Критический XSS в RH Frontend Publishing Pro//Опубликовано 2026-02-28//CVE-2026-28126

КОМАНДА БЕЗОПАСНОСТИ WP-FIREWALL

RH Frontend Publishing Pro Vulnerability

Имя плагина RH Frontend Publishing Pro
Тип уязвимости Межсайтовый скриптинг (XSS)
Номер CVE CVE-2026-28126
Срочность Середина
Дата публикации CVE 2026-02-28
Исходный URL-адрес CVE-2026-28126

Критическое уведомление: Отраженный XSS (CVE-2026-28126) в RH Frontend Publishing Pro (<= 4.3.2) — Что владельцы сайтов на WordPress должны сделать сегодня

Краткое содержание

  • Уязвимость: Отраженное межсайтовое скриптование (XSS)
  • Затронутое программное обеспечение: Плагин RH Frontend Publishing Pro для WordPress
  • Затронутые версии: <= 4.3.2
  • CVE: CVE-2026-28126
  • Уровень серьезности: Средний (CVSS ~7.1 по отчету)
  • Требуется аутентификация: Неаутентифицированный для инициации, но эксплуатация может зависеть от взаимодействия пользователя (например, привилегированный пользователь, который нажимает на подготовленную ссылку)
  • Дата публикации: 26 фев, 2026 (раскрытие исследования)
  • Немедленные действия: Применить меры смягчения — виртуальный патч через WAF, ограничить доступ или удалить/деактивировать плагин до тех пор, пока не станет доступен официальный патч от поставщика

Как команда безопасности WP‑Firewall, мы хотим объяснить вам, что это за уязвимость, почему она важна, как злоумышленники могут ее использовать и, что наиболее важно, как вы можете защитить свои сайты на WordPress сейчас — даже если официальный обновление плагина еще не доступно.

1. Что произошло? Краткое практическое объяснение

В RH Frontend Publishing Pro (версии до и включая 4.3.2) была выявлена уязвимость отраженного межсайтового скриптования (XSS). В отраженном XSS веб-приложение отражает ввод, предоставленный злоумышленником, в ответе без надлежащего кодирования или очистки. Эти отраженные данные могут включать полезные нагрузки JavaScript, которые выполняются в браузере жертвы.

Согласно отчету, неаутентифицированный злоумышленник может создать ссылку или запрос, содержащий вредоносную полезную нагрузку. Когда целевой пользователь (который может быть администратором или другим пользователем с высокими привилегиями в некоторых сценариях) переходит по этой ссылке или взаимодействует со страницей, браузер выполняет внедренный скрипт под происхождением сайта, что позволяет выполнять различные вредоносные действия — от кражи сессий до постоянных перенаправлений, инъекций контента или тихих вредоносных модификаций.

Хотя поставщик еще не выпустил официальный патч (на момент этого уведомления), владельцы сайтов должны считать уязвимость достоверной и принять немедленные меры смягчения.

2. Почему это серьезно для сайтов на WordPress

XSS — классическая веб-уязвимость, но остается одной из самых эксплуатируемых. Причины, по которым этот случай особенно срочен:

  • Отраженный XSS легко использовать в качестве оружия. Злоумышленники могут создавать ссылки и усиливать их через электронную почту, социальные сети или другие каналы.
  • Пользователи администраторов WordPress часто имеют повышенные привилегии. Если администратор нажимает на подготовленную ссылку, находясь в системе, злоумышленник может выполнять действия с привилегиями администратора.
  • Последствия могут быть серьезными: произвольное выполнение JavaScript в контексте вашего сайта позволяет злоумышленникам:
    • Украсть аутентификационные куки и выполнить захват аккаунта.
    • Создавать или изменять контент (взлом, вредоносные посты).
    • Загружать или инициировать распространение вредоносного ПО.
    • Вставлять спам-ссылки и ухудшать SEO.
    • Переходить к более сложным атакам, если существуют другие неправильные настройки.

Даже когда уязвимость классифицируется как “средняя” по CVSS, реальное воздействие может быть высоким, если подвержены административные пользователи или посетители сайта.

3. Векторы атак и реалистичные сценарии

Ниже приведены реалистичные способы, которыми злоумышленник может использовать этот отраженный XSS:

  1. Email-спеар-фишинг к администратору:
    • Злоумышленник создает URL, который инициирует отраженный XSS.
    • Администратор нажимает на ссылку, будучи аутентифицированным в WordPress.
    • Скрипт выполняется в браузере администратора и может создать нового администратора, изменить настройки или эксфильтровать куки.
  2. Социальная инженерия редактора или участника:
    • Неадминистраторы, имеющие доступ к чувствительным действиям на фронтенде (например, редакторы), могут инициировать полезные нагрузки, которые влияют на контент сайта или рабочий процесс.
  3. SEO/отравление трафика:
    • Даже если злоумышленник не получает доступ администратора, внедрение вредоносного контента, видимого для посетителей сайта, достаточно, чтобы нанести ущерб репутации и трафику.
  4. Цепные атаки:
    • XSS может быть комбинирован с другими уязвимостями (слабые разрешения на файлы, небезопасные плагины) для достижения постоянного компрометации.

Примечание: Отчеты указывают, что уязвимость “инициирована неаутентифицированным участником”, но “успешная эксплуатация требует взаимодействия пользователя”. Это часто означает, что точка входа принимает неаутентифицированный ввод, но атака эффективна, если целевой пользователь открывает созданный URL.

4. Что мы (WP-Firewall) проанализировали и на что обращать внимание

Техническое поведение отраженного XSS (обобщенное):

  • Параметр запроса (строка запроса, поле POST или фрагмент) отражается плагином в HTML-ответе без надлежащего кодирования.
  • Ответ включает полезную нагрузку злоумышленника, и браузер выполняет ее, потому что ввод появляется внутри скриптируемого контекста (например, внутри HTML, атрибута или тега скрипта) без экранирования.

На что обратить внимание на вашем сайте:

  • Неожиданные параметры запроса или поля формы, отражаемые на страницах.
  • Страницы, которые отображают ввод пользователя (поисковые поля, рендереры предварительного просмотра, уведомления администратора, страницы отправки на фронтенде).
  • Необычные ошибки консоли или неожиданные элементы DOM при загрузке страниц с параметрами.

Если вы ведете журналы, ищите строки запросов, содержащие подозрительные шаблоны, такие как <script, onerror=, яваскрипт:, или закодированные версии этих строк.

5. Рекомендации по безопасному тестированию (делайте это на тестовом сайте)

Не пытайтесь проводить инвазивное тестирование на производственных сайтах, которые вам не принадлежат или где у вас нет явного разрешения. Для вашего собственного сайта следуйте этому безопасному подходу:

  1. Создайте тестовую копию вашего сайта (или переведите ваш сайт в режим обслуживания).
  2. Используйте простой, не вредоносный зонд для тестирования на отражение:
    • Отправьте запрос с безобидной строкой, которую вы контролируете, например: ?probe=WPFIREWALL_TEST_123
    • Проверьте тело ответа на наличие точной строки.
  3. Если строка появляется неэкранированной в HTML-контекстах (прямые текстовые узлы, значения атрибутов без кавычек или внутри <script> блоков) — рассматривайте это как потенциальный XSS и переходите к смягчению.

Избегайте отправки реальных скриптовых полезных нагрузок на производственные сайты — тестирование с безвредными маркерами достаточно для обнаружения отражения без вызова выполнения.

6. Немедленные меры, которые вы должны применить (в течение нескольких часов)

Если ваш сайт использует RH Frontend Publishing Pro (<= 4.3.2):

  1. Переведите высокорисковые аккаунты в более безопасное состояние:
    • Принудительно выходите из системы для всех пользователей с административными привилегиями; измените пароли, где это разумно.
    • Убедитесь, что многофакторная аутентификация (MFA) включена для административных аккаунтов.
  2. Деактивируйте или удалите плагин:
    • Если плагин не является обязательным, немедленно деактивируйте его до тех пор, пока не будет доступен патч от поставщика.
    • Если вы не можете деактивировать без нарушения бизнес-процессов, примените другие меры снижения риска ниже.
  3. Ограничьте доступ к функциональности плагина:
    • Если ваш хостинг поддерживает это, используйте IP-белый список для административной области или ограничьте доступ через HTTP-аутентификацию.
    • Ограничьте конечные точки фронтенда плагина (если они известны), требуя аутентификацию или блокируя публичный доступ.
  4. Реализуйте виртуальный патч для веб-приложений (WAF):
    • Настройте правила WAF для блокировки запросов, содержащих индикаторы межсайтового скриптинга.
    • Блокируйте или проверяйте запросы, содержащие теги скриптов, обработчики событий (onerror, onload) или javascript: URI в параметрах запроса.
    • Add rules that sanitize or drop requests that include suspicious encoding sequences (e.g., %3Cscript%3E).
  5. Добавьте защитные HTTP-заголовки:
    • Content-Security-Policy (CSP), ограничивающая встроенные скрипты и ненадежные источники. Пример (разворачивайте осторожно):
      Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-';
      (CSP необходимо тщательно протестировать; не блокируйте законные скрипты случайно.)
    • X-Content-Type-Options: nosniff
    • X-Frame-Options: SAMEORIGIN (для снижения риска кликджекинга)
    • Referrer-Policy и Permissions-Policy по мере необходимости
  6. Тщательно следите за журналами:
    • Следите за всплесками ошибок 4xx/5xx и необычными шаблонами параметров запроса.
    • Проверьте журналы доступа на наличие запросов с подозрительными полезными нагрузками или длинными закодированными строками.

Эти действия уменьшают поверхность атаки, пока разрабатывается постоянное решение.

7. Рекомендуемые примеры правил WAF на короткий срок (концептуально)

Ниже приведены концептуальные правила, которые WAF может применить в качестве виртуального патча. Они намеренно описаны на высоком уровне — точная реализация зависит от вашего продукта WAF.

  • Блокируйте или ставьте под сомнение запросы, где строка запроса или тело POST содержит не закодированные <script or its encoded equivalents (%3Cscript%3E), taking care to avoid false positives with legitimate content.
  • Блокировать запросы, которые включают onerror=, загрузка=, яваскрипт: или другие встроенные обработчики событий внутри параметров.
  • Ограничьте доступ к конкретным конечным точкам (например, конечные точки отправки фронтенда плагина) для аутентифицированных пользователей или известных рефереров.
  • Ограничьте количество запросов с подозрительными полезными нагрузками; применяйте CAPTCHA/Challenge для высокорисковых запросов.
  • Нормализуйте ввод перед проверкой, чтобы обнаружить обфускацию (Unicode, двойное кодирование).
  • Отказывайте в запросах, содержащих длинные последовательности HTML-сущностей или подозрительных кодировок.

Примечание: Настройка критически важна. Агрессивная блокировка может нарушить законную функциональность. Начните в режиме мониторинга или вызова, затем ужесточите правила, как только будут устранены ложные срабатывания.

В WP‑Firewall мы предоставляем заранее подготовленные правила смягчения, которые могут быть развернуты мгновенно и настроены для минимального воздействия. Наш подход виртуального патча — это проверенный способ остановить автоматизированную эксплуатацию, пока вы работаете над патчем или удалением плагина.

8. Долгосрочные решения и рекомендации по безопасной разработке для авторов плагинов

Если вы поддерживаете пользовательские плагины или разрабатываете темы, которые взаимодействуют с вводом на фронтенде, применяйте эти практики безопасного кодирования:

  1. Санируйте ввод по прибытии:
    • Используйте функции санитации WordPress, такие как санировать_текстовое_поле(), intval(), floatval(), wp_kses_post() (когда требуется ограниченный HTML).
    • Проверяйте типы и применяйте строгие форматы (например, ожидая целые числа, слаги, UUID — проверяйте соответственно).
  2. Правильно экранируйте вывод:
    • Используйте соответствующее контексту экранирование:
      • esc_html() для текста в теле HTML,
      • esc_attr() для значений атрибутов,
      • esc_url_raw() / esc_url() для URL,
      • wp_json_encode() при встраивании JSON.
    • Никогда не выводите необработанный ввод пользователя.
  3. Используйте нонсы WordPress и проверки прав:
    • Использовать wp_verify_nonce() и проверки прав (текущий_пользователь_может()) для предотвращения несанкционированных действий.
    • Избегайте раскрытия действий только для администраторов неаутентифицированным пользователям.
  4. Избегайте отражения пользовательского ввода в шаблонах страниц:
    • Если вы должны отразить ввод, убедитесь, что он закодирован для конкретного контекста.
    • Предпочитайте рендеринг на стороне сервера с очищенным содержимым.
  5. Проводите проверки безопасности кода и автоматизированные сканирования:
    • Добавьте проверки безопасности в ваш CI-пайплайн.
    • Используйте статический анализ и сканирование зависимостей.
  6. Обеспечьте быстрые уведомления и патчи:
    • Поддерживайте механизм для раскрытия информации о безопасности и быстрого выпуска патчей.
    • Публикуйте журналы изменений и экстренные обновления, когда обнаруживаются уязвимости.

Авторы плагинов должны рассматривать XSS как первоклассный дефект и немедленно устранять любое отражение пользовательского ввода.

Восстановление: Если вы подозреваете, что ваш сайт был скомпрометирован

Если вы считаете, что злоумышленник использовал этот XSS на вашем сайте, следуйте процессу реагирования на инциденты:

  1. Изолировать:
    • Временно отключите затронутый сайт или переведите его в режим обслуживания.
    • Заблокируйте подозрительные IP-адреса и отозовите учетные данные, где это уместно.
  2. Сохраните доказательства:
    • Соберите журналы (веб-сервера, приложения, WAF) и сделайте снимок файлов сайта и базы данных для анализа.
    • Не перезаписывайте журналы; сохраняйте судебную экспертизу.
  3. Очистите и устраните:
    • Восстановите из известных хороших резервных копий до инцидента, если это тривиально.
    • Проверьте на наличие вредоносного ПО и внедренных скриптов. Удалите любые подозрительные файлы или записи в базе данных.
    • Смените все пароли WordPress и любые ключи API, которые были раскрыты через сайт.
  4. Укрепление после устранения:
    • Повторно примените все меры смягчения (правила WAF, CSP, заголовки).
    • Убедитесь, что плагин был обновлен или удален.
    • Постепенно повторно включайте доступ и продолжайте мониторинг.
  5. Сообщите:
    • Если данные пользователей могли быть раскрыты, выполните юридические и регуляторные обязательства по уведомлению.
    • Обеспечьте четкую коммуникацию с заинтересованными сторонами и пользователями, где это необходимо.

10. Записывайте индикаторы и сигнатуры обнаружения (что мониторить)

Мониторьте эти индикаторы в журналах доступа и журналах приложений:

  • Запросы с параметрами строки запроса, содержащими <, >, скрипт, onerror=, загрузка=, яваскрипт:.
  • Запросы с необычно длинными параметрами запроса или несколькими уровнями кодирования процентов (двойное кодирование).
  • Запросы, которые вызывают немедленные действия со стороны администратора вскоре после (например, создание нового пользователя, изменения параметров).
  • Подозрительные рефереры или большой объем запросов, поступающих с небольшого набора IP-адресов.
  • Неожиданное создание или изменение постов/страниц вскоре после того, как пользователь нажимает на ссылку.

Настройте оповещение для администраторов, когда они загружают страницы с необычными строками запроса, будучи в системе.

11. Почему виртуальное патчирование (WAF) часто является самой быстрой защитой

Виртуальный патч, реализованный на уровне WAF, блокирует попытки эксплуатации до того, как они достигнут уязвимого кода приложения. Преимущества:

  • Немедленная защита: Нет необходимости ждать патча от поставщика или окна обслуживания сайта.
  • Тонкая настройка блокировки: Нацеливайтесь только на векторы эксплуатации, позволяя легитимный трафик.
  • Низкое операционное воздействие: Правила WAF могут быть постепенно настроены для уменьшения ложных срабатываний.
  • Защита в глубину: Работает вместе с безопасным кодированием, обновлениями плагинов и усилением хостинга.

В WP‑Firewall мы используем подход, который сочетает в себе сигнатуры, анализ поведения и индивидуально подобранные наборы правил для смягчения паттернов XSS, подобных тем, что использовались в этой уязвимости. Если вы управляете несколькими сайтами WordPress, централизованные обновления правил обеспечивают получение виртуального патча для всех защищенных сайтов за считанные минуты.

12. Практический контрольный список по устранению проблем для владельцев сайтов (по шагам)

Немедленно (0–24 часа)

  • Отключите или деактивируйте RH Frontend Publishing Pro, если это возможно.
  • Принудительно сбросьте пароли и включите MFA для административных аккаунтов.
  • Установите виртуальное правило WAF для блокировки отраженных паттернов XSS против сайта.
  • Добавьте ограничительные HTTP-заголовки и проверьте CSP.

Краткосрочный (1–7 дней)

  • Проверьте на наличие признаков компрометации: созданные администраторы, измененный контент, неизвестные скрипты в постах.
  • Проверьте журналы доступа на предмет подозрительных запросов.
  • Ограничьте конечные точки плагинов через белый список IP или HTTP-аутентификацию, если плагин нельзя удалить.

Среднесрочный срок (1–4 недели)

  • Скоординируйтесь с поставщиком плагина для получения информации о официальном патче и применяйте обновления, когда они станут доступны.
  • Проведите обзор безопасности других плагинов и удалите неиспользуемые/брошенные.
  • Реализуйте централизованный мониторинг и оповещение для действий администраторов и подозрительного трафика.

Долгосрочный (постоянный)

  • Используйте многослойный подход к безопасности (WAF + укрепление + мониторинг).
  • Применяйте лучшие практики безопасной разработки, если вы разрабатываете или настраиваете плагины.
  • Поддерживайте регулярные резервные копии и проводите учения по восстановлению.

13. Часто задаваемые вопросы (FAQ)

В: Может ли неаутентифицированный злоумышленник полностью скомпрометировать мой сайт с помощью этой уязвимости?
О: Отраженный XSS обычно требует, чтобы целевой пользователь открыл специально подготовленную ссылку. Если администратор или привилегированный пользователь будет обманут, последствия могут быть серьезными. Возможности злоумышленника зависят от того, что может сделать браузер жертвы во время аутентификации (сессионные куки, привилегированные действия). Рассматривайте отраженный XSS как высокоприоритетный, когда нацелены на администраторов.

В: Мой сайт не использует уязвимый плагин; я в безопасности?
О: Если плагин не установлен или обновлен до версии, не подверженной уязвимости, вы не затронуты этой конкретной проблемой. Однако уязвимости XSS существуют во многих плагинах/темах — следуйте тем же рекомендациям по укреплению и мониторингу в общем.

В: Достаточно ли политики безопасности контента (CSP)?
О: CSP является мощной мерой защиты, но может быть сложно реализовать на сайтах WordPress без нарушения функциональности. Используйте CSP как часть многослойной защиты (WAF + CSP + гигиена ввода/вывода).

В: Как мне протестировать эффективность устранения уязвимости?
О: Используйте безвредные тесты отражения на тестовом сервере, чтобы подтвердить, что вводимые данные либо не отражаются, либо правильно экранируются. Мониторьте журналы WAF, чтобы убедиться, что попытки эксплуатации блокируются.

14. Как WP‑Firewall защищает вас (экспертная точка зрения)

Основные меры защиты WP‑Firewall, которые непосредственно снижают риски отраженного XSS, включают:

  • Управляемые правила WAF: Быстрые виртуальные патчи, нацеленные на известные схемы эксплуатации, чтобы блокировать попытки отраженного XSS до того, как они достигнут приложения.
  • Сканер вредоносного ПО: Обнаруживает внедренные скрипты и подозрительные изменения в записях и файлах.
  • Покрытие OWASP Top 10: Предварительно настроенные меры защиты, адаптированные к распространенным схемам инъекций, включая XSS.
  • Централизованное развертывание правил: Когда обнаруживается новая уязвимость, обновления правил быстро распространяются на защищенные сайты — ручное патчирование не требуется для немедленного устранения.
  • Мониторинг и отчетность (Профессиональный план): Регулярные отчеты по безопасности и видимость попыток эксплуатации.

Если поставщик плагина выпустит патч, мы все равно рекомендуем его применить — меры WAF являются временной мерой и не устраняют основную уязвимость приложения. Рассматривайте виртуальное патчирование и патчирование от поставщика как дополнительные шаги.

15. Что сказать вашим клиентам или заинтересованным сторонам

Если вы управляете веб-сайтами для клиентов, отправьте краткое, прозрачное уведомление:

  • Объясните уязвимость (отраженный XSS, CVE-2026-28126) и затронутые версии плагинов.
  • Опишите действия, которые вы предприняли (виртуальный патч WAF, деактивация плагина при необходимости, обязательная многофакторная аутентификация).
  • Опишите любые потенциальные последствия и следующие шаги (мониторинг, предстоящий патч от поставщика, отчеты по результатам).
  • Убедите их, что у вас есть как краткосрочные, так и долгосрочные меры контроля.

Четкая коммуникация важна для сохранения доверия, пока вы проводите восстановление.

Защитите ваш сайт немедленно — начните с бесплатного плана WP‑Firewall

Если вы хотите немедленную, управляемую защиту, пока вы просматриваете вышеуказанные шаги, рассмотрите наш бесплатный план WP‑Firewall. Он включает в себя основные меры защиты — управляемый брандмауэр с веб-приложением (WAF), неограниченную пропускную способность, автоматическое сканирование на наличие вредоносного ПО и покрытие по смягчению рисков OWASP Top 10. Этот план предназначен для предотвращения автоматических попыток эксплуатации и добавления важного уровня защиты, пока вы обновляете плагины или внедряете долгосрочные исправления. Зарегистрируйтесь и быстро включите защиту по адресу: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Если вам нужна автоматическая удаление вредоносного ПО, более строгий контроль IP, ежемесячные отчеты по безопасности или виртуальные патчи и премиум-дополнения, наши платные уровни Standard и Pro доступны в качестве путей обновления.)

17. Заключительные мысли: практическое мышление о безопасности

Экосистемы WordPress зависят от многих сторонних плагинов и тем. Эта гибкость является силой, но также и постоянной ответственностью за безопасность. Уязвимости, такие как отраженный XSS в RH Frontend Publishing Pro, напоминают нам об этих практических истинах:

  • Предположите, что программное обеспечение может иметь уязвимости, и планируйте быстрое смягчение.
  • Виртуальное патчирование через управляемый WAF часто является самым быстрым способом защиты работающих сайтов.
  • Защита в глубину — WAF + безопасное кодирование + мониторинг + резервное копирование — снижает вероятность катастрофического компрометации.
  • Коммуникация, как внутренняя, так и с клиентами, критически важна во время события безопасности.

Если вам нужна помощь в оценке уязвимости на нескольких экземплярах WordPress, развертывании виртуальных патчей или проведении судебного расследования после подозреваемого компрометации, наша команда безопасности WP‑Firewall готова помочь.

Приложение: Полезные ссылки и быстрый контрольный список (одна страница)

Быстрый контрольный список (сделать сейчас)

  • Определите, установлен ли RH Frontend Publishing Pro (<= 4.3.2).
  • Если установлен и не является обязательным, немедленно деактивируйте плагин.
  • Принудительно сбросьте пароли и включите MFA для учетных записей администраторов.
  • Разверните виртуальные патчи WAF, нацеленные на отраженные полезные нагрузки XSS.
  • Добавьте защитные HTTP-заголовки и проверьте CSP.
  • Просканируйте сайт на наличие внедренного контента и проверьте журналы доступа.
  • Создайте резервную копию сайта, сохраните журналы и подготовьтесь к реагированию на инциденты, если есть подозрения на компрометацию.

Контрольный список разработчика (исправления кода)

  • Очистите все входные данные на стороне сервера.
  • Экранируйте вывод, используя функции, учитывающие контекст (esc_html, esc_attr).
  • Избегайте отражения пользовательского ввода в неэкранированной форме.
  • Используйте nonce и проверки прав для чувствительных действий.
  • Добавьте проверки безопасности в процессы CI и релиза.

Если вам нужна помощь в реализации вышеуказанных шагов, WP‑Firewall предлагает управляемое развертывание правил и поддержку реагирования на инциденты, которые могут быть применены немедленно для защиты вашего сайта, пока вы координируете постоянный патч.

Примечание автора

Этот совет был написан командой безопасности WP‑Firewall с участием наших аналитиков уязвимостей и специалистов по реагированию на инциденты. Мы сосредоточены на быстрой, практической смягчающей реакции и четких, практических рекомендациях, которые владельцы сайтов WordPress и разработчики могут реализовать немедленно. Если у вас есть вопросы по этому совету или вам нужна поддержка, пожалуйста, посетите наш портал поддержки или зарегистрируйтесь на план, который соответствует вашим потребностям на https://my.wp-firewall.com/buy/wp-firewall-free-plan/.

wordpress security update banner

Получайте WP Security Weekly бесплатно 👋
Зарегистрируйтесь сейчас!!

Подпишитесь, чтобы каждую неделю получать обновления безопасности WordPress на свой почтовый ящик.

Мы не спамим! Читайте наши политика конфиденциальности для получения более подробной информации.

Свяжитесь с нами, чтобы запланировать бесплатную консультацию по безопасности WordPress.

Связаться с нами

WP-брандмауэр
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Гонконг

Функции Ценообразование Блог Авторизоваться
политика конфиденциальности Условия обслуживания Документы Партнер

© 2026 WP-Firewall™