التخفيف من عيوب التحكم في الوصول في RepairBuddy//نشرت في 2026-03-22//CVE-2026-3567

فريق أمان جدار الحماية WP

RepairBuddy Vulnerability Image

اسم البرنامج الإضافي ريبير بادى
نوع الضعف نظام التحكم في الوصول مكسور
رقم CVE CVE-2026-3567
الاستعجال قليل
تاريخ نشر CVE 2026-03-22
رابط المصدر CVE-2026-3567

التحكم في الوصول المكسور في إضافة RepairBuddy (<= 4.1132): ما تحتاج إلى معرفته وكيفية حماية موقعك

ثغرة تم الكشف عنها مؤخرًا (CVE-2026-3567) في إضافة RepairBuddy (متجر إصلاح الكمبيوتر) لـ WordPress — تؤثر على الإصدارات حتى 4.1132 بما في ذلك — تسمح لمستخدم مصدق ذو صلاحيات منخفضة (مستوى المشترك) بتفعيل تحديث إعدادات الإضافة عبر إجراء AJAX wc_rep_shop_settings_submission. نظرًا لأن الإضافة فشلت في فرض تحقق من التفويض لنقطة نهاية AJAX تلك، فقد أصبح من الممكن لمشترك مصدق تقديم طلبات تعدل خيارات الإضافة المخصصة للمسؤولين.

تم تصحيح هذه المشكلة في الإصدار 4.1133. على الرغم من أن شدة الثغرة تم تقييمها على أنها منخفضة (CVSS 5.3) — إلى حد كبير لأن المهاجم يجب أن يكون لديه حساب مصدق بالفعل — إلا أن الثغرة لا تزال تمثل فرصة قيمة للمهاجمين الذين يمكنهم إما تسجيل مشتركين بكميات كبيرة، أو استغلال حسابات موجودة، أو ربط ذلك مع ثغرات أو تكوينات خاطئة أخرى. باختصار: لا تتجاهلها.

في هذه المقالة سنشرح بكلمات بسيطة ما حدث، وكيف يمكن أن يستغل المهاجمون (ويمكن أن يستغلوا) ذلك، خطوات الكشف والتخفيف العملية، إصلاحات المطورين، كيف يمكن لجدار حماية تطبيق الويب (WAF) والتصحيح الافتراضي أن يساعدا، وقائمة مراجعة للاستجابة للحوادث ذات الأولوية التي يمكنك التصرف بناءً عليها على الفور.

ملخص سريع (لغير الصابرين)

  • الإضافة المتأثرة: RepairBuddy (متجر إصلاح الكمبيوتر) لـ WordPress، الإصدارات <= 4.1132.
  • الثغرة: التحكم في الوصول المكسور — غياب التفويض على إجراء AJAX wc_rep_shop_settings_submission.
  • CVE: CVE-2026-3567.
  • التأثير: يمكن لمشترك مصدق تقديم تعديلات على إعدادات الإضافة. خطر محتمل لهجمات متسلسلة أو استمرارية، اعتمادًا على إعدادات الإضافة المعرضة.
  • الإصلاح: الترقية إلى RepairBuddy 4.1133 أو أحدث.
  • الإجراءات الفورية: تحديث الإضافة، تدقيق حسابات المشتركين، تقييد الوصول إلى نقاط نهاية المسؤول، مراقبة النشاط المشبوه في admin-ajax، وتطبيق قواعد WAF / التصحيح الافتراضي إذا لم تتمكن من التحديث على الفور.

لماذا هذا مهم — خلفية بلغة بسيطة

غالبًا ما تكشف إضافات WordPress عن نقاط نهاية AJAX (عبر admin-ajax.php) للتعامل مع الإجراءات التي تتطلب معالجة سريعة من جانب الخادم. يجب على كل إجراء مكشوف التحقق من شيئين:

  1. هل المستخدم مصدق ومخول لأداء الإجراء؟
  2. هل الطلب صالح (nonce أو آلية أخرى لمكافحة CSRF)؟

في هذه الحالة، قامت عملية AJAX في الإضافة بمعالجة الطلبات الواردة وتحديث إعدادات الإضافة دون التحقق بشكل صحيح من أن المستخدم الحالي لديه صلاحيات إدارية (أو التحقق من nonce صالح). هذا يعني أن أي مستخدم لديه تسجيل دخول إلى ووردبريس - حتى أدنى دور صلاحية (مشترك) - يمكنه إرسال POST الصحيح إلى admin-ajax.php وتحفيز تحديث الإعدادات.

لماذا يعتبر ذلك مقلقًا؟ لأن إعدادات الإضافة يمكن أن تمكّن أحيانًا ميزات، أو تغير سلوكًا، أو تدمج خدمات طرف ثالث جديدة. حتى لو بدا التغيير الفوري غير ضار، يمكن لمهاجم لديه حق الوصول للكتابة إلى إعدادات الإضافة أن:

  • يقوم بتشغيل تصحيح الأخطاء أو تسجيل مفصل يكشف معلومات حساسة.
  • يوفر نقاط نهاية أو مفاتيح يتحكم بها المهاجم في التكاملات.
  • يمكّن ميزات تسمح بتحميل الملفات أو المكالمات عن بُعد.
  • يغير العرض/إعادة التوجيه لاستضافة محتوى تصيد.
  • يجمع مع عيب آخر لتصعيد الصلاحيات أو الاستمرار في الوصول.

لذلك، حتى عندما يتم تصنيف الخطورة على أنها “منخفضة”، فإن المخاطر التشغيلية حقيقية - خاصة للمواقع التي تقبل تسجيلات المستخدمين أو تدير ميزات مجتمعية.

كيف يمكن لمهاجم استغلال ذلك (على مستوى عالٍ، غير استغلالي)

  1. تسجيل حسابات مشتركين متعددة (إذا كانت التسجيلات مفتوحة) أو اختراق حسابات ذات صلاحيات منخفضة موجودة (بيانات اعتماد تم تصيدها، كلمات مرور معاد استخدامها).
  2. تقديم POST مصمم إلى ووردبريس admin-ajax.php مع action=wc_rep_shop_settings_submission المعامل وحقول الحمولة المطلوبة.
  3. إذا كان كود الإضافة يفتقر إلى فحوصات القدرة/التحقق من nonce، فسيقبل الخادم الطلب ويعالج الطلب، محدثًا خيارات الإضافة في خيارات wp.
  4. اعتمادًا على الإعدادات المعرضة، يمكن للمهاجم تعديل السلوكيات (إعادة التوجيه، تكوين نقطة نهاية API، تبديل الوظائف) ثم استخدام تلك التغييرات لمزيد من الاختراق، أو تسريب البيانات، أو تشويه المحتوى.

ملحوظة: لن ننشر كود استغلال إثبات المفهوم. الخطوة المسؤولة والآمنة هي الترقية واتباع التخفيفات أدناه.

ما هي الإجراءات الفورية التي يجب أن يتخذها مالكو المواقع (مرتبة، عملية)

  1. ترقية الإضافة إلى 4.1133 أو أحدث - هذه هي الخطوة الأكثر أهمية. تصحيح الثغرة يزيل الضعف.
  2. إذا لم تتمكن من التحديث على الفور، قم بتطبيق حواجز مؤقتة:
    • تعطيل التسجيل العام (إذا كنت تقبل مشتركين جدد ولا تحتاج إليهم).
    • تقييد مؤقت admin-ajax.php للمستخدمين الإداريين المعتمدين عبر قواعد الخادم حيثما كان ذلك ممكنًا.
    • استخدم WAF لإنشاء تصحيح افتراضي يمنع الطلبات إلى إجراء AJAX المعرض للخطر (انظر توصيات WAF أدناه).
  3. قم بمراجعة الحسابات:
    • راجع جميع حسابات المستخدمين التي لديها امتيازات مشترك أو مرتفعة. قم بإزالة أو قفل الحسابات التي تبدو مشبوهة.
    • فرض إعادة تعيين كلمات المرور للحسابات التي قديمة أو تظهر نشاطًا غير عادي.
  4. راقب السجلات للطلبات المشبوهة:
    • ابحث في سجلات خادم الويب ووردبريس عن POSTs إلى admin-ajax.php مع action=wc_rep_shop_settings_submission.
    • راقب التغييرات في خيارات wp للتعديلات الأخيرة على المفاتيح المتعلقة بـ repairbuddy.
  5. قم بعمل نسخة احتياطية لموقعك (الملفات وقاعدة البيانات) قبل إجراء أي إصلاحات.
  6. قم بفحص الموقع بحثًا عن مؤشرات الاختراق (أصداف، مهام مجدولة غير متوقعة، مستخدمين إداريين جدد، إضافات/ثيمات غير معروفة).
  7. عزز الموقع: فرض كلمات مرور قوية، تفعيل التحقق الثنائي لمستخدمي الإدارة، تحديد محاولات تسجيل الدخول.

الكشف العملي: ماذا تبحث عنه في السجلات وقاعدة البيانات

  • سجلات خادم الويب (nginx/apache):
    • أي POST إلى /wp-admin/admin-ajax.php مع معلمة action=wc_rep_shop_settings_submission.
    • طوابع زمنية مشبوهة حيث قدم المشتركون العديد من POSTs.
  • سجلات تصحيح ووردبريس / سجلات الإضافات:
    • رسائل نجاح غير متوقعة عند تحديث إعدادات الإضافات بواسطة حسابات غير إدارية.
  • قاعدة البيانات (خيارات wp):
    • تغييرات على الخيارات التي تخص الإضافة (أسماء الخيارات عادة ما تكون مسبوقة ببادئة الإضافة). ابحث عن التحديثات الأخيرة وقارنها بالنسخ الاحتياطية.
  • سجلات المصادقة:
    • حسابات المشتركين التي سجلت الدخول في أوقات تتطابق مع النشاط المشبوه. إدارة-أجاكس النشاط.

مثال على grep بسيط (قم بتعديلها حسب الخادم وتنسيق السجل):

# ابحث عن إجراء AJAX في سجلات خادم الويب"

واستعلام قاعدة بيانات WordPress (استخدمه بحذر، عبر wp-cli أو phpMyAdmin):

SELECT option_name, option_value, autoload FROM wp_options;

قائمة التحقق الموصى بها للاستجابة للحوادث (خطوة بخطوة)

  1. تصحيح:
    • قم بتحديث RepairBuddy إلى الإصدار 4.1133 أو أحدث على الفور.
  2. تجميد التغييرات:
    • ضع الموقع في وضع الصيانة إذا كان ذلك ممكنًا، أو قيد بعض نقاط النهاية الإدارية.
  3. لقطة:
    • قم بأخذ نسخة احتياطية كاملة من الملفات وقاعدة البيانات لأغراض الطب الشرعي.
  4. تدقيق المستخدمين:
    • تصدير قائمة المستخدمين، تصفية المشتركين، تحقق من توقيتات تسجيل الدخول الأخيرة.
    • إعادة تعيين كلمات المرور لحسابات القلق.
  5. فحص الخيارات:
    • تحقق من الخيارات المتعلقة بالإضافة للقيم غير المتوقعة الأخيرة؛ ارجع إذا لزم الأمر.
  6. المسح:
    • قم بإجراء فحص كامل للبرامج الضارة والبحث اليدوي عن webshells أو الملفات المدخلة.
  7. تحقق من المهام المجدولة:
    • ابحث عن إدخالات cron المشبوهة في WordPress وcrontab الخادم.
  8. مراجعة السجلات:
    • ربط POSTs admin-ajax بحسابات المستخدمين.
  9. إزالة الاستمرارية:
    • احذف أي مستخدمين إداريين تم إنشاؤهم بواسطة المهاجمين، وأزل المكونات الإضافية غير المعروفة، ونظف التحميلات.
  10. إعادة إصدار المفاتيح:
    • قم بتدوير أي مفاتيح API أو أسرار قد تم تغييرها أو مخزنة في إعدادات المكونات الإضافية.
  11. إخطار أصحاب المصلحة:
    • إذا كان من الممكن أن تتأثر بيانات المستخدم، قم بإعداد الاتصالات الداخلية والاعتبارات التنظيمية حسب الاقتضاء.
  12. تقوية ورصد:
    • فرض التحقق الثنائي على حسابات الإدارة، تحديد محاولات تسجيل الدخول، تمكين تسجيل الأمان والتنبيهات.

إرشادات المطورين - كيف كان يجب أن يتم منع ذلك

يجب على مطوري المكونات الإضافية حماية كل نقطة دخول. بالنسبة لنقاط نهاية AJAX، الحد الأدنى من مجموعة الفحوصات:

  1. تحقق من nonce (رمز anti-CSRF).
  2. تحقق من قدرات المستخدم الحالي (على سبيل المثال،, يمكن للمستخدم الحالي ('إدارة الخيارات') أو قدرة أكثر تحديدًا).
  3. قم بتنظيف والتحقق من جميع المدخلات قبل تطبيقها على الخيارات أو قاعدة البيانات.
  4. استخدم مسارات REST API بشكل صحيح إذن_استدعاء_العودة حيثما كان ذلك مناسبًا (تشجع إطار عمل REST على الأذونات الصريحة).

نمط معالج AJAX الموصى به:

add_action('wp_ajax_wc_rep_shop_settings_submission', 'wc_rep_shop_settings_submission_handler');

النقاط الرئيسية:

  • استخدم دائما wp_verify_nonce() (أو REST إذن_استدعاء_العودة) لحماية CSRF.
  • يستخدم يمكن للمستخدم الحالي لفرض فحوصات القدرات - لا تعتمد فقط على سلاسل أدوار المستخدم.
  • قم بتنظيف باستخدام دوال WordPress المدمجة (sanitize_text_field, sanitize_email, esc_url_raw, ، إلخ).

توصيات WAF والتصحيح الافتراضي (إذا لم تتمكن من التحديث على الفور)

إذا لم يكن من الممكن ترقية المكون الإضافي على الفور (نوافذ الصيانة، مخاوف التوافق)، يمكن أن يقلل WAF أو التصحيح الافتراضي من المخاطر أثناء إعداد التحديث.

قاعدة مؤقتة مقترحة على نمط WAF/ModSecurity (رمز زائف):

  • حظر أو تحدي طلبات POST إلى admin-ajax.php تحتوي على action=wc_rep_shop_settings_submission متى:
    • الطلب يفتقر إلى مرجع إداري صالح أو
    • الطلب يأتي من عناوين IP / جغرافيا غير عادية، أو
    • يتطابق User-Agent مع أنماط آلية أو مشبوهة، أو
    • المستخدم المعتمد هو مشترك (إذا كان WAF الخاص بك يمكنه تحليل ملفات تعريف الارتباط الخاصة بـ WP وتحديد ذلك).

مثال (قاعدة شبيهة بـ ModSecurity):

# حظر محاولات استدعاء إجراء AJAX المعرض للخطر"

مهم: لا تستخدم هذه القاعدة على المدى الطويل دون اختبار. بعض المواقع تستدعي بشكل شرعي إجراءات AJAX من كود الواجهة الأمامية - تأكد من أنك لا تحظر السلوك المطلوب.

نهج التصحيح الافتراضي البديل:

  • استخدم فلتر على مستوى التطبيق (mu-plugin) لاعتراض والتحقق من الطلبات قبل تنفيذ معالج المكون الإضافي:
// mu-plugin لمنع الإجراء المعرض للخطر لغير الإداريين;

هذا mu-plugin هو تخفيف آمن وقصير الأمد يمكن نشره بسرعة على معظم مواقع WordPress.

لماذا تم تعيين الخطورة إلى “منخفضة” - ولكن لماذا لا يزال يجب أن تهتم

تأخذ تقييمات الأمان في الاعتبار العديد من العوامل:

  • تعقيد الاستغلال: يتطلب هذا الهجوم حسابًا معتمدًا على الموقع المستهدف. هذا يزيد من التعقيد ويقلل من الخطورة الأساسية.
  • النطاق: تستهدف الثغرة إعدادات المكون الإضافي ولا تسمح بشكل جوهري بتنفيذ كود عشوائي.
  • التأثير: إذا كانت إعدادات المكون الإضافي لا تسمح بالتحكم الحرج (تحميل الملفات، تنفيذ الكود عن بُعد، إلخ) فإن التأثير الفني الفوري يكون محدودًا.

ومع ذلك، يمكن للمهاجمين:

  • استخدام سكريبتات آلية للتسجيل الجماعي ثم استهداف العديد من المواقع على نطاق واسع.
  • دمج ذلك مع حشو بيانات الاعتماد أو إعادة استخدام كلمات المرور الضعيفة للحصول على تسجيلات الدخول.
  • ربط مع ثغرات إضافية في الإضافات/القوالب لتصعيد التأثير.

بسبب هذه المخاطر العملية، يمكن أن تكون الثغرة التي تبدو “منخفضة” في عزلة جزءًا من سلسلة هجوم ناجحة. بالنسبة للمواقع النشطة، فإن المخاطر التشغيلية ذات مغزى ويجب التعامل معها على هذا النحو.

الدفاعات طويلة الأمد وأفضل الممارسات

  • مبدأ الحد الأدنى من الامتياز:
    • امنح المستخدمين فقط القدرات التي يحتاجونها. إذا لم تكن بحاجة إلى أن يصل المشتركون إلى لوحة التحكم على الإطلاق، فقم بإزالة هذا الوصول.
  • تعزيز التسجيلات:
    • استخدم التحقق من البريد الإلكتروني، CAPTCHA، أو الموافقة اليدوية للتسجيلات الجديدة.
  • فرض بيانات اعتماد قوية وMFA:
    • المصادقة الثنائية لجميع المستخدمين على مستوى الإدارة تقلل بشكل كبير من خطر الاستيلاء على الحساب.
  • حافظ على جرد من الإضافات وقم بالتحديث بشكل مسؤول:
    • حافظ على تحديث الإضافات واختبر التحديثات بانتظام في بيئة الاختبار.
  • استخدم المراقبة الآلية:
    • تساعد مراقبات سلامة الملفات، وفحوصات البرمجيات الضارة المجدولة، وسجلات النشاط في اكتشاف التغييرات المشبوهة بسرعة.
  • استخدم الدفاع في العمق:
    • يجمع WAF + فحص الملفات + تكوينات الخادم المعززة + تخفيفات أقل امتياز للحد من كل من سطح الهجوم والتأثير.

كيف يمكن أن تساعد WP-Firewall في حمايتك

في WP-Firewall نصمم خدماتنا لحماية مواقع WordPress ضد الثغرات مثل هذه بعدة طرق:

  • جدار حماية تطبيقات الويب المدارة (WAF): يمنع الطلبات الخبيثة ويمكن أن يفرض تصحيحات افتراضية لنقاط النهاية المعروفة الضعيفة حتى تتمكن من تطبيق تحديثات البائع.
  • ماسح البرمجيات الضارة والكشف الآلي: يقوم بفحص نظام الملفات وقاعدة البيانات بحثًا عن علامات الاختراق وتغييرات الخيارات المشبوهة.
  • تخفيف مخاطر OWASP Top 10: تركز الحمايات المتعددة على نقاط الضعف النموذجية في تطبيقات الويب - التحكم في الوصول المكسور هو قضية من OWASP Top 10 وقواعدنا مضبوطة لاكتشاف ومنع أنماط الاستغلال الشائعة.
  • أساسيات الخطة المجانية (أساسية / مجانية):
    • جدار الحماية المُدار
    • نطاق ترددي غير محدود
    • واف
    • ماسح البرامج الضارة
    • التخفيف من مخاطر OWASP العشرة الأوائل
  • خيارات الترقية للفرق:
    • يضيف الخطة القياسية إزالة البرمجيات الضارة تلقائيًا والتحكم في قوائم الحظر/السماح لعناوين IP من أجل حظر أكثر دقة.
    • تضيف خطة المحترفين تقارير أمان شهرية وتصحيح افتراضي تلقائي للثغرات، بالإضافة إلى مجموعة من الخدمات المميزة للبيئات الأكبر أو المدارة.

إذا كنت تريد طبقة مؤتمتة تقلل من فترة التعرض بعد الكشف العام - على سبيل المثال عندما يتم الإعلان عن ثغرة مثل CVE-2026-3567 - يمكن لجدار ناري مُدار مع تصحيح افتراضي أن يمنحك الوقت لاختبار وترقية بأمان.

جديد: ابدأ مع WP-Firewall Basic (مجاني) - احمِ موقعك اليوم

حماية موقعك تبدأ بالأساسيات الصحيحة. يوفر لك WP-Firewall Basic (مجاني) حماية أساسية على الفور: جدار حماية مُدار، عرض نطاق غير محدود، فحص البرمجيات الضارة، وتخفيفات لمخاطر OWASP Top 10 الشائعة - كل ما تحتاجه لحظر العديد من محاولات الاستغلال الشائعة بينما تخطط للتحديثات وخطوات الأمان الأكثر تقدمًا. ابدأ مجانًا وابقِ موقع WordPress الخاص بك أكثر أمانًا خلال نوافذ التصحيح الحرجة: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

الجدول الزمني الموصى به لمالكي المواقع بعد الكشف

  • خلال ساعة واحدة:
    • تأكد مما إذا كان موقعك يعمل على RepairBuddy وتحقق من إصدار المكون الإضافي.
    • إذا كان عرضة للخطر وتحديث متاح، قم بجدولة التحديث على الفور.
  • خلال 6-24 ساعة:
    • إذا لم تتمكن من التحديث على الفور، قم بتطبيق تخفيفات مؤقتة (قاعدة WAF، اعتراض المكون الإضافي، تعطيل التسجيل، أو تقييد الوصول إلى admin-ajax).
    • ابدأ عملية تدقيق الحساب ومراجعة السجلات.
  • خلال 48-72 ساعة:
    • قم بتطبيق تحديث المكون الإضافي الرسمي (4.1133 أو أحدث).
    • أكمل الفحوصات للبحث عن مؤشرات الاختراق وعالج أي نتائج.
  • خلال 7 أيام:
    • أعد تدقيق تكوين الموقع، وقم بتدوير أي مفاتيح مكشوفة، وقم بتعزيز أمان الحساب.
    • قم بجدولة مراقبة متابعة وأعد إعداد التنبيهات لأي نشاط غير طبيعي آخر.

أمثلة عملية: استعلامات وقوالب بحث السجلات

  • ابحث في سجلات الوصول عن إجراء AJAX:
مثال # لتنسيق Apache المدمج"
  • wp-cli: ابحث عن الخيارات التي تم تحديثها مؤخرًا والتي قد تنتمي إلى المكون الإضافي:
wp db query "SELECT option_name, option_value FROM wp_options WHERE option_name LIKE '%rep%' OR option_name LIKE '%repair%' ORDER BY option_id DESC LIMIT 50"
  • نشاط ووردبريس: تحقق من التغييرات الأخيرة في أدوار المستخدمين أو حسابات المسؤولين الجديدة:
wp user list --role=administrator --field=user_login

(استخدم أوامر wp-cli حسب الاقتضاء ومع الأذونات المطلوبة.)

التوصيات النهائية - قائمة مراجعة قصيرة

  • قم بتحديث RepairBuddy إلى v4.1133+ على الفور.
  • تدقيق المشتركين وسجلات الوصول.
  • إذا لم تتمكن من التحديث على الفور، قم بنشر تصحيح افتراضي مؤقت عبر WAF أو mu-plugin.
  • فرض أقل امتياز ومصادقة قوية لمستخدمي المسؤول.
  • الحفاظ على النسخ الاحتياطية المجدولة وخطة استرداد مختبرة.
  • النظر في جدار ناري مُدار مع تصحيح افتراضي لتقليل الوقت اللازم للحماية بعد الإفصاحات العامة.

إذا كنت تريد مجموعة ثانية من العيون على موقع ووردبريس الخاص بك، يمكن لفريق الأمان لدينا في WP-Firewall مساعدتك في تقييم التعرض، وتطبيق التصحيحات الافتراضية حيثما دعت الحاجة، وإعداد المراقبة حتى لا تتفاجأ بإفصاحات مثل هذه. ابدأ مع الحمايات الأساسية المجانية وزدها مع نمو احتياجات موقعك: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

ابق آمناً هناك - الأمان هو عملية، وليس مهمة لمرة واحدة.

wordpress security update banner

احصل على WP Security Weekly مجانًا 👋
أفتح حساب الأن!!

قم بالتسجيل لتلقي تحديث أمان WordPress في بريدك الوارد كل أسبوع.

نحن لا البريد المزعج! اقرأ لدينا سياسة الخصوصية لمزيد من المعلومات.

اتصل بنا لتحديد موعد استشارة مجانية حول أمان WordPress

اتصل بنا

جدار الحماية WP
6/F, The Rays, 71 Hung To Road, كوون تونغ, كولون, هونج كونج

سمات التسعير مدونة تسجيل الدخول
سياسة الخصوصية شروط الخدمة المستندات انضم

© 2026 WP-Firewall™