Phân tích khai thác vượt qua đường dẫn EmailKit//Xuất bản vào 2026-03-20//CVE-2026-3474

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

EmailKit Plugin Vulnerability

Tên plugin Plugin EmailKit WordPress
Loại lỗ hổng Đường dẫn đi qua
Số CVE CVE-2026-3474
Tính cấp bách Thấp
Ngày xuất bản CVE 2026-03-20
URL nguồn CVE-2026-3474

Lỗ hổng vượt đường dẫn trong EmailKit (<= 1.6.3) — Những gì chủ sở hữu trang WordPress cần làm ngay bây giờ

Tác giả: Nhóm bảo mật WP-Firewall
Ngày: 2026-03-21

Tóm tắt: Một lỗ hổng vượt đường dẫn (CVE-2026-3474) đã được công bố ảnh hưởng đến các phiên bản plugin EmailKit WordPress <= 1.6.3. Vấn đề này yêu cầu vai trò Quản trị viên đã xác thực để khai thác nhưng có thể tiết lộ các tệp nhạy cảm trên hệ thống tệp. Chúng tôi sẽ đề cập đến điều này có nghĩa là gì đối với các chủ sở hữu trang, cách mà kẻ tấn công có thể lạm dụng nó, các bước giảm thiểu ngay lập tức, các sửa chữa dài hạn được khuyến nghị cho các nhà phát triển, và cách một WAF có thể bảo vệ bạn trong khi bạn vá lỗi.

Mục lục

  • Những gì đã được công bố
  • Tại sao điều này quan trọng (rủi ro và tác động)
  • Cách một cuộc tấn công thực tế có thể trông như thế nào
  • Các hành động ngay lập tức cho chủ sở hữu trang web (từng bước)
  • Phòng thủ nhiều lớp — cách một WAF bảo vệ bạn
  • Quy tắc WAF thực tiễn (ví dụ cho ModSecurity / Nginx)
  • Đề xuất vá lỗi nhanh cho nhà phát triển (sửa lỗi mã an toàn)
  • Phát hiện và phản ứng sự cố: nhật ký, chỉ số và phục hồi
  • Khuyến nghị tăng cường để giảm rủi ro nhắm vào quản trị viên
  • Về kế hoạch bảo vệ miễn phí WP-Firewall (thông tin đăng ký)
  • Danh sách kiểm tra cuối cùng

Những gì đã được công bố

Vào ngày 20 tháng 3 năm 2026, một lỗ hổng vượt đường dẫn ảnh hưởng đến plugin WordPress EmailKit (các phiên bản <= 1.6.3) đã được công bố công khai và được gán CVE-2026-3474. Lỗ hổng này được kích hoạt thông qua điểm cuối API REST của plugin chấp nhận một tham số có tên emailkit-editor-template. Nếu một kẻ tấn công có quyền Quản trị viên sử dụng các tải trọng vượt đường dẫn được chế tạo (ví dụ như các chuỗi chứa ../ hoặc các tương đương được mã hóa), họ có thể đọc các tệp tùy ý dưới tài khoản máy chủ web hoặc lạm dụng thêm các tệp cục bộ.

Những điểm chính:

  • Các phiên bản bị ảnh hưởng: EmailKit <= 1.6.3
  • Đã vá trong: 1.6.4
  • Quyền hạn yêu cầu: Quản trị viên (đã xác thực)
  • Loại lỗ hổng: Vượt đường dẫn (cho phép thao tác đường dẫn tệp)
  • CVSS (như đã công bố): ~4.9 (thấp). Đánh giá thấp phản ánh yêu cầu về quyền quản trị. Tuy nhiên, tác động vẫn có thể đáng kể trong một số môi trường.

Tại sao điều này quan trọng — rủi ro và tác động

Nhìn thoáng qua, một lỗ hổng yêu cầu quyền truy cập của Quản trị viên có thể nghe có vẻ rủi ro thấp. Tuy nhiên, trong thế giới thực có nhiều lý do khiến loại lỗ hổng này đáng lo ngại:

  1. Tài khoản quản trị viên bị xâm phạm hoặc chia sẻ
    • Nếu một tài khoản quản trị viên được sử dụng lại, được bảo vệ yếu, hoặc bị xâm phạm (thông tin đăng nhập bị lừa đảo, bị rò rỉ, hoặc mua từ một vụ rò rỉ dữ liệu), kẻ tấn công có thể ngay lập tức khai thác lỗ hổng này từ bên trong trang web.
  2. Mối đe dọa từ bên trong và người dùng được ủy quyền
    • Các nhà thầu hoặc tác giả plugin/theme đáng tin cậy đôi khi nhận được quyền quản trị để bảo trì. Một người trong cuộc độc hại hoặc bị xâm phạm với quyền quản trị có thể khai thác lỗ hổng này.
  3. Việc lộ tệp có thể dẫn đến việc leo thang
    • Một lỗ hổng đường dẫn cho phép đọc các tệp nhạy cảm (ví dụ wp-config.php, .env, tệp cấp phép, tệp sao lưu, hoặc cấu hình của các plugin khác) có thể tiết lộ thông tin đăng nhập cơ sở dữ liệu, muối, khóa API và mã thông báo. Với những thứ đó, kẻ tấn công có thể chuyển hướng đến cơ sở dữ liệu, dịch vụ đám mây, hoặc kiểm soát các hệ thống khác.
  4. Bao gồm tệp cục bộ và khai thác chuỗi
    • Trong một số môi trường, một lỗ hổng đường dẫn có thể được kết hợp với các lỗi khác (ví dụ, thư mục tải lên được bảo vệ yếu, bao gồm tệp được xác thực kém ở nơi khác) để đạt được thực thi mã từ xa.
  5. Rủi ro đa trang web và cấp độ máy chủ
    • Trong các môi trường đa trang web hoặc trên các máy chủ chia sẻ, quyền truy cập đọc vào các tệp bên ngoài thư mục của plugin có thể tiết lộ dữ liệu ảnh hưởng đến nhiều trang web.

Tóm lại: yêu cầu đường dẫn trực tiếp có thể bị giới hạn, nhưng hậu quả sau đó có thể nghiêm trọng nếu các tệp nhạy cảm bị lộ.

Cách một khai thác có thể trông như thế nào (mức cao, ví dụ không thể khai thác)

Điểm cuối REST bị tổn thương chấp nhận một tham số emailkit-editor-template. Nếu ứng dụng nối tham số được cung cấp trực tiếp vào một đường dẫn thư mục và gọi file_get_contents() hoặc include() mà không xác thực đường dẫn đã giải quyết, một giá trị do quản trị viên cung cấp như ../../../../../wp-config.php (hoặc các tương đương được mã hóa URL) có thể được sử dụng để truy xuất wp-config.php.

Ví dụ (khái niệm):

  • Yêu cầu: POST /wp-json/emailkit/v1/editor-template
  • Thân bài: { “emailkit-editor-template”: “../../../../../wp-config.php” }
  • Nếu plugin chỉ thực hiện file_get_contents( PLUGIN_TEMPLATES_DIR . '/' . $param ); thì xảy ra việc truy cập đường dẫn.

Quan trọng: đây là một minh họa khái niệm. Đừng cố gắng khai thác điều này trên các hệ thống mà bạn không sở hữu hoặc quản lý. Hành động đúng cho các chủ sở hữu trang là cập nhật và củng cố.

Các hành động ngay lập tức cho các chủ sở hữu trang — từng bước (cần làm gì ngay bây giờ)

Nếu trang của bạn sử dụng EmailKit và bạn có bất kỳ người dùng Quản trị viên nào, hãy làm theo các bước này ngay lập tức:

  1. Cập nhật plugin
    • Cập nhật EmailKit lên phiên bản 1.6.4 hoặc mới hơn. Đây là hành động quan trọng nhất.
  2. Nếu bạn không thể cập nhật ngay lập tức (giảm thiểu tạm thời)
    • Áp dụng các quy tắc WAF (các ví dụ sau) để chặn các payload truy cập nhắm vào các điểm cuối REST của plugin.
    • Hạn chế quyền truy cập vào điểm cuối REST theo IP (chỉ IP quản trị) hoặc yêu cầu xác thực bổ sung trên /wp-json/emailkit/* nếu có thể ở cấp độ máy chủ web.
    • Vô hiệu hóa hoặc gỡ bỏ plugin nếu không cần thiết.
  3. Xem xét các tài khoản và thông tin xác thực quản trị
    • Kiểm tra người dùng Quản trị viên. Gỡ bỏ các tài khoản quản trị không rõ/không sử dụng.
    • Buộc đặt lại mật khẩu cho tất cả các quản trị viên.
    • Đảm bảo các quản trị viên có mật khẩu duy nhất và kích hoạt 2FA cho tất cả người dùng quản trị.
  4. Thay đổi khóa và bí mật
    • Nếu bạn nghi ngờ cấu hình có thể đã bị truy cập, hãy thay đổi mật khẩu DB, khóa API và bất kỳ mã thông báo nào được lưu trữ trong các tệp có thể đã bị lộ.
  5. Quét tìm sự thỏa hiệp
    • Chạy quét phần mềm độc hại trên toàn bộ trang và máy chủ của bạn. Tìm kiếm webshells, tệp đã chỉnh sửa hoặc các tác vụ theo lịch đáng ngờ.
    • Kiểm tra thời gian sửa đổi tệp cho những thay đổi gần đây mà bạn không mong đợi.
  6. Kiểm tra nhật ký
    • Tìm kiếm các yêu cầu đến /wp-json/emailkit/ hoặc bất kỳ POST/GET nào chứa emailkit-editor-template và các ký tự duyệt đáng ngờ (../ hoặc %2e%2e%2f).
    • Nếu bạn phát hiện hoạt động đáng ngờ, hãy cách ly trang web, bảo tồn nhật ký và nâng cao lên phản ứng sự cố.
  7. Khôi phục từ bản sao lưu sạch nếu cần thiết
    • Nếu bạn phát hiện xâm nhập, hãy khôi phục từ một bản sao lưu tốt đã biết và sau đó củng cố môi trường (cập nhật, thông tin xác thực mạnh, quyền truy cập quản trị hạn chế).
  8. Màn hình
    • Tăng cường giám sát nhật ký, tính toàn vẹn tệp và sự kiện quản trị trong 30 ngày tiếp theo.

Phòng thủ nhiều lớp — cách mà WAF giúp trong khi bạn vá lỗi

Tường lửa Ứng dụng Web WordPress (WAF) không phải là sự thay thế cho việc vá lỗi, nhưng nó cho bạn thêm thời gian. Đối với các lỗ hổng yêu cầu tài khoản quản trị, một WAF tập trung vào việc ngăn chặn tải trọng độc hại và chặn các mẫu truy cập REST API bất thường sẽ giảm thiểu phạm vi tác động.

Một WAF có thể làm gì ở đây:

  • Chặn các yêu cầu với các mẫu duyệt thư mục (../, .., %2e%2e%2f, v.v.) nhắm vào các điểm cuối REST.
  • Giới hạn tỷ lệ các hành động quản trị và các cuộc gọi REST để làm chậm các cuộc tấn công brute-force hoặc kịch bản.
  • Thực thi các kiểm soát truy cập bổ sung (ví dụ: chặn các điểm cuối REST cho các dải IP không đáng tin cậy).
  • Vá ảo: chặn và từ chối các nỗ lực khai thác cho các kết hợp điểm cuối + tham số cụ thể.

Nếu trang web của bạn đang chạy một WAF được quản lý, hãy đảm bảo rằng các quy tắc bảo vệ bao phủ điểm cuối này ngay lập tức. Nếu bạn dựa vào một plugin hoặc tường lửa do nhà cung cấp lưu trữ cung cấp, hãy kích hoạt các bộ quy tắc phát hiện duyệt và lạm dụng REST.

Các quy tắc WAF thực tiễn và các biện pháp giảm thiểu cấp máy chủ

Dưới đây là các ví dụ quy tắc thực tiễn mà bạn có thể sử dụng như các bản vá ảo ngắn hạn. Hãy kiểm tra bất kỳ quy tắc nào trong môi trường thử nghiệm trước khi áp dụng trong sản xuất để tránh chặn lưu lượng hợp pháp.

1) ModSecurity (kiểu OWASP CRS) — chặn các chuỗi truy cập trong tham số emailkit-editor-template

(Đây là một quy tắc khái niệm; điều chỉnh ID và tinh chỉnh theo môi trường của bạn.)

# Chặn các nỗ lực duyệt đường dẫn cho điểm cuối EmailKit REST"

2) Nginx — từ chối các tải trọng truy cập thông thường đến điểm cuối EmailKit REST

Thêm vào khối máy chủ của bạn (hoặc một vị trí cụ thể cho /wp-json/):

location ~* ^/wp-json/emailkit/ {

3) Apache .htaccess — từ chối các yêu cầu với truy cập mã hóa

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/wp-json/emailkit/ [NC]
RewriteCond %{QUERY_STRING} (\.\./|%2e%2e%2f|%c0%ae%c0%ae) [NC,OR]
RewriteCond %{REQUEST_BODY} (\.\./|%2e%2e%2f|%c0%ae%c0%ae) [NC]
RewriteRule .* - [F,L]
</IfModule>

Ghi chú:

  • Các quy tắc WAF và máy chủ nên được coi là các bản vá ảo tạm thời cho đến khi bạn cập nhật lên phiên bản plugin đã sửa lỗi.
  • Kiểm tra cẩn thận các quy tắc này, đặc biệt nếu bạn sử dụng các mẫu email hoặc các công cụ khác mà hợp pháp sử dụng các ký tự tương tự.

Đề xuất bản vá nhanh cho nhà phát triển — các mẫu mã an toàn

Nếu bạn là nhà phát triển plugin/theme (hoặc duy trì một nhánh), đây là các thực hành lập trình an toàn để tránh các vấn đề truy cập đường dẫn:

  1. Không bao giờ tin tưởng các đoạn đường dẫn do người dùng kiểm soát
    • Không nối đầu vào của người dùng vào các đường dẫn hệ thống tệp trực tiếp.
  2. Sử dụng phương pháp danh sách trắng
    • Giữ một danh sách rõ ràng các mẫu/tệp được phép và chỉ trả về nội dung phù hợp với một khóa được phép. Ví dụ: ánh xạ “welcome” -> “welcome.html” và chỉ chấp nhận những khóa đó.
  3. Chuẩn hóa và xác thực các đường dẫn đã giải quyết
    • Khi bạn phải chấp nhận tên tệp, tính toán đường dẫn tuyệt đối qua realpath() và đảm bảo kết quả nằm trong thư mục dự kiến.

Ví dụ mẫu PHP:

<?php;
  1. Sử dụng API Hệ thống Tập tin WordPress
    • Ưu tiên WP_Filesystem để di động và phù hợp hơn với các quy ước truy cập tập tin của WordPress.
  2. Kiểm tra khả năng nghiêm ngặt
    • Đảm bảo các kiểm tra callback REST current_user_can('quản lý_tùy chọn') (hoặc một khả năng cụ thể hơn phù hợp với hành động). Nhưng hãy nhớ: kiểm tra khả năng một mình không ngăn chặn lạm dụng nếu thông tin xác thực quản trị viên đã bị xâm phạm.
  3. Tránh bao gồm/yêu cầu trực tiếp với chuỗi do người dùng kiểm soát
    • Ngay cả khi bạn làm sạch đầu vào, hãy tránh bao gồm các tệp PHP do người dùng cung cấp.
  4. Ghi lại các yêu cầu đáng ngờ
    • Ghi lại các giá trị tham số không vượt qua xác thực để phục vụ điều tra và phát hiện.

Phát hiện & phản ứng sự cố: những gì cần tìm

Nếu bạn đang điều tra xem có ai đó đã cố gắng khai thác điều này trên trang của bạn hay không, hãy tìm các chỉ số sau:

  1. Mô hình truy cập API REST
    • Các yêu cầu đến /wp-json/emailkit/… với emailkit-editor-template tham số.
    • POST hoặc GET chứa ../ hoặc các chuỗi duyệt mã hóa URL (%2e%2e%2f, /).
  2. Đọc tệp không mong đợi
    • Các cuộc gọi đến file_get_contents, bao gồm, hoặc fopen nhắm mục tiêu vào các tệp bên ngoài thư mục plugin.
    • Các nỗ lực rò rỉ không mong đợi (các phản hồi lớn sau khi POST đến các điểm cuối REST).
  3. Các bất thường trong hoạt động của người dùng quản trị viên
    • Các IP không xác định đăng nhập với tư cách quản trị viên vào cùng một thời điểm.
    • Các hành động của quản trị viên mà bạn không ủy quyền (cài đặt plugin đã thay đổi, mẫu đã tải xuống).
  4. Anomalies hệ thống tệp
    • Các tệp mới hoặc đã sửa đổi trong các thư mục có thể ghi mà bạn không cập nhật.
    • Các tệp có tên nghi ngờ hoặc nội dung giống như webshell.

Các lệnh và truy vấn nhật ký (ví dụ):

# Tìm kiếm nhật ký Apache/Nginx cho các mẫu duyệt:

Nếu bạn phát hiện ra việc khai thác:

  • Bảo tồn nhật ký (không ghi đè).
  • Cách ly trang web bị ảnh hưởng (ngắt kết nối hoặc đặt ở chế độ bảo trì).
  • Cân nhắc xoay vòng DB và các bí mật khác.
  • Khôi phục từ một bản sao lưu sạch nếu có dấu hiệu của một cửa hậu bền vững.

Tăng cường quyền truy cập quản trị (giảm rủi ro trong tương lai)

Ngay cả khi một lỗ hổng yêu cầu quyền quản trị, có nhiều bước thực tiễn giúp giảm khả năng kẻ tấn công có thể khai thác các lỗi như vậy:

  1. Vệ sinh tài khoản quản trị viên mạnh mẽ
    • Sử dụng mật khẩu mạnh độc nhất; không khuyến khích việc tái sử dụng mật khẩu.
    • Vô hiệu hóa XML-RPC nếu không cần thiết.
    • Xóa các tài khoản không còn cần thiết.
  2. Xác thực hai yếu tố (2FA)
    • 2FA cho tất cả quản trị viên giảm đáng kể rủi ro chiếm đoạt tài khoản.
  3. Giới hạn quyền truy cập khu vực quản trị theo IP
    • Nếu có thể, hạn chế wp-login.php/wp-admin/ đến các địa chỉ IP đã biết hoặc VPN.
  4. Quản trị với quyền tối thiểu
    • Gán quyền cho người dùng chỉ với bộ khả năng tối thiểu cần thiết — cấp quyền quản trị một cách tiết kiệm.
  5. Ghi lại hoạt động và cảnh báo
    • Cài đặt một plugin kiểm toán hoặc kích hoạt ghi nhật ký cấp máy chủ cho các hành động của quản trị viên.
    • Cấu hình cảnh báo cho việc tạo quản trị viên mới, cài đặt plugin hoặc thay đổi cài đặt.
  6. Thực thi cập nhật plugin/theme định kỳ.
    • Giữ mã của bên thứ ba được cập nhật và loại bỏ các plugin/theme không sử dụng kịp thời.
  7. Sao lưu và bản sao không thay đổi.
    • Duy trì các bản sao lưu gần đây và kiểm tra khôi phục. Giữ bản sao lưu ngoài máy chủ khi có thể.

Về kế hoạch bảo vệ miễn phí WP-Firewall.

Bảo mật quản trị WordPress và các điểm cuối REST của bạn trong vài phút — thử WP-Firewall Free.

Chúng tôi đã xây dựng WP-Firewall để giúp các chủ sở hữu trang web nhận được sự bảo vệ ngay lập tức mà không gặp rắc rối. Nếu bạn muốn có sự bảo vệ tự động, không cần can thiệp trong khi bạn vá các plugin hoặc điều tra hoạt động đáng ngờ, kế hoạch miễn phí của chúng tôi cung cấp sự bảo vệ thiết yếu mà bạn có thể kích hoạt trong vài phút.

Tại sao nên thử gói miễn phí?

  • Bảo vệ thiết yếu: tường lửa quản lý, băng thông không giới hạn, WAF, quét phần mềm độc hại và giảm thiểu các rủi ro OWASP Top 10 — tất cả trên cấp miễn phí.
  • Vá ảo ngay lập tức: chặn các nỗ lực khai thác đã biết nhắm vào các điểm cuối REST, chuỗi duyệt và các vectơ tấn công phổ biến khác ngay cả trước khi bạn cập nhật một plugin dễ bị tổn thương.
  • Quét và cảnh báo liên tục: quét các phần mềm độc hại đã biết và các thay đổi tệp đáng ngờ để bạn có thể hành động nhanh chóng.

Đăng ký kế hoạch WP-Firewall Basic (Miễn phí) và nhận bảo vệ ngay lập tức:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nếu bạn muốn tự động hóa và hỗ trợ nâng cao hơn, chúng tôi cung cấp các cấp trả phí với việc loại bỏ phần mềm độc hại tự động, danh sách đen/trắng IP, báo cáo bảo mật hàng tháng và vá ảo tự động.

Danh sách kiểm tra cho nhà phát triển (các sửa chữa lâu dài).

Nếu bạn duy trì plugin (hoặc một tính năng tương tự) hãy thực hiện các sửa chữa và thực hành này:

  • Vá đã được triển khai: đảm bảo một bản sửa chữa thực thi danh sách trắng và sử dụng kiểm tra realpath/filepath được phát hành.
  • Thêm các bài kiểm tra đơn vị và tích hợp cho việc xử lý tệp và ranh giới điểm cuối REST.
  • Giới hạn các điểm cuối REST bị lộ và yêu cầu nonces khi thích hợp.
  • Tài liệu các quyền được khuyến nghị và mô hình mối đe dọa cho tính năng.
  • Củng cố các mặc định của plugin: người không phải quản trị viên không nên có quyền truy cập vào các API tệp/mẫu.
  • Giới thiệu các hook ghi log để ghi lại các lỗi xác thực tham số nhằm dễ dàng phát hiện hơn.

Danh sách kiểm tra cuối cùng cho các chủ sở hữu trang web (kế hoạch hành động một trang)

  1. Cập nhật EmailKit lên 1.6.4 hoặc phiên bản mới hơn — ưu tiên cao nhất.
  2. Nếu bạn không thể cập nhật ngay lập tức, hãy áp dụng các quy tắc WAF/máy chủ được cung cấp ở trên hoặc vô hiệu hóa/gỡ bỏ plugin.
  3. Kiểm tra các tài khoản quản trị; thực thi đặt lại mật khẩu và kích hoạt 2FA.
  4. Thay đổi thông tin xác thực (cơ sở dữ liệu, khóa API) nếu bạn nghi ngờ rằng các tệp có thể đã bị lộ.
  5. Quét trang web của bạn để tìm phần mềm độc hại và các thay đổi không được phép.
  6. Tìm kiếm nhật ký cho các mẫu nhắm mục tiêu /wp-json/emailkit/ và các chuỗi duyệt.
  7. Bảo tồn nhật ký và xem xét phản ứng sự cố chuyên nghiệp nếu bạn tìm thấy bằng chứng về việc khai thác.
  8. Đăng ký một giải pháp WAF/giám sát hoạt động (kế hoạch Cơ bản Miễn phí của chúng tôi cung cấp bảo vệ ngay lập tức) — https://my.wp-firewall.com/buy/wp-firewall-free-plan/
  9. Đối với các nhà phát triển: áp dụng làm sạch thông qua danh sách trắng, sử dụng kiểm tra realpath và thêm các bài kiểm tra để tránh các lỗi hồi quy.

Những suy nghĩ kết thúc từ Nhóm Bảo mật WP-Firewall

Các lỗ hổng vượt đường dẫn là một loại vấn đề cổ điển và dễ dàng ngăn chặn với xác thực và danh sách trắng đúng cách. Bởi vì lỗ hổng cụ thể này yêu cầu quyền quản trị viên, nhiều chủ sở hữu trang web có thể coi nó là ưu tiên thấp hơn — nhưng thực tế về các tài khoản quản trị viên bị xâm phạm và các cuộc tấn công chuỗi khiến việc phòng thủ nhiều lớp trở nên quan trọng.

Ngay lập tức cập nhật plugin. Nếu việc cập nhật bị trì hoãn, việc vá ảo thông qua WAF hoặc các quy tắc máy chủ nhắm mục tiêu sẽ giảm thiểu rủi ro của bạn trong khi bạn hoàn thành việc khắc phục. Sử dụng sự cố này như một lời nhắc: xem xét quyền truy cập của quản trị viên, kích hoạt 2FA và áp dụng thói quen cập nhật nhanh chóng và giám sát. Nếu bạn cần hỗ trợ về việc triển khai bộ quy tắc, phân tích nhật ký hoặc phản ứng sự cố, đội ngũ của chúng tôi sẵn sàng giúp bảo vệ các cài đặt WordPress của bạn.

Hãy giữ an toàn,
Nhóm bảo mật WP-Firewall

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™