Уязвимость контроля доступа Montonio WooCommerce//Опубликовано 2026-06-04//CVE-2026-48873

КОМАНДА БЕЗОПАСНОСТИ WP-FIREWALL

Montonio for WooCommerce CVE-2026-48873 Vulnerability

Имя плагина Montonio для WooCommerce
Тип уязвимости Уязвимость контроля доступа
Номер CVE CVE-2026-48873
Срочность Высокий
Дата публикации CVE 2026-06-04
Исходный URL-адрес CVE-2026-48873

Срочно: Нарушение контроля доступа в Montonio для WooCommerce (≤10.1.2) — Что владельцы сайтов на WordPress должны сделать прямо сейчас

Уязвимость с высоким приоритетом, связанная с нарушением контроля доступа (CVE-2026-48873), затрагивает версии Montonio для WooCommerce до 10.1.2. Читайте, что это значит, как злоумышленники могут это использовать, как обнаружить попытки и компрометации, а также немедленные и многоуровневые шаги, которые вы должны предпринять — включая то, как WP‑Firewall защищает ваш сайт сейчас.

Команда безопасности WP‑Firewall | 2026-06-03

ЗАМЕТКА (коротко): Уязвимость с нарушением контроля доступа (CVE-2026-48873), затрагивающая версии Montonio для WooCommerce ≤ 10.1.2, была опубликована 2 июня 2026 года. Поставщик выпустил патч в версии 10.1.3. Если вы используете этот плагин, обновите его немедленно. Если вы не можете обновить сразу, примените приведенные ниже меры для снижения риска компрометации.

Резюме (что произошло)

В плагине Montonio для WooCommerce была обнаружена ошибка нарушения контроля доступа. Уязвимость позволяет неаутентифицированным пользователям выполнять действия, которые должны быть ограничены привилегированным пользователям. Идентификатор Общих уязвимостей и экспозиций — CVE-2026-48873, и уязвимости присвоен CVSS 7.5 (Высокий). Доступен фиксированный релиз плагина (10.1.3); уязвимые версии — 10.1.2 и более ранние.

Этот советник объясняет:

  • почему это критично для магазинов WooCommerce,
  • распространенные сценарии эксплуатации и воздействия,
  • как узнать, что ваш сайт является целью или уже был скомпрометирован,
  • пошаговые варианты смягчения, которые вы можете сделать немедленно (включая виртуальное патчирование с помощью веб-приложения Firewall),
  • рекомендации по долгосрочному укреплению и восстановлению.

Тон практичный и ориентированный на действия — мы команда безопасности WordPress, которая ежедневно защищает работающие сайты. Следуйте шагам в предложенном порядке.

Почему это серьезно для владельцев магазинов

Ошибки нарушения контроля доступа позволяют злоумышленникам делать то, что они не должны иметь возможность делать — часто без какой-либо аутентификации.

Этот конкретный отчет указывает, что требуемая привилегия — “Неаутентифицированный”. Это означает, что злоумышленник в публичном интернете может получить доступ к конечной точке или функции в плагине, которая не имеет надлежащих проверок авторизации. Для интернет-магазина последствия могут быть серьезными:

  • манипуляция заказами (создание, изменение, отмена),
  • раскрытие данных клиентов,
  • изменения в процессах оплаты или оформления заказа,
  • внедрение логики перенаправления платежей или вредоносных загрузок,
  • установка постоянных бэкдоров для последующего доступа.

Поскольку плагины WooCommerce широко используются и часто работают на сотнях или тысячах сайтов, такие уязвимости привлекательны для автоматизированных массовых эксплоитеров, которые сканируют большие диапазоны IP-адресов и пытаются выполнить одни и те же неаутентифицированные вызовы на многих веб-сайтах.

Контрольный список быстрого реагирования — что делать в следующие 60 минут

  1. Проверьте наличие плагина и версию
    • В WP Admin: Плагины -> Установленные плагины -> проверьте версию Montonio для WooCommerce.
    • Командная строка (если у вас есть SSH и WP‑CLI):
      • wp плагин статус montonio-for-woocommerce
      • wp плагин список --статус=активен | grep montonio
  2. Если версия плагина ≤ 10.1.2 — обновите немедленно
    • Обновите до 10.1.3 (или более поздней версии) через WP Admin или:
    • wp плагин обновить montonio-for-woocommerce
  3. Если вы не можете выполнить обновление немедленно:
    • Переведите сайт в режим обслуживания (краткосрочно).
    • Примените виртуальное патчирование через правила брандмауэра/WAF (см. подробные рекомендации по WAF ниже).
    • Временно отключите или деактивируйте плагин, если это возможно без нарушения критических потоков оформления заказа.
  4. Сделайте резервную копию офлайн перед изменениями:
    • Полные файлы сайта + снимок базы данных. Храните удаленные копии.
  5. Мониторьте журналы и оповещения во время и после обновления:
    • Журналы веб-доступа, попытки входа в WP, создание новых пользователей, хуки активации плагинов.

Если у вас управляемый хостинг или провайдер безопасности, немедленно свяжитесь с ними за помощью.

Техническое объяснение (простыми словами)

Нарушение контроля доступа охватывает ряд уязвимостей, когда код не обеспечивает, кто имеет право делать что. Типичные коренные причины включают:

  • отсутствие проверок возможностей (например, использование функций только для администраторов без current_user_can),
  • незащищенные AJAX действия или REST конечные точки, доступные без аутентификации,
  • логика, которая полагается исключительно на проверки на стороне клиента или на данные, которые может контролировать злоумышленник,
  • отсутствие проверки nonce или токена.

CVE-2026-48873 сообщается следующим образом: одна или несколько функций плагина не проверяют, авторизован ли вызывающий. Неаутентифицированный пользователь может получить доступ к этим функциям и инициировать операции, которые должны быть ограничены для администраторов или аутентифицированных пользователей.

Точные детали реализации уязвимости намеренно не воспроизводятся здесь — это предотвращает легкость эксплуатации — но приведенные ниже рекомендации по защите предполагают, что уязвимость позволяет неаутентифицированным HTTP-запросам взаимодействовать с функциональностью плагина.

Сценарии эксплуатации — как злоумышленники могут злоупотреблять этим

Злоумышленники часто следуют простым схемам. Вот правдоподобные сценарии для этой уязвимости:

  • Автоматизированные сканеры отправляют конкретные POST/GET запросы к конечным точкам плагина (admin-ajax.php, WP REST маршруты или специфические обработчики плагина). Если плагин не проверяет возможности или nonce, запрос проходит успешно.
  • Злоумышленные лица могут попытаться создать или обновить заказы, внедрить злонамеренный редирект платежа или вставить JavaScript в поля, связанные с заказом, чтобы он выполнялся во время оформления заказа.
  • Злоумышленники могут попытаться создать или изменить конфигурацию магазина, добавить пользователя с низкими привилегиями администратора (или заднюю дверь), или включить функции отладки/логирования для эксфильтрации данных.
  • Успешная эксплуатация может быть связана: использовать уязвимость контроля доступа для установки задней двери, а затем переключиться на перечисление других проблем, эксфильтрацию записей клиентов или размещение мошеннических заказов.

Поскольку злоумышленник неаутентифицирован, эксплуатация может быть массово параллельной: ботнеты и массовые сканеры будут пытаться использовать тот же полезный нагруз на многих сайтах.

Признаки того, что ваш сайт является целью или уже скомпрометирован

Следите за этими индикаторами:

  • Необычные POST или GET запросы к admin-ajax.php, /wp-json/* или специфическим URL плагина с необычными именами действий или параметров.
  • Резкий рост HTTP-трафика, сосредоточенного на путях плагина или URL оформления заказа.
  • Создание новых пользователей WordPress (особенно с ролями администратора или менеджера магазина).
  • Появление неожиданных заказов или изменение/оплата/отметка завершенных заказов без активности действующего платежного шлюза.
  • PHP файлы в записываемых директориях, которые вы не добавляли (следите за .php файлами в wp-content/uploads или папках плагинов).
  • Подозрительные запланированные задачи (cron-события), которые выполняют незнакомый код.
  • Исходящий трафик с вашего сервера на неизвестные IP-адреса или домены вскоре после запросов к конечным точкам плагина.
  • Оповещения от сканеров вредоносного ПО, показывающие измененные файлы или внедренный код.

Если вы видите что-либо из этого, изолируйте сайт (выключите его или ограничьте доступ) и начните процесс реагирования на инциденты.

Немедленные варианты смягчения для сайтов, которые не могут обновиться сразу.

Если по какой-либо причине вы не можете выполнить обновление немедленно (проблемы совместимости, запланированные окна выпуска для производства), вы должны реализовать одно или несколько из следующих смягчений:

  1. Временно деактивируйте плагин

    Это самая надежная краткосрочная защита, если ваш процесс оформления заказа может пережить отключение плагина.

  2. Виртуальное патчирование через WAF

    WAF может блокировать попытки эксплуатации, проверяя запросы и отбрасывая те, которые соответствуют вредоносным характеристикам. Типичные правила смягчения включают:

    • Блокировать неаутентифицированные POST/GET запросы к REST конечным точкам или действиям admin-ajax, используемым плагином, когда отсутствует действительное cookie или nonce WordPress.
    • Блокировать запросы к путям файлов плагина, которые содержат подозрительные имена или значения параметров.

    См. руководство WAF ниже для практических примеров правил.

  3. Ограничить доступ по IP / на уровне брандмауэра.

    Если конечная точка плагина используется только известным сервером (редко для публичного оформления заказа), ограничьте доступ на сервере или облачном брандмауэре для известных IP-адресов.

  4. Ужесточите права доступа к файлам

    Убедитесь, что директории плагина не имеют прав на запись для всех. Типичные безопасные права доступа к файлам: файлы 644, директории 755. Веб-сервер должен владеть файлами только там, где это необходимо для управляемых обновлений.

  5. Переведите сайт в режим обслуживания

    Снизьте риск, пока вы готовите патч — рассмотрите возможность включения режима обслуживания или ограничения оформления заказа.

  6. Мониторинг и оповещение

    Увеличьте ведение журналов и оповещения для конечных точек, связанных с плагином, и для создания новых пользователей/изменений ролей.

  7. Поменяйте учетные данные и ключи, если вы подозреваете какую-либо компрометацию.

    Измените пароли учетных записей администратора и продавца, API-токены и ключи, связанные с платежными шлюзами, если вы обнаружите признаки вмешательства.

Рекомендуемые правила WAF / виртуального патча (примеры)

Ниже приведены примеры защитных правил, которые вы можете реализовать в WAF, поддерживающем проверку запросов. Это защитные шаблоны — настройте их под свою среду. Не публикуйте полезные нагрузки для эксплуатации; правила предназначены для отказа в подозрительных запросах и разрешения нормального поведения пользователей.

Примеры псевдоправил в стиле ModSecurity (иллюстративные только):

# Блокировать запросы к AJAX действиям плагина, когда нет cookie сессии WP"

Примечания:

  • WAF должны тестироваться на стадии перед развертыванием в производственной среде, чтобы избежать ложных срабатываний.
  • Правила выше являются упрощенными псевдоправилами для иллюстрации идеи; ваша платформа WAF будет иметь свой собственный синтаксис.
  • В общем, блокируйте неаутентифицированные запросы к конечным точкам, специфичным для плагина, если они не требуются для публичной функциональности.

Если вы уже используете авторитетный WAF для WordPress, включите правила смягчения для этого CVE. Если нет, рассмотрите возможность добавления WAF на уровне приложения, который понимает семантику WordPress и может быстро применять виртуальные патчи. Клиенты WP‑Firewall получили обновления правил, которые блокируют самые распространенные попытки эксплуатации этой конкретной уязвимости.

Как проверить исправление и подтвердить, что ваш сайт чист

После обновления плагина до версии 10.1.3 или более поздней и/или применения правил WAF:

  1. Подтвердите версию плагина:
    • WP Admin -> Плагины -> проверьте, что Montonio для WooCommerce показывает 10.1.3+.
    • WP‑CLI: wp плагин список | grep montonio-for-woocommerce
  2. Очистить кэши (кэш объектов, кэш страниц, кэш CDN), чтобы никакой кэшированный код не обслуживал старые хуки.
  3. Просканируйте сайт:
    • Используйте надежный сканер на наличие вредоносного ПО для выполнения полного сканирования сайта на наличие измененных или подозрительных файлов.
    • Ищите недавно измененные файлы в wp-content, особенно в директориях uploads и плагинов.
  4. Проверьте пользователей:
    • Проверьте Пользователи -> Все пользователи на наличие неизвестных аккаунтов. Если найдете какие-либо, отключите их и исследуйте журналы их создания.
    • Проверять wp_usermeta и wp_options в базе данных на предмет подозрительных эскалаций прав.
  5. Мониторьте журналы на предмет подозрительных запросов:
    • Проверьте журналы веб-доступа на наличие заблокированных запросов к конечным точкам плагина.
    • Подтвердите, что не было успешных POST-запросов/вызовов к конечным точкам в окне перед патчем.
  6. Проверьте запланированные задачи (cron):
    • Используйте WP‑CLI или плагины, такие как WP Crontrol, чтобы перечислить запланированные события и искать незнакомые хуки.
  7. Выполните проверку целостности:
    • Сравните текущие файлы плагина с новой копией из репозитория поставщика (скачайте zip плагина и сравните).
    • Если вы обнаружите различия, которые не были сделаны вами, рассматривайте их как компрометированные.
  8. Повернуть учетные данные:
    • Сбросьте учетные данные администратора и продавца, если есть подозрение на компрометацию.
    • Поменяйте ключи API, используемые в платежах или интеграциях доставки, если вы считаете, что они могли быть скомпрометированы.

Если вы обнаружили доказательства взлома, следуйте приведенным ниже шагам реагирования на инцидент.

Если ваш сайт скомпрометирован — рабочий процесс восстановления

Если вы обнаружите, что уже были взломаны, следуйте продуманному плану восстановления:

  1. Изолировать

    Отключите сайт или заблокируйте публичный трафик до начала очистки. Используйте правила брандмауэра для ограничения диапазонов IP (ваш офис / одобренные IP-администраторов).

  2. Соберите доказательства

    Сохраните журналы, снимки базы данных и снимки файловой системы для судебно-медицинского анализа.

  3. Восстановите из известной хорошей резервной копии

    Если у вас есть чистая резервная копия до компрометации, восстановите ее. Убедитесь, что вы устранили уязвимость перед тем, как снова запустить сайт.

  4. Удалите вредоносное ПО/задние двери

    Если чистая резервная копия недоступна, удалите вредоносные файлы и неизвестные PHP-скрипты. Обратитесь за профессиональной помощью, если вы не уверены.

  5. Замените ключи и учетные данные

    Измените все учетные данные администратора WordPress, FTP/SFTP, панели управления хостингом и платежного шлюза.

  6. Переустановите ядро и плагины

    Переустановите ядро WordPress и все плагины/темы из официальных источников. Не вводите измененные плагины из резервных копий без проверки.

  7. Включите мониторинг и усиление безопасности

    Запустите сайт и проведите комплексные сканирования. Увеличьте мониторинг и оповещения.

  8. Уведомить заинтересованных лиц

    Уведомите соответствующие стороны, если данные клиентов или платежная информация могли быть раскрыты. Юридические и комплаенс-обязанности могут требовать определенных уведомлений.

Если компрометация затрагивает платежную информацию, следуйте процедурам инцидентов вашего платежного провайдера и рассмотрите возможность привлечения специалиста по реагированию на инциденты безопасности.

Долгосрочное усиление безопасности — уменьшение будущей уязвимости

Исправление одного плагина недостаточно. Укрепите свой стек WordPress и WooCommerce:

  • Держите ядро WordPress, темы и плагины обновленными по расписанию; приоритизируйте обновления безопасности.
  • Запустите WAF, настроенный для WordPress, и поддерживайте его правила в актуальном состоянии автоматически.
  • Применяйте принцип наименьших привилегий:
    • Предоставляйте пользователям только те роли и возможности, которые им нужны.
    • Удалите неиспользуемые учетные записи администраторов или менеджеров магазина.
  • Используйте надежные, уникальные пароли и обеспечьте многофакторную аутентификацию (MFA) для всех учетных записей с повышенными привилегиями.
  • Ограничьте возможность установки/удаления/редактирования плагинов очень небольшим числом администраторов.
  • Отключите редактирование файлов через WP Admin, установив define('DISALLOW_FILE_EDIT', true) в wp-config.php.
  • Укрепите настройки PHP и сервера (по возможности отключите опасные функции, ограничьте выполнение в директориях загрузки).
  • Регулярно проверяйте установленные плагины и удаляйте неиспользуемые. Каждый плагин является уязвимой точкой.
  • Поддерживайте регулярные резервные копии (вне сайта, неизменяемые, если возможно) и регулярно тестируйте восстановление.
  • Используйте заголовки безопасности и лучшие практики TLS для шифрования в пути (HSTS, современные шифры TLS).

Стратегия обнаружения и ведения журналов

Надежная стратегия ведения журналов необходима для раннего обнаружения попыток эксплуатации:

  • Записывайте веб-запросы с полными строками запросов (URI, строка запроса) и кодами ответов.
  • Храните долгосрочные журналы как минимум 90 дней, если это возможно, для ретроспективного анализа.
  • Мониторьте коды HTTP 403 или 500, связанные с необычными POST-запросами к URL плагинов.
  • Настройте оповещения для:
    • Запросы с высокой частотой к admin-ajax.php или конечным точкам /wp-json/*,
    • создание новых пользователей уровня администратора,
    • изменения файлов в wp-content/uploads или директориях плагинов,
    • резкое изменение объема заказов или подозрительные заказы.

Если вы используете решение для мониторинга безопасности, передайте эти журналы в него и включите соответствующие наборы правил для WordPress/WooCommerce.

Почему важен веб-приложение брандмауэр и как WP‑Firewall помогает

WAF предоставляет прагматичный уровень защиты между вебом и кодом, работающим на вашем сервере. Он может:

  • блокировать известные попытки эксплуатации (виртуальное патчирование),
  • ограничивать скорость автоматического сканирования и грубой силы,
  • блокировать известные вредоносные IP-адреса или шаблоны,
  • обнаруживать и блокировать подозрительные полезные нагрузки до того, как они достигнут уязвимого кода.

В WP‑Firewall мы быстро предоставляем целевые правила смягчения для недавно раскрытых уязвимостей плагинов WordPress нашим клиентам. Для CVE-2026-48873 клиенты WP‑Firewall получили правило, которое блокирует общие неаутентифицированные шаблоны доступа, используемые в попытках эксплуатации, при этом позволяя нормальные процессы оформления заказа. Этот тип виртуального патча дает вам время, когда немедленные обновления плагина невозможны — но это не замена применению патча от поставщика, как только вы сможете.

Практические заметки для разработчиков (для авторов плагинов и интеграторов сайтов)

Если вы разработчик, поддерживающий код, который взаимодействует с Montonio или аналогичными платежными плагинами, ознакомьтесь с этими лучшими практиками:

  • Всегда проверяйте возможности и текущий контекст пользователя на серверных обработчиках.
  • Используйте нонсы WordPress (wp_create_nonce + check_admin_referer/check_ajax_referer) для действий, инициированных браузером.
  • Проверяйте и очищайте все входные данные, даже для, казалось бы, внутренних конечных точек.
  • Никогда не полагайтесь на данные, предоставленные клиентом, для решений по авторизации.
  • Избегайте публичного раскрытия привилегированных REST конечных точек; требуйте аутентификации или ограниченных токенов.
  • Внедряйте автоматизированное тестирование безопасности в CI (SAST и динамическое тестирование) и рассматривайте нарушение контроля доступа как обязательный тестовый случай.
  • При создании интеграций используйте аутентифицированные API сервер-сервер, когда это возможно, а не публичные конечные точки.

Хронология и ссылки

  • Сообщено: 16 мая 2026 года (исследователь указан).
  • Публичное уведомление: 2 июня 2026 года.
  • Уязвимые версии: Montonio для WooCommerce ≤ 10.1.2.
  • Исправлено в: 10.1.3.
  • CVE: CVE-2026-48873
  • Уровень серьезности: CVSS 7.5 (Высокий) — патчируйте немедленно.

(Мы обобщили общедоступную информацию для прагматичного защитного руководства. Если вы поддерживаете плагин или интеграцию, зависящую от Montonio, пожалуйста, ознакомьтесь с примечаниями к версиям и журналами изменений поставщика.)

Примеры обновлений с минимальными нарушениями в реальном мире

Для производственных магазинов с жесткими окнами изменений вот пути с низкими нарушениями, которые вы можете использовать:

  • Сначала обновите в тестовой среде и проведите автоматизированные тесты оформления заказа и платежей.
  • Если тестирование прошло успешно, запланируйте окно с низким трафиком для обновления в производственной среде.
  • Если вы не можете обновить в рабочие часы, немедленно примените виртуальное патчирование в WAF, затем запланируйте обновление плагина в следующем окне обслуживания.
  • Для многосайтовых сетей WordPress разверните правило WAF глобально по всей сети, а затем выполните поэтапное обновление плагина сайт за сайтом.

Новое: Получите немедленную защиту с бесплатным планом WP‑Firewall

Защитите свой сайт WordPress сейчас с помощью всегда включенного базового уровня защиты — без каких-либо затрат.

Заголовок: Начните с силы: бесплатный управляемый брандмауэр и защита OWASP для каждого сайта

Базовый (бесплатный) план WP‑Firewall включает в себя основные защиты, которые нужны каждому магазину WordPress и WooCommerce:

  • Управляемый брандмауэр (WAF) с автоматическими обновлениями правил от поставщика,
  • Неограниченная пропускная способность (без скрытых ограничений трафика),
  • Сканер вредоносного ПО для обнаружения известных вредоносных файлов и индикаторов,
  • Меры по снижению рисков OWASP Top 10, включая быстрые виртуальные патчи для недавно раскрытых уязвимостей плагинов.

Если вы хотите немедленную базовую защиту, пока планируете обновления или реагируете на инциденты, зарегистрируйтесь на бесплатный план здесь: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Для команд и магазинов с высоким риском рассмотрите возможность перехода на стандартные или профессиональные уровни для автоматического удаления вредоносного ПО, возможностей белого/черного списка IP, ежемесячной отчетности по безопасности, автоматического виртуального патчирования и премиум-поддержки.

Финальные рекомендации — приоритетный список действий

  1. Проверьте, использует ли ваш сайт Montonio для WooCommerce, и подтвердите версию плагина.
  2. Если версия ≤ 10.1.2, немедленно обновите до 10.1.3.
  3. Если вы не можете обновить немедленно, деактивируйте плагин или примените правила виртуального патча WAF и ужесточите доступ.
  4. Сделайте резервные копии, увеличьте мониторинг и просканируйте сайт на наличие признаков компрометации.
  5. Если вы найдете доказательства компрометации, следуйте плану реагирования на инциденты, восстановите из известной хорошей резервной копии и измените учетные данные.
  6. Применяйте непрерывную защиту: поддерживайте WordPress и плагины в актуальном состоянии, используйте управляемый WAF, применяйте MFA и ограничьте административный доступ.

Заключительные мысли

Уязвимости в контроле доступа являются одними из самых срочных для исправления, поскольку они могут позволить немедленные, неаутентифицированные действия на вашем сайте. Для интернет-магазинов риск выходит за рамки потери данных и включает финансовые потери и ущерб репутации. Единственный лучший немедленный шаг — применить патч поставщика (10.1.3) для Montonio для WooCommerce.

Если обновление невозможно сразу, виртуальное патчирование через WAF является эффективной временной мерой для сокращения поверхности атаки и уменьшения успешных попыток эксплуатации. Сочетайте виртуальное патчирование с внимательным ведением журналов и планом реагирования на инциденты, чтобы вы могли быстро действовать, если будет обнаружена какая-либо подозрительная активность.

Мы здесь, чтобы помочь: WP‑Firewall поддерживает автоматические обновления правил и ресурсы поддержки инцидентов, разработанные для сред WordPress и WooCommerce. Начните с безопасной основы и не рассматривайте это как просто еще одно обновление плагина — рассматривайте это как возможность улучшить вашу безопасность на платформе.

— Команда безопасности WP-Firewall

wordpress security update banner

Получайте WP Security Weekly бесплатно 👋
Зарегистрируйтесь сейчас!!

Подпишитесь, чтобы каждую неделю получать обновления безопасности WordPress на свой почтовый ящик.

Мы не спамим! Читайте наши политика конфиденциальности для получения более подробной информации.

Свяжитесь с нами, чтобы запланировать бесплатную консультацию по безопасности WordPress.

Связаться с нами

WP-брандмауэр
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Гонконг

Функции Ценообразование Блог Авторизоваться
политика конфиденциальности Условия обслуживания Документы Партнер

© 2026 WP-Firewall™