Kritieke XSS in Shortcodes Ultimate Plugin//Gepubliceerd op 2026-04-01//CVE-2026-2480

WP-FIREWALL BEVEILIGINGSTEAM

Shortcodes Ultimate CVE-2026-2480

Pluginnaam Shortcodes Ultimate
Type kwetsbaarheid Cross-site scripting (XSS)
CVE-nummer CVE-2026-2480
Urgentie Laag
CVE-publicatiedatum 2026-04-01
Bron-URL CVE-2026-2480

Shortcodes Ultimate Opgeslagen XSS (CVE-2026-2480) — Wat site-eigenaren en ontwikkelaars nu moeten doen

Auteur: WP-Firewall Beveiligingsteam
Datum: 2026-04-01
Trefwoorden: WordPress, beveiliging, kwetsbaarheid, XSS, Shortcodes Ultimate, WAF

TL;DR (snelle samenvatting)

Een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid (CVE-2026-2480) werd onthuld in de WordPress-plugin “Shortcodes Ultimate” die versies <= 7.4.10 beïnvloedt. Een geauthenticeerde gebruiker met Contributor-rechten (of hoger) kan kwaadaardige JavaScript injecteren via de max_width shortcode-attribuut. Het probleem is verholpen in Shortcodes Ultimate 7.5.0.

Wat je nu moet doen:

  • Update Shortcodes Ultimate onmiddellijk naar versie 7.5.0 of later.
  • Als je niet meteen kunt updaten, pas dan tijdelijke mitigaties toe: beperk de toegang voor bijdragers, schakel shortcode-rendering voor onbetrouwbare inhoud uit, of gebruik een virtuele patch met een Web Application Firewall (WAF) regel.
  • Scan je site op geïnjecteerde shortcode-payloads en tekenen van compromittering, en volg een opruimprocedure als er kwaadaardige inhoud wordt gevonden.

Deze post legt de kwetsbaarheid, impactscenario's, detectie- en herstelstappen, ontwikkelingsoplossingen en WAF-regels uit die je kunt toepassen terwijl je patcht. Het is geschreven vanuit het perspectief van het WP-Firewall-team — praktische, no-nonsense begeleiding waar je vandaag op kunt handelen.

Overzicht: wat er is gebeurd en waarom het belangrijk is

Shortcodes Ultimate is een veelgebruikte WordPress-plugin die veel shortcodes biedt om inhoudselementen (tabbladen, knoppen, vakken, enz.) te creëren. De gerapporteerde kwetsbaarheid stelt een geauthenticeerde gebruiker met Contributor-rechten in staat om een bericht of pagina op te slaan die een op maat gemaakte shortcode bevat waarvan max_width het attribuut een payload bevat die JavaScript uitvoert wanneer de pagina wordt weergegeven (opgeslagen XSS). Omdat de payload in de site-database is opgeslagen, kan deze worden uitgevoerd telkens wanneer een beheerder, redacteur of een pagina-bezoeker (afhankelijk van hoe en waar de shortcode wordt weergegeven) de getroffen inhoud bekijkt.

Belangrijke details

  • Beïnvloede plugin: Shortcodes Ultimate
  • Beïnvloede versies: <= 7.4.10
  • Gepatcht in: 7.5.0
  • Kwetsbaarheidstype: Opgeslagen Cross-Site Scripting (XSS)
  • CVE: CVE-2026-2480
  • Vereiste bevoegdheid: Contributor (geauthenticeerd)
  • Gebruikersinteractie: Vereist (een bevoegde gebruiker moet mogelijk inhoud bekijken of ermee interageren voor volledige exploitatie)
  • CVSS: ~6.5 (gemiddeld)

Waarom dit belangrijk is

  • Opgeslagen XSS is gevaarlijk omdat geïnjecteerde scripts in de site-database blijven en later worden uitgevoerd wanneer de inhoud wordt weergegeven. Dit kan leiden tot compromittering van admin-accounts, site-defacing, phishing, ongewenste omleidingen of levering van aanvullende malware.
  • Bijdrager-niveau gebruikers zijn vaak aanwezig op community-sites of redactionele workflows. Hoewel bijdragers niet direct kunnen publiceren, kunnen ze inhoud voorbereiden die kan worden bekeken of gepubliceerd door gebruikers met hogere privileges.
  • Aanvallers kunnen meerdere sites die de kwetsbare plugin draaien massaal targeten met dezelfde techniek.

Hoe de kwetsbaarheid werkt (hoog niveau, geen exploit-code)

Shortcodes worden opgeslagen als tekst binnen de postinhoud (de database), en wanneer WordPress inhoud weergeeft, ontvangt de shortcode-handler attributen van de opgeslagen shortcode-tag. Als een plugin attributen niet goed valideert en ontsnapt voordat ze in HTML worden weergegeven, kan een aanvaller JavaScript injecteren via speciaal gemaakte attribuutwaarden.

In dit geval is het kwetsbare attribuut max_width. In plaats van een onschadelijke numerieke waarde te leveren (bijv., 300px), kan een aanvaller een attribuutwaarde opgeven die tekens bevat die het injecteren van HTML of JavaScript mogelijk maken wanneer de plugin dat attribuut in een HTML-attribuut of inline stijl uitvoert.

Belangrijke foutmodi die leiden tot opgeslagen XSS:

  • Onvoldoende validatie van attribuutwaarden (het accepteren van willekeurige strings).
  • Attribuutwaarden direct in HTML weergeven zonder ontsnapping.
  • Gegevens die door de aanvaller worden gecontroleerd opslaan in post_content waar het later als onderdeel van de pagina zal worden weergegeven.

Exploitatie-scenario (typisch):

  1. De aanvaller maakt of bewerkt een post (toegang voor bijdragers is voldoende).
  2. De aanvaller voegt (slaat op) een shortcode in die een kwaadaardige bevat max_width waarde wijzigen.
  3. Een gebruiker met hogere privileges (redacteur, administrator) bekijkt of bekijkt de pagina aan de admin- of publieke kant; de kwaadaardige JavaScript wordt uitgevoerd in hun browser.
  4. Het script steelt sessiecookies, voert acties uit namens die gebruiker in de admin-context, exfiltreert gegevens of injecteert verdere backdoors.

Vanwege de opgeslagen aard kan de aanval aanhouden en in de loop van de tijd veel gebruikers beïnvloeden.

Wie loopt risico?

  • Sites die Shortcodes Ultimate draaien op versies <= 7.4.10.
  • Sites die registraties op bijdrager-niveau of hoger toestaan zonder strikte moderatie.
  • Sites waar redactionele workflows het mogelijk maken om inhoud die door bijdragers is gemaakt te bekijken door bevoegde gebruikers.
  • Multi-auteur blogs, lidmaatschapsites, educatieve sites en elke site met door gebruikers gegenereerde inhoud kunnen bijzonder kwetsbaar zijn.

Als je meerdere WordPress-sites host, controleer dan elke site op de kwetsbare pluginversie en of er bijdragers zijn.

Onmiddellijke acties voor site-eigenaren (prioriteitschecklist)

  1. De plug-in bijwerken
    Werk Shortcodes Ultimate onmiddellijk bij naar 7.5.0 of later. Dit is de meest effectieve oplossing.
  2. Als u niet direct kunt updaten, past u tijdelijke oplossingen toe:

    • Schakel Shortcodes Ultimate uit of deactiveer het totdat je het kunt patchen.
    • Verwijder de mogelijkheid voor nieuwe gebruikersregistraties op het bijdrager-niveau, of stel nieuwe gebruikers tijdelijk in op een veiligere standaardrol.
    • Beperk bijdragers in het maken of bewerken van shortcodes. Controleer en modereer alle nieuwe bijdragen.
    • Gebruik een WAF om de kwetsbaarheid virtueel te patchen (zie WAF-richtlijnen hieronder).
    • Schakel het weergeven van shortcodes in de editor-preview uit voor niet-vertrouwde rollen (indien mogelijk).
  3. Scan op kwaadaardige opgeslagen payloads

    • Zoek in berichten en pagina's naar voorkomens van de aangetaste shortcode-attributen en verdachte tekens. Zie scan-tips hieronder.
    • Als er kwaadaardige payloads worden gevonden, behandel je site dan als potentieel gecompromitteerd en volg de schoonmaakchecklist.
  4. Wijzig gevoelige inloggegevens

    • Draai wachtwoorden voor beheerdersaccounts en andere gebruikers met hoge privileges als er een compromis wordt vermoed.
    • Intrek en heruitgifte van API-sleutels of integratietokens die mogelijk zijn blootgesteld.
  5. Monitoren en loggen

    • Verhoog de monitoring van admin-inlogpogingen, accountactiviteit en het aanmaken van nieuwe admin-gebruikers.
    • Controleer toeganglogs op verdachte verzoeken.

Detecteren van geïnjecteerde payloads en tekenen van exploitatie

Zoek naar de volgende indicatoren van compromittering (IOC's) of verdachte inhoud:

  • Postinhoud die Shortcodes Ultimate-tags bevat met max_width attributes that include unexpected characters (quotes, angle brackets, “javascript:” strings, encoded payloads like %3C, %3E, %22).
  • Nieuwe of bewerkte berichten door bijdragersaccounts die shortcodes bevatten met complexe attribuutwaarden.
  • Onverwacht gedrag van de admin UI na het bekijken of vooraf bekijken van een bericht (omleidingen, pop-ups).
  • Adminsessies die onverwacht eindigen of adminaccounts die acties uitvoeren die niet door de admin zijn geïnitieerd.

Praktische zoekopdrachten

  • Gebruik WP-CLI (op de server) om naar verdachte attributen te zoeken:
    • Exporteer inhoud en grep naar “max_width” voorvallen: 
      wp db query "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%max_width%';"
    • Of haal postinhoud op en voer geavanceerdere patroonmatching uit: 
      wp post list --post_type=post,page --format=ids | xargs -n1 -I% sh -c "wp post get % --field=post_content | grep -n 'max_width' && echo '--- post % ---'"
  • Gebruik een regex om max_width-waarden te vinden die andere tekens bevatten dan cijfers, spaties, “px” of “%”. Voorbeeld regex-concept (gebruik niet blindelings; pas aan voor uw site): 
     /max_width\s*=\s*"(?!\d+(?:px|%)?)[^"]+"/

    Dit markeert waarden die geen eenvoudige numerieke eenheden zijn.

Opmerking: Wees voorzichtig bij het scannen — match context en bevestig overeenkomsten visueel voordat u inhoud massaal wijzigt.

Schoonmaakchecklist (als injectie is gevonden of compromittering wordt vermoed)

  1. Werk de plugin onmiddellijk bij naar 7.5.0 of later (als je dat nog niet hebt gedaan) of deactiveer de plugin.
  2. Identificeer alle berichten/pagina's met het kwaadaardige shortcode-attribuut en ofwel:
    • Verwijder de gehele shortcode-invoer als deze niet nodig is; of
    • Maak de max_width attribuut zodat het alleen veilige waarden bevat (bijv., 300px of 80%).
  3. Exporteer een kopie van de getroffen berichten voor forensische analyse.
  4. Controleer alle gebruikersaccounts (vooral bijdragers) die die berichten hebben gemaakt of bewerkt — schakel verdachte accounts uit of reset ze.
  5. Reset beheerderswachtwoorden en maak sessies ongeldig:
    • Dwing uitloggen van alle gebruikers en verstrek nieuwe wachtwoorden voor gebruikers met hoge privileges.
  6. Scan de site met een gerenommeerde malware-scanner en controleer kern- en pluginbestanden op ongeautoriseerde wijzigingen.
  7. Controleer op persistentie: zoek naar nieuwe beheerdersgebruikers, gewijzigde themabestanden, nieuwe geplande taken (cron-taken), onbekende PHP-bestanden in uploads of gewijzigde mu-plugins.
  8. Herstel vanaf een schone back-up als je diepere compromittering of persistente achterdeurtjes detecteert.
  9. Meld het incident bij je hostingprovider en volg hun procedures voor het reageren op inbreuken indien van toepassing.

Ontwikkelaarsrichtlijnen: hoe plugin-code veilig te repareren

Als je code onderhoudt die shortcodes verwerkt (hetzij in Shortcodes Ultimate of een aangepaste shortcode), volg dan veilige invoer- en uitvoerpraktijken:

  1. Valideer attributen bij invoer
    • Accepteer alleen een strikte whitelist voor max_width, bijv. nummers met optionele eenheden (px of %).
    • Voorbeeldvalidatie (conceptueel):
      • Accepteer patroon: ^\d+(?:\.\d+)?(?:px|%)?$
      • Als de waarde niet overeenkomt, val terug op een veilige standaard (bijv., 100% of een lege string).
  2. Sanitizen en escapen bij uitvoer
    • Escape attributen met geschikte escape-functies bij het bouwen van HTML: esc_attr() voor HTML-attributen; esc_html() voor interne tekst; esc_url() voor URL's.
    • Bij het injecteren van waarden in CSS-stijlattributen gebruik esc_attr() na het valideren van eenheden.
  3. Geef de voorkeur aan type-veilige gegevens
    • Converteer numerieke breedtes naar gehele getallen en voeg eenheid server-side toe, in plaats van te vertrouwen op een door de gebruiker opgegeven eenheidstring.
  4. KSES / toegestane HTML
    • Gebruik wp_kses() om niet-toegestane HTML en attributen te verwijderen bij het opslaan of weergeven van door de gebruiker aangeleverde inhoud.
  5. Voorbeeld van een veilige snippet (conceptueel — pas aan voor je plugin)
functie my_su_shortcode_handler( $atts ) {'<div class="su-example"' . $style>'$atts = shortcode_atts( array('</div>';
}

Deze aanpak valideert het formaat en zorgt ervoor dat elk attribuut dat in HTML wordt geïnjecteerd, wordt ontsnapt.

WAF (Web Application Firewall) en richtlijnen voor virtuele patching

Als je niet onmiddellijk kunt bijwerken of je wilt verdediging in de diepte toevoegen, gebruik dan WAF-regels om pogingen om de kwetsbaarheid te exploiteren te detecteren en te blokkeren.

Algemene aanbevelingen voor WAF-regels

  • Blokkeer POST-verzoeken naar eindpunten die worden gebruikt voor het opslaan van inhoud (bijv. admin-ajax, eindpunten voor het bewerken van berichten) die verdachte max_width waarden bevatten (niet-numeriek, bevatten , aanhalingstekens met javascript:, onerror=, onload=).
  • Verwijder of wijs shortcode-attributen af die controlekarakters of gecodeerde karakters bevatten (%3C, %3E, %22) die vaak worden gebruikt om payloads te verdoezelen.
  • Blokkeer hoog-risico karakters in attributen voor gebruikers met lagere privileges (bijv. Bijdragers).
  • Beperk het aantal herhaalde opslaanpogingen van dezelfde gebruiker/IP om geautomatiseerde exploitatiepogingen te voorkomen.

Voorbeeld WAF-handtekeningpatronen (conceptueel — gebruik deze niet letterlijk zonder testen):

  • Vergelijk aanvraaglichamen met max_width die bevatten: 
    max_width\s*=\s*["'][^"']*[<>][^"']*["']
  • Vergelijk gecodeerde hoekhaken of aanhalingstekens: 
    %3[cC]|%3[eE]|%22
  • Blokkeer of waarschuw voor attributen die bevatten javascript: of gegevens: URI's.

Belangrijk bij het implementeren van regels:

  • Test altijd in de modus “monitor” of “alleen loggen” voordat je site-breed blokkeert om valse positieven te voorkomen.
  • Pas regels agressiever toe voor niet-vertrouwde of laaggeprivilegieerde gebruikers, terwijl je vertrouwde gebruikers meer ruimte geeft.
  • Geef de voorkeur aan het blokkeren van het specifieke aanvalsvlak (de max_width attribuut) in plaats van brede blokkering die normaal sitegedrag kan verstoren.

WP-Firewall klanten: virtuele patching mogelijkheid stelt je in staat om een regel te implementeren die gericht is op opgeslagen XSS-patronen in het getroffen shortcode-attribuut totdat de site is bijgewerkt. Virtuele patching is vooral nuttig in omgevingen waar plugin-updates worden vertraagd.

Verharding en langetermijnmitigaties

  1. Beginsel van de minste privileges
    • Beperk rollen en mogelijkheden: bijdragers mogen niet meer rechten krijgen dan nodig is.
    • Gebruik rolbeheerplugins of aangepaste code om risicovolle mogelijkheden uit lagergeprivilegieerde rollen te verwijderen.
  2. Inhoudsmoderatie workflow
    • Vereis goedkeuring van de redacteur voordat bijdrager-geleverde berichten worden gepubliceerd.
    • Schakel front-end voorvertoningen uit voor inhoud die door bijdragers is geproduceerd als dit leidt tot privilege-escalatie.
  3. Invoersanitatie bij opslaan
    • Implementeer server-side filters die postinhoud saneren voordat deze wordt opgeslagen, vooral velden die shortcodes of HTML bevatten.
  4. CSP (Content Security Policy)
    • Implementeer een strikte CSP die de impact van gereflecteerde en opgeslagen XSS vermindert (bijv. inline scripts verbieden, scriptbronnen beperken). Dit is verdediging-in-diepte maar kan geen vervanging zijn voor juiste server-side sanitization.
  5. Auto-updates en onderhoudsvensters
    • Houd plugins en de WordPress-kern bijgewerkt. Als auto-updates beschikbaar en betrouwbaar zijn, schakel deze dan in voor kritieke beveiligingsupdates.
  6. Regelmatig scannen en geautomatiseerde detectie
    • Plan regelmatige scans van inhoud en bestandssysteem op indicatoren van compromittering.
    • Gebruik anomaliedetectie om ongebruikelijk accountgedrag te identificeren.
  7. Back-ups en incidentrespons
    • Houd recente off-site back-ups bij en test regelmatig herstel.
    • Heb een incidentresponsplan en een contactpersoon bij uw hostingprovider voor noodhulp.

Hoe een aanvaller opgeslagen XSS zou kunnen benutten buiten het voor de hand liggende

Opgeslagen XSS kan een opstap zijn naar meer destructieve uitkomsten:

  • Sessiecaptatie en accountovername: Het stelen van cookies of tokens uit de browser van een beheerder kan leiden tot een volledige accountovername.
  • Laterale beweging: Zodra een beheerdersaccount is gecompromitteerd, kan een aanvaller backdoors installeren, nieuwe beheerdersaccounts aanmaken of site-instellingen en inhoud wijzigen.
  • SEO-besmetting en malwaredistributie: Scripts injecteren om bezoekers om te leiden naar malware-sites of om verborgen spamlinks in te voegen.
  • Misbruik van de toeleveringsketen: Als de gecompromitteerde beheerder toegang heeft tot ontwikkelaars- of implementatiegegevens, kan de aanvaller kwaadaardige code naar andere sites pushen.

Vanwege deze mogelijkheden, behandel een bevestigde opgeslagen XSS als een ernstig incident en voer een volledige forensische en opruimcyclus uit.

Best-practice detectiequeries (voorbeelden)

  • Vind berichten met voorkomens van max_width: 
    SELECT ID, post_title FROM wp_posts;
  • Detecteer niet-numerieke max_width waarden (ongeveer): 
    SELECT ID, post_title FROM wp_posts;

    (Opmerking: REGEXP-syntaxis en patronen variëren per MySQL-versie en inhoudsformaat; testquery's op niet-productie kopieën.)

  • Gebruik WP-CLI-script om inhoud op te halen en regex-matching uit te voeren in een gecontroleerde omgeving: 
    wp post list --post_type=post,page --format=ids | while read id; do

Checklist voor site-operators (één pagina)

  • ☐ Update Shortcodes Ultimate naar 7.5.0 of later.
  • ☐ Als je niet kunt updaten, deactiveer de plugin of pas WAF virtuele patching toe.
  • ☐ Zoek en controleer alle berichten die bevatten max_width attributen.
  • ☐ Sanitize of verwijder verdachte shortcode-attributen.
  • ☐ Reset wachtwoorden voor gebruikers met hoge privileges als je vermoedt dat een admin geïnjecteerde inhoud heeft bekeken.
  • ☐ Controleer gebruikersaccounts op verdachte bijdragers en schakel deze indien nodig uit.
  • ☐ Scan sitebestanden op achterdeurtjes en ongeautoriseerde wijzigingen.
  • ☐ Handhaaf het principe van de minste privileges en verscherp registratieworkflows.
  • ☐ Implementeer CSP en andere verharding waar nodig.
  • ☐ Plan een beveiligingsreview van andere third-party plugins en aangepaste code.

Voor hosts en bureaus: aanbevolen beleidsupdates

  • Handhaaf plugin-updatebeleid voor beheerde klanten; behandel plugin-updates met hoge prioriteit wanneer beveiligingspatches worden vrijgegeven.
  • Bied inhoudsmoderatie en veilige preview-mechanismen aan waar bijdragerinhoud wordt voorbereid en gesaneerd voordat deze aan bevoegde gebruikers wordt getoond.
  • Geef site-eigenaren de optie om virtuele patching of nood-WAF-regels onmiddellijk in te schakelen na een kwetsbaarheidsmelding.
  • Educateer klanten over het risico van het toestaan van bijdrager- en auteurrollen op openbare sites zonder moderatie.

Begin met Gratis Beheerde Bescherming — WP-Firewall Basisplan

Als je nog niet beschermd bent door een beheerde firewall, overweeg dan om te beginnen met ons WP-Firewall Basis (gratis) plan om onmiddellijke, essentiële bescherming te krijgen. Het Basisplan omvat een beheerde firewall, een Web Application Firewall (WAF), malware-scanning, onbeperkte bandbreedtebescherming en mitigaties voor OWASP Top 10 risico's — alles wat je nodig hebt als basisverdediging terwijl je de bovengenoemde herstelstappen onderneemt.

Upgrade-opties zijn beschikbaar als je automatische malwareverwijdering, IP-bloklisting/toelisting, kwetsbaarheid virtuele patching, maandelijkse beveiligingsrapporten en beheerde diensten wilt. Leer meer en meld je hier aan voor het gratis plan:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Redenen om vandaag het gratis plan uit te proberen: onmiddellijke virtuele patching mogelijkheid, geautomatiseerde scanning van inhoud en bestanden, en een WAF die je aanvalsvlak verkleint terwijl je plugins patcht.)

Laatste gedachten

Opgeslagen XSS-kwetsbaarheden zoals CVE-2026-2480 herinneren eraan dat door gebruikers aangeleverde inhoud — zelfs wanneer gemaakt door gebruikers met beperkte bevoegdheden — kan worden verhoogd tot site-brede bedreigingen als het niet goed wordt behandeld. De oplossing in Shortcodes Ultimate 7.5.0 pakt het probleem aan; update nu. Als je niet onmiddellijk kunt patchen, neem dan defensieve stappen: beperk de mogelijkheden van bijdragers, scan inhoud op verdachte shortcodes, pas WAF virtuele patches toe en verstevig je site met standaard beveiligingscontroles (minimale privileges, CSP, monitoring, back-ups).

Als je hulp nodig hebt bij het triëren van getroffen sites, het scannen naar indicatoren, of het implementeren van een virtuele patch terwijl je update, biedt WP-Firewall zowel de tools als de expert-diensten om sites snel veilig te maken. Bezoek https://my.wp-firewall.com/buy/wp-firewall-free-plan/ om te beginnen met het Basisplan en beheerde bescherming voor jouw omgeving te evalueren.

Bijlage: Nuttige bronnen en referenties

  • Shortcodes Ultimate: plugin-updates en changelog (controleer de pluginpagina op WordPress.org)
  • CVE: CVE-2026-2480 (zoek officiële CVE-lijsten voor details)
  • WordPress ontwikkelaarshandleiding: shortcodes en beveiligingsbest practices
  • OWASP: XSS preventie spiekbriefje
  • WP-CLI documentatie (nuttig voor het zoeken en automatiseren van inhoudsaudits)

Als je een technicus van WP-Firewall wilt die je site scant op Shortcodes Ultimate injectie-sporen en helpt met veilige opruiming, neem dan contact op via onze ondersteuningskanalen die worden vermeld nadat je je hebt aangemeld voor een gratis plan. We kunnen helpen met virtuele patching, veilige inhoudsanitatie en een herstelplan op maat voor jouw site.

wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.

Neem contact met ons op om een gratis WordPress-beveiligingsconsult in te plannen

Neem contact met ons op

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Functies Prijzen Blog Login
Privacybeleid Servicevoorwaarden Documenten Partner

© 2026 WP-Firewall™