Asegurando Pix WooCommerce contra cargas arbitrarias//Publicado el 2026-03-13//CVE-2026-3891

EQUIPO DE SEGURIDAD DE WP-FIREWALL

Pix for WooCommerce Vulnerability

Nombre del complemento Pix para WooCommerce
Tipo de vulnerabilidad Vulnerabilidad de carga de archivos arbitrarios
Número CVE CVE-2026-3891
Urgencia Alto
Fecha de publicación de CVE 2026-03-13
URL de origen CVE-2026-3891

Carga de archivos arbitrarios no autenticada en “Pix para WooCommerce” (CVE-2026-3891): Lo que significa para tu sitio de WordPress y cómo WP-Firewall te protege

Autor: Equipo de seguridad de WP-Firewall
Fecha: 2026-03-13
Etiquetas: Seguridad de WordPress, WooCommerce, Vulnerabilidad, WAF, Respuesta a Incidentes

Resumen: Una vulnerabilidad de alta severidad (CVE-2026-3891) que afecta al plugin de pago “Pix para WooCommerce” permite cargas de archivos arbitrarios no autenticadas en sitios que ejecutan versiones <= 1.5.0. Esta publicación detalla los aspectos técnicos, pasos inmediatos de contención y mitigación, endurecimiento a largo plazo, orientación sobre detección y recuperación — y explica cómo las protecciones gestionadas de WP-Firewall pueden reducir tu riesgo mientras aplicas el parche.

Tabla de contenido

  • ¿Qué sucedió? (brevemente)
  • Por qué las vulnerabilidades de carga arbitraria de archivos son tan peligrosas
  • Detalles técnicos de este problema específico (cómo funciona)
  • Escenarios de ataque del mundo real e impacto
  • Medidas paliativas inmediatas (qué hacer ahora mismo)
  • Reglas de WAF y servidor que puedes aplicar hoy (ejemplos)
  • Investigación y recuperación (lista de verificación de respuesta a incidentes)
  • Endurecimiento a largo plazo para WordPress y WooCommerce
  • Detección y monitoreo: qué observar
  • Cómo un firewall gestionado y parches virtuales limitan el riesgo
  • Asegura tu sitio gratis — Plan Básico de WP-Firewall
  • Conclusión y lecturas adicionales

¿Qué sucedió? (brevemente)

Se divulgó una vulnerabilidad crítica para el plugin de WordPress “Pix para WooCommerce” que afecta a versiones hasta e incluyendo 1.5.0. La vulnerabilidad (CVE-2026-3891) permite a atacantes no autenticados cargar archivos arbitrarios en el sitio objetivo. Un exploit exitoso puede habilitar la ejecución remota de código a través de shells web cargados, lo que lleva a la toma de control total del sitio, robo de datos, spam SEO, páginas de phishing o compromiso a nivel de servidor.

El autor del plugin lanzó una versión corregida (1.6.0). Si ejecutas una versión vulnerable, aplica el parche de inmediato. Si no puedes actualizar de inmediato, hay mitigaciones que puedes aplicar a nivel de aplicación, servidor y WAF para reducir la exposición.

Por qué las vulnerabilidades de carga arbitraria de archivos son tan peligrosas

Los errores de carga de archivos arbitrarios son una de las clases más serias de vulnerabilidades para aplicaciones CMS porque a menudo permiten a los atacantes colocar archivos ejecutables (PHP) en una ruta accesible por la web. Cuando el servidor web ejecuta esos archivos, los atacantes obtienen la capacidad de ejecutar código arbitrario en el contexto del servidor web. Las consecuencias incluyen:

  • Ejecución remota de código (RCE) y compromiso total del sitio.
  • Persistencia a través de shells web, trabajos cron o puertas traseras.
  • Escalamiento de privilegios si existen configuraciones incorrectas de servicios locales.
  • Exfiltración de datos: acceso a copias de seguridad de bases de datos, archivos de configuración, claves API.
  • Movimiento lateral a otros sitios en alojamiento compartido o a servicios de backend.
  • Spam de SEO, phishing, minería de criptomonedas o implementación de ransomware.
  • Inclusión en listas negras por parte de motores de búsqueda y pérdida de confianza del cliente.

Debido a que esta vulnerabilidad particular no está autenticada, cualquier visitante anónimo puede intentar la explotación, aumentando enormemente el riesgo y la frecuencia de ataques.

Detalles técnicos de este problema específico (cómo funciona)

La vulnerabilidad proviene de un punto de carga implementado por el plugin Pix para WooCommerce que no logra:

  1. Requerir autenticación o verificaciones de capacidad para la acción de carga.
  2. Validar correctamente los nombres de archivos y el contenido de los archivos subidos (verificaciones de tipo MIME/extensión permitida).
  3. Hacer cumplir ubicaciones de almacenamiento seguras o filtrar extensiones no permitidas (por ejemplo, bloqueando .php/.phtml/.php3).

Flujo típico de explotación:

  1. El atacante realiza una solicitud HTTP POST elaborada al punto de carga del plugin, suministrando una carga útil multipart/form-data que contiene un shell web PHP, por ejemplo, un archivo pequeño como shell.php con código ofuscado que ejecuta comandos o proporciona una consola PHP interactiva.
  2. El punto de carga acepta la carga y almacena el archivo en una carpeta accesible por la web (comúnmente bajo wp-content/uploads/ o un directorio específico del plugin) sin cambiar la extensión o sanitizar el nombre del archivo.
  3. El atacante solicita el archivo subido, que se ejecuta en el servidor. Desde allí, pueden ejecutar comandos, crear archivos adicionales, modificar código existente, crear usuarios administradores o moverse lateralmente.

Debido a que las cargas no están autenticadas y falta la validación de archivos, la barrera para la explotación es baja. Los escáneres y kits de explotación automatizados a menudo incluyen módulos para tales puntos de carga, lo que significa que la explotación puede ocurrir minutos después de la divulgación pública o la publicación de prueba de concepto.

Nota: El identificador CVE asociado con esta divulgación es CVE-2026-3891.

Escenarios de ataque del mundo real e impacto

Aquí hay algunos escenarios concretos que los atacantes pueden realizar después de explotar una carga de archivo no autenticada:

  • Instalar un shell web (una pequeña puerta trasera PHP) que acepta cadenas de comandos, permitiendo lecturas/escrituras de archivos, acceso a bases de datos y más.
  • Dejar una puerta trasera persistente en archivos PHP de temas o plugins, asegurando que el acceso permanezca incluso después de la limpieza inicial.
  • Crear nuevas cuentas de administrador en WordPress (inserciones directas en la base de datos o API de WP) para recuperar el control si se elimina el shell web.
  • Subir páginas de phishing bajo su dominio, aprovechando su reputación para estafar a los visitantes o recolectar credenciales.
  • Inyectar contenido de spam SEO o enlaces a sitios de afiliados/blackhat, perjudicando el SEO y potencialmente haciendo que su dominio sea incluido en listas negras por motores de búsqueda.
  • Instalar mineros de criptomonedas o bots utilizando recursos del servidor.
  • Robar archivos de configuración (wp-config.php), tokens de acceso y claves API para pivotar a otros sistemas (para servicios alojados, pasarelas de pago o APIs de terceros).
  • Exfiltrar datos de clientes si el sitio contiene registros de clientes o historial de pedidos.

Si su sitio procesa pagos (WooCommerce), las apuestas son más altas: los atacantes pueden intentar recolectar datos de tarjetas de pago o manipular pedidos. Incluso si los datos de pago se almacenan fuera del sitio, el daño reputacional y las pérdidas de confianza del cliente son graves.

Medidas paliativas inmediatas (qué hacer ahora mismo)

Si aloja un sitio de WordPress con WooCommerce y el plugin “Pix for WooCommerce”, tome estos pasos de inmediato. Priorice acciones que minimicen la superficie de ataque sin arriesgar la pérdida de datos.

  1. Verifica la versión del plugin
    • Inicie sesión en su administrador de WordPress y verifique Plugins → Plugins instalados. Si “Pix for WooCommerce” está instalado y la versión es ≤ 1.5.0, considere que el sitio es vulnerable.
  2. Actualice el plugin a 1.6.0 (recomendado)
    • El proveedor ha lanzado una versión corregida (1.6.0). Actualice de inmediato donde sea posible. Pruebe en un entorno de staging si es necesario, pero para sitios de comercio de cara al público priorice la seguridad: aplique la actualización durante ventanas de bajo tráfico si es necesario.
  3. Si no puedes actualizar de inmediato, desactiva el plugin
    • Desactive el plugin temporalmente. Eso elimina el punto final vulnerable. Nota: La desactivación puede afectar el procesamiento de pagos; coordine con los propietarios del negocio.
  4. Aplique una regla WAF temporal o bloquee el punto final de carga vulnerable.
    • Bloquee las solicitudes POST al camino de carga del plugin o patrones de nombres de archivos a nivel del servidor web o WAF. Vea ejemplos de reglas en la siguiente sección.
  5. Prevenga la ejecución de PHP en directorios de carga.
    • Agregue un .htaccess (Apache) o bloque de servidor (Nginx) para prevenir la ejecución de .php en wp-content/uploads y otros directorios de carga.
  6. Reforzar los permisos de archivo
    • Asegúrese de que los directorios de cargas y plugins no sean escribibles por el mundo. Permisos seguros comunes: directorios 755, archivos 644; wp-config.php 600/640 donde sea compatible.
  7. Escanee en busca de archivos sospechosos e indicadores de compromiso.
    • Busque archivos PHP recientemente añadidos en wp-content/uploads, carpetas de plugins o carpetas de temas. Use marcas de tiempo de modificación de archivos, encontrar comandos o un escáner de malware.
  8. Rota claves y credenciales
    • Si sospecha de un compromiso, rote las claves API, credenciales de base de datos y cualquier credencial almacenada en archivos accesibles a través de la web. Actualice secretos después de asegurarse de que el servidor esté limpio.
  9. Monitorea los registros y el tráfico
    • Inspeccione los registros de acceso del servidor web en busca de solicitudes POST sospechosas a puntos finales de plugins, tamaños de POST inusuales o solicitudes que contengan <?php o patrones de web shell. Aumente el registro temporalmente.
  10. Toma una copia de seguridad y una instantánea
    • Antes de realizar cambios, haga una copia de seguridad completa (archivos + DB). Si debe restaurar desde un snapshot conocido como bueno, asegúrese de que el snapshot sea anterior al compromiso.

Reglas de WAF y servidor que puedes aplicar hoy (ejemplos)

A continuación se presentan reglas prácticas que puede aplicar a nivel de WAF, Apache o Nginx para mitigar esta clase de vulnerabilidad de carga hasta que pueda actualizar. Estos son ejemplos genéricos: adapte rutas/nombres de archivos a su instalación.

Importante: Pruebe en staging o en un solo sitio primero para evitar bloquear el tráfico legítimo.

Concepto de regla WAF genérica

  • Bloquear cualquier POST no autenticado en la ruta del punto de carga del complemento.
  • Bloquear cargas multipart/form-data con .php extensión.
  • Bloquear solicitudes que contengan <?php en la carga multipart.

Ejemplo de regla en pseudocódigo (conceptual — adapte a la interfaz de su WAF):

  • Condición: Método de solicitud = POST
  • Y la URI de solicitud coincide con la expresión regular: /wp-content/plugins/payment-gateway-pix-for-woocommerce/.*/(subir|archivo|cargador|ajax).* (ajustar según la ruta del complemento)
  • Acción: Bloquear
  • Condición: Content-Type contiene multipart/form-data Y el parámetro filename contiene .php
  • Acción: Bloquear
  • Condición: El cuerpo contiene <?php patrón (codificado en base64 o plano)
  • Acción: Bloquear

Apache (.htaccess) — Prevenir la ejecución de PHP en cargas

# Desactivar la ejecución de PHP en cargas

Esto hace que los archivos PHP cargados no sean ejecutables a través de Apache.

Nginx — Denegar el acceso directo a PHP en cargas

# Denegar la ejecución de archivos PHP en cargas

Bloquear la ruta específica del complemento con Nginx

location = /wp-content/plugins/payment-gateway-pix-for-woocommerce/includes/upload.php {

Ajusta la ruta para que coincida con el verdadero punto final del plugin descubierto en tu entorno.

Inspección de la extensión de archivo (lado del servidor)

Si no puedes bloquear el punto final, crea una regla del lado del servidor para reescribir o eliminar extensiones peligrosas en los controladores de carga, o rechaza cargas con extensiones en la lista negra.

Investigación y recuperación (lista de verificación de respuesta a incidentes)

Si sospechas que tu sitio ya fue explotado, sigue un proceso de respuesta a incidentes paso a paso:

  1. Contener
    • Bloquea inmediatamente el punto final vulnerable (WAF o regla del servidor).
    • Desactiva temporalmente el plugin si es posible.
    • Lleva el sitio fuera de línea o habilita el modo de mantenimiento si es necesario para detener más daños.
  2. Preservar las pruebas
    • Haz una copia forense de los registros del servidor web, la base de datos y las instantáneas del sistema de archivos. Mantén los originales para análisis.
  3. Identifica indicadores de compromiso (IoCs)
    • Archivos recién añadidos con nombres sospechosos (por ejemplo, wp-content/uploads/2026/03/shell.php, wp-content/plugins/*/tmp*.php).
    • Archivos que contienen evaluar(base64_decode(, preg_replace("/.*/e",, sistema(, exec(, passthru(, u otras funciones de ejecución de comandos.
    • Usuarios administradores desconocidos o cambios en los roles de usuario.
    • Archivos centrales modificados, tema y archivos PHP de plugins con marcas de tiempo recientes.
    • Conexiones salientes a IPs desconocidas o dominios C2.
  4. Limpia o restaura
    • Si el compromiso es limitado y puedes eliminar shells web y revertir cambios maliciosos con confianza, aplica parches y endurece inmediatamente.
    • Prefiere restaurar desde una copia de seguridad limpia tomada antes del primer compromiso sospechado si está disponible.
    • Después de la restauración, cambia todas las contraseñas de administrador y FTP/SSH, rota las claves API y vuelve a emitir cualquier credencial filtrada.
  5. Vuelva a escanear y validar
    • Realiza un escaneo completo de malware y verificaciones de integridad en todos los archivos. Compara las sumas de verificación con una fuente limpia cuando sea posible.
    • Verifica que las tareas programadas (cron jobs), las entradas de la base de datos y las cuentas de usuario sean legítimas.
  6. acciones posteriores al incidente
    • Actualiza el plugin a la versión parcheada (1.6.0) y actualiza todos los demás plugins y el núcleo.
    • Revisa los registros en busca de actividad de atacantes y estima la exfiltración de datos.
    • Informa a las partes interesadas, clientes y posiblemente a los equipos legales/de cumplimiento dependiendo de la exposición de datos.
  7. Aprender y mejorar
    • Agrega monitoreo para cambios en directorios críticos.
    • Agrega monitoreo de integridad de archivos y alertas.
    • Implementa el WAF permanente/parcheo virtual y las medidas de endurecimiento descritas a continuación.

Endurecimiento a largo plazo para WordPress y WooCommerce

Reducir el riesgo se trata de múltiples capas de defensa. Aquí hay una lista de verificación práctica de endurecimiento:

  • Mantén actualizado el núcleo de WordPress, los temas y los plugins. Aplica parches de seguridad rápidamente para problemas de alta gravedad.
  • Usa el principio de menor privilegio: limita los permisos de archivos y las capacidades de los usuarios. No des acceso de administrador a usuarios o servicios que no lo necesiten.
  • Desactiva los editores de plugins y temas en wp-config.php: 
    define('DISALLOW_FILE_EDIT', true);
  • Bloquea la ejecución de PHP en directorios de carga (como se mencionó anteriormente).
  • Usa credenciales seguras y aplica 2FA para administradores.
  • Limita los intentos de inicio de sesión y usa contraseñas fuertes.
  • Usa un firewall de aplicaciones web (WAF) para bloquear ataques automatizados, patrones de explotación conocidos y cargas útiles sospechosas.
  • Implementa monitoreo de integridad de archivos y alertas para cambios en directorios de plugins/temas.
  • Escanea regularmente el sitio en busca de malware y patrones sospechosos.
  • Mantén copias de seguridad frecuentes y verifica los procesos de restauración.
  • Restringe el acceso a wp-admin y a las páginas de actualización de plugins por IP donde sea práctico (por ejemplo, listas de permitidos basadas en el host).
  • Usa prácticas de codificación seguras para temas y plugins personalizados (sanitiza/valida la entrada, verifica capacidades, nonces para puntos finales de AJAX).

Detección y monitoreo: qué observar

La detección temprana es crucial. Monitorea lo siguiente:

  • Archivos nuevos o inesperados en:
    • wp-content/uploads/
    • wp-content/plugins/
    • wp-content/themes/
  • Tiempos de modificación de archivos inusuales (encuentra archivos modificados en los últimos X días).
  • Registros del servidor web que muestran POSTs a rutas de plugins o puntos finales de carga.
  • Solicitudes que devuelven 200 para archivos PHP cargados.
  • Inicios de sesión de administrador inesperados, especialmente desde IPs extranjeras.
  • Conexiones salientes desde tu servidor a dominios o IPs desconocidas.
  • Picos de CPU, alto uso de disco o procesos inusuales (podría indicar minería de criptomonedas).
  • Alertas de tu escáner de malware o informes de WAF.

Comandos útiles para encontrar archivos PHP sospechosos (ejecutar en tu servidor):

# Encuentra archivos PHP en cargas modificados recientemente:

Si ves coincidencias, investiga cuidadosamente: algunos plugins/temas legítimos también utilizan base64 o construcciones similares por razones benignas, pero los web shells a menudo combinan estos con escrituras de archivos, ejecución de comandos u ofuscación.

Cómo un firewall gestionado y parches virtuales limitan el riesgo

Un firewall de WordPress gestionado reduce significativamente la superficie de ataque, incluso cuando existe una vulnerabilidad en un plugin:

  • Bloqueo de WAF: El firewall bloquea intentos de explotación que apuntan a puntos finales vulnerables conocidos (POSTs anónimos, intentos de carga con extensiones peligrosas, cargas maliciosas), evitando que escáneres automatizados y atacantes oportunistas tengan éxito.
  • Parcheo virtual: Donde las actualizaciones inmediatas de plugins no son posibles (restricciones de compatibilidad o comerciales), el parcheo virtual intercepta y neutraliza patrones de explotación conocidos antes de que lleguen al código vulnerable.
  • Escaneo y eliminación de malware: Los escaneos automatizados detectan web shells cargados y archivos maliciosos, y los planes de nivel superior pueden eliminar o poner en cuarentena amenazas automáticamente.
  • Mitigaciones del OWASP Top 10: Las reglas gestionadas apuntan específicamente a familias comunes de ataques de aplicaciones web (inyección, carga de archivos, XSS, CSRF), creando una protección amplia.
  • Monitoreo y Alertas: La detección continua de solicitudes sospechosas y cambios en archivos activa notificaciones, lo que permite una respuesta más rápida a incidentes.

Si operas múltiples sitios de WordPress o gestionas instalaciones de clientes, un WAF gestionado más escaneo activo y parches virtuales deberían ser parte de tu línea base de seguridad para mantenerte por delante de las vulnerabilidades de plugins divulgadas rápidamente.

Asegura tu sitio gratis — Plan Básico de WP-Firewall

Sabemos que aplicar parches y responder a incidentes es estresante, y a veces necesitas protección inmediata sin alterar el código del sitio o interrumpir las operaciones comerciales. El plan Básico (Gratis) de WP-Firewall ofrece protecciones esenciales, siempre activas, para reducir tu exposición a vulnerabilidades como CVE-2026-3891:

  • Cortafuegos gestionado con reglas adaptadas a WordPress y WooCommerce
  • Ancho de banda ilimitado para que la protección escale con el tráfico
  • Reglas de Cortafuegos de Aplicaciones Web (WAF) que bloquean patrones de explotación conocidos y cargas sospechosas
  • Escáner de malware para encontrar shells web recién añadidos y archivos sospechosos
  • Mitigación contra los vectores de riesgo del OWASP Top 10

¿Listo para añadir una capa de protección que reduzca el riesgo mientras aplicas parches? Aprende más y regístrate para el plan Básico gratuito aquí:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Si necesitas eliminación automática, protecciones más fuertes y parches virtuales, considera actualizar a Standard o Pro más adelante, pero el plan Básico es una forma rápida y sin costo de elevar tu postura de seguridad de inmediato.)

Lista de verificación práctica: respuesta paso a paso para propietarios de sitios

  1. Identificar:
    • Confirma el plugin y la versión (si está presente y es vulnerable, asume riesgo de compromiso).
  2. Contener:
    • Actualiza el plugin a 1.6.0. Si la actualización inmediata no es posible, desactiva el plugin o bloquea el endpoint con WAF.
    • Añade reglas a nivel de servidor para prevenir la ejecución de PHP en las cargas.
  3. Preservar:
    • Haz una copia de seguridad de los archivos y la base de datos actuales (para revisión forense).
  4. Investigar:
    • Busca shells web, archivos PHP desconocidos, trabajos cron sospechosos y usuarios administradores desconocidos.
    • Revisa los registros de acceso en busca de POSTs sospechosos y solicitudes de carga.
  5. Eliminar y Restaurar:
    • Elimina los archivos maliciosos encontrados o restaura desde una copia de seguridad limpia.
    • Actualiza todos los plugins, temas y el núcleo.
  6. Recuperar:
    • Rota contraseñas y claves API; aplica 2FA para cuentas de administrador.
    • Vuelva a escanear el sitio y monitoree de cerca para detectar recurrencias.
  7. Aprender:
    • Implemente WAF y monitoreo de integridad de archivos.
    • Programe revisiones y actualizaciones de seguridad regulares.

Preguntas frecuentes (FAQ)

P: Si actualizo a 1.6.0, ¿estoy a salvo?
A: La actualización elimina la ruta de código vulnerable conocida. Sin embargo, si su sitio ya fue comprometido antes de aplicar el parche, la actualización por sí sola no elimina ninguna puerta trasera que un atacante pueda haber colocado. Realice un escaneo e investigación exhaustivos.

P: ¿Puedo detectar la explotación únicamente a partir de los registros de administrador?
A: No siempre. Muchos intentos de explotación son automatizados y pueden dejar trazas mínimas en los registros de WordPress, pero aparecerán en los registros de acceso del servidor web (POSTs a puntos finales de carga y solicitudes de archivos cargados). Inspeccione tanto los registros de Apache/Nginx como los de PHP.

P: ¿Es seguro deshabilitar el complemento para una tienda en vivo?
A: Deshabilitar detendrá el punto final vulnerable, pero puede romper el procesamiento de pagos. Coordine con las partes interesadas y use una ventana de mantenimiento corta cuando sea posible. Si deshabilitar no es aceptable, aplique reglas de WAF y bloqueos de servidor como mitigaciones temporales.

P: ¿Son seguras las eliminaciones automáticas de malware?
A: La eliminación automática puede eliminar amenazas comunes rápidamente, pero siempre debe tener copias de seguridad y realizar una verificación manual después de la eliminación automática, ya que las herramientas automatizadas a veces marcan falsos positivos.

Notas finales: la seguridad es en capas y continua.

Esta vulnerabilidad es un recordatorio contundente de que los complementos individuales pueden introducir riesgos graves en su ecosistema de WordPress. Las protecciones más rápidas y confiables combinan:

  • Parcheo rápido y actualizaciones coordinadas.
  • Un WAF gestionado y parcheo virtual para detener explotaciones en la naturaleza.
  • Escaneo continuo, registro y monitoreo para detectar y responder a incidentes.
  • Fuertes prácticas operativas: menor privilegio, copias de seguridad e higiene de credenciales.

Si ejecuta múltiples sitios, aloja sitios de clientes o depende en gran medida de una tienda WooCommerce, considere agregar un firewall gestionado que incluya protecciones de carga, escaneo de malware y parcheo virtual para reducir la exposición entre ciclos de parches.

Gracias por leer. Si desea ayuda para auditar su sitio, realizar una limpieza posterior a un incidente o habilitar un WAF protector rápidamente mientras actualiza complementos, el equipo de WP-Firewall está disponible para ayudar.

Enlaces referenciados:
– Versión del plugin parcheada: 1.6.0 (actualiza inmediatamente si usas Pix para WooCommerce)
– CVE: CVE-2026-3891

Mantente seguro y mantén tus instalaciones de WordPress actualizadas.

— Equipo de seguridad de WP-Firewall

wordpress security update banner

Reciba WP Security Weekly gratis 👋
Regístrate ahora!!

Regístrese para recibir la actualización de seguridad de WordPress en su bandeja de entrada todas las semanas.

¡No hacemos spam! Lea nuestro política de privacidad para más información.

Contáctenos para programar una consulta de seguridad de WordPress gratuita

Contáctenos

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Precios Blog Acceso
política de privacidad Términos de servicio Documentos Afiliado

© 2026 WP-Firewall™