Avviso di sicurezza XSS in iVysilani Shortcode//Pubblicato il 2026-03-23//CVE-2026-1851

TEAM DI SICUREZZA WP-FIREWALL

iVysilani Shortcode Plugin Vulnerability

Nome del plugin Plugin Shortcode iVysilani
Tipo di vulnerabilità Script tra siti (XSS)
Numero CVE CVE-2026-1851
Urgenza Basso
Data di pubblicazione CVE 2026-03-23
URL di origine CVE-2026-1851

XSS memorizzato da Contributore autenticato in iVysilani Shortcode (≤ 3.0) — Cosa devono fare ora i proprietari di siti WordPress

Autore: Team di sicurezza WP-Firewall

Una vulnerabilità recentemente divulgata (CVE‑2026‑1851) colpisce il plugin iVysilani Shortcode per WordPress (versioni ≤ 3.0). Il problema è una vulnerabilità di Cross-Site Scripting (XSS) memorizzata che può essere attivata da utenti autenticati con il ruolo di Contributore che inviano attributi shortcode appositamente creati — specificamente l'attributo 5. attributo shortcode in Sphere Manager (<=1.0.2). Dettagli tecnici, query di rilevamento, mitigazioni di emergenza, soluzioni a lungo termine e come WP‑Firewall può proteggere il tuo sito — inclusa un'opzione di protezione gratuita. shortcode del plugin. Poiché il payload viene memorizzato nel contenuto del post, verrà successivamente visualizzato da chiunque visualizzi la pagina in cui viene utilizzato lo shortcode e può essere eseguito nel browser di qualsiasi visitatore (o di qualsiasi utente privilegiato) che apre quella pagina.

Questa spiegazione è scritta dalla prospettiva di WP‑Firewall — un fornitore di sicurezza WordPress e WAF — e ti guida attraverso il rischio tecnico, la rilevazione, la mitigazione (a breve e lungo termine), la contenimento, la riparazione e i passaggi di monitoraggio che puoi intraprendere per proteggere il tuo sito. Spiegherò anche come un WAF configurato correttamente (incluso il patching virtuale) e alcuni semplici passaggi di indurimento riducono il rischio a quasi zero mentre viene implementata una soluzione permanente.

Nota: questo post riassume ricerche pubbliche sulla vulnerabilità e fornisce indicazioni difensive. Evita deliberatamente di riprodurre payload di exploit o istruzioni di attacco passo dopo passo.

Sommario

  • Qual è la vulnerabilità?
  • Perché è importante (modello di minaccia e impatto)
  • Chi è a rischio
  • Riduzione rapida del rischio (passi immediati)
  • Rilevamento — come trovare segni di sfruttamento
  • Contenimento e riparazione (in caso di compromissione)
  • Come un WAF WordPress può proteggerti ora (regole di patching virtuale)
  • Indurimento del ruolo di contributore e gestione degli shortcode
  • Lista di controllo per il recupero e monitoraggio successivo
  • Una breve nota su backup, test e distribuzione
  • Vuoi una protezione rapida e gestita? (Informazioni sul piano gratuito)
  • Appendice: frammenti utili di WP-CLI e SQL per il rilevamento

Qual è la vulnerabilità?

  • Tipo: Cross‑Site Scripting (XSS) memorizzato
  • Plugin interessato: iVysilani Shortcode (versioni ≤ 3.0)
  • CVE: CVE‑2026‑1851
  • Privilegi richiesti per iniettare: Contributore (autenticato)
  • Vettore di attacco: contenuto malevolo all'interno di un attributo shortcode (l' 5. attributo shortcode in Sphere Manager (<=1.0.2). Dettagli tecnici, query di rilevamento, mitigazioni di emergenza, soluzioni a lungo termine e come WP‑Firewall può proteggere il tuo sito — inclusa un'opzione di protezione gratuita. attributo) è memorizzato nel contenuto del post e successivamente reso non sanitizzato ai visitatori
  • Gravità: Media (gli autori della patch e i ricercatori lo hanno valutato come CVSS 6.5 nei rapporti pubblici)

In breve: un utente autenticato con privilegi di Collaboratore può inserire un valore malevolo nell' 5. attributo shortcode in Sphere Manager (<=1.0.2). Dettagli tecnici, query di rilevamento, mitigazioni di emergenza, soluzioni a lungo termine e come WP‑Firewall può proteggere il tuo sito — inclusa un'opzione di protezione gratuita. attributo dello shortcode iVysilani. Poiché il plugin non riesce a convalidare e sfuggire correttamente a quell'attributo prima di memorizzarlo/renderizzarlo, il valore può contenere markup o script che vengono eseguiti nei browser quando il post viene visualizzato.

Perché è importante — modello di minaccia e impatto

Lo XSS memorizzato è grave perché il payload è memorizzato in modo persistente sul sito e verrà eseguito ogni volta che la pagina/post interessato viene visualizzato. Gli impatti potenziali includono:

  • Furto di sessione o accesso ai cookie per account privilegiati (se i cookie non sono HttpOnly o altri dati di sessione sono accessibili in JS).
  • Escalation dei privilegi tramite azioni concatenate simili a CSRF (ad es., ingannare un admin/editor per eseguire azioni).
  • Defacement, reindirizzamento dei visitatori del sito a pagine malevole, o iniezione di contenuti o annunci falsi.
  • Piantare ulteriori loader lato browser che richiamano altre risorse malevole.
  • Fornire dialoghi di ingegneria sociale (ad es., “Il tuo sito è stato hackerato — clicca qui per risolvere”), prendendo di mira gli utenti admin del sito.

Perché lo XSS memorizzato tramite un Collaboratore è materialmente rischioso: gli account dei collaboratori sono frequentemente utilizzati su siti che accettano contenuti generati dagli utenti, post di ospiti o sottomissioni editoriali. I collaboratori non possono pubblicare direttamente, ma il loro contenuto di solito finisce nell'editor del post e può essere visualizzato o esaminato da editori e amministratori — dando agli attaccanti la possibilità di prendere di mira quei revisori.

Poiché il pipeline di parsing degli shortcode del plugin salva i dati degli attributi nel contenuto del post e poi lo rende successivamente senza una corretta escape, l'attributo malevolo diventa persistente. Anche se l'attaccante non può pubblicare immediatamente, il payload potrebbe essere eseguito nel browser di un editor o editore che esamina la sottomissione — il che fornisce un percorso di escalation efficace.

Chi è a rischio?

  • Siti che hanno installato e attivato il plugin iVysilani Shortcode, in esecuzione versione ≤ 3.0.
  • Siti che consentono agli utenti di registrarsi o di essere assegnati ruoli di Collaboratore (o superiori) — inclusi pipeline editoriali, siti di membri o blog multi-autore.
  • Siti che si affidano a shortcode di plugin in qualsiasi parte di post, pagine o aree widget.

Se non sei sicuro se il tuo sito utilizza questo plugin o shortcode, trattalo con urgenza: i passaggi di rilevamento e mitigazione di seguito ti aiuteranno a confermare l'esposizione e ridurre il rischio.

Riduzione immediata del rischio — piano d'azione (prime 60–120 minuti)

Se sospetti o sai che il tuo sito esegue una versione interessata, fai quanto segue immediatamente. Questi passaggi sono destinati a ridurre l'esposizione mentre pianifichi una rimedio più completo.

  1. Fai un rapido backup (database + file).
    Esporta il database e copia contenuto wp in una posizione sicura. Questo preserva lo stato per un'analisi e un ripristino successivi.
  2. Disabilita il plugin se un aggiornamento/patch non è disponibile.
    Se disabilitare temporaneamente è possibile senza interrompere significativamente le operazioni aziendali, disattiva il plugin dall'amministratore di WordPress.
    Se non puoi accedere all'amministratore in modo sicuro, disabilita il plugin rinominando la sua directory tramite SFTP o SSH: mv wp-content/plugins/ivysilani-shortcode wp-content/plugins/ivysilani-shortcode-disabled.
  3. Limita il ruolo di Collaboratore mentre fai triage:
    Rimuovi la possibilità di creare o modificare shortcode, o imposta temporaneamente i collaboratori su un ruolo più limitato.
    Rimuovere non filtrato_html capacità dai ruoli non affidabili (vedi la sezione di indurimento per il codice).
  4. Metti una regola WAF (patch virtuale) davanti al sito:
    Blocca le richieste che tentano di salvare shortcode con sospetti 5. attributo shortcode in Sphere Manager (<=1.0.2). Dettagli tecnici, query di rilevamento, mitigazioni di emergenza, soluzioni a lungo termine e come WP‑Firewall può proteggere il tuo sito — inclusa un'opzione di protezione gratuita. attributi che contengono <, >, javascript: o gestori di eventi come unerrore=.
    Se utilizzi WP‑Firewall, abilita il set di regole WAF gestito che include patch virtuali per questo problema. (Vedi esempi di regole WAF più avanti.)
  5. Scansiona il tuo sito:
    Esegui una scansione malware e cerca post/pagine contenenti lo shortcode del plugin o attributi di larghezza sospetti.
    Usa WP‑CLI, query SQL o il tuo scanner per localizzare rapidamente i payload memorizzati.
  6. Chiedi agli editori e agli amministratori di evitare di visualizzare in anteprima post non affidabili.
    Fino a quando non sei sicuro che il contenuto sia pulito, istruisci gli utenti privilegiati a non visualizzare in anteprima o modificare post non affidabili che potrebbero contenere lo shortcode vulnerabile.

Questi sono passaggi rapidi e pragmatici. L'obiettivo è ridurre la possibilità che un payload XSS memorizzato venga eseguito in una sessione di browser privilegiata.

Rilevamento — come trovare segni di sfruttamento

Rilevare XSS memorizzati richiede sia la ricerca dello shortcode specifico sia la scansione di attributi che sembrano codice. Puoi utilizzare WP‑CLI, SQL o una ricerca di file per cercare contenuti sospetti.

Importante: lavora sempre da un backup ed evita di apportare modifiche distruttive fino a quando non hai una copia.

Ricerche SQL e WP‑CLI utili

Cerca post che includono il nome dello shortcode:

SELECT ID, post_title, post_status;

Oppure tramite WP‑CLI:

wp post list --post_type=post,page --format=ids | xargs -n1 -I% wp post get % --field=post_content | grep -n "ivysilani"

Cerca 5. attributo shortcode in Sphere Manager (<=1.0.2). Dettagli tecnici, query di rilevamento, mitigazioni di emergenza, soluzioni a lungo termine e come WP‑Firewall può proteggere il tuo sito — inclusa un'opzione di protezione gratuita. attributi che includono caratteri sospetti:

SELECT ID, post_title;

Rileva tag script ovunque nel contenuto del post:

SELECT ID, post_title;

Cerca wp_postmeta e opzioni widget (a volte gli shortcode sono memorizzati altrove):

SELECT meta_id, post_id, meta_key;

Cosa cercare quando rivedi i risultati

  • Qualsiasi 5. attributo shortcode in Sphere Manager (<=1.0.2). Dettagli tecnici, query di rilevamento, mitigazioni di emergenza, soluzioni a lungo termine e come WP‑Firewall può proteggere il tuo sito — inclusa un'opzione di protezione gratuita. valori degli attributi contenenti <, >, script, javascript:, unerrore=, carico=, o schemi URL che non sono solo numeri o dimensioni CSS.
  • Shortcode che non si conformano ai valori percentuali numerici o pixel attesi.
  • HTML inaspettato che sembra essere stato iniettato negli attributi.
  • Modifiche intorno ai momenti in cui un particolare contributore ha effettuato invii.

Scansiona anche i tuoi log di accesso per richieste POST sospette a post.php O async-upload.php che coincidono con l'attività del Contributore.

Contenimento e rimedio (se trovi contenuti dannosi)

Se scopri payload iniettati, segui un piano di remediation controllato per rimuovere il contenuto malevolo e valutare l'impatto.

  1. Metti in quarantena i post interessati
    Imposta lo stato del post su bozza O privato per fermare ulteriori esposizioni ai visitatori.
    Esempio WP‑CLI: 
    wp post update 123 --post_status=draft
  2. Sostituisci o sanitizza i valori degli attributi shortcode malevoli
    Se il contenuto è minore e puoi pulirlo manualmente, modifica il post e correggi il 5. attributo shortcode in Sphere Manager (<=1.0.2). Dettagli tecnici, query di rilevamento, mitigazioni di emergenza, soluzioni a lungo termine e come WP‑Firewall può proteggere il tuo sito — inclusa un'opzione di protezione gratuita. valore a una dimensione numerica o CSS sicura (ad es., width="100%" O width="600px").
    Per la remediation in massa utilizza sostituzioni automatiche sicure (solo dopo revisione).
    Esempio (usa con estrema cautela, fai sempre un backup prima): 
    wp search-replace '\[ivysilani[^\]]*width=\"[^\"]*\"' '[ivysilani width="100%"]' --all-tables

    Nota: Questo è illustrativo. Testa su un backup prima di eseguire in produzione.

  3. Rimuovi eventuali account di attaccanti
    Identifica gli account dei collaboratori creati intorno al momento dell'iniezione e sospendili o eliminali.
    Se non sei sicuro, reimposta le password per tutti gli account dei collaboratori e applica la rotazione delle password.
  4. Ruota i segreti e rivedi gli account admin
    Forza il reset delle password per editor e admin che hanno visualizzato i post interessati.
    Ruota le chiavi API, le chiavi SSH e qualsiasi altra credenziale che potrebbe essere stata esposta.
  5. Pulisci eventuali web shell o backdoor aggiuntive
    Esegui una scansione dell'integrità dei file e cerca nuovi file PHP sospetti nelle directory di upload, temi o plugin.
    Se trovi backdoor, isola e ripristina da un backup pulito se necessario.
  6. Ricostruisci o rinforza i post/pagine interessati
    Dopo la pulizia, pubblica solo dopo aver convalidato il contenuto. Considera di far rivedere il contenuto pulito da un altro amministratore indipendente.
  7. Mantieni prove forensi
    Registra le tempistiche, le azioni degli utenti e le copie di backup dei post infetti per l'analisi post-incidente.

Come un WAF di WordPress (come WP-Firewall) può proteggerti ora

Un Web Application Firewall (WAF) configurato correttamente è la tua leva più veloce per proteggere i siti live mentre l'autore del plugin lavora a una patch o fino a quando non applichi una completa rimedio. Il WAF fornisce “patching virtuale” — bloccando i payload dannosi prima che raggiungano WordPress.

Strategie di patch virtuali consigliate:

  • Blocca le richieste che tentano di creare o aggiornare contenuti contenenti ivysilani shortcode dove l' 5. attributo shortcode in Sphere Manager (<=1.0.2). Dettagli tecnici, query di rilevamento, mitigazioni di emergenza, soluzioni a lungo termine e come WP‑Firewall può proteggere il tuo sito — inclusa un'opzione di protezione gratuita. attributo contiene caratteri o modelli proibiti.
  • Blocca i payload con valori di attributo contenenti javascript:, <script, unerrore=, carico=, o altri gestori di eventi all'interno degli attributi.
  • Blocca le sottomissioni POST agli endpoint di salvataggio dei post quando sono presenti modelli di contenuto sospetti.
  • Prevenire l'anteprima o il rendering front-end di contenuti contenenti shortcode non sanitizzati restituendo una versione sanitizzata per ruoli non fidati.

Esempi di firme WAF (concettuali; l'interfaccia del tuo WAF varierà)

  • Rileva e blocca le sottomissioni di contenuti contenenti:
    • Modello: ivysilani[^]]*larghezza\s*=\s*["'][^"'>]*(|javascript:|onerror=|onload=)[^"']*["']
    • Azione del blocco: negare la richiesta e registrare con alta priorità
  • Rilevare i tentativi di rendering front-end che includono valori di larghezza non validi e restituire un output sanificato:
    • Modello nell'HTML in uscita: \[(?:ivysilani)[^\]]*larghezza=["'][^"']*(|javascript:|onerror=)[^"']*["']
    • Azione: sostituire il valore sospetto con un valore predefinito sicuro (ad es. 100%) o riscrivere.

Perché WAF prima?

  • Distribuzione rapida — le regole possono essere applicate immediatamente senza modificare il codice del sito.
  • Basso disturbo per l'attività — la patch virtuale può funzionare mentre gli sviluppatori del plugin forniscono una correzione ufficiale.
  • Registrazione e rilevamento — WAF fornisce telemetria per identificare i tentativi di sfruttamento e gli IP degli attaccanti.

Se utilizzi le regole gestite da WP‑Firewall, assicurati che il set di firme per le anomalie XSS memorizzate e degli attributi shortcode sia abilitato e monitora la console WAF per tentativi bloccati.

Indurire il ruolo di Collaboratore e la gestione degli shortcode

Anche con un WAF, dovresti indurire il tuo ambiente WordPress. I collaboratori sono un vettore comune — rendi le loro capacità conservative per impostazione predefinita.

Raccomandazioni:

  • Rimuovere non filtrato_html per tutti i ruoli tranne l'amministratore. Per impostazione predefinita, WordPress fornisce solo non filtrato_html a determinati ruoli, ma alcuni host o plugin modificano le capacità — verifica sempre.

Aggiungi questo piccolo mu-plugin per rimuovere non filtrato_html (posizionare in wp-content/mu-plugins/disable-unfiltered-html.php):

<?php;
  • Impedire ai collaboratori di utilizzare shortcode nei post a meno che non sia esplicitamente richiesto. Puoi intercettare il contenuto al salvataggio e rimuovere gli shortcode:
add_filter( 'content_save_pre', function( $content ) {;

Nota: questo approccio richiede test accurati per evitare di interrompere i flussi di lavoro editoriali.

  • Sanitizza tutti gli attributi degli shortcode al momento del rendering del tema/plugin utilizzando gli helper di escaping di WordPress. Esempio di sanitizzatore sicuro all'interno di un gestore di shortcode:
$width = isset( $atts['width'] ) ? $atts['width'] : '100%';
  • Audit dei plugin che consentono attributi controllati dall'utente e utilizzano shortcode, e preferisci plugin che applicano la validazione degli attributi.

Lista di controllo per il recupero e monitoraggio successivo

Se hai avuto un incidente o hai trovato contenuti iniettati, segui questo elenco di controllo strutturato.

Immediato (0–24 ore)

  • Esegui un backup forense completo (DB + file).
  • Metti in quarantena o rimuovi le pagine infette (imposta su bozza/privato).
  • Pulisci i payload XSS memorizzati dal contenuto del post e da altri archivi (meta, wp_options, widget_text).
  • Ruota tutte le password degli admin/editor e qualsiasi chiave API.
  • Rimuovi gli account utente sospetti e applica password forti + MFA sugli account admin.
  • Revoca le sessioni utente (forza disconnessione) per gli utenti privilegiati.

Breve termine (24–72 ore)

  • Scansiona il sito con uno scanner malware e rivedi le modifiche ai file in wp-content/uploads, temi e plugin.
  • Abilita regole di patching virtuale WAF rigorose per i modelli rilevati.
  • Esegui un processo completo di aggiornamento di plugin/temi e mantieni un registro delle modifiche.
  • Valida l'integrità dei log e raccogli prove per la segnalazione (se necessario).

Medio termine (settimana)

  • Implementa il rafforzamento del codice per shortcode e attributi (sanitizzatori).
  • Esegui una revisione del codice per temi e plugin personalizzati che potrebbero avere routine di output insicure.
  • Riesaminare i ruoli e le capacità degli utenti. Considerare di rimuovere il ruolo di Collaboratore se non necessario; utilizzare invece un flusso di lavoro di staging.

In corso (30+ giorni)

  • Monitorare i log WAF e i log di scansione del sito per tentativi ripetuti dagli stessi indirizzi IP.
  • Tenere una cronologia degli incidenti e le lezioni apprese.
  • Educare editor e collaboratori sulle presentazioni di contenuti sicuri e sull'importanza di non visualizzare contenuti non affidabili nelle sessioni di amministrazione.

Una breve nota su backup, test e distribuzione

  • Testare sempre la remediation su una copia di staging prima di applicare modifiche ampie in produzione.
  • Utilizzare backup versionati e mantenere almeno un punto di ripristino noto buono prima della finestra dell'incidente.
  • Quando si distribuiscono le regole WAF, testare prima in modalità solo log dove possibile. Osservare i falsi positivi, affinare le regole e poi passare alla modalità di blocco.

Vuoi una protezione veloce e gestita? Inizia a proteggere il tuo sito con WP‑Firewall Free

Titolo: Inizia a proteggere il tuo sito con WP‑Firewall Free

Se desideri una protezione immediata e gestita mentre convalidi e rimedi a questa vulnerabilità, il piano Basic gratuito di WP‑Firewall ti offre salvaguardie essenziali senza costi: un firewall gestito con un WAF ottimizzato, larghezza di banda illimitata per l'ispezione del traffico, uno scanner automatico di malware e mitigazioni per i rischi OWASP Top 10 che riducono l'esposizione ad attacchi XSS memorizzati come questo. Puoi attivare rapidamente le protezioni e aggiungere livelli superiori quando desideri rimozione automatica del malware, controlli di blacklist/whitelist IP, patch virtuali per vulnerabilità e report di sicurezza mensili.

Esplora il piano gratuito e inizia qui:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Riferimento rapido al piano:

  • Basic (Gratuito): firewall gestito, larghezza di banda illimitata, WAF, scanner malware, mitigazione per OWASP Top 10.
  • Standard ($50/anno): tutto il Basic più rimozione automatica del malware e controlli di blocco IP (blacklist/whitelist fino a 20 IP).
  • Pro ($299/anno): tutto lo Standard più report di sicurezza mensili, patch virtuali automatiche per vulnerabilità e componenti aggiuntivi premium (Account Manager Dedicato, Ottimizzazione della Sicurezza, Token di Supporto WP, Servizio WP Gestito, Servizio di Sicurezza Gestito).

Se desideri aiuto per la triage o l'applicazione di patch virtuali, il nostro team di supporto può assisterti con la distribuzione rapida delle regole WAF e piani di recupero post-incidente.

Appendice: esempi di rilevamento sicuro e regole WAF (concettuali)

Questi frammenti sono destinati ai difensori. Non usarli mai per creare exploit.

  1. Ricerca WP‑CLI per usi sospetti di shortcode:
# elenco degli ID post contenenti ivysilani
  1. SQL per trovare attributi di larghezza sospetti:
SELECT ID, post_title;
  1. Firma WAF concettuale (usa la tua GUI WAF o motore di regole gestito):
  • Nome: Blocco attributo shortcode ivysilani XSS
  • Direzione: Inbound (contenuto POST / corpo della richiesta)
  • Modello (PCRE): /ivysilani[^\]]*larghezza\s*=\s*["'][^"']*(?:|javascript:|onerror=|onload=)[^"']*["']/i
  • Azione: Blocca, registra, notifica
  1. Sanitizza l'attributo shortcode in un plugin/tema:
function safe_ivysilani_atts( $atts ) {;

Considerazioni finali dal team di WP‑Firewall

Lo XSS memorizzato è una classe comune e pericolosa di vulnerabilità perché trasforma il sito stesso in un meccanismo di consegna per exploit lato client. Quando le vulnerabilità consentono a utenti a basso privilegio di memorizzare dati scriptabili, il rischio cambia: i proprietari del sito devono trattare i flussi di invio dei contenuti come potenziali punti di iniezione e applicare difese in profondità.

In pratica ciò significa:

  • Patch virtuali rapidi tramite un WAF mentre si attende le patch del fornitore.
  • Gestione rigorosa delle capacità per i ruoli utente.
  • Validazione degli attributi e escaping dell'output negli shortcode e nel codice di rendering.
  • Buoni controlli di risposta agli incidenti (backup, scansioni, revisione).
  • Monitoraggio continuo per tentativi ripetuti.

Se hai bisogno di assistenza nell'implementazione di uno qualsiasi dei passaggi in questa guida — dall'applicazione di regole WAF mirate alla scrittura di sanitizzatori sicuri per shortcode — il team di WP‑Firewall può aiutarti a gestire e risolvere rapidamente. Abilita il piano Basic gratuito oggi per ottenere protezioni gestite immediate davanti al tuo sito: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Rimani al sicuro e dai priorità a input più puliti, output più sicuri e rilevamento rapido.

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™