Vulnerabilidad de Control de Acceso en Nexi XPay//Publicado el 2026-04-15//CVE-2025-15565

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Nexi XPay Vulnerability

Nombre del complemento Nexi XPay
Tipo de vulnerabilidad Vulnerabilidad de Control de Acceso
Número CVE CVE-2025-15565
Urgencia Bajo
Fecha de publicación de CVE 2026-04-15
URL de origen CVE-2025-15565

Control de acceso roto en Nexi XPay (≤ 8.3.0): Lo que los propietarios de sitios de WordPress deben hacer ahora

Autor: Equipo de seguridad de WP-Firewall
Fecha: 2026-04-15

Resumen ejecutivo

El 15 de abril de 2026 se divulgó una vulnerabilidad de control de acceso roto que afecta al plugin de WordPress Nexi XPay (versiones ≤ 8.3.0) y se le asignó CVE‑2025‑15565. El problema permite a actores no autenticados modificar el estado de los pedidos en algunas instalaciones que utilizan el plugin vulnerable. El proveedor lanzó un parche en la versión 8.3.2.

Como un equipo de seguridad de WordPress que opera un WAF profesional y una pila de protección de sitios, queremos explicar en lenguaje sencillo lo que significa esta vulnerabilidad, cuán probable es que sea explotada, cuáles son los riesgos reales para WooCommerce y otras tiendas que utilizan Nexi/Cartasi XPay, y — lo más importante — cómo mitigar y detectar intentos rápidamente. También proporcionamos mitigaciones pragmáticas que puedes aplicar de inmediato (incluyendo orientación sobre reglas de WAF y recomendaciones de monitoreo) y mejores prácticas a largo plazo para desarrolladores y configuraciones para prevenir recurrencias.

Esta publicación está escrita para propietarios de sitios, desarrolladores y operadores de hosting. Es técnica donde necesita serlo, pero también práctica: al final sabrás qué verificar, qué hacer ahora y qué agregar a tu manual de respuesta a incidentes.

¿Cuál es la vulnerabilidad?

  • Software afectado: plugin de WordPress Nexi XPay (también distribuido como Cartasi X‑Pay en algunos repositorios).
  • Versiones vulnerables: cualquier versión hasta e incluyendo 8.3.0.
  • Parcheado en: 8.3.2 (actualiza inmediatamente).
  • CVE: CVE‑2025‑15565
  • Clase: Control de acceso roto (OWASP A1 / A5 dependiendo de la taxonomía)
  • CVSS (referencia publicada): 5.3 (impacto medio / bajo-medio dependiendo del contexto)

Control de acceso roto aquí significa que el plugin tenía una verificación de autorización/permisos faltante en el código que modifica el estado del pedido. Esa omisión permitió que solicitudes no autenticadas (solicitudes sin una sesión iniciada o capacidad válida) activaran cambios en el estado del pedido en algunas configuraciones.

Por qué eso importa: Los cambios en el estado del pedido en WooCommerce son acciones de alto valor: pueden afectar el inventario, el cumplimiento de pedidos, correos electrónicos automatizados, verificaciones de fraude e integraciones contables/cumplimiento posteriores. Incluso si la vulnerabilidad no filtra directamente datos de tarjetas (las protecciones de datos de pago son separadas), los cambios de estado no autorizados pueden ser utilizados como parte de campañas más amplias de fraude y interrupción.

¿Quién debería estar preocupado?

  • Tiendas de WooCommerce que utilizan el plugin de pasarela de pago Nexi/XPay.
  • Agencias y proveedores de hosting que gestionan sitios de clientes que utilizan el plugin.
  • Sitios que dependen del procesamiento automatizado de pedidos (inventario, desencadenadores de envío, notificaciones por correo electrónico).
  • Cualquiera que use webhooks o integraciones que actúen sobre cambios en el estado del pedido.

Si usas Nexi XPay y estás ejecutando una versión ≤ 8.3.0, trata esto como alta prioridad para remediar incluso si el CVSS publicado es moderado. El impacto real en el negocio depende de cómo tu tienda maneja las transiciones de estado del pedido y si otros controles (firewall del host, WAF de infraestructura, puntos finales solo para administradores, etc.) restringen el acceso.

Cómo un atacante podría aprovecharlo (escenarios)

No reproduciremos el código de explotación en este artículo, pero aquí hay escenarios de ataque realistas para que puedas evaluar tu exposición.

  1. Interrumpir pedidos / causar envíos fraudulentos:
      – El atacante modifica el estado del pedido a “completado” para engañar a los socios de cumplimiento o envío para que envíen bienes sin la verificación de pago adecuada (si los procesos posteriores dependen únicamente del estado).
  2. Manipulación de inventario:
      – Cambiar estados puede abrir o cerrar ventanas de asignación de inventario, creando potencialmente inconsistencias en el stock.
  3. Confusión en reembolsos y contabilidad:
      – Si los flujos de trabajo generan automáticamente facturas/reembolsos basados en el estado, un atacante podría causar disputas de facturación y dolores de cabeza operativos.
  4. Ataques en cadena:
      – Cambiar un pedido para activar un webhook que llame a un servicio externo; usar eso para pivotar o negar el servicio.
  5. Ingeniería social y escalado de estafas:
      – La manipulación masiva de estados en muchos sitios puede crear un caos amplio para pequeños comerciantes, ayudando a redes de estafas.

Nota: La explotación requiere conocimiento del endpoint/parámetros específicos que utiliza el plugin. La probabilidad de escaneo automatizado a gran escala es real; los errores de control de acceso roto son comúnmente explotados en campañas masivas.

Acciones inmediatas (qué hacer en los próximos 60 minutos)

  1. Actualiza el plugin:
      – Actualiza Nexi XPay a la versión 8.3.2 o posterior. Esta es la única solución completa.
      – Si gestionas muchos sitios, programa una actualización coordinada y monitorea cualquier error de actualización.
  2. Si no puedes actualizar de inmediato, implementa mitigaciones temporales:
      – Desactiva el plugin de la pasarela de pago hasta que puedas aplicar un parche.
      – Restringe las solicitudes a los endpoints del plugin a nivel de servidor o WAF (ejemplos a continuación).
      – Agrega una regla para denegar solicitudes no autenticadas sospechosas que intenten cambiar el estado del pedido (ver guía de WAF).
  3. Audita en busca de signos de explotación:
      – Verifique el historial de pedidos recientes en busca de cambios de estado inesperados.
      – Revise los registros (servidor web, PHP, WooCommerce) en busca de solicitudes POST o JSON a los puntos finales del plugin desde IPs o agentes de usuario inusuales.
      – Verifique si hay un aumento en la actividad de webhook, llamadas API salientes y notificaciones por correo electrónico relacionadas con los estados de los pedidos.
  4. Preservar registros:
      – Si sospecha de una violación, conserve los registros y las instantáneas para la forensía. No sobrescriba ni elimine registros.

Cómo detectar explotación — indicadores de compromiso (IoCs)

Busque los siguientes signos en sus registros e historiales de pedidos de WooCommerce:

  • Transiciones de estado inesperadas: pedidos que pasan de “pendiente” a “completado” o “procesando” sin un evento de captura de pago correspondiente.
  • Solicitudes a puntos finales específicos del plugin que carecen de una cookie autenticada o un agente de usuario de administrador conocido.
  • Solicitudes POST/PUT/DELETE con parámetros nombrados como estado_del_pedido, estado, id_pedido, o claves específicas del plugin donde el solicitante no está autenticado.
  • Aumento en las solicitudes a los puntos finales del plugin que provienen de rangos de IP poco comunes o solicitudes repetidas en intervalos cortos.
  • Nuevos o alterados webhooks activados sin eventos ascendentes esperados.
  • Correos electrónicos o notificaciones sobre cambios en pedidos que usted no inició.

Dónde verificar:

  • Registros de acceso y registros de errores de Apache/Nginx.
  • Registro de errores de PHP-FPM o PHP (para mensajes de depuración o del plugin).
  • Notas de pedidos de WooCommerce (cada pedido mantiene un historial).
  • Registros del panel de control de hosting y cualquier WAF/registros que ya tenga habilitados.

Consejo profesional: consulte sus registros para solicitudes POST con un referer de nulo o referer vacío que apunte a URLs de plugins dentro de los últimos 7–30 días.

Guía de WAF / parcheo virtual (reglas temporales)

Si no puede actualizar de inmediato, aplique reglas WAF específicas. El objetivo es bloquear intentos no autenticados de cambiar el estado del pedido mientras se minimizan los falsos positivos.

Importante: ajuste y pruebe las reglas en modo “monitoreo” o “solo registro” antes de bloquear en producción.

Ideas de reglas genéricas (conceptual; adapte a la sintaxis de su WAF):

  • Bloquee las solicitudes POST/PUT no autenticadas a los puntos finales de plugins conocidos que llevan parámetros utilizados para cambiar el estado del pedido.
  • Si el plugin expone una ruta REST, exija que las solicitudes contengan un token de AUTORIZACIÓN válido, nonces o cookie. Niegue las solicitudes sin estos elementos.
  • Limite la tasa de solicitudes a los puntos finales del plugin (niegue si > X solicitudes por minuto desde la misma IP).

Ejemplo de pseudo‑reglas (no copie textualmente; adapte a su pila):

  • Niege las solicitudes POST a cualquier URI que coincida con la ruta del plugin si no hay una cookie de WordPress presente:
      – Condición: REQUEST_METHOD == POST Y REQUEST_URI CONTIENE “/wp-content/plugins/[nexi|cartasi]” Y HTTP_COOKIE NO contiene “wordpress_logged_in_”
      – Acción: BLOQUEAR / Devolver 403
  • Niege las solicitudes que intenten establecer el estado del pedido si el referer está vacío y la solicitud no está autenticada:
      – Condición: REQUEST_BODY contiene “order_status” Y HTTP_REFERER está vacío Y HTTP_COOKIE no contiene “wordpress_logged_in_”
      – Acción: BLOQUEAR
  • Regla de límite de tasa:
      – Condición: REQUEST_URI contiene la ruta del plugin Y count(IP) > 20 en 1 minuto
      – Acción: DESAFÍO o BLOQUEAR

Recomendaciones para WAFs comunes:

  • Si opera ModSecurity: escriba una SecRule que coincida con el punto final del plugin y verifique la ausencia de una cookie de autenticación de WordPress o un valor nonce.
  • Si su WAF admite parches virtuales: cree una regla que inspeccione las solicitudes en busca de parámetros que modifiquen el estado y las bloquee a menos que vengan acompañadas de un nonce válido o capacidad de administrador.

Registro: registre los encabezados completos de la solicitud (no los cuerpos que contengan PII) y el nombre de la regla coincidente para cada solicitud bloqueada. Utilice esos registros para refinar las firmas.

Advertencia: Bloquear todo el tráfico a las rutas del plugin puede afectar a clientes legítimos. Utiliza el bloqueo temporal solo mientras preparas una actualización completa.

Cómo auditar tu sitio para detectar exposiciones

  1. Inventario:
      – Identifica todos los sitios y entornos que tienen el plugin vulnerable instalado (incluyendo staging y dev).
      – Donde alojes múltiples sitios de clientes, utiliza una herramienta de inventario central o un escáner de plugins para listar las versiones de los plugins.
  2. Revisión del historial de pedidos:
      – Exporta pedidos de los últimos 30–90 días y busca transiciones de estado irregulares.
      – Revisa las notas de los pedidos; generalmente contienen qué usuario cambió el estado; si aparece “sistema” o “API” sin contexto, investiga más a fondo.
  3. Registros y análisis:
      – Consulta los registros del servidor web para acceder a las rutas de archivos del plugin o a las rutas de la API REST vinculadas al plugin de pago.
      – Verifica picos inusuales en las respuestas 200/201/204 asociadas con los puntos finales de modificación de pedidos.
  4. Integridad de archivos:
      – Confirma que los archivos del plugin no han sido modificados. Utiliza sumas de verificación de una copia limpia del plugin o del repositorio de WordPress como referencia.
      – Si ves archivos PHP inesperados o trabajos cron desconocidos, trátalos como sospechosos.
  5. Comprobaciones de base de datos:
      – Busca en la tabla de opciones y en usermeta entradas sospechosas vinculadas al plugin que puedan crear puertas traseras o disparadores persistentes.
  6. Integraciones externas:
      – Verifica los webhooks de la pasarela de pago con el proveedor de pagos para asegurarte de que no se haya añadido un mapeo inesperado.

Respuesta a incidentes si encuentra evidencia de explotación.

  1. Contener:
      – Desactiva inmediatamente el plugin vulnerable o bloquea el acceso al punto final vulnerable a través de reglas de firewall.
      – Restablece las credenciales de administrador, comerciante e integración que puedan haber sido utilizadas.
  2. Preservar las pruebas:
      – Toma una instantánea del sitio y la base de datos, exporta los registros y guárdalos de forma segura. No modifiques el sistema afectado hasta que se preserve la evidencia.
  3. Erradicar:
      – Actualiza el plugin (a 8.3.2+) y todos los demás plugins, temas y el núcleo de WordPress.
      – Elimina cualquier archivo malicioso o tareas cron no autorizadas. Si no estás seguro, restaura a una copia de seguridad conocida y buena creada antes de la intrusión.
  4. Recuperar:
      – Rehabilitar los servicios gradualmente. Validar flujos de pedidos e integraciones en un entorno de pruebas antes de volver a producción.
  5. Notificar:
      – Informar a las partes interesadas (cuentas de comerciantes, cumplimiento, clientes si es necesario) y a su proveedor de alojamiento.
  6. Post-incidente:
      – Realizar un análisis de causa raíz y agregar controles (endurecimiento de WAF, mejoras en el registro, monitoreo) para prevenir recurrencias.

Guía para desarrolladores — cómo esto previene errores similares

Esta vulnerabilidad es un ejemplo clásico de la falta de verificaciones de autorización del lado del servidor. La validación del lado del cliente (verificaciones de JavaScript, nonces de formulario solo en el cliente) no es suficiente. Los siguientes principios de desarrollo deben estar presentes en cualquier plugin que modifique recursos críticos:

  • Siempre realizar verificaciones de capacidad del lado del servidor:
      – Utilizar verificaciones de capacidad de WordPress como current_user_can(‘manage_woocommerce’) donde sea aplicable.
  • No confiar en ninguna solicitud entrante sin verificar:
      – Valide y limpie toda entrada.
      – Verificar nonces en envíos de formularios y solicitudes REST. Para los puntos finales de REST, utilizar callbacks de permisos que verifiquen las capacidades del usuario o tokens.
  • Limitar explícitamente acciones sensibles a roles autenticados o webhooks firmados:
      – Si una integración debe realizar acciones sin una sesión de usuario (por ejemplo, webhooks de proveedores de pago), requerir cargas firmadas o verificación de secretos compartidos previamente.
  • Registrar acciones sensibles:
      – Mantener registros claros cuando cambian los estados de los pedidos, incluyendo quién/qué desencadenó el cambio y los metadatos de la solicitud.
  • Valores predeterminados a prueba de fallos:
      – Si una verificación de autorización falla, denegar la acción y devolver un error informativo pero no sensible.

Lista de verificación de endurecimiento para sitios de WordPress/WooCommerce

  • Mantener el núcleo de WordPress, temas y plugins actualizados dentro de las 72 horas posteriores a correcciones críticas de seguridad.
  • Limitar el acceso de administrador por IP donde sea posible (por ejemplo, restringir wp-admin a una IP estática o configurar una VPN).
  • Hacer cumplir contraseñas fuertes y autenticación de dos factores para cuentas de administrador y comerciantes.
  • Ejecutar un WAF y configurar parches virtuales para ventanas de día cero; utilizar reglas ajustadas para puntos finales de plugins conocidos.
  • Habilitar el registro de actividades (acciones de administrador, acciones de pedidos) y enviar registros a un sistema de registro central.
  • Programar verificaciones regulares de integridad de archivos y análisis de malware.
  • Realiza copias de seguridad regularmente y verifica el proceso de restauración (tanto de archivos como de base de datos).
  • Utiliza el principio de menor privilegio para las claves API y los secretos de webhook.

Recomendaciones para proveedores de hosting y agencias

Si eres una agencia o un host que gestiona sitios de clientes:

  • Prioriza el despliegue de parches para los sitios de clientes con el plugin: las actualizaciones masivas coordinadas suelen ser la mitigación más rápida.
  • Crea un plan de comunicación para informar a los clientes afectados sobre el problema, el riesgo y el cronograma de remediación.
  • Proporciona parches virtuales temporales (reglas WAF) para clientes gestionados que no pueden ser actualizados de inmediato.
  • Ofrece un servicio de respuesta a incidentes para clientes que pueden estar comprometidos.
  • Mantén un inventario cruzado de versiones de plugins para identificar la exposición rápidamente.

Por qué el CVSS por sí solo puede ser engañoso para las vulnerabilidades de WordPress.

La puntuación CVSS publicada para este problema es 5.3. CVSS es útil para la estandarización, pero los ecosistemas de WordPress son únicos:

  • Un CVSS medio puede tener un impacto desproporcionado en el mundo real para las tiendas de comercio electrónico porque la lógica empresarial (pedidos, inventario, cumplimiento) es sensible.
  • El riesgo efectivo depende de cómo esté configurado el plugin, si existen controles de acceso adicionales, la presencia de webhooks/integración y si los hosts implementan WAFs.
  • Trata cada vulnerabilidad con contexto: cómo se utiliza el plugin, qué procesos dependen de los estados de los pedidos y la escala de automatización.

Mejores prácticas de monitoreo y detección.

  • Habilita y retén los registros del servidor web y de PHP durante al menos 90 días si es posible.
  • Implementa alertas automáticas para:
      – Grandes cantidades de cambios en el estado de los pedidos en un corto período.
      – Solicitudes POST a los puntos finales del plugin de la pasarela de pago desde IPs desconocidas o nodos de salida de tor.
      – Aumentos de tasa para puntos finales específicos.
  • Monitorea anomalías en el tráfico de webhook y en los registros de integradores de terceros.
  • Utilice un SIEM central o un agregador de registros para correlacionar eventos de pedidos y solicitudes web.

Lo que recomendamos a los usuarios de WP-Firewall que hagan ahora mismo

(Si está utilizando la protección de WP‑Firewall, aplique estos pasos de inmediato.)

  1. Confirme la versión del plugin en todos los sitios que gestiona (≤ 8.3.0 están afectados).
  2. Actualice a 8.3.2+ lo antes posible.
  3. Habilite nuestras reglas de firewall gestionadas para los puntos finales de la pasarela de pago; estas reglas ya incluyen verificaciones de firma para patrones comunes de modificación de estado de pedidos y heurísticas para bloquear intentos no autenticados.
  4. Active el escaneo automático de malware y alertas de cambios en pedidos para que reciba notificaciones inmediatas de transiciones de estado sospechosas.
  5. Si no puede actualizar de inmediato, habilite el parcheo virtual temporal en el firewall para bloquear solicitudes no autenticadas que intenten cambiar el estado del pedido.

Ejemplos de patrones de reglas WAF (conceptuales)

A continuación se presentan patrones conceptuales para las reglas de WAF. Adáptelos a su entorno y pruébelos en modo de monitoreo primero.

Regla pseudo #: bloquear solicitudes POST que intenten establecer el estado del pedido sin autenticación

# Limitar la tasa y desafiar solicitudes a rutas de plugins

# Permitir solo IPs de proveedores de pago para acceder al punto final del webhook cuando se conozcan

Soluciones a largo plazo que los autores de plugins deberían implementar

Si mantiene plugins:

  • Requiera una verificación de permiso o capacidad en cualquier acción que modifique pedidos. No asuma que la solicitud es legítima.
  • Para rutas de la API REST:
      – Implemente un devolución de llamada de permisos que haga cumplir las verificaciones de capacidad o verifique firmas para llamadas de máquina a máquina.
  • Para admin‑ajax y manejo de formularios:
      – Haga cumplir los nonces de WordPress y el usuario actual puede() verificaciones.
  • Agregue pruebas unitarias/integración exhaustivas que verifiquen que las llamadas no autorizadas fallen.
  • Proporcione registros de cambios claros e información sobre las versiones afectadas para las versiones de seguridad.

Preguntas frecuentes (FAQ)

P: Si un atacante cambió un pedido a “completado”, ¿significa eso que se capturó el pago?
A: No necesariamente. El estado del pedido a menudo es una bandera de lógica comercial. La captura de pago es una operación separada. Sin embargo, muchas tiendas tienen automatización que trata “completado” como una señal para enviar. Confirme el estado de la transacción de la pasarela de pago en el panel de control del proveedor de pagos.

P: ¿Puedo bloquear el tráfico al plugin de pago de forma segura?
A: Bloquear el tráfico a los puntos finales públicos del plugin puede afectar los flujos de pago legítimos. Utilice un bloqueo dirigido (bloquee solo las solicitudes de cambio de estado no autenticadas) o desactivación a corto plazo en coordinación con las partes interesadas.

P: ¿Qué tan rápido debo actuar?
A: Inmediatamente. Primero, aplique un parche. Si no puede aplicar un parche dentro de las próximas 24-48 horas, aplique mitigaciones de WAF y restricciones temporales hasta que pueda actualizar.

Nuevo: Proteja su sitio instantáneamente con el Plan Gratuito de WP‑Firewall

Pruebe la protección básica de WP‑Firewall de forma gratuita y añada capas de defensa inmediatas mientras actualiza plugins y audita sus tiendas.

Título: Obtenga protección básica instantánea con WP‑Firewall Basic (Gratis)

Si está gestionando un sitio que utiliza pasarelas de pago o WooCommerce, active las protecciones esenciales ahora:

  • Plan 1 — Básico (Gratis): firewall administrado, ancho de banda ilimitado, WAF, escáner de malware y mitigación para los riesgos del OWASP Top 10. Esto proporciona protección inmediata contra patrones de solicitud conocidos que intentan cambios no autorizados en los pedidos y otras amenazas comunes.
  • Plan 2 — Estándar ($50/año): añade eliminación automática de malware y la capacidad de bloquear/permitir hasta 20 IPs.
  • Plan 3 — Pro ($299/año): incluye informes de seguridad mensuales, parcheo virtual automático de vulnerabilidades y servicios de soporte premium.

Comience con Basic para obtener un WAF administrado frente a su sitio mientras realiza las actualizaciones de plugins y auditorías descritas anteriormente. Regístrese aquí: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Diseñamos el plan Basic para que los propietarios de tiendas puedan obtener protección sin costo y sin configuración compleja. Es un primer paso práctico para reducir el riesgo mientras se remedia completamente.)

Resumen: lista de verificación priorizada

  1. Inventario: encuentre todos los sitios con el plugin Nexi XPay / Cartasi X‑Pay.
  2. Actualice todos los sitios a la versión 8.3.2 del plugin o posterior de inmediato.
  3. Si la actualización no es posible de inmediato:
      – Desactive el plugin O
      – Implementar reglas temporales de WAF para bloquear intentos de modificación del estado de pedidos no autenticados.
  4. Auditar pedidos y registros en busca de cambios de estado irregulares y preservar evidencia si ves signos de explotación.
  5. Fortalece tu entorno: aplica el principio de menor privilegio, habilita la autenticación de dos factores para cuentas de administrador y utiliza registro/monitoreo centralizado.
  6. Considera la protección gestionada (WAF + parcheo virtual automatizado) mientras realizas una remediación completa y una revisión posterior al incidente.

Reflexiones finales del equipo de WP‑Firewall

El control de acceso roto es uno de los patrones más comunes que vemos que conducen a compromisos más amplios o fraudes disruptivos. En entornos de comercio electrónico de WordPress, el impacto comercial es desproporcionadamente alto: los flujos de trabajo de pedidos controlan dinero, inventario y cumplimiento. Eso hace que incluso las vulnerabilidades “medias” sean críticas para el negocio.

Parchea rápido. Si no puedes parchear rápido, aplica un parche virtual y monitorea. Si necesitas ayuda para clasificar el problema en múltiples sitios de clientes o deseas protección automatizada mientras remediar, ofrecemos servicios de firewall gestionados y parcheo virtual diseñados para entornos de WordPress y WooCommerce.

Si deseas asistencia de remediación paso a paso o ayuda para implementar reglas de WAF seguras y monitoreo para tus sitios, el equipo de WP-Firewall está disponible para ayudar.

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™