Kritisk XSS-sårbarhed i LotekMedia Popup-plugin//Udgivet den 2026-03-11//CVE-2026-2420

WP-FIREWALL SIKKERHEDSTEAM

LotekMedia Popup Form CVE-2026-2420

Plugin-navn LotekMedia Popup Formular
Type af sårbarhed Cross-Site Scripting (XSS)
CVE-nummer CVE-2026-2420
Hastighed Lav
CVE-udgivelsesdato 2026-03-11
Kilde-URL CVE-2026-2420

Uopsigt sikkerhedsmeddelelse — Gemt XSS i LotekMedia Popup Form-plugin (≤ 1.0.6) og hvad man skal gøre næste

Dato: 7. mar, 2026
CVE: CVE-2026-2420
Sværhedsgrad: Lav (Patchstack / forskningsscoring: CVSS 5.9)
Berørt software: LotekMedia Popup Form (WordPress-plugin) — versioner ≤ 1.0.6
Påkrævet privilegium for at udløse: Administrator (autentificeret)

Oversigt

En gemt Cross Site Scripting (XSS) sårbarhed blev opdaget i LotekMedia Popup Form WordPress-plugin (versioner op til 1.0.6). En privilegeret bruger med administratoradgang kan gemme ondsindet scriptindhold via pluginindstillingerne. Den belastning kan senere blive gengivet på sider eller administrationsskærme og udført i browseren hos besøgende eller andre brugere, hvilket giver en angriber mulighed for at køre vilkårlig JavaScript i konteksten af siden.

Dette indlæg er skrevet fra perspektivet af WP-Firewall — en WordPress sikkerhedsudbyder og administreret WAF — og er beregnet til at give praktisk, teknisk og ikke-teknisk vejledning til webstedsejere, administratorer og udviklere om risikovurdering, detektion, afbødning og langsigtet hærdning. Hvis du administrerer et websted, der bruger dette plugin, skal du læse denne end-to-end guide og handle hurtigt.

Hvad er gemt XSS, og hvorfor er dette vigtigt for WordPress-websteder

Gemt (vedholdende) XSS opstår, når ondsindet JavaScript gemmes på serveren (for eksempel inde i pluginindstillinger, kommentarer eller et databasefelt) og senere inkluderes i en webside uden korrekt output-escaping. Når et offer indlæser den side, kører det ondsindede script i offerets browser med sidens privilegier. Konsekvenserne afhænger af konteksten og hensigten:

  • sessionstoken eller cookie-tyveri (hvis cookies ikke er markeret som HttpOnly),
  • kontoovertagelse (hvis scriptet udfører autentificerede handlinger),
  • omdirigering til angriber-kontrollerede sider eller phishing-sider,
  • indholdsinjektion og vandalism,
  • vedholdenhed ved at installere bagdøre eller droppe webshells gennem forfalskede admin-anmodninger,
  • eller brug som en del af et større angreb for at pivotere inden for en organisation.

Fordi denne specifikke opdagelse kræver administratorprivilegier for at injicere belastningen, ser udnyttelsesveje normalt sådan ud:

  • en angriber kontrollerer allerede en admin-konto (via credential-tyveri, phishing, genbrugte adgangskoder, social engineering), eller
  • en angriber narre en admin til at udføre en handling (for eksempel at klikke på et udformet admin-only link eller acceptere en ondsindet belastning i en formular), eller
  • en kompromitteret tredjepartsproces (CI/CD, plugin-installatør) med admin-kapabilitet injicerer indhold.

Selvom ikke-admin-brugere ikke kan oprette den gemte belastning, er tilstedeværelsen af denne sårbarhed stadig alvorlig: admin-konti er højt værdsatte mål, og gemt XSS kan forvandle en kompromitteret admin til et fuldt websted kompromis med bred indvirkning.

Teknisk fingeraftryk af problemet (højt niveau)

Fra den tilgængelige rådgivning:

  • Plugin'et gemmer data fra plugin-indstillinger, der kan indeholde usanitiseret HTML/JavaScript.
  • De data bliver senere outputtet til sider (eller admin-skærme) uden korrekt escaping eller sanitization.
  • Sårbarheden er et klassisk “gem uden sanitization - render uden escaping” mønster, anvendt på indstillings-/optionsfelter.

Almindelige kode-mønstre, der fører til dette, inkluderer:

  • at ekko plugin-indstillinger direkte i skabeloner (f.eks., echo $options['popup_html'];) uden esc_html/esc_attr/esc_url eller wp_kses.
  • at gemme ufiltreret brugerinput fra admin-formularer (selv hvis indsendt af en admin) uden sanitize_* opkald.
  • at antage, at admin-leverede data er sikre og dermed ikke escape før output.

Note: Jeg vil ikke offentliggøre exploit payloads eller trin-for-trin exploit kæder - det ville være uansvarligt. Denne guide fokuserer på sikker detektion, inddæmning og afhjælpning.

Exploit-scenarier - hvem er i risiko, og hvordan en angriber kunne bruge dette

  1. Kompromitteret Admin Workflow
    • Hvis en angriber får fat i admin-legitimationsoplysninger (phishing, credential stuffing), kan de tilføje et ondsindet snippet i plugin-indstillingerne. Det snippet vil senere blive gengivet til besøgende eller andre admin-brugere.
  2. Admin Social Engineering
    • En angriber laver et link eller en e-mail, der får en admin til at klikke og indsende en ondsindet payload i en indstillingsformular (for eksempel en forfalsket POST-anmodning). Fordi plugin'et ikke sanitiserer felter, bliver payloaden gemt.
  3. Ondsindede tredjepartsintegrationer
    • Hvis siden integreres med en tredjepartsautomatisering, der har admin-niveau adgang (deploymentscripts, eksterne redaktører), kunne tredjeparten utilsigtet (eller ondsindet) indsætte payloads.

Potentiel indvirkning efter succesfuld gemt XSS:

  • Stjæl session cookies eller udfør handlinger i admin-konteksten (opret nye brugere, ændre indstillinger).
  • Lever yderligere malware til besøgende på siden.
  • Oprethold en bagdør med en CSRF-assisteret anmodning udført af det injicerede script.
  • Injicer ondsindet tracking / phishing UI for at indsamle legitimationsoplysninger fra besøgende på siden.

Fordi gemt XSS kører i en browser, afhænger den fulde indvirkning af, hvad browser-sessionen kan gøre - hvis offeret er en admin eller privilegeret bruger, er risikoen forhøjet.

Øjeblikkelige handlinger for webstedsejere / administratorer (første 24 timer)

Hvis dit websted bruger LotekMedia Popup Form og versionen er ≤ 1.0.6, skal du straks følge disse trin:

  1. Identificér berørte steder
    • Tjek WordPress admin > Plugins og noter, om LotekMedia Popup Form (ltm-popup-form) er installeret og version ≤ 1.0.6.
  2. Deaktiver midlertidigt eller deaktiver plugin'et.
    • Hvis en patch eller sikker version endnu ikke er tilgængelig, deaktiver plugin'et, indtil en leverandørpatch er frigivet. Deaktivering forhindrer, at nye input gemmes, og kan i nogle tilfælde stoppe rendering af plugin-genereret HTML.
  3. Begræns administratoradgang
    • Reducer midlertidigt antallet af konti med administratorrettigheder.
    • Håndhæve stærke adgangskoder for alle admin-konti (brug unikke adgangssætninger eller en adgangskodeadministrator).
    • Aktivér to-faktor autentificering (2FA) for admin-brugere.
    • Hvis muligt, begræns admin-adgang efter IP (whitelisting) eller begræns adgang til et VPN.
  4. Gennemgå for kompromitteringer
    • Tjek for nye eller mistænkelige admin-konti.
    • Gennemgå nylige ændringer i plugin-indstillingerne og se, om nogle felter indeholder script-tags eller uventet HTML.
    • Søg wp_options, post meta og andre DB-tabeller efter “<script”, “onerror=”, “javascript:” eller andre mistænkelige understrenge. (Brug sikre databaseforespørgsler og tag backup først.)
    • Tjek serverlogfiler for usædvanlige POST-anmodninger til plugin-admin-endepunkter.
  5. Rotér legitimationsoplysninger og nøgler
    • Hvis du mistænker en kompromittering, skal du ændre admin-adgangskoder, rotere API-nøgler og tokens samt opdatere FTP/SSH-legitimationsoplysninger.
  6. Backup
    • Tag en fuld backup (filer og database) før du foretager større ændringer, så du kan analysere en kendt god tilstand.
  7. Scan siden
    • Kør en malware-scanning og integritetskontrol for at opdage webshells, ændrede kernefiler eller andre ændringer.
  8. Overvåg for mistænkelig klient-side adfærd
    • Brug en browser til at se offentlige sider (i et sikkert miljø) og tjek om der vises uventede popups, omdirigeringer eller injiceret indhold.

Hvis du ikke kan udføre trin selv eller foretrækker en administreret tilgang, kontakt en betroet sikkerhedsudbyder straks.

Mellemlangvarig afhjælpning (dage til uger)

  1. Anvend leverandørens patch.
    • Når plugin-udvikleren frigiver en rettet version, opdater straks. Hvis plugin'et forbliver uden patch i en urimelig periode, overvej at fjerne det eller erstatte det med et vedligeholdt alternativ.
  2. Rens injiceret indhold
    • Fjern alt ondsindet indhold gemt i plugin-indstillinger eller andre vedholdende placeringer. Rens eller fjern HTML fra indstillingsfelter, der ikke er intentionelt betroet.
    • Hvis du ikke er sikker på, hvilke felter der blev påvirket, gendan indstillinger fra en ren backup (før infektion) efter fuldt at have bekræftet, at backup'en er ren.
  3. Gennemgå og reparer
    • Se efter yderligere tegn på kompromittering (nye filer, planlagte opgaver, ændrede temaer/plugins).
    • Bekræft filintegriteten af WordPress-kerne, tema- og plugin-filer mod friske kopier fra WordPress.org eller leverandørpakker.
  4. Hærdning
    • Sørg for, at alle andre plugins og temaer er opdaterede.
    • Håndhæv princippet om mindst privilegium: giv kun admin-rettigheder til konti, der virkelig har brug for dem.
    • Brug centraliserede logs og alarmering til at opdage mistænkelige admin-handlinger.
    • Tilføj Content Security Policy (CSP) headers for at mindske virkningen af injicerede scripts (eksempel: forbyd inline scripts eller tillad kun scripts fra dine betroede domæner). Bemærk, at CSP kræver omhyggelig testning, da det kan bryde legitim funktionalitet.

Langsigtet forebyggelse og udviklingsvejledning

For plugin-forfattere og udviklingsteams kræver forebyggelse af denne klasse af sårbarhed en kombination af sikker inputhåndtering, output-escaping og passende kapabilitetskontroller:

  • Sanitering ved input, undslippe ved output
    • Ved gemme: brug sanitize_text_field(), sanitize_textarea_field(), sanitize_email(), intval(), eller brugerdefinerede sanitiseringsfunktioner afhængigt af den forventede indtastningstype.
    • Hvis plugin'et skal gemme begrænset HTML, brug wp_kses() med en streng tilladt liste i stedet for at gemme vilkårlig HTML.
    • Ved output: altid escape med esc_html(), esc_attr(), esc_tekstområde(), esc_url() eller wp_kses_post() afhængigt af konteksten.
  • Brug WordPress Settings API
    • Settings API inkluderer indbyggede strukturer til validering og sanitisering. Udnyt det til at standardisere håndtering af indstillinger.
  • Brug kapabilitetskontroller og nonces
    • Tjek altid current_user_can('administrer_indstillinger') (eller passende kapabilitet) og wp_verify_nonce() ved admin formularindsendelser for at sikre, at kun autoriserede og tilsigtede anmodninger behandles.
  • Undgå at antage, at admin-input er sikkert
    • Administratorer kan blive narret; behandl aldrig admin-leveret data som implicit betroet.
  • Kode data korrekt til output-konteksten
    • Skel mellem attributkontekst, HTML-kontekst, JavaScript-kontekst når du escaper. Brug den rigtige escaping-funktion for hver.
  • Logging og ændringssporing
    • Hold en revisionsspor af konfigurationsændringer og hvem der foretog dem. Dette hjælper både med at opdage mistænkelig aktivitet og understøtter hændelsesrespons.

Detektion: hvad man skal se efter (indikatorer for kompromis – IOCs)

Hvis du mistænker udnyttelse, skal du se efter følgende tegn:

  • Tilstedeværelse af script-tags, inline begivenhedshåndterere (onerror=, onload=), eller javascript: URIs inde i plugin-indstillinger (wp_options tabel) eller post-meta.
  • Uventede omdirigeringer eller popups på offentlige sider.
  • Nye administratorbrugere tilføjet omkring tidspunktet for mistænkelige ændringer.
  • Mistænkelige planlagte opgaver (wp_cron poster), der udfører ukendt kode.
  • Ændrede kerne- eller tema-filer, især filer der indeholder eval(), base64_decode(), eller include() kald til ukendte filer.
  • Unormale trafikspidser eller usædvanlige bruger-agent strenge i logfiler.
  • Login-anomalier (mislykkedes forsøg efterfulgt af succesfuld admin-login fra usædvanlige IP-adresser).

Hvis der findes nogen IOC, udfør de umiddelbare inddæmningsskridt: deaktiver plugin, roter legitimationsoplysninger, gendan fra rene sikkerhedskopier hvis nødvendigt, og udfør en grundig retsmedicinsk analyse.

Virtuel patching med en WAF: hvordan WP-Firewall kan hjælpe

Når umiddelbare leverandørrettelser endnu ikke er tilgængelige, tilbyder virtuel patching (WAF-regler) den hurtigste måde at mindske udnyttelsesrisiko ved at blokere ondsindede payloads på HTTP-laget, før de rammer den sårbare kodevej.

Nøgleteknikker til virtuel patching, som vi anvender eller anbefaler:

  • Bloker POST/PUT-anmodninger til kendte plugin-admin-endepunkter, medmindre de kommer fra betroede IP-adresser eller med gyldig admin-session kontekst. For eksempel, begræns anmodninger til /wp-admin/options.php eller brugerdefinerede plugin-admin-endepunkter til autentificerede admin-sessioner kun.
  • Filtrer mistænkelige inputmønstre ud, før serveren behandler dem. Regler kan opdage og blokere payloads, der indeholder:
    • , onerror=, onload=, javascript:
    • Encoded forms of those tokens (e.g., %3Cscript%3E)
  • Bloker anmodninger, der inkluderer inline JavaScript i formularfelter, der er beregnet til almindelig tekst.
  • Anvend en streng Content Security Policy (CSP) header via WAF for at forbyde inline scripts og kun tillade JS fra betroede værter — dette reducerer virkningen af enhver injiceret inline script.
  • Rate-limite og CAPTCHA/2FA flows for admin-sider for at reducere chancen for automatiserede angreb.
  • Tilføj virtuelle signaturer, der ser efter kendte sårbare parametre i pluginet, når de ses i kombination med mistænkeligt input.

WP-Firewall-kunder (inklusive dem på den gratis plan) drager fordel af administrerede WAF-beskyttelser, der hurtigt kan blokere kendte ondsindede mønstre, mens en officiel patch frigives og testes. Vores administrerede regler er justeret for at minimere falske positiver, mens de maksimerer beskyttelsen mod reelle angrebsmønstre.

Note: Virtuelle patches er ikke en erstatning for en ordentlig plugin-rettelse. De er et midlertidigt risikoreduktionsmål, når en patch endnu ikke er implementeret.

Sikker hændelsesrespons playbook

Hvis du finder beviser for udnyttelse, følg denne tjekliste:

  1. Indeholde
    • Deaktiver det sårbare plugin.
    • Bloker admin-adgang fra ikke-betroede IP-adresser.
    • Anvend WAF-regler for at blokere mistænkelige input.
  2. Bevar beviser
    • Kopier logfiler, databasesnapshots og filsystem snapshots til retsmedicinsk gennemgang.
    • Sørg for, at sikkerhedskopier er isolerede for at undgå reinfektion.
  3. Udrydde
    • Fjern ondsindede payloads fra pluginindstillinger og andre vedholdende placeringer.
    • Erstat eventuelle ændrede kerne-/tema-/plugin-filer med rene kopier fra officielle kilder.
    • Fjern eventuelle ukendte brugere, planlagte opgaver eller rogue-filer.
  4. Genvinde
    • Gendan fra en kendt god backup, hvis siden er for kompromitteret til at rense.
    • Rotér legitimationsoplysninger for alle administrator-konti og API-nøgler.
    • Genaktiver tjenester efter at have bekræftet, at miljøet er rent.
  5. Handlinger efter hændelsen
    • Udfør en post-mortem: hvordan blev administrator-kontoen kompromitteret (phishing, svag adgangskode, 3. part)?
    • Hærd processer for at forhindre gentagelse: håndhæve 2FA, reducere antal administratorer, implementere stærke adgangskodepolitikker.
    • Overvåg nøje for enhver gentagelse i en periode (f.eks. 30–90 dage) efter oprydning.

Hvis du er usikker på, hvordan du skal fortsætte, engager en sikkerhedsprofessionel, der kan udføre en fuld retsmedicinsk analyse og afhjælpning.

Praktiske database- og filkontroller (sikre trin)

  • Søg efter scripting artefakter i options-tabellen:
    • Eksempel på sikker kontrol (kør på en skrivebeskyttet kopi af databasen): VÆLG option_name, option_value FRA wp_options HVOR option_value LIGNER '%<script%';
    • Erstat wp_options med dit tabelpræfiks.
  • Inspicer pluginindstillinger via plugin-administrationssiden — gennemgå hvert felt for uventet HTML eller inline scripts.
  • Tjek uploads og plugin-kataloger for nyligt ændrede filer. Hvis filer er ukendte eller mistænkelige, inspicer dem omhyggeligt på en isoleret maskine.

Tag altid en backup, før du foretager ændringer, og foretræk at arbejde på en kopi eller staging-miljø, når det er muligt.

Udviklercheckliste for at rette denne fejl (for plugin-vedligeholdere)

  • Identificer hvert sted, der gemmer administrator-givet data, og anvend passende sanitering ved gemning.
  • Identificer hvert sted, der udskriver gemte data, og sørg for korrekt escaping for konteksten (HTML, attribut, URL, JS).
  • Undgå at gemme rå brugerleveret HTML — hvis HTML er påkrævet, brug wp_kses() med en sikker tilladelsesliste (meget restriktiv).
  • Tilføj enheds- og integrationstest, der bekræfter, at ondsindede nyttelaster bliver fjernet eller undsluppet.
  • Gennemgå admin-endepunkter for kapabilitetskontroller (nuværende_bruger_kan), nonces og korrekte privilegier.
  • Overvej at tilføje logning for ændringer i kritiske indstillinger, så webstedsejere kan spore, hvem der ændrede hvad og hvornår.

Kommuniker rettelsen gennemsigtigt med udgivelsesnoter, der inkluderer CVE og korrekte opgraderingsinstruktioner.

Content Security Policy (CSP) — et effektivt afbødningslag

En korrekt implementeret CSP kan betydeligt reducere virkningen af XSS ved at forbyde inline-scripts og kun tillade scripts fra tilladte kilder. Eksempel på direktiver (skal testes grundigt før produktion):

  • default-src 'self';
  • script-src 'self' https://trusted.cdn.example.com;  // undgå ‘unsafe-inline’
  • object-src 'none';
  • frame-ancestors 'self';
  • base-uri 'self';

CSP er en kraftfuld forsvarsstrategi, men den kan ikke erstatte korrekt server-side sanitering og undslipning.

Hvorfor du ikke bør vente på patchen: reducer angrebsoverfladen nu

Selvom denne sårbarhed kræver, at en administrator gemmer nyttelasten, kan admin-konti blive kompromitteret. Angribere bruger ofte små, oversete plugins som en vektor til at eskalere. At reducere angrebsoverfladen og begrænse admin-eksponering nu forhindrer en mulig kædet kompromittering:

  • Fjern ubrugte plugins og temaer.
  • Brug 2FA og enhedsbaseret autentificering for administratorer.
  • Begræns admin-konti og brug rolleopdeling (redaktør, forfatter) til rutinemæssige indholdsopgaver.
  • Overvåg logs og aktiver alarmer for mistænkelig admin-adfærd.

Begynd at beskytte dit site nu — WP-Firewall Gratis plan

Beskyt dit site straks — Start WP-Firewall Gratis

Hvis du ønsker øjeblikkelig, administreret beskyttelse, mens du håndterer plugin'et og får leverandørens patch, overvej at tilmelde dig WP-Firewall gratis plan. Den gratis niveau giver essentielle administrerede firewall-beskyttelser og WAF-regel dækning for at hjælpe med at blokere kendte og ukendte injektionsmønstre, mens du udbedrer.

Tilmeld dig her: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Hvad den gratis plan tilbyder

  • Grundlæggende (Gratis) — Essentiel beskyttelse
    • Administreret firewall med kontinuerlige regelopdateringer
    • Ubegribelig båndbredde til beskyttet trafik
    • Web Application Firewall (WAF) til at blokere almindelige injektionsmønstre
    • Malware-scanner til at opdage mistænkelige filer og payloads.
    • Afbødning af OWASP Top 10 risici

Opgraderingsmuligheder (hvis du ønsker mere automatisering og support)

  • Standard ($50/år) — Tilføjer automatisk malware-fjernelse og IP blacklist/whitelist kontroller (op til 20 IP'er).
  • Pro ($299/år) — Tilføjer månedlige sikkerhedsrapporter, automatisk virtuel patching af sårbarheder og premium tilføjelser som dedikeret support og administrerede tjenester.

Hvis du har med en plugin-sårbarhed som LotekMedia Popup Form-problemet at gøre, giver den gratis plan dig en administreret WAF og scanning grundlinje, mens du løser roden til problemet — og opgraderinger tilføjer automatisering, der sparer tid under hændelser.

Ofte stillede spørgsmål (FAQ)

Q: Hvis sårbarheden kræver admin-rettigheder, hvorfor er det så presserende?
A: Admin-konti er højt værdsatte mål. En angriber, der phishing eller på anden måde kompromitterer en admin, kan indsætte en payload, der påvirker mange besøgende eller andre admin-brugere. Dette forvandler en enkelt konto-kompromittering til et site-omfattende problem.

Q: Kan jeg bare “sanitisere ved output” og være færdig?
A: Både input-sanitization og output-escaping er nødvendige. Sanitisér ved gemme for at undgå at forurene lagring med ondt indhold; escape ved output for at sikre, at intet usikkert når browseren, selvom lagringen indeholder uventede data.

Q: Er virtuel patching / WAF nok?
A: Virtuel patching er en øjeblikkelig afbødning, men ikke en permanent løsning. Det køber tid og reducerer angrebsoverfladen, mens du anvender en ordentlig kode-niveau patch og følger en fuld udbedringsproces.

Q: Hvordan ved jeg, at plugin'et er fikset?
A: En sikker løsning bør inkludere:

  • Ordentlig sanitization ved gemme,
  • Korrekt undslippe ved rendering,
  • Tests der demonstrerer lukning af sårbarhed,
  • Udgivelsesnoter der refererer til CVE og beskriver rettelsen.

Afsluttende bemærkninger: årvågenhed og vejen fremad

WordPress-økosystemer inkluderer uundgåeligt mange tredjeparts plugins, og lejlighedsvise sikkerhedsproblemer er uundgåelige. Den sunde reaktion er hurtig identifikation, omhyggelig inddæmning og systematisk afhjælpning. Denne LotekMedia Popup Form lagrede XSS kan rettes — men det kræver handling fra både webstedsejere og plugin-vedligeholdere. Hvis du hoster websteder med flere administratorer, eller din organisation er afhængig af eksterne bidragydere, så tag dette øjeblik til at stramme administratorkontrollerne og styrke miljøet.

Hvis du ønsker øjeblikkelig, administreret beskyttelse, mens du følger de ovenstående afhjælpningstrin, giver WP-Firewalls gratis plan en baseline af administreret WAF-beskyttelse og scanning, der dramatisk kan reducere risikofensteret. Du kan tilmelde dig sikkert her: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Hvis du har brug for hjælp til triage, retsmedicinsk analyse eller fuld afhjælpning, tilbyder WP-Firewall administrerede tjenester og hændelsessupport til en række behov — fra hurtige virtuelle patches til fuld webstedsgendannelse og løbende administreret sikkerhed.

Hold dig sikker, hold dine plugins opdaterede, og behandl administratoradgang som den kritiske ressource, den er.

— WP-Firewall Sikkerhedsteam

wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.

Kontakt os for at aftale en gratis WordPress-sikkerhedskonsultation

Kontakt os

WP-firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Funktioner Prissætning Blog Log ind
Privatlivspolitik Servicevilkår Dokumenter Affiliate

© 2026 WP-Firewall™