Vulnerabilidade crítica de XSS no tema WordPress The7//Publicado em 2026-05-14//CVE-2026-6646

EQUIPE DE SEGURANÇA WP-FIREWALL

The7 Theme Stored XSS Vulnerability

Nome do plugin The7
Tipo de vulnerabilidade Script entre sites (XSS)
Número CVE CVE-2026-6646
Urgência Baixo
Data de publicação do CVE 2026-05-14
URL de origem CVE-2026-6646

The7 Tema XSS Armazenado (CVE-2026-6646): O que os Proprietários de Sites WordPress Devem Fazer Agora

Resumindo:
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada (CVE-2026-6646) que afeta as versões do tema The7 até e incluindo 14.3.2 permite que um usuário autenticado com privilégios de nível Contribuidor armazene JavaScript em locais que podem ser renderizados e executados nos navegadores de outros usuários. O problema foi corrigido no The7 14.3.3 — atualize imediatamente. Se você não puder corrigir imediatamente, aplique as mitig ações abaixo, audite seu site em busca de scripts injetados e considere aplicar correções virtuais por meio de um Firewall de Aplicação Web (WAF) gerenciado para reduzir a exposição.

Este post explica a vulnerabilidade, cenários de risco, maneiras de detectar exploração, remediação e contenção passo a passo, e como as proteções do WP-Firewall podem reduzir o risco hoje enquanto você gerencia a atualização e a limpeza.

O que aconteceu (resumo simples)

  • Vulnerabilidade: Cross-Site Scripting (XSS) armazenado no tema The7 para WordPress (CVE-2026-6646).
  • Versões afetadas: The7 ≤ 14.3.2. Corrigido em 14.3.3.
  • Privilégio necessário: Função de Contribuidor autenticado (ou qualquer função capaz de enviar conteúdo armazenado pelo tema).
  • CVSS (conforme relatado): 6.5 (risco médio) — o impacto pode ser significativo nas condições certas.
  • Exploração: Um Contribuidor malicioso pode enviar conteúdo que contém cargas de script que são armazenadas e posteriormente executadas quando outros usuários (incluindo usuários com privilégios mais altos) visualizam certas páginas ou opções do tema. A exploração bem-sucedida geralmente requer alguma interação do usuário (por exemplo, um administrador visualizando uma página ou abrindo uma página de configurações específica).

Simplificando: um atacante que pode fazer login como um contribuinte pode salvar um script malicioso que será executado quando o template vulnerável ou a página de administração renderizar esse conteúdo salvo.

Por que isso importa: impactos no mundo real do XSS armazenado

O XSS armazenado é frequentemente subestimado porque o acesso de nível “Contribuidor” não é controle total de administrador. No entanto, o XSS armazenado pode ser usado para escalar e pivotar para um compromisso em todo o site. Os impactos típicos incluem:

  • Sequestro de sessão: Um script pode ler cookies ou roubar tokens de autenticação e enviá-los para o atacante. Se os cookies não forem devidamente sinalizados (HttpOnly), isso é mais fácil.
  • Escalação de privilégios: O script pode realizar ações em nome de um administrador (se o administrador visualizar a página enquanto estiver logado), como criar um usuário administrador, alterar configurações, instalar plugins ou alterar arquivos do tema.
  • Desfiguração e redirecionamentos maliciosos: O atacante pode redirecionar visitantes para domínios maliciosos ou injetar conteúdo que gera fraude publicitária ou phishing.
  • Persistência/backdoors: Scripts podem criar backdoors persistentes em PHP ou JS (fazendo upload de arquivos, criando tarefas agendadas, exfiltrando credenciais).
  • Danos à reputação e SEO: Spam injetado, backlinks ou redirecionamentos ocultos podem prejudicar a classificação de busca e a reputação da marca.
  • Risco da cadeia de suprimentos para sites de alto tráfego: Uma única conta de colaborador explorada (ou autor comprometido) em muitos sites pode ser usada em campanhas de exploração em massa.

Como o ataque pode ser iniciado por usuários de nível Colaborador, ele é particularmente impactante para blogs com múltiplos autores, sites comunitários, sites de membros ou sites que permitem conteúdo de usuários sem sanitização rigorosa.

Como a exploração normalmente funciona (explicação técnica)

XSS armazenado requer três componentes:

  1. Uma maneira de armazenar a entrada controlada pelo atacante na aplicação (por exemplo, conteúdo de post, texto de widget, opções de tema, dados de construtor de páginas).
  2. A aplicação não sanitizando ou codificando corretamente essa entrada armazenada ao renderizar (seja no frontend ou no admin).
  3. Uma vítima (admin ou outro usuário) visualizando a página ou a visualização do admin onde essa carga útil armazenada é renderizada.

Neste caso do The7 (em alto nível e generalizado):

  • Um Contribuidor cria conteúdo (ou manipula uma opção de tema/item do construtor de páginas) e inclui uma tag de script maliciosa ou atributo de evento (por exemplo, <script>…</script>, onerror=…, <img src="x" onerror="…">).
  • O The7 armazena o conteúdo no banco de dados (post_content, postmeta, theme_mods ou outras tabelas personalizadas) e depois renderiza esse conteúdo em uma pré-visualização do admin, página de opções de tema ou no frontend sem codificação de saída adequada.
  • Quando um usuário com privilégios mais altos carrega essa página (ou quando um admin pré-visualiza uma página no painel), o navegador executa o JavaScript injetado com o contexto da sessão da vítima, permitindo que o atacante realize ações como esse usuário.

O XSS armazenado pode ser silencioso e difícil de detectar porque a página visível pode parecer normal ou mostrar apenas um pequeno elemento inserido.

Detecção: sinais de que seu site pode estar impactado ou explorado

Se seu site usa o tema The7 e você tem usuários de nível Colaborador, realize as seguintes verificações imediatamente.

  1. Verifique as versões:
    • No painel do WordPress, vá para Aparência → Temas e verifique a versão do The7.
    • Se você não conseguir acessar o painel, inspecione wp-content/themes/the7/style.css ou arquivos de cabeçalho do tema para ver a string da versão.
  2. Pesquise por conteúdo suspeito no banco de dados. Use estas consultas somente leitura (faça backup do banco de dados antes de qualquer alteração):

    Exemplos de SQL (execute via phpMyAdmin, Adminer ou console wp-db):

    • Pesquise por tags de script em postagens:
      SELECIONE ID, post_title, post_type DO wp_posts ONDE post_content LIKE '%<script%';
    • Procure por manipuladores de eventos:
      SELECT post_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%onerror=%' OR meta_value LIKE '%onload=%';
    • Opções de pesquisa e theme_mods:
      SELECIONE option_name DE wp_options ONDE option_value LIKE '%<script%' OU option_value LIKE '%onerror=%';
    • Padrões genéricos suspeitos:
      SELECT ID, post_title FROM wp_posts WHERE post_content REGEXP '(base64_decode|document.cookie|location.href|eval\\(|window\\.location)';

    Exemplos de WP-CLI:

    • Consulta ao banco de dados do WordPress "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%
    • wp search-replace '<script' '[scr removido]' --dry-run (execução a seco para ver resultados)
  3. Digitalize arquivos e uploads:
    • Verificar wp-content/uploads para arquivos com extensão .php ou nomes de arquivos estranhos.
    • Use grep no servidor:
      grep -RIl --exclude-dir=uploads 'eval(' /path/to/site/wp-content/themes/the7
    • Pesquise por arquivos de tema recentemente modificados:
      find wp-content/themes/the7 -type f -mtime -30 -ls
  4. Revise usuários e histórico de login:
    • Verifique contas recentemente criadas com funções de Contribuidor ou superiores.
    • Audite os logs de acesso do administrador e tentativas de login falhadas.
  5. Logs da web e anomalias de tráfego:
    • Verifique os logs do servidor web para POSTs incomuns para admin-ajax.php ou endpoints de page-builder.
    • Procure por conexões externas para domínios desconhecidos a partir do seu servidor.
  6. Use uma ferramenta de malware/scan (ou scanner WP-Firewall) para identificar assinaturas conhecidas e conteúdo suspeito.

Se alguma das consultas retornar resultados com tags de script ou chamadas de função suspeitas, trate-as como indicadores de comprometimento (IoC) e prossiga com a contenção.

Lista de verificação de remediação imediata (o que fazer na primeira hora)

  1. Atualize The7 para 14.3.3 (ou posterior) — faça isso como prioridade máxima. Isso elimina a vulnerabilidade no nível do código. Se você puder atualizar imediatamente, faça isso e depois verifique a funcionalidade do site. Sempre teste em um ambiente de teste primeiro, se possível.
  2. Caso não seja possível atualizar imediatamente:
    • Restringir temporariamente os privilégios de Contribuidor:
      • Mude o papel de Contribuidor para um papel sem direitos de publicação/edição, ou remova a capacidade do papel de criar conteúdo que seja exibido sem moderação.
      • Remova contas de contribuidores não confiáveis ou redefina suas senhas.
    • Aplique uma regra de WAF ou patch virtual (veja a mitigação de WAF abaixo) para bloquear padrões de carga útil XSS armazenados na borda.
  3. Force a reautenticação para todas as contas de administrador e editor:
    • Altere as senhas de administrador/editor e peça aos usuários privilegiados que redefinam as senhas.
    • Rode as chaves API/REST e outros segredos (tokens OAuth, chaves de terceiros).
  4. Tranque a área de administração do site:
    • Limite o acesso de administrador por IP onde for prático.
    • Ative a 2FA para todos os usuários administradores/editores.
    • Desative a capacidade de visualizar conteúdo ou reduza sua capacidade de renderizar HTML inseguro no administrador (se o tema tiver opções para escapar conteúdo).
  5. Escaneie em busca de conteúdo malicioso e remova-o:
    • Remova quaisquer cargas úteis descobertas de postagens, postmeta, opções e configurações de tema.
    • Examine as opções do tema e os elementos do construtor de páginas em busca de HTML malicioso incorporado.
  6. Faça um backup e uma captura de tela:
    • Antes de excluir ou alterar conteúdo, crie um backup completo (arquivos + DB) e armazene-o offline para análise forense.
  7. Verifique a persistência/backdoors:
    • Examinar wp-content/themes/the7 e wp-content/plugins para arquivos desconhecidos.
    • Verificar mu-plugins, wp-content/uploads, tarefas cron, e wp-config.php por código injetado.
  8. Notifique as partes interessadas e agende uma auditoria completa:
    • Informe os proprietários e administradores do site sobre a vulnerabilidade e as mitig ações realizadas.
    • Planeje uma investigação forense mais profunda se forem encontrados IoCs.

Mitigações temporárias e endurecimento (até que você possa corrigir e auditar completamente)

  1. Substitua o tema ativo por um tema seguro e mantido temporariamente (por exemplo, padrão do WordPress) enquanto você corrige e investiga. Esta é a maneira mais rápida de remover o caminho de código vulnerável.
  2. Desative recursos específicos do tema (construtores de página, widgets personalizados ou páginas de opções do tema) que aceitam HTML ou marcação fornecida pelo usuário.
  3. Ative um cabeçalho de política de segurança de conteúdo (CSP) para limitar o impacto de scripts inline:
    • Adicionar default-src 'self'; script-src 'self' 'nonce-' https:; object-src 'none'; frame-ancestors 'none';
    • Nota: CSP pode quebrar a funcionalidade do site; teste antes de aplicar amplamente.
  4. Defina as flags HttpOnly e Secure em cookies (incluindo cookies de autenticação) e considere atributos SameSite:
    • Defina via PHP ini ou através dos cabeçalhos de resposta/seu host.
  5. Restringir uploads de arquivos e proibir extensões executáveis na pasta de uploads.
  6. Exigir moderação para qualquer conteúdo enviado por usuários; defina postagens de Contribuidores como “Aguardando Revisão” para que o conteúdo não seja exibido publicamente ou em prévias administrativas sem revisão.

WAF & Patching Virtual: como reduzir o risco imediatamente

Um WAF gerenciado pode fornecer redução rápida de risco por meio de patching virtual. Aqui está como um WAF ajuda nesta situação:

  • Bloqueie cargas maliciosas na camada HTTP antes que elas cheguem ao WordPress. Para XSS armazenado, o WAF pode inspecionar corpos POST e filtrar tags de script e padrões comuns de XSS.
  • Bloqueie POSTs suspeitos de admin/editor e o acesso a endpoints de opções de tema de IPs não verificados ou usuários não administradores.
  • Aplique regras específicas para bloquear solicitações que tentam armazenar tags de script ou atributos de evento inline (onerror, onload, onclick) em solicitações que mapeiam para endpoints responsáveis por armazenar opções/conteúdo do tema.
  • Forneça registro e alerta para que você possa ver tentativas de exploração e bloquear infratores repetidos.

Exemplos de padrões de correspondência (conceitual — autores de regras WAF devem testar e reforçar para evitar falsos positivos):

  • Bloquear solicitações onde o corpo contém <script ou javascript: ou atributos de evento em campos de formulário:
    • regex: (?i)<\s*script\b|javascript:|onerror\s*=|onload\s*=|onmouseover\s*=
  • Bloquear cargas úteis codificadas em base64 contendo avaliação( ou documento.cookie:
    • regex: (?i)base64_decode\(|eval\(|document\.cookie|window\.location

Importante: As regras WAF devem ser ajustadas para evitar quebrar conteúdo legítimo (por exemplo, trechos de código, embeds). Regras baseadas em comportamento que procuram cargas úteis semelhantes a scripts em campos de formulário que normalmente não são usados para código (como títulos de widgets, descrições curtas) são tipicamente mais seguras.

WP-Firewall oferece regras gerenciadas e ajustadas e patch virtual para bloquear os padrões de ataque mais comuns para XSS armazenado enquanto você atualiza e limpa o site.

Como o WP-Firewall ajuda neste cenário

Do ponto de vista dos serviços de segurança do WP-Firewall e do WAF gerenciado:

  • Patch virtual rápido: nossa equipe de segurança pode implantar regras que visam especificamente os padrões de solicitação usados para explorar essa vulnerabilidade de XSS armazenado. Isso para a maioria das tentativas de exploração na borda sem esperar que a atualização do tema seja instalada.
  • Assinaturas gerenciadas para XSS armazenado: atualizações automáticas de assinatura bloqueiam padrões de carga útil XSS conhecidos em endpoints de envio de admin e front-end.
  • Proteção ciente do contexto: o WP-Firewall pode criar regras personalizadas que bloqueiam apenas solicitações para os endpoints ou rotas que o tema usa para armazenar conteúdo (reduzindo falsos positivos).
  • Escaneamento de malware e inspeção de conteúdo: detecte cargas úteis de script armazenadas em postagens, postmeta e opções e as exiba no painel para remediação.
  • Monitoramento de integridade de arquivos e limpeza pós-compromisso: identifique arquivos alterados no tema e alerte para remediação, além de fornecer assistência na remoção.
  • Alertas e logs forenses: capture a carga útil exata e os metadados da solicitação para que você possa investigar a origem de uma conta de contribuinte malicioso ou tentativas de exploração externa.

Se você precisar de redução imediata de risco, o patch virtual por meio de um WAF gerenciado como o WP-Firewall é uma maneira de ganhar tempo para atualizar, auditar e limpar seu site com segurança.

Comandos e consultas de detecção detalhados (práticos)

Use esses comandos de exemplo para encontrar conteúdo suspeito. Sempre faça backup do seu DB antes de executar operações destrutivas.

Procure por tags de script em postagens:

wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%<script%' LIMIT 100;"

# Arquivos de backup

wp db query "SELECIONE post_id, meta_key DE wp_postmeta ONDE meta_value LIKE '%<script%' OU meta_value LIKE '%onerror=%' LIMIT 200;"

Opções de pesquisa e theme_mods:

wp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%' OR option_value LIKE '%onerror=%' LIMIT 200;"

Escaneie arquivos PHP em uploads (indicador ruim):

find wp-content/uploads -type f -name "*.php" -ls

Liste arquivos de tema recentemente modificados:

find wp-content/themes/the7 -type f -mtime -30 -ls

Grep rápido para trechos de JS suspeitos no diretório do tema:

grep -RIn --exclude-dir=node_modules --exclude-dir=vendor "document.cookie\|eval(\|window.location" wp-content/themes/the7 || true

Se você descobrir postagens ou metadados suspeitos, exporte-os antes de editar:

wp post get  --field=post_content > suspicious-post-.html

Se você encontrar código suspeito: contenção e limpeza

  1. Exporte e isole conteúdo suspeito para revisão — não exclua imediatamente se precisar para investigações.
  2. Remova os scripts maliciosos das entradas do DB. Use ferramentas de edição seguras (phpMyAdmin ou WP-CLI).
  3. Altere todas as senhas para usuários com capacidades de editor/admin e force logout para todos os usuários:
    • wp user list --role=administrator
    • wp user update --user_pass=
  4. Pesquise e remova quaisquer arquivos que o script malicioso possa ter criado (procure em uploads, mu-plugins e diretórios de tema).
  5. Verificar wp-config.php e .htaccess para modificações.
  6. Reescaneie com um scanner de malware e revise os resultados manualmente.
  7. Se você encontrar backdoors ou alterações persistentes, restaure de um backup limpo feito antes da alteração maliciosa, depois reaplique patches de segurança e endurecimento.

Plano de recuperação se seu site foi comprometido

  1. Coloque o site offline ou defina para modo de manutenção (segurança pública).
  2. Crie um backup forense completo (arquivos + DB) e armazene fora do servidor.
  3. Identifique o vetor inicial (Conta do contribuinte abusada? Senha fraca? Credenciais de phishing?).
  4. Remova o conteúdo malicioso e os arquivos identificados na cópia forense.
  5. Atualize o núcleo do WordPress, todos os temas (incluindo The7) e plugins para suas versões mais recentes.
  6. Rode todos os segredos: sais do WordPress, senhas de administrador, chaves de API, credenciais de terceiros.
  7. Reinstale ou substitua quaisquer plugins ou temas que foram modificados.
  8. Execute as varreduras novamente até que esteja limpo. Mantenha registros de todas as ações para auditoria.
  9. Considere uma auditoria de segurança profissional se você não tiver certeza sobre a limpeza completa.

Recomendações de endurecimento a longo prazo

  • Princípio do menor privilégio: Dê aos usuários as capacidades mínimas que eles precisam. Reavalie os papéis de contribuinte e autor; use ferramentas de submissão sem código ou fluxos de moderação.
  • 2FA: Aplique autenticação de dois fatores para todas as contas de administrador e editor.
  • Atualizações regulares: Corrija o núcleo, temas e plugins em uma cadência programada. Use ambientes de teste para verificação.
  • Backups automatizados: Backups diários e retenção fora do site com testes de restauração rápida.
  • Monitoramento de integridade de arquivos: Acompanhe as mudanças em temas, plugins e arquivos principais.
  • Limite plugins e evite extensões desnecessárias que aceitam entrada HTML bruta.
  • Use um WAF gerenciado com patching virtual para reduzir a janela de exposição para vulnerabilidades recém-divulgadas.
  • Educação do usuário: Treine editores e contribuintes sobre phishing e atividades suspeitas.
  • Registro e monitoramento: Registros centralizados, alertas sobre ações administrativas suspeitas e varreduras de segurança periódicas.

Exemplo de regras WAF que podem ser usadas como base (conceitual)

Nota: Estas são ideias de regras de alto nível — implantações em produção requerem testes rigorosos para evitar quebrar funcionalidades legítimas.

  1. Negar solicitações onde os dados POST contêm <script ou atributos de evento inline suspeitos para rotas que aceitam conteúdo:
    • Bloquear quando REQUEST_METHOD = POST E REQUEST_URI corresponder a admin/post ou endpoints de opções de tema E o corpo da solicitação corresponder (?i)<\s*script\b|onerror\s*=|onload\s*=|javascript:
  2. Bloquear assinaturas de payloads codificados ou ofuscados:
    • Marcar solicitações que contêm base64, avaliação(, documento.cookie, window.location, atob(, ou longas sequências de caracteres codificados em campos de formulário.
  3. Limitar a taxa ou bloquear solicitações que criam muito conteúdo rapidamente do mesmo IP/agente de usuário.
  4. Monitorar e bloquear solicitações que tentam atualizar arquivos de tema via endpoints de administração que normalmente não são usados por colaboradores.

Perguntas frequentes (FAQ)

P: Se os colaboradores não podem ser confiáveis, por que permiti-los?

UM: Colaboradores são úteis para muitos sites (autores convidados, contribuições da comunidade). O ponto é controlar onde e como suas contribuições são renderizadas e moderar antes da renderização. Onde HTML/script bruto é necessário, use editores de código seguros ou permita que apenas administradores publiquem.

P: Atualizar o tema vai quebrar meu site?

UM: Poderia se você tiver arquivos de tema ou modificações de tema filho fortemente personalizados. Teste a atualização em staging primeiro e sempre faça um backup.

P: Um WAF pode quebrar meu site?

UM: Regras mal configuradas podem. Um WAF gerenciado que entende o comportamento do WordPress minimizará falsos positivos. O patch virtual aplicado por equipes experientes é ajustado para proteger sem interromper o comportamento legítimo.

Apêndice: CVE e créditos

  • CVE: CVE-2026-6646
  • Software afetado: The7 — Construtor de Sites e eCommerce para tema WordPress ≤ 14.3.2
  • Corrigido em: 14.3.3
  • Denunciado por: João Pedro Soares de Alcântara (Kinorth) — agradecimentos pela divulgação responsável e ao desenvolvedor por emitir um patch.

Lista de verificação rápida: O que fazer agora

  • Verifique a versão do tema The7. Se ≤14.3.2, atualize para 14.3.3 agora.
  • Se você não puder atualizar imediatamente, restrinja os privilégios de Colaborador, exija moderação e ative o patch virtual do WAF.
  • Pesquise seu banco de dados por e atributos de evento em posts, postmeta e opções. Remova entradas suspeitas.
  • Force a redefinição de senhas para contas privilegiadas e ative a 2FA.
  • Escaneie arquivos do servidor e uploads em busca de arquivos PHP ou mudanças inesperadas recentes.
  • Faça backup e prepare-se para uma revisão forense se encontrar indicadores de comprometimento.

Proteja seu site hoje: Segurança básica imediata (Plano Gratuito)

Título: Proteção básica imediata — comece gratuitamente hoje

Se você deseja uma maneira rápida e prática de reduzir o risco dessa vulnerabilidade enquanto aplica atualizações e faz a limpeza, o WP-Firewall oferece um plano Básico (Gratuito) sempre ativo que inclui proteções essenciais: um firewall gerenciado, largura de banda ilimitada, um WAF que pode ser ajustado para bloquear padrões de XSS armazenados, um scanner de malware e mitigação para os riscos do OWASP Top 10. O plano gratuito é projetado para fornecer cobertura defensiva imediata enquanto você aplica patches, audita e se recupera.

Inscreva-se no plano Básico (Gratuito) e obtenha proteção básica em minutos: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se você precisa de remoção automatizada, blacklist/whitelist de IP, relatórios de segurança mensais ou patching virtual automatizado e uma resposta gerenciada, considere os níveis pagos (Padrão e Pro) que se baseiam no plano gratuito com remediação proativa, mais controle e suporte dedicado.

Palavras finais da equipe de segurança do WP-Firewall

O XSS armazenado é um desses problemas que pode começar pequeno — uma única conta de colaborador — e rapidamente escalar para um comprometimento em todo o site. A resposta certa é rápida e em camadas: aplique o patch no tema vulnerável o mais rápido possível, reduza a superfície de ataque e implemente controles de proteção (WAF + monitoramento) para manter os atacantes afastados enquanto você faz a limpeza.

Se você precisar de orientação para aplicar os passos aqui — ou quiser ajuda para implantar patches virtuais e escanear em busca de scripts injetados — nossa equipe pode ajudar. Comece com uma atualização imediata do tema e uma implantação curta de regras do WAF para evitar mais exploração. Priorize as tarefas na lista de verificação rápida e siga com uma auditoria completa se encontrar evidências de comprometimento.

Mantenha-se vigilante e mantenha suas instalações do WordPress atualizadas e monitoradas.

— Equipe de Segurança do Firewall WP

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™