Afhjælpning af ExactMetrics IDOR i WordPress//Udgivet den 2026-03-11//CVE-2026-1992

WP-FIREWALL SIKKERHEDSTEAM

ExactMetrics CVE-2026-1992 Vulnerability

Plugin-navn ExactMetrics
Type af sårbarhed Usikker direkte objektreference (IDOR)
CVE-nummer CVE-2026-1992
Hastighed Lav
CVE-udgivelsesdato 2026-03-11
Kilde-URL CVE-2026-1992

Hastere: Usikker direkte objektreference (IDOR) i ExactMetrics (CVE-2026-1992) — Hvad WordPress-webstedsejere skal gøre nu

En nylig autentificeret IDOR i ExactMetrics (Google Analytics Dashboard for WP) plugin'et (versioner 8.6.0–9.0.2) kan tillade privilegerede, men ikke-administrator konti at udføre vilkårlig plugin-installation. Lær om risiko, detektion, øjeblikkelige afbødninger, langsigtet hærdning, og hvordan WP‑Firewall beskytter dig.

TL;DR — En nylig offentliggjort autentificeret usikker direkte objektreference (IDOR), der påvirker ExactMetrics (versioner 8.6.0 → 9.0.2, CVE-2026-1992), kan lade angribere med visse loggede privilegier udløse vilkårlig plugin-installation på sårbare websteder. Hvis du kører dette plugin, skal du opdatere straks til 9.0.3 eller senere. Følg detektions- og afhjælpningstrinene nedenfor. Hvis du administrerer flere websteder eller ikke kan patches straks, tilbyder WP‑Firewall administrerede WAF-beskyttelser og virtuel patching for at afbøde denne risiko, mens du afhjælper.

1. Oversigt

Den 12. marts 2026 offentliggjorde en offentlig rådgivning, der tildelte CVE-2026-1992, en autentificeret usikker direkte objektreference (IDOR) i ExactMetrics (Google Analytics Dashboard for WP) plugin'et, der påvirker versioner fra 8.6.0 til 9.0.2. Sårbarheden tillader en logget bruger med en specifik “tilpasset” rolle (eller anden ikke-administrator privilegium i nogle konfigurationer) at referere til objekter direkte på en måde, der omgår ordentlige autorisationskontroller og kan føre til vilkårlig plugin-installation på webstedet.

Selvom udnyttelse kræver en autentificeret konto, opnår trusselaktører ofte sådanne konti gennem social engineering, credential stuffing, genbrugte adgangskoder, svage onboarding-kontroller eller ved at kompromittere konti med lavere privilegier. Fordi plugin-installation er en højindflydelseskapacitet, er udnyttelsesvektoren alvorlig og skal håndteres straks.

Dette indlæg forklarer:

  • Hvad sårbarheden er, og hvorfor den er vigtig.
  • Hvem der er påvirket, og CVE-detaljerne.
  • Øjeblikkelige og mellemliggende afbødninger, du kan implementere i dag (inklusive WAF/virtuel patching vejledning).
  • Incident response og retsmedicinske skridt, hvis du mistænker udnyttelse.
  • Hvordan du hærder din WordPress-installation og bedste praksis for plugin-udvikling.
  • Hvordan WP‑Firewall hjælper med at beskytte websteder (inklusive den gratis Basic-plan).

2. Hvad er en IDOR, og hvorfor er denne vigtig

Usikre direkte objektreferencer (IDOR) opstår, når en applikation eksponerer en reference til et internt implementeringsobjekt (fil, databasepost, plugin-identifikator osv.) uden ordentligt at kontrollere, at den anmodende bruger er autoriseret til at få adgang til eller manipulere det objekt. I WordPress-plugins sker IDOR ofte, når plugin-logik bruger ID'er, slugs eller filnavne leveret af klienten og undlader effektivt at kontrollere current_user_can() eller lignende autorisationsporte.

Med ExactMetrics CVE-2026-1992:

  • Plugin'et eksponerer en handling eller endpoint, der accepterer en reference, som kan bruges til at vælge et plugin til installation.
  • Endpointet udfører utilstrækkelige autorisationskontroller — en bruger med en specifik privilegeret “tilpasset” rolle (eller en anden ikke-administrator rolle, der utilsigtet er blevet tildelt rettigheder) kan udløse plugin-installation eller manipulere plugin-installationsflowet.
  • Når en angriber kan installere plugins, kan de installere ondsindede bagdøre, eskalere privilegier, eksfiltrere data, oprette vedholdende konti eller pivotere til andre systemer.

Nøgleårsag til, at dette er konsekvent:

  • Plugininstallation er i bund og grund fuld kodeeksekveringskapacitet på et WordPress-site, hvis et plugin med ondsindet kode aktiveres.
  • Mange administratorer vurderer ikke straks nyinstallerede plugins.
  • Automatiserede eller uovervågede miljøer (hvor kode kører uden manuel gennemgang) er især sårbare.

3. Berørte versioner og CVE

  • Software: ExactMetrics (Google Analytics Dashboard til WP)
  • Berørte pluginversioner: 8.6.0 — 9.0.2
  • Patchet i: 9.0.3
  • CVE: CVE-2026-1992
  • Klassifikation: Usikre direkte objektreferencer (IDOR) — OWASP A1/Brudt adgangskontrol

Hvis du kører nogen af de berørte versioner, planlæg at opdatere straks til 9.0.3 eller senere. Hvis du ikke kan opdatere straks, implementer kompenserende kontroller, der er angivet nedenfor.

4. Risikomodel og udnyttelsesscenarier

Potentielle angriberveje:

  • En ondsindet eller kompromitteret bruger (forfatter/redaktør eller brugerdefineret rolle-konto) bruger det sårbare endpoint til at anmode om installation af en vilkårlig pluginpakke.
  • Angriberen installerer et plugin, der inkluderer bagdøre, admin-oprettelsesfunktioner eller planlagte opgaver (crons) for at opretholde vedholdenhed.
  • Derfra kan angriberen hæve privilegier, eksfiltrere data (brugerdata, API-tokens) eller bruge sitet som en pivot til yderligere angreb.

Sandsynlighedsfaktorer:

  • Sandsynligheden stiger på sites, der tillader ikke-administratorrollebrugere at udføre avancerede handlinger.
  • Sandsynligheden stiger, hvor brugerkonti har svage adgangskoder, genbrug af adgangskoder eller ingen 2FA.
  • Sandsynligheden stiger på multi-forfatter blogs, medlemskabswebsteder, bureauer eller administreret WP-hosting med delegerede roller.

Indvirkning:

  • Fuld sitesikkerhedskomprimitet, hvis angriberen installerer et ondsindet plugin og aktiverer det.
  • Datatyveri (brugerlister, analyse data), SEO-spam eller malware distribution.
  • Dyr rengøring, omdømme skade og mulige regulatoriske konsekvenser, hvis kundedata lækkes.

5. Øjeblikkelige handlinger (0–24 timer)

Disse trin er prioriteret, så du kan reducere risikoen med det samme.

  1. Opdater med det samme
    • Opdater ExactMetrics til version 9.0.3 eller senere. Dette er den definitive løsning.
  2. Hvis du ikke kan opdatere med det samme, deaktiver plugin-installation
    • Fjern midlertidigt eller begræns muligheden for at installere plugins.
    • Du kan tilføje dette til din wp-config.php for at deaktivere redigering af plugin- og tema-filer (bemærk: dette blokerer direkte filredigering via admin UI; plugin-installationer gennem andre mekanismer kan stadig være mulige): 
      define('DISALLOW_FILE_MODS', sand);
    • Hvis du er afhængig af automatiske plugin-installationer til CI/CD, skal du implementere en tilladelsesliste for at forhindre web-initierede installationer.
  3. Gennemgå loggede konti
    • Gennemgå alle konti med redaktør/forfatter/tilpassede roller.
    • Fjern forældede konti og håndhæv stærke adgangskoder og 2FA for alle brugere med forhøjede roller.
  4. Lås plugin-installationssider
    • Begræns adgangen til admin-sider (plugin-installation.php, opdater-kerne.php, plugin-redaktør.php) efter IP for administratorer, hvor det er muligt.
    • Tilføj HTTP-godkendelse (basicauth) foran følsomme admin-sider som en nødsituation.
  5. Overvåg for mistænkelig aktivitet
    • Tjek nylig admin-aktivitet for nye plugin-installationer eller ændringer, især mellem den dato, du først introducerede plugin'et, og nu.
    • Se efter mistænkelige cron-jobs, planlagte opgaver eller nye filer i wp-indhold/plugins.
  6. Tag en backup (før du foretager ændringer)
    • Opret en øjeblikkelig fuld-site backup (filer + database). Dette bevarer aktuelle data til retsmedicinske formål.

6. Detektion: hvad man skal se efter (Indikatorer for kompromittering)

Beviser på, at et site kan være blevet målrettet eller udnyttet inkluderer:

  • Nyinstallerede plugins, som du ikke har godkendt.
  • For nylig aktiverede plugins tilføjet af ikke-administrator konti.
  • Uventede administratorbrugere eller ændringer i brugerroller.
  • Filændringer i wp-indhold/plugins eller usædvanlige filer i wp-indhold/uploads.
  • Nye planlagte opgaver (cron jobs), der kører PHP-kode.
  • Udbundne forbindelser til mistænkelige IP'er/domæner fra sitet (tjek serverlogs og firewall-logs).
  • Usædvanlige stigninger i HTTP POST-anmodninger til plugin-endepunkter, admin-ajax, eller wp-admin/plugin-install.php.
  • Databaseposter i wp_options der refererer til ukendte plugins, aktiveringshooks eller injiceret kode.

Logkilder at tjekke:

  • WordPress aktivitetslogs (hvis du har et revisionsplugin installeret).
  • Webserver adgangslogs og fejl logs.
  • Vært eller kontrolpanel aktivitetslogs (hvis leveret af din vært).
  • WAF logs (anmodninger blokeret; gentagne forsøg på plugin-install endepunkter).
  • Malware scanner rapporter.

7. Incident response / afhjælpningscheckliste (hvis du mistænker kompromittering)

  1. Indeholde
    • Sæt sitet i vedligeholdelsestilstand eller tag det offline, hvis aktiv kompromittering bekræftes.
    • Skift alle administratoradgangskoder og ugyldiggør sessioner for alle brugere (tving adgangskode nulstilling).
  2. Bevar
    • Opret retsmedicinske kopier af filer og database.
    • Eksporter relevante logfiler (webserver, WAF, FTP/SFTP).
  3. Undersøge
    • Identificer tidslinjen: hvornår det sårbare plugin blev installeret/opdateret, og eventuelle nye plugins tilføjet efter dette tidspunkt.
    • Søg efter kendte indikatorer ovenfor.
    • Inspicer wp_brugere og wp_usermeta for rogue admin poster.
    • Inspicer den aktive plugins-mappe for ukendt plugin-kode.
  4. Udrydde
    • Fjern ondsindede plugins, bagdøre eller injicerede filer. Bemærk: blot at slette filer fjerner muligvis ikke server-niveau bagdøre eller database-injicerede payloads.
    • Hvis du ikke kan fjerne al ondsindet kode med sikkerhed, gendan fra en kendt god backup taget før kompromitteringen.
    • Rotér alle hemmeligheder: databaseadgangskode, API-nøgler, applikationsadgangskoder og site-salte i wp-config.php (hvis kompromitteret).
  5. Genvinde
    • Anvend alle opdateringer (WP core, temaer og plugins).
    • Hærd siden i henhold til retningslinjerne for afhjælpning nedenfor.
    • Genaktiver siteservices først efter grundig validering og scanning.
  6. Underret & Lær
    • Informer interessenter om hændelsen, hvis data blev eksponeret.
    • Udfør en post-mortem for at lukke procesgaps og forbedre detektion.

Hvis du ikke har den interne ekspertise til at udføre en dyb forensisk gennemgang, overvej at engagere professionelle hændelsesrespondenter.

8. Hærdning og langsigtet forebyggelse

Disse kontroller reducerer både chancen for kompromittering og virkningen, hvis et problem opdages i fremtiden.

  • Princip for Mindste Privilegium (PoLP)
    • Giv de minimale kapaciteter, der kræves for hver rolle. Gennemgå brugerdefinerede roller månedligt.
    • Kun administratorer bør være i stand til at installere og aktivere plugins.
  • Multi-faktor godkendelse (MFA)
    • Håndhæve MFA for alle konti med redigerings-/administrationsrettigheder.
  • Stærke adgangskodepolitikker & SSO
    • Håndhæve stærke, unikke adgangskoder og aktivere SSO, hvis det er tilgængeligt.
  • Revision & aktivitetslogning
    • Aktivér en revisionslog, der registrerer alle plugin-installationer, aktiveringer, brugerrolleændringer og filredigeringer.
  • Overvågning af filintegritet
    • Overvåg kernebiblioteker (wp-config.php, wp-content/plugins/*, wp-content/themes/*) for uventede filændringer.
  • Backup & genopretning
    • Oprethold automatiserede, off-site backups med en opbevaringspolitik og test gendannelser regelmæssigt.
  • Mindst udsat admin-adgang
    • Begræns adgang til /wp-admin og plugin-installationssider efter IP eller ved at håndhæve et ekstra godkendelseslag (VPN, IP tilladelister, HTTP basic auth).
  • Opdateringsstyring & test
    • Oprethold en patching-cyklus for plugins og kerne.
    • Test opdateringer i et staging-miljø før produktionsopdateringer, hvor det er muligt.
  • Udviklings bedste praksis (for bureauer og teams)
    • Undgå at installere plugins fra ikke-pålidelige kilder.
    • Brug private plugin-repositorier eller godkendte plugin-kataloger.
    • Automatiser sikkerhedstjek i CI/CD pipelines.

9. Udviklervejledning (hvordan plugin-forfattere skal forhindre denne klasse af fejl)

Plugin-forfattere kan undgå IDOR og brud på adgangskontrol ved at:

  • Altid validere både autentificering og autorisation for hver anmodning. Brug kapabilitetskontroller som nuværende_bruger_kan('installer_plugins') hvor relevant.
  • Brug nonces (wp_nonce_field / check_admin_referer) for tilstandsændrende handlinger.
  • Undgå at stole på brugerleverede ID'er: validér at den refererede ressource ejes af brugeren, eller at brugerrollen har eksplicitte rettigheder.
  • Rens og valider alle indkommende parametre (stol aldrig på brugerleverede plugin-slugs eller filstier uden kanonisk verifikation).
  • Brug WordPress API-funktioner i stedet for at konstruere forespørgsler eller filsystemoperationer direkte.
  • Log admin-niveau handlinger (plugin-installationer, aktiveringer) med bruger-ID'er og IP-adresser til revision.
  • Følg princippet om mindst privilegium internt — eksponer kun UI/handlinger til roller, der skal bruge dem.

10. Hvordan WP‑Firewall beskytter dig (hvad vores produkt gør, og hvordan det hjælper)

Hos WP‑Firewall fokuserer vi på praktiske beskyttelseslag, der reducerer både angrebsoverflade og vinduet for eksponering mellem sårbarhedsafsløring og patching.

Nøglelag, vi tilbyder:

  • Administreret webapplikationsfirewall (WAF)
    • Vores WAF inspicerer indkommende anmodninger og blokerer mistænkelige mønstre og endpoint-misbrug. For denne IDOR-klasse inkluderer vi regler for at blokere uautoriserede forsøg på at bruge plugin-installationsendepunkter fra ikke-admin-sessioner.
    • Virtuel patching: hvis du ikke kan opdatere en sårbar plugin med det samme, kan WP‑Firewall implementere en virtuel patchregel, der blokerer kendte udnyttelsesforespørgsler til de sårbare stier og parametre, indtil plugin'en er patched.
  • Malware Scanner & Detektion
    • Kontinuerlig scanning af plugin-kataloger, temaer og kernefiler for at opdage nyintroducerede ondsindede filer eller ændrede kildefiler.
  • OWASP Top 10 Afbødninger
    • Vores platform er justeret til at reducere risikoen fra almindelig brud på adgangskontrol, injektion og andre typiske WordPress-trusler.
  • Audit Logging & Alarmer
    • Vi registrerer forsøg på at få adgang til følsomme admin-endepunkter og sender alarmer, når mistænkelig aktivitet observeres, så du kan handle hurtigt.
  • Administrerede afbødningsmuligheder (højere niveauer)
    • For teams that want hands-off protection, managed virtual patching and incident response options are available (see plan descriptions below).

For hold, der ønsker hands-off beskyttelse, er der tilgængelige administrerede virtuelle patching og hændelsesresponsmuligheder (se planbeskrivelserne nedenfor).

If you run many sites or manage client environments, our virtual patching capability is particularly useful: it gives you an immediate barrier against attempt patterns targeting this CVE while you coordinate and validate plugin updates.

Hvis du driver mange websteder eller administrerer klientmiljøer, er vores virtuelle patching-funktion særligt nyttig: den giver dig en øjeblikkelig barriere mod forsøgs mønstre, der målretter denne CVE, mens du koordinerer og validerer plugin-opdateringer.

  1. 11. Suggested WAF rule examples (defensive only)
      11. Foreslåede WAF-regel eksempler (kun defensiv) /wp-admin/plugin-install.php eller admin-ajax.php hvor handling parameteren er lig med Below are conceptual defensive rules you can apply in a WAF to reduce immediate risk. These examples are for defensive configuration and should be adapted to your environment. Do not blindly copy-paste without testing in staging. Nedenfor er konceptuelle defensive regler, du kan anvende i en WAF for at reducere umiddelbar risiko. Disse eksempler er til defensiv konfiguration og bør tilpasses dit miljø. Kopier ikke blindt uden at teste i staging.
      Block plugin install actions from non-admin IPs.
  2. Bloker plugin-installationshandlinger fra ikke-admin IP'er
      – Condition: HTTP request to plugin-installation.php eller wp-admin/admin-ajax.php – Betingelse: HTTP-anmodning til.
      plugin_install.
  3. plugin_install
      OR where request contains plugin installation parameters.
      ELLER hvor anmodningen indeholder plugin-installationsparametre.
  4. – Action: Require user to originate from admin IP allowlist or challenge (e.g., CAPTCHA / 2FA) — block otherwise.
      – Handling: Kræv, at brugeren stammer fra admin IP tilladelsesliste eller udfordring (f.eks. CAPTCHA / 2FA) — blokér ellers.
      Block unusually frequent requests to plugin-install endpoints.

Vigtig: Bloker usædvanligt hyppige anmodninger til plugin-installationsendepunkter.

12. For værter og bureauer — politik anbefalinger

  • Giv aldrig plugin-installationsmuligheder til ikke-administratorbrugere som standard.
  • Brug centraliserede administrationsværktøjer med rollebaseret adgang, så du kan kontrollere plugin-livscyklussen fra et enkelt administrationsplan.
  • Udrul privilegiegennemgange, når et nyt plugin tilføjes, eller en ny teammedlem onboardes.
  • Oprethold en regelmæssig tidsplan for sårbarhedsscanning på tværs af alle klientsider.

13. Hvis du administrerer flere sider — et trinvis afhjælpningsplan

  1. Inventar
      – Generer en liste over alle sider, der kører ExactMetrics, og deres specifikke plugin-versioner.
  2. Prioriter
      – Prioriter sider, hvor ikke-administrator konti eksisterer, eller hvor plugin-installationer er mulige af flere medarbejdere.
  3. Patch & verificer
      – Opdater til 9.0.3 på staging først; verificer kritisk funktionalitet; deploy derefter til produktion.
  4. Kompenserende kontroller under udrulning
      – Hvis patching tager mere end 24 timer, aktiver WAF virtuelle patching-regler på tværs af alle berørte sider.

14. Overvågning efter afhjælpning

  • Efter patching og oprydning, overvåg i mindst 30 dage for de ovenfor nævnte indikatorer.
  • Oprethold et tamper-evident log-lager, så du kan opdage sene tests fra vedholdende angribere.
  • Udfør en fuld malware-scanning og tjek filsystemets integritet igen efter afhjælpning.

15. FAQ

Q: Hvis jeg ikke har nogen ikke-administratorbrugere, er jeg så sikker?
A: Sandsynligvis lavere risiko, men valider stadig — kompromitterede administrator-konti, genbrug af legitimationsoplysninger eller sårbarheder i andre plugins kan stadig føre til udnyttelse.

Q: Kan jeg stole på, at min vært patcher?
A: Hostingudbydere kan hjælpe med opdateringer, men ansvaret for valg af plugins og konfiguration på sites niveau falder normalt til siteejeren. Bekræft med din host, om de vil anvende plugin-opdateringer og deres patching SLA.

Q: Er en WAF nok, hvis jeg ikke kan patch?
A: En WAF med virtuel patching reducerer den umiddelbare risiko betydeligt, men det bør ikke være en permanent erstatning for at anvende leverandørrettelser. WAF'er kan blokere almindelige udnyttelsesmønstre, men håndterer muligvis ikke hver angrebsvektor.

16. Hurtig prioriteret tjekliste (resumé)

  1. Opdater ExactMetrics til 9.0.3 eller senere (højeste prioritet).
  2. Hvis øjeblikkelig opdatering ikke er mulig: deaktiver web-initieret plugin-installation (DISALLOW_FILE_MODS), begræns adgangen til plugin-installationsendepunkter, og anvend WAF virtuel patching.
  3. Gennemgå brugerroller og fjern unødvendige privilegier.
  4. Håndhæve stærke adgangskoder og MFA på alle forhøjede konti.
  5. Scann for og fjern uautoriserede plugins, filer og crons.
  6. Bevar logs og backups til retsmedicinsk gennemgang, hvis du mistænker kompromittering.

17. Udviklernote (hvis du vedligeholder ExactMetrics eller lignende plugins)

Hvis du er en plugin-udvikler, skal du behandle ethvert endepunkt, der udfører ressourcevalg eller -modifikation, som højrisiko. Valider ejerskab og autorisation på serveren for hver anmodning. Brug WordPress kapabilitetskontroller og nonces, og vedtag en sikker udviklingslivscyklus, der inkluderer statisk/dynamisk analyse og fuzz-testning mod admin-endepunkter.

18. Beskyt dit site nu — WP‑Firewall Gratis Plan

Beskyt dit WordPress-site i dag med WP‑Firewall’s Basic (Gratis) plan. Den giver essentielle beskyttelser for dramatisk at reducere din eksponering, mens du patcher:

  • Essentiel beskyttelse: administreret firewall, ubegribelig båndbredde, WAF, malware-scanner og afbødning af OWASP Top 10 risici — alt inkluderet i den gratis tier.
  • Hvis du ønsker automatiseret afhjælpning og mere kontrol, tilføjer Standard- og Pro-tier automatiseret malwarefjernelse, IP tillad/benægt lister, månedlige sikkerhedsrapporter, automatisk virtuel patching og yderligere administrerede tjenester.

Start din gratis beskyttelse nu og anvend øjeblikkelige WAF-forsvar, mens du opdaterer ExactMetrics: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Gratis plan inkluderer den administrerede firewall og WAF-beskyttelser, der kræves for at blokere udnyttelsesmønstre for den sårbarhed, der er beskrevet ovenfor. Opgraderingsmuligheder er tilgængelige for automatiseret afhjælpning, avanceret rapportering og administrerede tjenester.)

19. Afsluttende tanker

CVE-2026-1992 demonstrerer et tilbagevendende tema i WordPress-sikkerhed: selv velkendte plugins kan indeholde fejl i adgangskontrol-logik, der bliver højpåvirkende, når de berører plugin-installationsflows. Fordi udnyttelse kræver autentificering, er det mindst lige så vigtigt at styrke konto- og rolleadministration som at holde plugins opdateret.

Umiddelbare handlingspunkter: opgør berørte sider, opdater til 9.0.3, og hvis du administrerer mange sider, overvej at implementere virtuel patching gennem en administreret WAF, mens du koordinerer opdateringer.

Hvis du har brug for hjælp til at implementere virtuel patching eller har brug for hjælp til at revidere flere WordPress-instanser, kan WP‑Firewall hjælpe med både automatiserede beskyttelser og menneskestyret hændelsesrespons. Start med vores gratis plan for at få grundlæggende beskyttelse på plads, mens du retter sårbare plugins.

Hold dig sikker, og hold din side opdateret og overvåget.

— WP-Firewall-sikkerhedsteamet

wordpress security update banner

Modtag WP Security ugentligt gratis 👋
Tilmeld dig nu!!

Tilmeld dig for at modtage WordPress-sikkerhedsopdatering i din indbakke hver uge.

Vi spammer ikke! Læs vores privatlivspolitik for mere info.

Kontakt os for at aftale en gratis WordPress-sikkerhedskonsultation

Kontakt os

WP-firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Funktioner Prissætning Blog Log ind
Privatlivspolitik Servicevilkår Dokumenter Affiliate

© 2026 WP-Firewall™