Vulnerabilità di Cross Site Scripting del WordPress Schema Shortcode//Pubblicato il 2026-03-23//CVE-2026-1575

TEAM DI SICUREZZA WP-FIREWALL

WordPress Schema Shortcode Plugin Vulnerability

Nome del plugin Plugin WordPress Schema Shortcode
Tipo di vulnerabilità Script tra siti (XSS)
Numero CVE CVE-2026-1575
Urgenza Basso
Data di pubblicazione CVE 2026-03-23
URL di origine CVE-2026-1575

XSS memorizzato da Contributore autenticato tramite Shortcode (Schema Shortcode <= 1.0) — Cosa devono fare ora i proprietari di siti WordPress

Versione breve: una vulnerabilità di cross-site scripting (XSS) memorizzata che colpisce il plugin “Schema Shortcode” di WordPress (versioni fino e comprese 1.0) consente a un utente autenticato con privilegi di Contributore di memorizzare JavaScript all'interno dei contenuti che vengono successivamente visualizzati ad altri utenti (o amministratori) senza una corretta escape o sanificazione. Sebbene la complessità tecnica diretta per sfruttare questo problema sia bassa, il rischio reale dipende dai ruoli del sito, dall'uso del plugin e dal fatto che gli utenti privilegiati interagiscano con contenuti infetti. Questo post spiega il problema in termini semplici, l'impatto sul tuo sito, i passaggi pratici per la rilevazione e la mitigazione, come indurire WordPress e il codice del plugin, e come un firewall per applicazioni web (WAF) come WP‑Firewall può aiutare a ridurre immediatamente la tua esposizione.

Nota: questo articolo fornisce indicazioni difensive e passaggi di remediation sicuri. Non fornisce payload di exploit o istruzioni passo-passo per l'exploit.

Sommario

  • Cos'è l'XSS memorizzato e perché i shortcode sono importanti
  • Come funziona questo specifico problema (sommario non tecnico)
  • Valutazione della gravità e del rischio
  • Scenari di sfruttamento realistici
  • Azioni immediate (mitigazioni a breve termine)
  • Rilevamento: come trovare contenuti sospetti e indicatori
  • Correzioni a livello di codice e migliori pratiche per la divulgazione responsabile
  • Raccomandazioni WAF/patch virtuale
  • Risposta agli incidenti e recupero dopo lo sfruttamento
  • Indurimento a lungo termine e igiene dei ruoli
  • Come WP‑Firewall aiuta (piano gratuito e opzioni di upgrade)
  • Checklist: azioni rapide da intraprendere subito
  • Pensieri conclusivi

Cos'è l'XSS memorizzato e perché i shortcode sono importanti

Lo scripting cross-site memorizzato (XSS) si verifica quando un attore malintenzionato inserisce JavaScript o HTML eseguibile in un archivio dati persistente (di solito il database di WordPress come contenuto del post, commento o un campo) e quel contenuto viene successivamente visualizzato nei browser per altri utenti. Poiché il payload è memorizzato sul tuo sito, ogni visitatore che carica la pagina che visualizza il contenuto memorizzato può essere colpito.

I shortcode sono un comune blocco di costruzione di WordPress. I plugin registrano shortcode che consentono agli autori di contenuti di inserire elementi dinamici utilizzando un tag compatto come [esempio attr="valore"]. I plugin elaborano quei tag lato server e producono HTML per i visitatori. Se un gestore di shortcode accetta input non attendibili e successivamente restituisce HTML o contenuti di script non elaborati senza escape (o utilizza attributi non sicuri), può verificarsi XSS memorizzato.

In questo caso, la vulnerabilità sorge perché un utente di livello contributore può inviare contenuti che vengono poi passati attraverso il renderer di shortcode del plugin ed emessi su pagine senza una sufficiente sanitizzazione dell'output.

Come funziona questo specifico problema (sommario non tecnico)

  • Il plugin espone uno shortcode che può essere aggiunto a post o pagine.
  • Un Contributore (ruolo utente autenticato) può creare o modificare post e includere quello shortcode con parametri o contenuti che includono stringhe HTML o simili a JavaScript.
  • Il gestore di shortcode del plugin non sanitizza o esegue correttamente l'escape dei valori forniti dall'utente prima di renderizzarli sul frontend.
  • Quando la pagina contenente lo shortcode malevolo viene visualizzata (da un altro visitatore, un moderatore o un admin), lo script incorporato viene eseguito nel contesto del browser di quel visitatore.
  • L'attaccante può utilizzare lo script iniettato per obiettivi tipici di XSS: estrazione del token di sessione, reindirizzamento dei visitatori, iniezione di contenuti aggiuntivi o caricamento di risorse malevole. L'impatto dipende da quali utenti visualizzano la pagina e quali privilegi possiedono.

Importante: Gli utenti contributori non sono amministratori completi, ma possono creare post. Se il tuo flusso di lavoro editoriale include contributori fidati, l'impatto può essere maggiore; se i contributori non sono fidati (consentendo che i contenuti forniti dagli utenti vengano modificati con poca revisione), il rischio aumenta.

Valutazione della gravità e del rischio

  • Contesto in stile CVSS: Questo è un XSS autenticato e memorizzato. Richiede privilegi limitati per l'attaccante (Contributore). L'esecuzione diretta di codice a livello di sistema è improbabile, ma il compromesso lato client (browser) è possibile.
  • Impatto sul business: Se un amministratore o un editor visualizza il contenuto compromesso, l'attaccante potrebbe eseguire script che eseguono azioni privilegiate nell'interfaccia admin per conto dell'admin connesso (effetti simili a CSRF), o installare backdoor, creare nuovi account admin tramite richieste nascoste, esfiltrare cookie sensibili (se non HTTP-only), o sfruttare l'ingegneria sociale per un compromesso più ampio.
  • Complessità dell'attacco: Basso a moderato per un attaccante determinato che può creare contenuti come Contributore. Richiede che la vittima (utente del sito con privilegi sufficienti o visitatore) carichi la pagina infetta.
  • Sfruttabilità: Medio dove i contributori sono numerosi e la revisione è leggera. Basso in flussi di lavoro editoriali strettamente controllati dove tutti i contenuti vengono revisionati prima della pubblicazione e i contributori non possono pubblicare senza approvazione.

In breve: considera questa come una minaccia significativa per i siti web che consentono ai contributori di aggiungere shortcode o di includere parametri di shortcode arbitrari nei contenuti dei post, specialmente quando utenti privilegiati navigano in tali contenuti.

Scenari di sfruttamento realistici

  1. Visitatori anonimi del frontend colpiti
    • Un Contributore malevolo pubblica un post che include lo shortcode vulnerabile. I visitatori visualizzano il post e lo script iniettato viene eseguito nei loro browser, abilitando clickjacking, reindirizzamenti, inserimento di spam o tracciamento.
  2. Compromesso mirato agli amministratori
    • L'attaccante crea un post o una bozza contenente un payload XSS e collega l'admin ad esso tramite un'email di phishing o un messaggio di chat. Una volta che l'admin clicca e visualizza la pagina mentre è connesso, lo script utilizza la sessione dell'admin per eseguire azioni disponibili solo per gli admin (creare nuovi account admin, cambiare plugin, caricare backdoor) emettendo richieste autenticate.
  3. Iniezione di contenuti persistenti attraverso i template
    • Se l'output dello shortcode viene utilizzato in widget, estratti o nelle sezioni della homepage dove molti utenti o membri dello staff visualizzano contenuti, si verifica un'esposizione più ampia.
  4. Esposizione della catena di fornitura o multi-sito
    • In installazioni multisito o ambienti di sviluppo/staging che condividono ruoli utente o privilegi a livello di rete, l'impatto può espandersi oltre un singolo sito.

Azioni immediate (mitigazioni a breve termine)

Se gestisci siti WordPress, segui questi passaggi immediati e prioritari:

  1. Aggiorna il plugin se viene rilasciata una versione corretta
    – Questa è la singola soluzione più autorevole. Se lo sviluppatore rilascia una versione corretta, aggiorna tramite l'amministrazione di WordPress o WP-CLI immediatamente.
  2. Se non è disponibile alcuna patch ufficiale:
    – Disabilita temporaneamente il plugin sui siti in cui è attivo, specialmente se i collaboratori possono pubblicare contenuti che raggiungono pagine pubbliche o sono visualizzati dagli amministratori.
    – In alternativa, disattiva il gestore degli shortcode per impedire al plugin di rendere lo shortcode. Puoi rimuovere uno shortcode registrato con:

    <?php;

    – Se non conosci il tag shortcode, disabilita temporaneamente il plugin completamente.

  3. Limita l'accesso dei Collaboratori
    – Cambia il flusso di lavoro dei collaboratori: richiedi che i collaboratori inviino bozze per revisione piuttosto che pubblicare immediatamente.
    – Rimuovi la possibilità per gli account dei collaboratori di aggiungere shortcode o incorporare HTML. Puoi regolare le capacità degli utenti con un plugin di gestione dei ruoli o programmaticamente.
  4. Indurire chi può visualizzare contenuti non affidabili
    – Non rivedere post non affidabili mentre sei connesso con privilegi di amministratore. Usa un account revisore separato con diritti limitati o visualizza contenuti disconnesso.
  5. Aggiungi regole WAF / patch virtuali immediate
    – Usa il tuo firewall per bloccare le richieste che includono contenuti sospetti simili a script nei parametri degli shortcode, o blocca i post creati da account di Collaboratori che includono "<script", "onerror=", "javascript:" e indicatori simili. (Vedi la sezione WAF qui sotto per indicazioni sulle regole.)
  6. Scansiona ora per contenuti sospetti
    – Cerca nei tuoi post shortcode e stringhe sospette (vedi la sezione Rilevamento).
  7. Audit delle recenti attività dei collaboratori
    – Identifica post, pagine e revisioni create o modificate di recente da account di collaboratori. Rivedili prima di consentire che rimangano pubblicati.

Rilevamento: come trovare contenuti sospetti e indicatori

Devi trovare se contenuti malevoli sono già stati memorizzati e dove. Di seguito sono riportati passaggi di rilevamento sicuri e pratici.

  1. Cerca nel contenuto del post i codici brevi del plugin
    • Se conosci il nome del codice breve (ad esempio, [schema O [schema_shortcode), cercalo:
    • WP-CLI: 
      wp post list --post_type=post,page --format=csv --fields=ID,post_title | while IFS=, read -r ID TITLE; do
    • SQL: 
      SELECT ID, post_title, post_type;
  2. Cerca token HTML o JS sospetti
    • Cercare <script, javascript:, unerrore=, carico=, o varianti codificate:
    • SQL: 
      SELECT ID, post_title;
    • Controlla anche la tabella delle revisioni (wp_posts dove post_type = ‘revision’).
  3. Controlla l'attività degli autori
    • Identifica i post scritti da utenti con ruolo di Collaboratore durante il periodo di tempo rilevante. Usa usermeta per mappare gli ID utente alle capacità se necessario.
  4. Log del server web e log WAF
    • Ispeziona i log di accesso per richieste ripetute allo stesso URL del post o chiamate admin-ajax che includevano contenuti di codice breve nei corpi POST.
    • Controlla i log WAF per richieste bloccate relative a schemi di script.
  5. Indicatori del browser
    • Se i visitatori segnalano reindirizzamenti imprevisti, popup o contenuti di pagina alterati, indaga il codice sorgente della pagina per script iniettati.
  6. Utilizzare gli strumenti di scansione
    • Esegui una scansione malware a livello di sito e uno scanner XSS DOM per rilevare script iniettati che potrebbero non essere visibili nel contenuto grezzo del post (ad esempio, iniettati in aree widget o PHP del tema).

Correzioni a livello di codice e pratiche di programmazione sicure

Se sei uno sviluppatore che mantiene il plugin o una patch specifica per il sito, segui i principi di codifica sicura:

  1. Sanitizza tutti gli input e scappa in output
    • Tratta qualsiasi valore fornito da un account con privilegi inferiori come non attendibile.
    • Per gli attributi che dovrebbero essere testo semplice: usa sanitize_text_field() O esc_attr().
    • Per gli attributi che dovrebbero consentire HTML limitato: usa wp_kses() con un elenco consentito ristretto.
    • In output, scappa usando esc_html(), esc_attr(), O wp_kses_post() a seconda del contesto.
  2. Controlli di capacità
    Prima di elaborare o memorizzare HTML grezzo da un editor o da un parametro shortcode, verifica che l'utente attuale abbia non filtrato_html capacità o altra capacità appropriata:

    if ( ! current_user_can( 'unfiltered_html' ) ) {
  3. Evita di echoare direttamente i dati grezzi dell'utente
    Anche quando generi HTML per uno shortcode, costruisci output strutturato e scappa ogni attributo:

    $title = isset( $atts['title'] ) ? sanitize_text_field( $atts['title'] ) : '';'<div class='schema-title'>"$atts = shortcode_atts( array("</div>";"<div class='schema-desc'>" . wp_kses( $desc, $allowed ) . "</div>";
  4. Consenti HTML in whitelist piuttosto che in blacklist
    Preferisci wp_kses() con un array di tag/attributi consentiti rigoroso piuttosto che rimuovere tag specifici tramite regex.
  5. Elabora correttamente il contenuto dello shortcode
    Se lo shortcode accetta contenuto (cioè, [shortcode]contenuto[/shortcode]) assicurati che il contenuto venga passato attraverso wp_kses_post() o scappato rigorosamente.
  6. Test unitari e test di integrazione
    Aggiungi test unitari che coprano casi di input malevoli: stringhe XSS tipiche, attributi HTML come onerror, URI dati e payload codificati. I test devono verificare che l'output non includa script eseguibili.

Se stai correggendo il plugin localmente, metti eventuali correzioni temporanee in un mu-plugin o in un plugin specifico per il sito in modo che sopravvivano agli aggiornamenti del tema e alle rimozioni del plugin.

Esempio di filtro sicuro per sanificare l'output dello shortcode (patch a livello di sito)

Posiziona il seguente come un MU-plugin (inserisci in wp-content/mu-plugins/):

<?php
/**
 * Site-level defense: sanitize output of known vulnerable shortcode tag.
 * Replace 'schema' with the actual shortcode tag used by the plugin.
 */

add_filter( 'do_shortcode_tag', function( $output, $tag, $attr ) {
    // Only operate on the target shortcode tag
    if ( 'schema' !== $tag ) {
        return $output;
    }

    // Whitelist of allowed tags/attributes for output
    $allowed_tags = array(
        'a' => array( 'href' => true, 'title' => true, 'rel' => true ),
        'span' => array( 'class' => true ),
        'div' => array( 'class' => true ),
        'p' => array(),
        'strong' => array(),
    );

    // Strip any <script> or event-handlers and ensure safe output
    return wp_kses( $output, $allowed_tags );

}, 10, 3 );

Questa è una mitigazione a breve termine: un plugin ben costruito dovrebbe convalidare e sfuggire alla fonte (prima di restituire $output).

Raccomandazioni WAF/patch virtuale

Se non puoi aggiornare immediatamente il plugin o una patch non è ancora disponibile, il WAF è il tuo leva più veloce per ridurre il rischio. Ecco alcune idee di regole WAF difensive che puoi implementare senza divulgare payload di exploit:

  1. Blocca post/documenti redatti da account Contributor che contengono token simili a script
    Regola: Se una richiesta POST a wp-admin/post.php O admin-ajax.php è effettuata da un utente identificato come ruolo=contributor e il post_content contiene <script O javascript: O unerrore=, blocca/mask la richiesta e avvisa gli amministratori.
  2. Blocca o sanifica le risposte che rendono shortcode contenenti marcatori di script
    Regola: Se una risposta di pagina contiene l'output dello shortcode del plugin e include 6. o gestori di eventi inline, rimuovi o blocca il contenuto prima della consegna.
  3. Corrispondi a modelli di utilizzo di attributi sospetti
    Blocca o sanifica le occorrenze di unerrore=, carico=, onclick=, javascript: negli attributi all'interno del contenuto quando il contenuto proviene da autori non amministratori.
  4. Limita l'attività editoriale sospetta
    Applica limiti di frequenza più severi ai contributor che creano o aggiornano post contenenti shortcode con lunghezze di parametri insolite o payload codificati.
  5. Limita l'HTML consentito per le operazioni di modifica dei contributor
    Se possibile, istruisci il WAF a canonizzare/normare il contenuto POST (ad es., decodificare la codifica URL) e scartare le richieste che includono modelli HTML non consentiti.

Avviso: Le regole WAF basate su regex possono generare falsi positivi. Inizia in modalità solo rilevamento (monitoraggio) e affina prima di bloccare.

Se stai utilizzando WP‑Firewall, abilita le regole di patching virtuale gestite che mirano ai tag script e agli attributi sospetti nell'output dello shortcode da utenti con privilegi inferiori. Questo fornisce la mitigazione più rapida mentre coordini una patch del plugin.

Risposta agli incidenti e recupero dopo lo sfruttamento

Se scopri prove che questa vulnerabilità è stata sfruttata, procedi con un playbook standard di risposta agli incidenti:

  1. Contenere
    • Porta offline il contenuto interessato (annulla la pubblicazione del post o impostalo come bozza).
    • Disabilita il plugin vulnerabile fino a quando non è stato patchato o mitigato.
    • Applica i blocchi WAF per i modelli di payload identificati.
  2. Se ospiti più siti sullo stesso server, isola il sito interessato per prevenire movimenti laterali.
    • Esporta i log del server, i dump del database (solo lettura) e i log WAF per analisi forensi.
    • Annota gli ID utente, gli IP, i timestamp e i corpi delle richieste HTTP.
  3. Eradica e rimedia
    • Rimuovi contenuti dannosi o ripristina una revisione del post pulita.
    • Ruota le chiavi API e i segreti che potrebbero essere stati esposti.
    • Forza il reset delle password per gli utenti a rischio e invalida le sessioni attive per gli account compromessi (usa la schermata WP Users > Sessions o un plugin per invalidare le sessioni).
    • Controlla la presenza di nuovi utenti admin, file modificati e caricamenti non autorizzati di plugin/temi.
  4. Recuperare
    • Ripristina da un backup noto e valido se necessario.
    • Dopo la pulizia, riabilita il plugin solo se è stato patchato e verificato.
  5. Rivedi e rafforza
    • Rivedi come il collaboratore è stato in grado di iniettare contenuti e adatta il flusso di lavoro.
    • Aggiungi monitoraggio per osservare modelli simili in futuro.
  6. Notificare
    • Se informazioni sensibili sono state esposte o gli account utente compromessi, notifica le parti interessate secondo i tuoi obblighi legali/regolatori.

Rafforzamento a lungo termine e migliori pratiche

  1. Principio del privilegio minimo
    Limita il numero di utenti con capacità elevate. Usa i ruoli con parsimonia e rivedili trimestralmente.
  2. Flussi di lavoro editoriali rigorosi
    Richiedi che i post dei collaboratori siano esaminati e pubblicati dagli editori. Evita di concedere diritti di pubblicazione ai collaboratori a meno che non sia necessario.
  3. Politica di sicurezza dei contenuti (CSP)
    Implementa un'intestazione CSP robusta per ridurre l'impatto degli script iniettati (nota che CSP non è un sostituto per una corretta escape, ma è uno strato aggiuntivo).
  4. Indurire i cookie e le sessioni
    Assicurati che i cookie di sessione siano solo HTTP e sicuri; imposta gli attributi SameSite per mitigare i rischi di CSRF.
  5. Test di sicurezza e scansioni automatizzate
    Scansioni automatizzate periodiche (statiche e dinamiche) più una revisione del codice per plugin e temi ad alto rischio.
  6. Uso controllato dei plugin
    Rimuovi o sostituisci i plugin non mantenuti. Preferisci i plugin che seguono le migliori pratiche di sicurezza di WordPress e sono attivamente mantenuti.
  7. Monitoraggio e registrazione
    Monitora l'attività degli utenti, l'integrità dei file e gli avvisi WAF. Invia avvisi ad alta fedeltà al tuo team di sicurezza.
  8. Backup
    Backup giornalieri con procedure di ripristino testate. Gli snapshot dovrebbero coprire database e file.

Come WP‑Firewall aiuta (e come iniziare gratuitamente)

WP‑Firewall protegge i siti WordPress attraverso controlli a strati che mappano direttamente i tipi di rischi descritti sopra: regole WAF gestite (inclusi patch virtuali per vulnerabilità emergenti dei plugin), scansione e rimozione di malware, filtraggio consapevole del ruolo e della richiesta, e avvisi di sicurezza personalizzati per i flussi di lavoro degli amministratori.

Se desideri ridurre la tua esposizione subito e provare un WAF gestito e uno scanner, offriamo un piano Basic gratuito che è perfetto per una protezione immediata e test.

Proteggi il tuo sito gratuitamente — Inizia con WP‑Firewall Basic

Il nostro piano Basic (Gratuito) fornisce protezione essenziale per fermare attacchi comuni e ridurre il rischio di vulnerabilità basate su plugin:

  • Protezione essenziale: firewall gestito e WAF
  • Larghezza di banda illimitata sotto protezione
  • Scanner malware per rilevare script iniettati e file sospetti
  • Mitigazioni per i rischi OWASP Top 10

Se desideri il livello successivo di automazione e controllo, il nostro piano Standard aggiunge rimozione automatica di malware e semplice blacklisting/whitelisting degli IP. Per i team che necessitano di copertura proattiva delle vulnerabilità e reporting, il nostro piano Pro include report di sicurezza mensili, patch virtuali automatiche e componenti aggiuntivi di supporto premium.

Iscriviti al piano gratuito o confronta i piani qui:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Puoi abilitare rapidamente il firewall e applicare patch virtuali che mitigano i modelli XSS basati su shortcode mentre aggiorni o rimuovi istanze di plugin.)

Query e comandi di caccia pratici

Ecco query e comandi sicuri a livello di amministratore per cercare nel tuo sito — usa con cautela e preferibilmente su una copia di staging se hai un sito molto grande.

  • WP-CLI cerca le occorrenze di shortcode: 
    # Trova post che contengono '[' seguito dal nome del tag shortcode previsto 'schema'
  • SQL per trovare token sospetti: 
    SELECT ID, post_title, post_author, post_date;
  • Elenca le attività recenti per ruolo di Contributor: 
    // In PHP o tramite una piccola pagina di amministrazione - pseudocodice

Checklist: azioni rapide da intraprendere subito

  • Identifica tutti i siti che utilizzano il plugin vulnerabile e elenca le versioni del plugin.
  • Se è disponibile una patch, aggiorna immediatamente.
  • Se non è disponibile alcuna patch, disabilita il plugin o rimuovi temporaneamente il gestore degli shortcode.
  • Scansiona i post (inclusi i revisioni) per stringhe simili a script e shortcode.
  • Limita i flussi di lavoro di pubblicazione dei contributor e evita le anteprime di amministrazione di contenuti non fidati.
  • Applica patch virtuali WAF che bloccano i token relativi agli script provenienti da contenuti originati dai contributor.
  • Ruota le credenziali e invalida le sessioni se sospetti un'esposizione dell'amministratore.
  • Verifica che i backup siano integri e testa un piano di recupero.

Pensieri conclusivi

Questo problema di XSS memorizzato è un perfetto esempio del perché anche i ruoli a bassa privilegio diventino un percorso di attacco se contenuti non fidati vengono passati attraverso un plugin che non sanifica rigorosamente l'output. Le difese che si concentrano esclusivamente sul filtraggio perimetrale trascurano il rischio interno derivante dai flussi di lavoro dei contenuti: i contributor possono essere abusati e il browser è un potente ambiente di esecuzione.

Aggiornamenti rapidi e patch virtuali basate su WAF riducono drasticamente il rischio immediato. Ma i migliori risultati combinano contenimento a breve termine (disabilitare o patchare il plugin, applicare regole WAF) con cambiamenti a lungo termine: minor privilegio, controlli editoriali e correzioni a livello di codice che sanificano ed eseguono l'escape al momento dell'output.

Se desideri assistenza per auditare i tuoi siti per esposizione o configurare patch virtuali che mitigano specificamente XSS basati su shortcode e contenuti senza impattare il traffico legittimo, WP‑Firewall può aiutarti. Inizia con la nostra protezione di base gratuita e passa a un piano superiore se desideri rimozione automatica e patching virtuale gestito.

Rimani al sicuro e tratta ogni plugin di rendering dei contenuti con sana sospetto fino a quando non hai convalidato le sue pratiche di sanificazione dell'output.

— Team di sicurezza WP-Firewall

wordpress security update banner

Ricevi WP Security Weekly gratuitamente 👋
Iscriviti ora!!

Iscriviti per ricevere gli aggiornamenti sulla sicurezza di WordPress nella tua casella di posta, ogni settimana.

Non facciamo spam! Leggi il nostro politica sulla riservatezza per maggiori informazioni.

Contattaci per programmare una consulenza gratuita sulla sicurezza di WordPress

Contattaci

WP-Firewall
6/F, I Raggi, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Caratteristiche Prezzi Blog Login
politica sulla riservatezza Termini di servizio Documenti Affiliato

© 2026 WP-Firewall™