Avertissement concernant une vulnérabilité XSS critique dans le plugin Themify Icons // Publié le 20/08/2025 // CVE-2025-49395

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

Themify Icons CVE-2025-49395

Nom du plugin Icônes Themify
Type de vulnérabilité Scripts intersites (XSS)
Numéro CVE CVE-2025-49395
Urgence Faible
Date de publication du CVE 2025-08-20
URL source CVE-2025-49395

Urgent : Faille XSS (CVE-2025-49395) dans Themify Icons (<= 2.0.3) — Mesures immédiates pour les propriétaires de sites WordPress

Auteur: Équipe de sécurité WP-Firewall
Date: 2025-08-21
Mots clés: WordPress, sécurité, XSS, vulnérabilité des plugins, WAF, réponse aux incidents

Résumé: Une vulnérabilité de type Cross-Site Scripting (XSS) par réflexion/stockage, affectant les versions du plugin Themify Icons inférieures ou égales à 2.0.3 (CVE-2025-49395, corrigée dans la version 2.0.4), a été découverte. Cette vulnérabilité peut être exploitée par des attaquants disposant de privilèges limités (rôle de contributeur) pour injecter du code JavaScript qui s'exécute dans les navigateurs des visiteurs. Cet article explique le risque, des scénarios d'attaque concrets, les mesures immédiates à prendre, les étapes de détection et de correction, et comment WP-Firewall peut protéger votre site, notamment grâce à l'application de correctifs virtuels pendant la planification de vos mises à jour.

Pourquoi vous devriez lire ceci maintenant

Si vous gérez un site WordPress utilisant l'extension Themify Icons (version 2.0.3 ou antérieure), vous devez prendre des mesures. Des vulnérabilités de type Cross-Site Scripting (XSS) permettent à des attaquants d'injecter du code JavaScript dans les pages consultées par d'autres utilisateurs. Selon l'endroit où le code malveillant s'exécute, les attaquants peuvent voler des cookies, pirater des comptes, effectuer des redirections indésirables, injecter des publicités ou réaliser des installations furtives. La vulnérabilité référencée CVE-2025-49395 correspond à ce problème ; l'extension a été corrigée dans la version 2.0.4.

Vous trouverez ci-dessous un guide pratique, étape par étape, rédigé du point de vue d'une équipe de sécurité WordPress expérimentée : ce qui s'est passé, comment un attaquant pourrait l'exploiter, comment détecter si vous avez été ciblé et que faire immédiatement, y compris les moyens par lesquels WP-Firewall peut vous protéger pendant vos mises à jour.

Vulnérabilité en un coup d'œil

  • Extension concernée : Themify Icons
  • Versions concernées : <= 2.0.3
  • Corrigé dans la version 2.0.4
  • Classe de vulnérabilité : Cross-Site Scripting (XSS) — OWASP A3 : Injection
  • CVE : CVE-2025-49395
  • Signalé le 29 juillet 2025 ; publié le 20 août 2025
  • Privilège requis signalé : Contributeur (peut faire l’objet d’abus lorsque des utilisateurs non fiables peuvent soumettre du contenu)
  • Gravité (CVSS) : 6,5 (moyenne/faible selon certains calculateurs), mais l’impact réel dépend de la configuration du site et de l’exposition des utilisateurs.

Que signifie XSS pour votre site WordPress ?

Les vulnérabilités XSS permettent aux attaquants d'injecter du code côté client dans les pages consultées par d'autres utilisateurs. Il en existe trois types courants :

  • XSS par réflexion : L'URL spécialement conçue déclenche immédiatement un script réfléchi en réponse ; l'attaquant doit inciter la victime à cliquer sur le lien.
  • XSS stocké : Du contenu malveillant est enregistré (contenu des publications, commentaires, biographie de l'utilisateur, champ personnalisé) et diffusé à de nombreux visiteurs.
  • XSS basé sur le DOM : Le code JavaScript présent sur la page manipule le DOM et exécute des données malveillantes sans injection côté serveur.

Même si une vulnérabilité semble « faible » selon le score CVSS, les dommages concrets dépendent du contexte : un administrateur ou un éditeur est-il susceptible de consulter la page affectée ? Les utilisateurs connectés sont-ils ciblés ? Y a-t-il des visiteurs importants (clients, abonnés) ? Une exigence de niveau contributeur permet toujours des attaques de grande envergure contre les blogs communautaires, les réseaux multisites et les sites avec des flux de contribution ouverts.

Comment cette faille XSS dans Themify Icons pourrait être exploitée (scénarios d'attaque)

Le rapport identifiant le privilège requis comme étant celui de Contributeur, les scénarios d'exploitation plausibles incluent :

  • Un contributeur malveillant crée ou modifie une publication, un widget ou un profil contenant des paramètres d'icône spécialement conçus que l'extension ne parvient pas à nettoyer/encoder. La charge utile est stockée et s'exécute lorsque des éditeurs, des administrateurs ou des visiteurs consultent la page.
  • Un attaquant convainc un auteur ou un éditeur connecté de cliquer sur un lien spécialement conçu qui déclenche une attaque XSS par réflexion.
  • Cette vulnérabilité est exploitée pour insérer une redirection persistante ou une iframe cachée (publicité malveillante), voler des données de session ou injecter d'autres logiciels malveillants.
  • Les attaquants peuvent cibler les administrateurs en intégrant des charges utiles dans des zones que les administrateurs sont susceptibles de consulter (liste des articles en attente, tableau de bord des contributions, pages d'aperçu des plugins).

Impacts potentiels :

  • Vol de session (si les cookies ne sont pas sécurisés par cookie/httpOnly ou sont accessibles via JS)
  • Actions non autorisées via des requêtes falsifiées (CSRF combiné à XSS)
  • Atteinte au référencement et à la réputation suite à l'injection de spam/liens
  • Installation de logiciels malveillants côté navigateur (téléchargements furtifs) ou diffusion persistante de logiciels malveillants
  • Redirection massive vers des pages d'hameçonnage/publicitaires

Mesures immédiates — que faire dans les 60 prochaines minutes

  1. Vérifier la version du plugin
    • Connectez-vous à l'administration WP → Extensions → localisez Themify Icons et vérifiez la version.
    • Si vous ne pouvez pas accéder au tableau de bord, utilisez WP‑CLI : 
      wp plugin list --format=json | jq '.[] | select(.name=="themify-icons")'
    • Ou listez tous les plugins : 
      État du plugin WordPress
  2. Mettez immédiatement à jour le plugin vers la version 2.0.4 (ou ultérieure).
    • Depuis l'administration WP : Extensions → Mise à jour.
    • WP‑CLI : 
      Mise à jour du plugin wp themify-icons --version=2.0.4
    • Si les mises à jour automatiques sont activées pour les plugins, vérifiez que la mise à jour a bien été appliquée.
  3. Si vous ne pouvez pas effectuer la mise à jour immédiatement, désactivez le plugin
    • WP‑CLI : 
      Désactivation du plugin wp themify-icons
    • Depuis l'administration WP : Extensions → Désactiver.
  4. Limiter temporairement les rôles des utilisateurs
    • Supprimez ou rétrogradez tout compte de contributeur/auteur non fiable.
    • Examiner les inscriptions et les publications en attente.
  5. Renforcer la surveillance et la journalisation
    • Activez la journalisation d'audit pour surveiller les modifications suspectes apportées aux articles, aux fichiers de plugins ou aux comptes d'utilisateurs.
    • Surveillez les journaux d'accès pour détecter les requêtes inhabituelles adressées aux pages qui acceptent les entrées utilisateur ou aux points de terminaison des plugins.
  6. Appliquer les règles de correctifs virtuels / WAF (recommandé)
    • Si vous utilisez un pare-feu d'application Web (WAF) ou le plugin WP-Firewall, activez la protection XSS appropriée et assurez-vous que la règle de correction virtuelle pour Themify Icons XSS est active.
    • Le patch virtuel protège les visiteurs contre les tentatives d'exploitation pendant que vous coordonnez les mises à jour.

Comment détecter si vous avez déjà été compromis

Si vous soupçonnez que le site a pu être ciblé, suivez une liste de contrôle de triage des incidents :

  1. Recherchez les balises de script injectées et le code HTML suspect.
    • Utilisez grep sur la base de données ou exportez les articles : 
      Requête wp db "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%
    • Recherche meta et user_meta : 
      Requête wp db "SELECT meta_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%
      Requête wp db "SELECT user_id, meta_key FROM wp_usermeta WHERE meta_value LIKE '%
  2. Vérifiez les fichiers téléchargés et les fichiers du thème/plugin pour détecter les modifications inattendues.
    • Comparer les dates de modification des fichiers : 
      trouver wp-content/uploads -type f -mtime -30
      trouver wp-content/plugins -type f -mtime -30
    • Utilisez les sommes de contrôle (si vous les gérez) ou téléchargez à nouveau des copies propres.
  3. Audit des utilisateurs et des sessions
    • Liste des utilisateurs récemment créés : 
      wp user list --role=contributor --format=csv --field=user_login,user_registered
    • Réinitialiser les mots de passe des administrateurs et des comptes suspects.
  4. Examinez les tâches planifiées et les tâches cron.
    • WP‑CRON peut être utilisé pour la réinfection ; liste des événements planifiés : 
      liste des événements cron wp
  5. Vérifiez les redirections ou les appels externes
    • Inspectez les articles/pages à la recherche d'iframes, de métadonnées de rafraîchissement, d'affectations window.location ou de charges utiles encodées en base64.
  6. Analyser avec des logiciels de détection de logiciels malveillants
    • Exécutez un scanner de logiciels malveillants (plugin ou externe) pour détecter les charges utiles et les portes dérobées connues.
    • Si vous utilisez WP-Firewall, effectuez une analyse complète du site et examinez les éléments signalés.

Mesures d'atténuation techniques : recommandations en matière de codage et de renforcement de la sécurité pour les développeurs

Si vous êtes un développeur qui maintient un thème ou un plugin, suivez ces mesures de défense pour prévenir ou atténuer les attaques XSS :

  • Échappez toujours les caractères de sortie (côté serveur) à l'aide des fonctions d'échappement WordPress appropriées :
    • Utiliser esc_html() pour le contenu du corps HTML
    • esc_attr() pour les attributs
    • esc_url() pour les URL
    • wp_kses() / wp_kses_post() pour permettre un sous-ensemble sûr de HTML
  • Valider et nettoyer les données saisies dès leur réception :
    • Utiliser assainir_champ_texte(), sanitize_textarea_field(), wp_kses_post()et des filtres de liste blanche spécifiques.
    • Ne considérez jamais les chaînes HTML fournies par l'utilisateur comme sûres.
  • Évitez de stocker du code HTML brut ou des données saisies par l'utilisateur contenant des balises. Si vous devez autoriser les icônes ou les extraits HTML, ne stockez que des données structurées (identifiants, slugs, noms) et générez le balisage des icônes à l'aide d'un système de modèles côté serveur qui échappe les attributs.
  • Utilisez des nonces pour les actions et vérifiez les capacités de manière appropriée :
    • Vérifier les capacités de l'utilisateur avec current_user_can().
    • Protégez les formulaires et les points de terminaison AJAX avec vérifier_admin_référent().
  • Lors de l'injection de valeurs dans des blocs JavaScript, utilisez l'encodage JSON. wp_json_encode() et s'échapper correctement :
  • La CSP (Content Security Policy) peut réduire l'impact des XSS en limitant les sources des scripts et en interdisant les scripts intégrés, mais la mise en œuvre de la CSP nécessite des tests minutieux sur les thèmes/plugins existants.

Règles de pare-feu WP recommandées et stratégies de correctifs virtuels

Si vous gérez plusieurs sites ou ne pouvez pas effectuer les mises à jour immédiatement, le patch virtuel (règles WAF) peut bloquer les tentatives d'exploitation courantes. Voici les types de règles que WP-Firewall déploierait pour atténuer cette vulnérabilité XSS liée aux icônes Themify, ainsi que les configurations recommandées pour les administrateurs :

  • Blocage des requêtes par modèle :
    • Bloquez les charges utiles contenant des modèles de script suspects dans les champs utilisés par le plugin (par exemple, les entrées qui acceptent des noms d'icônes, des attributs de données ou des paramètres de code court).
    • Détecter les chaînes de caractères comme «
  • Liste blanche des paramètres :
    • Pour les points de terminaison de plugin connus, n'autorisez que les noms et types de paramètres attendus. Rejetez ou nettoyez les paramètres inattendus.
  • Réponse par balayage corporel :
    • En cas de risque de XSS stocké, analysez les réponses HTML sortantes à la recherche de charges utiles malveillantes connues et supprimez-les ou nettoyez-les à la volée.
  • Limitation du débit et protections spécifiques aux rôles :
    • Limiter la création de contenu pour les rôles à faible privilège.
    • Autoriser le contenu enrichi uniquement pour les rôles supérieurs à un certain seuil (par exemple, éditeur et administrateur), ou exiger une approbation avant publication.
  • Signatures d'exploits connues :
    • Bloquez les charges utiles encodées connues et les techniques d'obfuscation typiques (base64, codes de caractères).
  • En-têtes de la politique de sécurité stricte du contenu :
    • Ajoutez des en-têtes CSP pour limiter les sources de scripts autorisées et interdire les scripts en ligne lorsque cela est possible.
  • Journalisation et alertes :
    • Consignez les tentatives bloquées et créez des alertes pour les tentatives répétées ciblant le même point de terminaison ou des charges utiles similaires.

WP‑Firewall peut appliquer rapidement ces correctifs virtuels sur tous les sites protégés, réduisant ainsi la période d'exposition pendant que les administrateurs planifient les mises à jour des plugins.

Liste de contrôle de correction étape par étape (flux de travail recommandé)

  1. Vérifier l'état et la version du plugin.
  2. Sauvegardez le site (fichiers et base de données).
  3. Mettez à jour Themify Icons vers la version 2.0.4 (ou la plus récente). Si la mise à jour échoue, passez à l'étape 4.
  4. Désactivez temporairement le plugin si la mise à jour n'est pas possible immédiatement.
  5. Activer/vérifier les règles de patch virtuel du WAF pour bloquer les vecteurs XSS connus.
  6. Vérifier les articles, les widgets et le contenu utilisateur créés par les contributeurs au cours des 90 derniers jours.
  7. Vérifiez la présence d'utilisateurs administrateurs non autorisés et réinitialisez tous les mots de passe d'administrateur. Forcez la déconnexion de tous les utilisateurs. 
    wp user session destroy --all
  8. Analysez le site avec un scanner de logiciels malveillants et examinez les fichiers signalés.
  9. Examinez les journaux d'accès au serveur aux alentours de la période d'activité suspecte afin d'identifier les adresses IP et les charges utiles.
  10. Révoquez les clés API et faites tourner tous les secrets exposés si vous soupçonnez une compromission.
  11. Si le site a été compromis, isolez-le et mettez en œuvre une réponse à l'incident : restauration à partir d'une sauvegarde propre, suppression des portes dérobées, information des parties prenantes et suivi d'une analyse post-mortem détaillée.

Commandes WP‑CLI pratiques (aide-mémoire)

  • Liste des versions du plugin : 
    Liste des plugins WordPress --format=table
  • Mettre à jour le plugin : 
    Mise à jour du plugin WordPress Themify Icons
  • Désactiver le plugin : 
    Désactivation du plugin wp themify-icons
  • Rechercher les balises de script dans les articles : 
    Requête wp db "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%
  • Liste des utilisateurs contributeurs ayant créé récemment : 
    wp user list --role=contributor --format=table --field=ID,user_login,user_registered
  • Supprimer toutes les sessions (forcer la réinitialisation du mot de passe) : 
    wp user session destroy --all
  • Sauvegarde de la base de données dans un fichier : 
    wp db export backup-before-themify-update.sql

Détection d'exploitations ciblées ou automatisées

Recherchez ces indicateurs dans les journaux et l'interface d'administration :

  • Nouveaux messages ou modifications créés par des comptes de contributeurs avec du code HTML inhabituel ou des chaînes de caractères obscurcies.
  • Augmentation soudaine des modifications ou des révisions apportées par l'administrateur aux widgets et aux fichiers de thème.
  • Requêtes GET ou POST suspectes adressées aux points de terminaison du plugin ou au point de terminaison AJAX d'administration wp-admin avec des charges utiles contenant des fragments de script.
  • Tentatives répétées d'envoi de requêtes POST au même point de terminaison depuis la même adresse IP ou un petit ensemble d'adresses IP.
  • Alertes du système de surveillance indiquant que des scripts intégrés ont été injectés dans les pages consultées par les visiteurs.
  • Erreurs de la console du navigateur indiquant des tentatives de récupération de ressources malveillantes ou d'exécution de scripts inattendus.

Si vous trouvez l'un de ces éléments, considérez le site comme potentiellement compromis jusqu'à ce qu'il soit prouvé qu'il est sain.

Recommandations de renforcement au-delà de ce correctif

  • Principe du moindre privilège :
    • Limiter les rôles des utilisateurs : n’attribuer les rôles de contributeur/auteur/éditeur qu’en cas de stricte nécessité ; exiger une relecture éditoriale pour les soumissions des utilisateurs.
  • Flux de travail de révision du contenu :
    • Exiger la modération/l'approbation des publications provenant de comptes à faibles privilèges.
  • Hygiène de compte rigoureuse :
    • Imposer l'authentification à deux facteurs pour les comptes d'administrateur et d'éditeur.
    • Utilisez des mots de passe uniques et complexes, et changez-les régulièrement.
  • Vérification des plugins :
    • Maintenez vos plugins à jour et supprimez ceux qui sont inutilisés ou abandonnés.
    • Abonnez-vous aux newsletters de sécurité ou aux services de surveillance pour rester informé des nouveaux avis concernant les plugins.
  • Sauvegardes et reprise après sinistre :
    • Mettez en place des sauvegardes automatisées avec un stockage hors site ; testez régulièrement les restaurations.
  • Journalisation et alertes :
    • Activer les journaux d'audit pour les modifications de contenu, les modifications de fichiers et l'activité de connexion.
  • Protections au niveau du serveur :
    • Renforcez la sécurité des configurations PHP et serveur web (désactivez les fonctions PHP à risque, maintenez les paquets serveur à jour).
  • CSP et en-têtes sécurisés :
    • Mettez en œuvre Strict-Transport-Security, X-Frame-Options, Referrer-Policy et une CSP adaptée à votre site.

Si vous constatez des preuves de compromission — mesures de réponse aux incidents

  1. Isolez immédiatement le site (mode maintenance, mise hors ligne si nécessaire).
  2. Préservez les preuves : copiez les journaux, les sauvegardes de bases de données et les fichiers suspects dans un emplacement sécurisé pour analyse forensique.
  3. Informer les parties prenantes et fournir un calendrier des événements.
  4. Restaurez le système à partir d'une sauvegarde saine et connue, si disponible. Sinon, supprimez les portes dérobées et effectuez une nouvelle analyse approfondie.
  5. Rotation des identifiants (comptes d'administrateur, utilisateurs de base de données, clés API).
  6. Réinstallez WordPress et tous les plugins à partir des sources originales.
  7. Examiner et corriger toutes les failles de sécurité qui ont permis l'intrusion initiale.
  8. Envisagez une intervention professionnelle en cas d'incident si l'attaque est complexe ou implique une exfiltration de données.

Foire aux questions

Q : Mon site utilise l'extension, mais seuls les administrateurs voient les pages concernées — suis-je toujours à risque ?
R : Oui. Si le code malveillant s'exécute lorsque des administrateurs ou des éditeurs consultent du contenu, les attaquants peuvent cibler ces utilisateurs disposant de privilèges élevés afin d'amplifier l'impact de leurs attaques. Protégez les comptes d'administrateur avec l'authentification à deux facteurs et mettez à jour l'extension immédiatement.
Q : Le plugin est actif, mais mon site n'accepte pas le contenu généré par les utilisateurs — dois-je quand même m'inquiéter ?
R : Le risque est moindre en l'absence de contributions de contributeurs/auteurs ou de flux de contenu non fiables. Cependant, les attaques XSS par réflexion restent possibles via des liens malveillants. Il est recommandé de mettre à jour et d'activer la protection virtuelle du pare-feu applicatif web (WAF) jusqu'à ce que l'absence d'exposition soit confirmée.
Q : Une politique de sécurité du contenu (CSP) permettra-t-elle d'atténuer complètement cette vulnérabilité XSS ?
A : La CSP peut réduire considérablement les risques en empêchant l'exécution de scripts en ligne et en limitant les sources de scripts, mais sa mise en œuvre peut s'avérer complexe sans perturber les fonctionnalités légitimes. Utilisez la CSP comme une couche de protection parmi d'autres, et non comme unique moyen de défense.

Pourquoi le patch virtuel est important (exemple concret)

Les mises à jour de plugins constituent la solution idéale, mais elles nécessitent souvent des tests, des vérifications de compatibilité et des fenêtres de maintenance planifiées, notamment sur les sites à fort trafic ou les plateformes gérées. Le patch virtuel (déploiement de règles WAF) permet de gagner du temps : il intercepte les requêtes malveillantes ciblant des vecteurs d’exploitation connus et les bloque avant qu’elles n’atteignent le code vulnérable. Par exemple, une règle WAF qui bloque les requêtes contenant « 

Nouveau : Sécurisez rapidement votre site avec WP‑Firewall Basic (gratuit)

Protégez votre site dès maintenant — commencez par WP‑Firewall Basic

Si vous souhaitez une protection immédiate et gérée pendant que vous coordonnez les mises à jour et les audits, le forfait Basic (gratuit) de WP-Firewall offre une protection de base essentielle. Ce forfait inclut un pare-feu géré, une inspection de bande passante illimitée, les protections WAF essentielles, un scanner de logiciels malveillants et une atténuation des risques du Top 10 de l'OWASP : tout ce dont vous avez besoin pour réduire l'exposition aux attaques XSS et autres vulnérabilités de plugins, sans frais. Inscrivez-vous au forfait gratuit et activez le correctif virtuel pour protéger votre site contre les tentatives d'exploitation automatisées pendant la mise à jour de Themify Icons vers la version 2.0.4.

https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Recommandations finales — ce que nous ferions si c'était notre site

  1. Vérifiez immédiatement la version du plugin et mettez-le à jour vers la version 2.0.4.
  2. Si la mise à jour ne peut pas être effectuée pendant une fenêtre de maintenance, désactivez temporairement le plugin et activez les règles de correctifs virtuels de WP-Firewall pour bloquer les modèles de charge utile XSS.
  3. Vérifier le contenu récent des comptes des contributeurs et analyser le contenu de la base de données à la recherche de scripts injectés.
  4. Réinitialisez les mots de passe des comptes administrateur, activez l'authentification à deux facteurs et vérifiez qu'aucun compte administrateur malveillant n'a été créé.
  5. Conservez des sauvegardes et documentez toute découverte suspecte ; signalez-le aux équipes d'intervention en cas de signes de compromission.
  6. Examinez les attributions de droits des utilisateurs et optimisez le flux de travail de publication de contenu afin de réduire la surface d'attaque.

Dernières paroles

La sécurité repose sur une approche multicouche. Un plugin patché constitue votre première ligne de défense, mais son efficacité dépend d'une application rapide. Le patchage virtuel et les règles WAF protègent les visiteurs et réduisent la fenêtre d'attaque, tandis qu'une bonne gestion des comptes, des audits et une surveillance adéquate limitent les conséquences en cas de problème. Si vous avez des doutes concernant votre parc de plugins, votre exposition aux menaces ou si vous vous demandez si votre site est sécurisé après une éventuelle exploitation de faille, suivez la liste de vérification de détection ci-dessus et envisagez de faire appel à un professionnel.

Si vous avez besoin d'aide pour appliquer un correctif virtuel temporaire, annuler une compromission ou mettre en place une protection continue, notre équipe WP-Firewall peut vous aider à diagnostiquer et à sécuriser votre site WordPress.

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier
fr_FR Français
fr_FR Français en_US English zh_CN 简体中文 zh_HK 香港中文 zh_TW 繁體中文 ja 日本語 es_ES Español ar العربية hi_IN हिन्दी bn_BD বাংলা ko_KR 한국어 it_IT Italiano pt_PT Português nl_NL Nederlands vi Tiếng Việt ru_RU Русский pl_PL Polski de_DE Deutsch da_DK Dansk

© 2025 WP-Firewall™