Aanpakken van XSS in WordPress Shortcodes Plugin//Gepubliceerd op 2026-03-24//CVE-2024-12167

WP-FIREWALL BEVEILIGINGSTEAM

Reflected XSS Vulnerability Image

Pluginnaam Shortcodes Blocks Creator Ultimate
Type kwetsbaarheid Cross-site scripting (XSS)
CVE-nummer CVE-2024-12167
Urgentie Medium
CVE-publicatiedatum 2026-03-24
Bron-URL CVE-2024-12167

Weerspiegelde XSS in Shortcodes Blocks Creator Ultimate (≤ 2.2.0) — Wat WordPress-site-eigenaren nu moeten doen

Datum: 2026-03-24
Auteur: WP-Firewall Beveiligingsteam
Trefwoorden: WordPress, WAF, XSS, plugin-beveiliging, incident-respons

Samenvatting
Een weerspiegelde Cross-Site Scripting (XSS) kwetsbaarheid (CVE-2024-12167) werd onthuld in de Shortcodes Blocks Creator Ultimate WordPress-plugin (versies ≤ 2.2.0). Het probleem draait om onveilige weerspiegeling van waarden gerelateerd aan WordPress nonces (_wpnooit) en kan worden gebruikt om JavaScript uit te voeren in de context van de browser van een slachtoffer. Deze post legt de technische details, realistische aanvalscenario's, detectie- en mitigatiestappen en aanbevelingen voor langdurige verharding uit — vanuit het perspectief van ons WP-Firewall beveiligingsteam.

Waarom dit belangrijk is (korte versie)

Weerspiegelde XSS is een van de meest voorkomende webkwetsbaarheden. In WordPress-contexten is het bijzonder gevaarlijk wanneer het kan worden gebruikt tegen bevoorrechte gebruikers (sitebeheerders, redacteuren) omdat het kan leiden tot overname van accounts, wijziging van opties, aanpassing van plugin/thema-bestanden of installatie van achterdeurtjes. Zelfs als een kwetsbaarheid lijkt te vereisen dat er “gebruikersinteractie” is (een link klikken, een aangepaste pagina bezoeken), creëren aanvallers in de echte wereld vaak sociale-engineering lokmiddelen of injecteren ze links in inhoud van derden die beheerders mogelijk openen.

Voor elke website die Shortcodes Blocks Creator Ultimate gebruikt in versie 2.2.0 of lager, neem risico aan totdat je mitigatie hebt geïmplementeerd. Als je niet onmiddellijk kunt patchen, volg dan de gelaagde mitigaties hieronder.

Wat de kwetsbaarheid is (technische samenvatting)

  • Type kwetsbaarheid: Weerspiegelde Cross-Site Scripting (XSS).
  • Betrokken onderdeel: Shortcodes Blocks Creator Ultimate WordPress-plugin (≤ 2.2.0).
  • CVE: CVE-2024-12167
  • Oorzaak (hoog niveau): Ongesaneerde door gebruikers gecontroleerde invoer — specifiek waarden die zijn geassocieerd met de WordPress nonce-parameter (_wpnooit) — worden teruggekaatst naar de gebruiker (in een of andere AJAX-respons of pagina) zonder juiste escaping of codering. Die weerspiegeling maakt injectie van scriptpayloads mogelijk die worden uitgevoerd in de browser van het slachtoffer.
  • Toegang vereist: De kwetsbaarheid kan worden geactiveerd door niet-geauthenticeerde actoren die aangepaste URL's maken. De impact van een succesvolle aanval is groter als een geauthenticeerde of bevoorrechte gebruiker (bijv. admin) wordt aangezet om de aangepaste link te bezoeken.
  • Typische impact: Uitvoering van willekeurige JavaScript in de browser van het slachtoffer (sessiediefstal via cookies, CSRF-achtige acties, overname van administratieve accounts, blijvende wijzigingen als deze worden gekoppeld aan andere kwetsbaarheden).

Belangrijke nuance: Veel weerspiegelde XSS-rapporten geven aan dat de payload wordt geleverd via een respons die vereist dat een bevoorrechte gebruiker een actie uitvoert (bijv. een link klikken in de admin). Een typische aanvalsstroom is dat een aanvaller een aangepaste URL naar een admin stuurt; de admin klikt erop; kwaadaardig script wordt uitgevoerd in de sessie van de admin en voert bevoorrechte acties uit.

Hoe aanvallers het waarschijnlijk zullen misbruiken (realistische scenario's)

  1. Phishing van admin-gebruikers: De aanvaller maakt een overtuigende e-mail gericht op admins met een link die de XSS-payload in parameters bevat (vaak URL-gecodeerd). Als een admin de link volgt terwijl hij is ingelogd, wordt het script uitgevoerd en kan het acties triggeren zoals het exporteren van gebruikers, het toevoegen van een admin-gebruiker of het injecteren van kwaadaardige berichten.
  2. Drive-by via inhoud van derden: Als een aanvaller een link kan plaatsen op een derde partij site of in een commentaar dat een admin later aanklikt (of als een aanvaller een partner site compromitteert), kan dit XSS activeren.
  3. Koppelen met andere bugs: Aanvallers kunnen de gereflecteerde XSS gebruiken om scripts uit te voeren die verbinding maken met interne eindpunten (bijv. AJAX-aanroepen uitvoeren) en authenticatiecookies of REST API-eindpunten gebruiken om blijvende wijzigingen aan te brengen.
  4. Sessiediefstal & privilege-escalatie: Het geïnjecteerde script kan cookies of nonces naar een door de aanvaller gecontroleerde server sturen, waardoor sessieovername of herhaling van admin-acties mogelijk wordt.

Indicatoren van compromittering (waarop te letten)

Bij het onderzoeken of een aanval heeft plaatsgevonden, controleer op:

  • Onbekende admin-accounts die zijn aangemaakt rond de tijd van verdachte activiteit.
  • Post/pagina-inhoud gewijzigd door een admin-gebruiker of onbekende gebruiker.
  • Plugin/thema-bestanden gewijzigd (upload-tijdstempels of gewijzigde inhoud).
  • Onbekende geplande taken (cron-invoeren) of uitgaande verbindingen naar onbekende domeinen vanaf de site.
  • Toegangslogboeken die verzoeken tonen met ongebruikelijke queryparameters die gecodeerde tekens bevatten (, , script) of lange strings die eruitzien als payloads.
  • Admin-sessies die IP-adressen of gebruikersagenten bevatten die inconsistent zijn met normaal gebruik.
  • Meldingen van malware-scanners die geïnjecteerde JavaScript in pagina's of berichten aangeven.
  • Onverwachte wijzigingen in opties in wp_options (bijv. wijzigingen in site_url, nieuwe omleidingsregels).

Doorzoek je HTTP-toegangslogs op patronen zoals:

  • Verzoeken die bevatten _wpnonce= met onverwachte waarden of payload-achtige inhoud.
  • Gecodeerde script-tags: script, \x3Cscript\x3E, <script>.
  • Ongebruikelijke POST/GET-parameters met lange base64-strings, HTML-tags of gebeurtenisbehandelaars (laden, onclick).

Onmiddellijke aanbevolen acties (prioriteitenlijst)

Als je WordPress-sites beheert met deze plugin geïnstalleerd, doe dan onmiddellijk het volgende — in deze volgorde:

  1. Bevestig de pluginversie
    Controleer de pluginpagina in wp-admin of wp-content/plugins om de versie te bevestigen. Als het ≤ 2.2.0 is, beschouw het dan als kwetsbaar.
  2. Als er een veilige plugin-update beschikbaar is, werk dan onmiddellijk bij
    Test altijd eerst in staging wanneer mogelijk. Als er nog geen officiële patch beschikbaar is, ga dan verder met de onderstaande mitigaties.
  3. Pas WAF toe (virtuele/tijdelijke patch)
    Blokkeer exploitpatronen met een WAF-regel. Dit voorkomt de meeste geautomatiseerde en opportunistische aanvallen. Een praktische WAF-regel kan verzoeken blokkeren waarbij _wpnooit parameterwaarden bevatten <, >, script, of gecodeerde vormen.
  4. Beperk administratieve toegang
    Beperk wp-admin op IP (indien haalbaar), VPN of HTTP-authenticatie.
    Handhaaf twee-factor authenticatie (2FA) voor alle admin accounts.
    Intrek sessies die je niet herkent (Gebruikers → Alle gebruikers → Sessiebeheerplugins of gebruik een databasequery om sessies te verwijderen).
  5. Scan op indicatoren en keer verdachte wijzigingen terug
    Gebruik je malware-scanner om te zoeken naar geïnjecteerde scripts in berichten, pagina's, thema/plugin-bestanden en uploads.
    Zet verdachte wijzigingen terug vanuit back-ups of versie-beheerde kopieën.
  6. Verwijder of deactiveer de plugin (als update niet beschikbaar is en mitigatie niet kan worden toegepast)
    Als de plugin niet kritisch is voor de functionaliteit van de site, deactiveer en verwijder deze totdat deze is gepatcht.
  7. Versterk admin-gebruikers
    Draai wachtwoorden voor alle admin-accounts. Forceer wachtwoordresets voor bevoorrechte accounts.
    Deactiveer onnodige admin-accounts en controleer op accounts met verhoogde privileges.
  8. Monitor logs en verkeer
    Verhoog de logginggevoeligheid en bewaar logs voor diepere forensische analyse.
    Let op herhaalde verzoeken die overeenkomen met de exploitpatronen.

Voorbeelddetectiesignaturen en WAF-regels

Hieronder staan voorbeeldregels en patronen die je binnen een WAF kunt gebruiken om exploitpogingen te blokkeren. Deze zijn illustratief — pas ze aan de syntaxis van jouw WAF-platform aan.

Opmerking: Test altijd regels in de “monitor”-modus voordat je blokkeert, zodat je geen valse positieven creëert die legitieme functionaliteit verstoren.

  1. Algemene RegExp om script-tags of gecodeerde formulieren te detecteren in _wpnooit:
(?i)(_wpnonce=)([^&]*)(|||>)

Als de tool regelopbouw ondersteunt, kan een regel zijn:

  • Voorwaarde: Querystring bevat _wpnooit
  • EN: _wpnooit waarde komt overeen met regex voor < of script of gecodeerde formulieren.
  • Actie: Blokkeren of uitdagen (CAPTCHA/JS-uitdaging).
  1. ModSecurity voorbeeld (conceptueel):
# Blokkeer als _wpnonce-param de verdachte tokens bevat"
  1. Blokkeer gecodeerde XSS-payloads in querystrings:
SecRule QUERY_STRING "@rx (?i)(script|3Cscript3E|script|script)" "id:100102,fase:2,weigeren,log,msg:'Gecodeerde script-tag in querystring'"
  1. Minimale nginx-locatiebescherming (conceptueel):
als ($request_uri ~* "_wpnonce=.*(|||script)") {
  1. Blokkeer verdachte verwijzers of gebruikersagenten bij het aanroepen van gevoelige admin-eindpunten:
    – Als een AJAX-eindpunt alleen door admin-dashboards wordt gebruikt, blokkeer dan verzoeken van buiten bekende admin-oorsprongdomeinen.

Belangrijk: Voor grote of multi-tenant sites, zorg ervoor dat alle blokkeringregels nauwkeurig zijn gedefinieerd om te voorkomen dat legitieme admin-stromen worden verbroken.

Herstel checklist — stap-voor-stap

  1. Inventaris
    Lijst alle sites die de plugin gebruiken en hun versies. Geef prioriteit aan waardevolle sites (ecommerce, lidmaatschap, veel verkeer).
  2. Patch (indien beschikbaar)
    Werk de plugin bij zodra er een patch wordt gepubliceerd. Volg de richtlijnen van de plugin-auteur.
  3. WAF / Virtuele patch
    Implementeer WAF-regels om exploitvectoren te blokkeren. Houd regels eenvoudig, gericht en gelogd.
    Gebruik progressieve handhaving: monitoren -> uitdagen -> blokkeren.
  4. Toegangscontroles
    Beperk de toegang tot /wp-admin en /wp-login.php via IP-toegangslijst, VPN of HTTP-authenticatie indien mogelijk.
    Handhaaf sterke wachtwoorden en 2FA voor alle bevoegde gebruikers.
  5. Audit & herstel
    Voer een malware-scan en controle van de bestandsintegriteit uit. Vergelijk plugin/thema-bestanden met de originele versies in de repository.
    Herstel gecompromitteerde bestanden vanuit een schone back-up indien nodig.
  6. Geheimen roteren
    Reset de wachtwoorden van het admin-account. Genereer API-sleutels, integratiegeheimen en tokens die door de site worden gebruikt opnieuw als er enige kans op blootstelling is.
  7. Monitoren
    Verhoog de waarschuwingen voor verdachte gebeurtenissen (admin-login vanaf nieuw IP, bestandswijzigingen).
    Monitor uitgaand verkeer op exfiltratie.
  8. Communicatie
    Als je een hostingprovider bent of klantensites beheert, informeer dan de getroffen klanten snel met aanbevolen stappen.

Voor ontwikkelaars: Goede programmeerpraktijken om nonce-gerelateerde reflecties te vermijden

Als je een plugin- of thema-ontwikkelaar bent, zullen deze items het type gereflecteerde XSS voorkomen dat hier wordt beschreven:

  1. Echo nooit onbetrouwbare invoer terug naar de browser zonder te ontsnappen.
    Gebruik sanitization bij het accepteren van invoer.
    Escape bij uitvoer: esc_html(), esc_attr(), esc_textarea(), of wp_kses() afhankelijk van de context.
  2. Gebruik WordPress-ontsnappingshelpers voor HTML-attributen en inhoud:
    esc_attr() voor attribuutwaarden
    esc_html() voor HTML-tekstknopen
    esc_js() voor inline JavaScript-insertie (bij voorkeur inline JS vermijden)
    wp_kses_post() voor toegestane HTML in postinhoud
  3. Valideer en verifieer nonces server-side met behulp van wp_verify_nonce()
    Maar onthoud: een nonce-waarde is geen invoerinhoud; neem niet aan dat het veilig is om het direct te reflecteren.
  4. Bij het retourneren van JSON-antwoorden (AJAX), JSON-encodeer waarden en vermijd het direct inbedden van HTML in JSON.
    Gebruik wp_send_json_succes() / wp_send_json_error() met goed gesaneerde inhoud.
  5. Geef de voorkeur aan POST voor gevoelige bewerkingen en vermijd het terugreflecteren van parameters in GET-gebaseerde antwoorden.
  6. Gebruik Content Security Policy (CSP) headers om de impact van gereflecteerde XSS te verminderen:
    rapporteer eerst alleen; handhaaf het vervolgens zodra je hebt getest.
  7. Onderwijs QA/testteams om XSS-payloads (gecodeerd/ongecodeerd) op te nemen in invoer als onderdeel van testplannen.

Aanbevolen incidentresponsflow (als je exploitatie vermoedt)

  1. Isoleren
    Neem de site tijdelijk in onderhoudsmodus of beperk de toegang voor beheerders om verdere exploitatie door beheerders te voorkomen.
  2. Bevatten
    Pas WAF-regels toe om exploitatiepogingen te blokkeren.
    Intrek actieve beheerderssessies en dwing wachtwoordresets af.
  3. Onderzoeken
    Verzamel toeganglogs van de webserver, foutlogs, wp-admin auditlogs en database wijzigingslogs.
    Zoek naar verdachte verzoeken, vooral met _wpnooit parameters of ongebruikelijke gecodeerde payloads.
  4. Uitroeien
    Verwijder geïnjecteerde scripts uit inhoud en bestanden.
    Herstel schone kopieën van gecompromitteerde bestanden uit back-ups van vóór het incident.
  5. Herstellen
    Zet diensten weer aan zodra ze zijn gesaneerd en bevestig normaal gedrag.
    Blijf verhoogde monitoring uitvoeren gedurende ten minste 30 dagen.
  6. Na het incident
    Voer een oorzaak-analyse uit en pas proceswijzigingen toe (bijv. striktere patchbeleid, betere staging).
    Communiceer met belanghebbenden en gebruikers zoals vereist door beleid of regelgeving.

Versteviging en langdurige preventie (voorbij deze kwetsbaarheid)

  • Houd de WordPress-kern, thema's en plugins up-to-date volgens een betrouwbaar schema.
  • Gebruik staging-sites voor plugin-upgrades en test op compatibiliteit voordat je naar productie gaat.
  • Implementeer rolgebaseerde toegangscontrole: geef de minimale privileges die nodig zijn voor administratieve taken.
  • Handhaaf 2FA en sterke wachtwoordbeleid voor bevoorrechte accounts.
  • Schakel bestandsintegriteitsmonitoring in (detecteer bestandswijzigingen in wp-content, wp-includes).
  • Controleer en verwijder ongebruikte plugins en thema's.
  • Implementeer regelmatige back-ups met off-site opslag en test herstelprocedures.
  • Gebruik een gelaagde beveiligingsaanpak: hardening op hostniveau, WAF op applicatieniveau en runtime monitoring.

Praktische voorbeelden: Hoe je een kwetsbare site snel kunt verhardingen.

  1. Korte termijn WAF-regel (voorbeeld):
    Blokkeer verzoeken waarbij _wpnooit omvat een van de volgende tokens: <, >, script, laden, onerror, evaluatie, document.cookie, of veelvoorkomende gecodeerde vormen.
  2. Beperk admin-toegang per IP:
    Als je statische IP-adressen van je team hebt, beperk dan de toegang tot /wp-admin en /wp-login.php tot die IP's. Voeg uitzonderingen toe voor legitieme diensten (bijv. monitoring).
  3. Voeg een Content Security Policy (CSP) header toe:
    Een strikte CSP vermindert aanzienlijk de mogelijkheid van gereflecteerde XSS om externe scripts te laden of gegevens te exfiltreren.
    Begin met alleen rapporteren modus, bekijk rapporten, en handhaaf dan.
  4. Sanitize invoer in aangepaste of derde partij code:
    Als je site of consultants aangepaste code hebben die deze plugin omvat of ermee interageert, zorg ervoor dat alle gegevens die doorgegeven of weergegeven worden in de browser zijn gesaneerd/escaped.
  5. Schakel auto-weergave van admin-meldingen die niet-vertrouwde waarden bevatten uit:
    Veel plugins tonen admin-meldingen die GET-parameters weerspiegelen. Controleer de code voor het genereren van admin-meldingen en escape dienovereenkomstig.

Monitoring & logpatronen om waarschuwingen mogelijk te maken

Stel waarschuwingen in voor:

  • Verzoeken met _wpnooit die bevatten %3C, %3E, script of script tokens.
  • POST-verzoeken naar admin-eindpunten afkomstig van ongebruikelijke IP-adressen of geolocaties.
  • Massaverzoeken naar eindpunten die querystrings bevatten die langer zijn dan normaal (wat duidt op payloadlevering).
  • Admin-login vanaf nieuwe IP's binnen een korte tijdspanne van verdachte GET-verzoeken.

Voorbeeld logzoekopdracht (conceptueel):

verzoek:/wp-admin* EN query._wpnonce:/.*(|||\bscript\b).*/i

Trigger: stuur een waarschuwing naar het beveiligingsteam en blokkeer tijdelijk het IP of presenteer een JS-uitdaging.

Ontwikkelaarsrichtlijnen — veilige patronen voor het omgaan met _wpnonce

  • Nonces zijn voor het verifiëren van intentie, niet voor datatransport. Gebruik de nonce-waarde zelf niet als inhoud. Als je een nonce-waarde voor debugging moet echoën, escape deze dan correct en verwijder die output in productie.
  • Bij het bouwen van adminpagina's die parameters accepteren, saniteer alle invoer met geschikte filters en escape outputs met behulp van WordPress-hulpmiddelen.
  • Waar de plugin adminmeldingen afdrukt of HTML retourneert via AJAX, echo dan niet direct queryparameters. Saniteer, valideer en escape altijd.

Voorbeeld (veilige) output op de plugin adminpagina:

&lt;?php&#039;<div>' . $_GET['some_param'] . '</div>';'<div>' . esc_html($param) . '</div>';

Voor AJAX-eindpunten:

  • Gebruik controleer_ajax_referer() om de nonce-intentie te verifiëren.
  • Voor JSON-responses, gebruik wp_send_json_success( array( 'data' => $safe_value ) );

Hoe WP-Firewall je beschermt (korte technische opmerking)

Als een WordPress-beveiligingsprovider implementeren we proactieve detectie en virtuele patching om aanvallen zoals de hier beschreven gereflecteerde XSS te voorkomen. Onze aanpak volgt een gelaagd model:

  • Regelgebaseerde blokkering die zich richt op exploitpatronen (inclusief gecodeerde payloads die zich richten op nonce-parameters).
  • Runtime-detectie van anomalieuze admin-activiteit en automatische sessiebeperking.
  • Malware-scanning om geïnjecteerde scripts en gewijzigde bestanden te detecteren.
  • Begeleiding voor beveiligingsversterking voor plugingebruik, admin-toegang en configuratie.

Als je onze gratis laag gebruikt, zullen basis WAF-beschermingen en malware-scans een groot percentage van geautomatiseerde exploitpogingen blokkeren, en we bieden eenvoudige stapsgewijze herstelbegeleiding.

Beveilig je site gratis met WP-Firewall Basic

Als je een snelle, kosteloze manier wilt om je blootstelling te verminderen terwijl je herstel plant, probeer dan WP-Firewall Basic (gratis). Het Basic-plan biedt essentiële bescherming: een beheerde firewall, onbeperkte bandbreedte, een Web Application Firewall afgestemd op WordPress, een malware-scanner en mitigatie voor OWASP Top 10-risico's. Het is een gemakkelijke manier om een onmiddellijke virtuele patchlaag toe te voegen en je detectiemogelijkheden te verbeteren zonder je siteconfiguratie te wijzigen. Meld je hier aan voor het gratis plan: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Als je automatische malwareverwijdering, IP-toestaan/weigeren-controles of virtueel patchen met geprioriteerde regels voor plugin-kwetsbaarheden nodig hebt, overweeg dan om over te stappen naar de betaalde plannen.)

Veelgestelde vragen

Q: Als de plugin is gedeactiveerd, ben ik dan veilig?
A: Het deactiveren en verwijderen van de plugin verwijdert het directe aanvalsvlak. Echter, als een site eerder is geëxploiteerd, reinigt deactivering alleen niet de geïnjecteerde inhoud of achterdeuren. Scan en verifieer altijd.

Q: Kunnen aanvallers de kwetsbaarheid via zoekmachines exploiteren?
A: Alleen als een admin/gebruiker op een vervaardigde link klikt terwijl hij is geauthenticeerd. Aanvallers kunnen echter dergelijke links verspreiden in e-mails, partnerpagina's of opmerkingen. Behandel elke externe link naar de admin als risicovol als de plugin kwetsbaar is.

Q: Moeten nonces geheim zijn?
A: Nee. Nonces zijn geen geheime tokens zoals wachtwoorden; het zijn kortlevende tokens om de intentie te verifiëren. Ze mogen nooit worden gebruikt als een voertuig voor gegevens die zonder juiste sanitatie/escaping aan gebruikers worden teruggegeven.

Laatste gedachten (praktische risico-evaluatie)

Gereflecteerde XSS is een probleem met een hoge waarschijnlijkheid en een gemiddelde tot hoge impact wanneer het beheerders kan beïnvloeden. Omdat het kan worden geactiveerd via vervaardigde URL's en sociale engineering, is dit precies het soort kwetsbaarheid dat vaak voorkomt in massale exploitpogingen. Als je site de getroffen pluginversie gebruikt, behandel het dan als urgent: patch indien beschikbaar, en zo niet, pas WAF-regels toe, beperk admin-toegang en scan op compromittering.

Beveiliging is geen eenmalige taak. Combineer tijdige patches, een gelaagde verdediging (WAF + versterking + monitoring) en responsieve incidentprocessen om de kans te verkleinen dat een exploit in een volledige compromittering verandert.

Als je hulp wilt bij het implementeren van de bovenstaande beschermingen of als je wilt dat we een specifiek incident of logoutput bekijken, neem dan contact op met ons beveiligingsoperationele team — we kunnen je helpen het aanvalvenster te verkleinen terwijl we met je samenwerken aan een volledige herstelroutekaart.

Referenties & verder lezen

WP-Firewall Beveiligingsteam
We beveiligen WordPress-sites door deskundige analyse, beheerde WAF-regels en praktische herstelrichtlijnen te combineren.

wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.

Neem contact met ons op om een gratis WordPress-beveiligingsconsult in te plannen

Neem contact met ons op

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Functies Prijzen Blog Login
Privacybeleid Servicevoorwaarden Documenten Partner

© 2026 WP-Firewall™