شرح ثغرة XSS في Gravity Forms//نُشر في 2026-03-12//CVE-2026-3492

فريق أمان جدار الحماية WP

Gravity Forms Stored XSS CVE-2026-3492

اسم البرنامج الإضافي نماذج الجاذبية
نوع الضعف البرمجة النصية عبر المواقع (XSS)
رقم CVE CVE-2026-3492
الاستعجال واسطة
تاريخ نشر CVE 2026-03-12
رابط المصدر CVE-2026-3492

ثغرة XSS المخزنة في Gravity Forms (CVE-2026-3492): ما يجب على مالكي مواقع ووردبريس فعله الآن

تم الكشف عن ثغرة XSS المخزنة في إصدارات Gravity Forms حتى 2.9.28 (تم تصحيحها في 2.9.29). تتيح المشكلة لحساب موثق منخفض الامتياز (مشترك أو ما شابه) حقن JavaScript في عنوان نموذج قد يتم تخزينه وتنفيذه لاحقًا عند مشاهدته من قبل مستخدمين آخرين، بما في ذلك المستخدمين الذين لديهم امتيازات أعلى. تم تخصيص الثغرة CVE-2026-3492 ومنحها درجة CVSS أساسية تبلغ 6.5 (متوسطة). على الرغم من أنها ليست المشكلة الأكثر خطورة، إلا أنها عملية وقابلة للاستغلال في العديد من نشرات ووردبريس في العالم الحقيقي - وهذا هو السبب في أن مالكي مواقع ووردبريس والمديرين بحاجة إلى اتخاذ إجراء على الفور.

يشرح هذا المنشور:

  • ما هي هذه الثغرة وكيف هي خطيرة
  • السيناريوهات المحتملة للاستغلال والأثر
  • التخفيفات الفورية وتقنيات الكشف
  • كيف يمكن لحل WAF المدارة / التصحيح الافتراضي (WP-Firewall) أن يحميك الآن
  • قائمة مراجعة خطوة بخطوة للاستجابة للحوادث والتعافي إذا كنت تعتقد أنك تعرضت للاختراق
  • تعزيز طويل الأجل وأفضل الممارسات

تابع القراءة للحصول على إرشادات عملية، غير نظرية يمكنك تنفيذها اليوم.

ملخص سريع (لأصحاب المواقع الذين لديهم وقت محدود)

  • وهن: XSS المخزنة في Gravity Forms (معالجة عنوان النموذج).
  • الإصدارات المتأثرة: Gravity Forms <= 2.9.28 (تم تصحيحها في 2.9.29).
  • الامتياز المطلوب: مشترك موثق (أدنى دور موثق شائع).
  • تأثير: XSS المخزنة - نص برمجي مخزن في قاعدة البيانات ويتم تنفيذه عندما يشاهد مستخدم آخر النموذج (قد يؤدي إلى سرقة الجلسات، التصيد، إجراءات إدارية خبيثة، أو التحويل).
  • العجلة: مرتفعة للمواقع التي تسمح لمستخدمي مستوى المشترك بإنشاء أو تعديل النماذج، أو إذا كان بإمكان المستخدمين غير الموثوق بهم إنشاء محتوى يتم عرضه لاحقًا في واجهة الإدارة أو الواجهة العامة.
  • الإجراءات الفورية: تحديث Gravity Forms إلى 2.9.29+، أو إذا لم تتمكن من التصحيح على الفور، تطبيق قواعد WAF / التصحيح الافتراضي، تقييد حقوق إنشاء/تعديل النماذج، تدقيق النماذج وحسابات المستخدمين، تفعيل المصادقة الثنائية.
  • توصية WP-Firewall: استخدم جدار حماية مدارة / تصحيح افتراضي للتخفيف من الهجمات أثناء تحديثك واتباع قائمة مراجعة التعافي أدناه.

ملخص تقني (غير استغلالي)

تحدث ثغرات XSS المخزنة عندما يتم تخزين البيانات المقدمة من قبل المهاجم بواسطة التطبيق دون تطهير أو ترميز مناسب، ثم يتم تضمينها لاحقًا في صفحة في سياق يسمح بتنفيذ JavaScript (على سبيل المثال، سمة عنوان HTML أو منطقة المحتوى). في هذه الحالة، المتجه المعرض هو خاصية عنوان النموذج التي تتعامل معها إضافة Gravity Forms.

الحقائق الفنية الرئيسية:

  • يحتاج المهاجم إلى حساب موثق (مشترك أو ما شابه).
  • يتم تخزين الحمولة الخبيثة في قاعدة بيانات ووردبريس كجزء من بيانات التعريف/العنوان للنموذج.
  • يتم تنفيذ الحمولة عندما يتم عرض المحتوى المتأثر لمستخدم لديه صلاحيات كافية لعرض ذلك النموذج (أو للزوار إذا تم عرض النموذج علنًا).
  • تم تصنيف الثغرة على أنها متوسطة (CVSS 6.5). يمكن أن يؤدي الاستغلال الناجح إلى اختراق حسابات المستخدمين الذين يشاهدون، أو تشويه الموقع، أو اتخاذ إجراءات إدارية عند دمجها مع ضوابط أمان ضعيفة أخرى.

لن نقدم حمولة إثبات المفهوم أو خطوات الاستنساخ - توفير كود الاستغلال أمر خطير وغير مسؤول. بدلاً من ذلك، نركز على الدفاعات القابلة للتنفيذ والتعافي.

سيناريوهات الاستغلال في العالم الحقيقي

يساعد فهم سيناريوهات الهجوم المحتملة في تحديد أولويات التخفيف:

  1. يقوم المشترك بإنشاء نموذج جديد (أو تعديل عنوان نموذج موجود) ويشمل HTML/JavaScript خبيث غير مُعقم. عندما يتم الوصول إلى هذا النموذج بواسطة محرر/مدير أو يتم عرضه على صفحة عامة، يتم تنفيذ البرنامج النصي في متصفح الضحية.
    • التأثير المحتمل: سرقة ملفات تعريف الارتباط لجلسة المدير، تنفيذ إجراءات إدارية، إنشاء مستخدمين جدد للمدير عبر نقاط نهاية AJAX المميزة، أو زرع أبواب خلفية إضافية.
  2. يقوم مهاجم لديه وصول بمستوى المشترك بإنشاء عنوان نموذج يحتوي على JavaScript يتم تفعيله عندما يزور المدير قائمة Gravity Forms، أو شاشة التحرير، أو معاينة النموذج.
    • التأثير المحتمل: تنفيذ إجراءات لوحة الإدارة في سياق المدير (نتائج مشابهة لـ CSRF من خلال XSS)، أو إعادة توجيه المديرين إلى صفحات تصيد.
  3. في المواقع العامة حيث يتم عرض عناوين النماذج علنًا دون هروب مناسب، يمكن استهداف الزوار (بما في ذلك العملاء) - مما يضر بسمعة العلامة التجارية وقد يؤدي إلى سرقة بيانات المستخدمين.

هذه السيناريوهات واقعية ومؤثرة للعديد من مواقع ووردبريس، خاصة تلك التي تسمح بالتسجيل العام، أو النشر الضيفي، أو تفويض إدارة المحتوى لمستخدمين خارجيين.

خطوات فورية - التصحيح والتخفيف

  1. تحديث Gravity Forms إلى 2.9.29 أو أحدث (موصى به)
    • هذا هو الإصلاح النهائي. إذا كنت تستخدم Gravity Forms على موقع، قم بجدولة وتطبيق التحديث على الفور.
    • اختبر التحديثات على موقع تجريبي أولاً حيثما كان ذلك ممكنًا، ثم قم بنشرها في الإنتاج.
  2. إذا لم تتمكن من التصحيح على الفور، قم بتطبيق التصحيح الافتراضي عبر WP-Firewall (أو WAF مُدار آخر)
    • يعد التصحيح الافتراضي وسيلة فعالة للتوقف المؤقت بينما تخطط وتختبر تحديثات المكونات الإضافية.
    • يوفر WP-Firewall قواعد مُدارة تكشف وتحظر محاولات حقن علامات البرنامج النصي أو التعليمات البرمجية المشبوهة في عناوين النماذج ونقاط نهاية Gravity Forms.
  3. تقييد قدرات إنشاء/تحرير النماذج
    • راجع من لديه القدرة على إنشاء أو تحرير النماذج. إذا كان يجب ألا تتمكن حسابات المشتركين على موقعك من إنشاء نماذج، قم بإزالة تلك القدرة.
    • ضع في اعتبارك تعطيل التسجيل العام أو تقييده مع الاعتدال حتى يتم تصحيح الموقع.
  4. تعزيز وصول المسؤول
    • فرض المصادقة الثنائية (2FA) لجميع حسابات المسؤولين والمحررين.
    • قصر وصول المسؤولين على نطاقات IP محددة حيثما كان ذلك ممكنًا، واستخدام كلمات مرور قوية ومديري كلمات المرور.
  5. راقب السجلات وابحث عن مؤشرات الاختراق.
    • ابحث عن طلبات POST إلى admin-ajax.php، ونقاط نهاية gravityforms، أو صفحات نموذج wp-admin مع حمولة مشبوهة في عنوان النموذج أو الحقول ذات الصلة.
    • قم بتشغيل فحص كامل للبرامج الضارة لموقعك وقاعدة البيانات لتحديد JavaScript المحقونة أو غيرها من الآثار المستمرة.
  6. سياسة أمان المحتوى (CSP)
    • يساعد تنفيذ CSP صارم في التخفيف من التأثير من خلال منع تنفيذ السكربتات المضمنة على الصفحات التي لا تسمح بها.
    • ملاحظة: يحتاج نشر CSP إلى اختبار دقيق لتجنب كسر الوظائف الشرعية.
  7. حظر الأنماط الشائعة على مستوى الخادم/WAF.
    • تشمل الأمثلة حظر تقديم النماذج التي تتضمن علامات في حقول عنوان النموذج أو عدم السماح بـ HTML في البيانات الوصفية.

كيف تحمي WP-Firewall موقعك (كيف يبدو التصحيح الافتراضي)

في WP-Firewall نتبع نهجًا متعدد الطبقات:

  • قواعد WAF المدارة: ندفع القواعد التي تكشف وتحظر أنماط الهجوم المعروفة (بما في ذلك محاولات XSS المخزنة التي تستهدف بيانات Gravity Forms الوصفية).
  • التصحيح الافتراضي: تعمل القواعد كتصحيح طارئ يتم تطبيقه على الحافة بحيث يتم حظر المهاجمين قبل الوصول إلى مسار الشيفرة الضعيف.
  • فحص البرامج الضارة: اكتشاف السكربتات المخزنة في قاعدة البيانات أو الملفات.
  • البحث عن التهديدات والإشعارات: نراقب تدفقات الكشف ونطور بسرعة توقيعات للمشكلات الجديدة.

مفاهيم القواعد التي ننشرها (توضيحية - ستطبق WP-Firewall توقيعات مضبوطة نيابة عنك):

  • حظر طلبات POST إلى نقاط نهاية Gravity Forms (admin-ajax.php، صفحات wp-admin/admin.php المستخدمة بواسطة المكون الإضافي) حيث عنوان النموذج تحتوي المعلمة على علامات مثل <script أو معالجات أحداث مشبوهة (onload، onclick).
  • حظر أنماط استرجاع الحمولة المخزنة التي تحاول تضمين سكريبتات في سياقات واجهة المستخدم الإدارية.
  • تحديد معدل المستخدمين المشبوهين الذين يقومون بإنشاء نماذج متعددة أو تحديث البيانات الوصفية بشكل متكرر.

نقوم بضبط هذه القواعد لتقليل الإيجابيات الكاذبة وتجنب كسر استخدام HTML الشرعي عند الحاجة.

مثال على قاعدة WAF (توضيحية - لا تستخدم ككود استغلال)

# حظر XSS المخزنة المحتملة في تقديمات form_title لـ Gravity Forms"

ملحوظات:

  • ما سبق بسيط عمدًا. القواعد الحقيقية المستخدمة في الإنتاج تشمل التطبيع، واكتشاف الترميز، والقوائم البيضاء لـ HTML المقبول إذا لزم الأمر.
  • لا تقم بلصق قواعد الطرف الثالث في الإنتاج بشكل أعمى دون اختبار - يمكن أن تمنع سلوكًا شرعيًا.

إذا كنت ترغب في أن يقوم WP-Firewall بتطبيق تصحيحات افتراضية مراقبة على موقعك تلقائيًا، لدينا عملية مدارة تقلل من المخاطر أثناء جدولة تحديثات المكونات الإضافية.

الكشف والصيد: ماذا تبحث عنه في السجلات وقاعدة البيانات

إذا كنت تشك في هجوم أو ترغب فقط في الصيد بشكل استباقي، تحقق من ما يلي:

  1. سجلات خادم الويب / تطبيقات
    • ابحث عن طلبات POST إلى:
      • /wp-admin/admin-ajax.php
      • /wp-admin/admin.php (صفحات إنشاء نماذج Gravity Forms)
      • أي نقاط نهاية REST تستخدمها Gravity Forms
    • ابحث عن المعلمات: عنوان النموذج, العنوان, عنوان_المشاركة مع علامات HTML مثل <script, عند حدوث خطأ=, تحميل=، أو جافا سكريبت: عناوين URI.
    • مثال على الجريب: 
      grep -i "form_title" /var/log/apache2/access.log | grep -E "<script|on[a-z]+=|javascript:"
  2. بحث في قاعدة البيانات
    • ابحث في جدول wp_posts والجداول الخاصة بالمكونات الإضافية عن سلاسل مشبوهة: 
      SELECT ID, post_title FROM wp_posts WHERE post_title LIKE '%<script%';
    • تخزن Gravity Forms معلومات النموذج في جداول مخصصة (مثل gf_form، gf_form_meta أو مصفوفات مسلسلة). ابحث في هذه الجداول أيضًا: 
      SELECT * FROM gf_form WHERE form_title LIKE '%<script%';
  3. نظام الملفات وملفات القالب/الإضافات
    • تحقق من الملفات المعدلة مؤخرًا وملفات PHP غير المعروفة تحت wp-content/uploads أو أدلة القالب/الإضافات.
  4. سجلات WP-Firewall
    • إذا كان لديك WP-Firewall مفعل، راجع الطلبات المحجوبة للأنماط التي تستهدف نقاط نهاية Gravity Forms أو أسماء المعلمات.

إذا وجدت إدخالات مخزنة مشبوهة، لا تحذفها على الفور دون تخطيط: احفظ نسخة للتحليل الجنائي، ثم قم بتنظيفها أو استعد إلى نسخة احتياطية آمنة.

إذا كنت تعتقد أن موقعك قد تم اختراقه بالفعل - قائمة التحقق من الاسترداد

  1. ضع الموقع في وضع الصيانة لوقف المزيد من الأذى للزوار.
  2. قم بتحديث Gravity Forms إلى 2.9.29 أو الأحدث على الفور.
  3. قم بتمكين حماية WP-Firewall وتفعيل قواعد التصحيح الافتراضية لمنع محاولات إعادة الاستغلال.
  4. قم بتدوير جميع كلمات مرور الإدارة ومفاتيح API (أملاح WordPress، رموز OAuth، مفاتيح API من طرف ثالث).
  5. فرض إعادة تعيين كلمة المرور لجميع المستخدمين ذوي الامتيازات المرتفعة.
  6. قم بإزالة أي عناوين نماذج خبيثة، محتوى تم حقنه، أو ملفات باب خلفي. يفضل الاستعادة من نسخة احتياطية نظيفة عند الإمكان.
  7. تحقق من حسابات المستخدمين بحثًا عن مستخدمين جدد مشبوهين من نوع المدير/المحرر وقم بإزالتهم.
  8. قم بفحص الموقع باستخدام ماسح ضوئي موثوق للبرامج الضارة وتحقق من سلامة الملفات مقابل قاعدة بيانات نظيفة.
  9. تدقيق السجلات لتحديد فترة الاختراق وأي إجراءات اتخذها المهاجم.
  10. تعزيز الموقع بعد الاسترداد:
    • فرض المصادقة الثنائية
    • تحديد تحرير الإضافات/القالب عبر لوحة التحكم (DISALLOW_FILE_EDIT)
    • مراجعة وتصحيح أذونات الملفات والدلائل
    • الحفاظ على تحديث جميع المكونات

إذا كنت تفتقر إلى القدرة الداخلية، فكر في الاستعانة بخدمة استجابة للحوادث محترفة يمكنها الحفاظ على الأدلة وإصلاحها بأمان.

تعزيز طويل الأمد - ما وراء هذه الثغرة

لتقليل تأثير الثغرات المماثلة في المستقبل، اعتمد الدفاعات المتعددة الطبقات:

  • حافظ على تحديث جميع الإضافات والسمات ونواة ووردبريس.
  • قلل عدد الإضافات النشطة واستخدم فقط الإضافات ذات السمعة الطيبة والمُدارة بنشاط.
  • استخدم مبدأ أقل الامتيازات: امنح المستخدمين فقط القدرات التي يحتاجونها. منع المشتركين من إنشاء النماذج ما لم تسمح متطلبات العمل بذلك.
  • استخدم WAF المُدار/التصحيح الافتراضي لحظر محاولات الاستغلال أثناء اختبارك وتصحيحك.
  • نفذ سياسة أمان المحتوى (CSP) ورؤوس X-Frame-Options بشكل صارم.
  • تطلب المصادقة الثنائية لجميع الحسابات المميزة.
  • حافظ على نسخ احتياطية منتظمة وتحقق من إجراءات الاستعادة.
  • راقب وانبه على التغييرات في الجداول الرئيسية، وحسابات الإدارة، وتعديلات ملفات الإضافات/الثيمات الجديدة.
  • قم بإجراء مراجعات أمنية دورية واختبارات اختراق للمواقع الحرجة.

قائمة التحقق التشغيلية الموصى بها لمسؤولي WordPress (خطوة بخطوة)

  1. في الحال:
    • قم بتحديث Gravity Forms إلى 2.9.29+
    • قم بتفعيل قواعد التصحيح الافتراضي لـ WP-Firewall إذا كان يجب تأخير التحديث
  2. خلال 24 ساعة:
    • افحص الموقع بحثًا عن عناوين نماذج مشبوهة ومدخلات قاعدة بيانات؛ عزل أو استعادة من النسخ الاحتياطية النظيفة
    • فرض إعادة تعيين كلمة المرور لمستخدمي الإدارة
    • تفعيل 2FA ومراجعة أدوار المستخدمين وقدراتهم
  3. خلال 72 ساعة:
    • تفقد سجلات الخادم بحثًا عن طلبات POST مشبوهة إلى Gravity Forms أو نقاط نهاية الإدارة
    • تطبيق CSP ورؤوس أمان HTTP إضافية
    • جدولة نسخة احتياطية كاملة للموقع والتحقق من الاستعادة
  4. خلال أسبوعين:
    • مراجعة جرد الإضافات؛ إزالة الإضافات غير المستخدمة
    • جدولة تدقيق أمني واختبار اختراق للمواقع ذات الحركة العالية أو القيمة العالية
    • فرض وتيرة تصحيح منتظمة (أسبوعية أو شهرية حسب الأهمية)

إرشادات المطورين (كيفية تصحيح الكود بشكل دفاعي)

إذا كنت مطورًا تحافظ على كود مخصص يتفاعل مع Gravity Forms أو بيانات التعريف الخاصة بالنموذج، فاتبع هذه الممارسات الآمنة في البرمجة:

  • دائمًا قم بتهريب المخرجات في وقت العرض:
    • يستخدم esc_html(), esc_attr() أو wp_kses_post() حسب الاقتضاء.
  • تطهير المدخلات عند الحفظ:
    • بالنسبة للعناوين والمحتوى المدخل من قبل المسؤول، قم بإزالة العلامات أو تطبيق قوائم السماح المتحكم بها.
  • استخدم مرشحات Gravity Forms لتنظيف أو التحقق من عناوين النماذج عند الحفظ:
    • أضف مرشحًا على جانب الخادم يقوم بإزالة أي علامات أو JavaScript قبل أن عنوان النموذج يتم الاحتفاظ بها.
  • تجنب تخزين HTML الخام أو السكربت داخل حقول البيانات الوصفية التي سيتم عرضها مباشرة.
  • عند الشك، اعتبر أي نص مدخل من المستخدم كبيانات غير موثوقة.

مثال (تصوري) لمرشح لتنظيف عناوين النماذج قبل الحفظ:

add_filter('gform_pre_form_title_save', function($title) {;

ملاحظة: قد توفر Gravity Forms روابط ومرشحات محددة - استشر وثائق مطور الإضافة لتطبيق الرابط الصحيح لإصدارك.

لماذا تعتبر خدمة WAF المدارة / التصحيح الافتراضي مهمة

هناك واقعان يجب على كل مالك موقع قبولهما:

  1. ليس كل مالك موقع يقوم بالتحديث فورًا في اللحظة التي يتم فيها الكشف عن ثغرة.
  2. تجعل العديد من القيود المتعلقة بالمضيفين أو الأعمال التحديث الفوري صعبًا (اختبار التوافق، دورات التحضير، التكاملات المخصصة).

تملأ خدمة WAF المدارة وخدمة التصحيح الافتراضي الفجوة من خلال:

  • حظر محاولات الاستغلال عند الحافة قبل أن تصل إلى الكود المعرض للخطر
  • شراء الوقت لاختبار ونشر التصحيح المقدم من البائع بأمان
  • تقليل الضوضاء عن طريق حظر المسح الآلي والمهاجمين الانتهازيين
  • توفير المراقبة والسجلات لتحديد ما إذا كانت الثغرة قد تم استهدافها

إذا كانت أعمالك تعتمد على توفر موقعك الإلكتروني وأمانه، فإن التصحيح الافتراضي يقلل من المخاطر بينما يقوم فريق العمليات لديك بأداء الصيانة الدقيقة المطلوبة لتحديثات المكونات الإضافية.

ابدأ في الحماية مع خطة WP-Firewall المجانية اليوم

إذا كنت تريد شبكة أمان فورية أثناء اتخاذ الخطوات أعلاه، جرب خطة WP-Firewall المجانية الأساسية. تتضمن الخطة المجانية الحمايات الأساسية التي تهم في حوادث مثل هذه:

  • جدار ناري مُدار وWAF مع تصحيح افتراضي
  • عرض نطاق غير محدود وحماية ضد مخاطر OWASP العشرة الأوائل
  • مسح مدمج للبرمجيات الضارة للمساعدة في اكتشاف الحمولة المخزنة XSS وغيرها من الشذوذات

اشترك في خطة أساسية مجانية واحصل على قواعد التخفيف الفورية المطبقة على موقعك حتى تتمكن من التصحيح والتعافي دون ضغط الاستغلال النشط. ابدأ من هنا: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

للفرق التي ترغب في إزالة البرمجيات الضارة تلقائيًا، وقائمة حظر IP، وميزات متقدمة، نقدم أيضًا مستويات قياسية ومحترفة مع تصحيح متقدم، وتقارير شهرية، وإضافات متميزة للخدمات المدارة.

ملاحظات نهائية — أعطِ الأولوية للدفاع المتعدد الطبقات

تذكير بأن XSS المخزنة في Gravity Forms يمكن أن تشكل خطرًا حتى على الحسابات ذات الامتيازات المنخفضة إذا تم عرض المحتوى الذي يمكنهم إنشاؤه في سياقات حساسة. أعطِ الأولوية:

  • التصحيح الفوري
  • تطبيق التصحيحات الافتراضية المعتمدة على WAF إذا لم تتمكن من التصحيح على الفور
  • تعزيز أذونات المستخدمين والوصول الإداري
  • المراقبة الاستباقية وتخطيط استجابة الحوادث

إذا كنت بحاجة إلى مساعدة — سواء كان ذلك في تطبيق التصحيحات الافتراضية، أو المسح عن مؤشرات الاختراق، أو تنفيذ استجابة للحوادث — يقدم فريق أمان WP-Firewall خدمات مدارة لمساعدتك في احتواء الحادث والتحقيق فيه والتعافي.

ابقَ آمنًا، واحتفظ بتحديثات تثبيتات WordPress الخاصة بك، واعتبر الأمان عملية مستمرة بدلاً من مهمة واحدة.

— فريق أمان جدار الحماية WP

wordpress security update banner

احصل على WP Security Weekly مجانًا 👋
أفتح حساب الأن!!

قم بالتسجيل لتلقي تحديث أمان WordPress في بريدك الوارد كل أسبوع.

نحن لا البريد المزعج! اقرأ لدينا سياسة الخصوصية لمزيد من المعلومات.

اتصل بنا لتحديد موعد استشارة مجانية حول أمان WordPress

اتصل بنا

جدار الحماية WP
6/F, The Rays, 71 Hung To Road, كوون تونغ, كولون, هونج كونج

سمات التسعير مدونة تسجيل الدخول
سياسة الخصوصية شروط الخدمة المستندات انضم

© 2026 WP-Firewall™