Difetto CSRF critico nel Child Height Predictor//Pubblicato il 2026-05-20//CVE-2026-6400

TEAM DI SICUREZZA WP-FIREWALL

Child Height Predictor Vulnerability

Nome del plugin Predittore di Altezza per Bambini di Ostheimer
Tipo di vulnerabilità Falsificazione di richiesta intersito
Numero CVE CVE-2026-6400
Urgenza Basso
Data di pubblicazione CVE 2026-05-20
URL di origine CVE-2026-6400

Cross‑Site Request Forgery (CSRF) nel plugin “Predittore di Altezza per Bambini” (<= 1.3) — Cosa significa, come mitigare e come WP‑Firewall ti protegge

Autore: Team di sicurezza WP-Firewall

Data: 2026-05-20

TL;DR (Riepilogo esecutivo)

È stata divulgata una vulnerabilità di Cross‑Site Request Forgery (CSRF) che colpisce il plugin WordPress “Predittore di Altezza per Bambini di Ostheimer” nelle versioni fino e comprese 1.3 (CVE‑2026‑6400). Un attaccante può ingannare un amministratore autenticato (o un altro utente privilegiato) facendogli cliccare su un link creato ad hoc o visitare una pagina che attiva un aggiornamento delle impostazioni nel plugin vulnerabile. La vulnerabilità deriva dalla mancanza o insufficienza di validazione delle richieste (nessun nonce e/o controlli di capacità sul punto di aggiornamento delle impostazioni).

L'impatto è valutato come basso (CVSS 4.3) perché un attaccante ha bisogno di un'interazione da parte di un utente privilegiato e l'ambito è limitato alle impostazioni o funzionalità del plugin. Detto ciò, qualsiasi vulnerabilità che consente a un attaccante di modificare la configurazione può essere concatenata con altri problemi e utilizzata in attacchi mirati.

Questo post spiega cos'è il CSRF, perché questo specifico problema è importante, come rilevare lo sfruttamento, le mitigazioni immediate passo dopo passo che puoi applicare e misure pratiche a lungo termine — incluso come WP‑Firewall può proteggere il tuo sito (il nostro piano gratuito include protezioni chiave). Se gestisci siti WordPress, leggi tutto e agisci rapidamente se utilizzi questo plugin.

Sommario

  • Cos'è il Cross‑Site Request Forgery (CSRF)?
  • Il problema del Predittore di Altezza per Bambini — a colpo d'occhio
  • Perché questa vulnerabilità è importante (anche se di bassa gravità)
  • Come funziona la vulnerabilità (panoramica tecnica non sfruttativa)
  • Indicatori di compromissione (cosa tenere d'occhio)
  • Passi immediati se utilizzi il plugin colpito
  • Correzioni permanenti raccomandate per gli sviluppatori di plugin
  • Come un host, un amministratore o un team di sicurezza possono mitigare ora
  • Protezioni WP‑Firewall e esempi pratici di regole
  • Raccomandazioni operative e di indurimento oltre il WAF
  • Una nota veloce sulla divulgazione responsabile e sul monitoraggio
  • Inizia a proteggere il tuo sito con WP‑Firewall — Dettagli del piano gratuito
  • Riepilogo e checklist finale

Cos'è il Cross‑Site Request Forgery (CSRF)?

Il CSRF è una debolezza della sicurezza web in cui un attaccante inganna un utente autenticato a inviare una richiesta (spesso un POST) a un'applicazione web in cui è già autenticato. Poiché il browser include automaticamente cookie e altri token di sessione con le richieste, una pagina malevola può causare al browser della vittima di eseguire azioni su un altro sito per conto della vittima senza il loro consenso.

Le conseguenze comuni del CSRF negli ambienti WordPress includono la modifica delle impostazioni del plugin, la creazione o modifica di contenuti, o (in combinazione con altre debolezze) l'elevazione dei privilegi o l'apertura di backdoor. Il CSRF è prevenibile: la difesa standard in WordPress è richiedere e convalidare un nonce specifico per l'utente (un token generato da funzioni WordPress come wp_create_nonce / check_admin_referer) per qualsiasi azione che cambia stato.

Il problema del Predittore di Altezza per Bambini — a colpo d'occhio

  • Software colpito: plugin WordPress “Predittore di Altezza per Bambini di Ostheimer”
  • Versioni vulnerabili: <= 1.3
  • Tipo: Cross‑Site Request Forgery (CSRF) che consente aggiornamenti delle impostazioni
  • ID CVE: CVE‑2026‑6400
  • Impatto: Basso (CVSS 4.3) — richiede interazione di un utente privilegiato per avere successo
  • Stato della patch alla divulgazione: Nessuna patch ufficiale disponibile al momento della segnalazione (se fai affidamento su questo plugin, trattalo come rischioso fino a quando non sarà risolto)

Il problema sottostante: il plugin espone un endpoint di aggiornamento delle impostazioni (pagina admin o gestore di moduli) che manca di controlli nonce adeguati e verifica delle capacità. Un attaccante può inviare richieste elaborate che modificano le impostazioni del plugin se un utente privilegiato (tipicamente un amministratore) esegue un'interazione come visitare una pagina malevola o cliccare su un link.

Perché questa vulnerabilità è importante (anche se di bassa gravità)

Etichettare un problema come “basso” aiuta a dare priorità, ma non significa “ignorare”. Ecco perché dovresti comunque agire:

  • Le modifiche di configurazione possono essere abusate. Se le impostazioni controllano comportamenti che interagiscono con il front end (come contenuti visualizzati o callback remoti), un attaccante può sfruttare quelle modifiche.
  • Catena di vulnerabilità. Un CSRF a basso impatto può essere combinato con altri difetti (misconfigurazioni del plugin, permessi deboli o perdita di dati) per aumentare l'impatto.
  • Scala e automazione. Gli attaccanti spesso eseguono campagne di phishing di massa o pagine drive-by per catturare qualsiasi sito con un amministratore connesso in visita. Clic singoli su molti siti sono sufficienti.
  • Rischi reputazionali e di conformità. Un sito compromesso potrebbe essere utilizzato per spam, distribuzione di malware o per ospitare contenuti malevoli — potenzialmente impattando i visitatori e risultando in rimozione dai motori di ricerca.

In breve: tratta seriamente i problemi CSRF, specialmente su plugin che eseguono logica attiva del sito e hanno impostazioni di amministrazione.

Come funziona la vulnerabilità (panoramica tecnica non sfruttativa)

Terrò questo a un livello alto ed eviterò di divulgare codice di sfruttamento.

Flusso tipico sicuro di WordPress per l'aggiornamento delle impostazioni:

  1. L'amministratore carica una pagina delle impostazioni del plugin. WordPress rende un campo nonce nascosto utilizzando wp_nonce_field(), legato a un'azione specifica.
  2. Quando il modulo viene inviato, il gestore del plugin esegue check_admin_referer() o check_ajax_referer() per verificare il nonce.
  3. Il gestore controlla anche current_user_can( ‘manage_options’ ) (o la capacità appropriata) per confermare che il richiedente abbia il permesso.
  4. Solo allora le impostazioni vengono persistite.

Nel plugin vulnerabile:

  • Un endpoint di aggiornamento delle impostazioni accetta POST (o GET) senza convalidare un nonce o verificare correttamente le capacità dell'utente.
  • Un attaccante può creare una richiesta di modulo o immagine e ospitarla su un sito dell'attaccante.
  • Se un amministratore (o un altro utente privilegiato) visita quella pagina mentre è connesso al sito WordPress, il browser includerà il cookie di sessione. La richiesta creata colpisce l'endpoint del plugin e il plugin applica la modifica.

Importante sfumatura: l'attaccante non può costringere il browser a ignorare i prompt di autenticazione a due fattori, la reautenticazione o altre protezioni interattive. Il requisito di un'interazione da parte di un utente privilegiato è il motivo per cui questa è di gravità inferiore rispetto a un'esecuzione di codice remoto completamente non autenticata. Ma la capacità dell'attaccante di apportare modifiche alla configurazione sotto la sessione di un utente privilegiato rappresenta comunque un rischio serio.

Indicatori di compromissione (cosa tenere d'occhio)

Se utilizzi il plugin, monitora per:

  • Cambiamenti improvvisi o inspiegabili nelle impostazioni del plugin (aspetto, messaggi, URL remoti).
  • Nuove attività programmate (wp_cron) o nuove pagine admin create dal plugin.
  • Richieste HTTP(S) in uscita inaspettate dal tuo server verso domini sconosciuti (controlla i log e le regole del firewall in uscita).
  • Nuovi utenti admin creati o modifiche ai permessi (soprattutto se non le hai effettuate tu).
  • Accessi admin da IP o sessioni insolite in orari strani che coincidono con le modifiche alle impostazioni.
  • Avvisi dal tuo scanner malware o monitoraggio dell'integrità dei file che segnalano file modificati.

Posizioni e strumenti di log:

  • Web server access.log: cerca richieste POST agli endpoint admin del plugin intorno al momento delle modifiche sospette.
  • Log di WP‑Firewall (se abilitati) e log di audit di WordPress (se utilizzi un registratore di attività).
  • Log degli errori PHP per comportamenti inaspettati.
  • Log del pannello di controllo dell'host per tentativi di connessione in uscita insoliti.

Se vedi uno dei punti sopra e utilizzi il plugin interessato, agisci immediatamente (sezione successiva).

Passi immediati se utilizzi il plugin colpito

Se hai installato e attivato il plugin (versioni ≤ 1.3), fai quanto segue ora — in quest'ordine:

  1. Identificare i siti interessati
    • Cerca nella tua console di gestione (o usa WP‑CLI) il nome del plugin predittore-altezza-bambino o il nome della cartella del plugin.
  2. Metti i siti in modalità manutenzione (opzionale ma prudente)
    • Questo è particolarmente importante per siti ad alto traffico o rivolti ai clienti.
  3. Disattivare o rimuovere il plugin
    • Se non è disponibile alcuna patch ufficiale, il passo più sicuro a breve termine è disattivare il plugin fino al rilascio di un aggiornamento del fornitore.
  4. Cambia le password di amministrazione e invalida le sessioni
    • Forza un reset della password per gli account ad alta privilegio o invalida tutte le sessioni tramite la funzione “Disconnetti ovunque” in WordPress 5.3+ o tramite WP-CLI.
  5. Cerca indicatori di compromissione
    • Esegui una scansione completa del sito per malware e integrità dei file. Controlla le tabelle del database utilizzate dal plugin per contenuti sospetti o impostazioni modificate.
  6. Rivedi l'attività recente nei log
    • Cerca richieste agli URI di amministrazione del plugin, specialmente richieste POST senza token CSRF presenti.
  7. Rafforzare l'accesso amministrativo
    • Limita wp-admin per IP dove possibile, applica 2FA e assicurati che le password di amministrazione siano forti.
  8. Applica controlli compensativi tramite WP-Firewall
    • Aggiungi regole WAF per bloccare le richieste all'endpoint di amministrazione del plugin a meno che non includano il referer di amministrazione previsto e un nonce valido (vedi i nostri esempi di regole qui sotto).
  9. Monitorare e rispondere
    • Tieni d'occhio i log, le notifiche di cambiamento e i risultati dello scanner malware. Se trovi prove di compromissione, ripristina da un backup noto e buono dopo la pulizia.

Se non puoi disattivare immediatamente (vincoli di produzione), utilizza la patch virtuale del firewall per bloccare l'endpoint vulnerabile (le sezioni successive forniscono esempi).

Correzioni permanenti raccomandate per gli sviluppatori di plugin

Se sei un autore di plugin o uno sviluppatore che mantiene codice che gestisce cambiamenti di stato, segui queste pratiche:

  1. Valida sempre i nonce
    • Usa wp_nonce_field() nei moduli e check_admin_referer() nei gestori di invio dei moduli.
  2. Verifica le capacità
    • Chiama current_user_can() con la capacità di minor privilegio richiesta (ad es., manage_options per le impostazioni di amministrazione).
  3. Evita cambiamenti di stato su GET
    • Accetta solo operazioni che cambiano lo stato tramite POST (o metodi appropriati) e valida la richiesta.
  4. Limita gli endpoint esposti
    • Non lasciare gli endpoint delle azioni di amministrazione accessibili a richieste non autenticate.
  5. Usa l'autenticazione dell'API REST con attenzione.
    • Se esponi rotte REST, registrale con funzioni di permission_callback appropriate.
  6. Aggiungi registrazione e notifiche per l'amministratore per le modifiche importanti alle impostazioni.
    • Fai sapere agli amministratori del sito quando la configurazione critica è cambiata.
  7. Segui le impostazioni predefinite sicure.
    • Le impostazioni predefinite dovrebbero essere sicure anche se il plugin viene utilizzato in modo improprio.
  8. Testa per CSRF nel tuo pipeline CI.
    • Includi controlli automatizzati per garantire che i controlli nonce e di capacità siano presenti.

Se mantieni questo plugin, fornisci un aggiornamento che includa questi controlli il prima possibile e comunica in modo trasparente con i proprietari dei siti.

Come un host, un amministratore o un team di sicurezza possono mitigare ora

Se gestisci più siti WordPress o ospiti siti di clienti, aggiungi queste mitigazioni:

  • Applica l'autenticazione a più fattori per gli account amministrativi.
  • Limita l'accesso al pannello di amministrazione di WordPress tramite whitelist IP se operativamente fattibile.
  • Usa un timeout di sessione aggressivo e la reautenticazione per azioni sensibili.
  • Aggiungi una politica di Web Application Firewall che copra specificamente l'URI dell'amministratore del plugin o il gestore del modulo.
  • Sfrutta la patching virtuale: applica una regola WAF mirata per bloccare le richieste POST all'endpoint del plugin a meno che non provengano dalla tua interfaccia di amministrazione (controllo referer) o includano un modello di valore nonce valido.
  • Audita e limita le installazioni di plugin: rimuovi plugin inattivi o non necessari tra i siti.
  • Abilita una registrazione robusta e un allerta centralizzata in modo che le attività sospette siano visibili e azionabili.

Protezioni WP‑Firewall e esempi pratici di regole

Come team di WP‑Firewall, progettiamo protezioni che aiutano sia a prevenire sfruttamenti che a rilevare tentativi sospetti. Di seguito ci sono mitigazioni pratiche che puoi applicare oggi. (Questi sono esempi difensivi sicuri per gli operatori; evitiamo di descrivere uno sfruttamento.)

Usa WP‑Firewall per applicare la patching virtuale.

Se non puoi disattivare immediatamente il plugin, la patch virtuale è una soluzione temporanea efficace:

  • Crea una regola WAF che blocchi le richieste POST al percorso admin del plugin vulnerabile, ad esempio:

    /wp-admin/admin.php?page=child-height-predictor‑settings o simile. Molti plugin usano admin-post.php O admin.php con uno slug di pagina specifico.

Esempio di logica della regola (concettuale):

  • Se il metodo della richiesta è POST e il percorso della richiesta contiene lo slug admin del plugin, e la richiesta manca di un parametro nonce previsto o di un'intestazione referer admin di WordPress valida, allora blocca e registra la richiesta.

Questo previene i tentativi di CSRF assicurando che le richieste che cambiano stato debbano includere un nonce WP valido o provenire da origini admin consentite.

Controlli di referer e origine

Aggiungi una regola che nega i POST cross-site a endpoint admin sensibili a meno che l'intestazione HTTP Referer o Origin punti al tuo sito. Anche se non è un sostituto perfetto per un nonce, questa è una difesa efficace contro il CSRF in pratica.

Avviso: Alcuni browser o proxy potrebbero rimuovere le intestazioni Referer, e alcune integrazioni legittime potrebbero inviare senza referer — testa prima di bloccare in modo ampio.

Limitazione della frequenza e rilevamento di POST sospetti

  • Se vedi un'improvvisa attività di POST all'endpoint del plugin da molti IP client, blocca o sfida quelle richieste con una verifica aggiuntiva (CAPTCHA o pagina di sfida).
  • Registra i tentativi e aggiungili a una blacklist se appaiono automatizzati.

Rilevamento e avviso su modifiche alle impostazioni

WP‑Firewall (e le sue integrazioni di registrazione) possono notificarti quando viene inviata la pagina delle impostazioni di un plugin o quando le voci delle opzioni del plugin nel database cambiano. Configura le notifiche per modifiche inaspettate.

Esempio di regola simile a ModSecurity (concettuale)

Di seguito è riportato un esempio ad alto livello che mostra l'idea (non copiare/incollare ciecamente; adatta al tuo ambiente):

  • Blocca i POST a un URL admin specifico a meno che non contengano un modello di nonce WP:
    • Condizione A: REQUEST_METHOD == “POST”
    • Condizione B: REQUEST_URI corrisponde a “/wp-admin/admin.php” E QUERY_STRING contiene “page=child-height-predictor”
    • Condizione C: REQUEST_BODY NON contiene un parametro che inizia con “_wpnonce” (o non contiene il valore nonce previsto)
    • Azione: Negare la richiesta, registrare l'evento e restituire 403

Questo approccio blocca i tentativi di CSRF evidenti mentre aspetti una patch del plugin upstream.

Perché WP‑Firewall aiuta subito

  • Le regole del firewall gestito e un WAF ti danno un controllo rapido e centralizzato su più siti.
  • La patch virtuale ti consente di mitigare le vulnerabilità note dei plugin senza modifiche al codice.
  • La scansione integrata dei malware e la registrazione degli attacchi aiutano a rilevare tentativi o sfruttamenti riusciti.
  • Il nostro piano gratuito include firewall gestito, larghezza di banda illimitata, WAF, scanner di malware e mitigazione contro i rischi OWASP Top 10 — sufficiente per fornire una protezione immediata significativa per i siti interessati.

(Le istruzioni di configurazione specifiche sono disponibili nel dashboard di WP‑Firewall. Se hai bisogno di aiuto, il nostro team può assisterti nella creazione di un set di regole sicure.)

Raccomandazioni operative e di indurimento oltre il WAF

Il WAF è uno strumento di emergenza e prevenzione forte, ma dovresti indurire il tuo sito WordPress su più livelli:

  1. Minimo privilegio
    • Limita il numero di utenti con capacità di ‘Amministratore’. Usa Editor o ruoli personalizzati quando possibile.
  2. Autenticazione a due fattori
    • Richiedi 2FA per tutti gli account privilegiati e applicalo per i super amministratori.
  3. Gestione delle sessioni
    • Forza il logout dopo modifiche significative e scade periodicamente le sessioni inattive.
  4. Governance e inventario dei plugin
    • Mantieni un inventario documentato dei plugin e un programma di aggiornamento. Rimuovi i plugin non utilizzati.
  5. Backup e recupero
    • Mantieni backup frequenti off-site e testa i ripristini. Se viene rilevato uno stato compromesso, ripristina a uno snapshot noto buono.
  6. Monitoraggio e risposta agli incidenti
    • Definisci un playbook di risposta agli incidenti: rilevamento, contenimento, eradicazione, recupero e lezioni apprese.
  7. Segmentazione della rete
    • Dove l'hosting lo consente, isola i pannelli di amministrazione di WordPress dietro VPN o restrizioni IP.
  8. Ciclo di vita dello sviluppo sicuro
    • Se sviluppi plugin/temi, integra revisioni di sicurezza, scansioni automatiche delle dipendenze e revisioni del codice focalizzate sull'autorizzazione e sull'uso dei nonce.
  9. Tieni aggiornato il core di WordPress, i temi e i plugin
    • Gli aggiornamenti affrontano problemi di sicurezza e dovrebbero essere programmati e testati.

Cosa fare se scopri una compromissione

Se rilevi segni di sfruttamento:

  1. Isola immediatamente il sito (pagina di manutenzione, limita l'accesso).
  2. Fai uno snapshot dei log e un'immagine del file system per l'analisi forense.
  3. Cambia tutte le password degli amministratori e ruota le chiavi API e i segreti utilizzati dal sito.
  4. Scansiona per backdoor e rimuovi file dannosi. Se non sei sicuro, consulta un team professionale di risposta agli incidenti.
  5. Ripristina da un backup pulito effettuato prima della compromissione se l'eradicazione è complicata.
  6. Notifica le parti interessate, i clienti e (se applicabile) gli organismi di regolamentazione come richiesto dalla legge o dalla politica.
  7. Dopo la rimediazione, rinforza il sito secondo i passaggi sopra e monitora aggressivamente per eventuali ricorrenze.

Divulgazione responsabile e tracciamento

Se sei un ricercatore di sicurezza o un proprietario di sito che ha trovato il problema:

  • Segnalalo all'autore del plugin e al repository dei plugin di WordPress (se applicabile). Consenti tempi di divulgazione ragionevoli se stai coordinando le patch.
  • Se l'autore del plugin non risponde e la vulnerabilità è attivamente sfruttata, considera di informare il tuo fornitore di hosting o un'organizzazione di sicurezza fidata per coordinare la mitigazione.
  • Tieni traccia delle comunicazioni e di eventuali artefatti forensi.

Come proprietari di siti, iscriviti a database di vulnerabilità o feed di sicurezza che tracciano le vulnerabilità dei plugin — e applica una politica di aggiornamento proattiva.

Inizia a proteggere il tuo sito oggi con WP‑Firewall — Dettagli del piano gratuito

Titolo: Sicurezza per il tuo WordPress Admin senza costi — Prova il piano gratuito di WP‑Firewall

Se desideri una protezione immediata e gestita mentre valuti e applichi le correzioni, il piano Base (Gratuito) di WP‑Firewall ti offre una solida base senza alcun costo:

  • Protezione essenziale: firewall gestito e Web Application Firewall (WAF)
  • Larghezza di banda illimitata (nessun rallentamento del traffico di sicurezza)
  • Scanner malware integrato per scoprire infezioni e indicatori di compromissione
  • Mitigazione per i rischi OWASP Top 10 per ridurre la superficie di attacco

Inizia rapidamente e proteggi i tuoi endpoint di amministrazione mentre applichi aggiornamenti o rimuovi plugin rischiosi: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Per i team che cercano remediation automatizzata e controlli avanzati, i nostri piani a pagamento aggiungono rimozione automatica di malware, blacklist/whitelist IP, report di sicurezza mensili e patch virtuali automatiche — ma il piano gratuito blocca già molti vettori di attacco pratici ed è un buon punto di partenza.

Riepilogo e checklist finale

Questo problema CSRF in “Child Height Predictor” (≤ 1.3) mostra come la mancanza di validazione delle richieste possa consentire agli attaccanti di modificare le impostazioni del plugin utilizzando un utente privilegiato ingannato. La vulnerabilità è classificata come bassa principalmente perché lo sfruttamento richiede un'interazione da parte di un utente privilegiato — ma le conseguenze della modifica della configurazione sono reali.

Segui immediatamente questa checklist se utilizzi il plugin:

  • Identifica tutti i siti che eseguono il plugin (≤ 1.3)
  • Disattiva o rimuovi il plugin fino a quando non è disponibile una patch del fornitore
  • Se la disattivazione è impossibile, applica la patch virtuale WP‑Firewall per bloccare l'endpoint di amministrazione vulnerabile
  • Forza un reset della password e invalida le sessioni per gli account privilegiati
  • Esegui una scansione completa per malware e integrità dei file
  • Controlla i log per POST sospetti o accessi alla pagina di amministrazione
  • Rendi più sicuro l'accesso all'amministrazione (2FA, restrizione IP, minimo privilegio)
  • Monitora e mantieni i backup; sii pronto a ripristinare da uno snapshot pulito

Infine, se non lo hai già fatto, considera di abilitare il piano gratuito di WP‑Firewall per la protezione del firewall gestito e la copertura WAF mentre rimedi. Aiuta a bloccare i tipi di POST cross-site che abilitano attacchi CSRF e fornisce scansioni e registrazioni che aiuteranno a rilevare tentativi di abuso.

Se hai bisogno di aiuto per creare regole di patch virtuali o desideri una consulenza per la risposta agli incidenti, il nostro team di WP‑Firewall può assisterti — aiutiamo i proprietari di siti a implementare protezioni, analizzare i log e recuperare da incidenti.

Rimani al sicuro là fuori — e tratta gli endpoint di configurazione del plugin come risorse sensibili: valida, verifica e restringi.

— Team di sicurezza WP-Firewall

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™