Rủi ro XSS nghiêm trọng trong Plugin Danh bạ Tên//Xuất bản vào 2026-03-14//CVE-2026-3178

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

Name Directory Vulnerability CVE-2026-3178

Tên plugin Danh bạ tên
Loại lỗ hổng Tấn công xuyên trang web (XSS)
Số CVE CVE-2026-3178
Tính cấp bách Trung bình
Ngày xuất bản CVE 2026-03-14
URL nguồn CVE-2026-3178

Khẩn cấp: Lỗ hổng XSS lưu trữ không xác thực trong plugin Danh bạ Tên (≤ 1.32.1) — Những gì chủ sở hữu trang WordPress cần làm ngay bây giờ

Ngày: 12 Tháng 3, 2026
CVE: CVE-2026-3178
Mức độ nghiêm trọng: Trung bình (CVSS 7.1)
Các phiên bản bị ảnh hưởng: Plugin Danh bạ Tên ≤ 1.32.1
Đã vá trong: 1.33.0

Là một chuyên gia bảo mật WordPress làm việc với đội ngũ WP-Firewall, tôi muốn nói thẳng: lỗ hổng này cần được coi là khẩn cấp. Plugin Danh bạ Tên trước phiên bản 1.33.0 chứa một lỗ hổng Cross-Site Scripting (XSS) lưu trữ không xác thực cho phép người dùng không xác thực gửi dữ liệu độc hại vào plugin (cụ thể là trường tên), dữ liệu này được lưu và sau đó hiển thị mà không có đủ biện pháp thoát hoặc lọc đầu ra. Trong thực tế, điều này có thể dẫn đến việc XSS lưu trữ thực thi trong bối cảnh của một quản trị viên hoặc người dùng có quyền hạn khác khi họ xem mục độc hại, cho phép một loạt các hành động sau khai thác từ việc đánh cắp phiên đến việc sửa đổi trang.

Dưới đây, tôi sẽ đi qua lỗ hổng này là gì, tại sao nó quan trọng, các kịch bản tấn công thực tế, cách phát hiện khai thác hoặc cố gắng khai thác, và các biện pháp giảm thiểu từng bước mà bạn có thể áp dụng ngay bây giờ — bao gồm một công thức vá WAF/ảo, tăng cường máy chủ ngắn hạn và các thực tiễn phát triển plugin lâu dài tốt nhất.

Ghi chú: Nếu bạn có thể cập nhật plugin lên phiên bản 1.33.0 ngay lập tức, hãy làm điều đó trước. Nhà cung cấp đã công bố một bản sửa lỗi trong phiên bản 1.33.0. Nếu bạn không thể cập nhật ngay lập tức (các vấn đề về staging/khả năng tương thích, tùy chỉnh), hãy làm theo các bước giảm thiểu dưới đây.

Tóm tắt điều hành — các hành động ngay lập tức

  • Cập nhật plugin Danh bạ Tên lên phiên bản 1.33.0 hoặc mới hơn — điều này loại bỏ lỗ hổng. Đây là bản sửa lỗi được khuyến nghị và vĩnh viễn.
  • Nếu bạn không thể cập nhật ngay lập tức:
    • Vô hiệu hóa việc gửi công khai đến plugin hoặc gỡ bỏ hoàn toàn plugin cho đến khi bạn có thể vá.
    • Áp dụng các quy tắc WAF / tường lửa để chặn các tải trọng độc hại nhắm vào các điểm cuối của plugin và chặn các mẫu tải trọng đáng ngờ.
    • Giới hạn quyền truy cập vào các trang quản trị của plugin cho các dải IP đáng tin cậy và yêu cầu quản trị viên phải có trình duyệt cập nhật và vệ sinh bảo mật.
    • Quét và xem xét các mục và nhật ký gần đây để tìm nội dung đáng ngờ hoặc các mục không xác định.
  • Nếu bạn nghi ngờ bị xâm phạm: đưa trang web ngoại tuyến (bảo trì), sao lưu, thực hiện quét phần mềm độc hại/forensic toàn diện, thay đổi thông tin xác thực và làm theo các bước phản ứng sự cố (chi tiết sau).

Lỗ hổng chính xác là gì?

  • Kiểu: Stored Cross-Site Scripting (Stored XSS)
  • Kích hoạt: Dữ liệu đầu vào không xác thực của người dùng vào trường “tên” của plugin (tên trường thường được tham chiếu là name_directory_name) được lưu và sau đó được hiển thị mà không có biện pháp thoát thích hợp.
  • Ai có thể kích hoạt nó: Người dùng không xác thực — có nghĩa là bất kỳ khách truy cập, bot hoặc kẻ tấn công nào có thể truy cập vào điểm cuối gửi.
  • Cách nó thực thi: Tải trọng độc hại được lưu trữ trong cơ sở dữ liệu của trang web và được thực thi trong trình duyệt của người dùng xem dữ liệu đã lưu, thường là một quản trị viên hoặc người dùng có quyền hạn khác. Bởi vì nội dung đã lưu được thực thi trong bối cảnh quyền hạn của người dùng đang xem, nó có thể dẫn đến việc chiếm đoạt tài khoản, thay đổi cài đặt hoặc cửa hậu vĩnh viễn.
  • CVSS: 7.1 — Trung bình, phản ánh tính chất lưu trữ và tiềm năng tác động cao nếu một quản trị viên tương tác với dữ liệu độc hại.

Nguyên nhân gốc rễ là cổ điển: plugin chấp nhận đầu vào và lưu trữ nó, nhưng khi hiển thị giá trị đã lưu, nó không thoát hoặc làm sạch đầu ra cho các ngữ cảnh HTML một cách đúng đắn. XSS lưu trữ đặc biệt nguy hiểm vì nó tồn tại qua các lần khởi động lại và có thể ảnh hưởng đến nhiều người dùng theo thời gian.

Các kịch bản tấn công thực tế

  1. Nhắm mục tiêu quản trị viên một cách lén lút
    Một kẻ tấn công gửi một tên có vẻ vô hại chứa mã hóa script hoặc thuộc tính sự kiện HTML. Khi một quản trị viên mở mục thư mục hoặc danh sách bao gồm tên đó, payload kích hoạt trong trình duyệt của quản trị viên và thực thi JavaScript trong phiên của quản trị viên. Kẻ tấn công sau đó có thể thực hiện các hành động (thay đổi cài đặt, tạo người dùng quản trị, cài đặt plugin) thông qua trình duyệt của quản trị viên.
  2. Thỏa hiệp hàng loạt thông qua tương tác của người dùng có quyền hạn thấp
    Payload đã lưu nhắm vào bất kỳ người dùng có quyền hạn nào (không chỉ chủ sở hữu trang). Nếu bất kỳ biên tập viên hoặc người điều hành nào xem mục, phiên của họ có thể bị chiếm đoạt hoặc các hoạt động giống như CSRF được thực hiện, cho phép leo thang.
  3. Thay đổi hoặc chuyển hướng liên tục
    Payload có thể chuyển hướng khách truy cập hoặc chèn nội dung đã chèn vào các trang sử dụng tên đã lưu trên các trang công khai, ảnh hưởng đến uy tín của trang và kết quả tìm kiếm.
  4. Nhấp chuột quản trị viên ngẫu nhiên
    Trong một số quy trình làm việc, một số plugin hoặc trang quản trị tự động hiển thị các mục thư mục (ví dụ: xem trước widget). Điều này có thể cho phép khai thác mà không cần quản trị viên phải thực hiện hành động cố ý nào khác ngoài việc truy cập trang.

Chỉ số của sự thỏa hiệp (IoC) — những gì cần tìm

Quét trang web của bạn để tìm các dấu hiệu sau:

  • Các mục trong tập dữ liệu Thư mục Tên chứa các chuỗi đáng ngờ: 7., onerror=, đang tải =, javascript:, iframe, svg/onload, hoặc các thực thể HTML bất thường như < mà giải mã thành <.
  • Các mục mới không mong đợi được tạo trong thư mục bởi người dùng hoặc bot không xác định.
  • Nhật ký hoạt động quản trị viên bất thường: tài khoản người dùng mới với quyền quản trị hoặc biên tập viên, thay đổi plugin/theme đột ngột, tác vụ đã lên lịch không xác định (WP-Cron), hoặc ghi tệp không mong đợi vào wp-content.
  • Cảnh báo trình duyệt khi quản trị viên xem các trang thư mục (popups, chuyển hướng).
  • Nhật ký máy chủ web cho thấy các POST đến các điểm cuối chấp nhận các bản gửi với payload bất thường.
  • Kết nối ra ngoài hoặc tra cứu DNS được khởi xướng từ máy chủ vào những thời điểm kỳ lạ.

Quan trọng: Bởi vì các kẻ tấn công thường làm mờ các payload XSS (ví dụ: ký tự thoát, chuỗi tách rời, mã hóa base64), hãy sử dụng nhiều phương pháp phát hiện (tìm kiếm chuỗi thô, giải mã/norm hóa, và mẫu regex) khi quét.

Các bước giảm thiểu ngay lập tức (ngắn hạn / khẩn cấp)

Nếu bạn không thể cập nhật ngay lập tức, hãy thực hiện các hành động này theo thứ tự:

  1. Cập nhật lên 1.33.0 (nếu có thể) — Hãy làm điều này trước tiên bất cứ khi nào bạn có thể.
  2. Vô hiệu hóa việc gửi công khai/ẩn danh đến plugin Danh bạ:
    • Tìm kiếm cài đặt plugin cho phép hạn chế việc gửi chỉ cho người dùng đã xác thực.
    • Nếu không có công tắc như vậy, tạm thời xóa biểu mẫu gửi ở phía trước khỏi các trang hoặc chặn điểm cuối gửi thông qua quy tắc máy chủ.
  3. Hạn chế quyền truy cập quản trị:
    • Giới hạn quyền truy cập vào wp-admin và các trang quản trị plugin thông qua danh sách cho phép IP nếu nhóm của bạn có IP cố định.
    • Bật xác thực hai yếu tố (2FA) cho các tài khoản quản trị.
  4. Tăng cường các biểu mẫu với CAPTCHA và giới hạn tần suất:
    • Thêm Google reCAPTCHA hoặc CAPTCHA khác vào biểu mẫu gửi để hạn chế việc khai thác tự động.
    • Áp dụng giới hạn tần suất ở cấp máy chủ web / proxy để chặn các nỗ lực hàng loạt.
  5. WAF / quy tắc vá ảo:
    • Thực hiện các quy tắc WAF để chặn nội dung đáng ngờ (các ví dụ bên dưới).
    • Chặn các yêu cầu POST đến điểm cuối gửi plugin từ các nguồn không đáng tin cậy nếu đường dẫn điểm cuối đã biết.
  6. Quét và làm sạch:
    • Xuất các bản gửi gần đây và xem xét thủ công các mục đáng ngờ. Xóa hoặc làm sạch bất kỳ mục nào đáng ngờ.
    • Chạy quét phần mềm độc hại đầy đủ và quét lỗ hổng.
  7. Xem xét nhật ký và xoay vòng thông tin xác thực:
    • Xoay vòng tất cả mật khẩu quản trị và xem xét bất kỳ người dùng cấp quản trị nào đã được thêm gần đây.
    • Xoay vòng các khóa API hoặc mã thông báo có thể đã bị lộ.

Ví dụ về quy tắc vá ảo WP-Firewall

Dưới đây là các quy tắc mẫu bạn có thể thêm vào WAF (tương thích với ModSecurity hoặc tương đương). Chúng được thiết kế như các bản vá ảo để giảm rủi ro trong khi chờ cập nhật plugin chính thức. Sử dụng chúng như các điểm khởi đầu và kiểm tra kỹ lưỡng trong môi trường staging trước khi áp dụng vào sản xuất.

Quan trọng: Các mẫu chặn này là bảo thủ — tinh chỉnh regex và loại trừ cho môi trường của bạn để giảm thiểu các cảnh báo sai.

Ví dụ quy tắc ModSecurity (cú pháp ModSecurity v2/v3):

# Chặn các thẻ script rõ ràng và javascript: URIs trong các trường gửi"

Nếu plugin gửi đến một đường dẫn đã biết (ví dụ /wp-admin/admin-ajax.php với một hành động cụ thể), bạn có thể thêm một quy tắc nhắm mục tiêu:

# Chặn các payload nghi ngờ đến hành động plugin đã biết"

Ví dụ Nginx + Lua hoặc OpenResty (mã giả):

-- kiểm tra thân POST cho trường name

Ghi chú:

  • Những quy tắc này là phòng thủ và sẽ giảm rủi ro. Chúng không phải là sự thay thế cho việc áp dụng bản vá.
  • Kiểm tra để tránh các cảnh báo sai — một số người dùng hợp pháp có thể bao gồm dấu câu hoặc tên có dấu ngoặc nhọn trong các trường hợp biên.
  • Cân nhắc ghi lại các yêu cầu phù hợp với các mẫu nghi ngờ vào một kênh cảnh báo thay vì chặn ngay lập tức trong vài giờ đầu tiên trong khi bạn xác thực lưu lượng.

Hướng dẫn cho nhà phát triển plugin — cách này nên được sửa chữa

Nếu bạn là một nhà phát triển duy trì plugin hoặc tùy chỉnh nó, cách sửa chữa vĩnh viễn đúng có hai phần:

  1. Xử lý đầu vào đúng cách tại điểm gửi:
    • Sử dụng các hàm làm sạch phù hợp khi lưu đầu vào:
      • Đối với văn bản thuần túy: vệ sinh trường văn bản() hoặc vệ sinh vùng văn bản() trước khi lưu.
      • Đối với HTML hạn chế: sử dụng wp_kses() với một danh sách trắng rõ ràng các thẻ và thuộc tính được phép.

    Ví dụ (máy chủ):

    <?php
  2. Bỏ qua đúng ngữ cảnh khi xuất các giá trị đã lưu:
    • Sử dụng esc_html() khi xuất vào các nút văn bản HTML.
    • Sử dụng esc_attr() nếu xuất vào thuộc tính.
    • Sử dụng wp_kses_post() hoặc wp_kses() cho HTML an toàn nếu cần.

    Ví dụ (kết xuất):

    <?php;
  3. Cũng vậy:
    • Xác minh kiểm tra khả năng và nonces trên các hành động quản trị.
    • Giới hạn khả năng gửi ẩn danh nếu không cần thiết.
    • Tránh xuất các giá trị thô, không được làm sạch ở bất kỳ đâu (quản trị hoặc Giao diện người dùng).

Cách phát hiện các nỗ lực khai thác trong nhật ký và DB

  • Truy vấn cơ sở dữ liệu để tìm các bản ghi được thêm vào xung quanh thời gian của các POST đáng ngờ. Tìm các thẻ HTML hoặc chuỗi mã hóa. Ví dụ SQL (chạy từ giao diện quản trị an toàn hoặc qua WP-CLI):
SELECT ID, post_title, post_content;
  • Kiểm tra nhật ký máy chủ web cho các yêu cầu POST với tải trọng có độ ngẫu nhiên cao hoặc nhiều ký tự không phải chữ cái và số.
  • Sử dụng tìm kiếm toàn trang cho các chuỗi như onerror=, javascript:, <svg, <iframe, hoặc các đoạn mã hóa bất thường (%3C, <).

Nếu bạn tìm thấy các mục đáng ngờ, hãy coi chúng là các điểm có thể bị xâm phạm. Xóa hoặc trung hòa các mục (ví dụ: thay thế tải trọng bằng văn bản sạch đã được làm sạch) và làm theo các bước phản ứng sự cố bên dưới.

Danh sách kiểm tra phản ứng sự cố (nếu bạn nghi ngờ có khai thác)

  1. Đưa trang web vào chế độ bảo trì (tắt nó nếu có thể).
  2. Sao lưu toàn bộ (tệp + cơ sở dữ liệu) trước khi thực hiện thay đổi.
  3. Cập nhật plugin ngay lập tức lên phiên bản 1.33.0 (hoặc xóa plugin).
  4. Thay đổi tất cả mật khẩu quản trị viên và bất kỳ khóa API hoặc mã thông báo nào được lưu trữ trên trang web.
  5. Xem xét và xóa bất kỳ người dùng quản trị không xác định nào.
  6. Quét trang web bằng nhiều công cụ quét phần mềm độc hại và nguồn thông tin mối đe dọa (bao gồm kiểm tra tính toàn vẹn tệp và kiểm tra cron/nhiệm vụ).
  7. Kiểm tra các cơ chế duy trì:
    • Nhiệm vụ đã lên lịch không xác định (WP-Cron).
    • Các tệp đã chỉnh sửa trong thư mục chủ đề/plugin.
    • // Chỉ cho phép người dùng có khả năng đáng tin cậy (ví dụ: manage_options) mu-plugins.
    • Tệp mới hoặc đã sửa đổi .php Các tệp trong thư mục tải lên hoặc bộ nhớ cache.
  8. Cài đặt lại WordPress, chủ đề và plugin từ các nguồn chính thức nếu bạn nghi ngờ tệp đã bị can thiệp.
  9. Theo dõi nhật ký chặt chẽ để phát hiện các nỗ lực lặp lại; thực hiện quy tắc WAF và giới hạn tỷ lệ.
  10. Cân nhắc phân tích pháp y toàn diện nếu có dữ liệu có giá trị cao liên quan hoặc nếu bạn nghi ngờ có sự di chuyển ngang.

Tăng cường lâu dài cho các trang web chạy plugin thư mục/gửi.

  • Giới hạn quyền truy cập ghi ẩn danh: cho phép xem công khai nhưng yêu cầu xác thực để gửi mục.
  • Áp dụng xác thực đầu vào nghiêm ngặt và thoát phù hợp với ngữ cảnh ở mọi nơi.
  • Sử dụng CAPTCHAs và giới hạn tỷ lệ cho các biểu mẫu gửi công khai.
  • Duy trì lịch trình vá lỗi thường xuyên cho lõi WordPress, plugin và chủ đề.
  • Sử dụng tài khoản có quyền tối thiểu: tài khoản quản trị viên nên ít, được kiểm tra và được bảo vệ bằng 2FA.
  • Bật ghi nhật ký và cảnh báo cho các hoạt động quản trị không bình thường.
  • Thực thi các tiêu đề Chính sách Bảo mật Nội dung (CSP) mạnh mẽ để giảm thiểu tác động của XSS phản chiếu/lưu trữ khi có thể.
  • Sử dụng WAF với khả năng vá ảo để nhận được bảo vệ trước khi các bản vá của nhà cung cấp được áp dụng.
  • Tự động sao lưu ngoài trang và kiểm tra quy trình khôi phục thường xuyên.

Ví dụ thực tiễn — lọc và hiển thị an toàn hơn.

Ví dụ: Lưu trữ an toàn (máy chủ):

$name_raw = isset($_POST['name_directory_name']) ? wp_unslash( $_POST['name_directory_name'] ) : '';

Ví dụ: Hiển thị an toàn (giao diện):

$name = get_post_meta( $entry_id, '_name_directory_name', true );

Nếu bạn cần cho phép HTML hạn chế, hãy cho vào danh sách trắng các thẻ cụ thể:

$allowed = array(;

Tại sao WAF lại quan trọng đối với các lỗ hổng như thế này

WAF (Tường lửa Ứng dụng Web) cung cấp bảo vệ ngay lập tức, có thể cấu hình trước trang web của bạn. Nó có thể:

  • Chặn các mẫu khai thác đã biết (ví dụ: thẻ script trong các trường biểu mẫu).
  • Giới hạn hoặc chặn các IP lạm dụng.
  • Áp dụng các bản vá ảo để ngăn chặn việc khai thác các vấn đề plugin đã biết cho đến khi các bản vá chính thức có sẵn.
  • Ghi lại các nỗ lực và cung cấp cảnh báo để bạn có thể hành động nhanh chóng.

WAF được quản lý của WP-Firewall cung cấp bảo vệ dựa trên quy tắc và vá ảo, điều này đặc biệt có giá trị cho các trang web không thể cập nhật ngay lập tức do yêu cầu tương thích hoặc thử nghiệm.

Khuyến nghị phát hiện và giám sát

  • Bật ghi lại yêu cầu chi tiết (với sự chú ý đến quyền riêng tư) trong một khoảng thời gian sau khi lỗ hổng được công bố.
  • Cấu hình cảnh báo cho:
    • Các yêu cầu POST chứa <script hoặc các mẫu XSS phổ biến.
    • Sự gia tăng đột ngột trong các lượt gửi đến các điểm cuối thư mục.
    • Thay đổi các tệp plugin hoặc ghi tệp không xác định.
  • Xuất và kiểm tra thường xuyên các lượt gửi gần đây để phát hiện các mẫu bất thường.
  • Sử dụng môi trường thử nghiệm để tái tạo và xác thực các cuộc tấn công một cách an toàn (không bao giờ thử nghiệm các tải trọng độc hại trên môi trường sản xuất).

Khi nào bạn nên thuê một chuyên gia bảo mật?

  • Nếu bạn phát hiện các chỉ số của sự xâm phạm (tạo admin không xác định, tệp tin bị sửa đổi, kết nối ra ngoài không mong đợi).
  • Nếu trang web là mục tiêu có giá trị cao (thương mại điện tử, thành viên, dữ liệu khách hàng).
  • Nếu bạn thiếu thời gian hoặc công cụ để thực hiện quét pháp y đầy đủ và khắc phục.
  • Nếu bạn muốn được giúp đỡ trong việc tạo và kiểm tra WAF/bản vá ảo để tránh các cảnh báo sai.

Một người phản ứng sự cố WordPress đủ điều kiện hoặc dịch vụ bảo mật có thể thực hiện việc dọn dẹp sâu, khôi phục tính toàn vẹn và giúp tăng cường bảo mật cho trang web chống lại các vấn đề trong tương lai.

Bảo vệ khách truy cập và quản trị viên — UX và giáo dục

  • Thông báo cho đội ngũ quản trị viên của bạn về lỗ hổng và yêu cầu họ tránh xem các mục thư mục không xác định cho đến khi trang web được vá.
  • Khuyến khích các quản trị viên sử dụng trình duyệt hiện đại hỗ trợ các biện pháp bảo mật và kích hoạt 2FA.
  • Đào tạo các biên tập viên và người đóng góp về những nguy hiểm của việc mở nội dung từ các nguồn không quen thuộc.

Bảo vệ Trang Web Của Bạn Trong Vài Phút — Thử Kế Hoạch Miễn Phí WP-Firewall

Nếu bạn muốn có sự bảo vệ ngay lập tức, không cần can thiệp trong khi cập nhật và kiểm tra trang web của mình, hãy xem xét kế hoạch miễn phí WP-Firewall Basic. Nó bao gồm bảo vệ thiết yếu như tường lửa được quản lý, WAF mạnh mẽ, băng thông không giới hạn, quét phần mềm độc hại và giảm thiểu cho các rủi ro OWASP Top 10 — mọi thứ bạn cần để nâng cao bảo mật cơ bản của trang web ngay lập tức. Đăng ký chỉ mất vài phút, và bạn có thể kiểm tra cách vá ảo và quy tắc tự động giảm rủi ro trong khi bạn chuẩn bị cập nhật. Bắt đầu bảo vệ miễn phí của bạn ngay bây giờ: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Nếu bạn muốn tự động hóa chủ động hơn: Standard thêm việc xóa phần mềm độc hại tự động và danh sách đen/trắng IP với một khoản phí hàng năm nhỏ, và Pro bao gồm báo cáo bảo mật hàng tháng, vá ảo tự động và dịch vụ quản lý cao cấp.)

Ghi chú kết thúc — danh sách kiểm tra ưu tiên

  1. Cập nhật plugin Name Directory lên 1.33.0 ngay lập tức (sửa chữa vĩnh viễn).
  2. Nếu bạn không thể cập nhật ngay bây giờ, hãy vô hiệu hóa các bài gửi ẩn danh và áp dụng các quy tắc WAF chặn các tải trọng giống như XSS cho tên trường.
  3. Xem xét và dọn dẹp các bài gửi gần đây; loại bỏ các mục nghi ngờ.
  4. Thay đổi thông tin đăng nhập quản trị và kích hoạt 2FA.
  5. Chạy quét phần mềm độc hại đầy đủ và theo dõi nhật ký cho các nỗ lực lặp lại.
  6. Tăng cường quy trình gửi (CAPTCHA, giới hạn tỷ lệ, khử trùng).
  7. Xem xét việc đăng ký dịch vụ WAF/bản vá ảo được quản lý để mua thêm thời gian trong khi bạn thực hiện phân loại và kiểm tra.

Nếu bạn muốn được giúp đỡ trong việc triển khai các quy tắc WAF, quét trang web của bạn, hoặc xem xét nhật ký và các mục để tìm dấu hiệu khai thác, đội ngũ bảo mật của chúng tôi tại WP-Firewall có thể hỗ trợ. Bảo vệ nhanh nhất và đáng tin cậy nhất là kết hợp các bản cập nhật phần mềm kịp thời với một WAF được quản lý và vệ sinh hoạt động mạnh mẽ.

Giữ an toàn — và cập nhật plugin ngay bây giờ.

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™