L'autorizzazione mancante espone gli allegati protetti dei post//Pubblicato il 15/10/2025//CVE-2025-11701

TEAM DI SICUREZZA WP-FIREWALL

Zip Attachments Vulnerability

Nome del plugin Allegati Zip
Tipo di vulnerabilità Autorizzazione mancante
Numero CVE CVE-2025-11701
Urgenza Basso
Data di pubblicazione CVE 2025-10-15
URL di origine CVE-2025-11701

Plugin Allegati Zip (<= 1.6) — Missing authorization allows unauthenticated disclosure of attachments from private & password‑protected posts (CVE‑2025‑11701): what WordPress site owners need to know

Data: 15 ottobre 2025
Autore: Team di sicurezza WP-Firewall

Riepilogo

Una vulnerabilità recentemente scoperta nel plugin WordPress Zip Attachments (versioni <= 1.6) può consentire ad aggressori non autenticati di scaricare allegati appartenenti a post privati o protetti da password. La vulnerabilità è un controllo di accesso non funzionante/mancanza di un controllo di autorizzazione all'interno della logica di download del plugin. Il CVE segnalato è CVE-2025-11701 e il punteggio base CVSS pubblicato con il report è 5,3 (da basso a medio). Sebbene il punteggio non sia critico, il problema ha un impatto sulla privacy e può esporre allegati sensibili (documenti, immagini, backup) che i proprietari del sito si aspettavano rimanessero privati.

In questo post vengono illustrate le vulnerabilità, gli scenari di attacco, i passaggi di rilevamento, le correzioni del codice consigliate e le regole pratiche per patch virtuali/WAF che puoi applicare immediatamente per proteggere i tuoi siti in attesa di un aggiornamento ufficiale del plugin.

Perché dovrebbe interessarti

I siti WordPress si affidano comunemente a plugin che creano endpoint di download personalizzati, shortcode o gestori AJAX. Quando questi gestori non riescono a verificare se l'utente richiedente ha effettivamente l'autorizzazione a leggere il post sottostante (ad esempio, un post privato o un post protetto da password), gli allegati associati a tali post potrebbero essere divulgati a visitatori non autenticati.

Anche quando una vulnerabilità viene classificata come "bassa/media" da CVSS, l'impatto effettivo può essere significativo a seconda degli allegati archiviati sul sito: contratti, report interni, dati dei clienti, immagini o backup. L'esposizione di allegati sensibili potrebbe portare a violazioni della privacy, problemi di conformità o attacchi mirati.

Il nostro obiettivo qui è:

  • Spiega la vulnerabilità in termini tecnici chiari.
  • Fornire mitigazioni sicure e attuabili che è possibile applicare immediatamente (regole di patching virtuale/WAF).
  • Fornire un percorso di correzione robusto a livello di codice che gli autori dei plugin (o i responsabili del sito che possono ignorare il comportamento dei plugin) possano implementare.
  • Guida dettagliata alle fasi di rilevamento, risposta agli incidenti e riduzione dei rischi per gli amministratori di WordPress.

Panoramica tecnica della vulnerabilità

Cosa è stato riportato: Il plugin espone un endpoint/gestore di download per impacchettare gli allegati in un file ZIP e restituirli al richiedente. Tale gestore non verifica correttamente l'autorizzazione del lettore sul post padre: non riesce a verificare lo stato privato del post o il requisito della password prima di inviare i file. Di conseguenza, le richieste non autenticate possono richiedere allegati allegati a post privati o protetti da password e ricevere il contenuto dei file.

Causa principale (concisa): Controlli di autorizzazione mancanti o incompleti nella routine di download del plugin (ad esempio, non chiamando post_password_richiesto(), non verificando le capacità di pubblicazione privata o non verificando le autorizzazioni dell'utente corrente).

Superficie di attacco: Qualsiasi percorso di download pubblicamente raggiungibile esposto dal plugin. Alcuni esempi comuni sono:

  • Un endpoint della stringa di query front-end (ad esempio, /?zip_attachments=download&post_id=123)
  • Un'azione AJAX (admin-ajax.php?action=zip_attachments_download&post_id=123)
  • Uno slug di riscrittura personalizzato sotto /wp-content/plugins/zip-attachments/ o simili

Poiché questi endpoint sono raggiungibili senza autenticazione, un aggressore può enumerare gli ID dei post o degli allegati e richiedere il download di post che si ritiene siano privati o protetti da password.

CVE: CVE‑2025‑11701 (pubblicato con il rapporto pubblico).

Scenari di attacco realistici

  1. Scoperta ed enumerazione
    • Un aggressore sonda il tuo sito alla ricerca degli endpoint del plugin (ad esempio nomi di file, parametri di query noti o gestori).
    • Enumerano gli ID dei post (tecnica comune: incremento degli ID numerici) o analizzano il contenuto del sito alla ricerca di ID degli allegati.
    • Per ogni post/allegato candidato, l'aggressore richiede un file ZIP o un file utilizzando l'endpoint del plugin.
  2. Esposizione dei dati
    • Se il plugin invia il contenuto del file senza imporre l'autorizzazione, ogni richiesta restituisce il contenuto del file.
    • L'aggressore può archiviare un elenco di file scaricati, cercarvi dati sensibili (documenti, immagini) o utilizzarli per ingegneria sociale ed estorsione.
  3. Concatenamento con altre vulnerabilità o dati pubblici
    • I frammenti di post visibili al pubblico o i contenuti della mappa del sito possono rivelare ID di post interni.
    • Una volta ottenuti gli allegati, gli aggressori possono utilizzare le informazioni per azioni mirate di phishing, doxxing o esposizione a rischi normativi.

Sfrutta la complessità: Da moderato a basso. L'operazione richiede la conoscenza dell'endpoint del plugin e degli ID da richiedere. Per i siti con ID numerici prevedibili, l'enumerazione è semplice. L'attacco non richiede autenticazione, XSS o esecuzione di codice sul server.

Cosa fare ora: mitigazione immediata (applicare entro pochi minuti)

Se il tuo sito utilizza il plugin Zip Attachments e non puoi aggiornarlo immediatamente (o se non è ancora disponibile una correzione ufficiale), applica una o più di queste misure di mitigazione a più livelli. L'obiettivo è bloccare il più rapidamente possibile le richieste di download non autenticate al gestore vulnerabile.

  1. Disattiva temporaneamente il plugin (consigliato se al momento non ti servono le sue funzionalità)
    • Vai su WordPress Admin → Plugin → Plugin installati → disattiva “Allegati Zip”.
    • Questa è la mitigazione più semplice ed efficace.
  2. Limitare l'accesso agli endpoint di download del plugin (patch virtuale / WAF)
    • Blocca o rafforza le richieste che corrispondono ai pattern degli endpoint del plugin. Se disponi di un firewall o di un WAF, aggiungi regole per bloccare le richieste non autenticate agli endpoint del plugin.

    Esempio di regola ModSecurity (adatta al tuo ambiente):
    Nota: testare tutte le regole su un sito di staging prima di passare alla produzione.

    SecRule REQUEST_URI "@rx (zip[-_]attachments|zipattachments|zip_download|za_download)" "id:900001,phase:1,deny,log,msg:'Blocca potenziali download non autenticati di allegati zip',chain" SecRule &REQUEST_HEADERS:Cookie "@eq 0" "t:none"

    Interpretazione: Blocca le richieste in cui l'URI assomiglia agli endpoint di download del plugin e non è presente alcun cookie di autenticazione. Questo nega l'accesso anonimo ma consente l'accesso agli utenti registrati. Regola i controlli delle intestazioni in modo che corrispondano alle intestazioni di autenticazione del tuo sito (WordPress imposta il cookie 'wordpress_logged_in_').

  3. Blocca azioni specifiche di admin-ajax
    • Se il plugin utilizza admin‑ajax.php?action=…, blocca o richiedi l'autenticazione per quel valore specifico.

    Esempio di regola nginx per negare un'azione admin-ajax non autenticata:

    posizione = /wp-admin/admin-ajax.php { if ($arg_action = "zip_attachments_download") { if ($http_cookie !~* "wordpress_logged_in_") { return 403; } } # gestione admin-ajax normale }
  4. Limita l'accesso tramite IP/geo (temporaneo)
    • Se solo un insieme di intervalli IP noti o il/i tuo/i ufficio/i necessitano di questa funzionalità, limita l'accesso tramite IP come misura temporanea.
  5. Richiedere un referente o un nonce (se possibile)
    • Se puoi controllare il front-end che attiva i download, richiedi un nonce e applicalo sia lato client che lato server. Questa è una soluzione provvisoria se riesci a correggere rapidamente il codice.
  6. Monitora i registri e genera avvisi per download anomali
    • Controlla i log del server web, i log WAF e l'attività di WordPress per rilevare chiamate ripetute all'endpoint del plugin da singoli IP o numeri insoliti di download.

Regole pratiche per le patch virtuali (stile WP-Firewall) che consigliamo

Di seguito sono riportati alcuni esempi di modelli di regole. Utilizzateli come modelli per il vostro ambiente: la sintassi varierà tra ModSecurity, WAF commerciali, nginx o WAF cloud.

  1. Blocco generico del percorso del plugin:
    Blocca le richieste HTTP GET/POST in cui REQUEST_URI contiene '/wp-content/plugins/zip-attachments/' e non esiste alcun cookie di accesso WordPress valido.
  2. Blocca l'azione admin-ajax:
    Se REQUEST_URI o QUERY_STRING contiene "action=zip_attachments" o nomi di azioni simili, è richiesta una sessione o un blocco autenticato.
  3. Applicare vincoli di referenza e metodo:
    Consenti solo richieste POST all'endpoint di download (se l'endpoint accetta più metodi) e richiedi un referrer valido che corrisponda all'origine del tuo sito. Questo riduce i tentativi GET anonimi automatizzati.
  4. Regole di allerta:
    Segnala se vengono richiesti più di X download zip entro Y minuti per ID privati/post (rilevamento euristico).

Esempio di pseudo-regola ModSecurity (illustrativa):

SecRule REQUEST_METHOD "GET" "chain,deny,msg:'Blocca allegati zip anonimi GET'" SecRule REQUEST_URI "@contains allegati zip" "chain" SecRule TX:AUTHENTICATED "!@eq 1"

(Dove TX:AUTHENTICATED è un flag interno impostato da regole precedenti che rileva il cookie 'wordpress_logged_in_'. In un motore di regole WAF o WP-Firewall commerciale, è possibile utilizzare il rilevamento dell'autenticazione integrato.)

Importante: Testare sempre attentamente le regole per evitare falsi positivi. Iniziare in modalità rilevamento/registrazione prima di passare a negazione.

Correzione a livello di codice per autori e sviluppatori di plugin

Se gestisci il plugin o puoi modificare un override sicuro nel tuo tema o nel mu-plugin, la soluzione corretta è quella di applicare controlli di autorizzazione nella parte superiore del gestore dei download:

  • Controlla se il post è protetto da password (post_password_richiesto()) — in tal caso, richiedi la password fornita o negala.
  • Controlla se lo stato del post è "privato" e, in tal caso, consenti solo agli utenti autorizzati (current_user_can('read_post', $post_id) O l'utente è connesso() con capacità adeguata).
  • Verificare che gli allegati restituiti appartengano al post richiesto (controllo di integrità).
  • Utilizzare i nonce per le richieste di modulo e rifiutare senza un nonce valido le operazioni di modifica dello stato.

Esempio (annotato) di un frammento PHP per eseguire controlli approfonditi. Inseriscilo all'inizio del gestore di download, prima dello streaming dei file:

'Post non trovato' ), 404 ); exit; } // 1) Se il post è protetto da password, richiedi la password o negala if ( post_password_required( $post ) ) { // Se in precedenza il plugin si basava su una password POSTata, verificala... // Altrimenti negala per le richieste non autenticate if ( ! isset( $_POST['post_password'] ) || $_POST['post_password'] !== $post->post_password ) { wp_send_json_error( array( 'message' => 'Password richiesta' ), 403 ); exit; } } // 2) Se il post è privato, controlla i permessi di lettura if ( 'private' === get_post_status( $post ) ) { // La mappa delle capacità di WordPress supporta read_post in map_meta_cap if ( ! current_user_can( 'read_post', $post_id ) ) { wp_send_json_error( array( 'message' => 'Permission denied' ), 403 ); exit; } } // 3) sanity: controlla che gli allegati appartengano effettivamente a $post_id e che al chiamante // sia consentito scaricare gli allegati // ... (logica esistente) ... // Continua a creare ZIP e invialo ?>

Note e motivazioni:

  • post_password_richiesto() verifica se il post richiede una password e se la sessione corrente ha già fornito la password corretta.
  • current_user_can( 'read_post', $post_id ) delegati al map_meta_cap di WP che gestisce i permessi per post per i post privati. È un approccio migliore rispetto al controllo l'utente è connesso() solo.
  • Non fare mai affidamento solo sul referrer come controllo di sicurezza; considera i nonce e i controlli di capacità come autorevoli.

Se il plugin utilizza endpoint personalizzati o regole di riscrittura, il controllo di autorizzazione di cui sopra dovrebbe essere eseguito su ogni richiesta in arrivo che può restituire allegati.

Come rilevare se il tuo sito è stato interessato

  1. Controllare i registri web e WAF per richieste sospette:
    • Cercare richieste agli endpoint del plugin (ad esempio, URI contenenti "zip" e "allegati" o download avviati tramite admin-ajax.php con azioni correlate a zip).
    • Identifica le richieste che hanno restituito 200 risposte per gli allegati ma provenivano da IP non autenticati o da user agent sconosciuti.
  2. Controlla l'accesso ai post privati o protetti da password:
    • Cerca richieste GET che fanno riferimento a ID di post privati o protetti da password che restituiscono file.
  3. Esamina le statistiche di download del plugin:
    • Se all'interno del plugin è presente una registrazione (contatori di download, registri memorizzati), rivedere le voci relative alla data di divulgazione e successivamente.
  4. Cerca nel file system gli artefatti di esfiltrazione:
    • Gli aggressori in genere scaricano file esternamente. Non rimarrà alcun file sul disco, ma è consigliabile esaminare i log del traffico in uscita, se disponibili (log CDN, log proxy o log delle connessioni esterne), per individuare un numero elevato di richieste in uscita.
  5. Utilizzare i checksum:
    • Se conservi copie di allegati sensibili esternamente, verifica che non manchino o siano stati alterati. Più comunemente, ti servirà la prova di log dei download.

Se riscontri prove di abuso, segui i passaggi di risposta agli incidenti riportati di seguito.

Fasi di risposta agli incidenti (cosa fare se si trovano prove)

  1. Contenere
    • Disattivare immediatamente il plugin o applicare la patch virtuale/regola WAF che blocca l'endpoint vulnerabile per gli utenti non autenticati.
    • Ruotare eventuali credenziali o segreti condivisi che potrebbero essere stati esposti tramite allegati.
  2. Valutare
    • Determinare l'ambito: a quali allegati è stato effettuato l'accesso, quali post sono stati interessati e quando.
    • Stabilire le priorità in base alla sensibilità (PII, dati finanziari, contratti).
  3. Sradicare e recuperare
    • Rimuovere o sostituire gli artefatti compromessi (se gli allegati includevano credenziali o chiavi API, ruotarli).
    • Se necessario, ripristinare eventuali contenuti modificati dai backup.
  4. Notificare
    • Informare le parti interessate se i dati personali sono stati esposti e se si è soggetti alle regole di notifica delle violazioni.
    • Se il problema è rilevante per altri amministratori del sito o clienti, condividere dettagli non strumentali.
  5. Post-incidente
    • Rafforzare la registrazione e il monitoraggio.
    • Esaminare il ciclo di vita dei plugin e la reattività del fornitore.
    • Se gestisci più siti, valuta la possibilità di una mitigazione di massa tramite patch virtuali su tutta la tua flotta.

Rafforzamento e riduzione del rischio a lungo termine

  1. Controlla i plugin di terze parti prima dell'installazione
    • Esaminare il codice e le recensioni dei plugin, controllare la frequenza degli aggiornamenti e dare la preferenza ai plugin sottoposti a manutenzione attiva.
  2. Mantenere una superficie di attacco minima
    • Disattiva o rimuovi i plugin che non utilizzi. Meno gestori di terze parti esponi, minore è il rischio.
  3. Usa il privilegio minimo
    • Evita di archiviare allegati altamente sensibili nella directory pubblica dei caricamenti di WordPress. Valuta la possibilità di archiviare i file sensibili dietro sistemi ad accesso controllato (S3 con URL firmati, archiviazione privata).
  4. Implementare la difesa in profondità
    • Applica WAF/patch virtuali sul tuo sito per individuare eventuali problemi nei plugin scoperti dopo la distribuzione.
    • Mantenere backup regolari e un piano di risposta agli incidenti.
  5. Monitorare l'attività
    • Imposta avvisi per modelli di download insoliti, picchi improvvisi nell'accesso ai file e richieste ripetute agli endpoint che in genere non ricevono molti risultati.

Esempi di firme di rilevamento e indicatori comportamentali da tenere d'occhio

  • Elevato volume di richieste a URI contenenti slug di plugin (ad esempio, allegati zip) da singoli IP in un breve intervallo di tempo.
  • admin-ajax.php richieste con parametri di azione che fanno riferimento a zip/download e nessun cookie di accesso valido.
  • Richieste che includono post_id O id_allegato parametri di query per più ID in ordine sequenziale.
  • 200 risposte alle richieste di download di allegati in cui l'intestazione Cookie della richiesta indica l'assenza di cookie di accesso a WordPress.
  • Agenti utente sospetti combinati con modelli di download.

Possono essere convertiti in avvisi SIEM/Kibana o regole di rilevamento WAF.

Perché l'applicazione di patch virtuali è utile in attesa di un aggiornamento ufficiale

  • Le patch virtuali (regole WAF, blocco degli endpoint, convalida delle richieste) proteggono immediatamente i siti web senza richiedere modifiche al codice del plugin o attendere una versione upstream.
  • Consente agli amministratori di continuare a utilizzare altre funzionalità isolando al contempo la superficie vulnerabile.
  • Le patch virtuali possono essere ripristinate o perfezionate rapidamente man mano che diventano disponibili più informazioni.

L'approccio di patching virtuale di WP-Firewall è progettato per:

  • Identificare rapidamente gli endpoint vulnerabili.
  • Crea regole mirate che blocchino l'accesso non autenticato, consentendo al contempo l'utilizzo legittimo degli utenti registrati.
  • Attiva prima le regole in modalità monitor per valutarne l'impatto, quindi passa alla modalità di blocco.

Esempio: come WP-Firewall proteggerebbe il tuo sito (livello alto)

  • Rilevamento automatico delle richieste che corrispondono alla firma del plugin vulnerabile.
  • Regola preimpostata che blocca l'accesso non autenticato agli endpoint di download del plugin.
  • Possibilità di mettere in quarantena le richieste e avvisare l'amministratore del sito.
  • Registri dettagliati per consentire la revisione forense post-incidente.

Se si utilizza un livello di protezione degli endpoint che supporta l'applicazione di patch virtuali, attivare la regola per "Allegati Zip — Autorizzazione mancante" per ridurre l'esposizione durante l'applicazione di patch o la rimozione del plug-in.

Cronologia e checklist consigliate per gli amministratori del sito

Immediato (prossime ore)

  • Se possibile, disattivare il plugin.
  • Se non è possibile disattivare, aggiungere regole WAF per negare l'accesso non autenticato agli endpoint del plugin.
  • Avviare la revisione del registro per rilevare eventuali download sospetti precedenti.

A breve termine (prossime 24-72 ore)

  • Applica la correzione del codice o il plugin aggiornato non appena il fornitore lo rilascia.
  • Ruotare tutti i segreti rivelati tramite allegati.
  • Informare le parti interessate in caso di accesso a dati sensibili.

Medio termine (1–4 settimane)

  • Esaminare l'utilizzo del plugin e, se necessario, sostituirlo con alternative meglio mantenute.
  • Rafforzare l'archiviazione degli allegati sensibili (rimuoverli dalla directory dei caricamenti pubblici).
  • Abilita il monitoraggio continuo dell'accesso ai file e degli avvisi WAF.

A lungo termine

  • Aggiorna la tua politica di revisione e patch dei plugin.
  • Integra l'applicazione di patch virtuali nei tuoi flussi di lavoro di sicurezza in modo che i difetti dei plugin appena scoperti possano essere mitigati rapidamente in tutti i siti.

Esempio di note di patch/pull request per i manutentori dei plugin (consigliato)

  • Aggiungere test unitari per i controlli di autorizzazione sugli endpoint di download.
  • Aggiungere controlli lato server:
    • post_password_richiesto()
    • current_user_can('read_post', $post_id)
  • Documentare il comportamento previsto nel file README (cosa devono aspettarsi gli utenti quando richiedono download per post privati o protetti da password).
  • Fornire un'opzione di adesione per gli amministratori che desiderano abilitare i download zip per gli utenti anonimi, ma impostare come impostazione predefinita solo l'autenticazione.

Proteggi il tuo sito con un firewall gestito e patch virtuali

Se desideri un modo semplice e immediato per proteggere i siti WordPress da problemi di controllo degli accessi ai plugin come questo, valuta la possibilità di aggiungere un firewall gestito/livello di patching virtuale al tuo stack. Un firewall gestito offre:

  • Distribuzione rapida di regole che bloccano le vulnerabilità note dei plugin.
  • Monitoraggio e avvisi per attività sospette.
  • Scansione malware e mitigazione OWASP-10 per ridurre il rischio di altre minacce comuni.

Di seguito è riportata una breve panoramica della nostra offerta gratuita, così puoi valutarla subito.

Ottieni protezione immediata con il piano gratuito di WP-Firewall

Inizia subito a proteggere il tuo sito con il piano WP-Firewall Basic (gratuito). Include protezioni essenziali che bloccano i vettori di attacco più comuni e possono aiutarti a mitigare problemi come la divulgazione degli allegati Zip finché non applichi la patch:

  • Protezione essenziale: firewall gestito e WAF che coprono gli endpoint dei plugin comuni
  • Larghezza di banda illimitata in modo che le protezioni non interferiscano con la disponibilità del sito
  • Scanner antimalware integrato per rilevare file sospetti e indicatori di infezione
  • Controlli di mitigazione per i 10 principali rischi OWASP

Attiva subito il piano gratuito e distribuisci set di regole in grado di correggere virtualmente e all'istante i difetti noti dei plugin: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Se hai bisogno di rimozione automatica del malware, controlli della blacklist/whitelist degli IP, report mensili o patch virtuali automatiche su più siti, valuta l'aggiornamento ai piani Standard o Pro.)

Note finali e passaggi successivi consigliati

  • Se utilizzi il plugin interessato: agisci subito. Disattiva il plugin, applica le regole WAF mirate o aggiungi i controlli del codice descritti sopra per impedire la divulgazione.
  • Mantieni una routine per controllare le vulnerabilità dei plugin di WordPress e iscriviti a una mailing list sulla sicurezza o alle notifiche del fornitore del tuo firewall.
  • Prendi in considerazione l'archiviazione di file altamente riservati al di fuori della directory di caricamento di WordPress, dietro un servizio autenticato o un archivio di oggetti con URL firmati.
  • Se sospetti che il tuo sito sia stato oggetto di un abuso, segui i passaggi di risposta agli incidenti descritti in questo articolo: contenimento, valutazione, ripristino e notifica.

Se desideri assistenza per l'implementazione di patch virtuali o per la scrittura di regole WAF specifiche per il tuo stack di server, il nostro team WP-Firewall può aiutarti a distribuire le regole in modo sicuro e a testarle prima in fase di staging. Per i proprietari di un singolo sito, il piano Basic (gratuito) offre protezioni immediate che spesso prevengono i tentativi di exploit per problemi come questo.

Proteggiti e, in caso di dubbio, limita l'accesso anonimo a qualsiasi endpoint di download personalizzato.

Riferimenti e ulteriori letture

  • CVE‑2025‑11701 (record CVE pubblico)
  • Documentazione per sviluppatori WordPress: post_password_richiesto(), current_user_can(), get_post_status()

(Fine del post)

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato
it_IT Italiano
it_IT Italiano en_US English zh_CN 简体中文 zh_HK 香港中文 zh_TW 繁體中文 ja 日本語 es_ES Español fr_FR Français ar العربية hi_IN हिन्दी bn_BD বাংলা ko_KR 한국어 pt_PT Português nl_NL Nederlands vi Tiếng Việt ru_RU Русский pl_PL Polski de_DE Deutsch da_DK Dansk

© 2025 WP-Firewall™