Mitigare il download di file arbitrari in ShortPixel//Pubblicato il 2026-02-05//CVE-2026-1246

TEAM DI SICUREZZA WP-FIREWALL

ShortPixel Image Optimizer Vulnerability

Nome del plugin ShortPixel Ottimizzatore di Immagini
Tipo di vulnerabilità Scaricare un file arbitrario
Numero CVE CVE-2026-1246
Urgenza Medio
Data di pubblicazione CVE 2026-02-05
URL di origine CVE-2026-1246

Comprendere CVE-2026-1246: Download di file arbitrari in ShortPixel Image Optimizer (≤ 6.4.2)

Il 5 febbraio 2026 è stata divulgata una vulnerabilità di gravità moderata nel plugin WordPress ShortPixel Image Optimizer che colpisce le versioni fino e comprese 6.4.2 (CVE-2026-1246). Il problema consente a un utente autenticato con privilegi di Editor di attivare una lettura/download di file arbitrari tramite un gestore vulnerabile che elabora un parametro comunemente indicato nelle avvertenze come “loadFile”.

Come team di sicurezza di WordPress che gestisce un WAF professionale e un servizio di protezione gestita, trattiamo queste vulnerabilità seriamente perché anche i problemi a livello di “Editor” possono essere punti di pivot per incidenti molto più dannosi (esposizione di credenziali, compromissione di account amministratore o fuga di backup e file di configurazione). Questo post spiega cos'è la vulnerabilità, scenari di attacco realistici, indizi di rilevamento, mitigazioni sicure e regole protettive pratiche che puoi applicare immediatamente — incluso come WP-Firewall può proteggerti fino a quando non puoi aggiornare.

Nota: Se gestisci un sito WordPress utilizzando il plugin ShortPixel Image Optimizer, trattalo come alta priorità anche se il CVSS divulgato si traduce in gravità “media”. Il vettore consente la divulgazione di file sensibili (wp-config.php, backup, upload privati, log) che possono rapidamente trasformarsi in una compromissione totale del sito.

Riepilogo rapido

  • Software interessato: ShortPixel Image Optimizer (plugin WordPress) — versioni ≤ 6.4.2
  • Vulnerabilità: Lettura / download di file arbitrari tramite un gestore di parametri “loadFile” insicuro
  • CVE: CVE-2026-1246
  • Privilegi richiesti: Editor autenticato (o superiore)
  • Corretto in: 6.4.3
  • Stato della patch: Aggiorna a 6.4.3 o versioni successive il prima possibile
  • Mitigazione immediata: blocca le richieste malevole al gestore vulnerabile, limita l'accesso agli endpoint di amministrazione, ruota le credenziali se si sospetta una compromissione e implementa patch virtuali WAF

Come funziona la vulnerabilità (panoramica tecnica — focus difensivo)

A un livello alto, il plugin espone un gestore interno (utilizzato per il caricamento o la visualizzazione di file amministrativi) che accetta un parametro — comunemente chiamato caricaFile nelle avvertenze pubbliche. Il gestore è destinato a leggere file relativi al plugin o immagini, ma a causa di un controllo degli accessi insufficiente e di una validazione del percorso debole, consente a un attaccante con privilegi di Editor di richiedere file arbitrari ovunque l'utente del server web possa leggere.

Principali debolezze tecniche che comunemente portano a questa classe di vulnerabilità:

  • Controlli di capacità mancanti o insufficienti: il gestore presume che un utente connesso sia autorizzato a richiedere il file senza controllare esplicitamente le capacità appropriate per l'accesso ai file (ad esempio, gestire_opzioni).
  • Scarsa sanitizzazione del percorso: i valori controllati dall'utente vengono utilizzati nelle operazioni del file system senza una robusta canonicalizzazione o enforcement della whitelist, consentendo la traversata del percorso (../) o il targeting di percorsi assoluti.
  • Mancanza di una whitelist di percorsi consentiti: invece di limitare le letture alle directory dei plugin (o ad altre posizioni di file consentite), il gestore si fida del parametro.
  • Risposta di download diretto: il gestore restituisce direttamente il contenuto del file senza filtraggio aggiuntivo, consentendo l'exfiltrazione.

Da una prospettiva di rischio, ciò significa che un Editor può scaricare file come:

  • wp-config.php (credenziali del database, sali)
  • Archivi di backup memorizzati sotto la radice web
  • Upload privati o file di configurazione
  • Log che possono contenere credenziali e token

Una volta che i dati di configurazione sensibili sono esposti, gli attaccanti possono spesso elevare l'accesso a account amministrativi, accesso al database o takeover completo del server.

Chi è a rischio e probabilità di sfruttamento

  • I siti che eseguono ShortPixel Image Optimizer su versioni ≤ 6.4.2 sono interessati.
  • L'attacco richiede un utente autenticato con privilegi di Editor. Molti siti WordPress concedono il ruolo di Editor a terzi (editor di contenuti, appaltatori, team di marketing), aumentando l'esposizione.
  • Gli account Editor possono essere compromessi tramite riutilizzo delle credenziali, phishing, email di autori compromessi o ingegneria sociale. Pertanto, richiedere privilegi di Editor riduce ma non elimina il rischio per la maggior parte dei siti.
  • Un attaccante che sfrutta questo bug non ha bisogno di caricare un webshell o eseguire codice remoto: la divulgazione di file di configurazione e segreti può fornire lo stesso risultato.

Date le informazioni sopra, lo sfruttamento è realistico e attuabile, e la rimedio dovrebbe essere prioritizzato.

Esempi di scenari di attacco (cosa possono fare gli attori malintenzionati)

  1. Leggere wp-config.php per ottenere credenziali e sali del DB
    • Con le credenziali del database e i sali a disposizione, un attaccante potrebbe estrarre account utente, scaricare il database o utilizzare i sali per creare cookie di autenticazione validi.
  2. Scaricare file di backup o di esportazione memorizzati sotto la radice web
    • I backup del sito spesso contengono l'intero contenuto del sito web, dati degli utenti e credenziali in chiaro.
  3. Accedere a chiavi private o file di ambiente
    • Se un sito utilizza file di ambiente o memorizza chiavi in posizioni leggibili, gli attaccanti potrebbero recuperarle per movimenti laterali.
  4. Raccolta di cookie, JWT o token OAuth nei log
    • I log possono contenere token che consentono il furto di sessione.
  5. Individuazione di file di configurazione di plugin o temi con chiavi API segrete
    • Esempio: credenziali di servizi di terze parti che abilitano il takeover dell'account su servizi esterni.

Poiché l'attaccante può leggere i file piuttosto che scriverli, una catena di compromissione post-esfiltrazione segue tipicamente: lettura di file sensibili → riutilizzo delle credenziali o dump del database → escalation a amministratore → backdoor persistente.

Rilevamento: come individuare tentativi e indicatori di compromissione

Rilevare tentativi di sfruttamento o abusi riusciti richiede di esaminare sia l'attività del server web che gli interni di WordPress.

Cerca questi segnali:

  1. Richieste sospette nell'area admin con caricaFileparametri simili
    • Controlla i log di accesso del server web per richieste agli endpoint admin inclusi caricaFile=, carica_file=, o simile.
    • Modelli da tenere d'occhio: richieste contenenti ../, %2e%2e%2f (traversata codificata), o obiettivo di nomi di file sensibili noti (wp-config.php, .env, nomi zip di backup).
  2. Download di file imprevisti o codici di stato dai gestori admin
    • Se una richiesta ha restituito 200 per un download di wp-config.php o altro file non immagine, indaga.
  3. Nuove azioni amministrative non autorizzate
    • Controlla i log di audit di WordPress (se disponibili) per account Editor che eseguono compiti non editoriali.
    • Cerca cambiamenti di ruolo utente, nuovi utenti admin o aggiornamenti di plugin effettuati da account che non dovrebbero eseguirli.
  4. Problemi di integrità dei file
    • Modifiche inaspettate ai file PHP core, ai temi o agli upload potrebbero indicare una compromissione successiva.
    • Utilizzare il monitoraggio dell'integrità dei file per rilevare modifiche (ad es., checksum rispetto all'ultima versione conosciuta come buona).
  5. Segni di furto di database o credenziali
    • Tentativi di accesso inaspettati contro nomi utente admin, o accessi da IP insoliti dopo il timestamp di sospetta esfiltrazione di file.
  6. Backdoor e webshell
    • Anche se il bug iniziale era una lettura, i passaggi post-esfiltrazione possono includere il caricamento di codice malevolo. Scansiona i file con codice PHP in directory normalmente utilizzate per immagini o upload.

Query di log consigliate (esempi):

  • Filtra i log di accesso per parametri che somigliano a: caricaFile=, carica_file=, file=, f=
  • Regex per cercare traversamenti: (\.\./|\\\|/)
  • Controlla le richieste che includono “wp-config.php”, “.env”, “.sql”, “.tgz”, “.zip”

Se scopri attività sospette, tratta il sito come potenzialmente compromesso e segui i passaggi di risposta agli incidenti qui sotto.

Passi di mitigazione di emergenza (cosa fare ora)

Se esegui una versione interessata (≤ 6.4.2), segui immediatamente questi passaggi:

  1. Aggiorna il plugin a 6.4.3 o successivo
    • Questa è la soluzione definitiva. Aggiorna i plugin prontamente in una finestra di manutenzione se possibile.
  2. Se non puoi aggiornare immediatamente, applica una patch virtuale (regola WAF)
    • Blocca le richieste che tentano di accedere al gestore vulnerabile o che includono un sospetto caricaFile parametro.
    • Blocca le richieste contenenti modelli di traversata del percorso o tentativi di recuperare nomi di file sensibili (wp-config.php, .env, .sql, .zip).
    • Vedi gli esempi di regole difensive qui sotto.
  3. Riduci l'esposizione agli endpoint di amministrazione.
    • Limita wp-admin a intervalli IP noti tramite webserver, firewall o fornitore di hosting (dove pratico).
    • Richiedi autenticazione tramite password forti e MFA per gli account Editor+.
  4. Disabilita temporaneamente il plugin fino a quando non puoi aggiornare.
    • Disattiva il plugin se l'aggiornamento immediato o la patch virtuale non sono possibili. Nota: la disattivazione potrebbe interrompere i flussi di lavoro di ottimizzazione delle immagini.
  5. Ruota segreti e credenziali se si sospetta una compromissione.
    • Cambia le password di amministrazione di WordPress, specialmente per gli account Editor e Amministratore.
    • Ruota le credenziali del database se wp-config.php o i file di backup sono stati probabilmente accessibili.
    • Sostituisci le chiavi API trovate nei file di configurazione.
  6. Scansiona e ispeziona per compromissioni.
    • Esegui una scansione completa del malware del sito.
    • Ispeziona i log per modelli di esfiltrazione come descritto nella rilevazione.
  7. Ripristina da un backup pulito se necessario
    • Se rilevi backdoor o manomissioni persistenti, ripristina da un backup pulito verificato e indurisci l'ambiente ripristinato.

Regole e modelli WAF raccomandati (patching virtuale).

Di seguito sono riportati esempi di regole difensive che puoi applicare a livello WAF o tramite configurazione del server. Queste sono progettate per mitigare i tentativi di sfruttamento senza esporre i dettagli dell'exploit.

Note di sicurezza importanti:

  • Testa le regole in un ambiente di staging prima di applicarle in produzione per evitare falsi positivi.
  • Adatta le regex al formato dei log del tuo server e ai nomi esatti dei parametri visti nel tuo ambiente.

1) Regola in stile ModSecurity (blocca i tentativi con loadFile e modelli di traversamento)

# Blocca i tentativi di richiesta di file arbitrari tramite un parametro "loadFile" con traversale"

2) Blocco di posizione Nginx per bloccare le richieste che tentano di caricare file sensibili dai gestori admin

# Rifiuta le richieste contenenti il parametro loadFile e i modelli di traversale del percorso

3) Frammento .htaccess di Apache per fermare le richieste dirette che includono loadFile e determinati obiettivi sensibili

<IfModule mod_rewrite.c>
RewriteEngine On
# deny requests with loadFile parameter that reference sensitive filenames or path traversal
RewriteCond %{QUERY_STRING} (?:loadFile|load_file|file)= [NC]
RewriteCond %{QUERY_STRING} (\.\./|wp-config\.php|\.env|\.sql|\.zip) [NC,OR]
RewriteCond %{QUERY_STRING} (%2e%2e%2f) [NC]
RewriteRule .* - [F]
</IfModule>

4) Concetto di regola WAF generica (modelli di payload da bloccare)

  • Blocca qualsiasi richiesta ai gestori admin che include caricaFile e o:
    • sequenze di traversamento del percorso (../ o varianti codificate)
    • riferimento a nomi di file sensibili (wp-config.php, .env, .sql, estensioni di file di backup)
  • Aggiungi alla lista bianca i modelli consentiti dove il comportamento legittimo del plugin deve recuperare immagini da una directory del plugin. Implementa una lista di directory rigorosa.

Se utilizzi WP‑Firewall, possiamo applicare patch virtuali immediatamente e bloccare la classe di richieste descritte sopra su tutti i siti protetti, riducendo la finestra di esposizione mentre aggiorni.

Raccomandazioni per il rafforzamento del codice sicuro per gli autori di plugin (cosa dovrebbe correggere uno sviluppatore)

Se sei uno sviluppatore di plugin o mantieni codice personalizzato che utilizza la lettura di file basata su input, applica questi principi:

  1. Controlli di capacità
    • Assicurati che il gestore controlli una specifica capacità appropriata per l'azione. current_user_can('gestire_opzioni') è un controllo comune a livello admin, ma scegli il minor privilegio che si adatta alla funzione.
    • Non fare affidamento semplicemente su l'utente è connesso() o solo su nonce per l'accesso ai file.
  2. Elenca i file e le directory consentiti
    • Mantieni una whitelist lato server dei file consentiti (ad esempio, file nella propria directory degli asset del plugin).
    • Usa la canonicalizzazione assoluta per normalizzare i percorsi con percorso reale() e verifica che siano all'interno delle directory previste.
  3. Rifiuta il traversal del percorso
    • Canonizza l'input dell'utente e verifica che non esca dalla directory prevista.
    • Esempio (pseudo‑PHP difensivo):
$base_dir = realpath( WP_CONTENT_DIR . '/uploads/shortpixel_allowed' );
  1. Applica controlli su MIME e estensioni
    • Se ti aspetti immagini, controlla il tipo di file e rifiuta le richieste che corrispondono a tipi MIME non immagine.
  2. Evita di visualizzare il contenuto dei file senza controlli aggiuntivi
    • Quando restituisci il contenuto dei file, assicurati che le intestazioni di risposta e i tipi di contenuto siano ben controllati e non rivelino informazioni sensibili.
  3. Registrazione e monitoraggio
    • Registra i tentativi falliti di accesso ai file e rivedi i log periodicamente.

Gli autori dei plugin dovrebbero applicare queste modifiche e rilasciare una patch. I proprietari dei siti devono aggiornare al più presto.

Piano di risposta agli incidenti (se sospetti di essere stato attaccato)

  1. Isolare
    • Se rilevi sfruttamenti, prendi temporaneamente il sito offline o blocca IP e endpoint sospetti per limitare ulteriori danni.
  2. Conservare i registri
    • Copia i log del server e di accesso dal server per analisi forensi.
  3. Aggiorna / Patch
    • Aggiorna il plugin vulnerabile alla versione corretta immediatamente.
  4. Ruota le credenziali
    • Reimposta le password per tutti gli account Editor e Amministratore.
    • Ruotare le credenziali del database e aggiornare wp-config.php di conseguenza.
    • Revocare e riemettere eventuali chiavi API che potrebbero essere state esposte.
  5. Scansiona e pulisci
    • Eseguire una scansione completa del malware utilizzando più scanner e rivedere manualmente i file sospetti.
    • Rimuovere eventuali file sconosciuti e backdoor; sostituire i file core da una fonte conosciuta e affidabile.
  6. Ripristina se necessario
    • Se non puoi pulire il sito con sicurezza, ripristina da un backup pulito e rinforza l'ambiente prima di riconnetterti.
  7. Notifica
    • Notificare le parti interessate e gli utenti colpiti secondo le tue politiche di notifica delle violazioni.
  8. Indurimento post-incidente
    • Implementare una forte MFA per tutti i ruoli di amministratore.
    • Ridurre il numero di account Editor e applicare il principio del minimo privilegio.
    • Utilizzare la patching virtuale WAF per proteggere contro future vulnerabilità dei plugin.

Strategie di prevenzione a lungo termine

Oltre a affrontare questa specifica vulnerabilità, le organizzazioni dovrebbero adottare pratiche che riducano l'esposizione alle vulnerabilità dei plugin in generale:

  • Minimizzare i privilegi: concedere ruoli di Editor o superiori solo agli utenti che ne hanno veramente bisogno.
  • Applicare la MFA per tutti gli account che possono modificare contenuti o impostazioni.
  • Tenere aggiornati il core di WordPress, i temi e i plugin; utilizzare un ambiente di staging per testare gli aggiornamenti.
  • Limitare il numero di plugin installati; preferire progetti ben mantenuti con una forte reputazione di sicurezza.
  • Implementare la rilevazione automatizzata delle vulnerabilità e la patching virtuale con un WAF.
  • Utilizzare il whitelisting degli IP per wp-admin dove possibile e proteggere gli endpoint REST e AJAX.
  • Monitora i log e abilita il monitoraggio dell'integrità dei file.
  • Mantenere backup sicuri, offsite, con versioning e crittografia.

Come WP‑Firewall aiuta — mitigazione pratica e patching virtuale

Presso WP‑Firewall stratifichiamo la protezione per ridurre il tempo di mitigazione:

  1. Patching Virtuale Rapido
    • Pubbliciamo regole di mitigazione che bloccano i modelli di attacco descritti qui (richieste con caricaFileparametri in stile -, payload di traversamento del percorso e tentativi di recuperare nomi di file sensibili). Queste regole sono implementate su siti protetti e fermano i tentativi di sfruttamento prima che raggiungano WordPress.
  2. Regole WAF gestite ottimizzate per WordPress
    • Il nostro WAF distingue le azioni legittime degli amministratori dai tentativi sospetti di accesso ai file, riducendo al minimo i falsi positivi mentre previene gli exploit.
  3. Scansione e monitoraggio malware
    • Scansiamo continuamente alla ricerca di indicatori di compromissione, inclusi webshell, modifiche sospette ai file e backdoor che potrebbero essere state installate a seguito della divulgazione dei file.
  4. Guida al supporto post-incidente
    • Se sospetti un incidente, il nostro team fornisce una guida alla remediation passo dopo passo: isolare, auditare, ruotare le credenziali e ripristinare.
  5. Mitigazione automatica mentre correggi
    • Le regole possono essere attivate istantaneamente senza modificare il codice del plugin; questo riduce significativamente la finestra di esposizione e guadagna tempo per eseguire un aggiornamento sicuro.
  6. Controllo degli accessi granulare
    • Utilizza le nostre funzionalità per limitare l'accesso agli endpoint di amministrazione e monitorare le attività degli editor che si discostano dai modelli normali.

Se gestisci più siti WordPress o installazioni sensibili, la patch virtuale tramite un WAF è il modo più pratico per ridurre il rischio mentre esegui rollout controllati degli aggiornamenti di fornitori o plugin.

Esempio di logica delle regole WP-Firewall (concettuale)

  • Blocca le richieste HTTP in entrata che:
    • Contengono un parametro di query che corrisponde (caricaFile|carica_file|file_da_caricare) 5. Di seguito sono riportate regole pratiche del firewall ed esempi che tu (o il tuo team di hosting/sicurezza) puoi applicare. Queste sono intenzionalmente generiche — dovresti ispezionare il plugin per raccogliere i nomi esatti dei parametri e adattare le regole al tuo ambiente.
    • Contengono token di traversamento (../ o equivalenti codificati in percentuale) O fanno riferimento a nomi di file sensibili noti (il file wp-config.php, .ambiente, .sql, .tgz, .zip)
  • Consenti richieste sicure se:
    • La richiesta proviene da un IP interno fidato e l'utente è autenticato con controlli di capacità appropriati a livello di applicazione.

Le regole gestite di WP‑Firewall implementano quanto sopra in modo testato e ottimizzato per evitare di bloccare operazioni amministrative legittime mentre fermano letture malevole.

Esempi pratici — cosa fare subito (lista di controllo concisa)

  • Immediata (entro 1 ora)
    • Aggiorna il plugin ShortPixel alla versione 6.4.3 o successiva.
    • Se non puoi aggiornare, abilita la regola WAF che blocca caricaFileparametri di stile con traversata.
    • Controlla i log di accesso per richieste sospette caricaFile e modelli di traversata del percorso.
  • Breve termine (entro 24 ore)
    • Cambia le password per gli account Editor e Amministratore se vengono trovate richieste sospette.
    • Ruota le credenziali del database se vedi download di wp-config.php o backup.
    • Esegui una scansione completa per malware e ispeziona gli upload per file PHP.
  • Medio termine (entro 7 giorni)
    • Indurire i permessi dei file e limitare l'accesso in lettura ai file sensibili (fuori dalla webroot dove possibile).
    • Implementa MFA per tutti i ruoli elevati e rimuovi gli account Editor non utilizzati.
    • Considera di limitare l'accesso a wp-admin tramite una lista di autorizzazione IP.
  • In corso
    • Utilizza un servizio WAF gestito / di patching virtuale e rivedi periodicamente l'inventario dei plugin.
    • Tieni i backup offline e crittografati, e testa i ripristini.

Una lista di controllo pratica per l'indurimento del codice per i manutentori del sito

Se esegui codice personalizzato che espone file o gestisci plugin che possono esporre file:

  • Non consentire mai percorsi di file arbitrari dall'input dell'utente.
  • Normalizza e verifica i percorsi tramite percorso reale() e controlli di contenimento delle directory.
  • Limita i punti di accesso alla lettura dei file a capacità specifiche.
  • Registra ogni tentativo di accesso fallito e rivedi i log regolarmente.
  • Servi i file di configurazione solo da fuori la radice web.

Proteggi il tuo sito oggi — Prova WP‑Firewall gratuitamente

Se desideri un modo immediato e semplice per ridurre il rischio da vulnerabilità come CVE‑2026‑1246, prova il piano Basic gratuito di WP‑Firewall. Il piano Basic (gratuito) offre protezione essenziale, inclusi un firewall gestito, larghezza di banda illimitata, un WAF specifico per WordPress, scansione automatizzata dei malware e mitigazione dei rischi OWASP Top 10 — sufficiente a bloccare molti dei tentativi di sfruttamento più comuni e fornire una protezione vitale mentre correggi o esegui il recupero da incidenti.

Iscriviti al piano gratuito e ottieni protezione immediata: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Per i team che desiderano più automazione, considera i nostri livelli a pagamento: rimozione automatica dei malware e capacità di blacklist/whitelist IP a Standard, e funzionalità avanzate come report di sicurezza mensili e patch virtuali automatiche per vulnerabilità nel piano Pro.

Considerazioni finali — tratta le vulnerabilità a livello Editor con urgenza

Sebbene questa vulnerabilità richiedesse un ruolo di Editor, le pratiche operative nel mondo reale significano che gli account Editor sono comuni e spesso esposti. Un singolo file di configurazione o backup trapelato può convertire una vulnerabilità apparentemente modesta in un compromesso totale. La migliore strategia è a strati:

  • Applica le patch prontamente (aggiorna il plugin alla versione 6.4.3 o successiva).
  • Implementa immediatamente la patch virtuale WAF per fermare i tentativi di sfruttamento.
  • Segui i passaggi di risposta agli incidenti e di indurimento se si sospetta una violazione.

Se hai WP‑Firewall a proteggere il tuo sito, possiamo implementare patch virtuali per bloccare tentativi come quelli che sfruttano il caricaFile parametro, scansionare per indicatori di compromissione e aiutarti a ripristinare un ambiente indurito e aggiornato. Se non hai già quel livello in atto, il piano gratuito fornirà una protezione di base immediata mentre esegui la remediation.

Rimani al sicuro e se desideri aiuto per triage di un sito specifico dopo questa divulgazione, il nostro team può assisterti con l'analisi dei log, la regolazione delle regole WAF e la risposta agli incidenti.

— Team di sicurezza WP-Firewall

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™