Lỗ hổng Cross Site Scripting trong Plugin Webling//Xuất bản vào 2026-04-13//CVE-2026-1263

ĐỘI NGŨ BẢO MẬT WP-FIREWALL

Webling Vulnerability CVE-2026-1263

Tên plugin Webling
Loại lỗ hổng Tấn công Cross-Site Scripting
Số CVE CVE-2026-1263
Tính cấp bách Trung bình
Ngày xuất bản CVE 2026-04-13
URL nguồn CVE-2026-1263

Khẩn cấp: Lỗ hổng XSS lưu trữ cho người dùng đã xác thực trong Webling <= 3.9.0 — Những gì chủ sở hữu và nhà phát triển trang WordPress cần làm ngay bây giờ

Tác giả: Nhóm bảo mật WP‑Firewall

Ngày: 2026-04-14

Tóm tắt: Một lỗ hổng Cross-Site Scripting (XSS) lưu trữ (CVE-2026-1263) ảnh hưởng đến plugin WordPress Webling (các phiên bản <= 3.9.0) cho phép người dùng đã xác thực với quyền Subscriber tiêm các payload độc hại qua tham số ‘title’. Bài viết này giải thích về rủi ro, cách mà kẻ tấn công có thể khai thác nó, cách phát hiện nếu trang của bạn bị ảnh hưởng, các biện pháp giảm thiểu ngay lập tức (bao gồm các tùy chọn WAF / vá ảo), các sửa lỗi lập trình an toàn cho các nhà phát triển, các bước khắc phục và các khuyến nghị tăng cường lâu dài. Là nhà cung cấp WP‑Firewall, chúng tôi cũng giải thích cách mà các biện pháp bảo vệ của chúng tôi có thể giúp bạn ngay lập tức chặn các cuộc tấn công và giữ cho trang của bạn an toàn trong khi bạn vá lỗi.

Mục lục

  • Chuyện gì đã xảy ra? Tóm tắt kỹ thuật nhanh
  • Tại sao lỗ hổng này quan trọng (các rủi ro thực sự)
  • Ai đang gặp rủi ro và kẻ tấn công cần gì
  • Cách mà các chuỗi khai thác thường hoạt động đối với XSS lưu trữ trong các plugin
  • Hành động ngay lập tức cho chủ sở hữu và quản trị viên trang web
  • Cách mà Tường lửa Ứng dụng Web (WAF) / vá ảo có thể chặn khai thác
  • Khắc phục cho nhà phát triển: cách sửa plugin một cách chính xác
  • Kiểm tra trang của bạn để tìm dấu hiệu bị xâm phạm
  • Cấu hình an toàn và tăng cường lâu dài
  • Cách WP‑Firewall giúp bạn giảm thiểu rủi ro ngay bây giờ
  • Bắt đầu bảo vệ trang WordPress của bạn với WP‑Firewall (Kế hoạch miễn phí)
  • Phụ lục: các lệnh và mẫu mã an toàn (làm sạch, thoát, kiểm tra khả năng)

Chuyện gì đã xảy ra? Tóm tắt kỹ thuật nhanh

Một lỗ hổng Cross-Site Scripting (XSS) lưu trữ đã được báo cáo cho plugin WordPress Webling ảnh hưởng đến các phiên bản lên đến và bao gồm 3.9.0. Lỗi này cho phép một người dùng đã xác thực với quyền truy cập cấp Subscriber gửi một giá trị được chế tạo trong một tham số có tên tiêu đề. Bởi vì đầu vào đó đã được lưu và sau đó được hiển thị trong giao diện quản trị hoặc công khai mà không có sự làm sạch/thoát thích hợp, mã tiêm có thể được thực thi bởi người dùng khác hoặc bởi khách truy cập trang — tùy thuộc vào nơi nội dung được hiển thị.

Lỗ hổng này đã được gán CVE-2026-1263 và đã được vá trong phiên bản Webling 3.9.1. Lỗ hổng này được phân loại là mức độ nghiêm trọng trung bình (CVSS 6.5), nhưng điều quan trọng là phải coi trọng XSS lưu trữ vì tiềm năng lạm dụng rộng rãi của nó.

Tại sao lỗ hổng này quan trọng (các rủi ro thực sự)

XSS lưu trữ rất nguy hiểm vì dữ liệu được lưu trên trang có thể được kích hoạt bất cứ khi nào trang bị tấn công được truy cập. Các rủi ro chính bao gồm:

  • Đánh cắp cookie và chiếm đoạt phiên cho người dùng đã đăng nhập (khi các cờ bảo mật không được thiết lập), cho phép leo thang quyền hạn.
  • Các hành động không được ủy quyền thực hiện qua các luồng giống như CSRF nếu nạn nhân là một quản trị viên hoặc người dùng có quyền khác.
  • Phân phối các chuyển hướng độc hại, lời nhắc đăng nhập giả mạo, hoặc phần mềm độc hại tự động đến người truy cập trang web.
  • Thay đổi giao diện hoặc tiêm thư rác/thư rác SEO làm hỏng danh tiếng và thứ hạng tìm kiếm.
  • Sử dụng như một điểm pivot để thực hiện các cuộc tấn công sâu hơn vào máy chủ hoặc các hệ thống kết nối khác.

Mặc dù báo cáo cụ thể này yêu cầu một người dùng đã xác thực với quyền Subscriber để tiêm nội dung, nhiều trang WordPress cho phép đăng ký công khai hoặc có các tài khoản cũ — có nghĩa là các kẻ tấn công thường có thể tạo một tài khoản và kích hoạt lỗ hổng ở quy mô lớn.

Ai đang gặp rủi ro và kẻ tấn công cần gì

  • Plugin: Webling phiên bản <= 3.9.0
  • Phiên bản đã vá: 3.9.1
  • Quyền bắt buộc: Người đăng ký (đã xác thực)
  • Tương tác của người dùng: Việc tiêm yêu cầu kẻ tấn công (hoặc tài khoản subscriber do kẻ tấn công kiểm soát) phải gửi đầu vào được chế tạo đến tham số dễ bị tổn thương. Việc khai thác thành công yêu cầu các người dùng khác (hoặc quản trị viên) hoặc khách truy cập tải trang bị ảnh hưởng (tương tác của người dùng hoặc tải tự động).
  • Tác động: XSS lưu trữ — script do kẻ tấn công kiểm soát chạy trong ngữ cảnh của người truy cập hoặc người dùng trang web.

Bởi vì Subscriber là một vai trò có quyền hạn thấp, đây là một lỗ hổng thực tiễn cho việc khai thác hàng loạt: một kẻ tấn công chỉ cần đăng ký (hoặc có quyền truy cập vào) một tài khoản để duy trì một payload.

Cách mà các chuỗi khai thác thường hoạt động đối với XSS lưu trữ trong các plugin

Quy trình điển hình:

  1. Kẻ tấn công đăng ký hoặc sử dụng một tài khoản Subscriber hiện có.
  2. Kẻ tấn công tìm một điểm cuối (biểu mẫu hoặc AJAX) chấp nhận một tiêu đề tham số và gửi một chuỗi được chế tạo chứa một script hoặc payload.
  3. Plugin lưu trữ nội dung thô trong cơ sở dữ liệu mà không đủ quy trình làm sạch.
  4. Sau đó, khi một quản trị viên, biên tập viên, hoặc khách truy cập tải trang mà tiêu đề được hiển thị, trình duyệt thực thi script đã tiêm trong ngữ cảnh của trang web của bạn (cùng nguồn gốc).
  5. Script thực hiện các hành động trong trình duyệt của nạn nhân (đánh cắp cookie, gửi yêu cầu có quyền, tạo tài khoản quản trị mới thông qua các yêu cầu post sử dụng phiên của nạn nhân, v.v.).

Bởi vì nội dung độc hại được “lưu trữ,” mỗi khách truy cập tiếp theo có thể kích hoạt payload — làm cho nó có khả năng mở rộng cao.

Hành động ngay lập tức cho chủ sở hữu và quản trị viên trang web

Nếu bạn lưu trữ các trang chạy plugin Webling, hãy hành động ngay bây giờ. Theo dõi danh sách kiểm tra ưu tiên này:

  1. Cập nhật plugin
    • Nâng cấp Webling lên 3.9.1 hoặc phiên bản mới hơn. Đây là bản sửa lỗi thực sự duy nhất.
  2. Nếu bạn không thể cập nhật ngay bây giờ:
    • Tạm thời vô hiệu hóa plugin (nếu khả thi) cho đến khi bạn có thể nâng cấp.
    • Xóa hoặc hạn chế đăng ký công khai để ngăn chặn các tài khoản Người đăng ký mới.
    • Đặt đăng ký thành phê duyệt thủ công hoặc yêu cầu xác nhận email / CAPTCHA.
  3. Triển khai WAF/bản vá ảo (xem bên dưới) để chặn các payload độc hại trong tiêu đề các tham số và thân POST.
  4. Kiểm tra các bài viết/nhập liệu gần đây được tạo bởi các tài khoản Người đăng ký để tìm HTML đáng ngờ (<script, các trình xử lý sự kiện như khi nhấp chuột vào, javascript: URIs, <img src=x onerror=...).
    • Tìm kiếm cơ sở dữ liệu của bạn để phát hiện các mẫu đáng ngờ (các ví dụ trong Phụ lục).
  5. Thay đổi các khóa nhạy cảm và mật khẩu nếu phát hiện hoạt động đáng ngờ (tài khoản quản trị, FTP, cơ sở dữ liệu).
  6. Kiểm tra nhật ký truy cập và phiên người dùng để tìm hoạt động bất thường; buộc đăng xuất và đặt lại mật khẩu cho người dùng có hoạt động đáng ngờ.
  7. Quét trang web của bạn để tìm phần mềm độc hại và chuỗi chỉ báo bằng cách sử dụng một trình quét. Nếu bị nhiễm, thực hiện dọn dẹp hoàn toàn trước khi kích hoạt lại plugin.

Lưu ý: Cập nhật plugin lên phiên bản đã được vá (3.9.1+) nên là ưu tiên hàng đầu của bạn. Tuy nhiên, nếu bạn không thể vá ngay lập tức, hãy kết hợp các biện pháp tạm thời để giảm thiểu rủi ro.

Cách mà Tường lửa Ứng dụng Web (WAF) / vá ảo có thể chặn khai thác

Một WAF có thể hoạt động như một lớp giảm thiểu nhanh chóng trong khi bạn vá. Các chiến lược vá ảo hiệu quả cho vấn đề cụ thể này bao gồm:

  • Chặn các yêu cầu bao gồm các payload đáng ngờ trong tiêu đề tham số (POST/GET/AJAX). Các bộ lọc ví dụ:
    • Từ chối các payload chứa <script (không phân biệt chữ hoa chữ thường) hoặc các trình xử lý sự kiện inline phổ biến (đang tải =, khi nhấp chuột vào, onerror=).
    • Từ chối các payload chứa javascript: URIs trong thuộc tính hoặc thẻ liên kết.
    • Từ chối các payload với mẫu script đã mã hóa (script, imgonerror, v.v.).
  • Hạn chế các điểm cuối chấp nhận các tiêu đề tham số để chỉ cho phép các vai trò và người giới thiệu được truy cập vào chúng.
  • Thực thi kiểm tra loại nội dung và chặn nội dung không mong muốn (ví dụ: các điểm cuối API JSON đột ngột nhận tải trọng HTML).
  • Giới hạn tần suất và chặn các tài khoản mới đăng ký cố gắng gửi nội dung thường xuyên.

Ví dụ về các quy tắc WAF cấp cao (khái niệm - triển khai WAF của bạn có thể sử dụng cú pháp khác):

  • Chặn nếu thân yêu cầu hoặc bất kỳ tham số nào có tên tiêu đề khớp với regex không phân biệt chữ hoa chữ thường:
    • (?i)<\s*script\b
    • (?i)on(?:abort|blur|change|click|error|focus|load|mouseover|submit)\s*=
    • (?i)javascript\s*:
  • Chặn nếu các chuỗi kịch bản được mã hóa URL xuất hiện:
    • script
    • imgonerror

Quan trọng: Đừng chặn quá mức đến mức làm hỏng nội dung hợp pháp. Sử dụng các quy tắc theo lớp và kiểm tra ở chế độ giám sát/log trước khi chặn hoàn toàn nếu lưu lượng của bạn nhạy cảm.

Khách hàng WP‑Firewall: WAF được quản lý của chúng tôi cung cấp một quy tắc vá ảo nhắm mục tiêu cho mẫu chính xác này và sẽ chặn các tiêu đề gửi đi đáng ngờ, trong khi cho phép lưu lượng bình thường đi qua.

Khắc phục cho nhà phát triển: cách sửa plugin một cách chính xác

Nếu bạn duy trì plugin hoặc là nhà phát triển chịu trách nhiệm cho một chủ đề hoặc tích hợp tùy chỉnh sử dụng một tiêu đề tham số, hãy tuân theo các nguyên tắc lập trình an toàn này:

  1. Xác thực đầu vào theo ý định
    • tiêu đề nên là văn bản thuần túy: loại bỏ HTML và giới hạn độ dài.
    • Sử dụng vệ sinh trường văn bản() để loại bỏ thẻ và mã hóa các ký tự điều khiển.
  2. Thoát đầu ra khi hiển thị
    • Khi xuất tiêu đề, sử dụng esc_html() hoặc esc_attr() tùy thuộc vào ngữ cảnh để ngăn chặn việc hiển thị HTML thô.
    • Nếu bạn cố ý cho phép HTML hạn chế, hãy sử dụng wp_kses() với một danh sách cho phép nghiêm ngặt và giới hạn thuộc tính.
  3. Thực thi kiểm tra năng lực
    • Đảm bảo rằng chỉ những khả năng phù hợp mới có thể gửi hoặc lưu các trường sẽ được hiển thị công khai.
    • Ví dụ: sử dụng người dùng hiện tại có thể() và kiểm tra nonce cho các điểm cuối AJAX không phải quản trị viên.
  4. Sử dụng nonces và bảo vệ CSRF
    • Xác thực wp_verify_nonce() cho các biểu mẫu gửi và các trình xử lý AJAX.
  5. Lưu dữ liệu an toàn
    • Xóa mã độc hại ở phía máy chủ trước khi lưu vào DB. Giả sử DB là bền vững và dữ liệu có thể được hiển thị trong nhiều ngữ cảnh.
    • Ví dụ: không lưu HTML thô trừ khi cần thiết một cách rõ ràng và chỉ sau khi lọc danh sách cho phép nghiêm ngặt.
  6. Làm sạch khi lưu, thoát khi xuất
    • Cả hai đều cần thiết. Làm sạch khi nhập (lưu) và thoát khi xuất (hiển thị).

Các mẫu mã được khuyến nghị (ví dụ):


// Ví dụ: làm sạch và lưu tiêu đề trong trình xử lý lưu plugin;

Khi xuất ra:


$title = get_post_meta( $post_id, 'webling_title', true );

Nếu ứng dụng của bạn phải cho phép một số HTML nhất định (ví dụ, một số định dạng), hãy định nghĩa một danh sách cho phép chặt chẽ wp_kses() danh sách cho phép:


$allowed_tags = array(;

Đừng chỉ dựa vào việc làm sạch ở phía khách (JS) — luôn xác thực và làm sạch ở phía máy chủ.

Kiểm tra trang của bạn để tìm dấu hiệu bị xâm phạm

Nếu bạn chạy hoặc lưu trữ các trang sử dụng các phiên bản plugin dễ bị tổn thương, hãy tìm kiếm những chỉ báo này:

  • Các bài viết, bình luận mới, hoặc các mục cụ thể của plugin chứa <script hoặc thuộc tính nội tuyến đáng ngờ.
  • Các hàng cơ sở dữ liệu trong bảng tùy chỉnh hoặc postmeta bao gồm onerror=, javascript:, hoặc các dấu hiệu mã hóa.
  • Thông báo quản trị viên bất ngờ hoặc thay đổi giao diện người dùng.
  • Tài khoản quản trị viên mới được tạo ra một cách bất ngờ.
  • Anomalies lưu lượng: đỉnh, chuyển hướng, hoặc yêu cầu ra ngoài bất thường từ máy chủ của bạn.

Các truy vấn tìm kiếm an toàn cho MySQL (chạy từ quản trị viên hoặc với sự hỗ trợ của hosting):

  • Tìm kiếm tiêu đề bài viết: 
    SELECT ID, post_title FROM wp_posts WHERE post_title LIKE '%<script%' OR post_title LIKE '%onerror=%' OR post_title LIKE '%javascript:%';
  • Tìm kiếm postmeta: 
    SELECT meta_id, meta_key, meta_value FROM wp_postmeta WHERE meta_value LIKE '%<script%' OR meta_value LIKE '%onerror=%' OR meta_value LIKE '%javascript:%';

Nếu bạn tìm thấy các mục đáng ngờ:

  1. Xuất các hàng để xem xét pháp y ngoại tuyến.
  2. Xóa hoặc làm sạch các mục đáng ngờ (sau khi xuất).
  3. Thay đổi khóa, đặt lại mật khẩu quản trị viên và hết hạn các phiên đăng nhập (sử dụng “Hủy phiên” / đặt lại mật khẩu một cách cưỡng bức).
  4. Nếu bạn nghi ngờ rò rỉ dữ liệu khách hàng, hãy xem xét thông báo cho người dùng bị ảnh hưởng.

Nếu bạn không có khả năng nội bộ để điều tra, hãy thuê một dịch vụ bảo mật đáng tin cậy hoặc phản ứng sự cố của nhà cung cấp hosting của bạn để phân tích pháp y đầy đủ.

Cấu hình an toàn và tăng cường lâu dài

Ngoài việc vá lỗi ngay lập tức và quét, hãy thực hiện các bước dài hạn này:

  • Giới hạn vai trò tài khoản và đăng ký:
    • Vô hiệu hóa hoặc thắt chặt đăng ký mở; yêu cầu phê duyệt và reCAPTCHA.
    • Sử dụng các plugin hoặc chính sách hạn chế các vai trò nào có thể gửi nội dung hiển thị trong các ngữ cảnh công khai.
  • Quyền tối thiểu:
    • Thường xuyên kiểm tra vai trò người dùng và xóa các tài khoản không sử dụng.
  • Củng cố quyền truy cập tệp và ngăn máy chủ:
    • Đảm bảo đầu ra lỗi PHP bị vô hiệu hóa và các tệp nhạy cảm không thể đọc được bởi mọi người.
  • Thực thi HTTPS, cookie an toàn (cờ HttpOnly và Secure) và thuộc tính cookie cùng miền.
  • Triển khai các tiêu đề Chính sách Bảo mật Nội dung (CSP):
    • Một CSP được cấu hình đúng cách có thể giảm thiểu tác động của XSS bằng cách chặn các tập lệnh nội tuyến và chỉ cho phép các tập lệnh từ các nguồn đáng tin cậy.
  • Quét lỗ hổng thường xuyên và cập nhật tự động:
    • Giữ cho các plugin, chủ đề và lõi luôn được cập nhật; thử nghiệm các bản cập nhật trên môi trường staging trước.

Cách WP‑Firewall giúp bạn giảm thiểu rủi ro ngay bây giờ

Tại WP‑Firewall, sứ mệnh của chúng tôi là giảm thiểu thời gian bị xâm phạm và cho phép chủ sở hữu trang web có thời gian áp dụng các bản vá một cách an toàn. Đối với các vấn đề như XSS lưu trữ Webling, WP‑Firewall cung cấp:

  • Vá ảo nhanh chóng: các quy tắc WAF nhắm mục tiêu chặn các tiêu đề tải trọng độc hại và chặn các mẫu tập lệnh mã hóa trước khi chúng đến ứng dụng của bạn.
  • Kiểm tra yêu cầu trên các thân POST, chuỗi truy vấn và tải trọng JSON được sử dụng bởi các điểm cuối AJAX.
  • Bảo vệ dựa trên vai trò: phát hiện và hạn chế các gửi đi rủi ro từ các tài khoản có quyền hạn thấp và người dùng mới đăng ký.
  • Quét phần mềm độc hại và chỉ số: phát hiện các tải trọng lưu trữ trong nội dung cơ sở dữ liệu và cung cấp hướng dẫn khắc phục.
  • Tùy chọn quản lý: đối với khách hàng trên các gói quản lý, chúng tôi có thể triển khai các quy tắc và điều tra các dấu vết nghi ngờ theo yêu cầu.

Nếu bạn không thể cập nhật ngay lập tức, việc kích hoạt một bộ quy tắc WAF bảo vệ là một giải pháp tạm thời thực tế để ngăn chặn việc khai thác hàng loạt.

Bắt đầu bảo vệ trang WordPress của bạn với WP‑Firewall (Kế hoạch miễn phí)

Tiêu đề: Thử WP‑Firewall Miễn phí — Bảo vệ Cần thiết Trong Khi Bạn Vá

Nếu bạn cần bảo vệ nhanh chóng, đáng tin cậy trong khi cập nhật các plugin và dọn dẹp trang web của mình, hãy bắt đầu với gói Cơ bản (Miễn phí) của WP‑Firewall. Nó cung cấp các biện pháp bảo vệ cần thiết như tường lửa quản lý, băng thông không giới hạn, WAF mạnh mẽ, quét phần mềm độc hại và các quy tắc giảm thiểu rủi ro OWASP Top 10 — mọi thứ bạn cần để giảm thiểu rủi ro khai thác ngay lập tức mà không tốn chi phí trước. Đăng ký gói miễn phí và kích hoạt vá ảo ngay bây giờ: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Nếu bạn muốn có thêm các tính năng khắc phục tự động, hãy xem xét nâng cấp lên gói Standard hoặc Pro để tự động xóa phần mềm độc hại, kiểm soát danh sách đen/trắng IP, vá ảo tự động, báo cáo hàng tháng và dịch vụ quản lý nâng cao.)

Phụ lục: các lệnh và mẫu mã an toàn

Dưới đây là các truy vấn an toàn, phòng thủ và mã ví dụ mà bạn có thể sử dụng trên cơ sở quản trị, ngoại tuyến để kiểm tra và khắc phục. Luôn sao lưu DB của bạn trước khi chạy cập nhật/xóa; thực hiện thay đổi trong môi trường staging nếu có thể.

Ví dụ tìm kiếm cơ sở dữ liệu (SELECT chỉ đọc):

-- Tìm kiếm các thẻ script đáng ngờ trong các bài viết;

Ví dụ về làm sạch và thoát PHP (các mẫu an toàn):

// Làm sạch tiêu đề văn bản trước khi lưu;

Danh sách kiểm tra cấu hình:

  • Cập nhật Webling lên >= 3.9.1
  • Áp dụng các quy tắc WAF cho các payload đáng ngờ trong tiêu đề
  • Vô hiệu hóa đăng ký không đáng tin cậy hoặc thêm phê duyệt thủ công
  • Thực thi mật khẩu mạnh và 2FA cho biên tập viên/quản trị viên
  • Chạy quét malware và tìm kiếm DB cho nội dung đáng ngờ

Lời cuối — tại sao việc vá lỗi kịp thời lại quan trọng

Các lỗ hổng XSS lưu trữ thường bị khai thác bởi các chiến dịch tự động. Mặc dù báo cáo cụ thể này yêu cầu một tài khoản có quyền hạn thấp, nhưng kẻ tấn công có nhiều cách để có được những tài khoản như vậy. Vá lỗi nhanh chóng là phản ứng an toàn nhất. Khi việc vá lỗi ngay lập tức không khả thi, các biện pháp kiểm soát nhiều lớp (WAF/vá ảo + tăng cường đầu vào + kiểm soát đăng ký + quét) giảm thiểu rủi ro một cách đáng kể.

Nếu bạn cần giúp đỡ trong việc triển khai các biện pháp bảo vệ hoặc muốn chúng tôi xem xét trang web của bạn và thiết lập vá ảo trong khi bạn cập nhật các plugin, các chuyên gia bảo mật WP‑Firewall của chúng tôi sẵn sàng giúp đỡ. Đăng ký gói miễn phí để nhận được các biện pháp bảo vệ thiết yếu ngay lập tức: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Hãy giữ an toàn, và tiếp tục coi việc cập nhật plugin và nội dung do người dùng tạo là những rủi ro ưu tiên cao — những thay đổi đơn giản trong cách dữ liệu được xác thực và xuất ra có thể ngăn chặn toàn bộ các loại tấn công.

— Nhóm bảo mật WP‑Firewall

wordpress security update banner

Nhận WP Security Weekly miễn phí 👋
Đăng ký ngay!!

Đăng ký để nhận Bản cập nhật bảo mật WordPress trong hộp thư đến của bạn hàng tuần.

Chúng tôi không spam! Đọc của chúng tôi chính sách bảo mật để biết thêm thông tin.

Liên hệ với chúng tôi để lên lịch tư vấn bảo mật WordPress miễn phí

Liên hệ với chúng tôi

Tường lửa WP
Tầng 6, The Rays, 71 Đường Hung To, Kwun Tong, Cửu Long, Hồng Kông

Đặc trưng Giá cả Blog Đăng nhập
Chính sách bảo mật Điều khoản dịch vụ Tài liệu Liên kết

© 2026 WP-Firewall™