XSS Crítico em Shortcodes do WordPress PayPal//Publicado em 2026-03-23//CVE-2026-3617

EQUIPE DE SEGURANÇA WP-FIREWALL

WordPress Paypal Shortcodes Plugin Vulnerability

Nome do plugin Plugin de Shortcodes do Paypal para WordPress
Tipo de vulnerabilidade Script entre sites (XSS)
Número CVE CVE-2026-3617
Urgência Baixo
Data de publicação do CVE 2026-03-23
URL de origem CVE-2026-3617

Urgente: XSS armazenado autenticado de Contribuidor no Plugin de Shortcodes do Paypal (≤ 0.3) — O que isso significa e como proteger seu site

Uma divulgação recente identificou uma vulnerabilidade de cross-site scripting (XSS) armazenado no plugin de Shortcodes do Paypal para WordPress (versões até e incluindo 0.3). A vulnerabilidade permite que um usuário autenticado com privilégios de Contribuidor (ou superiores) injete conteúdo malicioso nos atributos de shortcode — especificamente os valor e nome atributos — que podem ser armazenados e posteriormente executados no navegador de um usuário administrativo ou privilegiado. O problema foi atribuído ao CVE-2026-3617 e possui uma pontuação CVSS reportada de 6.5.

Como a equipe por trás do WP‑Firewall — um Firewall de Aplicação Web (WAF) profissional para WordPress e serviço de segurança — queremos explicar os detalhes técnicos, o risco real para seu site, etapas de detecção e mitigação que você pode implementar imediatamente, abordagens seguras de remediação e como reduzir sua exposição a essa classe de vulnerabilidade no futuro.

Este é um post longo e prático destinado a proprietários de sites WordPress, desenvolvedores e administradores. Se você gerencia sites WordPress, por favor, leia todo o guia e aplique as mitig ações relevantes ao seu ambiente.

Resumo executivo (principais pontos)

  • Um XSS armazenado existe no plugin de Shortcodes do Paypal (≤ 0.3) onde atributos de shortcode não sanitizados (valor e nome) são salvos e posteriormente exibidos sem a devida escapagem.
  • Privilégio necessário para criar o conteúdo vulnerável: Contribuidor (ou superior). Isso significa que um atacante precisa apenas de uma conta de baixo privilégio para injetar um payload em um post ou página.
  • Impacto: Quando um usuário privilegiado (geralmente um administrador ou editor) visualiza a página onde o shortcode é renderizado, o payload pode ser executado em seu navegador. Isso pode levar ao roubo de sessão, escalonamento de privilégios, tomada de controle do site, alterações maliciosas ou instalação de backdoors.
  • CVE: CVE-2026-3617. Severidade reportada: Média (CVSS 6.5).
  • Ações imediatas: Atualize o plugin se um patch oficial estiver disponível; caso contrário, remova ou desative o plugin, restrinja funções, escaneie por conteúdo injetado em posts e implemente regras de WAF para bloquear atributos de shortcode suspeitos.
  • A longo prazo: Imponha codificação segura para shortcodes e atributos, limite as capacidades de contribuidor quando possível, habilite proteções robustas de WAF e escaneamento de conteúdo, e imponha um modelo de menor privilégio para contas.

Compreendendo a vulnerabilidade: o que está acontecendo tecnicamente

Shortcodes são um recurso comum do WordPress que permite que plugins aceitem atributos e renderizem HTML quando o post é exibido. Um shortcode típico pode ser usado assim:

[paypal name="Apoie nosso projeto" amount="25.00"]

Se um plugin aceita atributos e os exibe no HTML resultante sem a devida sanitização e escapagem, um atacante pode injetar conteúdo nos atributos que inclui HTML ou JavaScript. Quando esse HTML renderizado é armazenado no banco de dados (por exemplo, como conteúdo de post ou meta de post) e posteriormente servido a um usuário com privilégios suficientes (um administrador visualizando o post, ou o editor na pré-visualização do admin), o navegador executa o script malicioso — XSS armazenado clássico.

Neste problema específico, os atributos vulneráveis são valor e nome. O plugin aceitava strings arbitrárias para esses atributos e as exibia na página sem validação ou escapagem suficientes. Uma conta de contribuidor pode criar ou editar posts e adicionar um shortcode com atributos elaborados. Quando um usuário privilegiado visita a página, o payload armazenado é executado em seu navegador.

Pontos principais:

  • Vetor: XSS armazenado via atributos de shortcode.
  • Conta do atacante: Contribuidor (baixo privilégio) é suficiente para injetar.
  • Alvo: qualquer usuário que visualiza a página renderizada (frequentemente administradores, editores).
  • Gatilho: renderização da página no front-end ou a pré-visualização do administrador que executa a saída insegura.

Por que isso importa (riscos do mundo real)

XSS armazenado não é apenas um incômodo. Seus impactos no mundo real incluem:

  • Tomada de conta: Se os cookies ou tokens de sessão do administrador ou editor forem acessíveis ao script na página, os atacantes podem roubar esses valores e sequestrar a conta.
  • Escalação de privilégios: Com uma conta de administrador comprometida, o atacante pode instalar backdoors, alterar senhas, criar novos usuários administradores, mudar detalhes de DNS ou hospedagem, implantar código malicioso e monetizar o acesso.
  • Comprometimento persistente do site: Mesmo que o contribuinte original seja removido, a carga útil armazenada pode permanecer e continuar a afetar os usuários.
  • Expansão de ataque à cadeia de suprimentos/externa: Os atacantes podem aproveitar contas de administrador comprometidas para adicionar plugins maliciosos ou acessar dados de clientes em sites de comércio eletrônico.
  • Danos à reputação e SEO: Anúncios injetados, redirecionamentos ou malware podem levar a listas negras por motores de busca ou navegadores.

Como os contribuintes são frequentemente permitidos em blogs de múltiplos autores ou sites comunitários, essa vulnerabilidade reduz a barreira necessária para os atacantes: eles não precisam pescar um administrador, apenas usar uma conta de contribuinte e esperar que um administrador visualize a postagem ou página.

Quem está em risco?

  • Sites que têm o plugin vulnerável instalado (versão ≤ 0.3).
  • Sites que permitem contas de Contribuidor (ou superiores) para criar postagens/páginas que são renderizadas em produção ou pré-visualizadas por administradores.
  • Sites cujos administradores ou editores costumam pré-visualizar ou visitar conteúdo fornecido por usuários sem sanitização.
  • Sites sem um WAF ou varredura de conteúdo que bloqueie cargas úteis maliciosas.

Mesmo pequenos blogs pessoais podem ser impactados se uma conta de contribuinte for comprometida, já que os atacantes podem aproveitar isso para escalar para uma comprometimento mais sério.

Reprodução (visão geral, segura e não explorável)

Descreveremos o fluxo de ataque em um nível alto sem fornecer um exploit funcional. Isso é para evitar habilitar o uso malicioso, enquanto ainda torna a questão clara para os defensores.

  1. O atacante registra ou usa uma conta de Contribuidor existente no site WordPress.
  2. O atacante cria uma nova postagem ou edita uma existente, inserindo o shortcode vulnerável com valores de nome ou valor atributo especialmente elaborados contendo carga útil HTML/JS.
  3. O plugin armazena esses atributos de shortcode com o conteúdo da postagem ou metadados associados à postagem.
  4. Um administrador/editor visita a postagem na interface ou a visualiza no admin. Quando o shortcode é renderizado, o plugin insere o nome e/ou valor atributo na página sem escapar.
  5. O navegador executa o script, que pode ser executado no contexto da sessão do site do administrador e realizar ações disponíveis para esse usuário.

É por isso que o XSS armazenado é considerado de maior impacto do que o XSS refletido: o conteúdo malicioso é armazenado e pode ser executado sempre que a página é visualizada por um usuário elegível.

Detecção — como procurar sinais de exploração em seu site

Se você tiver este plugin instalado (verificação do site atual), priorize imediatamente os passos de detecção. Abaixo estão maneiras práticas de detectar tentativas de injeção existentes:

  1. Pesquise o conteúdo da postagem por shortcodes com atributos suspeitos: 
    wp db query "SELECT ID, post_title, post_content FROM wp_posts WHERE post_content LIKE '%[paypal %' OR post_content LIKE '%[paypal]%';"
  2. Grepe o dump do banco de dados:
    • Exporte seu banco de dados e procure por [paypal e inspecione valor e nome atributos para cargas úteis HTML ou codificadas.
  3. Procure por atividades inesperadas 4. tags ou atributos on-event no conteúdo: 
    SELECIONE ID, post_title DE wp_posts ONDE post_content LIKE '%<script%' OU post_content LIKE '%onerror=%' OU post_content LIKE '%javascript:%';
  4. Audite edições recentes de contas de Colaborador:
    • Verifique os logs de alterações de usuários e postagens no admin (ou logs de atividade se você tiver um plugin de auditoria) para novas postagens ou postagens editadas por contas de contribuidores.
    • Revise as revisões da postagem para ver qual conteúdo foi adicionado.
  5. Faça uma varredura usando um scanner de segurança que inclua inspeção de conteúdo (WP‑Firewall, outros scanners): procure por atributos de shortcode contendo colchetes angulares, aspas com tags incorporadas ou cargas úteis codificadas.
  6. Verifique os logs do servidor em busca de atividades suspeitas de usuários administradores de IPs ou horários incomuns.

Se você encontrar algum uso suspeito de shortcode, trate-o como uma possível violação e siga os passos de recuperação abaixo.

Mitigações imediatas que você deve aplicar (passo a passo)

Se o seu site usar o plugin vulnerável e você não puder atualizar imediatamente, tome estas medidas de emergência:

  1. Desative ou remova o plugin imediatamente
    A desativação é a maneira mais rápida de parar a renderização do shortcode vulnerável na interface. Remover o plugin impede mais exploração.
  2. Restringir ações de visualização de colaboradores/editors
    A curto prazo, evite visualizar ou ver posts criados ou editados por colaboradores até que você tenha escaneado e limpo o conteúdo.
  3. Escaneie em busca de conteúdo malicioso e remova-o
    Pesquisar no banco de dados por [paypal shortcodes e inspecione o valor e nome atributos manualmente (veja os passos de detecção). Remova quaisquer atributos suspeitos ou sane-os substituindo por valores seguros.
  4. Rode as credenciais de administrador e confirme as contas de administrador
    Se você suspeitar que uma conta de administrador foi alvo ou pode ter executado o XSS, troque as senhas dos administradores e imponha 2FA para todas as contas privilegiadas imediatamente.
  5. Audite contas de usuários e remova colaboradores desconhecidos
    Suspenda temporariamente novas contas de colaboradores ou suspeitas e revise seus posts.
  6. Implemente regras de WAF ou filtragem de conteúdo (patch virtual imediato)
    Use seu WAF para bloquear POSTs ou atualizações que contenham cargas úteis suspeitas em post_content ou em solicitações onde colaboradores criam conteúdo. Por exemplo, bloqueie solicitações contendo <script, javascript:, ou atributos de manipulador de eventos suspeitos no contexto dos atributos de shortcode.
  7. Procure e remova backdoors persistentes
    Execute uma verificação de malware (arquivo, banco de dados) e verifique opções_wp, wp_posts, e diretórios de plugins/temas para arquivos PHP injetados ou modificações.
  8. Comece a monitorar comportamentos anormais
    Ative o registro de ações de administrador, alterações de arquivos e novas instalações de plugins.

Remediação recomendada a longo prazo

  1. Atualize o plugin quando um patch oficial for lançado
    A melhor opção é atualizar o plugin para uma versão segura e corrigida assim que o autor publicar uma correção.
  2. Se nenhum patch estiver disponível, substitua a funcionalidade
    Considere remover o plugin e usar uma alternativa bem codificada ou implementar a funcionalidade necessária de uma maneira personalizada e segura.
  3. Fortalecer fluxos de autoria
    Reconsidere permitir funções de Contribuidor se não for necessário. Use um fluxo de moderação onde os Contribuidores criam postagens, mas os editores revisam e sanitizam o conteúdo antes da publicação.
  4. Aplique o princípio do menor privilégio
    Avalie os papéis e capacidades e conceda apenas o que for necessário.
  5. Use funções de sanitização de conteúdo
    Os desenvolvedores devem sanitizar e validar todos os atributos de shortcode na entrada e escapar na saída. Por exemplo:

    • Para valores numéricos: converta para float/int ou use floatval() / intval() e number_format() conforme necessário.
    • Para valores de texto: use sanitizar_campo_de_texto() na entrada e esc_html() ou esc_attr() na saída, dependendo do contexto.
    • Usar wp_kses() ao permitir um pequeno subconjunto de HTML.
  6. Implemente revisão de código e práticas de desenvolvimento seguro
    Os manipuladores de shortcode devem ser revisados para tratamento de entrada/saída. Nunca confie em atributos de usuários não confiáveis.
  7. Use testes automatizados e verificações de segurança
    Integre análise estática e testes de segurança dinâmicos em seu processo de desenvolvimento.

Patch seguro sugerido para desenvolvedores de plugins (conceitual)

Abaixo está um exemplo de como o manipulador de shortcode deve sanitizar e escapar atributos. Isso é conceitual e adaptado para autores de plugins que precisam corrigir a causa raiz.

Exemplo (PHP conceitual):

function paypal_shortcode_handler( $atts ) {'<div class="paypal-shortcode"><span class="paypal-name">%s</span><span class="paypal-amount">%s</span></div>'$a = shortcode_atts( array(;

Principais aprendizados para desenvolvedores:

  • Sempre sanitizar a entrada cedo (na entrada ou logo antes do uso).
  • Sempre escapar a saída com a função de escape correta para o contexto.
  • Para entradas numéricas, impor rigorosamente a validação numérica — não permitir caracteres arbitrários.
  • Evite ecoar valores de atributos brutos em manipuladores de eventos inline ou em contextos onde o JavaScript poderia ser injetado.

Exemplo de regras WAF e estratégias de patching virtual (recomendado)

Como um fornecedor de WAF e respondedor a incidentes, recomendamos o patching virtual via seu WAF até que você possa aplicar uma atualização completa do plugin. As seguintes abordagens não são específicas de fornecedor e podem ser implementadas como regras genéricas. Adapte-as à sintaxe de regras do seu WAF.

  1. Bloquear atualizações de conteúdo com cargas úteis de atributos suspeitos:
    Se um POST para wp-admin/post.php ou wp-admin/post-new.php contém post_content com [paypal e colchetes angulares ou javascript: dentro de atributos, bloqueie a solicitação.
  2. Detectar padrões semelhantes a scripts em atributos de shortcode:
    Exemplo de regex (conceitual):

    (\[paypal[^\]]*(nome|quantia)\s*=\s*"(?:[^"]*]+>[^"]*|[^"]*javascript:)[^"]*")

    Bloquear ou registrar e desafiar (CAPTCHA) solicitações que correspondam.

  3. Sanitizar respostas (remover atributos maliciosos antes de renderizar em certos casos):
    Se a página contiver [paypal códigos de atalho, o WAF pode reescrever a resposta para remover 4. tags ou atributos on* suspeitos dentro do HTML gerado como uma mitigação temporária.
  4. Limitar a taxa de pré-visualização e edição para IPs de função de colaborador:
    Adicionar controles de solicitação mais rigorosos em postagem pontos finais de edição quando provenientes de funções não administrativas.
  5. Monitorar a criação de postagens suspeitas de contas novas/de baixa reputação:
    Marcar novas contas de colaboradores que imediatamente criam postagens carregadas de códigos de atalho.

Importante: evitar regras excessivamente agressivas que bloqueiem conteúdo legítimo. Teste qualquer regra em modo de aprendizado/log antes de aplicar, se o seu WAF suportar.

Como limpar após uma exploração suspeita

  1. Identificar e isolar postagens afetadas
    Use os passos de detecção para encontrar postagens contendo códigos de atalho alterados. Exporte-os e inspecione cuidadosamente.
  2. Remover a carga maliciosa
    Ou excluir as postagens ofensivas, ou editar e remover os atributos de código de atalho injetados. Substitua por conteúdo seguro.
  3. Revisar o histórico do usuário
    Verificar contas de colaboradores para edições suspeitas e os endereços IP utilizados. Remova ou desative contas que você não reconhece.
  4. Rotacionar credenciais
    Redefinir senhas para todas as contas privilegiadas e quaisquer contas que possam ter sido acessadas após a suspeita de comprometimento.
  5. Escanear todos os arquivos
    Digitalizar conteúdo wp, temas e plugins em busca de arquivos recentemente modificados e arquivos com conteúdo estranho. Remova ou substitua arquivos alterados.
  6. Revisar tarefas agendadas e tabelas de banco de dados
    Procure eventos agendados não autorizados, usuários administradores mal-intencionados e alterações em opções_wp.
  7. Restaurar a partir de uma cópia de segurança limpa, se necessário
    Se você não conseguir limpar o site de forma confiável, restaure a partir de um backup conhecido e bom e aplique as etapas de endurecimento antes de reabilitar o acesso remoto.
  8. Monitore para reinfecção
    Continue monitorando logs e integre o monitoramento de integridade de arquivos.

Exemplos práticos de consultas de detecção e comandos de remediação

  • Encontre conteúdo com o shortcode: 
    wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[paypal %' OR post_content LIKE '%[paypal]%';"
  • Substitua conteúdo potencialmente perigoso (exemplo: remova tags de script de postagens contendo o shortcode — prossiga com cautela e faça backup do DB primeiro): 
    wp db query "UPDATE wp_posts SET post_content = REPLACE(post_content, '<script', '&ltscript_removed' ) WHERE post_content LIKE '%[paypal %';"

    Observação: O acima é ilustrativo. Prefira revisão manual ou use um script testado para sanitizar em vez de substituições amplas e cegas.

  • Exporte postagens suspeitas para inspeção: 
    wp post get  --field=post_content > /tmp/post-.html
  • Remova o plugin: 
    wp plugin deactivate paypal-shortcodes

Sempre faça um backup completo antes de executar atualizações em massa.

Prevenção: proteja padrões de shortcode e lista de verificação do desenvolvedor

  • Sempre valide atributos de acordo com os tipos esperados.
  • Sempre sanitize entradas: use sanitizar_campo_de_texto(), esc_url_raw(), absint(), floatval() conforme apropriado.
  • Escape saídas usando as funções corretas: esc_attr(), esc_html(), esc_url(), wp_kses_post() quando necessário.
  • Evite renderizar dados não confiáveis em manipuladores de eventos inline ou href="javascript:...".
  • Evite usar avaliar() ou innerHTMLconstruções -style no front end com dados não confiáveis.
  • Tenha testes unitários e testes de segurança que verifiquem vetores de injeção comuns.
  • Considere uma política de conteúdo onde shortcodes fornecidos pelo usuário são renderizados apenas após a aprovação do administrador.

Exemplo: Como um fluxo seguro de atributo de shortcode se parece

  1. Atributos de shortcode são analisados pelo núcleo do WordPress via shortcode_atts().
  2. Imediatamente sanitize com funções apropriadas antes de qualquer gravação no DB (se os atributos forem armazenados).
  3. Escape na saída, com base em se a saída está dentro de texto HTML, um atributo ou JavaScript.

Um fluxo seguro de amostra (alto nível):

  • Na entrada: o usuário fornece atributos → sanitizar_campo_de_texto() / floatval() → armazene o valor canônico seguro.
  • Na saída: use esc_attr() se usado dentro de atributos de elemento, use esc_html() para conteúdo textual.

Linha do tempo e CVE

  • Divulgação: Publicado em 23 de março de 2026.
  • CVE: CVE-2026-3617.
  • Severidade relatada: CVSS 6.5 (média). Embora uma pontuação média reflita a necessidade de um usuário privilegiado para acionar a exploração em muitos casos, o impacto — roubo de sessão de administrador ou tomada de controle do site — pode ser severo se um administrador for enganado a visualizar o conteúdo.

O que o WP‑Firewall recomenda (lista de verificação concisa)

  • Se você estiver executando o plugin vulnerável (≤ 0.3), desative-o imediatamente até que uma versão corrigida esteja disponível.
  • Escaneie seu conteúdo e banco de dados para o [paypal] shortcode e olhe de perto para nome e valor atributos.
  • Remova ou sane quaisquer atributos e conteúdos suspeitos.
  • Aplique o princípio do menor privilégio: reduza o número de contas com capacidades de autoria ou visualização.
  • Rode as credenciais e ative 2FA para todos os usuários admin.
  • Implemente patches virtuais em seu WAF: bloqueie solicitações que criam shortcodes com colchetes angulares ou javascript: em atributos.
  • Monitore os logs do site para atividades administrativas incomuns seguindo a linha do tempo de quaisquer mudanças suspeitas.
  • Aplique práticas de desenvolvimento seguro para todos os shortcodes e entradas de usuários.

Cenário de incidente real (anonimizado e plausível)

Imagine um blog comunitário que permite que colaboradores registrados enviem artigos. Um atacante registra uma conta de colaborador e insere um payload malicioso no nome atributo de um shortcode do PayPal em uma de suas postagens. Quando um editor revisa a postagem e a visualiza no admin do WordPress, o payload é executado e exfiltra o token de sessão do editor para o atacante. O atacante então faz login como o editor, eleva privilégios criando um novo usuário administrador e instala um plugin de backdoor. É assim que pequenas falhas se tornam compromissos totais do site — e tudo começa com entradas de usuário não sanitizadas em um plugin.

Sugestão de título e breve parágrafo para incentivar a inscrição no Plano Gratuito do WP‑Firewall

Fortaleça suas defesas hoje com o Plano Gratuito do WP‑Firewall

Se você gerencia um ou mais sites WordPress e deseja uma rede de segurança imediata e sem custo, experimente nosso plano WP‑Firewall Básico (Gratuito). Ele fornece proteção essencial e gerenciada desde o início — um WAF endurecido, varredura contínua para malware, mitigação para os riscos do OWASP Top 10 e largura de banda ilimitada para operações de segurança. Implantar um WAF gratuito e um scanner de conteúdo reduz sua exposição a ataques de XSS armazenados e injeções de conteúdo semelhantes enquanto você corrige ou substitui plugins vulneráveis. Inscreva-se no plano gratuito agora e dê uma camada de segurança ao seu site enquanto você limpa ou atualiza componentes vulneráveis: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se você está pronto para proteções adicionais, como remoção automática de malware ou relatórios de segurança mensais, veja os planos Standard e Pro — eles adicionam limpeza automatizada, gerenciamento de IP, patching virtual de vulnerabilidades e um conjunto de serviços gerenciados projetados para sites de produção.)

Considerações finais — o que fazer a seguir

Esta vulnerabilidade é um lembrete útil de duas realidades:

  1. Plugins são uma superfície de ataque fácil e comum. Mesmo pequenas funcionalidades como shortcodes podem introduzir riscos sistêmicos quando a entrada não é tratada adequadamente.
  2. A defesa em profundidade é importante. Uma única camada de proteção (por exemplo, remover plugins arriscados) não é suficiente. Combine desenvolvimento seguro, fortalecimento de funções, revisão de conteúdo, backups, 2FA e um WAF capaz.

No WP‑Firewall, priorizamos defesas pragmáticas e em camadas que compram tempo para correções e limpeza. Se você precisar de assistência para escanear, limpar ou implementar patches virtuais de emergência, nossa equipe de segurança pode ajudá-lo a elaborar um plano de resposta que seja proporcional ao seu risco.

Se você está preocupado que seu site possa ser afetado hoje, tome as medidas de emergência descritas anteriormente: desative o plugin, procure em suas postagens por shortcodes injetados e altere credenciais privilegiadas. Em seguida, implemente proteções contínuas de WAF e varredura de conteúdo para que você não fique desprotegido na próxima vez que uma vulnerabilidade for divulgada.

Fique seguro e mantenha seus sites atualizados e livres de plugins e funções desnecessárias. Se você quiser ajuda para fortalecer seu site ou implantar o serviço gratuito WP‑Firewall, visite: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se você quiser, podemos:

  • Forneça um conjunto de regras de WAF prontas para implantação ajustadas para bloquear injeções de atributos de shortcode (nós o adaptaremos à sintaxe do seu WAF).
  • Execute uma varredura em seu site para detectar instâncias do shortcode vulnerável e ajudá-lo a limpá-las.
  • Forneça um breve guia para desenvolvedores que você pode entregar ao autor do plugin para implementar o manuseio seguro de atributos.

Entre em contato com o suporte do WP‑Firewall para uma consulta e nós iremos guiá-lo pelos passos específicos para o seu ambiente.

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™