Vulnerabilità critica di attraversamento del percorso in Backup Guard//Pubblicato il 2026-04-17//CVE-2026-4853

TEAM DI SICUREZZA WP-FIREWALL

Backup Guard Vulnerability CVE-2026-4853

Nome del plugin Backup Guard
Tipo di vulnerabilità Vulnerabilità di traversamento del percorso
Numero CVE CVE-2026-4853
Urgenza Basso
Data di pubblicazione CVE 2026-04-17
URL di origine CVE-2026-4853

Critico: Traversamento del percorso + Cancellazione arbitraria di directory in JetBackup / Backup Guard (CVE-2026-4853) — Cosa devono sapere i proprietari di siti WordPress e come proteggersi

Pubblicato: 17 Apr, 2026
Plugin interessato: JetBackup / Backup Guard (plugin slug: backup)
Versioni vulnerabili: <= 3.1.19.8
Versione corretta: 3.1.20.3
CVE: CVE-2026-4853
Gravità: Basso (priorità Patchstack: Basso, CVSS: 4.9) — ma non lasciarti ingannare: l'impatto pratico può essere significativo se un attaccante ottiene o controlla già un account Amministratore.

Come team dietro WP-Firewall, monitoriamo continuamente le vulnerabilità di WordPress e consigliamo i proprietari di siti, gli sviluppatori e gli host su risposte pragmatiche e prioritarie. Questa vulnerabilità di JetBackup/Backup Guard è un traversamento del percorso autenticato che consente a un utente di livello Amministratore di eliminare directory arbitrarie tramite un valore creato nel nomefile parametro (comunemente inviato a un endpoint di backup/cancellazione). Il difetto è stato divulgato responsabilmente e corretto nella versione 3.1.20.3 — l'aggiornamento è la soluzione più semplice ed efficace. Di seguito analizziamo i dettagli tecnici, gli scenari di rischio realistici, le strategie di rilevamento e mitigazione, le regole pratiche di virtual-patching WAF, i passaggi di risposta agli incidenti e le raccomandazioni di indurimento a lungo termine in modo che tu possa agire rapidamente e con fiducia.

Nota: Questo avviso è scritto per i proprietari di siti WordPress, ingegneri della sicurezza e team di hosting gestito. Include configurazioni difensive e campioni di codice azionabili per aiutarti a mitigare rapidamente e in sicurezza il problema.

Sintesi (breve)

  • Che cosa: Traversamento del percorso nel gestore di cancellazione del plugin tramite nomefile parametro. Un Amministratore autenticato può utilizzare sequenze di traversamento del percorso (../) per mirare a directory al di fuori delle cartelle di backup previste e attivare la cancellazione.
  • Chi è colpito: Siti che eseguono il plugin nelle versioni <= 3.1.19.8.
  • Impatto: Cancellazione arbitraria di directory (file del sito, caricamenti, backup, log) — distruttiva se sfruttata. Richiede privilegi di Amministratore per essere sfruttata, quindi gli attacchi sono più probabili dopo il compromesso o l'abuso dell'account admin.
  • Correzione immediata: Aggiorna il plugin alla versione 3.1.20.3 o successiva.
  • Mitigazioni temporanee: Applica regole WAF per bloccare i payload di traversamento del percorso, limita l'accesso al pannello di amministrazione a IP fidati, disabilita il plugin o l'endpoint di cancellazione vulnerabile fino a quando non è corretto, indurire i permessi dei file e garantire backup robusti.

Come funziona la vulnerabilità (panoramica tecnica, spiegazione non sfruttabile)

A un livello alto, la vulnerabilità deriva da una validazione e sanificazione insufficienti di un nomefile parametro fornito dall'utente che il plugin utilizza per costruire percorsi del file system per la cancellazione. Quando il plugin costruisce un percorso come:

/wp-content/plugins/backup/backup-files/

e non riesce a normalizzare o limitare correttamente nomeFile, un avversario può includere sequenze di traversamento del percorso come ../../ nel parametro. Se il plugin poi passa quel percorso costruito alle funzioni di eliminazione del filesystem senza controllare se il percorso risolto è all'interno di una directory base prevista, può rimuovere directory o file arbitrari.

Cause radice chiave comunemente trovate in questa classe di bug:

  • Nessuna verifica di canonicalizzazione/realpath — il plugin si fida del percorso concatenato senza verificare che il percorso finale risolto sia sotto la directory consentita.
  • Mancanza di controlli basename o whitelist — il plugin accetta valori di nome file arbitrari piuttosto che limitarsi a nomi di backup noti.
  • Controlli di capacità/nonce inadeguati o nonce mancanti su endpoint sensibili (anche se qui l'attaccante deve essere un amministratore, quindi la capacità è presente; prevenire CSRF e uso eccessivo dei privilegi è comunque rilevante).
  • Mancata validazione dell'esistenza di file/directory e prevenzione dell'eliminazione di directory (rmdir/unlink) per risorse non sottoposte a backup.

Poiché le chiamate di eliminazione possono essere ricorsive se il codice wrapper utilizza implementazioni ricorsive di rmdir, l'effetto può passare dall'eliminazione di un singolo file alla cancellazione di intere directory.

Scenari di sfruttamento e impatto pratico

Sebbene la vulnerabilità richieda privilegi di amministratore per essere attivata, ecco modi realistici in cui il difetto può diventare una minaccia pratica:

  1. Compromissione delle credenziali dell'amministratore: Phishing, password riutilizzate, password trapelate o ingegneria sociale possono fornire a un attaccante un account amministratore. Una volta che hanno accesso all'interfaccia utente a livello di amministratore, possono creare una richiesta all'endpoint vulnerabile per eliminare le directory del sito.
  2. Minaccia di amministratore malintenzionato o insider: Un amministratore o un appaltatore disonesto con accesso legittimo può abusare della funzionalità.
  3. Attacchi concatenati: Un attaccante che controlla già un plugin a basso privilegio o un tema compromesso potrebbe aumentare o pivotare per ottenere l'amministratore quando combinato con altre debolezze. In un tale exploit a più fasi, la capacità di eliminazione amplifica il danno.

L'impatto potenziale include:

  • Eliminazione delle directory di backup e dei backup memorizzati (nega il recupero).
  • Eliminazione di upload (immagini, media) e file wp-content (temi/plugin).
  • Rimozione di registri e artefatti forensi.
  • Cancellazione di directory di configurazione o personalizzate al di fuori della webroot se il percorso di traversata consente di lasciare la directory di base prevista.
  • Interruzione del servizio e perdita di dati che portano a tempi di inattività e costi di recupero.

Anche con un CVSS “Basso”, il costo operativo e l'impatto reputazionale degli eventi di cancellazione di massa possono essere elevati, specialmente per i siti senza backup recenti o ambienti di staging.

Lista di controllo per azioni immediate (cosa fare subito)

Se il tuo sito utilizza il plugin JetBackup / Backup Guard e ospiti o mantieni siti WordPress, segui immediatamente questa lista di controllo prioritaria:

  1. Aggiorna il plugin alla versione 3.1.20.3 o successiva.
    – Questa è la soluzione definitiva. Fai prima questo in staging, poi in produzione. Testa i flussi di backup/ripristino dopo l'aggiornamento.
  2. Se non è possibile aggiornare immediatamente:
    – Disabilita il plugin o disabilita la funzionalità di cancellazione del backup fino a quando non può essere applicata una patch.
    – Limita l'accesso a /wp-admin/ e gli endpoint del plugin a indirizzi IP fidati dove possibile.
    – Applica regole WAF temporanee (esempi e modelli più in basso) per bloccare le richieste contenenti modelli di traversata del percorso nel nomefile o parametri simili.
  3. Ruota le credenziali di amministratore e abilita 2FA per tutti gli account amministratori.
  4. Verifica i backup del sito (off-site) e assicurati di avere un piano di recupero testato prima di apportare modifiche.
  5. Monitora i registri per richieste di cancellazione sospette e rimozione improvvisa di file.
  6. Comunica con le parti interessate (proprietario del sito, host, operazioni) e prepara un piano di risposta agli incidenti se vengono rilevate cancellazioni inaspettate.

Rilevamento: come rilevare tentativi o sfruttamenti riusciti

Cerca i seguenti segni nei registri di accesso, nei registri di audit e nell'attività del file system:

  • Richieste HTTP che mirano agli endpoint del plugin che gestiscono il backup o la cancellazione di file con parametri di query come nomeFile, nomefile, file, nome o corpi POST contenenti nomi. Esempio di modelli di query sospetti:
    • filename=../../
    • filename=....
    • fileName=wp-contentuploads
  • Richieste con sequenze di traversamento del percorso in qualsiasi parametro:
    • ../
    • ..\\
    • equivalenti codificati in URL %2e%2e%2f O %2e%2e%5c
  • File o directory mancanti improvvisamente in wp-content, uploads o nella directory di backup del plugin.
  • Eventi di eliminazione di file imprevisti osservati negli strumenti di monitoraggio del file system, o picchi nelle operazioni di “elimina”.
  • Accessi admin da IP / geolocalizzazioni insolite seguiti da richieste a endpoint di backup.

Esempi di regole di rilevamento (di alto livello):

  • Corrispondere a richieste in cui un parametro è denominato in modo case-insensitive come nomefile, nomeFile, file contiene \.\./ O %2e%2e%2f.
  • Corrispondere ai corpi POST che tentano di eliminare o gestire backup che includono sequenze di traversamento.
  • Allerta su rimuovi_dir O 6. unlink errori nei log del server corrispondenti a percorsi imprevisti al di fuori della directory base consentita.

Comando shell utile per trovare elementi modificati/eliminati di recente (esegui come admin, con attenzione):

# Trova file nella webroot modificati negli ultimi 7 giorni (regola come necessario)

Se hai il monitoraggio dell'integrità dei file (Tripwire, OSSEC, ecc.), usalo per trovare rapidamente le eliminazioni.

Patch virtuali e regole WAF (firme pratiche che puoi applicare ora)

Un Web Application Firewall (WAF) può essere configurato per bloccare le richieste che tentano di sfruttare il traversamento del percorso. Di seguito sono riportati modelli di regole difensive sicure e esempi pratici. Applicali per bloccare input dannosi piuttosto che regole di tipo consentito che potrebbero interrompere i flussi di lavoro degli admin. Questi sono schemi difensivi — testali in modalità monitoraggio prima di bloccare.

Importante: adatta i nomi dei parametri agli endpoint del plugin e ai tuoi schemi di log. Il parametro vulnerabile è tipicamente denominato nomeFile (possono esistere variazioni case-insensitive).

Esempio di regola in stile ModSecurity (concettuale):

# Block requests where any argument named filename (case-insensitive) contains ../ or encoded variants
SecRule ARGS_NAMES|ARGS "@rx (?i:filename)" "phase:2,deny,log,msg:'Block possible Backup plugin path traversal attempt', \
 chain"
SecRule ARGS "@rx (\.\./|\.\.\\||)" "t:none,deny,status:403"

Nginx snippet di posizione (blocca le stringhe di query con ../ nel nome del file):

if ($arg_filename ~* "\.\./|") {
 return 403;
}
# Repeat for $arg_fileName or other param names

Suggerimenti generali per WAF/Ruleset:

  • Blocca qualsiasi richiesta in cui ARGS contiene caratteri di traversata del percorso codificati e dove la richiesta punta al percorso dell'endpoint di eliminazione del plugin (ad es., /wp-admin/admin-ajax.php?action=backup_delete o percorso ajax specifico del plugin).
  • Rileva e blocca payload di byte null o caratteri di traversata codificati in Unicode.
  • Combina il rilevamento dei modelli con limiti di frequenza e restrizioni di accesso al pannello di amministrazione.
  • Registra eventi bloccati con intestazioni complete e corpo della richiesta per revisione forense.

Mantieni le regole conservative per evitare falsi positivi; considera di metterle in modalità di blocco solo dopo aver monitorato per un giorno o due.

Esempio di codice di indurimento sicuro per autori di plugin / team di sviluppo

Se mantieni un'integrazione personalizzata o una patch, assicurati che il lato server utilizzi la canonicalizzazione e imponga rigorosamente le directory di base consentite e le whitelist. Di seguito è riportato un modello sicuro per PHP in un contesto WordPress (sanitizzando il nome del file e verificando il realpath).

Importante: questo è un codice di esempio difensivo per illustrare una gestione sicura; gli autori di plugin dovrebbero adattare, sanitizzare e testare prima del deployment.

<?php

Controlli chiave illustrati:

  • Controllo delle capacità (l'utente_corrente_può)
  • Verifica del nonce
  • Utilizzo di basename() o whitelist rigorosa per prevenire separatori di percorso
  • Utilizzo di realpath per la canonicalizzazione e un controllo del prefisso che assicura che il target sia all'interno della directory consentita

Mitigazioni a livello di host che puoi applicare ora

Se sei un host o gestisci il server, applica i seguenti ulteriori passaggi di indurimento:

  • Limita l'accesso all'area di amministrazione a indirizzi IP fidati tramite regole firewall o elenchi di accesso del server web (dove praticabile).
  • Utilizzo open_basedir limitare i processi PHP a directory consentite.
  • Configurare i permessi dei file in modo che l'utente del server web non possa eliminare file di sistema arbitrari (tenere presente le esigenze di plugin e backup).
  • Utilizzare profili SELinux o AppArmor per isolare i processi di WordPress e limitare l'accesso ai file.
  • Abilitare l'audit a livello di processo (auditd) per catturare le rimozioni di file da parte dei processi PHP per analisi forensi.
  • Utilizzare backup off-site (archiviati al di fuori del server web) per garantire un recupero sicuro anche se i backup a livello di sito vengono rimossi.

Risposta agli incidenti: se sospetti un'esploitazione

Se credi che il tuo sito sia stato sfruttato attraverso questa vulnerabilità (o qualsiasi altra), segui questi passaggi:

  1. Isola immediatamente il sito (mettilo offline o abilita la modalità di manutenzione) per fermare ulteriori danni.
  2. Conserva i log e i dati forensi del server — copia i log di accesso, i log di errore e qualsiasi log dell'applicazione in un archivio separato e immutabile.
  3. Ripristina da un backup noto e valido archiviato off-site (non nei backup gestiti dai plugin se sospetti una cancellazione).
  4. Ruota tutte le credenziali per gli account Administrator e qualsiasi chiave API, token o credenziali di database che potrebbero essere state esposte.
  5. Forza il reset delle password per gli utenti con ruoli privilegiati e abilita l'autenticazione a due fattori (2FA).
  6. Scansiona per ulteriori backdoor, cron job sospetti, nuovi utenti admin o file di plugin/tema modificati.
  7. Reinstalla il core di WordPress e tutti i plugin/temi da fonti ufficiali dopo la pulizia, oppure ripristina un backup completamente convalidato.
  8. Se non hai le competenze, ingaggia un fornitore specializzato in risposta agli incidenti di sicurezza o un fornitore di WordPress gestito di fiducia e condividi artefatti forensi.

Raccomandazioni a lungo termine e migliori pratiche

Per ridurre la possibilità che questa classe di vulnerabilità causi danni significativi in futuro, segui questi principi:

  • Privilegio minimo: riduci il numero di utenti con privilegi di Administrator. Utilizza l'accesso basato sui ruoli e concedi solo ciò che è necessario.
  • MFA ovunque: applica l'autenticazione a più fattori per tutti gli account con capacità amministrativa.
  • Aggiornamenti regolari: stabilisci una cadenza (settimanale/bisettimanale) per aggiornare il core di WordPress, i temi e i plugin; testa prima gli aggiornamenti in staging.
  • Backup rinforzati: mantieni più backup automatizzati off-site (giornalieri/settimanali) e testa periodicamente i ripristini.
  • Verifica dei plugin: mantieni un elenco ristretto e curato di plugin e rimuovi i plugin non utilizzati. Preferisci plugin attivamente mantenuti con una storia di sicurezza.
  • Patch virtuali: mantieni regole WAF che possono essere rapidamente aggiornate per bloccare modelli di attacco noti fino a quando le patch del fornitore non vengono applicate.
  • Ciclo di vita dello sviluppo sicuro (SDLC): gli sviluppatori devono eseguire la convalida dell'input, la canonicalizzazione e i controlli di minimo privilegio su tutte le operazioni sui file.
  • Registrazione e monitoraggio: avere SIEM o aggregazione dei log per allertare su attività sospette degli amministratori e eventi di eliminazione.

Esempi pratici di regole WAF (di più)

Di seguito sono riportati diversi esempi di regole difensive per diversi ambienti. Si prega di convalidare queste regole in un ambiente di staging sicuro prima di applicarle in produzione.

  1. Blocco generico sui caratteri di traversamento in nomeFile argomento (concettuale):
    • Condizione: La richiesta contiene un nome di parametro che corrisponde a (?i:file(Nome)?) e il valore corrisponde ai modelli di traversamento.
    • Azione: Blocca e registra.
  2. Limita l'azione AJAX specifica del plugin (se il plugin utilizza admin-ajax):
    • Blocca tutte le chiamate admin-ajax con azione=backup_elimina a meno che la richiesta non provenga da IP autorizzati o non contenga un nonce valido del sito.
  3. Blocca il traversamento codificato:
    • Rileva sia sequenze raw (../) che sequenze codificate in URL (%2e%2e%2f, /) e varianti Unicode.
  4. Limitazione della velocità:
    • Limitare le azioni distruttive (eliminare endpoint) a un numero ridotto per minuto per account admin o indirizzo IP.

Perché aggiornare anche se il CVSS sembra “basso”?

Il CVSS è un fattore, ma il rischio nel mondo reale dipende dal contesto. Questa vulnerabilità richiede privilegi di amministratore — ciò riduce il rischio di sfruttamento anonimo remoto — ma in pratica, molti siti mancano di una rigorosa igiene degli account admin. Gli account admin sono spesso compromessi tramite riutilizzo delle credenziali, password deboli o phishing. Una volta che un attaccante ha accesso admin, la possibilità di eliminare directory da remoto può essere catastrofica.

Considera anche:

  • Gli attaccanti possono concatenare vulnerabilità. Un piccolo punto d'appoggio iniziale + questa capacità di eliminazione = danni significativi.
  • Eliminare i file di backup rimuove il tuo percorso di recupero.
  • I costi reputazionali e di recupero possono superare l'etichetta di gravità originale “Bassa”.

Quindi, tratta questo come un rischio pratico ad alta priorità se ospiti siti di produzione o molti clienti.

Esempi di query di monitoraggio e avvisi

  • Avvisa quando un utente admin esegue una chiamata di eliminazione mirata agli endpoint dei plugin con ../ nei parametri.
  • Avvisa quando un gran numero di file viene rimosso da wp-content/caricamenti o dalle cartelle di backup dei plugin.
  • Digest giornaliero: elenco delle eliminazioni di file avviate dai processi PHP-FPM nella webroot.

Esempio di loggrep semplice per trovare richieste sospette (Apache/Nginx):

# Look for traversal patterns in access logs
grep -E "(filename|fileName|file)=.*(\.\./|)" /var/log/nginx/access.log | tail -n 200

Dopo la patch: verifica e convalida

Dopo aver aggiornato il plugin alla versione 3.1.20.3 (o successiva), convalida:

  • La funzionalità di eliminazione del plugin funziona ancora come previsto per i file di backup legittimi, ma non può attraversare la directory designata.
  • Non si verificano errori imprevisti nei flussi di backup/ripristino.
  • Esegui un test controllato: tenta di richiedere l'eliminazione con un payload di traversata (in un ambiente di staging) e verifica che venga rifiutato e/o registrato.
  • Riattivare eventuali regole WAF temporanee solo dopo aver confermato che il plugin è stato corretto; mantenere le regole di rilevamento per segnalare attività insolite.

Tempistiche e divulgazione responsabile (breve)

Questa vulnerabilità è stata identificata e segnalata al fornitore prima della divulgazione pubblica. Il fornitore ha emesso una patch nella versione 3.1.20.3. È stato assegnato il CVE-2026-4853 per monitorare il problema. Raccomandiamo sempre di aggiornare alla versione corretta come principale rimedio.

Esempio pratico: cosa dovrebbe fare un amministratore di hosting in 15–60 minuti

Se sei un amministratore di hosting o un proprietario di sito che si sveglia a questa avviso, ecco un breve “playbook dei primi 60 minuti”:

0–10 min:

  • Identificare i siti interessati (plugin installato e versione <= 3.1.19.8).
  • Informare le parti interessate (proprietari dei siti, operazioni).

10–30 min:

  • Se l'aggiornamento immediato è fattibile, aggiornare il plugin su staging e poi in produzione.
  • Se non puoi aggiornare, disabilita il plugin e/o limita l'accesso agli endpoint di amministrazione tramite una lista di autorizzazione IP.

30–60 min:

  • Applicare regole WAF temporanee per bloccare i modelli di traversata del percorso contro gli endpoint del plugin.
  • Ruota le credenziali di amministratore e abilita 2FA.
  • Verificare che i backup off-site siano integri e fare un ulteriore backup manuale se possibile.

Note finali — bilanciare urgenza e sicurezza

Aggiorna a 3.1.20.3 o versioni successive non appena puoi. Se non riesci ad aggiornare immediatamente, utilizza le mitigazioni stratificate descritte sopra: patch virtuali WAF, restrizioni IP, disabilitazione del plugin o interruzione delle capacità di eliminazione fino all'applicazione della patch. Assicurati sempre di aver testato i backup off-site prima di apportare modifiche di rimedio ampie.

Comprendiamo che gli aggiornamenti a volte possono rompere la compatibilità. Ecco perché gli host e i team delle agenzie hanno bisogno di flussi di lavoro prevedibili e testati per gli aggiornamenti dei plugin, patch virtuali di emergenza e pratiche di recupero. Se gestisci molti siti WordPress, l'automazione e la gestione centralizzata per aggiornamenti, regole WAF e backup ridurranno drasticamente i tempi di reazione.

Inizia a proteggere il tuo sito con il piano gratuito WP­Firewall

Se desideri un modo rapido e pratico per aggiungere uno strato protettivo mentre gestisci gli aggiornamenti dei plugin, considera di iniziare con il nostro piano gratuito WP­Firewall. Fornisce protezioni essenziali che aiutano a bloccare i tentativi di sfruttamento e monitorare comportamenti sospetti mentre applichi la patch:

  • Base (gratuito) — Protezione essenziale: firewall gestito, larghezza di banda illimitata, un WAF, scanner malware e mitigazione dei rischi OWASP Top 10.
  • Standard — Tutte le funzionalità di base più rimozione automatica del malware e la possibilità di mettere in blacklist/whitelist fino a 20 IP.
  • Professionista — Tutte le funzionalità standard più report di sicurezza mensili, patch virtuali automatiche per vulnerabilità e accesso a componenti aggiuntivi premium: Manager Account Dedicato, Ottimizzazione Sicurezza, Token Supporto WP, Servizio WP Gestito e Servizio Sicurezza Gestito.

Vedi i dettagli del piano e iscriviti qui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Chiusura: cosa raccomandiamo, in ordine

  1. Aggiorna JetBackup / Backup Guard alla versione 3.1.20.3 o successiva immediatamente.
  2. Se non puoi aggiornare immediatamente, applica le regole WAF per bloccare il percorso di traversata in nomefile/nomeFile parametri e limitare l'accesso admin.
  3. Ruota le credenziali admin, abilita 2FA e rivedi l'elenco degli utenti admin per account sconosciuti.
  4. Verifica i backup off-site e testa i ripristini.
  5. Indurire le impostazioni del server (open_basedir, SELinux/AppArmor, permessi rigorosi) e considera le capacità di patch virtuali per una rapida mitigazione futura.
  6. Mantieni la registrazione, il monitoraggio e un elenco di controllo per la risposta agli incidenti in modo da poter agire rapidamente se si verifica qualcosa di sospetto.

Se hai bisogno di aiuto per implementare le regole WAF, scansionare indicatori di compromissione o applicare patch virtuali sicure su più siti, il team di WP­Firewall può aiutarti. Forniamo protezioni gestite che integrano firme WAF, patch virtuali e monitoraggio continuo in modo che tu possa concentrarti sulla gestione del tuo sito, non sulla ricerca di patch di emergenza.

Rimani al sicuro e ti preghiamo di contattarci se desideri assistenza per auditare i siti interessati o implementare regole protettive.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™