Ngăn chặn Cross Site Scripting trong Post Flagger//Xuất bản vào 2026-03-23//CVE-2026-1854

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

Post Flagger CVE-2026-1854

Tên plugin Cờ Bài Đăng
Loại lỗ hổng Tấn công xuyên trang web (XSS)
Số CVE CVE-2026-1854
Tính cấp bách Thấp
Ngày xuất bản CVE 2026-03-23
URL nguồn CVE-2026-1854

Lỗ hổng XSS lưu trữ của Người đóng góp đã xác thực trong Cờ Bài Đăng (<=1.1): Rủi ro, Phát hiện và Giảm thiểu Nhanh chóng

Một lỗ hổng vừa được công bố gần đây ảnh hưởng đến plugin WordPress Cờ Bài Đăng (các phiên bản <= 1.1): một người đóng góp đã xác thực có thể tạo và lưu trữ một payload độc hại trong thuộc tính “slug” của shortcode của plugin, mà sau này sẽ được hiển thị và thực thi trong ngữ cảnh của trình duyệt của người truy cập hoặc quản trị viên (Cross‑Site Scripting lưu trữ / XSS). Vấn đề này đã được gán CVE‑2026‑1854 và mang một đánh giá tương tự CVSS trong báo cáo công khai (6.5), chủ yếu vì đây là một XSS lưu trữ với các con đường khai thác hạn chế nhưng thực sự và yêu cầu tương tác của người dùng.

Là đội ngũ đứng sau WP‑Firewall, chúng tôi đánh giá, phân loại và phản hồi các loại lỗ hổng plugin này mỗi tuần. Dưới đây bạn sẽ tìm thấy một phân tích thực tiễn, thân thiện với nhà phát triển và hướng đến hoạt động: vấn đề là gì, cách mà kẻ tấn công có thể lạm dụng nó, cách bạn có thể phát hiện xem trang web của bạn có bị ảnh hưởng hay không, và các bước cụ thể để giảm thiểu — cả ngay lập tức và vĩnh viễn. Nếu bạn chịu trách nhiệm cho một hoặc nhiều trang WordPress, hãy đánh dấu hướng dẫn này.

Tóm tắt ngắn gọn (điều gì đã xảy ra)

  • Plugin: Cờ Bài Đăng (plugin WordPress)
  • Các phiên bản bị ảnh hưởng: <= 1.1
  • Lỗ hổng: Cross‑Site Scripting lưu trữ (XSS) qua thuộc tính shortcode slug
  • Quyền hạn yêu cầu: Người đóng góp đã xác thực (hoặc cao hơn)
  • Tác động: XSS lưu trữ thực thi trong trình duyệt khi được hiển thị (người truy cập hoặc người dùng có quyền cao hơn có thể bị nhắm đến). Có thể được sử dụng để đánh cắp phiên, làm giả mạo vĩnh viễn, hoặc kỹ thuật xã hội chống lại các quản trị viên.
  • CVE: CVE‑2026‑1854
  • Hành động ngay lập tức: Cập nhật plugin khi có phiên bản đã được vá. Nếu bạn không thể cập nhật, hãy áp dụng các biện pháp giảm thiểu ngắn hạn (được chi tiết dưới đây).

Tại sao XSS lưu trữ lại quan trọng trong WordPress

XSS lưu trữ rất nguy hiểm vì payload độc hại được lưu trên máy chủ (trong cơ sở dữ liệu, nội dung bài đăng, hoặc meta plugin) và được phục vụ cho người dùng khác sau này. Các trang WordPress là mục tiêu có giá trị cao vì có nhiều loại người dùng (quản trị viên, biên tập viên, người đóng góp, người đăng ký). Ngay cả khi một lỗ hổng yêu cầu tài khoản người đóng góp để đặt payload, đó không phải là yêu cầu nhỏ: nhiều trang chấp nhận đóng góp từ các tác giả, nhà văn khách, và trợ lý biên tập — các tài khoản có thể có vai trò Người đóng góp.

Kẻ tấn công lợi dụng XSS lưu trữ để:

  • Đánh cắp cookie hoặc token xác thực từ người dùng có quyền (đánh cắp phiên).
  • Thực hiện các hành động trong ngữ cảnh của một quản trị viên (chuỗi kiểu CSRF).
  • Cài đặt backdoor (bằng cách thuyết phục một quản trị viên nhấp vào một cái gì đó).
  • Tiêm spam hoặc JavaScript độc hại kéo dài ảnh hưởng đến các công cụ tìm kiếm / người truy cập.

Bởi vì shortcode là một cơ chế hiển thị thường xuất HTML hoặc JS, các thuộc tính shortcode không đáng tin cậy là một nguồn rủi ro phổ biến khi chúng không được làm sạch trước khi xuất.

Chi tiết kỹ thuật (cấp cao, có trách nhiệm)

Cốt lõi của vấn đề là một shortcode được thực hiện bởi plugin Post Flagger chấp nhận một slug thuộc tính không được làm sạch hoặc thoát đúng cách khi xuất ra. Một kẻ tấn công có tài khoản người đóng góp có thể tạo hoặc chỉnh sửa nội dung (ví dụ: một bài viết, một bình luận, hoặc bất kỳ đâu mà shortcode đó có thể được chèn vào), và bao gồm một slug thuộc tính được chế tạo chứa HTML/JS. Khi shortcode đó được hiển thị sau này (ví dụ trong bản xem trước của quản trị viên, trang phía trước, hoặc widget), payload được xuất ra vào trang mà không có mã hóa đủ và thực thi trong trình duyệt của nạn nhân.

Chuỗi lỗ hổng điển hình:

  1. Người đóng góp tạo nội dung với một shortcode như:
    [post_flagger slug=""]
  2. Plugin lưu trữ thuộc tính shortcode (hoặc giá trị được suy ra) trong cơ sở dữ liệu mà không làm sạch cho HTML/JS.
  3. Khi nội dung được hiển thị, plugin phát ra thuộc tính slug vào HTML mà không thoát (hoặc cho phép HTML thông qua wp_kses không chính xác).
  4. Trình duyệt diễn giải JS được chèn và thực thi nó trong nguồn gốc của trang web.

Lưu ý: Tệp, chức năng và số dòng chính xác sẽ thay đổi theo phiên bản plugin. Vấn đề xuất phát từ việc làm sạch đầu vào không đủ và/hoặc mã hóa đầu ra không an toàn.

Kịch bản khai thác (thực tế)

  • Kịch bản A: Người đóng góp đặt payload trong một bài viết; một Biên tập viên hoặc Quản trị viên mở bài viết trong trình chỉnh sửa quản trị hoặc bản xem trước và script đã lưu thực thi trong trình duyệt của họ. Từ đó, kẻ tấn công có thể cố gắng lấy cắp cookie xác thực hoặc thực hiện các hành động sử dụng phiên của quản trị viên.
  • Kịch bản B: Người đóng góp đặt payload trong nội dung mà khách truy cập trang web có thể nhìn thấy. Khi khách truy cập duyệt trang, script thực thi và có thể lặng lẽ chuyển hướng, hiển thị nội dung độc hại, hoặc cố gắng nhận dạng khách truy cập.
  • Kịch bản C: Payload được sử dụng cho kỹ thuật xã hội: hiển thị một thông báo hoặc modal quản trị giả để lừa người dùng có quyền nhấp vào một hành động (ví dụ: “Nhấp để phê duyệt” kích hoạt một hoạt động tốn kém hoặc phá hoại).

Việc khai thác yêu cầu một kẻ tấn công tạo hoặc chỉnh sửa nội dung (Người đóng góp), và thường cũng phụ thuộc vào một người dùng khác xem trang bị nhiễm hoặc mở một bản xem trước. XSS lưu trữ thường được vũ khí hóa trong các cuộc tấn công nhiều bước.

Cách kiểm tra xem trang web của bạn có dễ bị tổn thương hoặc đã bị xâm phạm hay không

  1. Xác định xem Post Flagger có được cài đặt và hoạt động hay không:
    • Trong WP Admin → Plugins, kiểm tra tên và phiên bản plugin.
  2. Tìm kiếm bài viết, đoạn trích và siêu dữ liệu cho việc sử dụng shortcode đáng ngờ:
    • Sử dụng cơ sở dữ liệu: tìm kiếm “[post_flagger” hoặc tên shortcode.
    • Ví dụ WP‑CLI: 
      wp search-replace '\[post_flagger' '\[post_flagger' --all-tables --precise --include-columns=post_content

      Hoặc một danh sách chỉ đọc an toàn hơn:

      wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[post_flagger%';"
  3. Kiểm tra slug thuộc tính nội dung cho thẻ HTML hoặc trình xử lý sự kiện:
    • Tìm kiếm 7., <img onerror=, <svg onload=, javascript:, </, hoặc dấu ngoặc nhọn.
  4. Kiểm tra các phiên bản cho các bài viết được tạo/sửa đổi bởi tài khoản người đóng góp gần đây.
  5. Xem xét nhật ký truy cập và đăng nhập quản trị viên xung quanh thời điểm khi các bài viết có thể đáng ngờ được xuất bản/xem trước.
  6. Thực hiện quét bảo mật toàn bộ trang web (máy quét phần mềm độc hại, máy quét XSS) để phát hiện các script đã được chèn.

Nếu bạn tìm thấy các mục đáng ngờ, hãy coi chúng là có thể độc hại và làm theo các bước phản ứng sự cố bên dưới.

Các biện pháp giảm thiểu ngay lập tức (những gì cần làm ngay bây giờ)

Nếu bạn quản lý một trang web với Post Flagger <= 1.1 đang hoạt động, hãy làm ngay những điều sau:

  1. Cập nhật plugin nếu có phiên bản đã được vá.
  2. Nếu không có bản vá nào có sẵn hoặc bạn không thể cập nhật một cách an toàn:
    • Ngay lập tức vô hiệu hóa plugin.
    • Hoặc tạm thời loại bỏ trình xử lý shortcode để các shortcode đã lưu sẽ không được hiển thị: 
      // Thêm vào functions.php của chủ đề của bạn hoặc một mu-plugin nhỏ;
  3. Hạn chế quyền hạn của Người đóng góp và Tác giả:
    • Tạm thời thúc đẩy việc xem xét thủ công các bài viết của người đóng góp trước khi cho phép xem trước.
    • Hoặc tạm thời vô hiệu hóa khả năng xem trước giao diện người dùng bằng cách sử dụng plugin vai trò/capability hoặc mã.
  4. Chặn hoặc lọc đầu vào độc hại bằng Tường lửa Ứng dụng Web (WAF):
    • Thêm một quy tắc để chặn slug các thuộc tính chứa <, >, javascript:, hoặc on\w+=.
    • Ví dụ quy tắc giống như ModSecurity (khái niệm): 
      SecRule REQUEST_BODY "@rx \[post_flagger.*slug=.*(|javascript:|on[a-z]+=)" \"
    • Nếu bạn chạy một WAF được quản lý, hãy yêu cầu nhà cung cấp của bạn vá ảo quy tắc cho trang web của bạn.
  5. Quét cơ sở dữ liệu và loại bỏ các mục nghi ngờ:
    • Tìm kiếm shortcode và kiểm tra slug các thuộc tính. Nếu độc hại, hãy loại bỏ hoặc làm sạch chúng.
    • Đảm bảo bạn có bản sao lưu trước khi sửa đổi nội dung cơ sở dữ liệu.
  6. Thay đổi mật khẩu và vô hiệu hóa phiên của người dùng quản trị/biên tập viên mà bạn nghi ngờ có thể đã bị lộ.
  7. Đưa trang web vào chế độ bảo trì nếu bạn nghi ngờ có khai thác đang diễn ra trong khi khắc phục.

Những hành động này giảm thiểu rủi ro bị xâm phạm thêm trong khi bạn thực hiện một giải pháp lâu dài hơn.

Các giải pháp vĩnh viễn được khuyến nghị (dành cho chủ sở hữu trang web và tác giả plugin)

Chủ sở hữu trang web:

  • Giữ cho các plugin được cập nhật và xóa các plugin không sử dụng.
  • Thực thi nguyên tắc quyền tối thiểu: giới hạn tài khoản người đóng góp, áp dụng xác thực hai yếu tố cho biên tập viên/quản trị viên.
  • Sử dụng WAF với vá ảo nếu bản vá plugin bị trì hoãn.

Tác giả plugin (danh sách kiểm tra cho nhà phát triển):

  1. Làm sạch đầu vào càng sớm càng tốt. 
    $slug = isset($atts['slug']) ? sanitize_text_field($atts['slug']) : '';
  2. Xác thực theo các mẫu mong đợi. Nếu slug chỉ nên là ký tự chữ và số, hãy xác thực với danh sách trắng: 
    if ( ! preg_match('/^[a-z0-9-]+$/', $slug) ) {
  3. Thoát khi xuất:
    • Khi xuất ra thuộc tính HTML: 
      echo esc_attr( $slug );
    • Đối với đầu ra khu vực nội dung: 
      echo esc_html( $safe_text );
  4. Tránh việc xuất trực tiếp đầu vào của người dùng. Sử dụng wp_kses() hoặc các danh sách cho phép HTML được kiểm soát khác chỉ khi cần thiết.
  5. Đảm bảo rằng các shortcode không được gọi trong các ngữ cảnh không an toàn mà không có kiểm tra quyền truy cập hoặc làm sạch.
  6. Kiểm tra đơn vị xử lý shortcode với các vectơ đầu vào độc hại (thuộc tính chứa thẻ, trình xử lý sự kiện, javascript: URIs).
  7. Trong quá trình kết xuất, luôn xem xét ngữ cảnh: thuộc tính, thân HTML, chuỗi JS, URL — sử dụng hàm thoát đúng.

Việc tuân theo những quy tắc này sẽ đóng lại lớp lỗ hổng dẫn đến XSS được mô tả ở đây.

Chữ ký phát hiện và kiểm tra nhật ký (mẫu tìm kiếm thực tế)

Khi tìm kiếm XSS đã lưu trữ trong một trang WordPress, các hiện vật hữu ích bao gồm:

  • Các truy vấn cơ sở dữ liệu:
    • Tìm kiếm wp_posts.post_contentwp_postmeta.meta_value: 
      SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%[post_flagger%';
  • Tìm kiếm các thẻ HTML bên trong thuộc tính shortcode:
    • Các chỉ báo Regex: <script, onerror=, đang tải =, javascript:, <svg, <img, </script>.
  • Nhật ký máy chủ web:
    • Tìm kiếm các yêu cầu POST bất thường từ các tài khoản đóng góp bao gồm các tải trọng đáng ngờ.
  • Lỗi trong bảng điều khiển trình duyệt và các script nội tuyến được chèn từ miền của bạn.
  • Nhật ký WAF:
    • Các yêu cầu bị chặn chứa < hoặc on\w+= trong các trường biểu mẫu ánh xạ đến slug thuộc tính shortcode.

Thu thập và bảo tồn bằng chứng nếu bạn nghi ngờ có sự khai thác.

Các mẫu WAF/Virtual patch được đề xuất (các quy tắc ví dụ)

Nếu bạn vận hành hoặc kiểm soát một WAF, vá ảo có thể là cứu cánh cho đến khi có bản cập nhật plugin. Ý tưởng chính: chặn hoặc làm sạch các payload chứa HTML/JS khi chúng được sử dụng trong slug thuộc tính.

Các quy tắc khái niệm ví dụ (không dán các quy tắc chưa được kiểm tra trực tiếp vào môi trường sản xuất — điều chỉnh cho nền tảng của bạn):

  1. Chặn các ký tự nghi ngờ trong tham số ‘slug’ (quy tắc giả chung): 
    nếu request_body chứa "[post_flagger" VÀ request_body khớp với "slug=.*(|javascript:|on[a-z]+=)" thì chặn
  2. Loại bỏ dấu ngoặc nhọn khỏi các giá trị slug:
    • Hành động: làm sạch body yêu cầu bằng cách thay thế <> TRONG slug các giá trị bằng các tương đương mã hóa URL (hoặc từ chối yêu cầu).
  3. Chuẩn hóa và thực thi mẫu được phép:
    • Nếu slug không khớp với /^[a-z0-9-]+$/i thì ghi lại và chặn.

Ghi chú:

  • Các quy tắc WAF nên được nhắm mục tiêu và kiểm tra để tránh các trường hợp dương tính giả.
  • Sử dụng WAF để trả về mã 403 với thông điệp hữu ích cho các biên tập viên trang web (ví dụ: “Gửi của bạn chứa các ký tự không hợp lệ và đã bị chặn để xem xét bảo mật”).

Trung hòa shortcode trên trang của bạn (ví dụ mu-plugin)

Nếu bạn không thể cập nhật plugin một cách an toàn, trung hòa shortcode để ngăn chặn việc hiển thị:

  1. Tạo một tệp mu-plugin: wp-content/mu-plugins/neutralize-postflagger.php
  2. Nội dung: 
    <?php;
  3. Điều này ngăn chặn việc hiển thị XSS đã lưu trong các trang trong khi vẫn giữ nội dung DB để xử lý sau.

Danh sách kiểm tra phản ứng sự cố (nếu bạn phát hiện hoạt động tấn công)

  1. Đưa trang web vào chế độ bảo trì (một cách ngắn gọn) nếu có khai thác trực tiếp đang diễn ra.
  2. Lấy một bức ảnh/chụp lại trang web và DB để phân tích pháp y.
  3. Xác định và cách ly các bài viết hoặc mục postmeta độc hại.
  4. Trung hòa việc hiển thị (xem mu-plugin ở trên) và áp dụng các quy tắc WAF để chặn các gửi tiếp theo.
  5. Xóa hoặc xử lý các tải trọng độc hại đã lưu (thực hiện thay đổi một cách an toàn, có thể kiểm tra).
  6. Đổi mật khẩu cho tất cả các tài khoản quản trị/biên tập viên, xóa các tài khoản người dùng không xác định và buộc đặt lại mật khẩu cho tất cả người dùng có quyền cao.
  7. Vô hiệu hóa các phiên và mã thông báo (ví dụ: thay đổi muối trong wp-config.php nếu bạn nghi ngờ bị đánh cắp cookie).
  8. Quét các tệp trang web để tìm webshells, các tác vụ đã lên lịch không mong đợi (các mục cron), hoặc các tệp lõi đã bị sửa đổi.
  9. Giám sát nhật ký để phát hiện các nỗ lực rò rỉ hoặc kết nối ra ngoài đáng ngờ từ trang web.
  10. Sau khi dọn dẹp, kích hoạt lại hoạt động bình thường và ghi lại sự cố cũng như các bước khắc phục.
  11. Xem xét một cuộc kiểm toán bảo mật hoặc đánh giá chuyên nghiệp nếu trang web lưu trữ dữ liệu người dùng nhạy cảm.

Khuyến nghị thắt chặt để giảm thiểu rủi ro trong tương lai

  • Giảm thiểu các plugin và xóa bất kỳ plugin nào không sử dụng; mỗi plugin đều làm tăng bề mặt tấn công.
  • Hạn chế ai có thể cài đặt hoặc kích hoạt các plugin (chỉ chủ sở hữu trang web).
  • Áp dụng 2FA cho tất cả tài khoản quản trị viên và biên tập viên.
  • Giữ các bản sao lưu thường xuyên và xác minh quy trình khôi phục.
  • Sử dụng WAF chủ động cung cấp vá ảo cũng như các bộ lọc tùy chỉnh.
  • Chạy quét bảo mật tự động định kỳ và xem xét thủ công cho các bản cập nhật plugin có rủi ro cao.
  • Áp dụng môi trường staging/test cho các bản cập nhật plugin; kiểm tra các sự cố bảo mật.

Hướng dẫn cho nhà phát triển: mẫu shortcode an toàn

Nếu bạn xây dựng shortcodes, hãy làm theo mẫu này:

  • Mong đợi đầu vào không đáng tin cậy. Làm sạch và xác thực sớm.
  • Quyết định tập hợp ký tự cho các thuộc tính. Đối với slugs: chỉ cho phép chữ cái, số, dấu gạch ngang.
  • Sử dụng các hàm làm sạch của WordPress:
    • Đầu vào: vệ sinh trường văn bản(), sanitize_title()
    • Đầu ra: esc_attr(), esc_html(), wp_kses_post() (chỉ khi bạn cho phép HTML một cách rõ ràng)
  • Ví dụ về trình xử lý an toàn tối thiểu: 
    function my_plugin_post_flagger_shortcode($atts) {'<div class="post-flagger" data-slug="' . esc_attr( $slug ) . '"></div>';

Cách WP‑Firewall giúp (quan điểm bảo mật của chúng tôi)

Là một nhà cung cấp dịch vụ tường lửa và bảo mật WordPress, cách tiếp cận của chúng tôi đối với các lỗ hổng như thế này bao gồm:

  • Giám sát liên tục các thông báo lỗ hổng công khai (CVE, nghiên cứu bảo mật).
  • Tạo và triển khai nhanh chóng các quy tắc WAF vá ảo nhắm vào vector tấn công (mẫu tiêm thuộc tính shortcode).
  • Quy tắc quét và phát hiện trang web để tìm các payload đã lưu trữ và các trường hợp shortcode đáng ngờ.
  • Hướng dẫn phản ứng sự cố được quản lý và các mẫu giảm thiểu tự động (mu‑plugins, rulesets) mà khách hàng có thể áp dụng ngay lập tức.
  • Các khuyến nghị tăng cường trang web liên tục và hướng dẫn vai trò/capability để giảm khả năng xảy ra các cuộc tấn công tương tự.

Nếu bạn dựa vào nội dung đóng góp hoặc cho phép nhiều biên tập viên/đóng góp viên không đáng tin cậy, chúng tôi khuyên bạn nên bảo vệ theo lớp: tăng cường cấp độ máy chủ + một WAF ứng dụng + quét định kỳ.

Bắt đầu với các biện pháp phòng thủ mạnh mẽ hơn: Thử kế hoạch miễn phí WP‑Firewall

Chúng tôi muốn làm cho mọi chủ sở hữu trang web WordPress dễ dàng nhận được bảo vệ cơ bản ngay lập tức. WP‑Firewall cung cấp một kế hoạch Cơ bản miễn phí bao gồm các biện pháp bảo vệ thiết yếu: một tường lửa được quản lý, băng thông không giới hạn, một Tường lửa Ứng dụng Web (WAF), một trình quét phần mềm độc hại, và giảm thiểu cho 10 rủi ro hàng đầu của OWASP. Nếu bạn muốn bảo vệ đơn giản, ngay lập tức và khả năng thêm vá ảo và quét mà không cần thay đổi mã hoặc chờ đợi các bản cập nhật plugin, hãy thử kế hoạch miễn phí hôm nay:

Bắt đầu với gói WP‑Firewall Basic (Miễn phí)

Đối với các nhóm và cơ quan, chúng tôi cũng cung cấp các gói Standard và Pro với giá cả phải chăng, bao gồm loại bỏ phần mềm độc hại tự động, danh sách cho phép/cấm IP, báo cáo bảo mật hàng tháng và vá lỗi ảo tự động để giữ cho các trang web của bạn được bảo vệ ngay cả khi các plugin bên thứ ba có lỗ hổng chưa được vá.

Ghi chú cuối cùng và các bước tiếp theo được khuyến nghị

  1. Ngay lập tức đánh giá xem Post Flagger đã được cài đặt hay chưa và bạn đang chạy phiên bản nào.
  2. Ưu tiên khắc phục: cập nhật nếu có thể; nếu không, trung hòa việc hiển thị và áp dụng các quy tắc WAF.
  3. Tìm kiếm trong cơ sở dữ liệu của bạn các trường hợp đã lưu của shortcode và xóa hoặc làm sạch các mục nghi ngờ.
  4. Củng cố quy trình làm việc của người đóng góp: yêu cầu xem xét biên tập, tạm thời xóa khả năng xem trước khi cần thiết và áp dụng 2FA cho người dùng có quyền cao hơn.
  5. Cân nhắc thêm dịch vụ WAF/ vá lỗi ảo chủ động và một lịch trình quét định kỳ.

WordPress sẽ luôn là mục tiêu vì sự phổ biến của nó; các plugin làm tăng rủi ro đó khi chúng không được viết một cách phòng thủ. XSS đã lưu có thể tránh được với một vài bước vệ sinh đơn giản của nhà phát triển và có thể được kiểm soát nhanh chóng với các quy trình hoạt động có thể bảo vệ và một WAF tốt. Nếu bạn cần giúp đỡ trong việc phân loại một trang web cụ thể hoặc muốn các quy tắc giảm thiểu được tùy chỉnh, đội ngũ WP‑Firewall của chúng tôi có thể hỗ trợ với việc vá lỗi ảo nhanh chóng và hướng dẫn dọn dẹp.

Giữ an toàn, và coi các shortcode và thuộc tính plugin là đầu vào không đáng tin cậy cho đến khi được chứng minh ngược lại — làm sạch sớm và thoát muộn.

Nếu bạn muốn một danh sách kiểm tra ngắn gọn, có thể in để giữ với đội ngũ quản trị của bạn, hãy trả lời để nhận phiên bản PDF rút gọn với các lệnh từng bước và các quy tắc WAF phù hợp với ngăn xếp lưu trữ của bạn.

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™