Vulnerabilidad crítica de XSS en el plugin Popup de LotekMedia//Publicado el 2026-03-11//CVE-2026-2420

EQUIPO DE SEGURIDAD DE WP-FIREWALL

LotekMedia Popup Form CVE-2026-2420

Nombre del complemento Formulario emergente de LotekMedia
Tipo de vulnerabilidad Secuencias de comandos entre sitios (XSS)
Número CVE CVE-2026-2420
Urgencia Bajo
Fecha de publicación de CVE 2026-03-11
URL de origen CVE-2026-2420

Aviso de seguridad urgente — XSS almacenado en el plugin Formulario emergente de LotekMedia (≤ 1.0.6) y qué hacer a continuación

Fecha: 7 de marzo de 2026
CVE: CVE-2026-2420
Gravedad: Bajo (Patchstack / puntuación de investigación: CVSS 5.9)
Software afectado: Formulario emergente de LotekMedia (plugin de WordPress) — versiones ≤ 1.0.6
Privilegio requerido para activar: Administrador (autenticado)

Resumen

Se descubrió una vulnerabilidad de Cross Site Scripting (XSS) almacenado en el plugin Formulario emergente de LotekMedia para WordPress (versiones hasta 1.0.6). Un usuario privilegiado con acceso de administrador puede almacenar contenido de script malicioso a través de la configuración del plugin. Esa carga útil puede ser renderizada más tarde en páginas o pantallas de administración y ejecutada en el navegador de los visitantes u otros usuarios, permitiendo a un atacante ejecutar JavaScript arbitrario en el contexto del sitio.

Esta publicación está escrita desde la perspectiva de WP-Firewall — un proveedor de seguridad de WordPress y WAF gestionado — y está destinada a proporcionar orientación práctica, técnica y no técnica para propietarios de sitios, administradores y desarrolladores sobre evaluación de riesgos, detección, mitigación y endurecimiento a largo plazo. Si gestionas algún sitio que utilice este plugin, lee esta guía completa y actúa rápidamente.

¿Qué es XSS almacenado y por qué es importante para los sitios de WordPress?

El XSS almacenado (persistente) ocurre cuando JavaScript malicioso se guarda en el servidor (por ejemplo, dentro de la configuración del plugin, comentarios o un campo de base de datos) y luego se incluye en una página web sin la correcta escapatoria de salida. Cuando una víctima carga esa página, el script malicioso se ejecuta en el navegador de la víctima, con los privilegios del sitio. Las consecuencias dependen del contexto y la intención:

  • robo de token de sesión o cookie (si las cookies no están marcadas como HttpOnly),
  • toma de control de cuenta (si el script realiza acciones autenticadas),
  • redirección a sitios controlados por el atacante o páginas de phishing,
  • inyección de contenido y desfiguración,
  • persistencia mediante la instalación de puertas traseras o la entrega de webshells a través de solicitudes de administrador falsificadas,
  • o uso como parte de un ataque más grande para pivotar dentro de una organización.

Debido a que este hallazgo específico requiere privilegios de Administrador para inyectar la carga útil, las vías de explotación generalmente se ven así:

  • un atacante ya controla una cuenta de administrador (a través de robo de credenciales, phishing, contraseña reutilizada, ingeniería social), o
  • un atacante engaña a un administrador para que realice una acción (por ejemplo, haciendo clic en un enlace diseñado solo para administradores o aceptando una carga útil maliciosa en un formulario), o
  • un proceso de terceros comprometido (CI/CD, instalador de plugins) con capacidad de administrador inyecta contenido.

A pesar de que los usuarios no administradores no pueden crear la carga útil almacenada, la presencia de esta vulnerabilidad sigue siendo grave: las cuentas de administrador son objetivos de alto valor, y un XSS almacenado puede convertir a un administrador comprometido en un compromiso total del sitio con un amplio impacto.

Huella técnica del problema (nivel alto)

Del aviso disponible:

  • El plugin guarda datos de la configuración del plugin que pueden contener HTML/JavaScript no sanitizado.
  • Esos datos se envían posteriormente a las páginas (o pantallas de administrador) sin el escape o la sanitización adecuados.
  • La vulnerabilidad es un patrón clásico de “guardar sin sanitización — renderizar sin escape”, aplicado a campos de configuración/opciones.

Los patrones de código comunes que conducen a esto incluyen:

  • imprimir opciones del plugin directamente en las plantillas (por ejemplo, echo $options['popup_html'];) sin esc_html/esc_attr/esc_url o wp_kses.
  • almacenar la entrada de usuario sin filtrar de los formularios de administrador (incluso si es enviada por un administrador) sin sanitizar_* llamadas.
  • asumir que los datos proporcionados por el administrador son seguros y, por lo tanto, no escapar antes de la salida.

Nota: No publicaré cargas útiles de explotación ni cadenas de explotación paso a paso — eso sería irresponsable. Esta guía se centra en la detección, contención y remediación seguras.

Escenarios de explotación — quién está en riesgo y cómo un atacante podría usar esto

  1. Flujo de trabajo de administrador comprometido
    • Si un atacante obtiene credenciales de administrador (phishing, relleno de credenciales), puede agregar un fragmento malicioso en la configuración del plugin. Ese fragmento se renderizará posteriormente a los visitantes u otros usuarios administradores.
  2. Ingeniería social de administrador
    • Un atacante elabora un enlace o correo electrónico que hace que un administrador haga clic y envíe una carga útil maliciosa en un formulario de configuración (por ejemplo, una solicitud POST falsificada). Debido a que el plugin no sanitiza los campos, la carga útil se almacena.
  3. Integraciones de terceros maliciosas
    • Si el sitio se integra con una automatización de terceros que tiene acceso a nivel de administrador (scripts de implementación, editores externos), el tercero podría insertar cargas útiles de manera inadvertida (o maliciosa).

Impacto potencial después de un XSS almacenado exitoso:

  • Robar cookies de sesión o realizar acciones en el contexto del administrador (crear nuevos usuarios, cambiar configuraciones).
  • Entregar más malware a los visitantes del sitio.
  • Persistir un backdoor con una solicitud asistida por CSRF realizada por el script inyectado.
  • Inyectar una interfaz de usuario de seguimiento / phishing maliciosa para obtener credenciales de los visitantes del sitio.

Debido a que el XSS almacenado se ejecuta en un navegador, el impacto total depende de lo que la sesión del navegador puede hacer; si la víctima es un administrador o un usuario privilegiado, el riesgo es elevado.

Acciones inmediatas para propietarios / administradores del sitio (primeras 24 horas)

Si su sitio utiliza LotekMedia Popup Form y la versión es ≤ 1.0.6, siga estos pasos de inmediato:

  1. Identificar los sitios afectados
    • Verifique el administrador de WordPress > Plugins y anote si LotekMedia Popup Form (ltm-popup-form) está instalado y la versión es ≤ 1.0.6.
  2. Desactiva temporalmente el plugin.
    • Si un parche o versión segura aún no está disponible, desactive el plugin hasta que se publique un parche del proveedor. La desactivación evita que se guarden nuevas entradas y puede detener la representación de HTML generado por el plugin en algunos casos.
  3. Limitar el acceso de Administrador
    • Reducir temporalmente el número de cuentas con capacidades de administrador.
    • Hacer cumplir contraseñas fuertes para todas las cuentas de administrador (usar frases de contraseña únicas o un administrador de contraseñas).
    • Habilitar la autenticación de dos factores (2FA) para los usuarios administradores.
    • Si es posible, restringir el acceso de administrador por IP (lista blanca) o limitar el acceso a una VPN.
  4. Auditoría de compromisos
    • Verificar si hay nuevas cuentas de administrador sospechosas.
    • Revisar los cambios recientes en la configuración del plugin y ver si algún campo contiene etiquetas de script o HTML inesperado.
    • Buscar en wp_options, post meta y otras tablas de la base de datos “<script”, “onerror=”, “javascript:” u otras subcadenas sospechosas. (Utilizar consultas de base de datos seguras y hacer una copia de seguridad primero.)
    • Verificar los registros del servidor en busca de solicitudes POST inusuales a los puntos finales de administración del plugin.
  5. Rotar credenciales y claves
    • Si sospechas de un compromiso, cambia las contraseñas de administrador, rota las claves y tokens de API, y actualiza las credenciales de FTP/SSH.
  6. Respaldo
    • Realiza una copia de seguridad completa (archivos y base de datos) antes de hacer cambios importantes para que puedas analizar un estado conocido como bueno.
  7. Escanear el sitio
    • Ejecuta un escaneo de malware y una verificación de integridad para detectar webshells, archivos centrales modificados u otros cambios.
  8. Monitorea el comportamiento sospechoso del lado del cliente.
    • Usa un navegador para ver páginas públicas (en un entorno seguro) y verifica si aparecen ventanas emergentes inesperadas, redirecciones o contenido inyectado.

Si no puedes realizar los pasos tú mismo o prefieres un enfoque gestionado, contacta a un proveedor de seguridad de confianza de inmediato.

Remediación a medio plazo (días a semanas).

  1. Aplica el parche del proveedor
    • Cuando el desarrollador del plugin publique una versión corregida, actualiza de inmediato. Si el plugin permanece sin parches durante un período irrazonable, considera eliminarlo o reemplazarlo por una alternativa mantenida.
  2. Limpia el contenido inyectado.
    • Elimina cualquier contenido malicioso guardado en la configuración del plugin o en otras ubicaciones persistentes. Desinfecta o elimina cuidadosamente el HTML de los campos de configuración que no son intencionalmente confiables.
    • Si no estás seguro de qué campos fueron afectados, restaura la configuración desde una copia de seguridad limpia (pre-infección) después de confirmar completamente que la copia de seguridad está limpia.
  3. Revisa y repara.
    • Busca señales adicionales de compromiso (nuevos archivos, tareas programadas, temas/plugins modificados).
    • Verifica la integridad de los archivos del núcleo de WordPress, archivos de temas y plugins contra copias frescas de WordPress.org o paquetes de proveedores.
  4. Endurecimiento
    • Asegúrate de que todos los demás plugins y temas estén actualizados.
    • Aplica el principio de menor privilegio: solo otorga derechos de administrador a cuentas que realmente los necesiten.
    • Utiliza registros centralizados y alertas para detectar acciones sospechosas de administradores.
    • Agrega encabezados de Política de Seguridad de Contenido (CSP) para mitigar el impacto de scripts inyectados (ejemplo: prohibir scripts en línea o permitir solo scripts de tus dominios de confianza). Ten en cuenta que CSP requiere pruebas cuidadosas, ya que puede romper funcionalidades legítimas.

Prevención a largo plazo y orientación de desarrollo.

Para autores de plugins y equipos de desarrollo, prevenir esta clase de vulnerabilidad requiere una combinación de manejo seguro de entradas, escape de salidas y verificaciones de capacidad apropiadas:

  • Sanea en la entrada, escapa en la salida
    • Al guardar: usar desinfectar_campo_de_texto(), desinfectar_campo_área_de_texto(), sanitizar_correo_electrónico(), intval(), o funciones de saneamiento personalizadas dependiendo del tipo de entrada esperado.
    • Si el plugin debe almacenar HTML limitado, usar wp_kses() con una lista permitida estricta en lugar de almacenar HTML arbitrario.
    • Al salir: siempre escapar con esc_html(), esc_attr(), esc_textarea(), esc_url() o wp_kses_post() dependiendo del contexto.
  • Usar la API de Configuración de WordPress
    • La API de Configuración incluye estructuras integradas para validación y saneamiento. Aprovechala para estandarizar el manejo de opciones.
  • sin escapar apropiadamente al contexto (cuerpo HTML, atributo, cadena JS).
    • Siempre verifica usuario_actual_puede('manage_options') (o capacidad apropiada) y wp_verify_nonce() en envíos de formularios de administración para asegurar que solo se procesen solicitudes autorizadas e intencionadas.
  • Evitar asumir que la entrada del administrador es segura
    • Los administradores pueden ser engañados; nunca tratar los datos proporcionados por el administrador como implícitamente confiables.
  • Codificar correctamente los datos para el contexto de salida
    • Distinguir entre el contexto de atributos, contexto HTML, contexto JavaScript al escapar. Usar la función de escape correcta para cada uno.
  • Registro y seguimiento de cambios
    • Mantener un registro de auditoría de los cambios de configuración y quién los realizó. Esto ayuda a detectar actividad sospechosa y apoya la respuesta a incidentes.

Detección: qué buscar (indicadores de compromiso - IOCs)

Si sospechas de explotación, busca los siguientes signos:

  • Presencia de etiquetas de script, controladores de eventos en línea (onerror=, onload=), o URIs javascript: dentro de las opciones del plugin (tabla wp_options) o meta de publicaciones.
  • Redirecciones o ventanas emergentes inesperadas en páginas públicas.
  • Nuevos usuarios administradores añadidos alrededor del momento de cambios sospechosos.
  • Tareas programadas sospechosas (entradas wp_cron) que ejecutan código desconocido.
  • Archivos de núcleo o de tema modificados, especialmente archivos que contienen llamadas a eval(), base64_decode() o include() a archivos desconocidos.
  • Picos de tráfico anormales o cadenas de agente de usuario inusuales en los registros.
  • Anomalías de inicio de sesión (intentos fallidos seguidos de un inicio de sesión exitoso de administrador desde IPs inusuales).

Si se encuentra algún IOC, ejecute los pasos inmediatos de contención: deshabilitar el plugin, rotar credenciales, restaurar desde copias de seguridad limpias si es necesario y realizar un análisis forense exhaustivo.

Patching virtual con un WAF: cómo WP-Firewall puede ayudar

Cuando las correcciones inmediatas del proveedor aún no están disponibles, el patching virtual (reglas WAF) ofrece la forma más rápida de mitigar el riesgo de explotación bloqueando cargas útiles maliciosas en la capa HTTP antes de que lleguen al camino de código vulnerable.

Técnicas clave de patching virtual que aplicamos o recomendamos:

  • Bloquear solicitudes POST/PUT a puntos finales de administración de plugins conocidos a menos que provengan de IPs de confianza o con un contexto de sesión de administrador válido. Por ejemplo, limitar las solicitudes a /wp-admin/options.php o puntos finales de administración de plugins personalizados solo a sesiones de administrador autenticadas.
  • Filtrar patrones de entrada sospechosos antes de que el servidor los procese. Las reglas pueden detectar y bloquear cargas útiles que contengan:
    • , onerror=, onload=, javascript:
    • Encoded forms of those tokens (e.g., %3Cscript%3E)
  • Bloquear solicitudes que incluyan JavaScript en línea en campos de formulario destinados a texto plano.
  • Aplicar un encabezado de Política de Seguridad de Contenido (CSP) estricto a través de WAF para prohibir scripts en línea y permitir solo JS de hosts de confianza; esto reduce el impacto de cualquier script inyectado en línea.
  • Limitar la tasa y los flujos de CAPTCHA/2FA para páginas de administración para reducir la posibilidad de ataques automatizados.
  • Agregar firmas virtuales que busquen parámetros vulnerables conocidos del plugin cuando se vean en combinación con entradas sospechosas.

Los clientes de WP-Firewall (incluidos aquellos en el plan gratuito) se benefician de protecciones WAF gestionadas que pueden bloquear rápidamente patrones maliciosos conocidos mientras se lanza y prueba un parche oficial. Nuestras reglas gestionadas están ajustadas para minimizar falsos positivos mientras maximizan la protección contra patrones de ataque reales.

Nota: Los parches virtuales no son un sustituto de una corrección adecuada del plugin. Son una medida temporal de reducción de riesgos cuando un parche aún no se ha implementado.

Manual de respuesta a incidentes seguro

Si encuentra evidencia de explotación, siga esta lista de verificación:

  1. Contener
    • Desactiva el plugin vulnerable.
    • Bloquear el acceso de administración desde IPs no confiables.
    • Aplica reglas de WAF para bloquear entradas sospechosas.
  2. Preservar las pruebas
    • Copie los registros, instantáneas de la base de datos y instantáneas del sistema de archivos para revisión forense.
    • Asegúrese de que las copias de seguridad estén aisladas para evitar reinfecciones.
  3. Erradicar
    • Elimine las cargas maliciosas de la configuración de los complementos y otros lugares persistentes.
    • Reemplace cualquier archivo modificado del núcleo/tema/complemento con copias limpias de fuentes oficiales.
    • Elimine cualquier usuario desconocido, tareas programadas o archivos no deseados.
  4. Recuperar
    • Restaure desde una copia de seguridad conocida y buena si el sitio está demasiado comprometido para limpiar.
    • Rote las credenciales para todas las cuentas de administrador y claves API.
    • Vuelva a habilitar los servicios después de confirmar que el entorno está limpio.
  5. acciones posteriores al incidente
    • Realice un análisis post-mortem: ¿cómo se comprometió la cuenta de administrador (phishing, frase de paso débil, tercero)?
    • Endurezca los procesos para prevenir recurrencias: aplique 2FA, reduzca el número de administradores, implemente políticas de contraseñas fuertes.
    • Monitoree de cerca cualquier recurrencia durante un período (por ejemplo, 30–90 días) después de la limpieza.

Si no está seguro de cómo proceder, contrate a un profesional de seguridad que pueda realizar un análisis forense completo y remediación.

Comprobaciones prácticas de base de datos y archivos (pasos seguros)

  • Busque artefactos de scripting en la tabla de opciones:
    • Ejemplo de comprobación segura (ejecutar en una copia de solo lectura de la base de datos): SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%<script%';
    • Reemplace wp_options con su prefijo de tabla.
  • Inspeccione la configuración del complemento a través de la página de administración del complemento: revise cada campo en busca de HTML inesperado o scripts en línea.
  • Verifique los directorios de cargas y complementos en busca de archivos modificados recientemente. Si los archivos son desconocidos o sospechosos, inspeciónelos con cuidado en una máquina aislada.

Siempre haga una copia de seguridad antes de realizar cambios y prefiera trabajar en una copia o entorno de staging cuando sea posible.

Lista de verificación para desarrolladores para solucionar este error (para mantenedores de complementos)

  • Identifique cada lugar que guarda datos proporcionados por el administrador y aplique la sanitización adecuada al guardar.
  • Identifique cada lugar que muestra datos almacenados y asegúrese de que se escape correctamente para el contexto (HTML, atributo, URL, JS).
  • Evite almacenar HTML proporcionado por el usuario en bruto; si se requiere HTML, use wp_kses() con una lista de permitidos segura (muy restrictiva).
  • Agregue pruebas unitarias e integradas que afirmen que las cargas útiles maliciosas son eliminadas o escapadas.
  • Revise los puntos finales del administrador para verificar capacidades (El usuario actual puede), nonces y privilegios adecuados.
  • Considere agregar registro para cambios en configuraciones críticas para que los propietarios del sitio puedan rastrear quién cambió qué y cuándo.

Comuníquese sobre la solución de manera transparente con notas de lanzamiento que incluyan el CVE y las instrucciones de actualización correctas.

Política de Seguridad de Contenido (CSP) — una capa de mitigación efectiva

Un CSP implementado correctamente puede reducir significativamente el impacto de XSS al desautorizar scripts en línea y permitir solo scripts de fuentes permitidas. Ejemplos de directivas (deben ser probadas exhaustivamente antes de la producción):

  • default-src 'self';
  • script-src 'self' https://trusted.cdn.example.com;  // evite ‘unsafe-inline’
  • object-src 'none';
  • frame-ancestors 'self';
  • base-uri 'self';

CSP es un control poderoso de defensa en profundidad, pero no puede reemplazar la sanitización y el escape adecuados del lado del servidor.

Por qué no debe esperar el parche: reduzca la superficie de ataque ahora

Aunque esta vulnerabilidad requiere que un administrador almacene la carga útil, las cuentas de administrador pueden ser comprometidas. Los atacantes a menudo utilizan pequeños complementos pasados por alto como un vector para escalar. Reducir la superficie de ataque y limitar la exposición del administrador ahora previene un posible compromiso encadenado:

  • Elimine los plugins y temas que no utilice.
  • Utiliza 2FA y autenticación basada en dispositivos para administradores.
  • Limita las cuentas de administrador y utiliza separación de roles (editor, autor) para tareas de contenido rutinarias.
  • Monitorea los registros y habilita alertas para comportamientos sospechosos de administradores.

Comienza a proteger tu sitio ahora — Plan gratuito de WP-Firewall

Protege tu sitio de inmediato — Comienza WP-Firewall Gratis

Si deseas protección gestionada inmediata mientras manejas el plugin y obtienes el parche del proveedor, considera registrarte en el plan gratuito de WP-Firewall. El nivel gratuito proporciona protecciones esenciales de firewall gestionado y cobertura de reglas WAF para ayudar a bloquear patrones de inyección conocidos y desconocidos mientras solucionas.

Regístrese aquí: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Lo que proporciona el plan gratuito

  • Básico (Gratis) — Protección esencial
    • Cortafuegos gestionado con actualizaciones continuas de reglas
    • Ancho de banda ilimitado para tráfico protegido
    • Firewall de Aplicaciones Web (WAF) para bloquear patrones de inyección comunes
    • Escáner de malware para detectar archivos y cargas útiles sospechosas.
    • Mitigación de los 10 principales riesgos de OWASP

Opciones de actualización (si deseas más automatización y soporte)

  • Estándar ($50/año) — Agrega eliminación automática de malware y controles de lista negra/blanca de IP (hasta 20 IPs).
  • Pro ($299/año) — Agrega informes de seguridad mensuales, parcheo virtual automático de vulnerabilidades y complementos premium como soporte dedicado y servicios gestionados.

Si estás lidiando con una vulnerabilidad de plugin como el problema del formulario emergente de LotekMedia, el plan gratuito te proporciona un WAF gestionado y una línea base de escaneo mientras solucionas la causa raíz — y las actualizaciones añaden automatización que ahorra tiempo durante incidentes.

Preguntas frecuentes (FAQ)

P: Si la vulnerabilidad requiere privilegios de administrador, ¿por qué es urgente?
R: Las cuentas de administrador son objetivos de alto valor. Un atacante que phishing o compromete de alguna otra manera a un administrador puede insertar una carga útil que afecta a muchos visitantes u otros usuarios administradores. Esto convierte un compromiso de una sola cuenta en un problema a nivel de sitio.

P: ¿Puedo simplemente “sanitizar en la salida” y estar listo?
R: Tanto la sanitización de entrada como la escapatoria de salida son necesarias. Sanitiza al guardar para evitar contaminar el almacenamiento con contenido malicioso; escapa en la salida para asegurar que nada inseguro llegue al navegador incluso si el almacenamiento contiene datos inesperados.

P: ¿Es suficiente el parcheo virtual / WAF?
R: El parcheo virtual es una mitigación inmediata pero no una solución permanente. Gana tiempo y reduce la superficie de ataque mientras aplicas un parche adecuado a nivel de código y sigues un proceso completo de remediación.

P: ¿Cómo sé que el plugin está arreglado?
A: Una solución segura debería incluir:

  • Sanitización adecuada al guardar,
  • Escape adecuado al renderizar,
  • Pruebas que demuestren el cierre de vulnerabilidades,
  • Notas de lanzamiento que hagan referencia al CVE y describan la solución.

Notas de cierre: vigilancia y el camino a seguir

Los ecosistemas de WordPress inevitablemente incluyen muchos plugins de terceros, y los problemas de seguridad ocasionales son inevitables. La respuesta saludable es la identificación rápida, el contención cuidadosa y la remediación sistemática. Este XSS almacenado en el formulario emergente de LotekMedia es solucionable, pero requiere acción tanto de los propietarios del sitio como de los mantenedores del plugin. Si alojas sitios con múltiples administradores, o tu organización depende de contribuyentes externos, aprovecha este momento para reforzar los controles de administrador y endurecer el entorno.

Si deseas protección gestionada inmediata mientras sigues los pasos de remediación anteriores, el plan gratuito de WP-Firewall proporciona una base de protección WAF gestionada y escaneo que puede reducir drásticamente la ventana de riesgo. Puedes registrarte de forma segura aquí: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Si necesitas ayuda con la triage, análisis forense o remediación completa, WP-Firewall ofrece servicios gestionados y soporte de incidentes para una variedad de necesidades, desde parches virtuales rápidos hasta recuperación completa del sitio y seguridad gestionada continua.

Mantente seguro, mantén tus plugins actualizados y trata el acceso de administrador como el recurso crítico que es.

— El equipo de seguridad de WP-Firewall

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™