Mejores Prácticas de Fortalecimiento de WordPress Empresarial//Publicado el 2026-06-05//CVE-2026-42775

EQUIPO DE SEGURIDAD DE WP-FIREWALL

AutomatorWP Vulnerability

Nombre del complemento AutomatorWP
Tipo de vulnerabilidad Ninguno
Número CVE CVE-2026-42775
Urgencia Medio
Fecha de publicación de CVE 2026-06-05
URL de origen CVE-2026-42775

Urgente: Cross‑Site Scripting (XSS) en AutomatorWP (≤ 5.7.2) — Lo que los propietarios de sitios de WordPress deben hacer ahora

El 3 de junio de 2026 se divulgó una nueva vulnerabilidad que afecta al plugin AutomatorWP para WordPress (CVE‑2026‑42775). Las versiones hasta e incluyendo 5.7.2 están afectadas; el proveedor lanzó un parche en la versión 5.7.3. El problema es un defecto de Cross‑Site Scripting (XSS) que puede ser explotado en circunstancias específicas y tiene un puntaje CVSS reportado de 7.1.

Si ejecutas AutomatorWP en alguno de tus sitios, trata esto como alta prioridad. A continuación, explico, desde la perspectiva de WP‑Firewall (un proveedor de firewall y seguridad para WordPress), lo que significa esta vulnerabilidad, cómo los atacantes pueden abusar de ella, qué pasos inmediatos debes tomar y cómo mitigar y recuperarte — incluyendo reglas concretas de WAF y orientación de detección que puedes aplicar de inmediato si no puedes actualizar de inmediato.

Nota: Esta publicación evita compartir cadenas de explotación o cargas útiles de prueba de concepto. El objetivo es empoderar a los defensores — no a los atacantes.

Resumen ejecutivo (lectura rápida)

  • Se asignó CVE‑2026‑42775 a una vulnerabilidad de Cross‑Site Scripting (XSS) que afecta a AutomatorWP ≤ 5.7.2 y se parcheó en 5.7.3.
  • Impacto de XSS: los atacantes pueden inyectar JavaScript o HTML que se ejecuta en el navegador de usuarios privilegiados y/o víctimas, lo que lleva al robo de sesiones, puertas traseras persistentes, manipulación de cuentas de administrador o inyección de malware adicional.
  • CVSS reportado: 7.1 (medio/alto); aunque no es un RCE remoto no autenticado, esta vulnerabilidad es grave y puede encadenarse con otros problemas.
  • Acciones inmediatas:
    1. Actualiza AutomatorWP a 5.7.3 o posterior (el paso más efectivo).
    2. Si no puedes actualizar de inmediato: aplica mitigación temporal a través de reglas de WP‑Firewall (parcheo virtual), restringe el acceso a rutas administrativas sensibles y reduce la actividad de usuarios privilegiados hasta que se aplique el parche.
    3. Revisa los registros y escanea en busca de signos de explotación; sigue una lista de verificación de respuesta a incidentes si sospechas de compromiso.
  • Los clientes de WP‑Firewall reciben parches virtuales distribuidos y reglas de WAF que bloquean patrones de ataque conocidos mientras actualizas.

Qué tipo de XSS es este y por qué importa

Cross‑Site Scripting (XSS) describe una familia de vulnerabilidades donde un atacante puede inyectar un script del lado del cliente en contenido que un usuario (a menudo un administrador) verá. El impacto varía según el contexto:

  • XSS reflejado: la carga útil se entrega en una sola solicitud y se refleja de vuelta al navegador de la víctima.
  • XSS almacenado (persistente): la carga útil se guarda en el servidor (en la base de datos, opciones, publicaciones, etc.) y se ejecuta cada vez que se visualiza la página.
  • XSS basado en DOM: la vulnerabilidad existe en el código del lado del cliente que manipula datos no confiables.

Para AutomatorWP, las descripciones indican que la entrada controlada por el atacante no fue debidamente saneada o escapada antes de ser renderizada — permitiendo la inyección. Debido a que AutomatorWP se integra con flujos de trabajo administrativos y ganchos de automatización, un atacante puede ser capaz de desencadenar la ejecución en el navegador de un usuario privilegiado (por ejemplo, un administrador que visualiza un registro de automatización o configuración), lo que lleva a un alto impacto.

Por qué los propietarios de sitios deberían preocuparse

  • Objetivo de administrador: Si el script inyectado se ejecuta en la sesión de un administrador, puede hacer mucho — instalar puertas traseras, crear otros usuarios, cambiar archivos de plugins/temas, extraer credenciales o pivotar a otras partes del sitio.
  • Explotación automatizada: Las vulnerabilidades XSS se utilizan comúnmente como armas y se añaden rápidamente a escáneres y kits de explotación; las campañas de explotación masiva son frecuentes.
  • Encadenamiento: XSS puede encadenarse con CSRF u otros fallos de lógica para escalar el impacto.

Explotabilidad y requisitos previos (evaluación de riesgo práctico)

A partir de los detalles publicados y los informes de pruebas, los siguientes factores afectan la explotabilidad:

  • Versiones vulnerables: Versiones de AutomatorWP ≤ 5.7.2. Actualice a 5.7.3 para eliminar el fallo.
  • Matiz de privilegio: Si bien algunos aspectos del problema pueden ser accesibles sin autenticación, la explotación que produce un alto impacto típicamente requiere que un usuario privilegiado (por ejemplo, un administrador) vea o interactúe con el contenido malicioso. Esto significa que podría ser necesario el engaño social o engañar a un administrador para que haga clic en un enlace, visite una página o vea una entrada de automatización elaborada.
  • Interacción del usuario: La explotación exitosa a menudo depende de la interacción del usuario (haciendo clic en un enlace elaborado, abriendo un informe, viendo una pantalla de administrador especialmente elaborada).
  • Entorno: Los sitios que exponen interfaces de administrador a Internet público sin controles de acceso adicionales (sin restricciones de IP, falta de MFA, etc.) están en riesgo elevado.

Conclusión: Aunque un atacante podría enviar contenido malicioso sin autenticación en algunos flujos, el impacto real se vuelve severo cuando un administrador interactúa con él. Trate esto como urgente si tiene múltiples administradores o administradores remotos.

Acciones inmediatas que debe tomar (0–24 horas)

  1. Actualice AutomatorWP a la versión 5.7.3 o posterior
    – Esta es la solución recomendada y permanente. Haga esto primero si es posible.
    – Pruebe las actualizaciones en un entorno de pruebas si tiene un entorno complejo, pero apunte a actualizar la producción dentro de 24 horas para sitios públicos.
  2. Si no puedes actualizar de inmediato, aplica mitigaciones temporales:
    • Active el parcheo virtual de WP‑Firewall / reglas WAF que bloquean patrones comunes de XSS (vea ejemplos de reglas a continuación).
    • Restringa el acceso a /wp-admin y las interfaces de automatización a través de listas de permitidos de IP, autenticación básica HTTP o reglas de denegación por defecto.
    • Desactive o deshabilite AutomatorWP temporalmente si el riesgo comercial lo permite.
    • Haga cumplir la autenticación multifactor (MFA) para todos los administradores y cuentas privilegiadas.
    • Advierta a los administradores que eviten hacer clic en enlaces desconocidos o ver entradas de automatización sospechosas hasta que se solucione.
  3. Endurecer el acceso de administrador:
    • Limite los inicios de sesión de administradores a rangos de IP específicos cuando sea posible.
    • Agregue autenticación básica HTTP a /wp-admin o las páginas de administración del complemento.
    • Asegúrese de que todas las cuentas de administrador tengan contraseñas fuertes y MFA.
  4. Aumente la supervisión y los escaneos:
    • Realice un escaneo completo del sitio en busca de malware y una verificación de integridad (archivos y base de datos).
    • Monitoree los registros de acceso en busca de solicitudes sospechosas (consulte la guía de detección).
    • Habilite alertas en tiempo real para cambios en los archivos del complemento/tema y nuevos usuarios administrativos.

Cómo un firewall de aplicaciones web (WAF) puede mitigar esta vulnerabilidad de inmediato

Un WAF puede proporcionar parches virtuales bloqueando solicitudes que coinciden con patrones de ataque antes de que lleguen al complemento vulnerable. Esto es crucial cuando no puede actualizar de inmediato. WP‑Firewall utiliza reglas basadas en firmas y comportamientos para:

  • Bloquear solicitudes que contengan etiquetas HTML sospechosas (por ejemplo, <script>), controladores de eventos (al pasar el ratón por encima=), o URIs javascript: en campos de entrada.
  • Normalizar la codificación para atrapar ataques codificados (codificados en URL, doble codificados).
  • Bloquear o desafiar solicitudes que apunten a puntos finales de administración desde fuentes sospechosas.
  • Limitar la tasa y reducir patrones de solicitudes sospechosas.

A continuación se presentan reglas de ejemplo que puede usar como plantillas. Por favor, adáptelas antes de aplicarlas en producción y pruébelas primero en modo “monitoreo” para evitar bloquear tráfico legítimo.

Regla de ejemplo de ModSecurity (compatible con OWASP CRS) — bloquear etiquetas de script obvias en parámetros:

# Bloquear etiquetas de script en bruto en cualquier parámetro GET o POST"

Bloquear controladores de eventos XSS comunes o uso de javascript:

SecRule ARGS "(?i)(javascript:|onmouseover\s*=|onerror\s*=|onload\s*=|<\s*img\b.*onerror)" \n "id:1001002,phase:2,deny,log,msg:'Intento de XSS bloqueado - controlador de eventos o URI javascript',severity:2"

Bloquear etiquetas de script codificadas en URL (capturar cargas útiles codificadas):

SecRule ARGS "(?i)%3c%|%253c%|%3cscript%3e" \n "id:1001003,phase:2,deny,log,msg:'Blocked encoded script tag',severity:2"

Ejemplos de Nginx + Lua o NAXSI (pseudo):

  • Regla de Naxsi para deshabilitar <script> o JavaScript: subcadenas en parámetros.
  • O usa un Nginx mapa + si bloque para devolver 403 cuando los argumentos de la solicitud coinciden con la expresión regular.

Fragmento genérico de nginx (usar con cuidado):

if ($args ~* "(?i)(<\s*script\b|javascript:|onerror=|onload=|%3cscript%3e)") {
    return 403;
}

Importante: estas reglas ayudan a mitigar intentos de explotación ruidosos pero no son un reemplazo para aplicar parches. Pueden generar falsos positivos para el uso legítimo (por ejemplo, sitios que aceptan entrada HTML de manera legítima). Prueba las reglas en modo de detección antes de negar completamente.

Los clientes de WP‑Firewall reciben parches virtuales ajustados que están diseñados para minimizar falsos positivos mientras bloquean patrones maliciosos conocidos relevantes para este informe.

Detección: qué buscar en los registros y la actividad del sitio

Si estás investigando si ya se ha intentado o tenido éxito un exploit, revisa lo siguiente:

  • Registros de acceso del servidor web (Apache/nginx):
    • Busca solicitudes POST inusuales a puntos finales de admin o AJAX (admin-ajax.php, puntos finales de la API REST).
    • Solicitudes que contienen <script> o atributos de evento (onerror=, al cargar=) o JavaScript: en parámetros (posiblemente codificados en URL).
    • Aumento en las solicitudes que resultan en errores 500 o 403 alrededor de recursos de plugins.
  • Registros de WordPress y auditorías:
    • Archivos de plugins nuevos o modificados, temas o archivos PHP desconocidos en wp‑content.
    • Nuevos o modificados usuarios administradores; cambios inesperados en los roles de usuario.
    • Cambios en la tabla de opciones, especialmente entradas que almacenan HTML/JS (notificaciones del sitio, contenido de widgets, registros de automatización).
    • Evidencia de tareas programadas o cronjobs que no fueron configurados por usted.
  • Comprobaciones de base de datos:
    • Busca <script o blobs base64 sospechosos en wp_options, wp_posts, wp_postmeta y tablas específicas de plugins.
  • Integridad de archivos:
    • Use hashes de archivos (de una copia de seguridad limpia conocida) para detectar archivos modificados.
    • Busque shells web (archivos que contienen patrones sospechosos, evaluar(base64_decode(, etc.).
  • Comunicaciones salientes:
    • Conexiones de red salientes inesperadas desde el sitio, especialmente a dominios inusuales — podrían indicar beaconing.

Si encuentra indicadores de compromiso, escale a los pasos de respuesta a incidentes que se enumeran a continuación.

Lista de verificación de respuesta ante incidentes (si sospecha que la situación se ha complicado)

  1. Ponga el sitio en modo de mantenimiento / desconéctelo (si es apropiado) para detener más daños.
  2. Preservar las pruebas:
    • Haga una copia de seguridad completa (archivos + DB) y guárdela fuera de línea para uso forense.
    • Recoja registros de acceso del servidor, registros de errores y volcado de bases de datos.
  3. Cambie todas las credenciales:
    • Contraseñas de usuario administrador, contraseñas de base de datos, claves API y cualquier credencial del sistema de archivos.
  4. Escanear y limpiar:
    • Ejecute un escáner de malware de confianza para identificar archivos maliciosos.
    • Elimine o reemplace archivos infectados con copias limpias de copias de seguridad o fuentes de plugins/temas.
  5. Rote secretos que pueden haber sido expuestos (claves API, tokens de aplicación).
  6. Revise las cuentas de usuario y revoque roles de administrador desconocidos.
  7. Parche: actualice AutomatorWP a 5.7.3 o posterior y todos los demás plugins/temas/núcleo de WordPress.
  8. Endurecer:
    • Aplica 2FA para administradores.
    • Limitar el acceso de administrador por IP donde sea posible.
    • Aplique reglas WAF y continúe monitoreando.
  9. Monitor:
    • Mantenga un registro mejorado y escaneos frecuentes durante al menos 30 días después del incidente.
  10. Si es necesario, contrate ayuda profesional de respuesta a incidentes o forense.

Mitigaciones a nivel de código a corto plazo (si puedes editar el código del plugin)

Si tienes capacidad de desarrollo y no puedes actualizar inmediatamente a través del repositorio de plugins, una mitigación temporal puede ser sanitizar y escapar las salidas en las vistas de administración del plugin donde se imprimen valores no confiables.

Consejo general (no edites en producción sin probar):

  • Asegúrate de que todos los valores mostrados en las páginas de administración usen esc_html(), esc_attr(), esc_textarea(), o wp_kses() con etiquetas permitidas estrictas antes de la salida.
  • Para los valores guardados de la entrada del usuario, considera aplicar desinfectar_campo_de_texto(), wp_strip_all_tags(), u otros sanitizadores al almacenar o renderizar.
  • Agrega verificaciones de capacidad (usuario_actual_puede('manage_options')) para restringir el acceso a vistas críticas.

Importante: Las ediciones directas de código pueden ser sobrescritas por futuras actualizaciones del plugin; trata las ediciones como temporales y actualiza a la versión oficial corregida cuando esté disponible.

Pruebas y verificación después de que apliques el parche

  1. Limpia las cachés (caché de objetos, caché de páginas, CDN) para asegurarte de que no quede contenido obsoleto.
  2. Verifica el registro de cambios del plugin o el aviso del proveedor para confirmar que se aplicó la solución.
  3. Vuelve a ejecutar tu WAF/IDS en modo de detección para observar patrones previamente bloqueados; expectativa: deberían desaparecer.
  4. Realiza una prueba controlada y no destructiva (en staging) para confirmar que las interfaces de administración se renderizan de forma segura; no ejecutes cargas de explotación en producción.
  5. Confirma que todos los usuarios administradores pueden iniciar sesión y que no existen usuarios no autorizados.

Recomendaciones de endurecimiento a largo plazo

Para reducir el riesgo de vulnerabilidades similares en plugins en el futuro:

  • Minimiza la cantidad de plugins: solo instala los plugins que necesitas y de fuentes reputables.
  • Usa entornos de staging/pruebas para actualizaciones y pruebas de plugins.
  • Aplica actualizaciones automáticas donde sea factible para plugins de bajo riesgo; para plugins críticos, utiliza una política de actualización automática escalonada.
  • Aplica MFA para todas las cuentas con capacidades administrativas o de editor.
  • Limite el acceso de administrador por direcciones IP o agregue autenticación HTTP a las páginas de administrador.
  • Mantenga copias de seguridad continuas con capacidad de restauración en el tiempo.
  • Utilice un WAF gestionado que soporte parches virtuales y despliegue centralizado de reglas.
  • Monitoree y alerte sobre comportamientos anómalos del sitio y cambios en archivos.

Cómo WP‑Firewall protege su sitio (perspectiva del proveedor)

Como el equipo detrás de WP‑Firewall, nuestra misión es ayudar a los propietarios de sitios a bloquear amenazas como esta de manera rápida y segura. Así es como nuestros servicios están diseñados para ayudar cuando aparece una divulgación como CVE‑2026‑42775:

  • Parches virtuales rápidos: Desplegamos reglas para bloquear patrones de ataque conocidos que apuntan a la vulnerabilidad divulgada, con reglas probadas para minimizar falsos positivos.
  • Escaneo de malware: Escaneo continuo de archivos y contenido de la base de datos para detectar scripts inyectados o puertas traseras.
  • Firmas adaptativas: Nuestro motor detecta cargas útiles codificadas, inyecciones de controladores de eventos y uso no estándar que indica intentos de XSS.
  • Protección de administrador: Funciones para restringir páginas de administrador, hacer cumplir límites de tasa y desafiar accesos sospechosos a la interfaz de administrador.
  • Asistencia en incidentes: Pasos de remediación guiados, informes de detección y—en niveles superiores—ayuda práctica en la remediación.
  • Opciones de actualización automática (gestionadas): Los clientes pueden optar por aplicar automáticamente actualizaciones de plugins para plugins vulnerables conocidos para reducir la ventana de exposición.

Si desea un parche virtual inmediato mientras programa pruebas y actualizaciones, nuestro servicio puede desplegar mitigaciones en su sitio en minutos.

Conjunto de reglas de WAF de ejemplo (plantillas prácticas)

A continuación se presentan patrones más robustos para equipos que administran ModSecurity/Apache o Nginx WAFs. Siempre pruebe a fondo en un entorno no productivo primero.

  1. Bloquee etiquetas de script visibles y equivalentes codificados en GET/POST/COOKIE:
SecRule REQUEST_HEADERS:Content-Type "!" "id:1001100,phase:1,pass,t:none"
SecRule ARGS|REQUEST_HEADERS|XML:/*|ARGS_NAMES|REQUEST_COOKIES "(?i)((<\s*script\b)|(%3c\s*script)|(%253c\s*script)|javascript:|onerror\s*=|onload\s*=|<\s*img\b.*onerror|document\.cookie|window\.location)" \n "id:1001101,phase:2,deny,log,rev:'v1',msg:'Generic XSS pattern - deny',severity:2"
  1. Desafíe solicitudes sospechosas con un CAPTCHA/Desafío en lugar de bloquearlas directamente (reduce los falsos positivos):
SecAction "id:1001200,phase:1,nolog,pass,initcol:ip=%{REMOTE_ADDR}"
  1. Bloquee cargas útiles fuertemente codificadas o valores de parámetros extremadamente largos (rasgo común de datos inyectados):
SecRule ARGS|REQUEST_BODY "(%3c|%253c|%3e|%253e)" "id:1001300,phase:2,deny,log,msg:'Encoded angle brackets in input - possible XSS',severity:2"
SecRule ARGS_NAMES|REQUEST_HEADERS|REQUEST_BODY_LENGTH "@gt 2000" "id:1001301,phase:2,deny,log,msg:'Excessively large payload - possible attack',severity:2"

Nuevamente: estos son ejemplos. Los contextos de entrada válidos (editores HTML, campos WYSIWYG) pueden contener HTML legítimamente. Para sitios que utilizan tales campos, crea excepciones selectivas para URIs o nombres de parámetros específicos.

Detección de persistencia post-explotación y consejos de recuperación

Si se capturó una sesión de administrador o se ejecutaron comandos, los atacantes pueden dejar mecanismos de persistencia:

  • Shells web o tareas programadas (cron) que reinfectan el sitio.
  • Puertas traseras en archivos de plugins o temas (archivos PHP en uploads, en mu-plugins).
  • Usuarios administrativos ocultos o capacidades modificadas.
  • Redirecciones maliciosas, páginas de spam SEO o scripts persistentes en almacenes de encabezado/pie de página.

Pasos de recuperación (lista de verificación corta):

  • Elimina los archivos maliciosos y restaura los archivos de núcleo/plugin/tema reemplazados de fuentes confiables.
  • Verifica wp_options en busca de opciones autoloaded sospechosas; verifica si hay cuentas desconocidas siteurl o inicio cambios.
  • Inspeccionar wp_usuarios para cuentas rebeldes; verifica usermeta capacidades para elevación.
  • Inspecciona crontab y trabajos programados del servidor en busca de comandos desconocidos.
  • Si se confirma una fuerte compromisión, restaura desde una copia de seguridad limpia previa a la compromisión y parchea todo antes de reconectar.

Un ejemplo práctico: qué buscar en la base de datos

Busca cadenas que se utilizan comúnmente en scripts inyectados (usa búsqueda sensible a mayúsculas con decodificación de URL):

  • <script
  • onerror=
  • JavaScript:
  • documento.cookie
  • evaluar(
  • base64_decode(

Ubicaciones de búsqueda:

  • wp_posts (post_content)
  • wp_options (especialmente opciones autoloaded)
  • wp_postmeta y tablas específicas de plugins
  • Cualquier tabla de plugin personalizada referenciada por AutomatorWP

Título para atraer inscripciones: Comienza a proteger tu sitio de WordPress de forma gratuita

Si deseas protecciones automáticas e inmediatas que bloqueen patrones de ataque como el de CVE‑2026‑42775 mientras actualizas plugins y refuerzas tu sitio, considera comenzar con el plan Básico (Gratis) de WP‑Firewall. El plan gratuito incluye protección esencial: un firewall gestionado, ancho de banda ilimitado, un Firewall de Aplicaciones Web (WAF), escáner de malware y mitigación para los riesgos del OWASP Top 10 — todo lo que necesitas para reducir drásticamente tu exposición a ataques comunes impulsados por plugins.

Explora WP‑Firewall Básico (Gratis) y protégete ahora

(Si necesitas funciones más avanzadas como eliminación automática de malware o parches virtuales automáticos, nuestros planes Estándar y Pro añaden limpieza automatizada, listas negras/blancas de IP, informes de seguridad mensuales y otros servicios gestionados para simplificar la recuperación y la seguridad continua.)

Recomendaciones finales — lista de verificación priorizada

  1. Actualiza AutomatorWP a la versión 5.7.3 (o posterior) de inmediato.
  2. Si no puedes actualizar dentro de 24 horas: aplica parches virtuales WAF, restringe el acceso a la interfaz de administración y desactiva el plugin temporalmente.
  3. Aplica MFA para todos los administradores y rota las credenciales.
  4. Escanea en busca de signos de compromiso (archivos, DB, registros) y aísla si ves indicadores de compromiso.
  5. Restaura desde una copia de seguridad limpia si se encuentran puertas traseras persistentes o cuentas de administrador desconocidas.
  6. Refuerza tu sitio para reducir la exposición a futuras vulnerabilidades de plugins (menos plugins, actualizaciones automáticas donde sea apropiado, entorno de pruebas para testeo).
  7. Utiliza un WAF gestionado con parches virtuales para ganar tiempo durante las ventanas de divulgación.

Reflexiones finales

Las vulnerabilidades de plugins son la ruta más frecuente por la cual los sitios de WordPress son comprometidos. El problema de XSS de AutomatorWP es un recordatorio de que incluso los sitios bien mantenidos pueden estar expuestos debido a interacciones complejas de plugins y flujos de trabajo de administración. Parchar rápidamente es el paso más importante, pero en el mundo real puede que necesites tiempo para probar actualizaciones — ahí es donde los parches virtuales y un firewall gestionado juegan un papel crítico.

Si gestionas múltiples sitios de WordPress, considera esta divulgación como un desencadenante para revisar las políticas de actualización, los controles de acceso y tu manual de respuesta a incidentes. Si necesitas ayuda para aplicar mitigaciones o realizar una limpieza posterior al incidente, WP‑Firewall ofrece soluciones para proteger, detectar y remediar rápidamente.

Mantente alerta, prioriza los parches y asegúrate de que los usuarios administradores estén protegidos con una autenticación fuerte y una exposición mínima.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™