Lỗi kiểm soát truy cập nghiêm trọng trong plugin SureForms//Xuất bản vào 2026-03-30//CVE-2026-4987

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

SureForms CVE-2026-4987

Tên plugin Chắc chắn
Loại lỗ hổng Kiểm soát truy cập bị hỏng
Số CVE CVE-2026-4987
Tính cấp bách Thấp
Ngày xuất bản CVE 2026-03-30
URL nguồn CVE-2026-4987

Lỗi kiểm soát truy cập nghiêm trọng trong SureForms (CVE-2026-4987): Những gì chủ sở hữu trang WordPress cần biết và làm ngay bây giờ

Tóm lại — Một lỗ hổng kiểm soát truy cập bị phá vỡ (CVE-2026-4987) ảnh hưởng đến plugin WordPress SureForms (các phiên bản <= 2.5.2) cho phép kẻ tấn công không xác thực vượt qua xác thực số tiền thanh toán phía máy chủ bằng cách thao tác một định danh biểu mẫu. Vấn đề đã được vá trong SureForms 2.6.0 — hãy cập nhật ngay lập tức. Nếu bạn không thể cập nhật ngay, hãy thực hiện các biện pháp giảm thiểu ở cấp độ ứng dụng và tường lửa để ngăn chặn việc khai thác và theo dõi các hoạt động đáng ngờ.

Bài viết này được viết từ góc nhìn của nhóm an ninh WP-Firewall. Mục tiêu của chúng tôi: giải thích rủi ro bằng các thuật ngữ rõ ràng, thực tiễn và đưa ra lời khuyên giảm thiểu từng bước mà bạn có thể áp dụng ngay lập tức để bảo vệ các trang WordPress, biểu mẫu thanh toán và khách hàng của bạn.

Tại sao điều này quan trọng

Các lỗi xử lý thanh toán có tác động lớn ngay cả khi lỗ hổng bản thân trông giống như “chỉ” là một kiểm tra bị thiếu. Nếu một kẻ tấn công có thể gửi yêu cầu thanh toán và thay đổi số tiền hoặc vượt qua xác thực, bạn sẽ phải đối mặt với:

  • Gian lận, hoàn tiền và tổn thất tài chính tiềm ẩn.
  • Thiệt hại danh tiếng và sự thiếu tin tưởng từ khách hàng.
  • Tải thêm cho các đội hỗ trợ và kế toán của bạn để điều tra các khoản thanh toán tranh chấp.
  • Rủi ro về tuân thủ quy định và PCI nếu dữ liệu của chủ thẻ bị xử lý hoặc xử lý sai.

Bởi vì lỗ hổng này không yêu cầu xác thực, nó không yêu cầu kẻ tấn công phải có tài khoản trên trang của bạn — họ chỉ cần tương tác với điểm cuối biểu mẫu. Đối với các trang dựa vào SureForms để thu thập thanh toán hoặc quyên góp, rủi ro tăng lên đáng kể.

Những gì chúng tôi biết (tóm tắt công bố công khai)

  • Phần mềm bị ảnh hưởng: plugin WordPress SureForms, các phiên bản <= 2.5.2.
  • Loại lỗ hổng: Kiểm soát truy cập bị phá vỡ (vượt qua xác thực phía máy chủ).
  • Mã định danh CVE: CVE-2026-4987.
  • Phiên bản đã được vá: 2.6.0 (được phát hành bởi tác giả plugin để giải quyết vấn đề).
  • Vector: Kẻ tấn công không xác thực có thể thao tác các tham số biểu mẫu (đặc biệt là một định danh biểu mẫu) để số tiền thanh toán do khách hàng cung cấp không được xác thực đúng cách trên máy chủ, dẫn đến việc chấp nhận số tiền thanh toán hoặc vượt qua các kiểm tra máy chủ dự kiến.
  • Mức độ nghiêm trọng (như đã báo cáo): Tương đối cao về tác động đối với các biểu mẫu thanh toán; điểm số công khai liên quan do các nhà nghiên cứu đưa ra là CVSS 7.5.

Công bố công khai ghi nhận nhà nghiên cứu đã báo cáo vấn đề một cách có trách nhiệm. Các nhà phát triển plugin đã phát hành bản sửa lỗi trong 2.6.0; các chủ sở hữu trang phải cập nhật như một bước đầu tiên.

Lỗ hổng bằng các thuật ngữ đơn giản (không có công thức khai thác)

Ở mức độ cao, nguyên nhân gốc rễ là tin tưởng vào dữ liệu do khách hàng cung cấp cho các quyết định quan trọng. Một biểu mẫu thanh toán thường thu thập các trường như:

  • form_id (một định danh cho biết máy chủ sử dụng cấu hình biểu mẫu nào)
  • số tiền (số tiền mà người dùng phải trả)
  • product_id hoặc mô tả mục dòng
  • nonce hoặc mã thông báo chống CSRF (để xác thực rằng một biểu mẫu là chính hãng)

Khi máy chủ dựa vào thông tin do khách hàng cung cấp form_id hoặc số tiền mà không kiểm tra lại các bản ghi phía máy chủ hoặc không kiểm tra ủy quyền/nonce, một kẻ tấn công có thể gửi các yêu cầu được chế tạo để thay đổi những gì máy chủ tin rằng nó nên tính phí hoặc chấp nhận. Trong lỗ hổng này, một kẻ tấn công đã có thể sắp xếp yêu cầu sao cho việc xác thực số tiền phía máy chủ bị bỏ qua — máy chủ đã chấp nhận một yêu cầu thanh toán mà nó sẽ không chấp nhận trong trường hợp khác.

Kiểm soát truy cập bị hỏng ở đây liên quan đến việc thiếu ủy quyền hoặc thiếu xác thực phía máy chủ — không chỉ là xác thực JavaScript phía khách hàng. Các kiểm tra phía khách hàng là quan trọng cho trải nghiệm người dùng, nhưng không thể dựa vào chúng cho bảo mật. Các kiểm tra quan trọng phải được thực hiện trên máy chủ và không bao giờ giả định rằng khách hàng là trung thực.

Hành động ngay lập tức — những gì cần làm ngay bây giờ (0–24 giờ)

  1. Cập nhật SureForms lên 2.6.0 (hoặc phiên bản mới hơn) ngay lập tức.
    – Tác giả plugin đã công bố một bản vá. Cập nhật là cách sửa chữa dứt khoát. Luôn kiểm tra các bản cập nhật trong môi trường staging trước nếu bạn có các luồng thanh toán phức tạp; đối với một lỗ hổng thanh toán quan trọng trong sản xuất, ưu tiên cập nhật và lập kế hoạch xác minh nhanh.
  2. Nếu bạn không thể cập nhật ngay lập tức, hãy vô hiệu hóa hoặc tạm ngừng các biểu mẫu thanh toán.
    – Tạm thời vô hiệu hóa các biểu mẫu thanh toán SureForms cụ thể hoặc vô hiệu hóa tính năng thanh toán trong cài đặt plugin cho đến khi bạn có thể áp dụng bản vá và xác minh.
  3. Kích hoạt vá ảo WAF / chặn điểm cuối.
    – Nếu bạn chạy một tường lửa ứng dụng web (WAF), triển khai một quy tắc chặn hoặc thách thức các yêu cầu đến các điểm cuối REST hoặc AJAX xử lý thanh toán của plugin từ các nguồn không được xác thực (xem hướng dẫn WAF bên dưới). Điều này giảm thiểu rủi ro cho đến khi plugin được vá.
  4. Kiểm tra các thanh toán và nhật ký gần đây.
    – Tìm kiếm các số tiền bất thường, khối lượng giao dịch có giá trị thấp cao, hoặc hoàn tiền/đòi lại. Kiểm tra máy chủ web và nhật ký ứng dụng của bạn để tìm các mẫu lưu lượng nghi ngờ đến các điểm cuối của plugin.
  5. Giao tiếp nội bộ.
    – Thông báo cho các bên liên quan: hoạt động trang web, tài chính, hỗ trợ và pháp lý/tuân thủ để họ có thể chuẩn bị phản hồi các yêu cầu hoặc tranh chấp của khách hàng.
  6. Sao lưu trước khi thực hiện bất kỳ thay đổi nào.
    – Thực hành tiêu chuẩn: sao lưu tệp và cơ sở dữ liệu trước khi cập nhật plugin lớn hoặc thay đổi cấu hình.

Các biện pháp khuyến nghị của WP-Firewall và cấu hình WAF

Nếu bạn bảo vệ các trang web bằng WP-Firewall, đây là các mẫu giảm thiểu thực tiễn mà chúng tôi khuyến nghị. Các nguyên tắc hướng dẫn là (1) giảm bề mặt tấn công, (2) thực thi xác thực phía máy chủ, (3) ghi lại và cảnh báo.

Quan trọng: các quy tắc dưới đây là hướng dẫn cho những người bảo vệ và quản trị viên. Thực hiện chúng trên bảng điều khiển quản lý WAF của bạn, máy chủ web hoặc trong các điều khiển của WP-Firewall.

  1. Chặn hoặc thách thức các POST không xác thực đến các điểm cuối thanh toán SureForms
    – Nhiều plugin tiết lộ các điểm cuối AJAX/REST dưới các đường dẫn có thể dự đoán. Nếu một điểm cuối chấp nhận chi tiết thanh toán nhưng không yêu cầu xác thực hoặc một nonce hợp lệ, hãy chặn hoặc giới hạn tỷ lệ các yêu cầu như vậy. Cấu hình một quy tắc để:

    • Từ chối các POST đến các URL thanh toán của plugin mà thiếu nonce WordPress hợp lệ hoặc không có một referer hợp lệ từ miền của bạn.
    • Phục vụ một CAPTCHA hoặc 403 cho các yêu cầu nghi ngờ.
  2. Giới hạn tỷ lệ các yêu cầu đến các điểm cuối thanh toán
    – Áp dụng giới hạn tỷ lệ nghiêm ngặt cho các điểm cuối xử lý thanh toán (ví dụ: X yêu cầu/IP mỗi phút). Khối lượng cao bất thường là nghi ngờ và thường xảy ra trước gian lận hoặc lạm dụng tự động.
  3. Phát hiện các mẫu thao túng tham số
    – Tạo các quy tắc bất thường tìm kiếm:

    • Các yêu cầu mà “số tiền” số khác biệt đáng kể so với các số tiền điển hình hoặc từ giá sản phẩm phía máy chủ (nếu bạn có thể lấy điều này qua logic phía máy chủ).
    • Các yêu cầu mà số tiền thanh toán là không, âm hoặc một giá trị rõ ràng vô nghĩa.

    – Hành động: ghi lại + chặn + cảnh báo.

  4. Chặn các yêu cầu cố gắng ghi đè các định danh do máy chủ kiểm soát
    – Nếu các định danh biểu mẫu được mong đợi là số nguyên hoặc chuỗi cụ thể, hãy chặn các yêu cầu mà form_id vắng mặt, bị thao túng rõ ràng (ví dụ: các ký tự giống SQL), hoặc không khớp với danh sách đã biết — trừ khi chúng đi kèm với một nonce hợp lệ.
  5. Thực thi loại nội dung và tiêu đề
    – Yêu cầu các yêu cầu đến các điểm cuối thanh toán phải khớp với các tiêu đề Content-Type mong đợi (ví dụ: application/json hoặc application/x-www-form-urlencoded) và yêu cầu các tiêu đề Host/Referer hợp lệ từ miền của bạn. Các yêu cầu thiếu những điều này có thể bị thách thức.
  6. Bản vá ảo (ví dụ quy tắc, khái niệm)
    – Một bản vá ảo chặn các yêu cầu chứa các tham số khớp với một mẫu can thiệp đã biết là một biện pháp tạm thời an toàn. Ví dụ:

    • Nếu điểm cuối mong đợi một tham chiếu biểu mẫu nội bộ và khách hàng không nên có khả năng chọn các mục bên phía máy chủ tùy ý, hãy chặn các yêu cầu chứa form_id các giá trị không có trong một danh sách cho phép nhỏ mà bạn kiểm soát.

    – Lưu ý: các bản vá ảo là tạm thời và không thay thế việc cập nhật plugin.

  7. Giám sát và cảnh báo
    – Tạo cảnh báo cho:

    • Các sự kiện thanh toán mới với số tiền bất thường.
    • Nhiều lần kiểm tra nonce không thành công (cho thấy có các nỗ lực tự động hóa).
    • Các yêu cầu lặp lại từ cùng một địa chỉ IP đến các điểm cuối thanh toán.
  8. Tăng cường quyền truy cập REST API
    – Nếu các điểm cuối thanh toán được triển khai qua REST API của WordPress, hãy hạn chế quyền truy cập cho người dùng đã đăng nhập khi có thể hoặc hạn chế các phương thức HTTP nào được phép truy cập ẩn danh.

WP-Firewall có thể triển khai nhiều kiểm soát này nhanh chóng qua bảng điều khiển của chúng tôi: tạo một quy tắc để chặn các POST đáng ngờ đến điểm cuối của plugin, kích hoạt giới hạn tỷ lệ cho đường dẫn URL và thiết lập cảnh báo cho các bất thường về số tiền. Những hành động này mua thời gian trong khi bạn áp dụng bản vá plugin và tiến hành điều tra.

Dành cho các nhà phát triển: cách sửa chữa đúng cách plugin (và những gì cần kiểm tra trong mã của bạn)

Bản vá chính thức đã giải quyết lỗi, nhưng các nhà phát triển plugin (và các tùy chỉnh cụ thể của trang) nên đảm bảo rằng các nguyên tắc thiết kế an toàn này được áp dụng trên tất cả mã xử lý thanh toán.

  1. Không bao giờ tin tưởng vào các số tiền do khách hàng cung cấp hoặc các trường quan trọng của máy chủ.
    – Các số tiền thanh toán và giá sản phẩm phải được xác định bên phía máy chủ bằng cách sử dụng một nguồn dữ liệu đáng tin cậy (cơ sở dữ liệu, danh mục sản phẩm, bảng giá) dựa trên một định danh bên phía máy chủ. Khách hàng có thể cung cấp một form_id hoặc product_id, nhưng máy chủ phải tra cứu giá chính xác — không sử dụng số tiền do khách hàng cung cấp.
  2. Xác thực quyền hạn và khả năng bên phía máy chủ.
    – Nếu hành động nên được thực hiện bởi một người dùng đã xác thực hoặc một người dùng có khả năng cụ thể, hãy thực thi điều đó trên máy chủ. Đối với các biểu mẫu quyên góp và mua sắm ẩn danh, máy chủ vẫn phải xác thực tính toàn vẹn dữ liệu thông qua các nonce và các kiểm tra tính toàn vẹn khác.
  3. Sử dụng nonces và xác minh chúng một cách nghiêm ngặt.
    – Nonces của WordPress không phải là một giải pháp hoàn hảo, nhưng chúng hữu ích: thực thi kiểm tra nonce trên bất kỳ hành động nào thay đổi trạng thái hoặc khởi tạo thanh toán. Đảm bảo nonces được tạo ra với chuỗi hành động chính xác và được xác thực ở phía máy chủ.
  4. Xác thực và làm sạch đầu vào
    – Xác thực loại, phạm vi và giá trị cho phép cho tất cả các tham số. Đối với các trường số tiền, thực thi phạm vi số dương và định dạng mong đợi, và từ chối các đầu vào bất thường.
  5. Ghi nhật ký và theo dõi kiểm toán
    – Ghi lại tất cả các yêu cầu thanh toán (ID, số tiền, IP, user-agent, referer) trong một nhật ký an toàn, chỉ thêm cho phân tích sau sự cố.
  6. Giảm thiểu các điểm cuối bị lộ
    – Nếu có thể, giữ quy trình thanh toán nội bộ (ví dụ: máy chủ đến máy chủ) và không lộ các điểm cuối cho phép POST tùy ý kích hoạt thanh toán mà không có xác minh mạnh mẽ.
  7. Kiểm tra độ bao phủ
    – Thêm các bài kiểm tra đơn vị và tích hợp mô phỏng các yêu cầu bị giả mạo để đảm bảo xác thực phía máy chủ từ chối chúng.
  8. Mặc định an toàn
    – Các plugin nên đi kèm với các mặc định an toàn: xác thực phía máy chủ được bật, các callback quyền REST nghiêm ngặt, và không có các điểm cuối thanh toán ẩn danh trừ khi thực sự cần thiết và an toàn.

Khái niệm sửa chữa giả (xác thực phía máy chủ):

<?php

Mẫu này ngăn chặn việc tin tưởng vào số tiền do khách hàng cung cấp và thực thi kiểm tra nonce/ủy quyền.

Các bước điều tra: những gì cần tìm kiếm sau khi tiết lộ

  1. Tìm kiếm nhật ký cho các POST đến các điểm cuối thanh toán của plugin trong một khoảng thời gian phù hợp với các giao dịch nghi ngờ. Tìm kiếm:
    • Các POST thường xuyên từ các IP đơn lẻ.
    • Yêu cầu với amount=0 hoặc các số tiền cực kỳ thấp trong khi số tiền mong đợi cao hơn.
    • Các yêu cầu thiếu nonces hoặc referers.
  2. Đối chiếu thanh toán với các đơn hàng mong đợi
    – So sánh danh sách giao dịch cổng thanh toán của bạn với các đơn hàng được ghi lại trong WordPress/WooCommerce/hệ thống của bạn. Tìm kiếm sự không khớp hoặc giao dịch mồ côi.
  3. Tìm kiếm các khoản hoàn tiền và tranh chấp
    – Những kẻ tấn công lừa đảo hệ thống thanh toán có thể kích hoạt hoàn tiền hoặc tranh chấp sau đó. Kiểm tra tài khoản thương nhân của bạn để phát hiện hoạt động tranh chấp bất thường.
  4. Kiểm tra các tệp trang web và tài khoản quản trị
    – Mặc dù lỗ hổng này không trực tiếp cấp quyền truy cập shell, nhưng bất kỳ việc tạo người dùng quản trị lạ hoặc thay đổi tệp bất ngờ nào cũng nên được điều tra.
  5. Thu thập các hiện vật
    – Bảo tồn nhật ký, yêu cầu mẫu và ảnh chụp cơ sở dữ liệu cho công việc pháp y tiếp theo. Những điều này giúp xác định bề mặt tấn công và mức độ nghiêm trọng.
  6. Thay đổi khóa và mã thông báo nếu cần
    – Nếu bạn nghi ngờ rằng bất kỳ khóa API hoặc thông tin xác thực cổng thanh toán nào bị xâm phạm, hãy thay đổi chúng ngay lập tức và cập nhật cấu hình plugin của bạn.
  7. Báo cáo cho nhà xử lý thanh toán của bạn nếu nghi ngờ gian lận
    – Nếu bạn xác định được các khoản thanh toán gian lận, hãy liên hệ với nhà xử lý thanh toán của bạn và làm theo quy trình xử lý gian lận của họ.

Danh sách kiểm tra tăng cường cho các trang WordPress xử lý thanh toán

  • Cập nhật lõi WordPress, chủ đề và plugin thường xuyên; giữ bản sao lưu.
  • Sử dụng mật khẩu quản trị mạnh và xác thực hai yếu tố (2FA) cho tất cả các tài khoản quản trị.
  • Giới hạn số lượng người dùng quản trị; sử dụng nguyên tắc quyền tối thiểu.
  • Vô hiệu hóa hoặc hạn chế các điểm cuối REST API mà bạn không sử dụng cho quyền truy cập ẩn danh.
  • Bật các quy tắc WAF cấp ứng dụng cho các điểm cuối thanh toán (như đã mô tả ở trên).
  • Giữ khóa API cổng thanh toán trong kho bí mật; không mã hóa cứng chúng trong các chủ đề/plugin.
  • Sử dụng HTTPS ở mọi nơi và thực thi HSTS.
  • Lên lịch quét bảo mật và kiểm tra nhật ký thường xuyên.
  • Thực hành phản ứng sự cố và có các liên hệ leo thang cho cổng thanh toán và nhà cung cấp dịch vụ lưu trữ của bạn.

Kiểm tra sau khi khắc phục

  1. Xác thực các luồng thanh toán trong môi trường staging trước.
  2. Thực hiện các thanh toán hợp lệ với các khoản tiền điển hình và xác minh rằng các đơn hàng và mục thanh toán khớp nhau.
  3. Kiểm tra áp lực các điểm cuối giới hạn tỷ lệ để đảm bảo người dùng hợp lệ không bị ảnh hưởng.
  4. Xác minh rằng các nỗ lực gửi tham số bị can thiệp bị chặn hoặc tạo ra cảnh báo.
  5. Xác nhận rằng việc giám sát/cảnh báo đang hoạt động: tạo một cảnh báo thử nghiệm (ví dụ: mô phỏng một khoản tiền bất thường) và đảm bảo sự cố kích hoạt quy trình thông báo của bạn.

Thực hành giao tiếp tốt nhất (nếu bạn nghi ngờ ảnh hưởng đến khách hàng)

  • Hãy minh bạch, kịp thời và dựa trên sự thật với những khách hàng bị ảnh hưởng khi được yêu cầu bởi luật hoặc chính sách.
  • Nếu dữ liệu thẻ của khách hàng bị liên quan, hãy tuân theo hướng dẫn của bạn về thương mại và PCI cho việc thông báo và khắc phục.
  • Cung cấp hướng dẫn cho khách hàng về những gì cần tìm (các khoản phí bất thường, hoạt động spam) mà không chia sẻ chi tiết kỹ thuật có thể bị lạm dụng.
  • Giữ cho các đội nội bộ (hỗ trợ, tài chính, pháp lý) được thông báo và cung cấp cho họ thông điệp đã chuẩn bị.

Tại sao tường lửa ứng dụng web là cần thiết cho các sự cố như thế này

Một lỗi plugin cho phép can thiệp không xác thực là loại kịch bản chính xác mà một WAF được cấu hình tốt có thể giảm bán kính tác động thông qua:

  • Vá ảo — nhanh chóng chặn các mẫu khai thác trước khi một bản vá có thể được áp dụng.
  • Giới hạn tỷ lệ — làm chậm việc lạm dụng tự động.
  • Quy tắc xác thực tham số — ngăn chặn việc can thiệp rõ ràng và các yêu cầu bị sai định dạng không đến được ứng dụng.
  • Phát hiện và cảnh báo bất thường — bắt giữ hành vi nghi ngờ trước khi nó trở thành gian lận quy mô lớn.

Trong khi WAF không thay thế cho việc lập trình an toàn và vá kịp thời, chúng là một biện pháp phòng thủ thực tiễn có thể bảo vệ bạn trong khoảng thời gian giữa việc công bố và khắc phục.

Bảo vệ trang web của bạn ngay bây giờ — Bắt đầu với Kế hoạch Miễn phí WP-Firewall

Nếu bạn muốn một cách đơn giản để giảm thiểu rủi ro trong khi bạn vá và củng cố trang web của mình, hãy thử kế hoạch miễn phí của chúng tôi tại WP-Firewall. Kế hoạch miễn phí cung cấp bảo vệ thiết yếu: một tường lửa được quản lý, băng thông không giới hạn, một WAF, một trình quét malware và bảo vệ cho 10 rủi ro hàng đầu của OWASP. Đây là cách nhanh chóng để có được vá ảo và giám sát trước các điểm cuối dễ bị tổn thương để bạn có thể cập nhật plugin và thử nghiệm với ít rủi ro hơn.

Đăng ký gói WP-Firewall Basic (Miễn phí) tại đây: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nếu bạn cần nhiều tự động hóa hơn, các cấp độ Standard và Pro của chúng tôi thêm vào việc loại bỏ phần mềm độc hại tự động, danh sách cho phép/chặn IP, vá lỗi ảo lỗ hổng và báo cáo hàng tháng giúp bạn theo dõi rủi ro và tuân thủ.

Ghi chú kết thúc — một lời nói của con người về quản lý rủi ro

An ninh không bao giờ chỉ là một điều — đó là một quy trình. Một lỗ hổng plugin như thế này là một lời nhắc nhở khó chịu rằng ngay cả những plugin phổ biến, có ý định tốt cũng có thể chứa lỗi logic. Bảo vệ tốt nhất là có nhiều lớp:

  • Giữ phần mềm luôn cập nhật.
  • Tăng cường và giám sát các điểm cuối.
  • Sử dụng WAF để giảm thiểu rủi ro trong khi bạn sửa mã.
  • Có quy trình sự cố và sao lưu sẵn sàng.

Nếu bạn đang chạy SureForms, hãy ưu tiên cập nhật lên 2.6.0 ngay bây giờ. Nếu bạn quản lý nhiều trang web hoặc cung cấp dịch vụ lưu trữ, hãy xem xét việc thực thi các bản vá ảo tập trung thông qua một giải pháp tường lửa để bạn có thể chặn các mẫu khai thác đã biết trên tất cả khách hàng cho đến khi các bản vá được cài đặt.

Nếu bạn muốn được giúp đỡ trong việc kiểm tra trang web của mình hoặc triển khai các quy tắc WAF phù hợp với các điểm cuối thanh toán, đội ngũ WP-Firewall có thể hỗ trợ — từ các bản vá ảo tạm thời đến các kế hoạch tăng cường và giám sát lâu dài.

Hãy giữ an toàn — và vá lỗi nhanh chóng.

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™