Vulnerabilidade de Upload de Arquivo Arbitrário no Auto Thumbnailer//Publicado em 2026-02-03//CVE-2025-12154

EQUIPE DE SEGURANÇA WP-FIREWALL

Auto Thumbnailer Vulnerability

Nome do plugin Miniaturizador Automático
Tipo de vulnerabilidade Upload de arquivo arbitrário
Número CVE CVE-2025-12154
Urgência Crítico
Data de publicação do CVE 2026-02-03
URL de origem CVE-2025-12154

CVE-2025-12154 — Upload de Arquivo Arbitrário no Miniaturizador Automático (<= 1.0): O que os Proprietários de Sites WordPress Devem Fazer Agora

Em 3 de fevereiro de 2026, uma vulnerabilidade crítica de upload de arquivo arbitrário afetando o plugin Miniaturizador Automático do WordPress (versões <= 1.0) foi publicada (CVE-2025-12154). A fraqueza permite que um usuário autenticado com privilégios de nível Contribuidor (ou superior) faça upload de arquivos arbitrários no sistema de arquivos do site, o que pode rapidamente escalar para execução remota de código (RCE), backdoors e comprometimento total do site.

Este aviso foi escrito pela equipe de segurança WP‑Firewall. Abaixo você encontrará uma análise clara e acionável: como a vulnerabilidade funciona em um nível alto, impacto no mundo real, etapas de detecção, mitigação imediata que você pode aplicar (manual e baseada em WAF), endurecimento recomendado a longo prazo e orientações de resposta a incidentes adaptadas para sites e administradores do WordPress.

Nota: se você executa o Miniaturizador Automático e sua versão instalada é <= 1.0, trate isso como urgente, mesmo que você não tenha indicadores imediatos de comprometimento. Um atacante só precisa de uma conta de Contribuidor (ou uma conta que pode ser elevada a Contribuidor) para abusar do problema.

Resumo rápido (TL;DR)

  • Software afetado: Miniaturizador Automático (plugin do WordPress), versões <= 1.0.
  • Vulnerabilidade: Upload de arquivo arbitrário autenticado (Contribuidor+) levando a potencial execução remota de código.
  • CVE: CVE-2025-12154.
  • Data de divulgação: 3 de fev de 2026.
  • Pré-requisitos de exploração: Conta de Contribuidor (ou superior) no site WordPress alvo (ou uma conta que pode ser privilegiada para Contribuidor).
  • Severidade: Alta — upload de arquivo arbitrário é um vetor de alto risco porque permite webshells/backdoors.
  • Ações imediatas: Desative o plugin, remova uploads suspeitos, negue execução no diretório de uploads, bloqueie endpoints vulneráveis com seu WAF, audite contas de contribuidores, gire credenciais e execute uma verificação completa de malware e integridade.

Por que isso é importante: upload de arquivo arbitrário é um caminho rápido para a tomada de controle

Vulnerabilidades de upload de arquivo arbitrário estão entre os problemas de maior impacto para aplicações web. Quando um plugin permite que dados de arquivo sejam escritos em diretórios acessíveis pela web sem validação rigorosa (tipo de arquivo, tipo MIME, extensão, inspeção de conteúdo) e sem verificações de capacidade robustas, os atacantes podem colocar webshells PHP e, em seguida, invocá-los via HTTP para executar código no servidor.

Mesmo que o endpoint do plugin tenha sido destinado a imagens ou miniaturas, os atacantes muitas vezes podem contornar verificações ingênuas por meio de:

  • Fazer upload de um arquivo PHP disfarçado com uma extensão benigna (por exemplo, file.php.jpg) e confiar em servidores que executam conteúdo .php.
  • Fazer upload de um arquivo com cabeçalhos de imagem válidos, mas com cargas úteis ou truques incorporados que causam execução remota no processamento subsequente.
  • Explorar configurações fracas do servidor onde o diretório de uploads permite execução de PHP.

Como a vulnerabilidade requer privilégios de Contribuidor, a superfície de ataque não é apenas pública — mas muitos sites permitem registro de usuários, contribuições ou têm higiene de conta fraca. Além disso, uma única conta de contribuinte comprometida (senha phishing, credenciais reutilizadas) é suficiente.

Visão geral técnica (de alto nível, não exploratória)

O plugin expõe um caminho de upload ou um endpoint AJAX/REST de administrador que pode ser chamado por usuários autenticados com capacidade de Contribuidor. Um ou mais desses controles de segurança estão ausentes ou são insuficientes:

  • Verificações de capacidade insuficientes: o endpoint confia em um papel de Contribuidor para realizar uma ação que deveria ser mais restritiva (por exemplo, apenas Administrador ou Editor).
  • Validação de arquivo fraca ou ausente: o plugin não rejeita de forma confiável tipos de arquivos PHP, script ou outros executáveis.
  • Sem inspeção de conteúdo: a validação do lado do servidor não verifica efetivamente o conteúdo do arquivo ou o tipo MIME.
  • Os arquivos são armazenados em diretórios acessíveis pela web (por exemplo, wp-content/uploads ou pastas controladas pelo plugin) com execução permitida.

Quando esses controles falham juntos, o endpoint pode aceitar arquivos arbitrários e depositá-los em um caminho explorável.

Não forneceremos etapas de exploração aqui, mas a trajetória de risco é direta: upload de arquivo → webshell escrito → código executado via HTTP → acesso persistente e escalonamento de privilégios.

Impacto no mundo real: o que um atacante pode fazer

Se explorado com sucesso, um atacante pode:

  • Fazer upload de um webshell PHP ou backdoor e executar código PHP arbitrário.
  • Criar usuários administrativos, escalar privilégios ou manipular o conteúdo do banco de dados.
  • Exfiltrar dados, incluindo registros de usuários, dados de pagamento ou arquivos de configuração.
  • Implantar malware persistente para spam de SEO, injeções de anúncios ou criptomineracao.
  • Usar o host comprometido para pivotar para outros sistemas (por exemplo, via credenciais coletadas ou interfaces de provedores de hospedagem).
  • Causar desfiguração em todo o site ou colocar links que resultem em penalidades de mecanismos de busca e listas negras.

Como muitos hosts executam vários sites na mesma conta ou permitem acesso SSH entre sites, o raio de explosão pode ser maior do que uma única instalação do WordPress.

Quão provável é a exploração?

A probabilidade de exploração depende das configurações do site:

  • Alta probabilidade se o registro público estiver habilitado e novas contas forem padrão para Contribuidor ou superior.
  • Alta probabilidade se o site tiver usuários contribuidores existentes (blogueiros convidados, equipes de conteúdo).
  • Menor probabilidade se o registro estiver desativado, contas de contribuidores são raras e uma boa higiene de 2FA/senha é aplicada.

No entanto, uma conta comprometida ou um atacante com acesso de engenharia social pode transformar um cenário de baixa probabilidade em um ataque de alta probabilidade. Trate a vulnerabilidade como urgente.

Ações imediatas — uma lista de verificação priorizada passo a passo

Estes são os passos que você deve seguir agora se operar um site WordPress com Auto Thumbnailer instalado (<=1.0). Realize-os na ordem abaixo; as ações principais contêm as mitigações de maior risco.

  1. Identificar exposição
       – Verifique se o plugin está instalado e qual versão. No WP Admin: Plugins → procure por “Auto Thumbnailer” e anote a versão.
       – Se a versão <= 1.0 — assuma vulnerável até que se prove o contrário.
  2. Retire o plugin do ar imediatamente (se possível)
       – Se puder, desative o plugin no WP Admin.
       – Se não conseguir acessar o admin, renomeie a pasta do plugin via SFTP/SSH: wp-content/plugins/auto-thumbnailer → wp-content/plugins/auto-thumbnailer-disabled.
  3. Bloqueie o endpoint de upload vulnerável no nível do WAF
       – Adicione uma regra WAF temporária para bloquear solicitações ao endpoint de upload do plugin (POST/PUT para caminhos de plugin conhecidos ou ações AJAX). Veja a seção WAF abaixo para regras sugeridas.
       – Se você usar WP-Firewall, ative um patch virtual bloqueando POSTs suspeitos para os endpoints do plugin.
  4. Revise imediatamente as contas de contribuidores
       – Audite todos os usuários com função de Contribuidor (e Editor/Administrador).
       – Remova ou rebaixe quaisquer contas que não sejam necessárias.
       – Force a redefinição de senhas para funcionários e contribuidores (especialmente se não puder descartar um comprometimento).
       – Aplique MFA para usuários com funções privilegiadas.
  5. Prevenir uploads por Contribuidores (temporário)
       – Adicione este código ao functions.php do seu tema (ou via um pequeno mu-plugin) para bloquear temporariamente uploads para Contribuidores:

    // Block media upload for contributors
add_filter('user_has_cap', function($allcaps, $caps, $args) {
    $user = wp_get_current_user();
    if (in_array('contributor', (array) $user->roles)) {
        if ( isset($caps[0]) && $caps[0] === 'upload_files') {
            $allcaps['upload_files'] = false;
        }
    }
    return $allcaps;
}, 10, 3);

       – Nota: remova esta alteração após o plugin estar totalmente corrigido e você ter validado a segurança.

  6. Negar execução de PHP no diretório de uploads (imediato e altamente recomendado)
       – Coloque um arquivo .htaccess em wp-content/uploads com:

    <FilesMatch "\.(php|php5|phtml|phps)$">
  Order Deny,Allow
  Deny from all
</FilesMatch>

       – Para Nginx, use:

    location ~* /wp-content/uploads/.*\.(php|php5|phtml)$ {

       – Essas regras impedem a execução de arquivos PHP enviados, mesmo que estejam presentes.

  7. Procure por arquivos suspeitos e sinais de comprometimento
       – Procure por arquivos .php inesperados em uploads:

    find wp-content/uploads -type f -name "*.php" -o -name "*.phtml" -o -name "*.phar"

       – Procure por arquivos recentemente modificados suspeitos:

    find . -type f -mtime -30 -printf "%T+ %p

       – Verifique os logs de acesso para atividade POST em endpoints de plugins ou solicitações incomuns de IPs desconhecidos.

  8. Escaneamento completo de malware e verificações de integridade
       – Execute um escaneamento profundo de malware cobrindo uploads, arquivos de tema, plugins e mu-plugins.
       – Compare os arquivos atuais de núcleo/plugin/tema com cópias limpas de upstream (verificação de checksum).
       – Se você encontrar arquivos maliciosos, isole-os e, se possível, restaure de um backup limpo.
  9. Rotacionar credenciais e chaves
       – Force redefinições de senha para contas de administrador/editor/contribuidor.
       – Rode quaisquer credenciais ou chaves de API que possam estar armazenadas no site ou serviços relacionados.
       – Se o site usar FTP/SSH/SFTP, gire essas chaves/senhas também.
  10. Notifique as partes interessadas e monitore
       – Notifique sua equipe, colaboradores de conteúdo, provedor de hospedagem (se você suspeitar de impacto a nível de host).
       – Fique de olho nos logs para tentativas repetidas ou novos indicadores.
  11. Corrija e reative
       – Quando o autor do plugin lançar uma versão corrigida, certifique-se de validar a correção antes de reativar.
       – Remova os bloqueios de capacidade temporários apenas após os testes.

WAF e correção virtual: o que implementar agora

Um bom Firewall de Aplicação Web (WAF) pode interromper a exploração enquanto você corrige. Se você usar WP‑Firewall, pode imediatamente criar assinaturas ou habilitar um patch virtual fornecendo as seguintes proteções. As regras abaixo são genéricas e devem ser adaptadas à sintaxe do seu produto WAF.

Ideias de regras WAF de alta prioridade:

  1. Bloquear uploads diretos de extensões executáveis
    • Bloquear solicitações que tentam fazer upload de arquivos com extensões .php, .phtml, .phar, .asp, .aspx nos nomes dos arquivos ou em dados de formulário multipart.
  2. Bloquear pontos finais de upload de plugins conhecidos para auto-thumbnailer
    • Bloquear chamadas POST/PUT ou ajax para os pontos finais de upload do plugin por caminho ou parâmetro de ação. Lógica de exemplo:
      – Se a solicitação for para /wp-admin/admin-ajax.php com o parâmetro de ação usado pelo Auto Thumbnailer → bloqueie ou desafie a solicitação.
  3. Impor verificações de Content-Type/MIME
    • Rejeitar uploads multipart/form-data onde o Content-Type não corresponde a um MIME de imagem seguro (image/png, image/jpeg, image/gif, image/webp).
    • Tenha cuidado: alguns uploads legítimos podem usar outros tipos de MIME; teste primeiro em staging.
  4. Bloquear nomes de arquivos com extensões duplas e caracteres suspeitos
    • Negar nomes de arquivos que contenham .php. ou .phtml. ou terminem com .php, independentemente de outras extensões anexadas (por exemplo, file.php.jpg).
  5. Monitorar e limitar a taxa de ações autenticadas
    • Limitar a taxa de POSTs para endpoints de upload por conta e por IP.
    • Marcar contas que fazem upload de muitos arquivos em um curto período de tempo.

Exemplo de regra pseudo (semelhante ao ModSecurity, de alto nível — adapte para sua plataforma):

# Negar uploads onde o nome do arquivo contém .php (extensões duplas), ou a extensão do arquivo é php SecRule REQUEST_METHOD "POST" "phase:2,chain,deny,status:403,msg:'Bloquear possível upload de arquivo PHP'" SecRule REQUEST_HEADERS:Content-Type "multipart/form-data" "chain" SecRule FILES_NAMES|ARGS_NAMES "@rx \.php(\.|$)|\.(php|phtml|phar)$" "t:none"

Importante: teste essas regras primeiro em modo de monitoramento para evitar falsos positivos que bloqueiem fluxos de trabalho de conteúdo legítimos.

Se você tiver o patch virtual WP‑Firewall habilitado, aplique uma regra temporária para interceptar e desafiar quaisquer solicitações de upload iniciadas por contribuidores para o plugin. Isso oferece proteção imediata enquanto um patch permanente do plugin é implantado.

Fortalecendo o diretório de uploads (prática recomendada)

Mesmo com correções de plugins e WAF em vigor, torne os uploads menos executáveis por design:

  • Negar a execução de PHP em uploads via .htaccess (Apache) ou configuração do Nginx (exemplos acima).
  • Coloque um arquivo index.html nos diretórios de uploads para evitar listagem de diretórios.
  • Defina permissões de arquivo para que os uploads sejam graváveis pelo servidor web, mas não executáveis:
    – Diretórios: 755
    – Arquivos: 644
  • Considere executar um cron ou trabalho de monitoramento para rotineiramente excluir ou colocar em quarentena arquivos com extensões suspeitas ou proprietários irregulares.
  • Use um serviço de armazenamento que segrega uploads da execução de PHP (por exemplo, armazenamento de objetos fora do servidor) para ambientes de alto risco.

Detectando uma violação: indicadores de comprometimento (IoCs)

Se você suspeitar de exploração, procure por esses indicadores:

  • Arquivos PHP inesperados em wp-content/uploads ou pastas de plugins.
  • Novos usuários administrativos ou funções de usuário modificadas sem razões comerciais claras.
  • Conexões de rede de saída inesperadas do servidor, especialmente para IPs ou domínios incomuns.
  • Atividade de processo incomum no servidor (se você tiver acesso ao host).
  • Aparição repentina de tarefas agendadas (cron jobs) que você não criou.
  • Desfiguração, páginas de spam de SEO ou links inseridos no conteúdo do site.
  • Picos incomuns no uso de CPU (possível mineração de criptomoedas) ou uso de disco.

Exemplos de buscas (SSH):

  • Encontre arquivos PHP em uploads: 
    find wp-content/uploads -type f -iname "*.php"
  • Encontre arquivos modificados recentemente em webroot: 
    find . -type f -mtime -7 -printf "%T+ %p
  • Grep por assinaturas de funções comuns de webshell (use com cautela — pode produzir falsos positivos): 
    grep -R --exclude-dir=wp-content/plugins/auto-thumbnailer -n "eval(\|base64_decode(\|shell_exec(" .

Nota: ajuste o padrão do grep e tenha cuidado com falsos positivos em código comprimido benigno.

Resposta prática a incidentes: o que fazer se você encontrar evidências

  1. Isolar
       – Coloque temporariamente o site offline ou coloque-o em modo de manutenção se for necessária a completa isolação.
       – Bloqueie os IPs dos atacantes no nível do firewall se atividade repetida for observada.
  2. Preservar
       – Preserve os logs (logs de acesso, logs de erro, logs do WP) para análise e possivelmente para questões legais/forenses.
       – Crie uma cópia forense do site se você tiver os recursos.
  3. Erradicar
       – Remova webshells e backdoors.
       – Substitua arquivos de núcleo/plugin/tema comprometidos por cópias conhecidas como limpas.
       – Remova usuários suspeitos e altere credenciais.
       – Certifique-se de que não há tarefas agendadas persistentes (verifique as entradas cron do wp_options).
  4. Recuperar
       – Restaure o site a partir de um backup limpo feito antes da violação se os passos de erradicação forem incertos ou muito arriscados.
       – Dureza o site (regras WAF, negar execução de PHP, corrigir plugin).
  5. Pós-incidente
       – Realizar uma análise de causa raiz para entender como o atacante entrou.
       – Implementar controles preventivos adicionais (2FA, menor privilégio, varredura periódica).
       – Considerar testes de penetração ou um engajamento profissional de resposta a incidentes para violações complexas.

Prevenção a longo prazo: política e segurança operacional

A vulnerabilidade destaca temas recorrentes que vemos em sites WordPress. Abordá-los reduz o risco para muitas classes de ataque:

  • Princípio do menor privilégio
    – Dê apenas o papel mínimo necessário. Se um usuário só precisa enviar conteúdo em rascunho, conceda a menor capacidade possível.
    – Remova contas de usuário inativas.
  • Autenticação forte
    – Aplique senhas exclusivas e autenticação multifatorial para Editores e Administradores.
    – Use SSO ou provedores de identidade corporativa sempre que possível.
  • Ciclo de vida e inventário de plugins
    – Mantenha um inventário de plugins instalados e suas versões.
    – Remova plugins que estão inativos ou abandonados.
    – Inscreva-se em feeds de vulnerabilidade em que confia ou integre a varredura de vulnerabilidades em seu CI/CD.
  • Monitoramento de integridade de arquivos
    – Monitore diretórios críticos em busca de alterações e alerte sobre modificações inesperadas.
  • Auditorias regulares e backups
    – Teste backups regularmente e verifique a restauração.
    – Execute varreduras de segurança programadas e revise os resultados.
  • Dureza a nível de host
    – Mantenha pacotes PHP e de servidor corrigidos; use contas de sistema com privilégios mínimos.
    – Limite a capacidade do PHP de escrever ou executar código fora dos diretórios pretendidos.

Regras e assinaturas sugeridas para WAF (exemplos práticos)

Abaixo estão regras no estilo WAF e trechos de endurecimento de servidor que você pode adaptar. Elas são defensivas e destinadas a reduzir o risco de exploração.

  1. Bloquear extensão dupla de nome de arquivo (.php.jpg) em uploads (pseudo-regra): 
    Se REQUEST_METHOD == POST e REQUEST_URI contém "admin-ajax.php" ou o caminho do plugin vulnerável
  2. Rejeitar uploads com tipo de conteúdo PHP: 
    Se o cabeçalho Content-Type para a parte do arquivo for "application/x-php" ou a extensão do nome do arquivo corresponder a php
  3. Limitar a taxa de uploads de contribuidores: 
    Se user_role == contributor e solicitações para o endpoint de upload > X por minuto
  4. Negar execução no diretório de uploads — Apache (.htaccess): 
    # Prevenir execução de PHP
  5. Negar execução em uploads — Nginx: 
    location ~* ^/wp-content/uploads/.*\.(php|php5|phtml)$ {

Aplique o acima com cuidado e teste em staging sempre que possível; a sintaxe da regra diferirá conforme o fornecedor do firewall.

Playbook de detecção: comandos rápidos e verificações (checklist repetível)

  • Verificação de versão:
    – WP Admin → Plugins: verifique a versão do Auto Thumbnailer.
    – Ou via WP CLI:

    wp plugin list --format=csv | grep auto-thumbnailer
  • Verifique uploads para PHP: 
    find wp-content/uploads -type f \( -iname "*.php" -o -iname "*.phtml" -o -iname "*.phar" \)
  • Procure por solicitações suspeitas (log de acesso do Apache/Nginx): 
    grep -i "admin-ajax.php" /var/log/nginx/access.log | grep -i "POST" | grep -i "auto-thumbnail"
  • Identifique usuários adicionados recentemente: 
    Audite usuários com funções de Contribuidor ou funções semelhantes. Procure por contas suspeitas criadas recentemente.

    – Verifique as datas de criação de contas novas suspeitas.

  • Verifique a integridade do site: 
    wp core verify-checksums

Esses comandos assumem acesso ao WP-CLI e ao shell. Se você não tiver acesso ao host, coordene-se com seu provedor de hospedagem.

Se você estiver gerenciando vários sites: faça triagem e priorize

Para agências, hosts e empresas que executam muitos sites:

  • Use priorização baseada em risco:
    – Sites com registro público ou muitos usuários de nível colaborador têm maior risco.
    – Sites que hospedam dados sensíveis ou integrações (serviços de pagamento) devem ser priorizados.
  • Automatize a detecção:
    – Programe varreduras e envios de políticas de WAF para todos os sites gerenciados.
    – Use registro centralizado e SIEM para correlacionar atividades suspeitas entre os sites.
  • Mitigação em lote:
    – Aplique temporariamente uma regra global de WAF que bloqueie o ponto final vulnerável em todos os sites até que a correção esteja completa.

Sobre divulgação responsável e atualizações

Esta vulnerabilidade foi relatada de forma responsável (pesquisador: kr0d) e publicada com CVE-2025-12154. Desenvolvedores de plugins e operadores de sites devem seguir as melhores práticas de divulgação segura: coordene a correção e comunique-se claramente com os proprietários dos sites. Até que um patch do fornecedor seja lançado, trate o plugin como não confiável e aplique as mitig ações acima.

Proteja seu site — Comece com o plano de firewall gerenciado gratuito do WP‑Firewall

Proteja seu WordPress agora com WAF gerenciado e proteções básicas

Se você deseja proteção imediata enquanto corrige e fortalece, o WP‑Firewall oferece um plano Básico gratuito adaptado para mitigação rápida e eficaz:

  • Básico (Gratuito): Proteção essencial — firewall gerenciado, largura de banda ilimitada, WAF, scanner de malware e mitigação dos 10 principais riscos da OWASP.
  • Padrão ($50/ano): Todos os recursos Básicos, além de remoção automática de malware e a capacidade de adicionar/remover até 20 IPs da lista negra/branca.
  • Pro ($299/ano): Todos os recursos Padrão, além de relatórios de segurança mensais, correção virtual automática de vulnerabilidades e acesso a complementos premium, incluindo serviços de segurança dedicados.

Inscreva-se no plano Básico gratuito e ative as regras de firewall gerenciado e WAF para bloquear padrões de exploração conhecidos e ataques de upload de arquivos imediatamente: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Facilitamos a implementação de correções virtuais e assinaturas temporárias em seus sites enquanto você trabalha nas atualizações de plugins e etapas de fortalecimento.)

Recomendações finais e resumo

  1. Se o Auto Thumbnailer (<= 1.0) estiver instalado em qualquer um de seus sites — assuma que é vulnerável. Desative ou bloqueie o plugin até que uma versão corrigida esteja disponível.
  2. Negue a execução de PHP em uploads agora (htaccess/nginx) e adicione regras de WAF para bloquear uploads suspeitos ou os pontos de upload do plugin.
  3. Audite e proteja contas de Colaboradores — restrinja uploads e exija MFA sempre que possível.
  4. Realize uma varredura completa do site em busca de webshells/backdoors e remova arquivos suspeitos ou restaure de um backup conhecido e seguro.
  5. Ative uma camada de WAF/correção virtual gerenciada (como o plano gratuito do WP‑Firewall) para proteção imediata durante a correção e remediação.

Continuaremos monitorando essa vulnerabilidade e forneceremos regras adicionais e scripts de resposta à medida que mitigações seguras e confiáveis forem validadas. Se você precisar de ajuda com triagem, resposta a incidentes ou correção virtual em vários sites, nossos especialistas em segurança do WP‑Firewall estão disponíveis para ajudar.

Se você gostaria de uma lista de verificação passo a passo ou ajuda para gerar regras de WAF adaptadas ao seu ambiente de hospedagem (Apache, Nginx ou plataformas gerenciadas), responda com:

  • Se você tem acesso ao host (SSH) e WP‑CLI disponível,
  • Se você usa nosso WAF gerenciado ou precisa de regras para um firewall de terceiros,
  • O número de sites que precisam de triagem.

Prepararemos instruções de remediação personalizadas e trechos de regras que você pode aplicar rapidamente e com segurança.

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™