Łagodzenie XSS w wtyczce Opis kategorii//Opublikowano 2026-02-13//CVE-2026-0693

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

Allow HTML in Category Descriptions Vulnerability

Nazwa wtyczki Zezwól na HTML w opisach kategorii
Rodzaj podatności Atak typu cross-site scripting (XSS)
Numer CVE CVE-2026-0693
Pilność Niski
Data publikacji CVE 2026-02-13
Adres URL źródła CVE-2026-0693

Pilne: Przechowywane XSS w “Zezwól na HTML w opisach kategorii” (<= 1.2.4) — Co właściciele stron WordPress muszą teraz zrobić

Streszczenie: Wtyczka WordPress “Zezwól na HTML w opisach kategorii” (wersje <= 1.2.4) ujawnia podatność na przechowywane Cross-Site Scripting (XSS) (CVE-2026-0693). Użytkownik z uprawnieniami administratora może wstrzyknąć złośliwy HTML/JavaScript do opisów kategorii, który może później zostać wykonany w przeglądarkach odwiedzających lub innych administratorów. Obecnie nie ma oficjalnej łatki dla podatnych wersji. Ten post wyjaśnia szczegóły techniczne, scenariusze zagrożeń, natychmiastowe środki zaradcze, kroki wykrywania i czyszczenia oraz długoterminowe wzmocnienie — z perspektywy WP‑Firewall, dedykowanego dostawcy bezpieczeństwa WordPress.

Uwaga: Jeśli używasz tej wtyczki i masz zainstalowaną podatną wersję, traktuj to jako zadanie związane z bezpieczeństwem strony o wysokim priorytecie — mimo że podatność wymaga uprawnień administratora, wpływ w praktyce może być znaczący.

Jaka jest podatność na zagrożenia?

  • Typ: Przechowywane skrypty międzywitrynowe (XSS).
  • Podatny komponent: Wtyczka WordPress “Zezwól na HTML w opisach kategorii” — wersje <= 1.2.4.
  • CVE: CVE-2026-0693.
  • CVSS: 5.9 (średni), Wektor: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L.
  • Przyczyna: Wtyczka pozwala administratorom na zapisanie nieprzefiltrowanego HTML w opisach taksonomii bez odpowiedniej sanitizacji lub kodowania wyjścia. Złośliwy JavaScript zapisany w opisie kategorii może być wykonany w kontekście strony, która renderuje ten opis (widok front-end lub niektóre widoki administratora), umożliwiając kradzież ciasteczek, nadużycie uprawnień lub działania wykonywane w sesji przeglądarki ofiary.

Dlaczego to jest ważne: Administratorzy są zaufanymi kontami, a atakujący, który może skłonić uprzywilejowanego użytkownika do wykonania akcji (lub sam może działać jako skompromitowany administrator), może utrwalić złośliwe skrypty, które krzywdzą innych użytkowników administratora lub odwiedzających stronę. Nawet jeśli do wywołania podatności wymagana jest akcja tylko dla administratorów, konsekwencje mogą obejmować zniekształcenie strony i kampanie przekierowań do pełnego przejęcia strony.

Jak atakujący może to wykorzystać

Typowy przebieg ataku:

  1. Atakujący uzyskuje lub kompromituje konto administratora (phishing, powtórzone hasło, insider itp.), lub oszukuje administratora, aby wykonał akcję, która skutkuje zapisaniem ładunku (patrz uwaga o interakcji użytkownika poniżej).
  2. Korzystając z interfejsu wtyczki (ekran edycji kategorii) lub innego punktu wejścia, który aktualizuje opisy taksonomii, atakujący wstrzykuje ładunek do pola opisu kategorii — np., <script>…</script> lub SVG z obsługą onload/onerror, lub ładunek oparty na atrybutach, taki jak onmouseover, srcset lub javascript: URI.
  3. Ładunek jest przechowywany w bazie danych (term_taxonomy.description).
  4. Gdy administrator lub odwiedzający wyświetla stronę kategorii (lub dowolną stronę administratora renderującą ten opis), skrypt działa w ich przeglądarce w obrębie pochodzenia strony.
  5. Złośliwy skrypt może:
    • Zbierać ciasteczka/localStorage i wysyłać je na zdalny serwer.
    • Wykorzystać uwierzytelnioną sesję przeglądarki ofiary do wywoływania punktów końcowych WordPress REST lub punktów końcowych AJAX (potencjalnie tworząc użytkowników, instalując wtyczki lub modyfikując opcje), jeśli docelowe żądania nie mają kontroli nonce lub odpowiednich kontroli uprawnień.
    • Wstrzykiwać dalsze złośliwe treści (reklamy, przekierowania, formularze do zbierania danych uwierzytelniających).
    • Modyfikować strony administracyjne lub wstrzykiwać tylne drzwi, które utrzymują się po usunięciu początkowego skryptu.

Ważna niuans: Wiele nowoczesnych instalacji WordPress ustawia ciasteczka uwierzytelniające jako HttpOnly, co uniemożliwia bezpośredni dostęp do ciasteczek przez JS. Jednak JavaScript nadal może wykonywać uwierzytelnione żądania (fetch/XHR), jeśli brakuje ochrony przed tym samym pochodzeniem i nonce lub mogą być kradzione za pomocą innych wektorów. Napastnicy mogą łączyć XSS z innymi słabymi kontrolami, aby osiągnąć eskalację uprawnień lub pełne przejęcie.

Interakcja użytkownika: Eksploatacja jest klasyfikowana jako wymagająca interakcji użytkownika w niektórych opisach — zazwyczaj uprzywilejowany użytkownik musi odwiedzić określoną stronę lub kliknąć stworzony link, który wyzwala wykonanie. Niezależnie od tego, przechowywane XSS jest trwałe i może być wyzwalane automatycznie podczas ładowania stron (nie są wymagane dodatkowe kliknięcia od odwiedzającego).

Natychmiastowe, priorytetowe działania (w ciągu następnej godziny)

  1. Wyłącz wtyczkę teraz
    • Uzyskaj dostęp do swojej strony (wp-admin → Wtyczki) i natychmiast dezaktywuj wtyczkę “Zezwól na HTML w opisach kategorii”.
    • Jeśli nie możesz uzyskać dostępu do panelu administracyjnego, wyłącz przez FTP lub menedżera plików hostingu, zmieniając nazwę folderu wtyczki: wp-content/plugins/allow-html-in-category-descriptions → dodaj -wyłączony.
  2. Włóż stronę w tryb konserwacji (jeśli to odpowiednie)
    • Jeśli podejrzewasz aktywną eksploatację (widoczne przekierowania, zniekształcenia, treści spamowe), rozważ tymczasowe zablokowanie dostępu publicznego podczas prowadzenia dochodzenia.
  3. Audytuj i zmień dane uwierzytelniające administratora
    • Wymuś reset hasła dla wszystkich kont administratorów.
    • Jeśli masz podejrzaną aktywność administratora, unieważnij sesje i tokeny (Użytkownicy → Wszyscy użytkownicy → dla każdego administratora, “Wyloguj się wszędzie” lub użyj wtyczki do wygaszenia sesji).
    • Wymuś silne hasła i włącz uwierzytelnianie dwuskładnikowe (2FA) dla kont administratorów.
  4. Zablokuj nowe żądania, które próbują zapisać ładunki XSS
    • Jeśli uruchamiasz zaporę aplikacji internetowej (WAF) lub możesz szybko wdrożyć filtrowanie żądań na hoście lub CDN (lub za pomocą reguł WP‑Firewall), zablokuj żądania POST, które próbują zapisać opisy kategorii zawierające wzorce przypominające skrypty. Zobacz sugerowane reguły WAF później w tym poście.
  5. Wykonaj kopię zapasową swojej witryny (pliki + DB)
    • Utwórz pełną kopię zapasową przed modyfikowaniem lub czyszczeniem witryny. Najlepiej wyeksportować bazę danych i pobrać zrzut wp-content oraz wszelkie przesłane lub niestandardowe pliki.
  6. Skanuj od razu pod kątem wskaźników kompromitacji
    • Szukaj nieoczekiwanych użytkowników, plików, zaplanowanych zadań (wp_cron jobs), wartości opcji zmienionych niedawno oraz wstrzykniętej treści w postach, stronach i opisach taksonomii.

Dochodzenie: znajdź złośliwe opisy kategorii i oszacuj szkody

Opisy kategorii są przechowywane w bazie danych; aby szybko znaleźć podejrzaną treść, przeprowadź wyszukiwania pod kątem treści przypominającej skrypty.

Użyj WP‑CLI (zalecane, jeśli masz dostęp do powłoki):

  • Wyszukaj opisy terminów zawierające “<script”: 
    wp db query "SELECT term_taxonomy_id, term_id, description FROM wp_term_taxonomy WHERE description LIKE '%<script%';"
  • Szukaj wspólnych wektorów XSS (onerror, onload, javascript:, data:, svg, iframe, <img>): 
    wp db query "SELECT term_taxonomy_id, term_id, description FROM wp_term_taxonomy WHERE description REGEXP '(script|onerror|onload|javascript:|data:|iframe|svg|img)';"

Jeśli nie masz WP‑CLI, uruchom równoważne zapytanie SQL w phpMyAdmin lub narzędziu bazy danych swojego hostingu.

Sprawdź również:

  • Posty i strony: wyszukaj post_content podobne wzorce (SELECT ID, post_title FROM wp_posts WHERE post_content REGEXP '(<script|onerror|onload|javascript:)').
  • Widżety i opcje motywu: opcje_wp zawartość tabeli może również zawierać wstrzyknięty HTML.
  • Pliki wtyczek/motywów w poszukiwaniu nieznanego kodu.

Jeśli znajdziesz podejrzane opisy, wyeksportuj je w bezpieczne miejsce (śledztwo) przed dokonaniem masowych modyfikacji.

Bezpieczne czyszczenie zainfekowanych opisów

Opcja A — Ręczne usunięcie (zalecane, jeśli jest niewiele wpisów):

  • Użyj wp-admin → Edytor postów/terminów i ręcznie edytuj opisy, aby usunąć ładunek.
  • Dla kategorii: WP Admin → Posty → Kategorie → edytuj każdy podejrzany opis kategorii.

Opcja B — Czyszczenie bazy danych (dla dużego lub zautomatyzowanego czyszczenia):

  • Zastąp niebezpieczne tagi za pomocą SQL (najpierw przetestuj na kopii zapasowej): 
    -- Usuń bloki  z opisów terminów;
  • Usuń atrybuty obsługi zdarzeń, takie jak onload/onerror (to może być skomplikowane — rozważ zamiast tego użycie sanitarnego skryptu PHP, aby uniknąć uszkodzenia znaczników).

Opcja C — Sanityzacja za pomocą skryptu PHP przy użyciu funkcji WordPressa (bezpieczniejsze):

Utwórz jednorazowy skrypt PHP i uruchom go za pomocą WP-CLI eval-file lub hooka administratora:

<?php

Uruchom za pomocą:

wp eval-file sanitize-term-descriptions.php

Uwagi:

  • Użycie wp_kses z ściśle ograniczonym zestawem dozwolonych tagów jest bezpieczniejsze niż próba ręcznego usunięcia atrybutów za pomocą regex.
  • Przetestuj zmiany najpierw na stronie testowej lub kopii zapasowej.

Sugerowane defensywne zasady WAF i krótkoterminowe wirtualne łatanie

Jeśli używasz WAF (zarządzany host, CDN lub WP‑Firewall), dodaj zasady blokujące próby przechowywania podejrzanych ładunków lub blokujące renderowanie znanego podejrzanego contentu.

Proste heurystyki wykrywania:

  • Zablokuj żądania POST do wp-admin/term.php lub punkty końcowe REST używane do zapisywania opisów terminów, które zawierają <script, onerror=, ładowanie=, JavaScript:, data:text/html, svg/onload, iframe, lub podejrzane src atrybuty z dane:/JavaScript:.
  • Blokuj żądania, które zawierają <svg z obsługą zdarzeń, lub styl="tło:url(javascript: wstrzyknięcia stylów.

Przykład reguły w stylu ModSecurity (pseudokod — dostosuj do swojego środowiska):

# Blokuj próby zapisywania opisów kategorii zawierających  lub obsługę zdarzeń"

Dla punktów końcowych REST (jeśli wtyczka udostępnia REST lub używa admin-ajax):

# Blokuj podejrzane ładunki w żądaniach REST"

Podejście specyficzne dla WP‑Firewall:

  • Dodaj regułę, która sprawdza żądania do punktów końcowych aktualizacji taksonomii dla opis parametru i blokuje, jeśli pasuje do wzorców XSS (konfigurowalne).
  • Włącz inspekcję ciała żądania i dodaj niestandardową regułę do sanitizacji lub blokowania zapisywania niedozwolonych tagów/atrybutów.

Ważny: Reguły WAF są rozwiązaniem tymczasowym. Zmniejszają ryzyko, podczas gdy usuwasz wtyczkę lub łatasz stronę, ale nie zastępują usuwania podatnego kodu.

Wykrywanie: na co zwracać uwagę po oczyszczeniu

  • Nieoczekiwani użytkownicy administratora lub nowe konta z podwyższonymi rolami.
  • Zaplanowane zadania, które uruchamiają nieznany kod (sprawdź opcje_wp wpisy cron i wp_cron).
  • Nieoczekiwane wtyczki lub motywy zainstalowane/zmienione (porównaj sumy kontrolne plików z wersjami w repozytorium).
  • Podejrzane wychodzące połączenia i zapytania DNS z twojego serwera.
  • Żądania w logach, które odzwierciedlają wzorzec ładunku lub zawierają podejrzane przekierowania lub punkty końcowe eksfiltracji.
  • Nietypowe znaczniki czasowe aktywności administratora, adresy IP lub nieudane próby logowania.

Przydatne polecenia WP‑CLI:

  • Lista użytkowników i ról: 
    wp user list --role=administrator
  • Pokaż ostatnie zdarzenia cron: 
    lista zdarzeń wp cron --due-now
  • Sprawdź zmienione pliki wtyczek/tematów (jeśli masz czysty punkt odniesienia): 
    wp wtyczka weryfikuj-sumy-kontrolne plugin-slug

Lista kontrolna reakcji na incydenty i odzyskiwania

  1. Kwarantanna witryny (tryb konserwacji lub tymczasowa blokada), jeśli podejrzewasz wykorzystanie.
  2. Wykonaj pełne kopie zapasowe (pliki + DB) i zachowaj kopie do przeglądu kryminalistycznego.
  3. Natychmiast wyłącz podatną wtyczkę.
  4. Oczyść wpisy w bazie danych (opisy terminów, posty, opcje).
  5. Zmień wszystkie hasła administratorów i klucze API. Cofnij i wydaj ponownie wszelkie skompromitowane tokeny.
  6. Włącz 2FA dla wszystkich uprzywilejowanych kont; ogranicz konta administratorów.
  7. Przejrzyj i usuń wszelkie tylne drzwi (nieoczekiwane pliki PHP, kod base64/zamaskowany).
  8. Ponownie zainstaluj rdzeń WordPressa, motywy i wtyczki z zaufanych źródeł, jeśli wykryto manipulacje.
  9. Przywróć z znanej dobrej kopii zapasowej, jeśli integralność witryny nie może być pewnie przywrócona.
  10. Monitoruj logi i zachowanie witryny ściśle przez pewien czas po usunięciu zagrożenia.

Jeśli nie czujesz się komfortowo wykonując te kroki samodzielnie, skontaktuj się z zaufanym specjalistą ds. bezpieczeństwa WordPressa lub usługą.

Długoterminowe łagodzenie i wzmocnienie

  • Zasada najmniejszych uprawnień: Przydzielaj rolę Administratora oszczędnie. Używaj roli Edytora lub niestandardowych ról do codziennej edycji treści, gdy to możliwe.
  • Ogranicz niezaufany HTML: Unikaj wtyczek, które pozwalają na dowolny HTML od uprzywilejowanych użytkowników. Gdzie HTML jest konieczny, egzekwuj ścisłe oczyszczanie za pomocą wp_kses z małą listą dozwoloną.
  • Ogranicz wtyczki i motywy do minimum i instaluj tylko z renomowanych źródeł. Regularnie audytuj zainstalowane wtyczki i usuwaj nieużywane.
  • Używaj kontroli wersji i monitorowania integralności plików, aby wykrywać nieautoryzowane zmiany w plikach motywów i wtyczek.
  • Używaj bezpiecznych praktyk uwierzytelniania: 2FA, silne hasła, menedżery haseł i monitorowanie użycia konta.
  • Wzmocnij REST API i punkty końcowe AJAX: Upewnij się, że sprawdzane są nonce i uprawnienia w obsługiwanych po stronie serwera.
  • Wdrażaj ochronę WAF i ciągłe skanowanie złośliwego oprogramowania — najlepiej z inspekcją ciała żądania, aby wychwycić wstrzyknięte ładunki w żądaniach POST.
  • Monitoruj powiadomienia o lukach wtyczek, których używasz; subskrybuj zaufane listy mailingowe dotyczące bezpieczeństwa lub powiadomienia o usługach.

Przykładowy fragment wzmacniający PHP dla motywu lub mu-wtyczki

Jeśli chcesz zapobiec zapisywaniu HTML w opisach terminów na poziomie aplikacji WordPress (tymczasowe wzmocnienie, jeśli nie możesz natychmiast usunąć wtyczki), możesz usunąć niebezpieczne tagi podczas tworzenia/aktualizacji terminu:

Utwórz mu-wtyczkę (wtyczka do użycia) wp-content/mu-plugins/sanitize-term-descriptions.php:

<?php
/*
Plugin Name: Sanitize Term Descriptions - emergency
Description: Strip dangerous HTML from term descriptions as an emergency stopgap.
Author: WP-Firewall Security Team
*/

add_action('created_term', 'wf_sanitize_term_description', 10, 3);
add_action('edited_term', 'wf_sanitize_term_description', 10, 3);

function wf_sanitize_term_description($term_id, $tt_id = 0, $taxonomy = '') {
    $term = get_term($term_id, $taxonomy);
    if (!$term) {
        return;
    }
    // Allow only minimal HTML
    $allowed = array(
        'a' => array('href' => true, 'title' => true, 'rel' => true, 'target' => true),
        'br' => array(),
        'p' => array(),
        'b' => array(),
        'strong' => array(),
        'i' => array(),
        'em' => array(),
    );
    $clean = wp_kses($term->description, $allowed);
    if ($clean !== $term->description) {
        wp_update_term($term_id, $taxonomy, array('description' => $clean));
    }
}
?>

To proaktywnie oczyści opisy, gdy terminy są tworzone lub edytowane. To środek awaryjny — nie polegaj na tym w dłuższej perspektywie, jeśli wtyczka umożliwia edytowanie bogatego HTML.

Jak WP‑Firewall pomaga (krótkie podsumowanie)

Jako dostawca bezpieczeństwa WordPress, WP‑Firewall zapewnia zarządzane zasady WAF, skanowanie złośliwego oprogramowania i wirtualne łatanie, które mogą wykrywać i blokować próby wykorzystania tego wzoru XSS (ładunki zapisane za pomocą edycji taksonomii, REST lub POST-ów administratora). Nasza usługa może:

  • Wykrywać żądania POST próbujące zapisać znane wektory XSS w opisach taksonomii.
  • Stosować wirtualne łaty (podpisy WAF) dostosowane do zachowania wtyczki, aby natychmiast zatrzymać eksploatację — nawet zanim dostawca wtyczki wyda łatę.
  • Przeprowadzać zautomatyzowane skany witryny w celu znalezienia podejrzanych opisów taksonomii, złośliwych plików i tylnej furtki.
  • Zapewniać sugestie dotyczące naprawy i krok po kroku wskazówki dotyczące czyszczenia.

Jeśli już masz WAF, upewnij się, że inspektuje ciała POST i ładunki REST/AJAX — wiele domyślnych ustawień tego nie robi.

Przykładowe podpisy wykrywania do monitorowania w logach

  • Ciała żądań zawierające <script Lub JavaScript: w połączeniu z wp-admin/term.php, odpoczynek punktami końcowymi, lub admin-ajax.php.
  • POST-ami administratora, które zawierają opis z podejrzanymi atrybutami (onerror=, ładowanie=, dane:).
  • Nagły wzrost liczby żądań do stron taksonomii skutkujący przekierowaniem lub zewnętrznymi połączeniami do nieznanych domen.
  • Tworzenie lub modyfikacja terminów w nietypowych godzinach lub z rzadkich adresów IP.

Scenariusze rzeczywistego wpływu

  • Scenariusz A: Atakujący wstrzykuje skrypt do opisu kategorii, który tworzy nowego użytkownika administratora, wywołując punkty końcowe AJAX administratora za pomocą przeglądarki ofiary. Wynik: pełne przejęcie witryny.
  • Scenariusz B: Skrypt ładuje złośliwy JS zewnętrzny i przekierowuje odwiedzających na strony docelowe z adware lub phishingiem, szkodząc reputacji witryny i SEO.
  • Scenariusz C: Skrypt zbiera dane z formularzy lub informacje o sesji i eksfiltruje je do domen kontrolowanych przez atakującego, umożliwiając późniejsze ukierunkowane ataki.

To są realistyczne konsekwencje, nawet gdy początkowy wektor eksploatacji wymaga działania administratora — atakujący są biegli w inżynierii społecznej i ponownym wykorzystywaniu skradzionych poświadczeń.

Porady dotyczące zapobiegania rozwojowi (dla autorów wtyczek/motywów i agencji)

  • Nigdy nie ufaj danym wejściowym od użytkowników — nawet od administratorów. Zawsze oczyszczaj dane wyjściowe, używając odpowiedniego kontekstu (esc_html, esc_attr, wp_kses_post z rygorystyczną listą dozwolonych elementów).
  • Dla edytowalnych pól HTML, przechowuj tylko oczyszczony, zwalidowany HTML i przechowuj bezpieczne warianty (lub użyj WYSIWYG, który oczyszcza przy zapisie).
  • Wprowadź kontrole uprawnień i nonce na wszystkich punktach końcowych po stronie serwera, które modyfikują stan witryny (obsługiwacze admin-ajax, punkty końcowe REST).
  • Dodaj zautomatyzowane testy jednostkowe/integracyjne wokół wektorów XSS oraz przepływów oczyszczania/escapingu w CI.
  • Utrzymuj odpowiedzialny kanał ujawniania i politykę aktualizacji, aby użytkownicy mogli uzyskać terminowe poprawki.

Nowy tytuł: Zabezpiecz swoją witrynę teraz — zacznij od planu WP‑Firewall Free

Jeśli chcesz szybkiej, praktycznej warstwy ochrony podczas badania i usuwania tego problemu, rozważ podstawowy (bezpłatny) plan WP‑Firewall. Zawiera on niezbędne zarządzane zasady zapory, WAF, skanowanie złośliwego oprogramowania i łagodzenie ryzyk OWASP Top 10 — wszystko, czego potrzebujesz, aby drastycznie zmniejszyć powierzchnię ataku i natychmiast zablokować powszechne próby eksploatacji XSS. Zbadaj bezpłatny plan i zarejestruj się pod adresem:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Najważniejsze cechy planu:

  • Podstawowy (bezpłatny): zarządzany firewall, nielimitowana przepustowość, WAF, skaner złośliwego oprogramowania, łagodzenie ryzyka OWASP Top 10.
  • Standard ($50/rok): wszystko w podstawowym + automatyczne usuwanie złośliwego oprogramowania oraz czarna/biała lista IP (20 IP).
  • Pro ($299/rok): dodaje miesięczne raporty, automatyczne łatki wirtualne oraz premium dodatki, takie jak dedykowany menedżer konta i zarządzana usługa bezpieczeństwa.

Szybkie podsumowanie i ostateczna lista kontrolna

  • Jeśli używasz “Zezwól na HTML w opisach kategorii” (<= 1.2.4): natychmiast wyłącz wtyczkę.
  • Wykonaj kopię zapasową witryny (pliki + DB) i zrób kopie forensyczne.
  • Skanuj i sanitizuj opisy terminów (zapytania SQL WP‑CLI lub skrypt PHP wp_kses).
  • Zmień hasła administratora i włącz 2FA. Cofnij sesje i tokeny API, jeśli masz wątpliwości.
  • Wdróż zasady WAF, aby zatrzymać POST-y, które próbują zapisać ładunki przypominające skrypty (wirtualna łatka).
  • Sprawdź pod kątem dalszych kompromitacji (nowi użytkownicy, nowe pliki, zmienione opcje).
  • Odbuduj lub przywróć z znanego czystego kopii zapasowej, jeśli manipulacja jest rozległa.
  • Zastąp wtyczkę bezpieczniejszymi alternatywami lub używaj tylko kontrolowanego, sanitizowanego HTML.

Jeśli potrzebujesz bezpośredniej pomocy w triage, tworzeniu zasad WAF, szybkim wirtualnym łatach lub szczegółowym planie naprawczym, podstawowy plan WP‑Firewall zapewni Ci natychmiastową, zarządzaną ochronę, podczas gdy podejmujesz kroki czyszczące powyżej. Rozpocznij swój darmowy plan tutaj: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Bądź bezpieczny i traktuj pola taksonomii, które akceptują HTML, jako wejścia o wysokim ryzyku — sanitizacja i ścisłe ucieczki wyjściowe są twoją najlepszą obroną.

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.

Skontaktuj się z nami, aby zaplanować bezpłatną konsultację dotyczącą bezpieczeństwa WordPress

Skontaktuj się z nami

Zapora sieciowa WP
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Cechy Wycena Blog Login
Polityka prywatności Warunki korzystania z usługi Dokumenty Przyłączać

© 2026 WP-Firewall™