IDOR에 대한 워드프레스 스토리지 렌탈 플러그인 강화//발행일 2026-06-09//CVE-2026-9185

WP-방화벽 보안팀

6Storage Rentals Vulnerability

플러그인 이름 6스토리지 임대
취약점 유형 IDOR
CVE 번호 CVE-2026-9185
긴급 높은
CVE 게시 날짜 2026-06-09
소스 URL CVE-2026-9185

6Storage Rentals의 인증되지 않은 IDOR (CVE-2026-9185): 워드프레스 사이트 소유자가 지금 해야 할 일

날짜: 2026년 6월 9일
작가: WP‑Firewall — 워드프레스 보안 팀

요약: 6Storage Rentals 워드프레스 플러그인(버전 <= 2.22.0)에 영향을 미치는 높은 심각도의 안전하지 않은 직접 객체 참조(IDOR) 취약점이 공개되었습니다(CVE‑2026‑9185). 이 취약점은 인증되지 않은 공격자가 적절한 권한 확인이 없는 플러그인 엔드포인트를 통해 임의의 사용자 데이터를 조회하고 수정할 수 있게 합니다. 이는 심각한 위험입니다: 사용자 열거, 개인 정보 노출 및 일부 구성에서의 권한 상승을 가능하게 합니다. 이 플러그인을 어떤 워드프레스 사이트에서든 실행하는 경우, 이를 긴급하게 처리하고 아래의 지침을 따르십시오.

이 게시물은 취약점을 명확하고 실행 가능한 용어로 설명하고, 적용할 수 있는 즉각적인 완화 조치(예: WAF/가상 패치 규칙)를 설명하며, 플러그인 저자를 위한 안전한 코딩 수정 사항을 개요하고, 사이트 소유자 및 관리자를 위한 실용적인 사고 대응 체크리스트를 제공합니다.

IDOR(불안전한 직접 객체 참조)란 무엇인가요?

안전하지 않은 직접 객체 참조(IDOR)는 애플리케이션이 내부 객체 식별자(ID)를 클라이언트에 노출하고, 요청자가 대상 객체에 대해 행동할 수 있는지 확인하지 않고 해당 ID를 사용하여 작업을 수행하는 접근 제어 실패의 일종입니다. IDOR에서는 공격자가 식별자(예: user_id, post_id, order_id)를 조작하여 다른 사용자의 데이터에 접근하거나 수정합니다.

워드프레스 플러그인에서 IDOR은 코드가 요청 매개변수에서 사용자 ID 또는 게시물 ID를 수락하고 다음 없이 읽기 또는 쓰기를 수행할 때 일반적으로 발생합니다:

  • 현재 사용자가 인증되었는지 확인하고,
  • 현재 사용자가 해당 특정 리소스에 접근하거나 수정할 수 있는 권한이 있는지 확인합니다.

6Storage Rentals 취약점은 인증 없이 악용될 수 있기 때문에 특히 위험합니다: 인터넷에 있는 누구나 조작된 HTTP 요청을 제출하여 사용자 기록을 검색하거나 변경할 수 있습니다.

발생한 일: 6Storage Rentals 취약점 개요

  • 영향을 받는 플러그인: 6Storage Rentals (워드프레스 플러그인)
  • 영향을 받는 버전: <= 2.22.0
  • 취약점 클래스: 안전하지 않은 직접 객체 참조(IDOR) — 접근 제어 실패
  • CVE: CVE‑2026‑9185
  • CVSS (보고됨): 7.5 (높음)
  • 필요한 권한: 인증되지 않음 (로그인 필요 없음)
  • 영향: 임의 사용자 정보의 노출, 사용자 데이터의 수정(플러그인 엔드포인트에 따라 다름), 잠재적인 권한 상승 및 계정 탈취.

핵심 문제: 하나 이상의 플러그인 엔드포인트가 식별자(예: user_id 또는 다른 내부 ID)를 수락하고 충분한 권한 확인 없이 이를 처리합니다(현재_사용자_가능, 기능 검사, nonce 검증 또는 소유권 확인). 이는 공격자가 다른 식별자를 제공하고 다른 사용자의 데이터를 검색하거나 변경할 수 있게 합니다.

왜 이것이 긴급한가

  • 인증되지 않은 악용: 취약점을 유발하기 위해 유효한 WordPress 계정이 필요하지 않습니다. 이는 인터넷에 연결된 모든 공격자가 시도할 수 있음을 의미합니다.
  • 대량 악용 가능성: 자동화된 스캐너와 봇이 이 플러그인을 위해 수천 개의 사이트를 신속하게 탐색하고 취약한 엔드포인트를 대규모로 악용할 수 있습니다.
  • 사용자 데이터 노출: 개인 데이터가 노출되면(이메일, 이름, 연락처 세부정보) 이는 GDPR/PDPA/기타 개인정보 보호 준수에 영향을 미칩니다.
  • 계정 탈취 및 권한 상승: 경우에 따라 사용자의 이메일, 비밀번호 재설정 토큰 또는 메타데이터를 변경하면 계정 탈취 또는 관리 계정 생성이 가능할 수 있습니다.

이러한 위험 때문에 공식 플러그인 패치가 제공되기 전에도 즉각적인 조치를 취하십시오.

공격자가 이를 악용할 수 있는 방법(고수준 비기술적 요약)

  • 사이트에서 플러그인을 발견합니다(일반적인 웹 지문 인식 또는 타겟 발견).
  • ID 매개변수를 수용하는 플러그인 엔드포인트(프론트엔드 ajax, REST 경로 또는 admin-ajax.php 작업)를 식별합니다(일반적으로 user_id, id, uid, customer_id 등으로 명명됨).
  • ID 값을 다른 ID(예: 1, 2, 3…)로 바꾼 HTTP 요청을 전송하여 응답을 관찰합니다. 인증 검사 없이 공격자는 데이터를 수신하거나 다른 사용자 기록에 대한 쓰기 권한을 얻습니다.
  • 자동화된 스크립트를 사용하여 많은 사용자 ID를 열거하고 민감한 데이터를 수집합니다.
  • 수정이 허용되는 경우 이메일 주소, 연락처 세부정보 또는 사용자 메타데이터를 변경하여 계정 탈취를 용이하게 합니다(비밀번호 재설정 흐름을 유발하거나 악성 콘텐츠 추가).

여기에서 개념 증명 악용 코드를 게시하지 않을 것입니다. 플러그인을 실행하는 사이트에 책임이 있는 경우 사용자 기록의 모든 이상 현상을 의심스럽게 여기고 아래의 사고 대응 체크리스트를 따르십시오.

침해 지표 (IoC) — 지금 확인해야 할 사항

다음 징후에 대해 액세스 및 애플리케이션 로그를 확인하십시오:

  • 사용자 ID, id, uid 또는 기타 숫자 식별자와 같은 매개변수를 포함하는 플러그인 엔드포인트, admin-ajax.php 또는 /wp-json/ 경로를 대상으로 하는 비정상적인 POST 또는 GET 요청.
  • 인증 쿠키나 유효한 nonce가 없지만 여전히 응답에서 의미 있는 사용자 데이터를 수신하는 요청.
  • 사용자 메타데이터의 갑작스러운 변화(이메일 주소 변경, 표시 이름 업데이트, 사용자 메타에 저장된 추가 기능).
  • 비밀번호 재설정 이메일이 예기치 않게 전송되거나 사용자가 계정에 접근할 수 없다고 보고하는 경우.
  • 높은 권한을 가진 새로운 사용자 생성 또는 기존 계정을 수정하여 더 높은 기능을 부여하는 경우.
  • 플러그인 경로로의 비정상적인 트래픽 급증 또는 의심스러운 사용자 열거 패턴(사용자 ID 1..n에 대한 요청).
  • 악성코드 스캐너 또는 파일 무결성 검사기에서의 경고.

증거를 발견하면 사이트를 격리하십시오(사건 대응 단계 참조).

사이트 소유자 및 관리자를 위한 즉각적인 완화 조치

우선순위(지금 해야 할 일):

  1. 플러그인을 즉시 업데이트하십시오. — 공식 패치된 릴리스가 있는 경우, 수정된 버전으로 업데이트하십시오. 패치가 아직 게시되지 않은 경우, 2-6단계로 진행하십시오.
  2. 플러그인을 비활성화하거나 중지하십시오. — 업데이트할 수 없는 경우, 패치가 제공될 때까지 플러그인을 비활성화하십시오. 이렇게 하면 취약한 엔드포인트가 공개 노출에서 제거됩니다.
  3. 가상 패칭 적용(WAF 규칙) — 사이트 방화벽/WAF를 사용하여 플러그인 엔드포인트에 대한 인증되지 않은 접근을 차단하십시오(아래 예시 참조). 코드 업데이트가 아직 제공되지 않을 때 가상 패치는 시간을 벌어줍니다.
  4. 자격 증명 회전 — 모든 관리자 계정 및 영향을 받을 수 있는 계정의 비밀번호를 재설정하십시오. 가능할 경우 비밀번호 재설정을 강제하십시오.
  5. 이중 인증(2FA) 활성화 모든 특권 계정에 대해. 2FA는 자격 증명이 손상되더라도 위험을 크게 줄입니다.
  6. 손상 지표를 스캔하세요 — 전체 악성코드/침해 스캔을 실행하고, 파일 무결성을 확인하며, 사용자 계정 및 최근 변경 사항을 검사하십시오.
  7. 로그 및 백업 확인 — 포렌식 분석을 위해 로그를 보존하고 사이트를 격리한 직후에 새 백업(파일 및 데이터베이스)을 수행하십시오.
  8. 영향을 받은 사용자에게 알리기 데이터 노출을 확인하고 법률/규정에 의해 요구되는 경우.

빠르고 비파괴적인 완화가 필요하고 WordPress 방화벽 제품이나 호스트 수준 보안 도구가 있는 경우, 가상 패치를 배포하십시오. 아래 WAF 제안을 참조하십시오.

권장 WAF / 가상 패치 규칙(예시)

아래는 웹 애플리케이션 방화벽(WAF), 리버스 프록시 또는 서버 규칙 엔진과 함께 사용할 수 있는 탐지 및 차단 규칙의 예입니다. 이는 일반 템플릿입니다 — 귀하의 환경에 맞게 조정하고 프로덕션에 배포하기 전에 스테이징 환경에서 테스트하십시오.

중요한: 정상 관리자 사용자에게 영향을 미치지 않도록 인증되지 않은 요청 또는 유효한 논스가 없는 요청만 차단하십시오.

  1. 플러그인 REST 또는 JSON 경로를 대상으로 하는 인증되지 않은 요청 차단
    • 패턴: 인증되지 않은 플러그인 슬러그가 있는 모든 경로에 대한 요청 차단.
    • 예시 (의사 코드 규칙):
    IF (REQUEST_URI가 "/wp-json/.*/6storage.*"와 일치하거나 REQUEST_URI가 "/.*6storage.*"와 일치)
  2. 1. 플러그인을 참조하는 의심스러운 admin‑ajax.php 작업 차단
    • 2. 패턴: 플러그인 이름이나 알려진 취약한 작업 이름(가능한 경우)을 참조하는 admin-ajax.php 요청 차단 행동 3. IF (REQUEST_URI에 "admin-ajax.php"가 포함됨).
    • 예시(의사 코드):
    AND (REQUEST_METHOD가 [GET, POST]에 포함됨)
  3. 요청 차단 사용자_아이디 AND (QUERY_STRING에 "action="이 포함되고 값이 "(6stor|6storage|6_storage|storage_rentals)"와 일치함) 
    AND (Cookie "wordpress_logged_in"이 존재하지 않음)
  4. THEN 요청 차단
    • 4. 인증되지 않은 요청에 대한 매개변수.
  5. 5. IF (요청에 "user_id" 또는 "uid" 또는 "id" 매개변수가 포함됨)
    • AND (값이 숫자임).
    AND (Cookie "wordpress_logged_in"이 존재하지 않음)

주의 사항:

  • THEN 차단 또는 속도 제한.
  • 6. 의심스러운 열거 패턴에 대해 속도 제한 및 도전.
  • 7. IP가 플러그인 엔드포인트에 대해 많은 요청을 생성하거나 순차적인 숫자 ID를 요청하는 경우, 속도를 제한하거나 도전(CAPTCHA)을 제시합니다.

8. 사용자 메타데이터를 수정하려는 의심스러운 POST 차단

9. 패턴: 인증되지 않은 경우 프로필 수정을 위해 일반적으로 사용되는 매개변수를 포함하는 플러그인 엔드포인트에 대한 요청 차단(이메일, 비밀번호, 메타 키).

10. IF (REQUEST_BODY에 "user_email" 또는 "user_pass" 또는 "meta_key"가 포함됨)

AND (Cookie "wordpress_logged_in"이 없음)

THEN 차단 또는 도전

11. 합법적인 관리자 워크플로우가 중단되지 않도록 프로덕션 전에 스테이징 인스턴스에서 규칙 테스트.

플러그인 개발자를 위한 보안 코딩 권장 사항

6Storage Rentals 또는 기타 WordPress 플러그인에서 작업하는 플러그인 개발자라면, 올바른 장기 해결책은 적절한 접근 제어 및 입력 유효성 검사를 추가하는 것입니다. 제안된 보안 코딩 관행:

  1. 권한 검사를 시행하십시오
    • 다음과 같은 기능을 사용하세요 현재_사용자_가능() 요청하는 사용자가 요청된 객체에 접근하거나 수정할 수 있는 적절한 권한을 가지고 있는지 확인합니다.
    • 예: 현재 사용자가 자신의 프로필을 편집할 때만 사용자 메타데이터 수정을 허용합니다. edit_users 권한.
  2. 상태 변경 작업에 대해 nonce를 요구하고 검증합니다.
    • AJAX 및 양식 제출의 경우, check_ajax_referer( 'your_action_nonce', 'security' ) 또는 wp_verify_nonce() 의도를 검증하고 CSRF를 방지하기 위해 사용합니다.
  3. REST 엔드포인트 인증
    • REST 컨트롤러에서 권한 콜백을 사용하여 반환). 권한이 있는 사용자에게만 반환합니다: 'permission_callback' => function() { return current_user_can( 'some_capability' ); }.
  4. 소유권 검사는
    • 리소스 소유자에게 작업이 허용되는 경우, 인증된 사용자가 대상 리소스의 소유자인지 명시적으로 확인합니다: if ( $target_user_id !== get_current_user_id() ) { wp_die( '권한 없음', 403 ); }
  5. 입력 유효성 검사 및 정리
    • 숫자 ID를 정수로 변환합니다: $user_id = intval( $_REQUEST['user_id'] ?? 0 );
    • 사용 텍스트 필드 삭제(), esc_sql(), 적절한 경우 준비된 문을 사용합니다.
  6. 최소 권한의 원칙
    • 필요한 최소 권한으로 엔드포인트를 설계하고 클라이언트가 제공한 매개변수가 안전하다고 가정하지 마십시오.
  7. 로깅 및 모니터링
    • 권한 실패 및 의심스러운 접근 시도를 감지 및 포렌식에 도움을 주기 위해 로깅을 추가합니다.
  8. 보안 검토 및 자동화된 테스트
    • 누락된 nonce/권한 검사 및 기타 일반적인 보안 문제에 대한 자동화된 보안 테스트 및 정적 분석 검사를 추가합니다.

사고 대응 체크리스트(침해가 의심되는 경우)

  1. 격리하다
    취약한 플러그인을 일시적으로 비활성화하거나 사이트를 유지 관리 모드로 전환합니다. 가능하다면 안전성을 확인할 때까지 IP로 관리자 영역에 대한 접근을 제한합니다.
  2. 증거 보존
    웹 서버 로그, 애플리케이션 로그 및 데이터베이스 덤프를 내보내고 저장합니다. 오프라인의 안전한 위치에 복사본을 저장합니다.
  3. 백업을 수행하세요
    변경하기 직전에 전체 백업(파일 + 데이터베이스)을 즉시 만드세요.
  4. 스캔하세요
    평판이 좋은 악성코드 스캐너/파일 무결성 검사기를 실행하여 백도어, 수정된 핵심 파일 또는 웹 셸을 찾아보세요.
  5. 사용자 감사하세요.
    새로운 또는 수정된 관리자 사용자에 대해 모든 사용자 계정을 검토하세요. 관리자 또는 상승된 기능을 가지지 않도록 확인하십시오.
  6. 자격 증명 회전
    영향을 받을 수 있는 모든 관리자 사용자 및 FTP/SFTP/호스팅 패널 계정의 비밀번호를 재설정하세요. 침해 증거가 발견되면 데이터베이스 자격 증명을 회전하세요.
  7. 세션 취소
    모든 활성 세션을 취소하고 모든 사용자에게 강제로 로그아웃하세요(워드프레스는 사용자 메타 또는 플러그인을 통해 이를 지원합니다).
  8. 예약된 작업을 검사하십시오.
    확인하다 wp_옵션 악성 예약 이벤트에 대한 크론 항목을 확인하세요.
  9. 수정 사항을 적용합니다.
    취약한 플러그인을 수정된 버전으로 업데이트하세요(가능한 경우) 또는 필요하지 않다면 영구적으로 제거하세요. 위에서 설명한 서버/WAF 규칙을 적용하세요.
  10. 필요시 깨끗한 백업에서 복원
    침해가 깊고 깨끗한 상태를 보장할 수 없다면, 깨끗한 것으로 알려진 백업에서 복원하고 재연결하기 전에 모든 것을 업데이트하세요.
  11. 감시 장치
    복구 후, 최소 몇 주 동안 로그와 경고를 면밀히 모니터링하여 재진입 시도를 감지하세요.
  12. 알림
    사용자 데이터가 노출된 것이 확인되면, 영향을 받은 사용자에게 알리고 규제 의무를 준수하세요.

자신이 취약한지 테스트하는 방법(안전하게)

  • 사이트의 스테이징 클론을 사용하세요 — 라이브 프로덕션 환경에서 활성 공격 시도를 절대 실행하지 마세요.
  • 플러그인 코드 검토를 수행하세요: 요청 매개변수를 사용하는 엔드포인트를 찾아보세요. 사용자_아이디, ID, 또는 사용자 ID 권한 확인, 논스 또는 권한 콜백 없이.
  • 인증된 테스트를 실행하세요: 엔드포인트가 인증된 사용자 또는 적절한 권한을 가진 사용자에 대해서만 데이터를 반환/수정하는지 확인하세요.
  • 내부 보안 능력이 없다면, 신뢰할 수 있는 보안 전문가를 고용하여 목표 스캔 및 검토를 수행하세요.

18. Bookory를 패치한 후에도 유사한 취약점으로 인한 미래의 손상을 줄이기 위해 다음 관행을 사용하십시오.

  • 워드프레스 코어, 테마 및 플러그인을 최신 상태로 유지하세요. 업데이트는 알려진 취약점을 패치합니다.
  • 플러그인 사용을 제한하세요: 적극적으로 사용하지 않는 플러그인은 제거하세요. 플러그인이 적을수록 공격 표면이 작아집니다.
  • 사용자에게 최소 권한을 적용하세요: 필요한 사람에게만 관리자 권한을 부여하세요. 필요할 때 사용자 정의 역할 또는 권한 플러그인을 사용하세요.
  • 관리자 및 편집자 계정에 대해 강력한 비밀번호와 2FA를 적용하세요.
  • 의심스러운 엔드포인트에 가상 패치와 속도 제한을 적용할 수 있는 웹 애플리케이션 방화벽(WAF)을 사용하십시오.
  • 자주 백업하고 정기적으로 복원 테스트를 수행하십시오.
  • 의심스러운 활동을 조기에 감지하기 위해 보안 모니터링 및 로깅을 구현하십시오.

공식 수정 사항을 기다리는 동안 가상 패치가 중요한 이유

취약점이 공개되면 공식 패치가 제공되거나 널리 배포되기 전까지 종종 시간이 걸립니다. 가상 패치(WAF를 사용하여 엣지에서 악의적인 요청을 차단하거나 필터링)는 이 기간 동안 노출을 줄입니다. 가상 패치는 인증되지 않은 취약점에 특히 유용합니다. 왜냐하면 공격 표면이 인터넷의 모든 사용자에게 접근 가능하기 때문입니다. 취약한 플러그인을 업데이트하거나 제거하는 동안 위의 WAF 규칙을 사용하여 공격을 차단하십시오.

귀하의 사이트가 이미 WAF 또는 방화벽을 사용하는 경우

  • 즉시 인증되지 않은 플러그인의 엔드포인트에 대한 접근을 차단하기 위해 보호 기능을 활성화하거나 확대하십시오.
  • 위에서 제공된 가상 패치 규칙(귀하의 콘솔에 맞게 조정됨)을 추가하고 플러그인 특정 패턴에 대해 엄격한 로깅을 활성화하십시오.
  • 방화벽이 위협 서명 또는 신속 완화 업데이트를 지원하는 경우 관련 규칙을 적용하고 해당 히트를 모니터링하십시오.
  • 관리형 방화벽을 운영하는 경우, 영향을 받는 벡터에 대한 보호가 구현되었는지 공급자와 조정하십시오.

(우리는 유사한 IDOR 문제에 대한 악의적인 트래픽 패턴을 차단하는 완화 규칙을 유지하며, 플러그인이 패치될 때까지 이 플러그인에 대해 유사한 규칙을 활성화할 것을 권장합니다.)

지금 행동해야 하는 이유

취약점이 인증되지 않고 사용자 기록과 관련이 있기 때문에, 이는 공격자가 개인 데이터를 수집하고 혼란을 일으키며 계정 탈취를 수행하는 빠른 경로를 나타냅니다. 업데이트하거나 완화하는 것을 기다리면 귀하의 사이트가 자동 스캐너와 악용 봇에 의해 발견되고 표적이 될 가능성이 높아집니다.

특별 초대: WP‑Firewall로 귀하의 WordPress 사이트를 보호하십시오(무료 플랜)

WP‑Firewall의 필수 보호 기능으로 오늘 귀하의 사이트를 안전하게 보호하십시오. 우리의 무료 기본 플랜은 관리형 방화벽 보호, 산업 등급 WAF, 정기적인 악성 코드 스캔, 무제한 대역폭 및 OWASP Top 10 위험에 대한 완화를 제공합니다. 이는 인증되지 않은 IDOR 악용과 같은 위협을 차단하는 데 필요한 모든 것입니다.

수천 명의 WordPress 소유자가 우리의 무료 보호 기능으로 시작하는 이유

  • 기본(무료): 관리형 방화벽, 무제한 대역폭, WAF, 악성 코드 스캐너, OWASP Top 10 위험에 대한 완화.
  • 표준: 자동 악성 코드 제거 및 IP 블랙/화이트리스트 추가.
  • 프로: 자동 가상 패치, 월간 보안 보고서 및 전담 계정 관리자 및 관리 보안 서비스와 같은 프리미엄 추가 기능이 포함됩니다.

지금 귀하의 사이트를 안전하게 보호하고 CVE‑2026‑9185와 같은 새로 공개된 취약점에 대한 즉각적인 WAF 완화를 받으십시오:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

마무리 노트 및 책임 있는 공개

귀하가 6Storage Rentals의 플러그인 개발자 또는 유지 관리자인 경우, 공식 패치를 신속하게 배포하는 것을 우선시하십시오:

  • 사용자 식별자를 처리하는 모든 엔드포인트에 대해 엄격한 권한 검사를 추가합니다.,
  • 상태 변경 요청에 대한 nonce 검증을 구현합니다.
  • 소유권/능력 검증 없이 사용자 식별자를 노출하거나 수락하지 않도록 합니다.

사이트 소유자라면 위의 완화 조치를 진지하게 고려하십시오: 플러그인을 패치하거나 비활성화하고, 방화벽에서 가상 패치를 적용하며, 자격 증명을 교체하고, 침해의 징후를 스캔하십시오.

WP‑Firewall 팀은 사이트 소유자가 가상 패칭 규칙을 적용하고 노출 여부를 확인하기 위한 스캔을 수행하는 데 도움을 줄 수 있습니다. 도움이 필요하면 위의 완화 및 사고 대응 섹션의 단계를 따르고 이전에 연결된 무료 보호 계획으로 시작하는 것을 고려하십시오.

안전을 유지하십시오 — 인증되지 않은 IDOR를 즉각적인 우선 사항으로 처리하십시오.

wordpress security update banner

WP Security Weekly를 무료로 받으세요 👋
지금 등록하세요!!

매주 WordPress 보안 업데이트를 이메일로 받아보려면 가입하세요.

우리는 스팸을 보내지 않습니다! 개인정보 보호정책 자세한 내용은

무료 WordPress 보안 컨설팅을 예약하려면 저희에게 연락하세요.

문의하기

WP-방화벽
6층, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

특징 가격 블로그 로그인
개인정보 보호정책 서비스 약관 문서 제휴하다

© 2026 WP-Firewall™