Vulnérabilité XSS dans le plugin de menu flottant//Publié le 2026-05-20//CVE-2026-4811

ÉQUIPE DE SÉCURITÉ WP-FIREWALL

WPB Floating Menu Vulnerability Image

Nom du plugin Menu flottant WPB ou catégories – Menu latéral flottant collant et catégories avec icônes
Type de vulnérabilité XSS
Numéro CVE CVE-2026-4811
Urgence Faible
Date de publication du CVE 2026-05-20
URL source CVE-2026-4811

XSS stocké authentifié dans le menu flottant WPB ou catégories (<=1.0.8) — Ce que chaque propriétaire de site et développeur doit faire maintenant

Auteur: Équipe de sécurité WP-Firewall

Date: 2026-05-20

Résumé: Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans le plugin WordPress “Menu flottant WPB ou catégories – Menu latéral flottant collant et catégories avec icônes” affectant les versions ≤ 1.0.8 (CVE-2026-4811). Un utilisateur authentifié avec des privilèges de niveau Éditeur peut stocker du HTML/JavaScript malveillant qui est ensuite rendu dans le front-end, impactant potentiellement les visiteurs et les administrateurs du site. Cet article explique le risque technique, comment les attaquants pourraient abuser du bug, les étapes de détection et de confinement, les corrections au niveau des développeurs, et les atténuations pratiques que vous pouvez appliquer immédiatement — y compris une option de protection sans coût de WP‑Firewall.

Pourquoi c'est important

Le XSS stocké (également appelé XSS persistant) est dangereux car le contenu malveillant est enregistré sur le serveur et servi à de nombreux utilisateurs par la suite. Contrairement à un XSS réfléchi qui nécessite des liens conçus pour chaque victime, le XSS stocké peut persister dans le contenu qui est montré à de nombreux visiteurs (par exemple, dans le cadre d'un menu ou d'une étiquette de catégorie) et s'exécuter dans leurs navigateurs avec les privilèges du contexte du site.

Cette vulnérabilité spécifique nécessite un attaquant authentifié avec des privilèges d'Éditeur ou supérieurs pour introduire la charge utile. Bien que cela élève le niveau par rapport aux bugs anonymes uniquement à distance, de nombreux sites WordPress permettent aux contributeurs, auteurs ou éditeurs d'accéder via des flux de travail de site, un accès tiers ou une hygiène de compte faible. Tout site où des comptes Éditeur sont utilisés et où le plugin affecté est installé et actif devrait traiter cela comme une priorité de remédiation immédiate.

Le CVSS (tel que calculé par des sources externes) place la gravité dans la plage modérée (CVSS 5.9). Cela reflète la nécessité d'un rôle authentifié et d'une certaine interaction utilisateur, mais cela n'élimine pas le risque : lorsqu'il est exploité sur des sites à fort trafic ou lorsque des éditeurs sont compromis, l'impact peut être significatif (vol de session, élévation de privilèges via ingénierie sociale, redirections persistantes, défiguration de contenu et impacts sur la chaîne d'approvisionnement).

La décomposition technique — ce qui a probablement mal tourné

D'après la description de la vulnérabilité, le plugin a enregistré du contenu fourni par un éditeur authentifié et l'a ensuite rendu dans une page sans échappement approprié ni assainissement de sortie. Les modèles non sécurisés courants incluent :

  • Stocker du HTML ou des attributs non fiables dans des noms de termes, des étiquettes de menu ou des champs méta, puis les écho avec des fonctions telles que echo $value ou innerHTML en JavaScript sans échappement.
  • Dans les formulaires d'administration, ne pas assainir ou valider l'entrée utilisateur lors de l'enregistrement.
  • Rendre du contenu contrôlé par l'utilisateur dans des attributs HTML ou des contextes de script sans encodage de caractères.

Facteurs clés qui augmentent le risque ici :

  • Le plugin manipule le contenu du front-end (menus, catégories, icônes), qui est régulièrement rendu pour les visiteurs.
  • Les éditeurs ont généralement la capacité de modifier les étiquettes de taxonomie ou de menu, ou de créer/modifier du contenu que le plugin lit et affiche.
  • Si le plugin sort du contenu directement dans un contexte DOM qui permet l'exécution de scripts (par exemple, à l'intérieur d'un élément avec innerHTML), une charge utile stockée peut s'exécuter chaque fois qu'un visiteur charge la page affectée.

Vecteur d'attaque en termes simples :

  • Un attaquant avec des privilèges d'Éditeur soumet une charge utile conçue (dans un nom de catégorie, une étiquette de menu, un balisage d'icône, etc.).
  • Le plugin stocke la charge utile dans la base de données.
  • Plus tard, lorsque le site rend une page contenant ce menu/catégorie, le navigateur exécute le JavaScript injecté.
  • Le script malveillant peut exécuter des actions arbitraires dans le navigateur (voler des cookies ou des JWT, effectuer des actions dans le navigateur de l'utilisateur, charger d'autres malwares, rediriger les visiteurs, afficher du contenu trompeur, et plus encore).

Qui est impacté ?

  • Sites utilisant le plugin à la version 1.0.8 ou antérieure.
  • Sites qui permettent des comptes utilisateurs avec des privilèges d'Éditeur (ou supérieurs) pouvant modifier les entrées de taxonomie/menu ou les paramètres exposés par le plugin.
  • Installations multisites où le plugin est activé au niveau du réseau et où les Éditeurs sur les sous-sites ont des privilèges pour modifier les champs affectés.

Pourquoi cela compte encore même avec “Éditeur requis”

De nombreux propriétaires de sites supposent que les vulnérabilités nécessitant un rôle authentifié sont à faible risque. Ce n'est pas toujours vrai :

  • Les Éditeurs sont souvent compromis par le vol de données d'identification, le phishing, les mots de passe réutilisés, ou à travers des flux de contenu externalisés.
  • Les attaquants qui peuvent manipuler socialement un éditeur (par exemple, via un email malveillant) peuvent déclencher l'exploitation.
  • Une fois que l'attaquant injecte une charge utile persistante, il peut cibler les visiteurs du site (y compris les administrateurs) sans accès privilégié supplémentaire.

Actions immédiates — liste de contrôle courte (faites-les maintenant)

  1. Mettez à jour le plugin vers la version corrigée (1.0.9) immédiatement.
  2. Si vous ne pouvez pas effectuer la mise à jour immédiatement :
    • Désactivez le plugin jusqu'à ce que vous puissiez le mettre à jour.
    • Restreignez temporairement l'accès au niveau Éditeur : examinez les utilisateurs actuels, désactivez ou réaffectez tout compte que vous ne faites pas confiance.
  3. Scannez les entrées suspectes stockées par le plugin :
    • Recherchez des noms de taxonomie, des étiquettes de menu et des tables d'options/méta liées au plugin pour des balises ou des fragments JavaScript suspects.
  4. Examinez les journaux d'administration et de serveur web pour des requêtes POST inattendues vers des points de terminaison administratifs et pour des termes ou options nouvellement créés/modifiés autour du moment où un Éditeur malveillant a agi.
  5. Changez les identifiants pour les Administrateurs et les Éditeurs si vous soupçonnez un compromis. Forcez les réinitialisations de mot de passe pour les comptes à risque.
  6. Effectuez un contrôle de malware sur l'ensemble du site et comparez avec une sauvegarde de confiance. Supprimez les fichiers malveillants et les entrées de base de données si présents.
  7. Envisagez de mettre le site derrière un pare-feu d'application web géré (WAF) ou d'activer des règles de patch virtuel jusqu'à ce que vous soyez entièrement corrigé.

Comment trouver du contenu stocké suspect dans votre base de données (techniques sûres)

Utilisez des requêtes SELECT en lecture seule pour localiser du contenu suspect. Exécutez-les depuis un environnement sécurisé (ne modifiez jamais avant de revoir) :

SÉLECTIONNER term_id, nom
DE wp_terms
OÙ nom LIKE '%<script%';

SÉLECTIONNER term_id, meta_key, meta_value
DE wp_termmeta
OÙ meta_value LIKE '%<script%'
OU meta_value LIKE '%javascript:%'
OU meta_value LIKE '%onmouseover=%';

SÉLECTIONNER option_name, option_value
DE wp_options
WHERE option_value LIKE '%<script%'
OR option_value LIKE '%<iframe%'
OR option_value LIKE '%javascript:%';

SÉLECTIONNER post_id, meta_key, meta_value
DE wp_postmeta
OÙ meta_value LIKE '%<script%'
OU meta_value LIKE '%onerror=%';

Note: Ces recherches peuvent retourner des faux positifs (par exemple, du HTML légitime dans des champs autorisés). Examinez les résultats manuellement et conservez une trace d'audit avant de supprimer quoi que ce soit.

Détection et indicateurs de compromission (IoCs)

  • Redirections inattendues depuis vos pages front-end.
  • Nouvelles étiquettes de menu/catégorie ou étiquettes modifiées contenant des chaînes semblables à du HTML ou des caractères étranges.
  • Visiteurs signalant des pop-ups, des publicités ou des invites de connexion que vous n'avez pas ajoutées.
  • Pics anormaux dans le trafic sortant ou les demandes vers des URL de scripts externes depuis votre site.
  • Connexions administratives depuis des IP ou des horaires inattendus.
  • Fichiers ou code modifiés (par exemple, modifications des fichiers de thème, des plugins ou de wp-config.php).
  • Tâches planifiées (cron) effectuant des opérations étranges.

Si vous trouvez des charges utiles actives dans la base de données :

  • Révoquez immédiatement l'accès aux comptes d'éditeur qui ont effectué les modifications.
  • Effacez les caches (côté serveur, CDN, tout plugin de cache) — les pages mises en cache pourraient continuer à servir les charges utiles même après leur suppression.
  • Nettoyez les entrées de la base de données et confirmez que le script malveillant a disparu dans tous les caches de contenu et les caches de pages statiques.

Conseils aux développeurs — comment les auteurs de plugins devraient résoudre ces problèmes

Si vous maintenez des plugins ou des thèmes, suivez le principe de “ désinfection à l'entrée, échappement à la sortie ”. Voici des modèles concrets et sûrs.

1. Désinfectez à l'écriture (lors de l'enregistrement des valeurs des formulaires dans wp-admin) :

<?php

Pour un HTML limité accepté (par exemple, autorisant les balises strong/em), utilisez wp_kses avec une liste stricte d'autorisations :

<?php

2. Échappez à la sortie (toujours) :

Lors de l'affichage d'une valeur dans le contexte de texte HTML :

<?php

Lors de l'affichage dans un attribut HTML :

&lt;?php

Lors de l'affichage de HTML autorisé :

<?php

3. Utilisez des vérifications de capacité et des nonces dans les gestionnaires d'administration :

<?php

4. Évitez d'afficher des valeurs non fiables dans des contextes JavaScript sans encodage JSON :

<?php

En utilisant wp_json_encode empêche l'injection dans le code JavaScript.

5. Validez et assainissez toutes les URL, couleurs ou classes d'icônes soumises par l'utilisateur.

Utilisez des fonctions telles que esc_url_raw(), sanitize_hex_color(), et preg_match() pour des formats stricts.

6. Lors de l'utilisation d'AJAX ou de points de terminaison REST, vérifiez à nouveau les capacités et assainissez les corps de requête REST avec l'assainissement basé sur le schéma que l'API REST de WP prend en charge.

Façons sûres de corriger rapidement si vous ne pouvez pas mettre à jour le plugin immédiatement

Si vous ne pouvez pas mettre à jour le plugin vers la version corrigée immédiatement, envisagez les atténuations temporaires suivantes :

  • Désactivez le plugin jusqu'à ce que vous puissiez le mettre à niveau. C'est la réponse immédiate la plus sûre.
  • Utilisez la gestion des rôles pour empêcher les éditeurs de modifier les champs modifiables du plugin (supprimez les capacités qui permettent de modifier des termes ou des menus).
  • Supprimez ou restreignez les écrans d'administration pour le plugin en vous accrochant à admin_menu et limiter l'accès en fonction des capacités (solution temporaire).
  • Implémentez des règles WAF qui bloquent les requêtes POST/PUT vers les points de terminaison administratifs du plugin contenant des balises script ou des attributs on* (voir la section WAF ci-dessous).
  • Analysez et assainissez les entrées de la base de données que le plugin utilise pour le rendu des menus/catégories et supprimez toutes les balises HTML que vous ne prévoyez pas.

Comment un pare-feu d'application Web (WAF) aide — et ce qu'il ne peut pas remplacer

Un WAF correctement configuré fournit une couche de défense importante :

  • Les WAF peuvent appliquer des correctifs virtuels (règles qui bloquent les charges utiles d'exploitation) avant que l'auteur du plugin ne publie un correctif pour chaque site.
  • Ils peuvent empêcher les balises script évidentes, les gestionnaires d'événements, le JavaScript en ligne et les attributs suspects d'être enregistrés ou servis.
  • Les WAF peuvent limiter le taux des requêtes et imposer des règles plus strictes sur les points de terminaison administratifs où des éditeurs malveillants pourraient soumettre des charges utiles.

Cependant, ne supposez pas qu'un WAF est une solution permanente :

  • Les WAF font partie d'une défense en profondeur. Ils réduisent le risque mais n'éliminent pas le code non sécurisé sous-jacent.
  • Les attaquants peuvent essayer d'obfusquer les charges utiles pour contourner des règles naïves ; c'est pourquoi combiner les WAF avec des correctifs de code et un échappement correct est essentiel.
  • Toujours corriger les plugins et les thèmes — le correctif virtuel achète du temps, pas de la permanence.

Si vous utilisez un WAF, activez les règles qui :

  • Bloquent les requêtes avec des balises en ligne ou des attributs suspects (onerror, onload, onmouseover, javascript:).
  • Validez les requêtes POST et les requêtes API REST vers les points de terminaison administratifs pour détecter du HTML inattendu.
  • Surveillez et alertez sur les changements au niveau administratif des tables de taxonomie, de menu ou d'options de plugin.

Exemple de concept de règle WAF (non exploitable) — uniquement défensif

Ci-dessous se trouve un modèle conceptuel (pas une charge utile exploitable), montrant une idée de règle défensive. Appliquez de tels modèles avec précaution et testez en staging :

  • Bloquez les POST vers les points de terminaison administratifs qui incluent “ <script ” brut dans la charge utile, ou des attributs commençant par “ on ” (gestionnaires d'événements), ou des URI “ javascript : ”.
  • Enregistrez et alertez lorsqu'un compte Éditeur soumet des données contenant des balises HTML.

Important: Testez les règles afin de ne pas perturber les flux de travail légitimes. Par exemple, certains HTML autorisés peuvent être permis dans certains champs ; ajustez les règles au comportement légitime du plugin.

Plan de réponse — si vous pensez avoir été exploité

  1. Mettez le site en mode maintenance (confinement des risques pour le public).
  2. Prenez un instantané de l'ensemble de l'environnement (fichiers + base de données + journaux) pour des analyses judiciaires.
  3. Faites tourner tous les mots de passe administratifs et d'éditeur et invalidez les cookies d'authentification (changement de mots de passe et forçage de déconnexion).
  4. Passez en revue les changements récents (fichiers et base de données). Utilisez des sommes de contrôle ou une sauvegarde propre pour la comparaison.
  5. Recherchez les scripts injectés et supprimez-les, y compris des caches et des instantanés CDN.
  6. Nettoyez ou restaurez à partir d'une sauvegarde connue comme bonne prise avant la compromission.
  7. Effectuez une analyse complète des logiciels malveillants et un examen manuel des portes dérobées (par exemple, fichiers PHP suspects, wp-config.php modifié, tâches planifiées non autorisées).
  8. Revalidez les versions des plugins/thèmes et mettez tout à jour vers les dernières versions sécurisées.
  9. Reconstruisez les identifiants (tokens API, clés SSH) et confirmez qu'aucune intégration tierce n'a été compromise.
  10. Après le nettoyage, surveillez de près : augmentation de l'échantillonnage des journaux, rapports de connexion des utilisateurs et alertes WAF pendant plusieurs semaines.

Si vous avez besoin d'aide et que vous gérez un site d'entreprise ou géré, envisagez de faire appel à une équipe professionnelle de réponse aux incidents expérimentée dans les compromissions WordPress.

Liste de contrôle de durcissement pour réduire le risque futur

  • Principe du moindre privilège : limitez les comptes d'éditeur. Envisagez d'utiliser des rôles personnalisés avec des capacités réduites.
  • Appliquer des mots de passe forts et une MFA pour tous les utilisateurs administratifs.
  • Passez en revue les comptes utilisateurs tous les trimestres ; supprimez les comptes inutilisés et limitez les identifiants partagés.
  • Désactivez l'édition de fichiers dans wp-admin (define('DISALLOW_FILE_EDIT', true)).
  • Gardez le cœur de WordPress, les thèmes et les plugins à jour. Testez d'abord les mises à jour dans un environnement de staging.
  • Maintenez des sauvegardes régulières hors site et testez les procédures de restauration.
  • Utilisez un WAF et/ou un pare-feu géré avec une capacité de patching virtuel pour des protections contre les zero-day.
  • Exécutez des analyses automatisées de logiciels malveillants et des examens manuels périodiques.
  • Adoptez un processus de révision des plugins : évaluez la cadence des mises à jour des plugins, la réputation des développeurs, les journaux de modifications et la réactivité du support avant d'installer.
  • Mettez en œuvre des identifiants API avec le moindre privilège et faites tourner les clés régulièrement.
  • Utilisez un site de staging pour tester de nouveaux plugins ou des mises à jour de plugins.

Pour les auteurs de plugins — adoptez des pratiques de développement sécurisées

  • Suivez les meilleures pratiques de sécurité de WordPress : assainir à l'entrée, échapper à la sortie.
  • Ajoutez des tests unitaires et d'intégration qui vérifient la logique d'assainissement/d'échappement dans les chemins de rendu.
  • Envisagez un scan de sécurité automatisé dans le cadre de votre pipeline CI pour détecter les sorties non assainies ou les points d'attaque XSS potentiels.
  • Fournissez une documentation sur les capacités et évitez de vous fier à des rôles à grande capacité lorsque un plugin expose des fonctionnalités d'édition.
  • Maintenez un processus de divulgation des vulnérabilités transparent et fournissez des correctifs en temps opportun.

Pourquoi la surveillance routinière est importante (et quoi surveiller)

Moniteur:

  • Les POSTs de la zone admin et les requêtes REST, en particulier vers des points de terminaison qui créent/modifient des termes, des menus et des paramètres de plugin.
  • Événements de création et de modification pour les enregistrements de termes, d'options et de postmeta.
  • Contenu inhabituel contenant des balises HTML dans des champs où vous vous attendez à du texte brut.
  • Tentatives de connexion (réussites et échecs) et connexions depuis de nouvelles adresses IP.
  • Alertes WAF liées aux charges bloquées ou aux déclencheurs de règles.

Combinez la surveillance automatisée avec des examens manuels périodiques pour une efficacité maximale.

Comment WP‑Firewall aide (y compris l'option gratuite)

Chez WP‑Firewall, nous opérons avec l'état d'esprit d'une protection en couches : correctifs, durcissement, détection et atténuation rapide. Notre service de pare-feu géré fournit :

  • Règles WAF gérées et correctifs virtuels pour défendre contre les vulnérabilités connues des plugins et des thèmes.
  • Analyse de logiciels malveillants et surveillance du site pour détecter une activité anormale.
  • Procédures d'incidents et remédiation guidée pour les sites infectés ou compromis.

Commencez avec le plan de base gratuit :

  • Protection essentielle : pare-feu géré, bande passante illimitée, WAF, analyseur de logiciels malveillants et atténuation des risques OWASP Top 10 — sans frais.
  • Si vous avez besoin d'une suppression automatique des logiciels malveillants et d'une simple liste noire/liste blanche d'IP, notre plan Standard est abordable.
  • Pour les équipes et les agences qui ont besoin de patching virtuel automatisé et de rapports de sécurité mensuels, le plan Pro offre des contrôles avancés et des services gérés.

Obtenez une protection de base immédiate et sans coût pour votre site WordPress :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Commencez à protéger votre site aujourd'hui avec le plan gratuit WP‑Firewall

Si vous gérez un site WordPress et souhaitez une manière pragmatique et sans friction d'ajouter une couche de protection pendant que vous appliquez des correctifs et durcissez votre environnement, le plan gratuit WP‑Firewall offre une protection de pare-feu gérée essentielle, un WAF, une bande passante illimitée et une analyse des logiciels malveillants sans frais. Cela fournit une couche d'atténuation importante pour les vulnérabilités comme le XSS stocké discuté ici : le patching virtuel et le blocage des charges utiles évidentes peuvent vous donner du temps pour mettre à jour les plugins, auditer les comptes d'éditeur et effectuer un nettoyage minutieux. Inscrivez-vous et protégez votre site maintenant :
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Questions fréquemment posées (réponses rapides)

Q : Si je suis un administrateur, dois-je changer les mots de passe de tous les utilisateurs ?
R : Si vous trouvez des preuves de compromission, réinitialisez les identifiants pour les comptes qui pourraient être impactés (éditeurs et administrateurs). Forcez les réinitialisations de mot de passe et invalidez les sessions (WordPress prend en charge l'expiration des autres sessions).

Q : Puis-je compter sur un WAF au lieu de mettre à jour les plugins ?
R : Non. Un WAF est une couche d'atténuation qui peut réduire le risque, mais il ne remplace pas la correction du code non sécurisé sous-jacent. Mettez toujours à jour le plugin corrigé et suivez les pratiques de codage sécurisé.

Q : Les corrections par recherche et remplacement sont-elles sûres pour supprimer du contenu malveillant ?
R : Seulement lorsque vous comprenez clairement ce que vous changez. Un remplacement massif à l'aveugle peut casser du HTML ou des données légitimes. Faites toujours une sauvegarde avant de faire des modifications de base de données en masse et testez sur une copie de staging.

Q : Comment puis-je tester si mon site est toujours vulnérable après la mise à jour ?
R : Mettez à jour le plugin vers la version corrigée et relancez les mêmes tests qui ont initialement détecté le problème (sans utiliser de charges utiles d'exploitation de preuve de concept en production). Vérifiez si les entrées précédemment suspectes s'exécutent toujours, confirmez que la sortie est correctement échappée et assurez-vous que les caches sont purgés.

Liste de contrôle finale — que faire maintenant (résumé)

  • Mettez à jour le plugin vers la version 1.0.9 (ou ultérieure) immédiatement.
  • Si la mise à jour n'est pas possible tout de suite : désactivez le plugin et restreignez l'accès au niveau Éditeur.
  • Recherchez dans votre base de données des charges utiles de type script stockées dans les termes, les étiquettes de menu, les options de plugin et les postmeta.
  • Effacez tous les caches (serveur, CDN, plugin) après remédiation.
  • Faites tourner les identifiants pour les utilisateurs à haut risque et appliquez l'authentification multifacteur.
  • Mettez un WAF/pare-feu géré devant votre site — commencez par l'option de protection gratuite pour ajouter une couche supplémentaire pendant que vous nettoyez.
  • Scannez à la recherche de logiciels malveillants et de portes dérobées, et restaurez à partir d'une sauvegarde propre si nécessaire.
  • Adoptez des mesures de vérification et de durcissement des plugins plus strictes pour réduire les risques futurs.

Le XSS stocké reste un vecteur principal exploité par les attaquants car une fois que des scripts malveillants sont persistants, ils peuvent être utilisés pour armer rapidement un site contre les visiteurs et les administrateurs. La combinaison de mises à jour opportunes, de contrôles d'accès avec le moindre privilège, d'échappement de sortie et de règles WAF protectrices réduit considérablement le risque. Si vous êtes responsable d'un site WordPress utilisant ce plugin, considérez cela comme une priorité : corrigez, auditez et protégez — et si vous souhaitez une manière simple d'ajouter une atténuation immédiate pendant que vous travaillez, le plan gratuit WP‑Firewall vous offre une protection gérée essentielle pour réduire l'exposition aujourd'hui : https://my.wp-firewall.com/buy/wp-firewall-free-plan/

wordpress security update banner

Recevez gratuitement WP Security Weekly 👋
S'inscrire maintenant!!

Inscrivez-vous pour recevoir la mise à jour de sécurité WordPress dans votre boîte de réception, chaque semaine.

Nous ne spammons pas ! Lisez notre politique de confidentialité pour plus d'informations.

Contactez-nous pour planifier une consultation gratuite sur la sécurité WordPress

Contactez-nous

WP-Pare-feu
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caractéristiques Tarifs Blog Se connecter
politique de confidentialité Conditions d'utilisation Documents Affilier

© 2026 WP-Firewall™