Vulnerabilidade de Controle de Acesso do Smart Coupons//Publicado em 2026-05-17//CVE-2026-45438

EQUIPE DE SEGURANÇA WP-FIREWALL

WordPress Smart Coupons for WooCommerce CVE-2026-45438 Vulnerability

Nome do plugin WordPress Smart Coupons para WooCommerce
Tipo de vulnerabilidade Vulnerabilidade de Controle de Acesso
Número CVE CVE-2026-45438
Urgência Alto
Data de publicação do CVE 2026-05-17
URL de origem CVE-2026-45438

Controle de Acesso Quebrado em “Smart Coupons para WooCommerce” (< 2.3.0) — O que os Proprietários de Sites WordPress Devem Fazer Agora

Autor: Equipe de Segurança do Firewall WP
Data: 2026-05-17

Uma vulnerabilidade de controle de acesso quebrado recentemente divulgada (CVE‑2026‑45438) afeta versões do Smart Coupons para WooCommerce anteriores a 2.3.0. Este aprofundamento explica o risco técnico, o impacto no mundo real, as mitig ações imediatas e os passos de recuperação do ponto de vista de um provedor de firewall WordPress e equipe de segurança.

Etiquetas: WordPress, WooCommerce, Segurança, WAF, Vulnerabilidade, CVE-2026-45438

Nota: Este artigo é escrito por profissionais de segurança do WordPress na WP‑Firewall. É destinado a ajudar proprietários de lojas, desenvolvedores e hosts a entender o risco e tomar medidas práticas e seguras para proteger sites de e-commerce WordPress. Evitamos compartilhar código de exploração; nosso foco é em mitigação segura, detecção e recuperação.

Sumário executivo

Uma vulnerabilidade de controle de acesso quebrado (CVE‑2026‑45438) foi publicada para o plugin Smart Coupons para WooCommerce que afeta versões anteriores a 2.3.0. O problema decorre da falta de verificações de autorização em uma função do plugin, que permite que atores não autenticados acionem operações que deveriam exigir privilégios elevados.

Se você executa WooCommerce e o plugin Smart Coupons em qualquer site onde a criação, edição ou aplicação de cupons seja possível, trate isso como uma prioridade: atualize o plugin para a versão 2.3.0 ou posterior imediatamente. Se você não puder atualizar imediatamente, aplique as mitig ações temporárias abaixo, monitore indicadores de uso indevido e siga os passos de recuperação se suspeitar de um incidente.

Este aviso cobre:

  • O que “controle de acesso quebrado” significa neste contexto
  • Prováveis objetivos dos atacantes e impacto no mundo real
  • Como detectar abuso
  • Mitigações imediatas e em camadas (incluindo WAF/patch virtual)
  • Passos de recuperação e forense se você for comprometido
  • Melhores práticas de endurecimento a longo prazo para sites de e-commerce WordPress

Referência CVE: CVE‑2026‑45438

O que é “Controle de Acesso Quebrado” e por que isso é importante

O controle de acesso quebrado ocorre quando a lógica da aplicação falha em impor quem pode fazer o quê. Em plugins WordPress, isso frequentemente acontece quando:

  • Um endpoint REST ou AJAX é exposto sem verificar as capacidades, nonces ou estado de autenticação do usuário atual.
  • O código do lado do administrador pode ser chamado a partir do front-end sem verificações adequadas.
  • Uma verificação de permissão ausente ou incorreta permite que um usuário com privilégios mais baixos (ou não autenticado) execute funções administrativas.

No caso do Smart Coupons, o problema permite que solicitações não autenticadas alcancem uma função que realiza ações privilegiadas. Isso significa que um atacante na internet pública pode potencialmente criar, modificar ou ativar cupons ou acionar operações relacionadas a cupons que deveriam ser limitadas a gerentes de loja ou administradores.

Por que isso é importante para o comércio eletrônico:

  • Cupons se traduzem diretamente em valor monetário. A criação ou manipulação não autorizada de cupons pode ser usada para emitir grandes descontos, criar reembolsos fraudulentos ou ser combinada com outros ataques para fraudar a loja.
  • Um atacante que pode criar cupons pode confundir clientes, manipular fluxos de inventário ou acionar fluxos de trabalho automatizados que causam interrupções nos negócios.
  • Mesmo quando uma vulnerabilidade de plugin não resulta diretamente em acesso de administrador, ela pode ser encadeada com outras fraquezas para aumentar o impacto.

Resumo técnico (alto nível, não-exploratório)

A vulnerabilidade surge da falta de verificações de autorização em uma função exposta pelo plugin Smart Coupons. Em muitos casos semelhantes, vemos um desses padrões:

  • Uma ação AJAX registrada ou rota REST que processa dados críticos, mas carece de uma verificação de capacidade adequada (por exemplo, current_user_can(‘manage_woocommerce’)).
  • Uma dependência de dados fornecidos pelo cliente (nonce ou referer) sem validá-los no lado do servidor.
  • Um endpoint da interface de administração acessível sem autenticação ou com parâmetros previsíveis.

Um atacante não autenticado pode chamar esse endpoint e acionar uma operação normalmente restrita a administradores (por exemplo, criar um cupom, adicionar regras de desconto ilimitadas ou alternar status de cupons). Como a solicitação não requer credenciais válidas, isso é considerado “controle de acesso quebrado.”

Estamos intencionalmente não publicando detalhes sobre como chamar a função vulnerável. Se você é um administrador, trate a vulnerabilidade como um risco acionável e tome as mitig ações abaixo.

Quem deve se importar e quão urgente é isso?

Quem deve agir:

  • Qualquer site que execute WooCommerce + plugin Smart Coupons para WooCommerce com uma versão < 2.3.0.
  • Hosts e agências que gerenciam várias lojas de clientes.
  • Desenvolvedores que usam a funcionalidade Smart Coupons em fluxos ou automações personalizadas.

Urgência:

  • Alto para lojas de comércio eletrônico ao vivo. Mesmo que seu tráfego seja baixo, atacantes realizam varreduras em massa automatizadas; um único endpoint não autenticado com impacto monetário é atraente.
  • Se sua loja não aceita cupons, ou se o Smart Coupons está instalado, mas desativado, a urgência é menor, mas você ainda deve atualizar.

Nota sobre severidade: A classificação técnica CVSS publicada junto com a divulgação é significativa. Na prática, o impacto no mundo real depende de como o plugin está configurado e como os cupons são usados em seu site. Trate isso como uma prioridade para remediação.

Cenários de ataque do mundo real e impacto potencial

Abaixo estão maneiras realistas que um atacante poderia explorar essa vulnerabilidade. Estes são cenários de impacto nos negócios plausíveis—não receitas de exploração.

  1. Emissão não autorizada de cupons

    • O atacante cria cupons com descontos de alta porcentagem ou descontos de valor fixo.
    • Os cupons são distribuídos para contas coniventes ou usados com checkout de convidado para comprar itens de alto valor a baixo custo.
  2. Perda de receita e reembolsos fraudulentos

    • Cupons são aplicados a compras legítimas, então o atacante aciona reembolsos usando outros canais comprometidos ou engenharia social.
    • O abuso pode aumentar chargebacks e taxas de comerciantes.
  3. Manipulação de campanha/marketing

    • Cupons destinados a uma campanha de marketing específica podem ser mal utilizados, causando confusão aos clientes e danos à marca.
  4. Abuso de automação/workflow

    • A criação de cupons pode acionar fluxos de trabalho de cumprimento (por exemplo, geração automática de etiquetas de envio), potencialmente causando atritos logísticos e custos.
  5. Escalação lateral (menos comum, mas possível)

    • Se outro código de plugin aceitar entradas relacionadas a cupons que são confiáveis, um atacante pode elaborar entradas para causar comportamentos inesperados em outros lugares.

Embora nem todos os sites sejam afetados igualmente, todas as lojas WooCommerce que usam versões de plugins afetados devem remediar prontamente.

Detecção: o que procurar nos logs e na sua loja

Se você não puder corrigir imediatamente ou quiser verificar se foi alvo anteriormente, procure por esses indicadores:

Sinais em nível de aplicativo e plugin

  • Cupons inesperados: novos códigos de cupons que você não criou, especialmente com taxas de desconto incomuns ou uso ilimitado.
  • Metadados do cupom: timestamps de criação suspeitos, criadores definidos para 0 (anônimo) ou um ID de usuário inesperado.
  • Aumento nas redempções de cupons / picos incomuns no uso de descontos.
  • Novos cupons vinculados a endereços de e-mail desconhecidos ou padrões.

Indicadores de HTTP/WAF/logs de acesso

  • Requisições POST não autenticadas repetidas para admin-ajax.php, endpoints REST ou endpoints específicos de plugins—especialmente aqueles contendo parâmetros como valores de cupons ou nomes de ações.
  • Alto volume de requisições com cargas úteis semelhantes de IPs únicos ou conjuntos de IPs distribuídos (indicando tentativas de varredura ou exploração).
  • Requisições com cabeçalhos nonce ausentes ou inválidos onde seu plugin normalmente os requer.

WooCommerce/pedidos

  • Pedidos mostrando descontos anormais aplicados.
  • Reembolsos ou cancelamentos acionados logo após pedidos contendo uso de cupons.

Monitoramento do lado do servidor

  • Erros ou avisos PHP suspeitos no log de erros durante operações de cupons.
  • Novos arquivos ou arquivos modificados em diretórios de plugins (possível indicador de tentativa de persistência).

Se você encontrar evidências de criação não autorizada de cupons ou requisições suspeitas, assuma abuso e siga os passos de recuperação mais adiante neste artigo.

Remediação imediata (passo a passo)

  1. Atualize o plugin (preferido, mais simples e mais seguro)

    • Faça backup do seu site (arquivos + banco de dados).
    • Coloque a loja em modo de manutenção se você esperar interrupção do cliente.
    • Atualize o Smart Coupons para a versão 2.3.0 ou posterior através da tela de plugins do WordPress admin ou através do seu processo normal de atualização gerenciada.
    • Teste a criação de cupons e o checkout em um ambiente de teste onde possível, depois teste em produção com um único cupom de baixo risco.
    • Monitore logs e pedidos pós-atualização em busca de anomalias.
  2. Se você não puder atualizar imediatamente—aplique mitigação temporária.

    • Desative o plugin até que você possa atualizar. Isso remove a funcionalidade de cupom, mas interrompe o vetor de ataque imediato.
    • Use seu firewall para bloquear ou limitar o acesso aos endpoints expostos do plugin (veja as recomendações do WAF abaixo).
    • Restringa o acesso ao wp-admin e aos manipuladores de administração do plugin por IP (apenas viável para pequenas equipes com IPs estáticos).
    • Desative interfaces de criação de cupons sempre que possível (se o Smart Coupons adicionar formulários na interface, desative ou oculte-os).
    • Adicione autenticação HTTP (.htpasswd) ao wp-admin ou a caminhos específicos do plugin como uma barreira temporária (nota: tenha cuidado para não se trancar e teste primeiro em staging).
  3. Se você suspeitar de abuso ativo, isole e escale.

    • Coloque o site em modo de manutenção ou desative temporariamente o checkout para evitar mais compras fraudulentas.
    • Altere as senhas administrativas e invalide sessões (veja a seção de recuperação).
    • Entre em contato com seu processador de pagamentos e provedor de hospedagem se fraudes financeiras forem suspeitas.

Recomendações de WAF e patch virtual (para usuários do WP‑Firewall e outros WAFs gerenciados).

Um firewall pode fornecer mitigação rápida enquanto você testa e implanta atualizações do plugin. Abaixo estão conceitos de regras seguras e não-exploratórias que você pode aplicar como patches virtuais:

  1. Bloqueie chamadas não autenticadas para endpoints relacionados a cupons.

    • Detecte solicitações com parâmetros tipicamente usados para criação de cupons (por exemplo, código do cupom, valor do desconto) vindas de contextos não autenticados.
    • Bloqueie ou retorne 403 para tais solicitações de IPs públicos, a menos que incluam um nonce ou cookie de sessão válido e esperado.
  2. Limite a taxa e tente escanear tentativas.

    • Reduza POSTs ou GETs repetidos para endpoints do plugin.
    • Bloqueie IPs com altas taxas de solicitação ou comportamento abusivo conhecido.
  3. Exija um cookie de login do WordPress válido para endpoints administrativos sensíveis.

    • Se um endpoint deve ser acessível apenas a partir de sessões administrativas, imponha a presença de cookies de autenticação do WordPress ou um cabeçalho de autorização.
  4. Bloqueie agentes de usuário de escaneamento comuns ou IPs ruins conhecidos.

    • Use assinaturas comportamentais e listas de reputação para negar tráfego óbvio de varredura em massa.
  5. Monitore e alerte sobre novos padrões de criação de cupons.

    • Crie um alerta quando cupons forem criados com descontos acima de um limite, com uso ilimitado ou com datas de expiração suspeitas.

Exemplo (pseudo-lógica) — não implemente literalmente sem testar:
– Se o caminho da solicitação contiver o manipulador de cupons do plugin E o método da solicitação for POST E a solicitação não contiver um cookie de autenticação do WordPress ou nonce válido:
  – Bloqueie a solicitação e registre o evento com todos os cabeçalhos e corpo (para revisão forense).

O WP-Firewall pode implantar patches virtuais gerenciados e conjuntos de regras personalizadas para proteger os endpoints afetados enquanto você coordena as atualizações. O plano gratuito inclui capacidades de WAF que podem ser configuradas para implementar os tipos de regras de alta prioridade descritos acima.

Mitigações seguras e práticas a nível de código (orientação para desenvolvedores)

Se você é um desenvolvedor confortável em ajustar o comportamento do plugin, pode adicionar verificações temporárias do lado do servidor que rejeitam chamadas não autenticadas. Duas estratégias seguras:

  1. Rejeite solicitações que não venham de administradores autenticados.

    • Conecte-se cedo e verifique current_user_can(‘manage_woocommerce’) ou uma capacidade semelhante.
    • Se a verificação falhar, retorne um código de erro HTTP seguro (403) e uma mensagem mínima.
  2. Valide nonces onde o plugin deve estar usando-os.

    • Verifique se as solicitações recebidas no endpoint incluem um nonce válido do WordPress e verifique via wp_verify_nonce(). Se inválido, rejeite.

Importante:

  • Faça edições como um wrapper temporário em vez de alterar a lógica central do plugin — use mu-plugins ou um pequeno plugin personalizado para que futuras atualizações do plugin não removam sua alteração. Ou use regras de servidor para minimizar mudanças no código.
  • Não publique ou armazene cargas de exploração. Um patch bem-intencionado não deve introduzir vulnerabilidades adicionais.

Se você estiver incerto, a ação mais segura é desativar o plugin até que a versão oficial seja instalada.

Como atualizar com segurança — lista de verificação para proprietários de lojas.

  1. Faça backup de tudo: arquivos e DB.
  2. Teste a atualização do plugin em um ambiente de staging se você tiver um ambiente de staging.
  3. Coloque o site em modo de manutenção se você esperar interrupções (opcional).
  4. Atualize o plugin Smart Coupons para 2.3.0 ou posterior.
  5. Limpe caches (cache de objetos, cache de página, CDN).
  6. Teste os fluxos de checkout e cupons:
    • Crie um cupom de teste, aplique no checkout e complete um pedido de sandbox.
  7. Monitore os logs e novos pedidos por 24–72 horas.
  8. Reative quaisquer integrações temporariamente desativadas somente após verificar o comportamento.

Se você gerencia muitos sites, priorize lojas de alta receita e alto tráfego, depois aplique atualizações em seu portfólio.

Se você foi (ou pode ter sido) explorado — etapas de resposta a incidentes

Contenção e avaliação

  • Desative temporariamente a funcionalidade de cupons ou o plugin smart coupons.
  • Coloque a loja em modo de manutenção (se necessário para evitar mais fraudes).
  • Preserve os logs: logs de acesso do servidor web, logs de aplicação e quaisquer logs de WAF.
  • Faça um backup completo do estado atual para análise forense (não sobrescreva backups anteriores).

Erradicação e remediação

  • Revogue ou exclua cupons não autorizados.
  • Revise os pedidos e identifique transações fraudulentas; entre em contato com seu processador de pagamentos e banco para interromper mais liquidações, quando possível.
  • Redefina as senhas de administrador e force o logout de todos os usuários: atualize os sais, redefina as chaves se necessário.
  • Escaneie em busca de portas dos fundos ou outro malware usando um scanner respeitável e revisão manual.

Recuperação

  • Restaure a partir de um backup limpo se você detectar adulteração de arquivos ou um webshell. Se a restauração não for possível, reconstrua em uma instância limpa e migre o conteúdo.
  • Reintroduza os serviços gradualmente com monitoramento em vigor.

Pós-incidente

  • Notifique as partes afetadas quando exigido por lei ou política (clientes, parceiros).
  • Realize uma análise pós-morte: como o incidente ocorreu, como prevenir recorrências.
  • Aplique a atualização do plugin a todos os sites e remova as proteções temporárias quando for seguro.

Se você precisar de ajuda profissional, contrate um provedor de resposta a incidentes experiente em WordPress e WooCommerce para investigações mais profundas.

Dureza a longo prazo para lojas WooCommerce

As seguintes práticas reduzem o risco em toda a pilha de e-commerce do WordPress:

  1. Princípio do menor privilégio

    • Dê apenas gerenciar_woocommerce ou administrador funções a usuários que realmente precisam.
    • Use auditorias de funções e capacidades regularmente.
  2. Reforce o acesso administrativo

    • Restrinja o wp-admin por IP onde for viável, ou exija VPN/2FA para usuários administrativos.
    • Aplique políticas de senhas fortes e ative a autenticação multifatorial (MFA).
  3. Preparação e testes

    • Testar atualizações de plugins em staging antes de aplicar na produção.
    • Automatize backups antes da atualização.
  4. Inventário e higiene de plugins

    • Mantenha um inventário de plugins instalados e versões.
    • Remova rapidamente plugins e temas não utilizados.
  5. Visibilidade e monitoramento

    • Implemente monitoramento de aplicativos e logs (mudanças em cupons, pedidos, criações de usuários).
    • Monitore alertas de WAF e host e configure alertas acionáveis para padrões suspeitos de cupons.
  6. Controles de segurança gerenciados

    • Use uma abordagem em camadas: endurecimento do host, WAF, monitoramento de integridade de arquivos, varreduras regulares.
    • Use patching virtual quando atualizações imediatas de plugins não forem possíveis.
  7. Risco de fornecedor e de terceiros

    • Avaliar plugins: frequência de atualizações, instalações ativas, capacidade de resposta à segurança.
    • Use marketplaces respeitáveis e verifique changelogs e notas de lançamento para correções de segurança.

Exemplos de regras de detecção WAF (conceitual)

Abaixo estão assinaturas conceituais não executáveis que as equipes de segurança podem traduzir em regras de firewall. Elas são intencionalmente abstratas para evitar a publicação de um exploit:

  • Regra: Bloquear POSTs para endpoints de cupons sem autenticação

    • Condição: HTTP POST para caminho que corresponde ao padrão de endpoint de cupom E sem cookie de sessão WP válido E o corpo da solicitação contém parâmetros de cupom (por exemplo, valor do desconto, coupon_code).
    • Ação: Bloquear e registrar.
  • Regra: Alertar sobre cupons ilimitados de alto valor

    • Condição: Criação de cupom onde desconto > 50% OU usage_limit == 0 OU expiry_date em um futuro distante.
    • Ação: Gerar alerta de alta prioridade para revisão.
  • Regra: Limitar comportamento suspeito do cliente

    • Condição: Mais de N solicitações POST para endpoints de plugins do mesmo IP dentro de T segundos.
    • Ação: Limitar taxa ou bloquear.

Traduza isso para o seu mecanismo de firewall e teste em modo seguro antes da aplicação total. Falsos positivos em automação de marketing legítima são possíveis; ajustes são necessários.

Perguntas frequentes

P: Eu tenho o Smart Coupons instalado, mas não uso cupons no meu site — ainda preciso agir?
UM: Sim. Se o plugin estiver instalado e seus endpoints forem acessíveis, a vulnerabilidade pode ser invocada mesmo que sua loja não emita cupons ativamente. A opção mais segura é atualizar ou desativar o plugin.

P: Eu já atualizei — preciso de alguma ação adicional?
UM: Após atualizar para 2.3.0+, verifique se a atualização foi aplicada com sucesso, limpe caches e monitore seus logs para qualquer atividade suspeita em torno do momento da divulgação e atualização. Se você detectou cupons suspeitos antes da atualização, siga os passos de resposta a incidentes.

P: Um firewall (WAF) pode substituir completamente a atualização do plugin?
UM: Um WAF pode fornecer mitigação rápida (patch virtual) mas não é um substituto para aplicar a atualização de segurança oficial. Use o WAF para ganhar tempo e reduzir a exposição, mas planeje atualizar o plugin assim que possível.

Algumas palavras simples da nossa equipe

Reconhecemos que os proprietários de lojas estão equilibrando inventário, marketing e atendimento ao cliente — a segurança às vezes fica em segundo plano. No entanto, as vulnerabilidades que afetam os fluxos transacionais (como cupons) devem ser priorizadas porque afetam imediatamente seu resultado final e a confiança do cliente.

Se você executar atualizações em muitos sites, crie um plano de atualização: fase, teste, correção e monitoramento. Se precisar de assistência para automatizar atualizações ou criar correções virtuais seguras, considere usar serviços gerenciados que integrem um firewall de aplicativo web e monitoramento para que você não precise triagem manualmente cada alerta.

Por que o WP‑Firewall pode ajudá-lo agora

Título: Proteja sua loja rapidamente com uma camada de firewall sem custo e varredura essencial

Executar um site de comerciante com vários plugins e integrações é um ato de malabarismo. Se você precisar de uma camada de proteção imediata enquanto coordena atualizações, o plano gratuito Básico do WP‑Firewall fornece proteção essencial que ajuda a reduzir a exposição sem alterar a configuração da sua loja.

O que o plano Básico (Gratuito) inclui:

  • Firewall gerenciado e regras WAF adaptadas para padrões comuns de ataque do WordPress e WooCommerce
  • Largura de banda ilimitada para que a proteção escale com o tráfego
  • Scanner de malware para detectar arquivos e indicadores suspeitos
  • Cobertura de mitigação para ataques da classe OWASP Top 10

Se você quiser passar para remediação automatizada e maior controle, planos pagos adicionam remoção automática de malware, listas de permissão/negação de IP, correção virtual, relatórios mensais e mais. Comece com o plano gratuito para obter proteção básica e um caminho claro para controles mais fortes.

Inscreva-se no plano gratuito agora

Lista de verificação final — o que fazer nas próximas 24–72 horas

  1. Confirme a versão do plugin em todos os sites. Se < 2.3.0, priorize a ação.
  2. Se possível, atualize o Smart Coupons para 2.3.0 ou posterior imediatamente (faça backup primeiro).
  3. Se você não puder atualizar nesta hora:
    • Desative o plugin OU
    • Ative regras WAF temporárias para bloquear o acesso ao endpoint de cupons não autenticados.
  4. Inspecione cupons suspeitos e pedidos relevantes.
  5. Redefina as credenciais de administrador se você ver evidências de uso indevido.
  6. Coloque monitoramento e alertas em prática para detectar criação de cupons suspeitos ou descontos incomuns.
  7. Se você precisar de assistência com correção virtual ou detecção de tentativas de exploração, considere aproveitar serviços WAF gerenciados.

Apêndice: referência rápida

  • Plugin afetado: Smart Coupons para WooCommerce
  • Versões vulneráveis: < 2.3.0
  • Versão corrigida: 2.3.0 (atualização recomendada)
  • CVE: CVE‑2026‑45438
  • Risco principal: Controle de acesso quebrado → criação/modificação de cupom não autorizado (não autenticado)
  • Ação imediata recomendada: Atualizar para 2.3.0. Se não for possível, desative o plugin ou aplique proteção WAF.

Se você precisar de ajuda para triagem disso em seu portfólio (um site ou muitos), nossa equipe WP‑Firewall fornece criação de regras gerenciadas e remediação guiada. Criamos patches virtuais para reduzir a exposição imediatamente e ajudá-lo a planejar atualizações com mínima interrupção nos negócios.

Fique seguro e aja rapidamente — vulnerabilidades em plugins relacionados ao comércio exigem atenção imediata.

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™