Vulnerabilidade XSS Crítica no Jeg Elementor Kit//Publicado em 2026-05-04//CVE-2026-6916

EQUIPE DE SEGURANÇA WP-FIREWALL

Jeg Elementor Kit Vulnerability Image

Nome do plugin Eu Kit Elementor
Tipo de vulnerabilidade Script entre sites (XSS)
Número CVE CVE-2026-6916
Urgência Baixo
Data de publicação do CVE 2026-05-04
URL de origem CVE-2026-6916

XSS armazenado de Contribuinte autenticado no Jeg Elementor Kit (≤3.1.0) — O que os proprietários de sites WordPress precisam saber

Autor: Equipe de Segurança do Firewall WP
Data: 2026-05-04

Resumo: Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada autenticada foi divulgada no plugin Jeg Elementor Kit afetando versões até 3.1.0 (CVE-2026-6916). O problema foi corrigido na versão 3.1.1. Nesta análise, explicamos o que a vulnerabilidade significa, por que é importante, como os atacantes podem abusar dela e — mais importante — como proteger sites WordPress usando defesa em profundidade: correção, gerenciamento de privilégios, detecção e mitigação de firewall de aplicativo web (WAF). Como a equipe por trás do WP-Firewall, baseamos nossa orientação em experiências reais de gerenciamento de incidentes para fornecer orientações acionáveis que os administradores podem usar imediatamente.

Índice

  • O que aconteceu (em linhas gerais)?
  • Resumo técnico da vulnerabilidade
  • Impacto e explorabilidade
  • Fluxo e cenário de ataque típicos
  • Como detectar se seu site foi alvo
  • Passos imediatos de remediação (obrigatório)
  • Endurecimento e mitigação a longo prazo
  • Recomendações de WAF e correção virtual (regras práticas)
  • Lista de verificação de resposta a incidentes
  • Testes e verificação
  • Orientações para desenvolvedores e autores de plugins
  • Comece com WP-Firewall: proteção do plano gratuito
  • Considerações finais e recursos

O que aconteceu (em linhas gerais)?

Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no plugin Jeg Elementor Kit para WordPress nas versões até 3.1.0. A vulnerabilidade permite que um usuário autenticado com privilégios de nível Contribuinte injete HTML/JavaScript que é armazenado no banco de dados e posteriormente renderizado em contextos onde um usuário privilegiado (como um Editor ou Administrador) visualiza o conteúdo. Quando esse usuário privilegiado carrega uma página ou tela de administração que renderiza o conteúdo injetado, o script é executado no navegador da vítima com os privilégios dessa vítima.

Esta vulnerabilidade é séria o suficiente para justificar uma ação rápida porque permite a tomada de conta, injeção persistente de malware ou desfiguração do site, dependendo de como e onde a carga injetada é executada. O autor do plugin lançou uma correção na versão 3.1.1. A melhor mitigação é atualizar para a versão corrigida imediatamente, mas há etapas adicionais que você deve seguir se não puder atualizar imediatamente ou para proteger sites mesmo após a correção.

Resumo técnico da vulnerabilidade

  • Tipo de vulnerabilidade: Cross-Site Scripting (XSS) Armazenado.
  • Software afetado: plugin Jeg Elementor Kit para WordPress, versões ≤ 3.1.0.
  • Corrigido em: 3.1.1.
  • Identificador CVE: CVE-2026-6916.
  • Privilégio necessário do atacante: Usuário autenticado com função de Contribuinte (ou superior, se presente).
  • Gatilho: A carga é armazenada (por exemplo, em um template, widget ou postmeta) e executada quando renderizada por outro usuário (tipicamente um admin/editor) — interação do usuário necessária.
  • CVSS (conforme relatado): ~6.5 (moderado). O impacto efetivo depende fortemente dos papéis e fluxos de trabalho do seu site.

Causa raiz (típica para esta classe): sanitização de saída insuficiente e/ou escape inadequado ao renderizar conteúdo fornecido pelo usuário na interface do plugin ou em templates de front-end. Usuários de nível Contribuinte frequentemente podem criar posts, templates ou conteúdo personalizado que é persistido; se esses campos forem exibidos sem o escape adequado (esc_html, esc_attr, wp_kses com uma lista permitida apropriada), um atacante pode armazenar conteúdo contendo scripts.

Impacto e explorabilidade

Por que isso é importante:

  • Contas de nível Contribuinte são comumente usadas em sites de múltiplos autores e até mesmo por criadores de conteúdo externos. Elas são frequentemente consideradas de baixo risco, mas com XSS armazenado se tornam um ponto de partida para ataques muito mais poderosos.
  • Se um atacante conseguir fazer um usuário privilegiado (Administrador/Editor) visualizar uma página ou certas telas de administração (por exemplo, a lista de templates ou widgets), o script injetado é executado no contexto desse usuário privilegiado. A partir daí, o atacante pode:
    • Roubar cookies de autenticação ou nonces e realizar a tomada de conta.
    • Criar contas de administrador maliciosas interagindo programaticamente com endpoints AJAX de administrador.
    • Injetar malware persistente ou backdoors (por exemplo, JavaScript malicioso que carrega scripts remotos).
    • Modificar configurações ou conteúdo, redirecionar tráfego ou habilitar cadeias de exploração adicionais.
  • Como a carga útil é armazenada, uma única conta de colaborador pode ser usada para comprometer vários usuários privilegiados ao longo do tempo.

Considerações sobre a possibilidade de exploração:

  • Um atacante precisa de uma conta de Colaborador. Em muitos sites, Colaboradores podem se registrar, ou administradores do site podem ter concedido esse papel a escritores externos ou contas de serviço. Se o registro estiver aberto ou se a provisão de contas não tiver verificação, o risco aumenta.
  • A vulnerabilidade é classificada como exigindo interação do usuário: um administrador/editor deve visualizar/publicar o conteúdo armazenado ou acessar a interface do plugin que o renderiza. Isso torna a exploração automática em massa mais difícil do que a execução remota de código cega, mas continua sendo um vetor de ataque poderoso na prática.
  • A exploração é direta para um atacante que entende onde o plugin renderiza conteúdo não escapado (nomes, descrições, corpos de template, meta de post). Os atacantes costumam mirar páginas de administrador e editores de template.

Fluxo típico de ataque (cenário)

  1. O atacante registra uma conta no site da vítima ou compromete uma conta de Colaborador existente.
  2. Usando a interface do plugin acessível aos Colaboradores, o atacante cria ou edita um recurso (por exemplo, um template salvo, conteúdo de widget ou configuração de template personalizada) e embute uma carga útil de script malicioso.
  3. A carga útil é armazenada no banco de dados e não é devidamente sanitizada.
  4. Um usuário privilegiado (Editor ou Administrador) carrega mais tarde uma tela de administrador ou uma página que exibe o conteúdo armazenado, executando o script sem saber.
  5. O script envia o cookie de sessão do administrador ou o token de autenticação para o servidor controlado pelo atacante, ou chama endpoints AJAX do lado do administrador em nome do administrador para criar uma nova conta de administrador ou alterar a configuração.
  6. O atacante usa a nova conta de administrador ou a sessão roubada para assumir o controle do site, instalar backdoors e persistir o acesso.

Este fluxo demonstra por que o XSS armazenado é perigoso: o atacante usa acesso de baixo privilégio para se mover lateralmente para contextos de alto privilégio.

Como detectar se seu site foi alvo

Se você suspeitar de atividade maliciosa ou quiser verificar proativamente:

  1. Pesquise no banco de dados por HTML ou JavaScript suspeitos:
    • Procure por <script, onerror=, onclick=, javascript: e outros manipuladores de eventos no conteúdo do post, postmeta, linhas de tabela personalizadas e tabelas específicas do plugin.
    • Exemplo de consulta MySQL (execute apenas de um ambiente seguro):
      SELECIONE ID, post_title, post_type
      DE wp_posts
      ONDE post_content LIKE '%<script%';
    • Também pesquise wp_postmeta/meta_value e option_name / option_value em wp_options para conteúdo de script.
  2. Verifique as lojas de template/widget criadas pelo plugin:
    • Inspecione templates e widgets salvos na interface do plugin em busca de HTML estranho ou código ofuscado.
  3. Revise os logs de atividade do usuário:
    • Identifique contas de Contribuidores recentes criadas ou usadas.
    • Verifique os IDs dos autores para templates ou posts que contenham conteúdo suspeito.
  4. Procure por conexões de saída e beaconing:
    • Escaneie logs do servidor e logs de acesso à web em busca de conexões com domínios externos que você não reconhece.
    • Verifique solicitações repetidas iniciadas por navegadores de admin após carregar páginas administrativas específicas.
  5. Escaneie com um bom scanner de malware:
    • Use um scanner de WordPress confiável para detectar padrões de malware conhecidos e scripts injetados. (O WP-Firewall inclui um scanner de malware integrado como parte de nosso conjunto de proteção.)
  6. Monitore o console do navegador ou a rede quando o admin visualiza uma página:
    • Em um ambiente de teste, carregue páginas suspeitas no DevTools e procure chamadas de rede para domínios desconhecidos ou comportamento de injeção.

Se você encontrar conteúdo suspeito: trate-o como comprometido até ter certeza, preserve logs e instantâneas do banco de dados para análise forense e siga um plano de resposta a incidentes (veja abaixo).

Passos imediatos de remediação (deve ser feito agora)

  1. Atualize o plugin para a versão corrigida (3.1.1) imediatamente.
    • Este é o passo mais importante. A correção fecha o caminho de código vulnerável.
  2. Audite e restrinja contas de Contribuidores:
    • Remova ou desative contas de Contribuidores não utilizadas.
    • Altere as senhas das contas de usuários reais que podem ter sido impactados.
    • Desativar registro público se não for necessário.
    • Considere promover temporariamente um fluxo de trabalho onde novo conteúdo é enviado fora do WordPress (por exemplo, via e-mail ou um serviço de gerenciamento de conteúdo) até que você confirme que o site está limpo.
  3. Pesquise e limpe os payloads armazenados:
    • Pesquise no banco de dados por tags de script injetadas e remova ou sane essas entradas.
    • Para conteúdo injetado complexo, restaure o conteúdo afetado de backups conhecidos como bons ou edite manualmente o conteúdo.
  4. Escaneie seu site em busca de webshells ou backdoors:
    • Atacantes que obtêm acesso de administrador frequentemente fazem upload de arquivos PHP ou modificam arquivos de tema/plugin. Use um scanner de integridade de arquivos para detectar alterações.
  5. Altere as senhas de administrador e invalide sessões:
    • Force a redefinição de senhas para administradores.
    • Invalide todas as sessões ativas alterando sais e nonces se você suspeitar de roubo de sessão.
  6. Ative as proteções WAF/patch virtual:
    • Ao atualizar, configure seu WAF para bloquear padrões óbvios de injeção de script (detalhes na seção WAF abaixo).
    • Se você não puder aplicar patches imediatamente, o patch virtual via WAF pode fornecer tempo para remediação.
  7. Preservar evidências:
    • Faça snapshots do banco de dados e do sistema de arquivos para análise pós-incidente. Documente timestamps, endereços IP e todas as ações de remediação.

Endurecimento e mitigação a longo prazo

Aplicar patches corrige o bug conhecido, mas considere essas medidas de longo prazo para reduzir o risco futuro:

  • Princípio do menor privilégio:
    • Reavalie os papéis e capacidades dos usuários. Conceda acesso de Contribuidor ou superior apenas onde estritamente necessário.
    • Considere usar um plugin de gerenciador de capacidades para restringir permissões para papéis personalizados.
  • Mudanças no fluxo de trabalho:
    • Implemente um fluxo de trabalho de revisão de conteúdo: Contribuidores enviam rascunhos; Editores revisam e publicam.
    • Use um site de staging intermediário onde novo conteúdo é revisado quanto à segurança.
  • Fortalecimento de entrada/saída:
    • Certifique-se de que plugins e temas usem a escapagem adequada (esc_html, esc_attr) e filtragem (wp_kses_post com tags permitidas seguras) ao renderizar conteúdo fornecido pelo usuário.
    • Para campos de armazenar e renderizar, sanitize na entrada e escape na saída.
  • Cabeçalhos de segurança:
    • Implemente uma Política de Segurança de Conteúdo (CSP) que proíba scripts inline e restrinja fontes de scripts a domínios confiáveis.
    • Ative as opções X-Content-Type-Options: nosniff, Referrer-Policy, X-Frame-Options e atributos de cookie SameSite apropriados.
  • Autenticação de dois fatores (2FA):
    • Aplique 2FA para todas as contas de administrador e editor para aumentar a segurança contra tentativas de takeover.
  • Varredura e monitoramento regulares:
    • Use scanners de malware, monitoramento de integridade de arquivos e logs de auditoria para detectar anomalias.
    • Monitore a criação de novas contas de administrador e alterações em arquivos críticos.
  • Atualize as práticas:
    • Ative atualizações automáticas onde apropriado (para plugins com um histórico de confiança); caso contrário, defina um cronograma para atualizações pontuais.
    • Teste atualizações em staging antes de aplicar na produção.

Recomendações de WAF e correção virtual (regras práticas)

Como fornecedor de WAF, recomendamos aplicar regras de WAF direcionadas que possam mitigar XSS armazenado enquanto você atualiza o plugin e limpa o conteúdo comprometido. O patch virtual é valioso quando atualizações de código imediatas não são possíveis.

Estratégias e exemplos de regras de WAF sugeridos:

  1. Bloqueie tags de script óbvias em campos que não devem conter marcação.
    • Regra: Negar solicitações onde a entrada contém <script ou em campos destinados a conter texto simples (nomes de exibição de usuários, títulos, campos meta).
    • Nota: Evite bloquear entradas HTML legítimas (por exemplo, em post_content). Direcione os endpoints do plugin e ações AJAX usadas pelo plugin.
  2. Sanitize padrões de conteúdo armazenado.
    • Regra: Marque e coloque em quarentena solicitações que incluam manipuladores de eventos (onerror=, onclick=, onload=) ou URIs javascript:.
  3. Proteja páginas de administração de conteúdo malicioso fornecido por usuários.
    • Regra: Para páginas de administração que renderizam conteúdos de plugins, bloqueie respostas que tentem injetar scripts inline ou scripts externos de domínios não autorizados.
  4. Bloqueie assinaturas de payloads XSS comuns.
    • Exemplos de regras (baseadas em padrões):
      • Bloqueie entradas com document.cookie ou window.location sendo passadas em campos de usuários.
      • Bloquear cargas úteis de scripts codificados em base64 ou ofuscados comumente usados para contornar filtros ingênuos.
    • Use regex com cautela para evitar falsos positivos; teste regras em modo de monitoramento/aprendizagem antes da aplicação.
  5. Limitar a taxa e identificar a atividade em nível de Contribuidor
    • Regra: Acionar alertas quando uma conta de Contribuidor cria ou modifica templates/widgets com várias strings suspeitas em um curto espaço de tempo.
  6. Proteger endpoints críticos de admin AJAX
    • Regra: Negar solicitações POST inesperadas para admin-ajax.php com parâmetros que modificam templates de plugins, a menos que originadas de IPs confiáveis ou sessões de admin autenticadas.
  7. Aplicar cabeçalhos adicionais
    • Injetar cabeçalhos como Content-Security-Policy e X-XSS-Protection (onde suportado) no nível do proxy/WAF para páginas de admin.
  8. Patching virtual de cargas úteis
    • Se a renderização vulnerável do plugin ocorrer no lado do servidor, um WAF pode bloquear corpos de resposta que incluam scripts inline ou remover atributos suspeitos antes que a resposta chegue ao navegador.

Aviso: WAFs fornecem uma mitigação importante, mas não são um substituto para o patching. O patching virtual deve ser considerado uma medida de emergência para reduzir a exposição enquanto você implementa o patch adequado e as etapas de higiene do site.

Lista de verificação de resposta a incidentes

Se você detectar uma intrusão ou suspeitar de comprometimento:

  1. Conter
    • Corrija o plugin (3.1.1+) o mais rápido possível.
    • Coloque o site em modo de manutenção para investigação ou bloqueie o acesso de admin a IPs arriscados temporariamente.
    • Revogue ou altere credenciais para usuários afetados.
  2. Preservar
    • Tire instantâneas do sistema de arquivos e do banco de dados antes de fazer alterações destrutivas.
    • Colete logs (servidor web, banco de dados, logs de plugins) e exporte a atividade do usuário.
  3. Erradicar
    • Remova scripts injetados e backdoors.
    • Substitua arquivos de núcleo/tema/plugin modificados por fontes limpas.
    • Execute uma verificação completa de malware e verifique com uma segunda ferramenta, se possível.
  4. Recuperar
    • Restaure a partir de um backup limpo, se necessário.
    • Reaplique patches de segurança e alterações de maneira controlada.
  5. Revise e fortaleça
    • Rode todas as credenciais vinculadas ao site (usuários, chaves de API, serviços externos).
    • Aplique mitigação a longo prazo (CSP, 2FA, revisão de privilégios).
    • Documente as lições aprendidas e atualize seu manual de incidentes.
  6. Notificar
    • Se a violação expôs dados do usuário, siga as leis de notificação de violação aplicáveis e informe as partes afetadas conforme necessário.

Testes e verificação

Após a remediação, valide se seu site está seguro:

  • Verificação de atualização:
    • Confirme que a versão do plugin é 3.1.1 ou posterior e que não existem cópias mais antigas no servidor (verifique wp-content/plugins/jeg-elementor-kit/).
  • Testes funcionais:
    • Em um ambiente de teste, recrie o fluxo de trabalho do colaborador e verifique se o plugin não renderiza mais conteúdo de script não sanitizado.
    • Use as DevTools do navegador para inspecionar páginas de administração e páginas front-end que anteriormente renderizavam conteúdo do plugin.
  • Teste de WAF:
    • Teste as regras do WAF em modo de monitoramento primeiro para ajustar falsos positivos.
    • Use cargas de teste benignas que simulem XSS (sem executar código malicioso) para validar a lógica de detecção.
    • Certifique-se de que a funcionalidade crítica de administração não esteja quebrada pelas regras do WAF.
  • Escaneamento de regressão:
    • Execute um escaneamento completo para padrões de XSS e webshell em todo o site após a limpeza.
  • Teste de penetração:
    • Se sua organização lida com dados de alto risco ou fluxos de trabalho complexos, considere um teste de penetração profissional focado em UIs de administração relacionadas ao plugin.

Orientações para desenvolvedores e autores de plugins

Se você é um desenvolvedor de plugin ou tema, siga estas melhores práticas para prevenir XSS armazenado:

  • Use as funções de escape corretas:
    • Ao imprimir dados, use esc_html() para texto do corpo HTML, esc_attr() para atributos, esc_url() para URLs, e wp_kses() / wp_kses_post() ao permitir HTML limitado.
    • Nunca confie na entrada do usuário; sanitize na entrada e escape na saída.
  • Aplique verificações de capacidade e nonces:
    • Antes de salvar ou modificar o conteúdo, verifique usuário_atual_pode() e verificar_referenciador_admin() quando apropriado.
    • Não exponha renderizações apenas para administradores a usuários com privilégios mais baixos.
  • Evite armazenar HTML bruto de usuários não confiáveis:
    • Se você precisar permitir marcação, defina uma lista estrita de HTML permitido via wp_kses com apenas as tags e atributos necessários.
  • Sanitize as configurações do plugin:
    • Usar sanitizar_campo_de_texto(), sanitize_textarea_field(), ou sanitizadores personalizados ao salvar.
  • Separe dados e apresentação:
    • Evite armazenar scripts executáveis no banco de dados; armazene dados estruturados e renderize usando templates seguros.
  • Forneça padrões seguros:
    • Assuma o pior para as capacidades de função; documente qual função mínima é necessária para cada ação.
  • Revisões de segurança regulares e testes de fuzz:
    • Inclua análise estática e fuzzing dinâmico de pontos de entrada que aceitam conteúdo de colaboradores.

Comece com o Plano Gratuito do WP-Firewall — Proteção gerenciada imediata para seu site WordPress

Se você deseja proteção rápida e prática enquanto toma as medidas de remediação acima, considere começar com o plano WP-Firewall Basic (Gratuito). Ele oferece cobertura essencial de firewall gerenciado, incluindo um WAF, scanner de malware e proteções que abordam os riscos do OWASP Top 10 — o suficiente para reduzir riscos enquanto você atualiza e limpa seu site.

  • Por que começar com o plano Gratuito?
    • Firewall gerenciado com largura de banda ilimitada para bloquear padrões de ataque conhecidos.
    • WAF que pode ser ajustado para fornecer patch virtual para riscos de XSS baseados em plugins.
    • Scanner de malware integrado para ajudar a encontrar scripts armazenados e outros indicadores de comprometimento.
    • Ponto de entrada sem custo para que você possa proteger seu site imediatamente e atualizar mais tarde, conforme necessário.

Saiba mais e inscreva-se no plano gratuito aqui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Exemplo de regras WAF (modelos conceituais)

Abaixo estão ideias de regras conceituais. Não cole isso diretamente em produção sem testar; ajuste-as para o seu ambiente e teste para falsos positivos.

  • Bloquear manipuladores de eventos suspeitos em endpoints de plugins:
    • Condição: Parâmetro de solicitação (por exemplo, conteúdo_do_modelo) contém /on(error|load|click|submit)\s*=/i
    • Ação: Bloquear solicitação e registrar detalhes.
  • Bloquear tags de script em campos que devem ser texto simples:
    • Condição: Parâmetro título, nome, descrição contém <script
    • Ação: Bloquear / sanitizar e alertar.
  • Prevenir injeção de resposta de administrador:
    • Condição: O corpo da resposta contém inline 4. tags onde a solicitação se originou de uma sessão de Contribuidor.
    • Ação: Remover tags de script inline em trânsito ou bloquear a resposta para páginas de administrador.
  • Negar chamadas AJAX que tentam modificar templates de plugins de papéis não-administrativos:
    • Condição: Ação AJAX editar_modelo do papel de usuário abaixo editor
    • Ação: Bloquear e alertar.

Essas regras conceituais ajudam a neutralizar vetores de ataque usados em incidentes de XSS armazenados e fornecem proteção imediata enquanto você corrige.

Perguntas frequentes (FAQ)

Q: Se eu atualizar para 3.1.1, estou automaticamente seguro?
A: Atualizar para 3.1.1 fecha a vulnerabilidade conhecida, mas você ainda deve procurar e remover quaisquer payloads que possam ter sido armazenados antes da atualização. Também verifique se nenhuma porta dos fundos foi instalada.

Q: E se eu não conseguir atualizar o plugin imediatamente?
A: Use o patch virtual WAF para bloquear entradas e respostas suspeitas, restrinja contas de Contribuidores e desative o registro público, se aplicável. Trate o site como em risco até que seja corrigido.

Q: Devo excluir todas as contas de Contribuinte?
A: Não necessariamente. Em vez disso, audite-os, desative contas não utilizadas, imponha senhas fortes e 2FA, e restrinja capacidades se necessário. Para contenção de curto prazo, você pode suspender temporariamente os privilégios de postagem em nível de Contribuidor.

P: A Política de Segurança de Conteúdo (CSP) pode parar XSS?
A: Um CSP configurado corretamente que não permite scripts inline e restringe script-src a domínios confiáveis pode reduzir drasticamente os danos de muitos ataques XSS. No entanto, deve ser implementado com cuidado para evitar quebrar recursos do site.

Considerações finais

XSS armazenado em plugins amplamente utilizados é um risco recorrente no ecossistema WordPress porque os plugins frequentemente fornecem ferramentas de conteúdo rico e editores de template. Esta vulnerabilidade específica no Jeg Elementor Kit é um lembrete sólido de que contas em nível de Contribuidor não são inofensivas: mesmo usuários com privilégios baixos podem ser explorados para um comprometimento total do site quando uma aplicação armazena conteúdo fornecido pelo usuário e o renderiza posteriormente sem a devida escapada de saída.

Se você gerencia um site WordPress, siga a abordagem em camadas: corrija rapidamente, restrinja privilégios, escaneie e limpe o conteúdo armazenado, e use um WAF gerenciado para reduzir a exposição. Combinar esses passos — juntamente com monitoramento contínuo e um plano claro de resposta a incidentes — é a maneira mais confiável de manter seu site seguro.

Se você precisar de ajuda para implementar um conjunto de regras WAF, escanear por payloads armazenados ou revisar seu modelo de privilégios, a equipe do WP-Firewall pode ajudar a protegê-lo rapidamente.

Para orientações mais práticas de nossos engenheiros de segurança, ou assistência na aplicação de patches virtuais e caça a ameaças em seu site, entre em contato através de nossos canais de suporte — estamos aqui para ajudá-lo a proteger sua presença no WordPress.

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™