Vulnerabilità di Controllo Accessi Nexi XPay//Pubblicato il 2026-04-15//CVE-2025-15565

TEAM DI SICUREZZA WP-FIREWALL

Nexi XPay Vulnerability

Nome del plugin Nexi XPay
Tipo di vulnerabilità Vulnerabilità del controllo degli accessi
Numero CVE CVE-2025-15565
Urgenza Basso
Data di pubblicazione CVE 2026-04-15
URL di origine CVE-2025-15565

Controllo degli accessi compromesso in Nexi XPay (≤ 8.3.0): Cosa devono fare ora i proprietari di siti WordPress

Autore: WP‑Firewall Security Team
Data: 2026-04-15

Sintesi

Il 15 aprile 2026 è stata divulgata una vulnerabilità di controllo degli accessi compromesso che colpisce il plugin WordPress Nexi XPay (versioni ≤ 8.3.0) ed è stata assegnata CVE‑2025‑15565. Il problema consente a attori non autenticati di modificare lo stato degli ordini in alcune installazioni che utilizzano il plugin vulnerabile. Il fornitore ha rilasciato una patch nella versione 8.3.2.

Come team di sicurezza WordPress che gestisce un WAF professionale e una stack di protezione del sito, vogliamo spiegare in termini semplici cosa significa questa vulnerabilità, quanto è probabile che venga sfruttata, quali sono i veri rischi per WooCommerce e altri negozi che utilizzano Nexi/Cartasi XPay e — soprattutto — come mitigare e rilevare rapidamente i tentativi. Forniamo anche mitigazioni pragmatiche che puoi applicare immediatamente (inclusi suggerimenti sulle regole WAF e raccomandazioni di monitoraggio) e migliori pratiche a lungo termine per sviluppatori e configurazioni per prevenire ricorrenze.

Questo post è scritto per proprietari di siti, sviluppatori e operatori di hosting. È tecnico dove necessario, ma anche pratico: alla fine saprai cosa controllare, cosa fare ora e cosa aggiungere al tuo piano di risposta agli incidenti.

Qual è la vulnerabilità?

  • Software interessato: plugin WordPress Nexi XPay (distribuito anche come Cartasi X‑Pay in alcuni repository).
  • Versioni vulnerabili: qualsiasi versione fino e compresa la 8.3.0.
  • Corretto in: 8.3.2 (aggiorna immediatamente).
  • CVE: CVE‑2025‑15565
  • Classe: Controllo degli accessi compromesso (OWASP A1 / A5 a seconda della tassonomia)
  • CVSS (riferimento pubblicato): 5.3 (impatto medio / medio-basso a seconda del contesto)

Controllo degli accessi compromesso qui significa che il plugin aveva un controllo di autorizzazione/permissi mancante nel codice che modifica lo stato dell'ordine. Quella omissione ha consentito richieste non autenticate (richieste senza una sessione di accesso o una capacità valida) di attivare cambiamenti di stato degli ordini in alcune configurazioni.

Perché è importante: I cambiamenti di stato degli ordini in WooCommerce sono azioni di alto valore — possono influenzare l'inventario, l'evasione degli ordini, le email automatiche, i controlli antifrode e le integrazioni contabili/evasione a valle. Anche se la vulnerabilità non provoca direttamente la fuga di dati della carta (le protezioni dei dati di pagamento sono separate), le modifiche di stato non autorizzate possono essere utilizzate come parte di campagne di frode e interruzione più ampie.

Chi dovrebbe essere preoccupato?

  • Negozi WooCommerce che utilizzano il plugin del gateway di pagamento Nexi/XPay.
  • Agenzie e fornitori di hosting che gestiscono siti client che utilizzano il plugin.
  • Siti che si affidano all'elaborazione automatizzata degli ordini (inventario, attivazione delle spedizioni, notifiche email).
  • Chiunque utilizzi webhook o integrazioni che agiscono sui cambiamenti di stato degli ordini.

Se utilizzi Nexi XPay e stai eseguendo una versione ≤ 8.3.0, considera questo come alta priorità da risolvere anche se il CVSS pubblicato è moderato. L'impatto reale sul business dipende da come il tuo negozio gestisce le transizioni dello stato degli ordini e se altri controlli (firewall host, WAF infrastrutturale, endpoint solo per amministratori, ecc.) limitano l'accesso.

Come un attaccante potrebbe sfruttarlo (scenari)

Non riprodurremo codice di sfruttamento in questo articolo, ma ecco scenari di attacco realistici in modo che tu possa valutare la tua esposizione.

  1. Interrompere gli ordini / causare spedizioni fraudolente:
      – L'attaccante modifica lo stato dell'ordine in “completato” per ingannare i partner di evasione o spedizione a spedire beni senza una corretta verifica del pagamento (se i processi a valle si basano esclusivamente sullo stato).
  2. Manipolazione dell'inventario:
      – Cambiare gli stati può aprire o chiudere finestre di allocazione dell'inventario, creando potenzialmente incoerenze di stock.
  3. Confusione su rimborsi e contabilità:
      – Se i flussi di lavoro generano automaticamente fatture/rimborsi in base allo stato, un attaccante potrebbe causare controversie di fatturazione e mal di testa operativi.
  4. Attacchi a catena:
      – Cambia un ordine per attivare un webhook che chiama un servizio esterno; usalo per pivotare o negare il servizio.
  5. Ingegneria sociale e scalabilità delle truffe:
      – La manipolazione di stato in massa su molti siti può creare un ampio caos per i piccoli commercianti, aiutando le reti di truffa.

Nota: Lo sfruttamento richiede conoscenza del specifico endpoint/parametri utilizzati dal plugin. La probabilità di scansioni automatizzate su larga scala è reale; i bug di controllo degli accessi interrotti sono comunemente sfruttati in campagne di massa.

Azioni immediate (cosa fare nei prossimi 60 minuti)

  1. Aggiorna il plugin:
      – Aggiorna Nexi XPay alla versione 8.3.2 o successiva. Questa è l'unica soluzione completa.
      – Se gestisci molti siti, programma un aggiornamento coordinato e monitora eventuali errori di aggiornamento.
  2. Se non puoi aggiornare immediatamente, implementa mitigazioni temporanee:
      – Disabilita il plugin del gateway di pagamento fino a quando non puoi applicare la patch.
      – Limita le richieste agli endpoint del plugin a livello di server o WAF (esempi di seguito).
      – Aggiungi una regola per negare richieste non autenticate sospette che tentano di cambiare lo stato dell'ordine (vedi le linee guida WAF).
  3. Audit per segni di sfruttamento:
      – Controlla la cronologia degli ordini recenti per cambiamenti di stato inaspettati.
      – Rivedi i log (webserver, PHP, WooCommerce) per richieste POST o JSON agli endpoint del plugin da IP o user-agent insoliti.
      – Controlla un picco nell'attività dei webhook, nelle chiamate API in uscita e nelle notifiche email legate agli stati degli ordini.
  4. Conserva i log:
      – Se sospetti un compromesso, conserva i log e gli snapshot per le indagini forensi. Non sovrascrivere o eliminare i log.

Come rilevare sfruttamento — indicatori di compromesso (IoCs)

Cerca i seguenti segni nei tuoi log e nelle cronologie degli ordini di WooCommerce:

  • Transizioni di stato inaspettate: ordini che passano da “in attesa” a “completato” o “in elaborazione” senza un evento di cattura pagamento corrispondente.
  • Richieste a endpoint specifici del plugin che mancano di un cookie autenticato o di un user agent admin noto.
  • Richieste POST/PUT/DELETE con parametri nominati come stato_dell'ordine, stato, id_ordine, o chiavi specifiche del plugin dove il richiedente non è autenticato.
  • Picco nelle richieste agli endpoint del plugin provenienti da intervalli IP poco comuni o richieste ripetute in brevi intervalli.
  • Nuovi o alterati webhook attivati senza eventi upstream attesi.
  • Email o notifiche riguardanti cambiamenti negli ordini che non hai avviato.

Dove controllare:

  • Log di accesso e log di errore di Apache/Nginx.
  • Log degli errori PHP-FPM o PHP (per messaggi di debug o plugin).
  • Note sugli ordini di WooCommerce (ogni ordine mantiene una cronologia).
  • Log del pannello di controllo dell'hosting e qualsiasi WAF/logging che hai già abilitato.

Suggerimento professionale: interroga i tuoi log per richieste POST con un referer di nullo o referer vuoto che mirano a URL del plugin negli ultimi 7–30 giorni.

WAF / guida alla patch virtuale (regole temporanee)

Se non puoi eseguire l'upgrade immediatamente, applica regole WAF mirate. L'obiettivo è bloccare i tentativi non autenticati di cambiare lo stato dell'ordine riducendo al minimo i falsi positivi.

Importante: Regola e testa le regole in modalità “monitor” o “solo log” prima di bloccare in produzione.

Idee generiche per le regole (concettuale; adatta alla sintassi del tuo WAF):

  • Blocca le richieste POST/PUT non autenticate agli endpoint dei plugin noti che trasmettono parametri utilizzati per cambiare lo stato dell'ordine.
  • Se il plugin espone un percorso REST, richiedi che le richieste contengano un token AUTH valido, nonce o cookie. Negare le richieste senza questi elementi.
  • Limita il numero di richieste agli endpoint dei plugin (nega se > X richieste al minuto dallo stesso IP).

Esempio di pseudo-regole (non copiare parola per parola; adatta al tuo stack):

  • Negare le richieste POST a qualsiasi URI che corrisponde al percorso del plugin se non è presente un cookie di WordPress:
      – Condizione: REQUEST_METHOD == POST E REQUEST_URI CONTIENE “/wp-content/plugins/[nexi|cartasi]” E HTTP_COOKIE non contiene “wordpress_logged_in_”
      – Azione: BLOCCA / Restituisci 403
  • Negare le richieste che tentano di impostare lo stato dell'ordine se il referer è vuoto e la richiesta è non autenticata:
      – Condizione: REQUEST_BODY contiene “order_status” E HTTP_REFERER è vuoto E HTTP_COOKIE non contiene “wordpress_logged_in_”
      – Azione: BLOCCA
  • Regola di limitazione della frequenza:
      – Condizione: REQUEST_URI contiene il percorso del plugin E count(IP) > 20 in 1 minuto
      – Azione: SFIDA o BLOCCA

Raccomandazioni per WAF comuni:

  • Se utilizzi ModSecurity: scrivi una SecRule che corrisponde all'endpoint del plugin e controlla l'assenza di un cookie di autenticazione di WordPress o di un valore nonce.
  • Se il tuo WAF supporta la patch virtuale: crea una regola che ispeziona le richieste per parametri che modificano lo stato e le blocca a meno che non siano accompagnate da un nonce valido o da una capacità di amministratore.

Registrazione: registra tutti gli header delle richieste complete (non i corpi contenenti PII) e il nome della regola corrispondente per ogni richiesta bloccata. Usa questi log per affinare le firme.

Avvertenza: bloccare tutto il traffico verso i percorsi del plugin potrebbe interrompere i clienti legittimi. Usa il blocco temporaneo solo mentre prepari un aggiornamento completo.

Come auditare il tuo sito per esposizione

  1. Inventario:
      – Identifica tutti i siti e gli ambienti che hanno installato il plugin vulnerabile (inclusi staging e dev).
      – Dove ospiti più siti client, usa uno strumento di inventario centrale o uno scanner di plugin per elencare le versioni dei plugin.
  2. Revisione della cronologia degli ordini:
      – Esporta gli ordini degli ultimi 30–90 giorni e cerca transizioni di stato irregolari.
      – Controlla le note degli ordini — di solito contengono quale utente ha cambiato lo stato; se “system” o “API” appare senza contesto, indaga ulteriormente.
  3. Log e analisi:
      – Interroga i log del server web per l'accesso ai percorsi dei file del plugin o alle rotte dell'API REST collegate al plugin di pagamento.
      – Controlla picchi insoliti nelle risposte 200/201/204 associate agli endpoint di modifica degli ordini.
  4. Integrità dei file:
      – Conferma che i file del plugin non siano stati modificati. Usa checksum da una copia pulita del plugin o dal repository di WordPress come riferimento.
      – Se vedi file PHP inaspettati o cron job sconosciuti, trattali come sospetti.
  5. Controlli del database:
      – Cerca nella tabella delle opzioni e negli usermeta voci sospette collegate al plugin che potrebbero creare backdoor o trigger persistenti.
  6. Integrazioni esterne:
      – Verifica i webhook del gateway di pagamento con il fornitore di pagamento per assicurarti che non sia stata aggiunta alcuna mappatura inaspettata.

Risposta all'incidente se trovi prove di sfruttamento.

  1. Contenere:
      – Disabilita immediatamente il plugin vulnerabile o blocca l'accesso all'endpoint vulnerabile tramite regole del firewall.
      – Ripristina le credenziali di admin, merchant e integrazione che potrebbero essere state utilizzate.
  2. Conservare le prove:
      – Fai uno snapshot del sito e del database, esporta i log e conservali in modo sicuro. Non modificare il sistema interessato fino a quando le prove non sono state preservate.
  3. Sradicare:
      – Aggiorna il plugin (a 8.3.2+) e tutti gli altri plugin, temi e il core di WordPress.
      – Rimuovere eventuali file dannosi o attività cron non autorizzate. Se non si è sicuri, ripristinare un backup noto e buono creato prima dell'intrusione.
  4. Recuperare:
      – Riabilitare i servizi gradualmente. Validare i flussi di ordine e le integrazioni in un ambiente di staging prima di tornare in produzione.
  5. Notificare:
      – Informare le parti interessate (conti commerciante, evasione, clienti se necessario) e il proprio fornitore di hosting.
  6. Post-incidente:
      – Condurre un'analisi delle cause radice e aggiungere controlli (indurimento WAF, miglioramenti della registrazione, monitoraggio) per prevenire ricorrenze.

Guida per gli sviluppatori — come questo previene bug simili

Questa vulnerabilità è un esempio classico di controlli di autorizzazione lato server mancanti. La convalida lato client (controlli JavaScript, nonce del modulo solo sul client) non è sufficiente. I seguenti principi di sviluppo dovrebbero essere presenti in qualsiasi plugin che modifica risorse critiche:

  • Eseguire sempre controlli delle capacità lato server:
      – Utilizzare controlli delle capacità di WordPress come current_user_can(‘manage_woocommerce’) dove applicabile.
  • Non fidarsi di alcuna richiesta in arrivo senza verificare:
      – Valida e sanifica tutti gli input.
      – Verificare i nonce nelle sottomissioni di moduli e nelle richieste REST. Per gli endpoint REST, utilizzare callback di autorizzazione che verificano le capacità dell'utente o i token.
  • Limitare esplicitamente le azioni sensibili ai ruoli autenticati o ai webhook firmati:
      – Se un'integrazione deve eseguire azioni senza una sessione utente (ad esempio, webhook del fornitore di pagamento), richiedere payload firmati o verifica di segreti pre-condivisi.
  • Registrare azioni sensibili:
      – Mantenere registri chiari quando gli stati degli ordini cambiano, inclusi chi/cosa ha attivato il cambiamento e i metadati della richiesta.
  • Impostazioni di sicurezza predefinite:
      – Se un controllo di autorizzazione fallisce, negare l'azione e restituire un errore informativo ma non sensibile.

Lista di controllo per il rafforzamento dei siti WordPress/WooCommerce

  • Mantenere aggiornato il core di WordPress, i temi e i plugin entro 72 ore da correzioni di sicurezza critiche.
  • Limitare l'accesso admin per IP dove possibile (ad esempio, limitare wp-admin a un IP statico o impostare una VPN).
  • Applicare password forti e autenticazione a due fattori per gli account amministratore e commerciante.
  • Eseguire un WAF e configurare patch virtuali per finestre zero-day; utilizzare regole ottimizzate per endpoint di plugin noti.
  • Abilita la registrazione delle attività (azioni dell'amministratore, azioni degli ordini) e inoltra i log a un sistema di registrazione centrale.
  • Pianifica controlli regolari dell'integrità dei file e scansioni malware.
  • Esegui backup regolarmente e verifica il processo di ripristino (sia dei file che del database).
  • Utilizza il principio del minimo privilegio per le chiavi API e i segreti dei webhook.

Raccomandazioni per fornitori di hosting e agenzie

Se sei un'agenzia o un host che gestisce siti dei clienti:

  • Dai priorità al rilascio delle patch per i siti dei clienti con il plugin: aggiornamenti di massa coordinati sono spesso la mitigazione più rapida.
  • Crea un piano di comunicazione per informare i clienti colpiti riguardo al problema, al rischio e alla tempistica di rimedio.
  • Fornisci patch virtuali temporanee (regole WAF) per i clienti gestiti che non possono essere aggiornati immediatamente.
  • Offri un servizio di risposta agli incidenti per i clienti che potrebbero essere compromessi.
  • Mantieni un inventario incrociato delle versioni del plugin per identificare rapidamente l'esposizione.

Perché il CVSS da solo può essere fuorviante per le vulnerabilità di WordPress

Il punteggio CVSS pubblicato per questo problema è 5.3. Il CVSS è utile per la standardizzazione, ma gli ecosistemi di WordPress sono unici:

  • Un CVSS medio può comunque avere un impatto sproporzionato nel mondo reale per i negozi di eCommerce perché la logica aziendale (ordini, inventario, evasione) è sensibile.
  • Il rischio effettivo dipende da come è configurato il plugin, se esistono controlli di accesso aggiuntivi, dalla presenza di webhook/integrazioni e se gli host implementano WAF.
  • Tratta ogni vulnerabilità con contesto: come viene utilizzato il plugin, quali processi dipendono dagli stati degli ordini e la scala dell'automazione.

Migliori pratiche di monitoraggio e rilevamento

  • Abilita e conserva i log del server web e di PHP per almeno 90 giorni, se possibile.
  • Implementa avvisi automatici per:
      – Un gran numero di cambiamenti di stato degli ordini in un breve intervallo di tempo.
      – Richieste POST agli endpoint del plugin del gateway di pagamento da IP sconosciuti o nodi di uscita Tor.
      – Aumenti di frequenza per endpoint specifici.
  • Monitorare le anomalie nel traffico webhook e nei log degli integratori di terze parti.
  • Utilizzare un SIEM centrale o un aggregatore di log per correlare eventi di ordine e richieste web.

Cosa raccomandiamo agli utenti di WP-Firewall di fare subito

(Se stai utilizzando la protezione WP‑Firewall, applica immediatamente questi passaggi.)

  1. Conferma la versione del plugin su tutti i siti che gestisci (≤ 8.3.0 sono interessati).
  2. Aggiorna a 8.3.2+ il prima possibile.
  3. Abilita le nostre regole firewall gestite per gli endpoint del gateway di pagamento — queste regole includono già controlli di firma per modelli comuni di modifica dello stato dell'ordine e euristiche per bloccare tentativi non autenticati.
  4. Attiva la scansione automatica dei malware e gli avvisi di modifica dell'ordine in modo da ricevere notifiche immediate di transizioni di stato sospette.
  5. Se non puoi aggiornare immediatamente, abilita la patch virtuale temporanea nel firewall per bloccare le richieste non autenticate che tentano di modificare lo stato dell'ordine.

Esempi di modelli di regole WAF (concettuali)

Di seguito sono riportati modelli concettuali per le regole WAF. Adattali al tuo ambiente e testali prima in modalità di monitoraggio.

Regola pseudo #: blocca le richieste POST che tentano di impostare lo stato dell'ordine senza autenticazione

# Limita la velocità e sfida le richieste ai percorsi del plugin

# Consenti solo agli IP dei fornitori di pagamento di accedere all'endpoint webhook quando noti

Correzioni a lungo termine che gli autori dei plugin dovrebbero implementare

Se mantieni plugin:

  • Richiedi un controllo di autorizzazione o capacità in qualsiasi azione che modifica gli ordini. Non assumere che la richiesta sia legittima.
  • Per le rotte dell'API REST:
      – Implementa un autorizzazione_richiamata che applica controlli di capacità o verifica le firme per le chiamate macchina-a-macchina.
  • Per admin‑ajax e gestione dei moduli:
      – Applica i nonce di WordPress e current_user_can() controlli.
  • Aggiungi test unitari/integrazione approfonditi che verifichino il fallimento delle chiamate non autorizzate.
  • Fornisci changelog chiari e informazioni sulle versioni interessate per le release di sicurezza.

Domande frequenti (FAQ)

Q: Se un attaccante ha cambiato un ordine in “completato”, significa che il pagamento è stato catturato?
UN: Non necessariamente. Lo stato dell'ordine è spesso un flag di logica aziendale. La cattura del pagamento è un'operazione separata. Tuttavia, molti negozi hanno automazioni che trattano “completato” come un segnale per spedire. Conferma lo stato della transazione del gateway di pagamento nel dashboard del fornitore di pagamento.

Q: Posso bloccare in sicurezza il traffico al plugin di pagamento?
UN: Il blocco del traffico agli endpoint pubblici del plugin potrebbe influenzare i flussi di pagamento legittimi. Utilizza un blocco mirato (blocca solo le richieste di cambio stato non autenticate) o disabilitazioni a breve termine in coordinamento con le parti interessate.

Q: Quanto rapidamente dovrei agire?
UN: Immediatamente. Applica prima la patch. Se non puoi applicare la patch entro le prossime 24-48 ore, applica mitigazioni WAF e restrizioni temporanee fino a quando non puoi aggiornare.

Nuovo: Proteggi il tuo sito istantaneamente con il piano gratuito WP‑Firewall.

Prova la protezione di base WP‑Firewall gratuitamente e aggiungi immediatamente strati di difesa mentre aggiorni i plugin e controlli i tuoi negozi.

Titolo: Ottieni protezione di base istantanea con WP‑Firewall Basic (Gratuito).

Se gestisci un sito che utilizza gateway di pagamento o WooCommerce, abilita ora le protezioni essenziali:

  • Piano 1 — Base (Gratuito): firewall gestito, larghezza di banda illimitata, WAF, scanner malware e mitigazione per i rischi OWASP Top 10. Questo offre protezione immediata contro schemi di richiesta noti che tentano cambiamenti non autorizzati degli ordini e altre minacce comuni.
  • Piano 2 — Standard ($50/anno): aggiunge rimozione automatica dei malware e la possibilità di mettere in blacklist/whitelist fino a 20 IP.
  • Piano 3 — Pro ($299/anno): include report di sicurezza mensili, patch virtuali automatiche per vulnerabilità e servizi di supporto premium.

Inizia con Basic per avere un WAF gestito davanti al tuo sito mentre esegui gli aggiornamenti e le verifiche dei plugin descritti sopra. Iscriviti qui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Abbiamo progettato il piano Basic affinché i proprietari dei negozi possano ottenere protezione senza costi e senza configurazioni complesse. È un passo pratico per ridurre il rischio mentre risolvi completamente.)

Concludi — checklist prioritaria.

  1. Inventario: trova tutti i siti con il plugin Nexi XPay / Cartasi X‑Pay.
  2. Aggiorna tutti i siti alla versione del plugin 8.3.2 o successiva immediatamente.
  3. Se l'aggiornamento non è immediatamente possibile:
      – Disabilita il plugin O
      – Implementa regole WAF temporanee per bloccare i tentativi di modifica dello stato degli ordini non autenticati.
  4. Controlla gli ordini e i log per cambiamenti di stato irregolari e conserva le prove se noti segni di sfruttamento.
  5. Rendi più sicuro il tuo ambiente: applica il principio del minimo privilegio, abilita l'autenticazione a due fattori per gli account admin e utilizza il logging/monitoraggio centralizzato.
  6. Considera la protezione gestita (WAF + patching virtuale automatizzato) mentre conduci una completa rimediazione e revisione post-incidente.

Considerazioni finali dal team di WP‑Firewall

Il controllo degli accessi compromesso è uno dei modelli più comuni che vediamo portare a compromessi più ampi o frodi dirompenti. Negli ambienti eCommerce di WordPress, l'impatto commerciale è sproporzionatamente alto: i flussi di lavoro degli ordini controllano denaro, inventario e adempimento. Questo rende anche le vulnerabilità “medie” critiche per il business.

Applica le patch rapidamente. Se non puoi applicare le patch rapidamente, utilizza patch virtuali e monitora. Se hai bisogno di aiuto per gestire il problema su più siti client o desideri protezione automatizzata mentre rimedi, offriamo servizi di firewall gestiti e patching virtuale progettati per ambienti WordPress e WooCommerce.

Se desideri assistenza passo dopo passo per la rimediazione o aiuto nell'implementare regole WAF sicure e monitoraggio per i tuoi siti, il team di WP-Firewall è disponibile per aiutarti.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™