli przeglądarki lub zakładki sieciowej podczas przeglądania Twojej witryny (np. wywołania do domen zewnętrznych natychmiast po załadowaniu strony).
  • Nowi użytkownicy administratorzy, niespodziewane zmiany treści lub wstrzykiwanie treści (linki spamowe, przekierowania).
  • Logi serwera pokazujące POST-y do punktów końcowych wtyczek przez konta współpracowników, które zawierają ładunki binarne lub XML odpowiadające SVG.
  • Powiadomienia WAF zawierające <script w żądaniach przesyłania obrazów, lub jakiekolwiek wykrycie, które skonfigurowałeś.

Wykonaj skanowanie systemu plików witryny i bazy danych w poszukiwaniu podejrzanej treści, podejrzanych kont użytkowników i zmodyfikowanych plików. Użyj narzędzia do monitorowania integralności plików, jeśli jest dostępne.

Reakcja na incydent (jeśli podejrzewasz kompromitację)

  1. Izoluj i zachowaj
    • Umieść witrynę w trybie konserwacji lub zastosuj blokującą regułę WAF. Zachowaj logi i kopie zapasowe do analizy kryminalistycznej.
  2. Rotacja danych uwierzytelniających
    • Zresetuj hasła dla kont administratorów, edytorów i współpracowników; unieważnij aktywne sesje (wymuś wylogowanie wszędzie).
  3. Audytuj użytkowników i niedawno dodaną treść.
    • Usuń nieznanych lub podejrzanych użytkowników. Sprawdź posty/strony/widżety pod kątem wstrzykniętych skryptów.
  4. Usuń złośliwe artefakty
    • Usuń wszelkie złośliwe pliki SVG oraz wszelkie powiązane wstrzyknięte kody. Przeszukaj bazę danych i system plików w poszukiwaniu podejrzanych znaczników, takich jak <svg z atrybutami skryptu, <script>, lub dane base64, które wyglądają na nie na miejscu.
  5. Przywróć czyste pliki
    • Jeśli masz kopię zapasową przed kompromitacją, przywróć do czystego zrzutu i ponownie zastosuj tylko zaktualizowane wtyczki i motywy.
  6. Ponownie oceniaj i wzmacniaj
    • Zaktualizuj podatną wtyczkę, załatnij rdzeń WordPressa, przeskanuj w poszukiwaniu dodatkowych tylni drzwi i wdroż powyższe zasady WAF i serwera.
  7. Monitor
    • Utrzymuj dodatkowe monitorowanie przez 30–90 dni, aby wykryć wszelkie pozostałe lub ponowne próby kontaktu.

Jeśli Twoja strona obsługuje dane użytkowników (klientów, członków), rozważ powiadomienie zainteresowanych stron zgodnie z lokalnymi przepisami/prawem.

Przykładowy skrypt wykrywania (koncept audytu — niewykonawcze wskazówki)

Zamiast publikować kod, który mógłby być nadużyty, oto koncepcja skryptu listy kontrolnej wykrywania, którą możesz uruchomić z dostępem administratora:

  • Eksportuj listę ostatnich przesyłanych mediów (ostatnie 90 dni), w tym przesyłającego.
  • Szukaj .svg pliki i skanuj zawartość plików pod kątem <script, ładowanie=, onerror=, JavaScript:; dopasowania flag.
  • Przeszukaj posty, postmeta i opcje widgetów pod kątem <svg wystąpień i przeglądaj otaczający HTML.
  • Przejrzyj listę użytkowników w poszukiwaniu nowych kont utworzonych w tym samym czasie co podejrzane przesyłania.

Jeśli nie czujesz się komfortowo robiąc to samodzielnie, poproś swojego dewelopera lub hosta o przeprowadzenie tych kontroli lub użyj skanera bezpieczeństwa.

Rekomendacje dotyczące długoterminowego wzmocnienia

  • Egzekwuj najmniejsze uprawnienia:
    • Przyznawaj role tylko z minimalnymi możliwościami, których potrzebują. Współtwórcy zazwyczaj nie powinni mieć możliwości przesyłania.
  • Zarządzanie łatami:
    • Utrzymuj harmonogram aktualizacji dla rdzenia WordPressa, motywów i wtyczek. Testuj aktualizacje na etapie przed produkcją.
  • Użyj zarządzanego WAF i wirtualnego łatania:
    • WAF może zmniejszyć powierzchnię ataku podczas łatania i może zastosować ukierunkowane zasady, aby zatrzymać aktywne eksploity.
  • Użyj sanitizacji treści dla przesyłanych plików:
    • Automatycznie oczyszczaj SVG, fragmenty HTML i przesyłki użytkowników przed ich zapisaniem.
  • Zarządzanie rolami i sesjami:
    • Wprowadź silne zasady dotyczące haseł, uwierzytelnianie dwuetapowe dla kont uprzywilejowanych oraz czas wygaśnięcia sesji/nieważności.
  • Rejestrowanie i monitorowanie:
    • Centralizuj logi, włączaj powiadomienia o podejrzanej aktywności (duża liczba przesyłek, nowe rejestracje użytkowników, po których następują przesyłki, zmiany administracyjne).
  • Okresowe audyty bezpieczeństwa:
    • Przeprowadzaj audyty bezpieczeństwa wtyczek i motywów stron trzecich przed ich wdrożeniem na stronach produkcyjnych.
  • Kopie zapasowe i odzyskiwanie:
    • Utrzymuj niezawodne kopie zapasowe w zewnętrznych lokalizacjach oraz plan odzyskiwania. Testuj przywracanie okresowo.

Dlaczego wirtualne łatanie za pomocą WAF jest ważne (z perspektywy WP-Firewall)

Budujemy zabezpieczenia WAF, ponieważ łatanie czasami nie może nastąpić natychmiast dla każdego klienta. Istnieją uzasadnione powody opóźnienia aktualizacji: obawy dotyczące zgodności, harmonogramowanie lub koordynacja w wielu lokalizacjach. Prawidłowo skonfigurowany WAF daje Ci możliwość:

  • Natychmiastowego blokowania znanych wzorców exploitów celujących w konkretne luki (takie jak XSS w przesyłkach SVG).
  • Stosowania ukierunkowanych zasad do punktów końcowych wtyczek przed wdrożeniem łaty dostawcy w całej flocie.
  • Rejestrowania i powiadamiania o próbach aktywności exploitów, abyś mógł priorytetowo traktować usuwanie zagrożeń.
  • Zapewnienia dodatkowej warstwy obrony podczas testowania i instalowania oficjalnej poprawki dostawcy.

Takie podejście zmniejsza ryzyko w oknie między ujawnieniem a pełnym wdrożeniem.

Lista kontrolna: Plan działania, który możesz teraz śledzić

  1. Sprawdź wersję wtyczki:
    • Jeśli Element Pack Addons dla Elementora ≤ 8.4.2, zaktualizuj do 8.5.0 lub nowszej.
  2. Ogranicz przesyłki:
    • Ogranicz rolę Współtwórcy i podobne role od przesyłania mediów.
  3. Skanuj bibliotekę mediów:
    • Usuń nieoczekiwane SVG; zastąp je oczyszczonymi wersjami, jeśli to konieczne.
  4. Wdrożenie zasad WAF:
    • Blokuj SVG zawierające <script lub na* atrybuty; sprawdź punkty końcowe widgetu POST.
  5. Wzmocnij serwer:
    • Wymuś pobieranie SVG (Content-Disposition) lub zabroń renderowania SVG z folderu przesyłania.
  6. Audytuj użytkowników:
    • Sprawdź nowe/skompromentowane konta i zmień dane uwierzytelniające.
  7. Monitoruj logi i alerty:
    • Obserwuj próby wykorzystania i anomalne POST-y do tras pluginów.
  8. Planuj ciągłą ochronę:
    • Zintegruj cykl łatania, audyt ról i sanitację treści.

Chroń swoją stronę już teraz: zacznij od darmowego planu WP‑Firewall

Jeśli chcesz podjąć natychmiastowe kroki zapobiegawcze przy minimalnej konfiguracji, WP‑Firewall oferuje darmowy plan podstawowy zaprojektowany do szybkiego zatrzymywania powszechnych zagrożeń w sieci. Poziom podstawowy (darmowy) obejmuje podstawową ochronę, taką jak zarządzany zapora, nielimitowana przepustowość, WAF, skanowanie złośliwego oprogramowania i łagodzenie ryzyk OWASP Top 10 — zapewniając ci podstawową obronę podczas stosowania poprawek do pluginów i przeprowadzania głębszej naprawy. To przydatna pierwsza linia obrony, aby zredukować narażenie na luki, takie jak Element Pack SVG XSS.

Zbadaj darmowy plan tutaj: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Jeśli potrzebujesz szybszej reakcji i automatycznego łatania wirtualnego na wielu stronach, nasze płatne plany dodają automatyczne usuwanie złośliwego oprogramowania, czarną listę IP, miesięczne raporty bezpieczeństwa, automatyczne łatanie wirtualne i dedykowane wsparcie.)

Ostateczne myśli — pragmatyczne, priorytetowe bezpieczeństwo

Ta luka jest aktualnym przypomnieniem o kilku podstawowych prawdach dotyczących bezpieczeństwa WordPressa:

  • Ekosystem jest dynamiczny: wtyczki i dodatki firm trzecich rozszerzają funkcjonalność, ale także niosą ryzyko.
  • Zasada najmniejszych uprawnień ma znaczenie: małe uprawnienia, takie jak możliwość przesyłania obrazów, mogą być wykorzystane do znacznego wpływu, jeśli nie są kontrolowane.
  • Obrona w głębokości wygrywa: łatanie to pierwszy krok, ale połącz zasady WAF, wzmocnienie serwera, sanitację, monitorowanie i zarządzanie rolami, aby zminimalizować szkody.
  • Szybkie łagodzenie za pomocą WAF może dać ci czas na weryfikację i wdrożenie poprawek dostawcy.

Jeśli potrzebujesz pomocy w wdrażaniu któregokolwiek z powyższych środków — od dostosowywania zasad WAF po skanowanie i reakcję na incydenty — nasz zespół operacji bezpieczeństwa jest dostępny, aby pomóc i zautomatyzować ochronę w całym twoim ekosystemie WordPress.

Bądź bezpieczny, audytuj swoje przesyłania i nadaj priorytet aktualizacji pluginu do 8.5.0 jako pierwszy krok.

— Zespół Bezpieczeństwa WP‑Firewall

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.

Skontaktuj się z nami, aby zaplanować bezpłatną konsultację dotyczącą bezpieczeństwa WordPress

Skontaktuj się z nami

Zapora sieciowa WP
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Cechy Wycena Blog Login
Polityka prywatności Warunki korzystania z usługi Dokumenty Przyłączać

© 2026 WP-Firewall™