Mitigazione di IDOR di ExactMetrics in WordPress//Pubblicato il 2026-03-11//CVE-2026-1992

TEAM DI SICUREZZA WP-FIREWALL

ExactMetrics CVE-2026-1992 Vulnerability

Nome del plugin ExactMetrics
Tipo di vulnerabilità Riferimento a oggetti diretti non sicuri (IDOR)
Numero CVE CVE-2026-1992
Urgenza Basso
Data di pubblicazione CVE 2026-03-11
URL di origine CVE-2026-1992

Urgente: Riferimento diretto a oggetti insicuro (IDOR) in ExactMetrics (CVE-2026-1992) — Cosa devono fare ora i proprietari di siti WordPress

Un recente IDOR autenticato nel plugin ExactMetrics (Google Analytics Dashboard for WP) (versioni 8.6.0–9.0.2) può consentire a account privilegiati ma non amministratori di eseguire installazioni arbitrarie di plugin. Scopri i rischi, la rilevazione, le mitigazioni immediate, il rafforzamento a lungo termine e come WP‑Firewall ti protegge.

In breve — Un riferimento diretto a oggetti insicuro (IDOR) autenticato recentemente divulgato che colpisce ExactMetrics (versioni 8.6.0 → 9.0.2, CVE-2026-1992) può consentire agli attaccanti con determinati privilegi di accesso di attivare installazioni arbitrarie di plugin su siti vulnerabili. Se utilizzi questo plugin, aggiorna immediatamente alla versione 9.0.3 o successiva. Segui i passaggi di rilevazione e rimedio qui sotto. Se gestisci più siti o non puoi applicare la patch immediatamente, WP‑Firewall offre protezioni WAF gestite e patch virtuali per mitigare questo rischio mentre rimedi.

1. Panoramica

Il 12 marzo 2026 un avviso pubblico assegnato a CVE-2026-1992 ha divulgato un riferimento diretto a oggetti insicuro (IDOR) autenticato nel plugin ExactMetrics (Google Analytics Dashboard for WP) che colpisce le versioni da 8.6.0 a 9.0.2. La vulnerabilità consente a un utente autenticato con un ruolo “personalizzato” specifico (o altro privilegio non amministrativo in alcune configurazioni) di fare riferimento a oggetti direttamente in un modo che elude i controlli di autorizzazione appropriati e può portare a installazioni arbitrarie di plugin sul sito.

Sebbene lo sfruttamento richieda un account autenticato, gli attori della minaccia ottengono comunemente tali account attraverso ingegneria sociale, credential stuffing, password riutilizzate, controlli di onboarding deboli o compromettendo account utente a privilegi inferiori. Poiché l'installazione di plugin è una capacità ad alto impatto, il vettore di sfruttamento è serio e deve essere gestito immediatamente.

Questo post spiega:

  • Qual è la vulnerabilità e perché è importante.
  • Chi è colpito e i dettagli del CVE.
  • Mitigazioni immediate e intermedie che puoi implementare oggi (inclusa la guida per WAF/patching virtuale).
  • Risposta agli incidenti e passaggi forensi se sospetti uno sfruttamento.
  • Come indurire la tua installazione di WordPress e le migliori pratiche per lo sviluppo di plugin.
  • Come WP‑Firewall aiuta a proteggere i siti (incluso il piano gratuito Basic).

2. Cos'è un IDOR e perché questo è importante

I riferimenti diretti a oggetti insicuri (IDOR) si verificano quando un'applicazione espone un riferimento a un oggetto di implementazione interno (file, record di database, identificatore di plugin, ecc.) senza controllare adeguatamente che l'utente richiedente sia autorizzato ad accedere o manipolare quell'oggetto. Nei plugin di WordPress, l'IDOR si verifica frequentemente quando la logica del plugin utilizza ID, slug o nomi di file forniti dal client e non riesce a controllare current_user_can() o porte di autorizzazione simili in modo efficace.

Con ExactMetrics CVE-2026-1992:

  • Il plugin espone un'azione o un endpoint che accetta un riferimento che può essere utilizzato per selezionare un plugin da installare.
  • L'endpoint esegue controlli di autorizzazione insufficienti — un utente con un ruolo “personalizzato” privilegiato specifico (o un altro ruolo non amministrativo a cui sono state inavvertitamente concesse autorizzazioni) può attivare l'installazione di plugin o manipolare il flusso di installazione del plugin.
  • Una volta che un attaccante può installare plugin, può installare backdoor dannose, elevare privilegi, esfiltrare dati, creare account persistenti o passare ad altri sistemi.

Motivo chiave per cui questo è significativo:

  • L'installazione di plugin è essenzialmente una capacità di esecuzione di codice completo su un sito WordPress se un plugin con codice dannoso è attivato.
  • Molti amministratori non verificano immediatamente i plugin appena installati.
  • Gli ambienti automatizzati o non supervisionati (dove il codice viene eseguito senza revisione manuale) sono particolarmente vulnerabili.

3. Versioni interessate e CVE

  • Software: ExactMetrics (Google Analytics Dashboard per WP)
  • Versioni del plugin interessate: 8.6.0 — 9.0.2
  • Corretto in: 9.0.3
  • CVE: CVE-2026-1992
  • Classificazione: Riferimenti Diretti a Oggetti Insicuri (IDOR) — OWASP A1/Controllo Accesso Compromesso

Se stai eseguendo una delle versioni interessate, pianifica di aggiornare immediatamente a 9.0.3 o successiva. Se non puoi aggiornare immediatamente, implementa i controlli compensativi elencati di seguito.

4. Modello di rischio e scenari di sfruttamento

Percorsi potenziali per l'attaccante:

  • Un utente malintenzionato o compromesso (autore/editor, o account con ruolo personalizzato) utilizza l'endpoint vulnerabile per richiedere l'installazione di un pacchetto plugin arbitrario.
  • L'attaccante installa un plugin che include backdoor, funzioni di creazione admin o attività pianificate (crons) per mantenere la persistenza.
  • Da lì, l'attaccante può elevare i privilegi, esfiltrare dati (dati utente, token API) o utilizzare il sito come pivot per ulteriori attacchi.

Fattori di probabilità:

  • La probabilità aumenta sui siti che consentono agli utenti con ruolo non admin di eseguire azioni avanzate.
  • La probabilità aumenta dove gli account utente hanno password deboli, riutilizzo delle password o nessuna 2FA.
  • La probabilità aumenta nei blog multi-autore, siti di abbonamento, agenzie o hosting WP gestito con ruoli delegati.

Impatto:

  • Compromissione totale del sito se l'attaccante installa un plugin malevolo e lo attiva.
  • Furto di dati (liste utenti, dati analitici), spam SEO o distribuzione di malware.
  • Pulizia costosa, danni reputazionali e possibili implicazioni normative se i dati dei clienti vengono trapelati.

5. Azioni immediate (0–24 ore)

Questi passaggi sono prioritizzati in modo da poter ridurre il rischio immediatamente.

  1. Applicare subito la patch
    • Aggiorna ExactMetrics alla versione 9.0.3 o successiva. Questa è la soluzione definitiva.
  2. Se non puoi aggiornare immediatamente, disabilita l'installazione dei plugin
    • Rimuovi temporaneamente o limita la capacità di installare plugin.
    • Puoi aggiungere questo al tuo il file wp-config.php per disabilitare la modifica dei file di plugin e tema (nota: questo blocca la modifica diretta dei file tramite l'interfaccia di amministrazione; le installazioni di plugin tramite altri meccanismi potrebbero comunque essere possibili): 
      define('DISALLOW_FILE_MODS', true);
    • Se fai affidamento sulle installazioni automatiche di plugin per CI/CD, implementa una lista di autorizzazione per prevenire installazioni avviate dal web.
  3. Audit degli account connessi
    • Rivedi tutti gli account con ruoli di editor/autore/custom.
    • Rimuovi gli account obsoleti e applica password forti e 2FA per tutti gli utenti con ruoli elevati.
  4. Blocca le pagine di installazione dei plugin
    • Limita l'accesso alle pagine di amministrazione (plugin-install.php, update-core.php, plugin-editor.php) per IP per gli amministratori dove possibile.
    • Aggiungi autenticazione HTTP (basicauth) davanti alle pagine di amministrazione sensibili come misura di emergenza.
  5. Monitorare attività sospette
    • Controlla l'attività recente degli amministratori per nuove installazioni di plugin o modifiche, specialmente tra la data in cui hai introdotto per la prima volta il plugin e ora.
    • Cerca lavori cron sospetti, attività pianificate o nuovi file in wp-content/plugin.
  6. Fai un backup (prima di apportare modifiche)
    • Crea un backup completo immediato del sito (file + database). Questo preserva i dati attuali per scopi forensi.

6. Rilevamento: cosa cercare (Indicatori di compromissione)

Le prove che un sito potrebbe essere stato preso di mira o sfruttato includono:

  • Plugin recentemente installati che non hai approvato.
  • Plugin recentemente attivati aggiunti da account non amministrativi.
  • Utenti amministratori inaspettati o modifiche ai ruoli degli utenti.
  • Modifiche ai file in wp-content/plugin o file insoliti in wp-content/caricamenti.
  • Nuove attività programmate (cron jobs) che eseguono codice PHP.
  • Connessioni in uscita verso IP/domini sospetti dal sito (controlla i log del server e i log del firewall).
  • Picchi insoliti nelle richieste HTTP POST agli endpoint dei plugin, admin-ajax, o wp-admin/plugin-install.php.
  • Voci nel database in opzioni_wp che fanno riferimento a plugin sconosciuti, hook di attivazione o codice iniettato.

Fonti di log da controllare:

  • Log di attività di WordPress (se hai un plugin di audit attivo).
  • Log di accesso e log di errore del server web.
  • Log di attività dell'host o del pannello di controllo (se forniti dal tuo host).
  • Log WAF (richieste bloccate; tentativi ripetuti agli endpoint di plugin-install).
  • Rapporti di scanner malware.

7. Lista di controllo per la risposta agli incidenti / rimedi (se sospetti un compromesso)

  1. Contenere
    • Metti il sito in modalità manutenzione o disconnettilo se il compromesso attivo è confermato.
    • Cambia tutte le password degli amministratori e invalida le sessioni per tutti gli utenti (forza il reset della password).
  2. Preserva
    • Crea copie forensi di file e database.
    • Esporta i log rilevanti (server web, WAF, FTP/SFTP).
  3. Indagare
    • Identificare la timeline: quando è stato installato/aggiornato il plugin vulnerabile e eventuali nuovi plugin aggiunti dopo quel punto.
    • Cercare gli indicatori noti sopra.
    • Ispeziona utenti wp E wp_usermeta per voci di amministratori non autorizzati.
    • Ispezionare la directory dei plugin attivi per codice di plugin sconosciuto.
  4. Sradicare
    • Rimuovere plugin dannosi, backdoor o file iniettati. Nota: semplicemente eliminare i file potrebbe non rimuovere backdoor a livello di server o payload iniettati nel database.
    • Se non puoi rimuovere con sicurezza tutto il codice dannoso, ripristina da un backup noto e buono effettuato prima della compromissione.
    • Ruotare tutti i segreti: password del database, chiavi API, password dell'applicazione e sali del sito in il file wp-config.php (se compromesso).
  5. Recuperare
    • Applicare tutti gli aggiornamenti (WP core, temi e plugin).
    • Indurire il sito secondo le linee guida di rimedio qui sotto.
    • Riabilitare i servizi del sito solo dopo una valida e approfondita scansione.
  6. Notificare e apprendere
    • Informare le parti interessate dell'incidente se i dati sono stati esposti.
    • Condurre un post-mortem per colmare le lacune nel processo e migliorare la rilevazione.

Se non hai l'expertise interna per eseguire una revisione forense approfondita, considera di coinvolgere professionisti della risposta agli incidenti.

8. Indurimento e prevenzione a lungo termine

Questi controlli riducono sia la possibilità di compromissione sia l'impatto se un problema viene scoperto in futuro.

  • Principio del Minimo Privilegio (PoLP)
    • Concedere le capacità minime necessarie a ciascun ruolo. Rivedere i ruoli personalizzati mensilmente.
    • Solo gli amministratori dovrebbero essere in grado di installare e attivare plugin.
  • Autenticazione a più fattori (MFA)
    • Applicare MFA per tutti gli account con privilegi di modifica/amministrazione.
  • Politiche di password forti e SSO
    • Applicare password forti e uniche e abilitare SSO se disponibile.
  • Audit e registrazione delle attività
    • Abilitare un registro di audit che registra tutte le installazioni di plugin, attivazioni, cambiamenti di ruolo utente e modifiche ai file.
  • Monitoraggio dell'integrità dei file
    • Monitorare le directory principali (il file wp-config.php, wp-content/plugins/*, wp-content/themes/*) per cambiamenti imprevisti ai file.
  • Backup e recupero
    • Mantenere backup automatizzati off-site con una politica di retention e testare i ripristini regolarmente.
  • Accesso amministrativo con minor esposizione
    • Limitare l'accesso a /wp-admin e pagine di installazione dei plugin per IP o applicando un ulteriore strato di autenticazione (VPN, liste di autorizzazione IP, autenticazione di base HTTP).
  • Gestione degli aggiornamenti e testing
    • Mantenere una cadenza di patch per plugin e core.
    • Testare gli aggiornamenti in un ambiente di staging prima degli aggiornamenti in produzione, se possibile.
  • Migliori pratiche di sviluppo (per agenzie e team)
    • Evitare di installare plugin da fonti non affidabili.
    • Utilizzare repository di plugin privati o cataloghi di plugin verificati.
    • Automatizzare i controlli di sicurezza nei pipeline CI/CD.

9. Guida per sviluppatori (come gli autori di plugin dovrebbero prevenire questa classe di bug)

Gli autori dei plugin possono evitare IDOR e Controllo degli Accessi Interrotti facendo:

  • Validare sempre sia l'autenticazione che l'autorizzazione per ogni richiesta. Utilizzare controlli di capacità come current_user_can('install_plugins') dove pertinente.
  • Usa nonce (wp_nonce_field / check_admin_referer) per azioni che modificano lo stato.
  • Evitare di fidarsi degli ID forniti dagli utenti: convalidare che la risorsa a cui si fa riferimento sia di proprietà dell'utente o che il ruolo dell'utente abbia diritti espliciti.
  • Sanitizzare e convalidare tutti i parametri in arrivo (non fidarsi mai degli slug o dei percorsi dei file forniti dagli utenti senza verifica canonica).
  • Utilizzare le funzioni API di WordPress invece di costruire query o operazioni sul filesystem direttamente.
  • Registrare le azioni a livello di amministratore (installazioni di plugin, attivazioni) con ID utente e indirizzi IP per l'audit.
  • Seguire il principio del minimo privilegio internamente: esporre solo UI/azioni ai ruoli che devono utilizzarli.

10. Come WP‑Firewall ti protegge (cosa fa il nostro prodotto e come aiuta)

In WP‑Firewall ci concentriamo su strati pratici di protezione che riducono sia la superficie di attacco che la finestra di esposizione tra la divulgazione delle vulnerabilità e la correzione.

Strati chiave che forniamo:

  • Firewall per applicazioni Web gestito (WAF)
    • Il nostro WAF ispeziona le richieste in arrivo e blocca schemi sospetti e abusi degli endpoint. Per questa classe IDOR includiamo regole per bloccare tentativi non autorizzati di utilizzare gli endpoint di installazione dei plugin da sessioni non amministrative.
    • Patch virtuali: se non puoi aggiornare immediatamente un plugin vulnerabile, WP‑Firewall può implementare una regola di patch virtuale che blocca le richieste di sfruttamento note ai percorsi e ai parametri vulnerabili fino a quando il plugin non viene corretto.
  • Scanner e Rilevamento Malware
    • Scansione continua delle directory dei plugin, dei temi e dei file core per rilevare file dannosi recentemente introdotti o file sorgente modificati.
  • Mitigazioni OWASP Top 10
    • La nostra piattaforma è ottimizzata per ridurre il rischio da comuni controlli di accesso interrotti, iniezioni e altre minacce tipiche di WordPress.
  • Registrazione Audit e Avvisi
    • Catturiamo i tentativi di accesso a endpoint amministrativi sensibili e inviamo avvisi quando viene osservata un'attività sospetta in modo che tu possa agire rapidamente.
  • Opzioni di Mitigazione Gestita (livelli superiori)
    • Per i team che desiderano una protezione senza intervento, sono disponibili opzioni di patching virtuale gestito e risposta agli incidenti (vedi le descrizioni dei piani qui sotto).

Se gestisci molti siti o gestisci ambienti client, la nostra capacità di patching virtuale è particolarmente utile: ti offre una barriera immediata contro i modelli di attacco che mirano a questa CVE mentre coordini e convalidi gli aggiornamenti dei plugin.

11. Esempi di regole WAF suggerite (solo difensive)

Di seguito sono riportate regole difensive concettuali che puoi applicare in un WAF per ridurre il rischio immediato. Questi esempi sono per configurazioni difensive e dovrebbero essere adattati al tuo ambiente. Non copiare e incollare ciecamente senza testare in staging.

  1. Blocca le azioni di installazione del plugin da IP non amministrativi
      – Condizione: richiesta HTTP a /wp-admin/plugin-install.php O admin-ajax.php dove azione parametro è uguale a plugin_install O dove la richiesta contiene parametri di installazione del plugin
      – Azione: Richiedere all'utente di provenire dall'elenco di autorizzazione degli IP amministrativi o sfidarlo (ad es., CAPTCHA / 2FA) — bloccare altrimenti.
  2. Blocca richieste insolitamente frequenti agli endpoint di installazione del plugin
      – Condizione: Più di X richieste a plugin-install.php O wp-admin/admin-ajax.php dallo stesso IP in un minuto.
      – Azione: Limitare / bloccare.
  3. Blocca POST sospetti agli endpoint amministrativi per incongruenza di ruolo
      – Condizione: Esiste un cookie autenticato ma la sessione utente indica un ruolo non amministrativo che cerca di accedere alle funzioni di installazione del plugin.
      – Azione: Blocca e registra.
  4. Patch virtuale (ispezione dei parametri)
      – Condizione: Le richieste a un endpoint specifico includono nomi di parametri utilizzati dalla vulnerabilità (ispeziona per modelli di slug di plugin sospetti e nega).
      – Azione: Blocca o restituisci 403.

Importante: Le regole WAF sono controlli compensativi, non soluzioni permanenti. Il plugin deve essere patchato.

12. Per host e agenzie — raccomandazioni politiche

  • Non concedere mai le capacità di installazione dei plugin agli utenti non amministratori per impostazione predefinita.
  • Utilizza strumenti di gestione centralizzati con accesso basato sui ruoli in modo da poter controllare il ciclo di vita dei plugin da un'unica interfaccia di amministrazione.
  • Esegui revisioni dei privilegi ogni volta che viene aggiunto un nuovo plugin o un nuovo membro del team viene integrato.
  • Mantieni un programma regolare per la scansione delle vulnerabilità su tutti i siti client.

13. Se gestisci più siti — piano di remediation in fasi

  1. Inventario
      – Genera un elenco di tutti i siti che eseguono ExactMetrics e le loro specifiche versioni dei plugin.
  2. Dai priorità
      – Dai priorità ai siti in cui esistono account non amministratori o dove le installazioni di plugin sono possibili da parte di più membri del personale.
  3. Patch & verifica
      – Aggiorna prima a 9.0.3 su staging; verifica la funzionalità critica; quindi distribuisci in produzione.
  4. Controlli compensativi durante il rollout
      – Se la patch richiederà più di 24 ore, abilita le regole di patching virtuale WAF su tutti i siti interessati.

14. Monitoraggio post-remediation

  • Dopo la patch e la pulizia, monitora per almeno 30 giorni gli indicatori elencati sopra.
  • Mantieni un registro di log a prova di manomissione in modo da poter individuare test tardivi da parte di attaccanti persistenti.
  • Esegui una scansione completa del malware e ricontrolla l'integrità del filesystem dopo la remediation.

15. FAQ

D: Se non ho utenti non amministratori, sono al sicuro?
R: Rischio probabilmente inferiore, ma verifica comunque — gli account amministratori compromessi, il riutilizzo delle credenziali o le vulnerabilità in altri plugin possono comunque portare a sfruttamenti.

D: Posso fare affidamento sul mio host per le patch?
R: I fornitori di hosting possono assistere con gli aggiornamenti, ma la responsabilità per la selezione dei plugin e la configurazione a livello di sito di solito ricade sul proprietario del sito. Conferma con il tuo host se applicheranno gli aggiornamenti dei plugin e il loro SLA di patching.

D: È sufficiente un WAF se non posso applicare patch?
R: Un WAF con patch virtuali riduce notevolmente il rischio immediato, ma non dovrebbe essere un sostituto permanente per l'applicazione delle correzioni del fornitore. I WAF possono bloccare modelli di sfruttamento comuni, ma potrebbero non gestire ogni vettore di attacco.

16. Elenco di controllo rapido prioritario (sommario)

  1. Aggiorna ExactMetrics alla versione 9.0.3 o successiva (massima priorità).
  2. Se l'aggiornamento immediato non è possibile: disabilita l'installazione di plugin avviata dal web (DISALLOW_FILE_MODS), limita l'accesso ai punti finali di installazione dei plugin e applica patch virtuali WAF.
  3. Audit dei ruoli utente e rimuovi privilegi non necessari.
  4. Applica password forti e MFA su tutti gli account elevati.
  5. Scansiona e rimuovi plugin, file e crons non autorizzati.
  6. Conserva i log e i backup per una revisione forense se sospetti una compromissione.

17. Nota per gli sviluppatori (se mantieni ExactMetrics o plugin simili)

Se sei uno sviluppatore di plugin, tratta qualsiasi punto finale che esegue selezione o modifica delle risorse come ad alto rischio. Valida la proprietà e l'autorizzazione sul server per ogni richiesta. Usa controlli di capacità di WordPress e nonce, e adotta un ciclo di vita di sviluppo sicuro che includa analisi statica/dinamica e test di fuzzing contro i punti finali di amministrazione.

18. Proteggi il tuo sito ora — Piano gratuito WP‑Firewall

Proteggi il tuo sito WordPress oggi con il piano Base (Gratuito) di WP‑Firewall. Fornisce protezioni essenziali per ridurre drasticamente la tua esposizione mentre applichi patch:

  • Protezione essenziale: firewall gestito, larghezza di banda illimitata, WAF, scanner malware e mitigazione dei rischi OWASP Top 10 — tutto incluso nel piano gratuito.
  • Se desideri una remediation automatizzata e maggiore controllo, i livelli Standard e Pro aggiungono rimozione automatizzata di malware, liste di autorizzazione/negazione IP, report di sicurezza mensili, patch virtuali automatiche e servizi gestiti aggiuntivi.

Inizia la tua protezione gratuita ora e applica difese WAF immediate mentre aggiorni ExactMetrics: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Il piano gratuito include il firewall gestito e le protezioni WAF necessarie per bloccare i modelli di sfruttamento per la vulnerabilità descritta sopra. Sono disponibili opzioni di upgrade per remediation automatizzata, reporting avanzato e servizi gestiti.)

19. Considerazioni finali

CVE-2026-1992 dimostra un tema ricorrente nella sicurezza di WordPress: anche i plugin ben noti possono contenere errori nella logica di controllo degli accessi che diventano ad alto impatto quando toccano i flussi di installazione dei plugin. Poiché lo sfruttamento richiede autenticazione, il rafforzamento della gestione degli account e dei ruoli è almeno altrettanto importante quanto mantenere aggiornati i plugin.

Elementi di azione immediata: inventario dei siti interessati, aggiornamento alla versione 9.0.3 e, se gestisci molti siti, considera di implementare patch virtuali tramite un WAF gestito mentre coordini gli aggiornamenti.

Se desideri assistenza nell'implementazione della patch virtuale o hai bisogno di aiuto per auditare più istanze di WordPress, WP‑Firewall può aiutarti sia con protezioni automatizzate che con risposte agli incidenti guidate da esseri umani. Inizia con il nostro piano gratuito per ottenere una protezione di base mentre risolvi i plugin vulnerabili.

Rimani al sicuro e mantieni il tuo sito aggiornato e monitorato.

— Il team di sicurezza di WP-Firewall

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™