Vulnerabilità XSS critica nel controllo della sorgente dell'immagine//Pubblicato il 2026-04-21//CVE-2026-4852

TEAM DI SICUREZZA WP-FIREWALL

WordPress Image Source Control Lite Vulnerability

Nome del plugin WordPress Image Source Control Lite – Mostra i crediti e le didascalie delle immagini plugin
Tipo di vulnerabilità Script tra siti (XSS)
Numero CVE CVE-2026-4852
Urgenza Basso
Data di pubblicazione CVE 2026-04-21
URL di origine CVE-2026-4852

XSS memorizzato autenticato nell'Image Source Control (≤ 3.9.1): Cosa devono fare ora i proprietari dei siti WordPress

È stata divulgata e corretta una vulnerabilità di Cross‑Site Scripting (XSS) memorizzata che colpisce il plugin “Image Source Control” (versioni ≤ 3.9.1) nella versione 3.9.2. La vulnerabilità consente a un utente autenticato con privilegi di Autore o superiori di iniettare JavaScript che può essere memorizzato ed eseguito successivamente nel browser di un amministratore o di qualsiasi visitatore del sito che visualizza il contenuto interessato.

Come professionisti della sicurezza di WordPress di WP‑Firewall, ti guideremo attraverso:

  • cos'è la vulnerabilità e perché è importante;
  • scenari e rischi reali per diversi ruoli del sito;
  • indicazioni sicure, passo dopo passo, per la rilevazione e la pulizia;
  • strategie pratiche di mitigazione, comprese le indicazioni sulle regole WAF e la patching virtuale;
  • indurimento a lungo termine e modifiche alle politiche per ridurre il rischio futuro.

Questo è scritto per proprietari di siti, amministratori, sviluppatori e team di hosting gestito. Mira a essere attuabile ma sicuro: non pubblicheremo codice di sfruttamento o payload di prova di concetto completi.

Riepilogo: Cosa è successo e azione immediata

  • Vulnerabilità: XSS memorizzato autenticato nel plugin Image Source Control (≤ 3.9.1).
  • Privilegio richiesto per sfruttare: Autore (o superiore).
  • Impatto: XSS memorizzato — l'attaccante può iniettare script nei crediti/didascalie delle immagini che vengono salvati e successivamente visualizzati; eseguiti nel browser di coloro che visualizzano il contenuto, potenzialmente consentendo il furto di sessioni, impersonificazione dell'amministratore, reindirizzamento a pagine dannose o altre azioni dannose.
  • CVSS: Medio (CVSS riportato 6.4).
  • Corretto in: 3.9.2 — aggiorna immediatamente.
  • Azione immediata: Aggiorna a 3.9.2 (o successivo). Se non puoi aggiornare immediatamente, applica le mitigazioni in questa guida (regole WAF, restrizione dei ruoli, scansione e sanificazione dei campi memorizzati, monitoraggio dell'attività).

Perché un XSS memorizzato da un account Autore è pericoloso

L'XSS memorizzato si differenzia dall'XSS riflesso perché i dati vengono persistiti sul server e successivamente forniti ad altri utenti. Il pericolo di un XSS iniettato da un Autore è spesso sottovalutato per diversi motivi:

  • Molti siti WordPress concedono agli Autori la possibilità di caricare media, aggiungere didascalie e attributi alle immagini e modificare contenuti che verranno visualizzati da editor e amministratori.
  • Gli amministratori e gli editori spesso hanno privilegi più elevati e accesso a funzionalità sensibili (opzioni del sito, editor di plugin/temi, gestione utenti). Se un payload memorizzato viene eseguito nel loro browser, un attaccante può sfruttare la loro sessione per un'escursione di privilegi.
  • Un attaccante che controlla anche un account modesto può eseguire ingegneria sociale (creando un titolo/descrizione convincente per far visualizzare o modificare l'elemento interessato a un amministratore), aumentando la probabilità di esposizione di un utente privilegiato.
  • Lo XSS memorizzato può essere utilizzato come un punto di partenza iniziale per un compromesso più persistente (ad esempio, aggiungendo backdoor, modificando contenuti per ospitare malware, creando nuovi account admin se le protezioni CSRF vengono eluse).

Poiché la vulnerabilità consente agli autori di memorizzare contenuti scriptabili nei crediti/caption delle immagini, qualsiasi flusso di lavoro che visualizza quei campi nell'area admin o pubblicamente potrebbe essere sfruttato.

Come si presenta tipicamente la vulnerabilità (causa radice tecnica - dettaglio non esploitativo)

A un livello alto, il problema è un fallimento della sanitizzazione dell'output. Il plugin accetta e persiste determinati metadati per gli allegati (crediti, didascalie, didascalie con HTML), ma quando quei metadati vengono mostrati non vengono adeguatamente eseguiti o filtrati per HTML o script non sicuri prima di essere emessi in un contesto HTML.

Punti chiave:

  • Il plugin fornisce un'interfaccia utente per gli autori per fornire crediti/didascalie delle immagini (campi che vengono salvati nel database).
  • Quando quei valori vengono emessi nelle schermate admin o nei modelli pubblici, il plugin non è riuscito a sanitizzare o codificarli correttamente per il contesto HTML specifico (ad esempio, output all'interno di un attributo o blocco HTML).
  • Di conseguenza, input ben progettati da un account autore contenente HTML/event handler eseguibili possono persistere ed essere eseguiti successivamente nel browser di un utente privilegiato.

Questa è una classe comune di errori: uso improprio delle funzioni di escaping dell'output (o omissione di esse). L'approccio corretto è sempre quello di eseguire l'escaping all'output e applicare un filtraggio appropriato al contesto (esc_html, esc_attr, esc_textarea, wp_kses con un elenco consentito, ecc.) a seconda di dove viene visualizzato il contenuto.

Chi dovrebbe essere più preoccupato?

  • Siti che consentono ad autori o collaboratori di creare o modificare metadati multimediali (crediti/didascalie).
  • Blog multi-autore e siti di abbonamento dove gli utenti (autori/collaboratori) possono caricare immagini.
  • Siti che visualizzano i metadati delle immagini nelle schermate admin (libreria multimediale, schermate di modifica degli allegati) o nei modelli front-end senza un'adeguata sanitizzazione dell'output.
  • Siti che non applicano il principio del minimo privilegio, che hanno accessi condivisi, o dove l'innalzamento a Editor/Admin è controllato in modo leggero.

Se gestisci flussi di lavoro di contenuti in cui utenti non fidati possono caricare media, tratta qualsiasi plugin che gestisce metadati come potenzialmente pericoloso se non sanitizza l'output.

Passi immediati e sicuri da seguire (playbook)

  1. Prima fai il backup
    • Prima di qualsiasi lavoro di rimedio, esegui un backup completo (database + file). Questo fornisce un punto di recupero nel caso in cui qualcosa vada storto durante la pulizia.
  2. Aggiorna il plugin
    • La soluzione più semplice e primaria è aggiornare Image Source Control alla versione 3.9.2 o successiva. Applica l'aggiornamento prima in staging, se possibile, poi in produzione.
    • Se mantieni molti siti e l'aggiornamento è complesso, programma l'aggiornamento del plugin come massima priorità.
  3. Se non puoi aggiornare immediatamente, limita l'esposizione
    • Riduci temporaneamente la capacità degli Autori di aggiungere o modificare i metadati multimediali cambiando le capacità del ruolo o regolando temporaneamente il tuo flusso di lavoro editoriale.
    • Limita le capacità di “upload_files” o del plugin pertinente se ciò è fattibile (testa con attenzione — non vuoi interrompere funzionalità necessarie).
  4. Usa un Web Application Firewall (WAF) o patching virtuale
    • Applica regole per bloccare le richieste che tentano di iniettare tag script o gestori di eventi nei campi del plugin (dettagli di seguito).
    • La patch virtuale può proteggere i siti mentre si attende di applicare la patch ufficiale del plugin.
  5. Scansiona il database e i metadati multimediali per contenuti sospetti
    • Cerca occorrenze di tag script o altri indicatori nei valori postmeta, nelle didascalie degli allegati e nei commenti.
    • Fai attenzione alle chiavi meta che il plugin utilizza per memorizzare crediti/didascalie (cerca nella documentazione del plugin o controlla il codice del plugin per identificare i nomi delle chiavi meta).
  6. Sanitizza e rimuovi voci sospette
    • Per qualsiasi meta o contenuto sospetto, rimuovilo o neutralizzalo (sostituisci con entità HTML, o rimuovi completamente l'entry).
    • Dai priorità alla pulizia delle voci che vengono visualizzate nell'area admin o su pagine ad alta privilegio.
  7. Audit degli account utente e delle attività recenti
    • Identifica gli account Autore creati o modificati di recente e controlla per attività insolite.
    • Reimposta le password per eventuali account che potrebbero essere compromessi e rivedi gli account admin per nuove modifiche non autorizzate.
  8. Monitora i log e gli avvisi
    • Controlla i log di accesso al server, i log WAF e i log di attività di WordPress per rilevare tentativi di sfruttamento.
    • Monitora i tentativi ripetuti di POSTare campi contenenti contenuti simili a script.

Rilevamento sicuro: cosa cercare (query e suggerimenti)

Scansiona il database per contenuti sospetti nelle aree in cui sono memorizzati i metadati delle immagini. Di seguito ci sono query di rilevamento sicuro che puoi eseguire (su una copia di backup del database se non sei sicuro). Queste query cercano indicatori (ad es., la stringa “<script”, “onerror=”, “onload=”) — sono rilevamento, non codice di sfruttamento.

Esempi di query SQL (eseguite in un ambiente sicuro):

  • Cerca in post_content e post_excerpt degli allegati (campi didascalia/descrizione):
SELECT ID, post_title, post_excerpt, post_content;
  • Cerca meta comuni relative agli allegati (le chiavi meta del plugin variano — ispeziona il codice del tuo plugin per le chiavi meta esatte). Una ricerca generica per le occorrenze di script in postmeta:
SELECT post_id, meta_key, meta_value;
  • Cerca tra i post dove potrebbero essere inclusi i metadati delle immagini:
SELECT ID, post_title;

Note:

  • Queste query restituiscono potenziali corrispondenze — è necessaria una revisione manuale per determinare se qualcosa è malevolo o HTML intenzionalmente consentito.
  • Esegui query su un backup o una copia di sola lettura se non sei sicuro.
  • Se il plugin memorizza crediti in opzioni personalizzate o in una tabella personalizzata, ispeziona il codice del plugin o utilizza le funzionalità di ricerca di phpMyAdmin.

Come pulire in modo sicuro le voci sospette

  1. Revisione manuale
    • Per ogni riga restituita, rivedi i contenuti dei campi. Se vedi tag script ovvi o gestori di eventi (onerror, onload, onclick) incorporati in valori che dovrebbero essere puramente testo, trattali come sospetti.
  2. Neutralizza prima, elimina dopo
    • Se possibile, neutralizza le voci sospette sostituendo le parentesi angolari e gli attributi degli eventi con entità HTML o rimuovendo gli attributi. Esempio di riparazione sicura: cambia < A < E > A > nel valore memorizzato in modo che il browser non esegua lo script.
    • Tieni un registro delle modifiche e un backup dei valori originali.
  3. Rimozione completa
    • Per le voci malevole confermate, rimuovi le righe meta o imposta i campi su un valore vuoto.
    • Se più allegati sono interessati e non puoi ispezionare manualmente ciascuno, considera di disabilitare la visualizzazione di quei campi su tutto il sito fino al completamento della pulizia.
  4. Sanitizza in output andando avanti
    • Aggiorna temi / modelli per sfuggire ai valori utilizzando le funzioni appropriate:
      • Usa esc_html() per l'output del corpo HTML.
      • Usa esc_attr() per l'output all'interno degli attributi.
      • Usa wp_kses() con un elenco HTML consentito rigorosamente limitato se consenti intenzionalmente un piccolo insieme di tag HTML.

WAF e patching virtuale: difese immediate mentre aggiorni

Se esegui un WAF o un livello di firewall gestito (WP‑Firewall supporta regole gestite e patching virtuale), puoi aggiungere protezioni a breve termine che mitigano i tentativi di sfruttamento anche prima di patchare il plugin.

Logica di regole consigliata (concettuale — adatta alla sintassi del tuo WAF):

  • Blocca i POST agli endpoint del plugin contenenti tag script o attributi di evento sospetti.
    • Modello da segnalare: <script, onerror=, onload=, javascript:, vbscript:, data:text/html;base64
  • Blocca le richieste in cui i campi del modulo noti per essere utilizzati dal plugin (ad es., nomi dei campi di credito/caption) contengono modelli simili a script.
  • Limita il numero di richieste che includono stringhe simili a script inline agli endpoint di amministrazione (per ridurre i tentativi di forza bruta).
  • Sanitizza o blocca il contenuto che tenta di iniettare HTML in campi che dovrebbero accettare solo testo semplice.

Esempio di regola simile a ModSecurity (concettuale; la sintassi varierà):

SecRule REQUEST_BODY "@rx (<script|onerror=|onload=|javascript:|data:text/html;)"

Importante:

  • Affina le regole per evitare falsi positivi (ad es., utenti legittimi che incollano frammenti HTML). Inizia in modalità di rilevamento/logging, quindi applica il diniego dopo verifica.
  • Applica le regole WAF sia al confine (CDN/WAF) sia a livello di applicazione se possibile.
  • Monitora i log per tentativi bloccati e regola i modelli per ridurre i falsi positivi.

Il patching virtuale gestito di WP‑Firewall può implementare regole simili centralmente in modo che tutti i siti protetti ricevano la correzione mentre gli aggiornamenti del plugin vengono distribuiti.

Consigli per l'indurimento per ridurre il rischio futuro

  1. Principio del privilegio minimo
    • Rivaluta le capacità assegnate ai ruoli di Autore e Collaboratore. Dove possibile, limita la possibilità di creare o modificare i metadati dei media, o introduci passaggi di moderazione.
    • Utilizza plugin di gestione dei ruoli o filtri di capacità personalizzati per limitare azioni sensibili.
  2. Sanitizzare tutti gli input e sfuggire a tutti gli output
    • Assicurati che i plugin e i temi sanifichino i campi prima del salvataggio e li escano in output. Gli sviluppatori dovrebbero utilizzare funzioni appropriate al contesto: esc_html, esc_attr, esc_textarea, wp_kses per HTML consentito.
  3. Flusso di lavoro robusto per la revisione dei contenuti
    • Applica la revisione editoriale per i contenuti generati dagli utenti prima che siano visibili agli amministratori o al pubblico.
    • Utilizza code di moderazione per caricamenti e nuovi contenuti.
  4. Adotta difese a strati.
    • Utilizza WAF + protezioni a livello di host + monitoraggio dell'integrità dei file + scansione malware per aumentare la rilevazione e la resilienza.
  5. Monitoraggio e registrazione della sicurezza
    • Registra le modifiche agli allegati, ai postmeta e ai cambiamenti di ruolo utente. Gli avvisi per modifiche sospette aiutano a rilevare rapidamente gli attacchi.
  6. Aggiornamenti tempestivi e gestione delle patch
    • Mantieni un programma di aggiornamento, utilizza ambienti di staging e conserva un piano di rollback testato. Per le vulnerabilità dei plugin, aggiorna prontamente.
  7. Protezioni CSP e cookie
    • Implementa una Content Security Policy (CSP) che riduce l'impatto di XSS limitando gli script inline e le fonti di script esterne.
    • Assicurati che i cookie (soprattutto i cookie di autenticazione) utilizzino i flag httponly e secure dove applicabile, e imposta gli attributi SameSite.
  8. Scansiona regolarmente
    • Scansiona periodicamente il tuo database per HTML sospetto in campi che dovrebbero essere testo semplice. Automatizza questo come parte dei controlli di sicurezza di routine.

Lista di controllo per la risposta agli incidenti (se confermi un'esploitazione attiva)

  1. Isola e contiene
    • Limita temporaneamente l'accesso: disabilita l'accesso esterno per gli amministratori, metti il sito in modalità manutenzione, o rimuovi temporaneamente il plugin vulnerabile dalla produzione se è necessaria una contenimento.
  2. Preservare le prove
    • Mantieni backup e registri prima di apportare modifiche distruttive. Cattura i registri del server, di accesso e WAF per analisi forensi.
  3. Eradica contenuti dannosi
    • Rimuovi i payload dannosi memorizzati dal database e dai file. Sostituisci i file compromessi con copie integre da fonti affidabili.
  4. Ripristina credenziali e segreti
    • Forza il reset delle password per gli amministratori e gli utenti privilegiati recentemente attivi. Ruota le chiavi dell'applicazione e i token API se si sospetta una compromissione.
  5. Ricostruisci se necessario
    • Se vengono scoperte backdoor o modifiche ai file, considera di ricostruire il sito dai backup effettuati prima della compromissione e riapplica gli aggiornamenti da fonti pulite.
  6. Indurimento post-incidente
    • Applica mitigazioni a lungo termine (aggiorna il plugin, stringi i ruoli, abilita le regole di patching virtuale, migliora il monitoraggio).
  7. Informare le parti interessate
    • Informare i proprietari del sito, i clienti e gli eventuali utenti interessati come appropriato secondo le tue politiche e obblighi legali.

Guida per gli sviluppatori: come correggere correttamente il plugin

Se sei responsabile del codice del plugin o del tema che visualizza i crediti delle immagini o le didascalie, applica queste regole:

  • Escape sempre in output. Se un campo è visualizzato in testo semplice, usa esc_html() o esc_textarea() a seconda del contesto.
  • Se consenti intenzionalmente un insieme limitato di tag HTML, sanitizza l'input con wp_kses_post() o wp_kses() con un elenco di tag e attributi consentiti personalizzati.
  • Valida e sanitizza l'input al salvataggio (lato server) — non fare affidamento solo sui controlli lato client.
  • Usa controlli di capacità per le azioni che persistono contenuti: consenti solo agli utenti con il ruolo/capacità appropriato di salvare HTML.
  • Quando crei un'interfaccia utente per i metadati, considera di memorizzare un flag che indica se il valore contiene HTML consentito o testo semplice, e escape di conseguenza.

Esempio (pseudocodice PHP di WordPress):

// Quando si salva:;

Nota: scegli attentamente i tag consentiti. In molti casi, un credito in testo semplice è sufficiente e molto più sicuro.

Cosa registrare e monitorare (lista di controllo operativa)

  • Eventi di accesso al pannello di amministrazione (tentativi di accesso, accessi riusciti).
  • Creazione/modifica di account utente e cambiamenti di ruolo.
  • Creazione/modifica di allegati e voci di postmeta relative alle immagini.
  • Qualsiasi richiesta POST agli endpoint utilizzati dal plugin.
  • Avvisi WAF relativi a contenuti simili a script.
  • Attività amministrativa insolita (contenuto modificato da account inaspettati, editor di plugin/tema utilizzato).

Una combinazione di un plugin di registrazione e log a livello di server (server web + WAF) offre la migliore visibilità.

Domande frequenti

D: Ho solo Collaboratori e Lettori — sono al sicuro?
R: La vulnerabilità richiede Autore o superiore secondo i rapporti attuali. Se i Collaboratori non possono caricare media o non hanno la capacità pertinente sul tuo sito, il rischio è inferiore. Tuttavia, non assumere sicurezza — verifica le capacità dei ruoli e conferma l'uso dei plugin.

D: Se aggiorno, devo ancora eseguire la scansione?
R: Sì. L'aggiornamento ferma nuove exploit basate sul vettore corretto, ma non rimuove i payload dannosi precedentemente memorizzati. È necessaria la scansione e la pulizia dei valori memorizzati.

D: Dovrei disinstallare il plugin?
R: Se non hai bisogno della funzionalità del plugin, disinstallarlo è una scelta ragionevole. Se il plugin è critico, aggiorna e applica le protezioni aggiuntive in questa guida.

Esempio di rilevamento + cronologia di rimedio per un piccolo sito (flusso di lavoro raccomandato)

Giorno 0 (giorno di divulgazione)

  • Esegui un backup completo.
  • Aggiorna Image Source Control a 3.9.2 su staging, testa, quindi aggiorna la produzione.
  • Se l'aggiornamento non è immediatamente possibile, applica una regola WAF per bloccare invii simili a script agli endpoint del plugin e limitare le capacità dell'Autore.

Giorno 1

  • Esegui scansioni del DB per contenuti sospetti simili a script negli allegati e nel postmeta.
  • Rivedi manualmente eventuali colpi; neutralizza o elimina valori dannosi.
  • Reimposta le password per eventuali account Autore recentemente attivi e per qualsiasi account che mostri attività sospette.

Giorno 2–7

  • Monitora i log WAF e i log del server per tentativi bloccati e anomalie.
  • Implementa intestazioni CSP e assicurati che i cookie abbiano attributi sicuri, httponly e SameSite.
  • Applica modifiche ai ruoli/capacità dove appropriato.

Giorno 7 in poi

  • Continua a eseguire scansioni di routine settimanali per almeno un mese.
  • Implementa una cadenza di aggiornamento formale e considera la gestione centralizzata delle patch virtuali per siti critici.

Cosa raccomanda WP‑Firewall

  • Applica immediatamente la patch alla versione 3.9.2 o successiva. Questa è l'azione più efficace.
  • Scansiona e pulisci i metadati memorizzati che potrebbero contenere contenuti eseguibili.
  • Usa un WAF e patching virtuale per una riduzione immediata del rischio e per proteggere gli utenti che non possono applicare la patch immediatamente.
  • Segui i passaggi di indurimento sopra: minimo privilegio, escaping dell'output, monitoraggio e registrazione, e scansioni regolari.

Sicurezza per il tuo WordPress in pochi minuti: inizia con un piano WP‑Firewall gratuito

Titolo: Sicurezza per il tuo sito subito con un piano WP‑Firewall gratuito

Se desideri uno strato di protezione facile che aiuti a mitigare le vulnerabilità dei plugin come questa mentre applichi la patch e rimedi, iscriviti al piano gratuito di WP‑Firewall. Il piano Basic (Gratuito) include protezioni essenziali: un firewall gestito, larghezza di banda illimitata, un WAF ottimizzato per WordPress, uno scanner malware e mitigazione per i rischi OWASP Top 10. Per piccoli siti e team che desiderano una protezione immediata e a bassa frizione senza costi iniziali ricorrenti, il piano gratuito è un ottimo primo passo. Esplora il piano qui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se hai bisogno di rimozione automatica del malware, blacklist/whitelist IP e funzionalità di gestione aggiuntive, considera i livelli Standard e Pro. Ognuno aggiunge protezioni e capacità di risposta incrementali man mano che le tue esigenze crescono.)

Note di chiusura da WP‑Firewall

Le vulnerabilità XSS memorizzate che possono essere attivate da account relativamente a basso privilegio sono comuni e possono avere un impatto sorprendente. La giusta combinazione di patching rapido, igiene del database, gestione dei ruoli e un approccio WAF stratificato ridurrà materialmente il rischio.

Se desideri assistenza:

  • Usa la checklist in questo post per rimediare immediatamente.
  • Considera di aggiungere patching virtuale o regole WAF gestite se gestisci più siti.
  • Contatta il tuo sviluppatore o fornitore di hosting per pianificare le pulizie e segui la checklist di risposta agli incidenti se rilevi segni di sfruttamento attivo.

Il nostro team di WP‑Firewall è focalizzato su protezioni pratiche e senza fronzoli per WordPress. Tieni il tuo sito aggiornato, pratica il minimo privilegio e usa difese stratificate: quella combinazione previene la maggior parte degli attacchi nel mondo reale.

Riferimenti e ulteriori letture

  • Documentazione per sviluppatori WordPress: funzioni di escaping e sanitizzazione (esc_html, esc_attr, esc_textarea, wp_kses).
  • Linee guida OWASP su XSS e modelli di prevenzione.
  • Note di rilascio del fornitore del plugin: aggiorna alla versione 3.9.2 per il Controllo della Fonte dell'Immagine.

Nota: Questo post omette intenzionalmente i payload di sfruttamento e il codice di prova di concetto per cautela e per evitare di abilitare abusi. Se hai bisogno di una revisione tecnica del codice del tuo sito o di una pulizia pratica, ingaggia un fornitore di sicurezza professionale e lavora a partire dai backup.

Se desideri una checklist stampabile (PDF) dei passaggi di rimedio su misura per i proprietari di siti o un breve playbook di rimedio per i team di sviluppo, WP‑Firewall può fornire guide template e assistenza all'implementazione.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™