Rischio di Cross Site Scripting in Alt Manager//Pubblicato il 2026-03-22//CVE-2026-3350

TEAM DI SICUREZZA WP-FIREWALL

Stored XSS in Image Alt Text Manager Vulnerability

Nome del plugin Alt Manager
Tipo di vulnerabilità Cross Site Scripting
Numero CVE CVE-2026-3350
Urgenza Basso
Data di pubblicazione CVE 2026-03-22
URL di origine CVE-2026-3350

XSS memorizzato nel Gestore del Testo Alternativo delle Immagini (Alt Manager) — Cosa Significa per il Tuo Sito e Come Proteggerlo

Una recente divulgazione ha identificato una vulnerabilità di cross-site scripting (XSS) memorizzata che colpisce le versioni <= 1.8.2 del plugin WordPress Image Alt Text Manager (Alt Manager) (CVE-2026-3350). Il problema è stato corretto nella versione 1.8.3. Poiché il plugin interagisce automaticamente con i dati dei post durante l'aggiornamento o la generazione del testo alternativo, un attaccante che può creare o modificare post con privilegi di livello Autore può inserire contenuti che verranno successivamente visualizzati senza una corretta escape — abilitando uno scenario di XSS memorizzato.

Se utilizzi questo plugin, leggi attentamente questo post. Spiegherò il rischio tecnico, gli scenari di attacco nel mondo reale, gli indicatori di rilevamento, i passaggi immediati di rimedio e le misure di sicurezza a lungo termine che dovresti adottare. Spiegherò anche come un firewall per applicazioni web e la patching virtuale gestita possono mantenere il tuo sito protetto mentre applichi le correzioni.

Questo articolo è scritto da una prospettiva pratica di sicurezza WordPress — niente fronzoli di marketing, solo passaggi chiari e spiegazioni su cui puoi agire oggi.

Riepilogo esecutivo (TL;DR)

  • Esiste una vulnerabilità di XSS memorizzato nel Gestore del Testo Alternativo delle Immagini (Alt Manager) nelle versioni <= 1.8.2.
  • Versione corretta: 1.8.3. Aggiorna immediatamente dove possibile.
  • Privilegio richiesto: Autore (autenticato). Ciò riduce il rischio non autenticato ma lascia comunque molti siti esposti poiché gli account Autore sono comuni sui siti multi-autore.
  • Impatto: L'XSS memorizzato può portare a furto di sessione, takeover dell'account (se un admin/editor visualizza il contenuto compromesso), iniezione di contenuti dannosi e ulteriori pivot per il takeover del sito.
  • Mitigazioni immediate: Aggiorna a 1.8.3+, disabilita/disattiva il plugin fino all'aggiornamento, rimuovi Autori non fidati, monitora i log, abilita le regole WAF per bloccare i tentativi.
  • A lungo termine: applica il principio del minimo privilegio, 2FA per utenti privilegiati, monitoraggio, aggiornamenti automatici e utilizza la patching virtuale dove disponibile.

Cos'è l'XSS memorizzato e perché questo è diverso?

Il cross-site scripting (XSS) si verifica quando i dati controllati dall'utente vengono inseriti in una pagina senza una corretta codifica o escape dell'output, consentendo a un attaccante di eseguire JavaScript nel contesto del browser di una vittima. L'XSS “memorizzato” significa che il payload dannoso è salvato sul server (nel database o nel filesystem) e servito ad altri utenti in seguito.

In questo caso, il plugin utilizza i metadati del post (titoli dei post o testo correlato) come parte del suo pipeline di elaborazione del testo alternativo delle immagini. Se il plugin memorizza o restituisce un titolo di post (o derivati di esso) in un contesto HTML senza una corretta escape, un Autore malevolo potrebbe incorporare uno script nel titolo. Quando un utente con privilegi più elevati (ad es., un Editor o un Amministratore) visita una pagina nell'admin o nel frontend dove quel titolo (o testo alternativo derivato da esso) viene visualizzato senza escape, quello script viene eseguito nel loro browser — potenzialmente dando all'attaccante la possibilità di:

  • Rubare cookie o token di autenticazione.
  • Eseguire azioni per conto dell'utente vittima (stile CSRF).
  • Iniettare ulteriori contenuti dannosi, installare utenti admin o modificare plugin/temi.
  • Creare un meccanismo di persistenza (backdoor) per il controllo a lungo termine.

Il rischio principale qui è l'escalation dei privilegi tramite l'esecuzione lato browser — gli autori sono spesso autorizzati a pubblicare contenuti su siti multi-autore, quindi esistono percorsi di sfruttamento.

Chi è interessato?

  • Siti che eseguono la versione del plugin Image Alt Text Manager (Alt Manager) <= 1.8.2.
  • Siti in cui sono presenti account a livello di Autore (comune nei blog multi-autore, flussi editoriali).
  • Siti in cui gli Editor o gli Amministratori visualizzano o modificano post che potrebbero contenere titoli di post dannosi o dove il plugin genera testo alternativo nel contesto admin o front-end.

Nota: Poiché la vulnerabilità richiede un utente con privilegi di creazione o modifica dei post per iniettare il payload, attacchi puramente pubblici e non autenticati sono meno probabili. Tuttavia, molti siti WordPress concedono ruoli di Autore o Collaboratore in modo ampio (blogger ospiti, liberi professionisti, tirocinanti), quindi esiste un reale rischio.

Spiegazione tecnica (alto livello, sicura)

La vulnerabilità deriva dall'input non attendibile (titoli dei post) utilizzato in un contesto di output che si aspetta testo sicuro (attributi alt delle immagini, elenchi admin o meta box) senza una corretta escape/encoding. In un'implementazione sicura, qualsiasi dato proveniente dagli utenti dovrebbe essere convalidato e sfuggito per il contesto target:

  • Per il contenuto del corpo HTML, utilizzare una corretta codifica (esc_html()).
  • Per gli attributi HTML, utilizzare una codifica sicura per gli attributi (esc_attr()).
  • Per i contesti JavaScript, utilizzare la codifica JSON o escape sicuri per JS.
  • Per gli URL, usa esc_url().

Se un plugin raccoglie il titolo del post e lo memorizza o lo genera direttamente in un attributo come alt="" o in innerHTML di un'interfaccia utente admin, HTML dannoso o tag script possono essere eseguiti nel browser. Lo XSS memorizzato è particolarmente pericoloso perché il payload persiste ed esegue quando un utente privilegiato visualizza successivamente i dati memorizzati.

Sto intenzionalmente omettendo codice di sfruttamento a basso livello — non ne hai bisogno per proteggere il tuo sito, e condividerlo pubblicamente rischierebbe di abilitare gli attaccanti.

Scenario di attacco nel mondo reale

  1. L'attaccante ottiene un account Autore (phishing, credenziali deboli, registrazione, ingegneria sociale).
  2. L'attaccante crea o modifica un titolo di post per includere un payload JavaScript (ad es., script incorporato o attributi di eventi).
  3. Il plugin memorizza quel titolo o lo utilizza per generare testo alternativo per le immagini senza escape.
  4. Un Editor/Admin visualizza l'elenco dei post, l'editor dei post, il pannello media, o qualsiasi pagina in cui il plugin genera testo alternativo o contenuto del titolo nell'area admin o front-end in un contesto non sfuggito.
  5. Il JavaScript dell'attaccante viene eseguito nel browser di quell'utente admin. Poiché lo script viene eseguito con i privilegi dell'admin nel browser, può:
    • Rubare cookie o token di autenticazione e inviarli a endpoint controllati dall'attaccante.
    • Attivare azioni amministrative tramite endpoint AJAX.
    • Carica un backdoor o modifica il contenuto.
  6. L'attaccante utilizza le credenziali/sessione rubate per compromettere completamente il sito.

Poiché la vulnerabilità è memorizzata, la finestra di sfruttamento può essere lunga: il payload rimane attivo fino a quando non viene rimosso.

Indicatori di compromissione (cosa cercare)

  • Titoli di post inaspettati o sconosciuti che includono tag HTML, frammenti di script o attributi di eventi come unerrore=.
  • Attività insolite dell'amministratore, specialmente da account che sono Autori o ruoli con privilegi inferiori.
  • Avvisi da scanner di malware che mostrano script sospetti in post, pagine o postmeta.
  • Nuovi utenti amministratori creati all'improvviso o cambiamenti inaspettati nei ruoli degli utenti.
  • File di plugin o tema modificati, file PHP inspiegabili in wp-content/caricamenti, o attività pianificate sconosciute (cron jobs).
  • Connessioni in uscita verso endpoint sconosciuti provenienti dai log del server.
  • Log WAF che bloccano richieste simili a XSS o mostrano POST ripetuti con contenuto di script.

Se vedi uno di questi, assumi che l'account o il sito potrebbero essere compromessi e rispondi immediatamente (vedi la sezione sulla risposta agli incidenti qui sotto).

Passi immediati per proteggere il tuo sito (applica ora)

  1. Aggiorna il plugin
    • Se utilizzi Image Alt Text Manager (Alt Manager), aggiorna immediatamente alla versione 1.8.3 o successiva.
    • Usa la Dashboard di WordPress o WP-CLI: wp plugin update alt-manager --version=1.8.3
    • Se gli aggiornamenti automatici sono abilitati, verifica che l'aggiornamento sia stato applicato correttamente.
  2. Se non puoi aggiornare immediatamente
    • Disattiva temporaneamente il plugin fino a quando non puoi applicare la patch.
    • In alternativa, limita l'accesso alle funzionalità del plugin (se il plugin offre controlli delle capacità) o disabilita i ganci del plugin che elaborano i titoli (richiede aiuto da uno sviluppatore).
  3. Rivedi gli account Autore e Collaboratore
    • Auditare gli account utente con privilegi di pubblicazione/modifica. Rimuovere o degradare eventuali account non affidabili.
    • Richiedere password forti e reimpostare immediatamente le password per gli account con privilegi elevati se si sospetta una compromissione.
  4. Abilitare/rinforzare le protezioni
    • Applicare 2FA per gli utenti Editor/Admin.
    • Assicurarsi che la modifica dei file sia disabilitata in il file wp-config.php: define('DISALLOW_FILE_EDIT', true);
    • Assicurarsi che le impostazioni dei cookie sicuri (HTTPOnly, Secure, SameSite) siano in atto tramite hosting o un plugin di sicurezza.
  5. Applicare regole WAF / patching virtuale (se disponibile)
    • Distribuire regole WAF generiche per bloccare le richieste contenenti tag script o su* attributi nei dati POST che mirano ai punti finali di creazione/modifica dei post.
    • Blocca i payload che contengono "<script", "javascript:", "onerror=", "onload=", o equivalenti codificati sospetti.
    • Se si utilizza un firewall gestito che offre patching virtuale, abilitarlo per bloccare schemi di sfruttamento noti mentre si aggiorna il plugin.
  6. Scansiona il tuo sito
    • Eseguire una scansione malware su file e database (post, postmeta).
    • Controllare la presenza di nuovi file PHP in uploads o plugin, cron job sconosciuti e utenti admin sospetti.
  7. Backup e snapshot
    • Eseguire un backup completo (file + database) prima di iniziare il lavoro di ripristino.
    • Conservare i backup offline e immutabili, se possibile.

Se sei stato compromesso — lista di controllo per la risposta agli incidenti

  1. Isolare
    • Mettere temporaneamente il sito offline o posizionarlo in modalità manutenzione per prevenire ulteriori danni.
    • Se possibile, bloccare gli IP sospetti o disabilitare il traffico in entrata durante l'indagine.
  2. Preservare le prove
    • Esportare i log (server web, PHP, firewall/WAF), dump del database e qualsiasi artefatto correlato per analisi forense.
  3. Rotazione di credenziali e segreti
    • Reimposta tutte le password di amministratori ed editor.
    • Ruotare le chiavi API, i token OAuth, le chiavi SSH e qualsiasi chiave applicativa utilizzata sul sito.
  4. Rimuovere contenuti dannosi
    • Pulisci gli script iniettati nei post, postmeta o opzioni.
    • Rimuovi file PHP sospetti da uploads o wp-content.
    • Reinstalla i file di core, tema e plugin da fonti affidabili.
  5. Riesamina e convalida
    • Esegui nuovamente scansioni malware e controlli di integrità dei file.
    • Conferma la rimozione delle backdoor controllando i meccanismi di persistenza (cron job, opzioni del database, eventi programmati).
  6. Riattiva i servizi con cautela.
    • Riporta il sito online dietro un WAF con regole rigorose.
    • Monitora i log attentamente per reinfezioni.
  7. Azioni successive all'incidente
    • Esegui un'analisi delle cause radice: come ha ottenuto l'accesso a livello di autore l'attaccante?
    • Implementa misure di indurimento (vedi sotto).
    • Notifica le parti interessate se le politiche di violazione dei dati lo richiedono.

Se non ti senti a tuo agio nell'eseguire questi passaggi, coinvolgi un professionista della sicurezza o un servizio di sicurezza gestito.

Come un WAF e la patching virtuale possono aiutare - misure pratiche.

Un firewall per applicazioni web (WAF) configurato correttamente può darti tempo e bloccare i tentativi di sfruttamento mentre applichi le patch:

  • Patching virtuale: Le regole WAF possono essere create per rilevare e bloccare payload dannosi specifici per questa vulnerabilità senza modificare il codice del plugin. Esempi di modelli di regole includono:
    • Richieste POST a wp-admin/post.php o agli endpoint REST API dove vengono inviati i titoli dei post che contengono "<script" o gestori di eventi (onerror, onload).
    • Sequenze di script codificate in HTML (script) e payload offuscati che sono comunemente usati per bypassare filtri ingenui.
    • Richieste con combinazioni sospette come <img src= onerror= o data:, payload base64 nei campi titolo.
  • Limitazione della velocità e blocco IP: limitare o bloccare i trasgressori ripetuti e gli IP noti come dannosi.
  • Filtraggio dell'input: bloccare i post che contengono HTML/script nei campi del titolo e forzare la sanitizzazione lato server.
  • Monitoraggio e firme: avvisi quando i tentativi corrispondono a firme di sfruttamento note.

Importante: Le regole WAF devono essere bilanciate per evitare falsi positivi che interrompono contenuti editoriali legittimi. I fornitori di WAF gestiti di solito ottimizzano le firme per i flussi di lavoro di WordPress.

Suggerimenti per la rilevazione (cosa monitorare nei log)

  • Log di accesso del server web
    • Cerca POST a /wp-admin/post.php o endpoint REST con lunghezze di payload sospette o caratteri insoliti.
  • Registri delle applicazioni
    • WordPress debug.log se abilitato può rivelare errori o attività anomale.
  • Log WAF / firewall
    • Blocchi ripetuti su richieste con tag script o su* attributi.
  • Database
    • query SELECT per titoli di post contenenti “<" o stringhe "script": SELEZIONA ID, post_title DA wp_posts DOVE post_title SIMILE ‘%<script%’ O post_title SIMILE ‘%onerror=%’;
  • Uscite dello scanner malware
    • Avvisi per script nei post o per file PHP negli upload.

Utilizzare avvisi automatici per informare i proprietari del sito se appare una di queste anomalie.

Indurimento e prevenzione (migliori pratiche)

Proteggere il tuo sito WordPress dalle vulnerabilità dei plugin è un processo continuo. Adottare le seguenti pratiche per ridurre il rischio:

  • Principio del privilegio minimo
    • Concedere il ruolo di Autore solo dove strettamente necessario. Preferire il ruolo di Collaboratore per scrittori non fidati (devono avere il loro contenuto approvato).
    • Rivedere i ruoli utente trimestralmente.
  • Autenticazione a due fattori (2FA)
    • Richiedere 2FA per tutti gli utenti con privilegi di pubblicazione/modifica.
  • Aggiornamenti automatici e gestione delle patch
    • Mantieni aggiornati core, temi e plugin. Usa un ambiente di staging per testare gli aggiornamenti prima della produzione, se possibile.
  • Gestione del ciclo di vita dei plugin
    • Rimuovi plugin e temi non utilizzati. I plugin inattivi sono una superficie di attacco anch'essa.
  • Backup
    • Mantieni backup regolari e testati archiviati offsite. Tieni backup incrementali e almeno un backup a lungo termine.
  • Indurire le intestazioni HTTP
    • Applica la Content Security Policy (CSP) per ridurre l'impatto XSS.
    • Imposta X-Content-Type-Options: nosniff, X-Frame-Options: DENY, Referrer-Policy, Strict-Transport-Security (HSTS).
  • Configurazione sicura
    • Disabilita la modifica dei file all'interno di WordPress (DISALLOW_FILE_EDIT).
    • Usa sali sicuri e aggiorna il file wp-config.php le impostazioni per la sicurezza.
  • Scansioni regolari
    • Usa la scansione malware per file e contenuti del database. Monitora le modifiche con il monitoraggio dell'integrità dei file.
  • Controlli di accesso e registrazione
    • Limitare l'accesso degli amministratori per IP dove possibile.
    • Abilita la registrazione delle azioni degli utenti e delle modifiche ai contenuti.
  • Gestisci la patching virtuale dove necessario
    • Quando una patch non può essere applicata immediatamente, la patching virtuale tramite WAF può ridurre significativamente il rischio.

Perché l'aggiornamento da solo non è sempre sufficiente

L'aggiornamento è l'azione più efficace, ma potrebbe non essere sufficiente se un attaccante ha già sfruttato la vulnerabilità e ha stabilito una persistenza. Ecco perché dovresti:

  • Combinare l'aggiornamento con una scansione completa del sito e un controllo forense.
  • Reimpostare le password e ruotare le chiavi.
  • Rimuovi contenuti e file sospetti creati dopo la data di divulgazione della vulnerabilità.
  • Esamina i log per trovare il punto iniziale di compromissione.

Come WP-Firewall protegge i siti WordPress (benefici pratici)

Presso WP-Firewall costruiamo soluzioni con due obiettivi principali in mente: fermare i tentativi di sfruttamento prima che accadano e fornire strati di rimedio quando si presenta un problema.

Protezioni chiave che riducono il rischio da vulnerabilità come questa:

  • Firewall gestito + WAF
    • Blocca tentativi di sfruttamento comuni e mirati (inclusi modelli di XSS memorizzati) al confine.
    • Previene che payload dannosi raggiungano gli endpoint di WordPress.
  • Scanner malware e monitoraggio dei contenuti
    • Rileva inclusioni di script sospette in post, postmeta e file.
    • Avvisa su cambiamenti improvvisi dei contenuti e file PHP non autorizzati negli upload.
  • Mitigazione OWASP Top 10
    • Regole e politiche che affrontano specificamente iniezione, XSS, autenticazione compromessa e altre classi comuni di sfruttamento.
  • Patching virtuale (piano Pro)
    • Quando viene divulgata una vulnerabilità urgente, le regole di patching virtuale possono essere applicate immediatamente per fermare i tentativi di sfruttamento mentre si patcha il plugin.
  • Opzioni di auto-remediazione (Standard / Pro)
    • La pulizia automatizzata e la remediazione dei file aiutano a ridurre il tempo di permanenza per il malware.
  • Registri + reportistica (Pro)
    • Report mensili dettagliati e registri delle attività aiutano a individuare attacchi e prendere decisioni informate.

Se hai bisogno di mantenere il tuo sito online e sicuro mentre aggiorni dozzine o centinaia di siti, una combinazione di WAF + patching virtuale è l'azione più rapida per ridurre il rischio che puoi intraprendere.

Esempi pratici di regole WAF (concettuali, non sfruttative)

Di seguito sono riportati esempi concettuali dei tipi di filtri WAF che possono mitigare i tentativi di XSS memorizzati. Questi NON sono payload di sfruttamento; sono euristiche di rilevamento generiche destinate a essere sicure e pratiche:

  • Blocca i tag HTML all'interno dei campi titolo
    • Se il parametro POST post_title contiene il carattere <, segnala e blocca.
  • Blocca i gestori di eventi nei campi di input
    • Se un campo contiene modelli come unerrore= O carico=, blocca la richiesta.
  • Blocca i tag script codificati
    • Se l'input contiene script o codifiche simili, blocca.
  • Limita la creazione di post sospetti da singoli IP
    • Limita gli account di livello Autore che creano molti post contenenti HTML.

Nota: Una regolazione attenta è essenziale per evitare falsi positivi per contenuti legittimi. Usa un ambiente di staging per affinare le regole.

Lista di controllo: Cosa dovresti fare subito

  • Identifica se il Gestore del Testo Alternativo delle Immagini (Alt Manager) è installato e controlla la sua versione.
  • Aggiorna il plugin a 1.8.3 o versione successiva immediatamente.
  • Se non puoi aggiornare, disattiva il plugin fino a quando non puoi.
  • Controlla gli account utente con capacità Autore+/pubblicazione e rimuovi o riassegna gli account non affidabili.
  • Applica 2FA per Editor/Admin e password forti.
  • Esegui una scansione completa del malware su file e contenuti del database.
  • Rivedi i log del server e del WAF per POST sospetti o tentativi di XSS bloccati.
  • Implementa patch virtuali/regole WAF per bloccare tentativi di sfruttamento mentre rimedi.
  • Se rilevi una compromissione, segui la lista di controllo per la risposta agli incidenti sopra.

Nuovo: Proteggi il tuo sito con WP-Firewall — Protezione gratuita per iniziare

Titolo: Prova il nostro Livello di Protezione Gratuito per Sicurezza Immediata

Se desideri un modo semplice per ridurre l'esposizione mentre applichi aggiornamenti e indurimenti, WP-Firewall offre un piano Base Gratuito che fornisce protezioni essenziali per i siti WordPress:

  • Protezione essenziale: firewall gestito, larghezza di banda illimitata, WAF, scanner antimalware e mitigazione dei 10 principali rischi OWASP.

Questo strato gratuito è progettato per bloccare i tentativi di sfruttamento più comuni e rilevare rapidamente contenuti dannosi. Puoi iscriverti e abilitare questa protezione in pochi minuti:

https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se hai bisogno di funzionalità più avanzate — rimozione automatica di malware, gestione degli IP, report di sicurezza mensili o patching virtuale — sono disponibili piani Standard e Pro per fornire un ulteriore strato di automazione e rimedio.

FAQ (Risposte rapide a domande comuni)

Q: Il mio sito utilizza il plugin ma solo gli Autori creano contenuti. Sono al sicuro?
UN: Non necessariamente. Se gli Autori possono pubblicare (o preparare contenuti che gli Editor/Admin visualizzeranno), XSS memorizzato può essere sfruttato quando un utente privilegiato carica successivamente una vista che rende i dati non scappati. Limita i privilegi di pubblicazione e aggiorna il plugin.

Q: Dovrei rimuovere completamente il plugin?
UN: Se non puoi aggiornare immediatamente, disattivare il plugin è un passo temporaneo sicuro. Se il plugin non è più necessario, disinstallarlo riduce la tua superficie di attacco.

Q: Un WAF può proteggermi completamente?
UN: Un WAF è uno strato di mitigazione molto efficace e può bloccare molti tentativi di sfruttamento, ma non è un sostituto per le patch. Usa un WAF come difesa immediata mentre applichi correzioni e esegui la pulizia.

Q: E se sono già stato hackerato?
UN: Segui la checklist di risposta agli incidenti: isola, preserva le prove, ruota le credenziali, rimuovi contenuti dannosi e scansiona a fondo. Se necessario, ingaggia servizi professionali di rimedio.

Parole finali — dai priorità agli aggiornamenti e alle difese stratificate

Questa vulnerabilità XSS memorizzata è un promemoria tempestivo che i plugin di terze parti sono una delle principali fonti di rischio per WordPress. Il percorso più veloce verso la sicurezza è aggiornare a versioni patchate — ma la vera resilienza deriva da difese stratificate:

  • Mantieni il software aggiornato.
  • Applica controlli di accesso rigorosi.
  • Usa un WAF e uno scanner di malware per bloccare e rilevare attacchi.
  • Mantieni backup e un piano di risposta agli incidenti testato.

Se gestisci più siti o hai collaboratori esterni, considera di utilizzare difese gestite e patching virtuale per ridurre l'esposizione mentre mantieni un rigoroso programma di patching.

Se desideri aiuto per valutare l'esposizione sul tuo sito, implementare regole WAF o eseguire una scansione forense, il nostro team di sicurezza può aiutarti. Inizia con lo strato di protezione gratuito per ottenere immediatamente WAF e scansione, poi valuta i piani Standard o Pro per la rimozione automatizzata e il patching virtuale.

Rimani al sicuro — e aggiorna quel plugin.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™