Łagodzenie XSS w blokach przepisów//Opublikowano 2026-06-09//CVE-2026-3011

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

Recipe Card Blocks Vulnerability Image

Nazwa wtyczki Bloki kart przepisów WordPress dla wtyczki Gutenberg i Elementor
Rodzaj podatności Atak typu cross-site scripting (XSS)
Numer CVE CVE-2026-3011
Pilność Niski
Data publikacji CVE 2026-06-09
Adres URL źródła CVE-2026-3011

Uwierzytelnione (Autor) przechowywane XSS w blokach kart przepisów dla Gutenberg i Elementor — Co powinny zrobić witryny WordPress teraz

Opublikowano 2026-06-09 przez zespół bezpieczeństwa WP-Firewall

Krótko mówiąc

Przechowywana podatność na Cross-Site Scripting (XSS) wpływająca na wtyczkę WordPress “Bloki kart przepisów dla Gutenberg i Elementor” (wersje <= 3.4.13) została przypisana do CVE-2026-3011. Uwierzytelniony użytkownik z uprawnieniami na poziomie autora może przechowywać przygotowane treści, które skutkują wykonaniem JavaScript w kontekście odwiedzających witrynę lub użytkowników z wyższymi uprawnieniami. Dostawca wydał poprawkę w wersji 3.4.14. Jeśli prowadzisz witrynę korzystającą z tej wtyczki (lub podobnych wtyczek do przepisów/kart, które akceptują HTML lub nieufne dane), powinieneś:

  • Natychmiast zaktualizować wtyczkę do wersji 3.4.14 (lub nowszej).
  • Jeśli nie możesz zaktualizować natychmiast, zastosuj wirtualne łatanie za pomocą zapory aplikacji internetowej (WAF), ogranicz ryzykowne możliwości użytkowników i skanuj pod kątem wstrzykniętych skryptów w postach i postmeta.
  • Postępuj zgodnie z poniższymi krokami odpowiedzi na incydenty i wzmocnienia, aby ograniczyć narażenie i bezpiecznie się odzyskać.

Ten post wyjaśnia problem na poziomie technicznym, ale odpowiedzialnym, przedstawia praktyczne łagodzenia i pokazuje, jak zarządzana zapora WordPress i praktyka bezpieczeństwa mogą obniżyć ryzyko podczas łatania.

Co się stało (prosty język)

Wtyczka pozwalała na zapis danych dostarczonych przez użytkowników (od użytkowników z dostępem na poziomie autora) w sposób, który później był renderowany dla innych użytkowników bez odpowiedniego uciekania lub sanitizacji. Ponieważ te przechowywane dane mogą zawierać wykonywalny skrypt, złośliwy autor może wstawić ładunki, które działają w przeglądarce każdego, kto ogląda wynikową stronę — w tym administratorów witryny, którzy przeglądają treść w interfejsie administracyjnym, w zależności od tego, gdzie wtyczka renderuje przechowywane dane.

Ta klasa podatności nazywana jest “przechowywanym XSS”, ponieważ ładunek atakującego jest przechowywany na serwerze (w bazie danych) i serwowany innym użytkownikom, gdy ładują strony, które zawierają zainfekowane dane. Dostawca naprawił błąd w wersji 3.4.14, ale dopóki każda witryna nie zaktualizuje, podatność pozostaje aktywna.

Kogo to dotyczy

  • Każda witryna WordPress działająca z dotkniętą wtyczką w wersji 3.4.13 lub wcześniejszej.
  • Witryny, w których użytkownicy z co najmniej uprawnieniami autora mogą tworzyć lub edytować treści lub pola przepisów/kart, które wtyczka renderuje dla odwiedzających.
  • Witryny, które nie mają kontrolnych środków kompensacyjnych (takich jak WAF, który blokuje wstrzykiwanie skryptów do pól wtyczki, lub ścisła sanitizacja treści przy zapisywaniu).

Notatka: Dostęp na poziomie autora jest często dostępny na blogach z wieloma autorami i blogach członkowskich. Nawet jeśli nie postrzegasz autorów jako wysokiego ryzyka, konta autorów mogą być kompromitowane (słabe hasła, powtarzane dane uwierzytelniające, phishing), więc ograniczenie tego, co autorzy mogą przechowywać lub publikować, jest ważne.

Dlaczego to ma znaczenie (wpływ ataku)

Przechowywane XSS umożliwia atakującemu uruchomienie dowolnego JavaScript w przeglądarce ofiary. Wysokie konsekwencje obejmują:

  • Kradzież sesji lub przejęcie konta (jeśli ciasteczka lub tokeny sesji są dostępne).
  • Eskalacja uprawnień poprzez interakcje podobne do CSRF (automatyczne działania w imieniu uwierzytelnionego administratora).
  • Utrzymywanie kodu przekierowującego lub defacement, który szkodzi Twojej marce i SEO.
  • Dostarczanie wtórnych ładunków, takich jak ładowanie zdalnego skryptu, który instaluje tylne drzwi lub koparkę.

Ten konkretny problem ma podstawowy wynik CVSS wynoszący 5.9 (średni). Ten wynik odzwierciedla fakt, że atakujący musi być uwierzytelniony (Autor), a ofiara musi interagować z stroną. Jednak każda podatność, która pozwala na wstrzykiwanie skryptów, powinna być traktowana poważnie — atakujący często łączą inżynierię społeczną, aby skłonić ofiary do kliknięcia lub wyświetlenia docelowej treści.

Podsumowanie techniczne (poziom odpowiedzialnego ujawnienia)

  • Wrażliwość: Przechowywane Cross-Site Scripting (XSS).
  • Dotknięty komponent: pola wtyczki, które akceptują bogatą treść lub HTML i renderują ją bez bezpiecznego uciekania z wyjścia.
  • Wymagane uprawnienia: Autor (uwierzytelniony).
  • Wektor ataku: Atakujący tworzy lub edytuje pole treści przepisu/karty z ładunkiem; ładunek jest przechowywany w bazie danych i później renderowany dla odwiedzających/administratorów.
  • Skrawek: Dostawca wydał wersję 3.4.14 z odpowiednią sanitacją/ucieczką na wyjściu (lub filtrowaniem na wejściu) dla podatnych pól.

Unikamy publikowania kodu exploitów lub ładunków tutaj, ponieważ zwiększyłoby to ryzyko dla stron, które jeszcze nie zostały załatane. Łatka dostawcy jest bezpieczną, zalecaną drogą.

Natychmiastowe działania, które musisz podjąć (krok po kroku)

  1. Zaktualizuj wtyczkę teraz
    • Zaktualizuj "Recipe Card Blocks for Gutenberg & Elementor" do wersji 3.4.14 lub nowszej z zaufanego źródła (WordPress.org lub dostawca wtyczki).
    • Najpierw przetestuj aktualizację na stronie testowej, jeśli polegasz na dostosowaniach, a następnie wprowadź ją na produkcję.
  2. Jeśli nie możesz zaktualizować natychmiast, podejmij te środki kompensacyjne:
    • Wyłącz wtyczkę, aż będziesz mógł bezpiecznie zaktualizować.
    • Tymczasowo ogranicz uprawnienia na poziomie Autora: przekształć nieufnych Autorów w Współautorów (którzy nie mogą publikować) lub usuń uprawnienia do publikacji.
    • Wyłącz renderowanie bloków podatnych na froncie (jeśli motyw na to pozwala) lub ukryj strony przepisów, podczas gdy je naprawiasz.
    • Zastosuj regułę WAF, aby zablokować ładunki (zobacz sekcję wskazówek WAF poniżej).
  3. Skanuj w poszukiwaniu przechowywanych ładunków
    • Szukaj podejrzanej treści przypominającej skrypt w swoich postach i postmeta. Typowe wskaźniki to "<script", "onerror=", "onload=" lub podejrzane ciągi base64 osadzone w polach.
    • Użyj bezpiecznych zapytań wyszukiwania (nie wykonuj ładunków). Przykłady bezpiecznych kontroli (WP-CLI):
      • zapytanie wp db "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%';"
      • wp db query "SELECT meta_id, post_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%<script%';"
    • Usuń lub zsanitizuj wszelkie znalezione dopasowania lub przywróć z czystej kopii zapasowej, jeśli to odpowiednie.
  4. Zmień dane uwierzytelniające i tokeny sesji, jeśli podejrzewasz kompromitację.
    • Wymuś resetowanie haseł dla użytkowników z podejrzaną aktywnością.
    • Wyczyść aktywne sesje (użyj wtyczki lub opcji WP, aby wymusić wylogowanie) i zmień hasła administratorów oraz klucze API.
  5. Przeprowadź pełne skanowanie witryny.
    • Użyj swojego skanera złośliwego oprogramowania, aby wyszukać wstrzyknięte pliki, zmodyfikowane pliki rdzenia i webshale.
    • Sprawdź przesyłane pliki i pliki motywów pod kątem nieoczekiwanych zmian.
  6. Monitoruj logi i zachowanie odwiedzających.
    • Szukaj nietypowych logowań administratorów, adresów IP tworzących treści lub skoków w żądaniach front-end do stron przepisów.

Jak zapora aplikacji internetowej (WAF) może cię teraz chronić

Jeśli używasz zarządzanego zapory WordPress, która obsługuje wirtualne łatanie / niestandardowe zasady WAF, możesz zmniejszyć ryzyko, aż każda strona zostanie zaktualizowana. Oto praktyczne kontrole WAF, które pomagają w przypadku przechowywanych podatności XSS:

  • Blokuj ładunki w ciałach POST i polach meta, które zawierają tagi skryptów lub obsługiwacze zdarzeń:
    • Przykład (pseudo-zasada): blokuj wszelkie POST do wp-admin/*, gdzie ładunek zawiera <script Lub onerror=|onload=|javascript: w polach związanych z blokami przepisów/kart.
  • Oczyść wyświetlany HTML, usuwając niedozwolone tagi w czasie wyjścia lub zastępując je:
    • Przykład (pseudo-zasada): oczyść treść z kluczy postmeta wtyczki przed wysłaniem odpowiedzi do przeglądarki.
  • Wymuś nagłówki Polityki Bezpieczeństwa Treści (CSP):
    • Dodaj CSP, która zabrania skryptów inline i pozwala tylko na skrypty z zaufanych domen. To może złagodzić wpływ wstrzykniętego skryptu inline. Uwaga: CSP wymaga starannego testowania, aby nie uszkodzić Twojej strony.
  • Ograniczaj działania użytkowników Autorów:
    • Jeśli Autor próbuje wielu POST-ów lub zmian treści, ogranicz lub oznacz do przeglądu.

Prawidłowo skonfigurowana WAF nie zastępuje łatania, ale daje Ci czas i zmniejsza prawdopodobieństwo natychmiastowego wykorzystania.

Przykłady zasad WAF (nieeksploatacyjne, tylko defensywne)

Poniżej znajdują się koncepcyjne, defensywne wzorce zasad. Nie nie używaj ich do tworzenia eksploatacji. Mają na celu prowadzenie Twojego zespołu bezpieczeństwa lub operatora zarządzanej zapory.

  • Blokuj POST-y z podejrzanymi wzorcami skryptów:
    • Jeśli dane POST zawierają <script LUB zawiera JavaScript: OR zawiera atrybuty zdarzeń, takie jak onerror= Lub ładowanie= następnie blokuj lub oznaczaj, chyba że żądanie pochodzi z zaufanego adresu IP administratora.
  • Blokuj powszechne ładunki zakodowane w base64 w polach strony:
    • Jeśli pole postmeta, które powinno być zwykłym tekstem, zawiera długie bloby base64, umieść zawartość w kwarantannie.
  • Chroń ekrany administratora:
    • Blokuj żądania do admin-ajax.php lub specyficznych punktów końcowych administratora wtyczek, gdy niosą podejrzane ładunki lub pochodzą z nowo utworzonych kont Autorów.

Współpracuj z dostawcą WAF lub zarządzanym dostawcą bezpieczeństwa, aby wdrożyć to przy użyciu języka reguł Twojego produktu; testuj na stagingu.

Wykrywanie: strategie wyszukiwania i bezpieczne zapytania

Jeśli podejrzewasz, że Twoja strona była celem, przeszukaj bazę danych w poszukiwaniu podejrzanej zawartości. Użyj zapytań tylko do odczytu lub bezpiecznych zapytań. Celem jest wykrycie, a nie wykonanie.

  • Powszechne bezpieczne wyszukiwania (użyj WP-CLI lub trybu tylko do odczytu phpMyAdmin):
    • Przeszukaj posty pod kątem skryptów inline:
      • WYBIERZ ID, tytuł_postu Z wp_posts GDZIE post_content LUBIĘ '%
    • Przeszukaj postmeta w poszukiwaniu treści przypominającej skrypt:
      • SELECT meta_id, post_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%<script%';
    • Przeszukaj atrybuty zdarzeń:
      • WYBIERZ ID Z wp_posts GDZIE post_content JAKO '%onerror=%' LUB post_content JAKO '%onload=%';
  • Sprawdź ostatnie edycje i kto je wykonał:
    • W wp_posts sprawdź pola post_modified, post_modified_gmt i post_author, aby zidentyfikować podejrzaną aktywność.

Jeśli znajdziesz podejrzaną zawartość, nie po prostu "wyświetl" stronę w przeglądarce zalogowanej jako administrator — to może uruchomić złośliwy JavaScript. Użyj wyjścia z bazy danych tylko tekstowego lub tymczasowo oczyść zawartość przed ponownym załadowaniem strony w przeglądarce.

Lista kontrolna reakcji na incydent (jeśli znajdziesz wstrzyknięcie)

  1. Umieść dotkniętą zawartość w kwarantannie
    • Usuń podejrzaną zawartość z publicznego widoku (ustaw post na roboczy lub usuń niebezpieczne wpisy meta).
  2. Zachowaj dowody
    • Eksportuj bazę danych i logi do analizy (przechowuj offline). Oznacz znaczniki czasowe i identyfikatory użytkowników zaangażowanych.
  3. Rotacja danych uwierzytelniających i sekretów
    • Zresetuj hasła dla dotkniętych kont, obróć klucze API i wszelkie ujawnione tokeny; unieważnij sesje.
  4. Oczyść i przywróć
    • Jeśli wykryjesz inne oznaki kompromitacji (zmodyfikowane pliki, nieznani użytkownicy administratorzy), rozważ przywrócenie z czystej kopii zapasowej przed incydentem.
    • Przeskanuj ponownie po przywróceniu i ponownie zastosuj aktualizacje.
  5. Zainstaluj poprawki i zweryfikuj
    • Zaktualizuj wtyczkę do 3.4.14+ i zweryfikuj, czy oczyszczone zachowanie się utrzymuje.
    • Zastosuj wszelkie zalecane poprawki od autora wtyczki.
  6. Zgłoś i ucz się
    • Jeśli incydent dotyczy użytkowników lub danych, postępuj zgodnie z lokalnymi obowiązkami raportowania lub krokami odpowiedzi na incydenty w organizacji.
    • Udokumentuj, jak doszło do włamania i wzmocnij procesy (zmień procedury przeglądu dla autorów, wprowadź kontrole przed publikacją).

Długoterminowe wzmocnienie, aby zapobiec podobnym problemom

  • Zasada najmniejszych uprawnień
    • Ogranicz minimalne możliwości dla ról użytkowników. Rozważ uczynienie autorów współautorami z procesami przeglądu treści, jeśli masz częstych nieznanych współautorów.
  • Procesy oczyszczania treści
    • Wymuszaj oczyszczanie po stronie serwera i ucieczkę we wszystkich wtyczkach i motywach. Pamiętaj, że walidacja po stronie klienta nie jest wystarczająca.
  • Przegląd kodu zabezpieczeń dla wtyczek
    • Preferuj wtyczki, które przestrzegają najlepszych praktyk zabezpieczeń WordPressa: ucieczka (esc_html, esc_attr, wp_kses), nonce na akcjach i kontrole możliwości.
  • Automatyczne aktualizacje i łatanie
    • Włącz automatyczne aktualizacje dla wtyczek i motywów, którym ufasz; zaplanuj harmonogram ręcznego przeglądu tam, gdzie automatyczne aktualizacje nie są możliwe.
  • Ciągłe skanowanie i monitorowanie
    • Regularnie przeprowadzaj skanowanie złośliwego oprogramowania i kontrole integralności plików. Monitoruj logi pod kątem nietypowego zachowania administratorów lub POST-ów zawierających ładunki przypominające skrypty.
  • CSP i dodatkowe wzmocnienie HTTP
    • Wprowadź Politykę Bezpieczeństwa Treści i inne nagłówki (X-Content-Type-Options, X-Frame-Options, Referrer-Policy), aby zmniejszyć skuteczność ładunków po stronie klienta.

Wskazówki dla deweloperów (dla autorów wtyczek i budowniczych stron)

Jeśli tworzysz lub dostosowujesz wtyczki lub motywy, przestrzegaj tych zasad, aby uniknąć wprowadzenia przechowywanego XSS:

  • Oczyść dane wejściowe i escape'uj dane wyjściowe
    • Użyj wp_kses(), aby dodać do białej listy dozwolony HTML na wejściu; użyj esc_html(), esc_attr() lub wp_kses_post() na wyjściu, gdzie to stosowne.
  • Unikaj przechowywania nieznanego surowego HTML w postmeta, chyba że jest to absolutnie konieczne.
    • Jeśli musisz zezwolić na HTML, ogranicz dozwolone tagi i atrybuty za pomocą wp_kses() z wąską listą dozwoloną.
  • Waliduj kontrole uprawnień
    • Zawsze sprawdzaj uprawnienia użytkownika (current_user_can()) dla działań, które modyfikują zawartość bazy danych.
  • Używaj nonce dla akcji zmieniających stan
    • Chroń przesyłanie formularzy i punkty końcowe AJAX za pomocą wp_verify_nonce(), aby zapobiec CSRF, które może być połączone z XSS.
  • Oczyść JSON i zablokuj adresy URL skryptów.
    • Podczas przechowywania JSON lub zserializowanych tablic upewnij się, że wartości są sprawdzane, aby uniknąć osadzonych adresów URL skryptów lub obsług zdarzeń.

Jak priorytetyzować i klasyfikować ryzyko w dużym zbiorze witryn.

Jeśli zarządzasz wieloma witrynami WordPress lub witrynami klientów:

  • Inwentaryzacja wersji wtyczek
    • Użyj scentralizowanego inwentarza, aby szybko zidentyfikować, które witryny uruchamiają podatny plugin i wersję.
  • Grupuj działania naprawcze według ryzyka.
    • Najpierw łatkuj witryny o dużym ruchu lub wysokich uprawnieniach, ale nie zostawiaj małych witryn bez łatek — zautomatyzowane kampanie masowego wykorzystania celują we WSZYSTKIE podatne witryny.
  • Automatyzuj aktualizacje tam, gdzie to bezpieczne
    • Użyj automatycznych aktualizacji dla witryn o niskiej personalizacji; testuj aktualizacje w środowisku staging dla krytycznych właściwości.
  • Użyj wirtualnego łatania, aby zmniejszyć narażenie podczas wykonywania aktualizacji.
    • Wirtualne łatanie (zasady WAF) jest szybkie do wdrożenia w wielu witrynach i zmniejsza natychmiastowe ryzyko.

Wykrywanie i audyt: na co zwracać uwagę w logach.

  • Nietypowe żądania POST do punktów końcowych edycji postów z kont autorów.
  • Żądania zawierające powszechne ciągi wstrzykiwania lub długie bloby Base64.
  • Sesje administratorów przeglądające niespodziewane strony lub przełączające ustawienia wtyczek.
  • Nowi użytkownicy podobni do administratorów utworzeni bez autoryzacji.

Włącz i scentralizuj logowanie, aby przyspieszyć klasyfikację — logowania, edycje postów i modyfikacje plików są niezbędne.

Pomoc dla agencji i hostów.

  • Powiadom swoich klientów korzystających z dotkniętej wtyczki i zalecaj natychmiastową aktualizację.
  • Oferuj zaplanowanie lub zastosowanie poprawek, przeprowadzenie skanów i przywrócenie czystych kopii zapasowych, jeśli to konieczne.
  • Tymczasowo ogranicz możliwości autora tam, gdzie to możliwe, aż klienci zaktualizują.
  • Wprowadź tymczasową regułę wirtualnej poprawki na serwerach, aby złagodzić najbardziej oczywiste wzorce eksploatacji.

Chroń swoją stronę w kilka minut: Zarejestruj się w WP-Firewall Basic (Darmowe)

WP-Firewall zapewnia niezbędną zarządzaną ochronę zaprojektowaną dla stron WordPress o różnych rozmiarach. Nasz plan Basic (Darmowy) obejmuje zarządzany zaporę, nielimitowaną przepustowość, zaporę aplikacji internetowej (WAF), skaner złośliwego oprogramowania oraz łagodzenie ryzyk OWASP Top 10 — wszystko, czego potrzebujesz, aby drastycznie zmniejszyć prawdopodobieństwo przechowywanego XSS i innych powszechnych ataków na WordPress podczas łatania podatnych wtyczek.

Wybierz plan Basic, aby uzyskać natychmiastową, zautomatyzowaną ochronę, taką jak wirtualne łatanie i blokowanie podejrzanych ładunków, lub zaktualizuj później, aby uzyskać automatyczne usuwanie złośliwego oprogramowania i wirtualne poprawki podatności. Zarejestruj się i włącz ochronę w kilka minut: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Plan szybki podsumowanie:

  • Podstawowy (bezpłatny): Zarządzana zapora, nieograniczona przepustowość, WAF, skaner złośliwego oprogramowania, łagodzenia OWASP Top 10.
  • Standard ($50/rok): Dodaje automatyczne usuwanie złośliwego oprogramowania oraz ograniczoną czarną/białą listę adresów IP.
  • Pro ($299/rok): Zawiera miesięczne raporty bezpieczeństwa, automatyczne wirtualne łatanie i premium dodatki (Dedykowany Menedżer Konta, Optymalizacja Bezpieczeństwa i usługi zarządzane).

Często zadawane pytania

Q: Jeśli zaktualizuję wtyczkę, czy nadal potrzebuję WAF?
A: Tak. Aktualizacja usuwa znaną podatność, ale WAF dodaje obronę w głębokości przeciwko nieznanym lub zero-day problemom, zautomatyzowanym skanerom i wzorcom ataków. Dla stron z wieloma wtyczkami lub tych, które nie mogą natychmiast zaktualizować, WAF jest szczególnie cenny.

Q: Czy mogę bezpiecznie usunąć wtyczkę zamiast aktualizować?
A: Usunięcie wtyczki jest ważnym podejściem, jeśli nie potrzebujesz jej funkcjonalności. Jeśli odinstalujesz, upewnij się, że usuniesz również wszelkie dane, które wtyczka pozostawiła, a które mogą zawierać wstrzyknięte treści (postmeta, niestandardowe tabele). Zawsze wykonuj kopię zapasową przed usunięciem danych.

Q: Czy ten problem mógł już zostać wykorzystany na mojej stronie?
A: To możliwe. Przejrzyj swoje posty, postmeta i ostatnią aktywność administratora w poszukiwaniu podejrzanej treści skryptów oraz zeskanuj pliki. Jeśli uważasz, że doszło do kompromitacji, postępuj zgodnie z powyższą listą kontrolną reakcji na incydent.

Q: Jak mogę sprawdzić wersje wtyczek na wielu stronach?
A: Użyj pulpitu zarządzania lub narzędzia, które inwentaryzuje zainstalowane wtyczki i wersje. Jeśli zarządzasz dziesiątkami lub setkami stron, automatyzacja jest niezbędna do szybkiego łagodzenia.

Ostatnie słowa od zespołu bezpieczeństwa WP-Firewall

Przechowywane podatności XSS — szczególnie te, które mogą być wywołane przez autora — przypominają, że bezpieczeństwo to warstwowy, ciągły proces. Nawet problemy o średnim ciężarze stają się krytyczne w skali, ponieważ napastnicy używają zautomatyzowanych narzędzi do znajdowania i wykorzystywania tysięcy stron w ciągu kilku minut. Łataj niezwłocznie, przyjmij obronę w głębokości (WAF + skanowanie + minimalne uprawnienia) i włącz reakcję na incydenty do swojego operacyjnego podręcznika.

Jeśli potrzebujesz pomocy w ocenie ryzyka na wielu stronach, wdrażaniu wirtualnych poprawek lub reagowaniu na incydent, nasz zespół jest dostępny, aby pomóc w praktycznej naprawie i zarządzanej ochronie. Zacznij od slotu ochrony Basic (Darmowe) i skaluj w miarę rozwoju swoich potrzeb: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Bądź bezpieczny i na bieżąco — małe proaktywne kroki (łatanie, wzmocnienie ról, zasady WAF) eliminują dużą część powszechnych wektorów ataków na WordPress.

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.

Skontaktuj się z nami, aby zaplanować bezpłatną konsultację dotyczącą bezpieczeństwa WordPress

Skontaktuj się z nami

Zapora sieciowa WP
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Cechy Wycena Blog Login
Polityka prywatności Warunki korzystania z usługi Dokumenty Przyłączać

© 2026 WP-Firewall™