Minderung von XSS-Risiken im YaMaps-Plugin//Veröffentlicht am 2026-02-18//CVE-2025-14851

WP-FIREWALL-SICHERHEITSTEAM

YaMaps for WordPress Plugin Vulnerability

Plugin-Name WordPress YaMaps für WordPress Plugin
Art der Schwachstelle Cross-Site-Scripting (XSS)
CVE-Nummer CVE-2025-14851
Dringlichkeit Niedrig
CVE-Veröffentlichungsdatum 2026-02-18
Quell-URL CVE-2025-14851

Dringend: Authentifizierte (Mitwirkende) gespeicherte XSS in YaMaps für WordPress (CVE-2025-14851) — Was Site-Besitzer jetzt tun müssen

Eine technische Analyse der authentifizierten Mitwirkenden gespeicherten Cross-Site-Scripting (XSS) Schwachstelle in YaMaps für WordPress (<= 0.6.40), Risikobewertung, Erkennung, Milderungsoptionen, WAF/virtuelle Patch-Anleitungen und empfohlene Härtungsmaßnahmen, die Sie sofort anwenden können.

Autor: WP‐Firewall-Sicherheitsteam
Datum: 2026-02-19
Stichworte: WordPress, Sicherheit, Schwachstelle, XSS, WAF, YaMaps

TL;DR

Eine gespeicherte Cross-Site-Scripting (XSS) Schwachstelle im YaMaps für WordPress Plugin (Versionen <= 0.6.40) ermöglicht es einem authentifizierten Benutzer mit Mitwirkenden-Rechten (oder höher), bösartigen JavaScript in Shortcode-Parameter einzufügen, die später in Seiten gerendert und in den Browsern der Besucher ausgeführt werden. Dieses Problem wird als CVE-2025-14851 verfolgt und wurde in Version 0.6.41 behoben.

Wenn Sie WordPress-Seiten betreiben, die YaMaps verwenden:

  • Aktualisieren Sie YaMaps sofort auf Version 0.6.41 oder höher.
  • Wenn Sie nicht sofort aktualisieren können, wenden Sie die untenstehenden Milderungsmaßnahmen an (virtueller Patch, WAF-Regeln, Einschränkungen der Berechtigungen).
  • Überprüfen Sie Beiträge und Shortcodes, die von Mitwirkenden erstellt wurden, auf unerwartete Attribute oder eingebettete Skripte.
  • Scannen Sie die Seite nach Anzeichen einer Kompromittierung (IOCs) und überprüfen Sie kürzliche Inhaltsänderungen und Benutzerkonten.

Dieser Beitrag erklärt die technische Ursache, realistische Ausnutzungsszenarien, Erkennungsindikatoren, umsetzbare Milderungen (einschließlich WAF-Signaturen und schneller virtueller Patches) und langfristige Härtungsempfehlungen aus der Perspektive der WP-Firewall.

Was geschah (Zusammenfassung)

  • Eine gespeicherte XSS-Schwachstelle wurde im YaMaps für WordPress Plugin entdeckt, die Versionen bis einschließlich 0.6.40 betrifft.
  • Angriffsvektor: Authentifizierter Benutzer mit Mitwirkenden-Rechten (oder höher) kann einen Shortcode mit gestalteten Parametern speichern, die JavaScript-Payloads enthalten. Da das Plugin diese Parameter vor der Ausgabe an das Frontend nicht ordnungsgemäß bereinigt/escapet, wird die Payload gespeichert und ausgeführt, wenn ein Besucher (oder ein Admin/Editor) die betroffene Seite ansieht.
  • Auswirkungen: persistentes XSS, das für Cookie-Diebstahl, Sitzungsübernahme, Privilegieneskalation über CSRF/XSS-Ketten, Bereitstellung bösartiger Weiterleitungen, SEO-Spam oder das Injizieren von Hintertüren verwendet werden kann.
  • CVE: CVE-2025-14851
  • Behebt in: YaMaps 0.6.41

Warum das ernst ist (technischer Kontext)

Gespeichertes (persistentes) XSS ist eine der gefährlichsten clientseitigen Schwachstellen, da das bösartige Skript auf dem Server gespeichert und allen Besuchern, die die betroffene Seite ansehen, bereitgestellt wird. Entscheidend ist, dass diese Schwachstelle nur Mitwirkenden-Zugriff erfordert, um Inhalte mit bösartigen Shortcode-Attributen zu speichern. Viele Seiten erlauben Mitwirkende als Teil von redaktionellen Arbeitsabläufen (Gastautoren, Community-Autoren), sodass die Angriffsfläche größer sein kann, als Administratoren erwarten.

Wichtige Gründe, warum diese Schwachstelle von Bedeutung ist:

  • Mitwirkendenkonten werden häufig in redaktionellen Workflows verwendet und gelten als “vertrauenswürdig” genug, um Inhalte einzureichen – sie können Beiträge/Seiten erstellen, die Shortcodes enthalten.
  • Shortcode-Attribute werden oft direkt in HTML-Attributen oder data-* Attributen im Frontend-Markup enthalten; wenn diese Attribute ohne ordnungsgemäße Escaping ausgegeben werden, kann ein JavaScript-Kontext erreicht werden.
  • Gespeichertes XSS kann verkettet werden: einmal injiziert, kann es verwendet werden, um Berechtigungen zu eskalieren (ein Admin, der die Seite besucht, ins Visier zu nehmen), Inhalte zu modifizieren, Spam-Seiten zu erstellen, Hintertüren zu injizieren oder Authentifizierungsdaten zu exfiltrieren.

Technische Analyse – wie diese Schwachstelle wahrscheinlich funktioniert hat

Während die genauen internen Abläufe des Plugins variieren, sieht das typische Muster, das diese Art von Fehler einführt, so aus:

  1. Das Plugin registriert einen Shortcode [yamaps] der Parameter (Attribute) akzeptiert, z.B. [yamaps adresse="..." zoom="..." titel="..."].
  2. Wenn ein Beitrag oder eine Seite gespeichert wird, wird der Shortcode-String (einschließlich Attribute) in beitragsinhalt. Mitwirkende können Beiträge mit Shortcode-Instanzen hinzufügen oder bearbeiten.
  3. Im Frontend analysiert das Plugin den Shortcode und gibt HTML aus, das diese Attributwerte innerhalb von HTML-Attributen oder Inline-JavaScript enthält.
  4. Das Plugin versäumt es, Eingaben zu bereinigen (feld_text_reinigen, wp_kses, intval, usw.) beim Verarbeiten von Attributen und versäumt es, Ausgaben zu escapen (esc_attr, esc_js, esc_html) beim Drucken in HTML/JS-Kontexte.
  5. Da Attribute Zeichen wie Anführungszeichen, spitze Klammern oder sogar Ereignishandler enthalten können, kann ein gestaltetes Attribut Skripte in die Ausgabe injizieren.

Beispiel für ein unsicheres Muster (Pseudo-PHP):

// unsicher: Attribut direkt verwenden'<div class="yamaps" data-title="' . $atts['title'] . '"></div>';

Wenn $atts['titel'] enthält " onmouseover=" oder ">, es kann aus dem Attribut ausbrechen oder Code direkt injizieren.

Korrektes Muster:

echo '<div class="yamaps" data-title="' . esc_attr( sanitize_text_field( $atts['title'] ) ) . '"></div>';

oder wenn HTML erlaubt sein soll:

echo wp_kses( $output, $allowed_html );

Ausnutzungsszenario — reale Kette

  1. Angreifer erstellt ein Konto auf Contributor-Ebene (oder kompromittiert ein bestehendes Contributor-Konto).
  2. Mit dem WordPress-Beitragseditor fügt der Angreifer den YaMaps-Shortcode mit gestalteten Parametern ein, die eine Skriptlast enthalten (oder ein Ereignisattribut).
  3. Der gestaltete Beitrag wird veröffentlicht oder als ausstehend/veröffentlicht gespeichert, je nach Workflow; die Last wird gespeichert in beitragsinhalt.
  4. Ein Seitenbesucher oder Seiteneditor/Admin sieht die Seite. Das Plugin rendert den Shortcode und gibt das bösartige Skript in den Seiten-HTML aus.
  5. Das bösartige Skript wird im Browser des Opfers mit der Herkunft der Seite ausgeführt — was ermöglicht:
    • Diebstahl von Cookies (wenn Cookies nicht mit HttpOnly/secure-Flags gesetzt sind), was zu einem Kontoübernahme führt.
    • Authentifizierte Anfragen im Namen eines Admins zu stellen, um Aktionen durchzuführen (Benutzer erstellen, Einstellungen ändern).
    • Weitere persistente Inhalte oder Hintertüren einzuschleusen.
    • Weiterleitungen und SEO-Spam.

Da der Angriff auf Seitenadministratoren abzielen kann (indem sie Inhalte in der Vorschau anzeigen oder wenn sie Seiten besuchen), kann die Auswirkung schnell von Inhaltsinjektion zu vollständiger Kontrolle über die Seite eskalieren.

Risikobewertung (CVSS & reale Bedeutung)

  • CVSS v3.1 Vektor: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L
  • Punktzahl: 6.5 (Mittel)
  • Erforderliches Privileg: Mitwirkender
  • Benutzerinteraktion: Erforderlich (Opfer muss die Seite besuchen)
  • Umfang: Geändert (S:C) — ein XSS kann Aktionen ermöglichen, die Ressourcen über die ursprüngliche Komponente hinaus betreffen, wenn es Admin-Sitzungen kompromittiert

Trotz einer mittleren CVSS-Punktzahl hängt die reale Auswirkung von ab:

  • Ob Contributor-Konten streng kontrolliert werden
  • Ob Admins Inhalte häufig in Situationen in der Vorschau anzeigen, in denen der bösartige Beitrag sichtbar ist
  • Site-Konfiguration (Cookie-Flags, CSP, Zwei-Faktor-Authentifizierung)
  • Vorhandensein zusätzlicher Milderungen wie WAF-Regeln oder Inhaltsbereinigung

Sofortige Maßnahmen für Seiteninhaber (geordnet)

  1. Aktualisieren Sie YaMaps auf Version 0.6.41 oder höher — dies ist der wichtigste Schritt.
  2. Überprüfen Sie die Konten der Mitwirkenden: Entfernen oder Deaktivieren Sie alle nicht vertrauenswürdigen Mitwirkenden; ändern Sie die Passwörter für verdächtige Konten.
  3. Überprüfen Sie aktuelle Beiträge/Seiten auf verdächtige Shortcode-Attribute (suchen Sie nach [yamaps und überprüfen Sie die Attribute).
  4. Wenn Sie nicht sofort aktualisieren können, implementieren Sie einen virtuellen Patch (WAF-Regel), um verdächtige Shortcode-Attributmuster zu blockieren oder zu bereinigen — Beispiele siehe unten.
  5. Härtung der Cookie-Flags: Stellen Sie sicher, dass Cookies sicher, HttpOnly und SameSite sind, wo es angebracht ist.
  6. Implementieren oder aktualisieren Sie die Content Security Policy (CSP), um die Auswirkungen von injizierten Skripten zu reduzieren.
  7. Überwachen Sie die Protokolle auf ungewöhnliche HTTP-POST-Anfragen an die Endpunkte zur Bearbeitung von Beiträgen und unerwartete Inhaltsänderungen.

So erkennen Sie, ob Ihre Seite betroffen ist

  • Suchen Sie im Beitragstext nach Vorkommen des YaMaps-Shortcodes:
    • SQL: WÄHLEN Sie ID, post_title AUS wp_posts WO post_content WIE '%[yamaps%';
  • Überprüfen Sie die letzten Bearbeitungen durch Mitwirkende (Überprüfen Sie die Benutzeraktivität und Zeitstempel Und post_modified Datum).
  • Achten Sie auf ungewöhnliche Attribute innerhalb der Shortcode-Werte: spitze Klammern, Skript-Tags, Ereignis-Handler (onload, onclick) oder Javascript: URIs enthalten.
  • Scannen Sie die Front-End-Seiten nach Inline--Tags, die von Ihrer Theme/Plugin-Kombination nicht erwartet werden.
  • Verwenden Sie einen Malware-Scanner, um nach häufigen XSS-Payload-Indikatoren zu suchen (z. B. , onmouseover=, javascript:alert).
  • Überprüfen Sie die Webserver-Protokolle auf Anfragen, die verdächtige Shortcode-Strings enthalten oder versuchen, auf die Endpunkte des Beitragseditors von nicht erkannten IPs zuzugreifen.

Schneller virtueller Patch — WAF-Regeln und Signaturen

Wenn Sie das Plugin nicht sofort aktualisieren können, ist die Anwendung einer gezielten WAF-Regel eine effektive vorübergehende Minderung. Unten finden Sie Beispielregeln und Ratschläge, die für eine Webanwendungsfirewall geeignet sind. Passen Sie die Muster an Ihre Website an und testen Sie sorgfältig, um falsche Positivmeldungen zu vermeiden.

Wichtig: Wenden Sie Regeln zuerst im Erkennungs- (Protokoll-) Modus an, um blockierte Anfragen zu überprüfen.

Beispiel ModSecurity-Regel (blockiert verdächtige YaMaps-Shortcode-Eingaben in POST-Inhalten — generisches Muster):

# Blockiert Versuche, yamaps-Shortcode-Attribute zu speichern, die  oder Ereignis-Handler enthalten"

Erläuterung:

  • Dies überwacht POST-Anfragen in wp-admin (Endpunkte zur Erstellung/Bearbeitung von Beiträgen).
  • Es überprüft die Argumente des POST-Inhalts auf die [yamaps Shortcode, die <script oder Ereignis-Handler-Muster enthalten.

Nginx (mit Lua oder benutzerdefinierter WAF) Beispiel-Pseudocode:

  • Überprüfen Sie die POST-Inhalte auf wp-admin/post.php Und wp-admin/post-new.php Muster:
    • Regex: /\[yamaps[^\]]*(
  • If match, block or force manual review.

Generic rule for blocking inline scripts in shortcode attributes:

SecRule ARGS "@rx \[yamaps[^\]]*(

Note: These are temporary virtual patches. They reduce the risk of automated exploit attempts or attempts to store script-like payloads, but they are not a substitute for updating the plugin and applying secure output escaping at the source.

Quick virtual patch (WordPress-level) — short PHP plugin to sanitize content before output

If you cannot upgrade immediately, consider adding a small mu-plugin or site-specific plugin that sanitizes YaMaps shortcode attributes when rendering content. This is a targeted mitigation to strip script tags and event handlers from shortcode attributes before rendering.

Example mu-plugin (place in wp-content/mu-plugins/):

<?php
/**
 * mu-plugin: sanitize yamaps shortcode attributes on output
 * Temporary mitigation for stored XSS in YaMaps <= 0.6.40
 */

add_filter( 'the_content', 'wf_sanitize_yamaps_shortcode_attributes', 20 );

function wf_sanitize_yamaps_shortcode_attributes( $content ) {
    // Only process if yamaps shortcode present
    if ( false === strpos( $content, '[yamaps' ) ) {
        return $content;
    }

    // Remove script tags and on* attributes within yamaps shortcode attributes
    $content = preg_replace_callback(
        '/\[yamaps\b([^\]]*)\]/i',
        function( $matches ) {
            $attrs = $matches[1];

            // Remove script tags
            $attrs = preg_replace( '#<\s*script\b[^>]*>(.*?)<\s*/\s*script\s*>#is', '', $attrs );

            // Remove any on* event attributes: onload=, onclick=, etc.
            $attrs = preg_replace( '/\bon[a-z]+\s*=\s*(["\']?).*?\1/iu', '', $attrs );

            // Remove javascript: pseudo-protocol in attributes
            $attrs = preg_replace( '/javascript\s*:/iu', '', $attrs );

            return '[yamaps' . $attrs . ']';
        },
        $content
    );

    return $content;
}

Caveats:

  • This is a temporary mitigation. It tries to sanitize the stored shortcode at render time so a malicious attribute is neutralized.
  • It may alter expected attributes if they legitimately contain unusual characters.
  • Test on staging first.

How WP‑Firewall protects you (what we recommend and provide)

From a firewall and managed security perspective, these are the practical capabilities that stop or reduce risk from this class of vulnerability:

  • Virtual patching: we create and deploy targeted WAF rules to block attempts to store script content in specific plugin shortcodes and to block requests that attempt to manipulate shortcode parameters.
  • Context‑aware signatures: rules that only trigger on post save operations (wp-admin post.php / post-new.php) and where [yamaps appears in the payload, to minimize false positives.
  • Content inspection and sanitization hooks: for WordPress-managed virtual patching we can inject content sanitization layers (like the mu-plugin example above) on managed sites.
  • Behavioral detection: flagging accounts that repeatedly attempt to post suspicious shortcode content and rate-limiting or quarantining those accounts or IPs.
  • Alerts and remediation guidance: immediate notifications with remediation steps, plus support for manual cleanups when necessary.
  • Auto-update options: coordinated updates for known-vulnerable plugins across managed fleets.

If you host multiple WordPress instances, enabling virtual patching through your firewall layer buys you time to roll out proper plugin updates across all environments without exposing users to the vulnerability window.

Recommended code-level fixes for plugin developers (how the patch should look)

Plugin developers need to treat shortcode attributes as untrusted input. Fixes include:

  • Sanitize input at arrival: use sanitize_text_field for text attributes, intval for integers, esc_url_raw for URL-like properties.
  • Escape on output: use esc_attr, esc_html, esc_js depending on output context.
  • If HTML is allowed for specific attributes, use wp_kses() with an explicit whitelist.
  • Use shortcodes API filters (shortcode_atts_{$shortcode}) to normalize and sanitize attributes.

Example safe attribute handling:

function yamaps_shortcode( $atts ) {
    $defaults = array(
        'title' => '',
        'address' => '',
        'zoom' => 10,
        'marker' => ''
    );

    $atts = shortcode_atts( $defaults, $atts, 'yamaps' );

    // Sanitize inputs
    $title   = sanitize_text_field( $atts['title'] );
    $address = sanitize_text_field( $atts['address'] );
    $zoom    = intval( $atts['zoom'] );
    $marker  = esc_url_raw( $atts['marker'] );

    // When outputting into HTML attributes or JS, escape for the context
    $out = '<div class="yamaps" data-title="' . esc_attr( $title ) . '" data-address="' . esc_attr( $address ) . '" data-zoom="' . esc_attr( $zoom ) . '">';
    // ...
    $out .= '</div>';

    return $out;
}
add_shortcode( 'yamaps', 'yamaps_shortcode' );

Developers should also review any use of eval, inline JS generation, or dangerously concatenated attributes.

Additional site hardening recommendations

  • Principle of least privilege: limit the number of Contributor accounts and remove capabilities not needed (e.g., avoid elevated custom capabilities).
  • Require two-stage content approval: editors or admins review/approve posts created by Contributors before publishing.
  • Disable untrusted shortcodes: if you don’t need YaMaps, remove the shortcode by calling remove_shortcode('yamaps') or uninstall the plugin.
  • Enable strict Content Security Policy (CSP): While CSP is not a silver bullet, it significantly reduces the impact of injected scripts if configured to disallow inline scripts and restrict script sources.
  • Use HTTP security headers: Set Secure/HttpOnly for cookies, SameSite=Lax/Strict where suitable, X-Content-Type-Options: nosniff, and a sensible Referrer-Policy.
  • Monitor file system and database changes: detect injected content or unexpected admin user creation.
  • Use version control for plugin/theme files and backups so you can quickly detect unauthorized changes.

If you think your site has been compromised — incident checklist

  1. Take a snapshot / backup of the affected site (preserve logs and database) for forensics.
  2. Put the site into maintenance mode if necessary (limit public access).
  3. Rotate all admin and editor credentials, force password resets.
  4. Review and delete suspicious posts/pages and revert to clean backups where possible.
  5. Scan for web shells or backdoor files (especially in wp-content/uploads and wp-includes).
  6. Check for new admin users and suspicious plugins/themes.
  7. Review logs: access logs, WP activity logs, plugin logs.
  8. Reinstall plugins/themes from trusted sources and update to the latest versions.
  9. Harden the site and deploy WAF rules to stop further abuse.
  10. If you need professional help, engage a WordPress incident-response team or security service.

Practical search & cleanup queries

  • Find posts containing Yamaps shortcodes:
    • SQL: SELECT ID, post_title, post_author, post_modified FROM wp_posts WHERE post_content LIKE '%[yamaps%';
  • Identify posts modified recently by contributors:
    • SQL: SELECT p.ID, p.post_title, u.user_login FROM wp_posts p JOIN wp_users u ON p.post_author = u.ID WHERE u.user_level <= 2 AND p.post_modified > '2026-01-01';
    • Note: adjust user_level/capability checks based on your site.
  • Grep uploads and theme files for suspicious patterns:
    • grep -R --exclude-dir=cache -i "eval(" wp-content/
    • grep -R --exclude-dir=cache -i "base64_decode" wp-content/

Communication & disclosure best practices for site owners

  • Keep a clear timeline of discovery, containment, and remediation actions.
  • If personal data may have been exposed, consult applicable data protection rules (e.g., GDPR) to determine reporting obligations.
  • Inform your editorial team and change content workflows to require additional review of posts authored by Contributors until the issue is resolved.

Timeline (public disclosure & fix)

  • Vulnerability published: 2026-02-19
  • CVE assigned: CVE-2025-14851
  • Fixed in YaMaps version: 0.6.41

If you maintain many sites, start your patching effort prioritized by exposure (sites with many public editors or heavy user traffic first).

Appendix A — More WAF rules and detection patterns

  • Rule: Detect event handler attributes in POST bodies to wp-admin endpoints.
SecRule REQUEST_METHOD "POST" "chain,phase:2,id:1000021,log,pass,msg:'yamaps possible event handler in attributes'"
  SecRule REQUEST_URI "@rx /wp-admin/(post.php|post-new.php|post-edit.php)" "chain"
  SecRule ARGS_POST "@rx \[yamaps[^\]]*\bon[a-z]+\s*=([^>]+)" "t:none,t:urlDecode,t:lowercase"
  • Rule: Block saved content containing <script> or suspicious encoded variants:
SecRule REQUEST_BODY "@rx (\[yamaps[^\]]*<\s*script\b|\[yamaps[^\]]*%3Cscript%3E)" "phase:2,deny,id:1000022,log,msg:'yamaps saved script tag attempt'"
  • Logging-only variant: replace deny with pass,log to collect data before blocking.

Always test any WAF rule on staging and monitor for false positives.

Appendix B — Sample review checklist for content moderation teams

  • When Contributor posts include shortcodes, require Editor-level review before publishing.
  • Scan attributes for:
    • Angle brackets (<, >)
    • on*= attributes
    • javascript: protocols
    • Encoded script tags (%3Cscript%3E)
  • Validate attachments and uploaded media for unexpected file types or PHP files in uploads folder.

Protect Your Site Today — Start with the WP‑Firewall Free Plan

If you’re looking for an easy, immediate way to reduce risk and gain managed protection, consider WP‑Firewall’s free Basic plan. It includes essential protections that help stop threats like this XSS class while you patch:

  • Essential protection: managed firewall, unlimited bandwidth, WAF, malware scanner, and mitigation of OWASP Top 10 risks.
  • Quick virtual patching to block exploit attempts against known plugin vulnerabilities.
  • Easy onboarding — no complex configuration required.

Try the free Basic plan now to add another layer of defense while you apply updates and harden workflows:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(If you need automated malware removal and more granular IP control, Standard and Pro plans are available with additional features like automatic malware removal, IP blacklist/whitelist, monthly security reports, and auto vulnerability virtual patching.)

Final notes — a layered strategy works

This YaMaps stored XSS demonstrates a common theme in WordPress security: plugins are powerful but must be built defensively. The most practical defense is layered:

  1. Keep plugins up to date (apply vendor patches immediately).
  2. Limit write privileges in editorial workflows.
  3. Deploy a WAF/virtual patching solution to stop exploitation attempts during the patch window.
  4. Sanitize and escape output at the plugin code level.
  5. Harden site configuration (CSP, secure cookies, monitoring).

If you need help implementing WAF rules, deploying virtual patches, or conducting a post‑incident review, WP‑Firewall’s team can help you set up targeted rules, scan for indicators, and restore a secure posture.

Stay safe, and patch promptly.

— WP‑Firewall Security Team

wordpress security update banner

Erhalten Sie WP Security Weekly kostenlos 👋
Jetzt anmelden!!

Melden Sie sich an, um jede Woche WordPress-Sicherheitsupdates in Ihrem Posteingang zu erhalten.

Wir spammen nicht! Lesen Sie unsere Datenschutzrichtlinie für weitere Informationen.

Kontaktieren Sie uns, um eine kostenlose Beratung zur WordPress-Sicherheit zu vereinbaren

Kontaktieren Sie uns

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Merkmale Preise Der Blog Login
Datenschutzrichtlinie Servicebedingungen Dokumentation Partnerprogramm

© 2026 WP-Firewall™