Kritieke XSS-risico in Info Cards-plugin//Gepubliceerd op 2026-03-21//CVE-2026-4120

WP-FIREWALL BEVEILIGINGSTEAM

Info Cards CVE-2026-4120 Vulnerability

Pluginnaam Info Kaarten
Type kwetsbaarheid Cross-site scripting (XSS)
CVE-nummer CVE-2026-4120
Urgentie Laag
CVE-publicatiedatum 2026-03-21
Bron-URL CVE-2026-4120

Geauthenticeerde Contributor Opgeslagen XSS in de Info Kaarten Plugin (<= 2.0.7) — Wat WordPress Site-eigenaren en Ontwikkelaars Nu Moeten Doen

Datum: 19 mrt, 2026 — CVE-2026-4120 — CVSS: 6.5

Als je een WordPress-site beheert die de Info Kaarten-plugin gebruikt (versie 2.0.7 of eerder), moet je deze waarschuwing behandelen als een prioritaire operationele risico. Een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid die de plugin beïnvloedt, stelt een geauthenticeerde gebruiker met Contributor-rechten in staat om kwaadaardige JavaScript op te slaan in blokattributen. Die opgeslagen inhoud kan vervolgens worden uitgevoerd in de context van andere gebruikers (inclusief bevoorrechte gebruikers) wanneer de post/blok wordt bekeken of bewerkt, waardoor aanvallers acties kunnen uitvoeren zoals sessie-overname, privilege-escalatie via CSRF-achtige interacties, heimelijke omleidingen en inhoudsinjectie.

Deze post legt in duidelijke, actiegerichte termen uit:

  • hoe de kwetsbaarheid op technisch niveau werkt,
  • de waarschijnlijke aanvalscenario's en de impact in de echte wereld,
  • onmiddellijke remediëringsstappen die je moet nemen (inclusief noodmaatregelen als je niet kunt updaten),
  • aanbevolen WAF- en site-verstevigingsregels (inclusief voorbeeldregelpatronen die je kunt toepassen met WP-Firewall),
  • richtlijnen voor plugin-auteurs en ontwikkelaars om de oorzaak aan te pakken,
  • controles en monitoringstappen na een incident om ervoor te zorgen dat er geen compromittering heeft plaatsgevonden.

Deze richtlijnen komen van praktische WordPress-beveiligingsprofessionals die dagelijks omgaan met XSS, inhoudsanitatie en mitigatie van webapplicatiefirewalls. De toon en aanbevelingen zijn praktisch — wat je vandaag moet doen om risico's te verminderen en waar je voor moet plannen.

TL;DR (Wat moet je nu doen)

  1. Update de Info Kaarten-plugin onmiddellijk naar versie 2.0.8 of later. Dit is de officiële patch.
  2. Als je niet meteen kunt bijwerken:
    • Deactiveer de plugin tijdelijk.
    • Beperk Contributor-accounts in het creëren of bewerken van blokken die de plugin registreert.
    • Handhaaf een handmatige controle van alle inhoud die door Contributors is gemaakt voordat deze wordt gepubliceerd.
    • Pas WAF / virtuele patchregels toe (voorbeelden hieronder) om verdachte payloads te blokkeren die gericht zijn op blokattributen.
  3. Scan de site op kwaadaardige inhoud en achterdeurtjes; wijzig beheerderswachtwoorden en API-sleutels als er verdachte activiteiten worden gevonden.
  4. Monitor logs en schakel strengere beveiligingsinstellingen in (Content Security Policy, X-Content-Type-Options, enz.).

Als je WP-Firewall gebruikt, schakel dan beheerde firewallregels en onze WAF-handtekeningupdates in om virtuele patching snel toe te passen terwijl je de plugin bijwerkt.

Wat is Stored XSS, en waarom is het hier gevaarlijk?

Cross-Site Scripting (XSS) vindt plaats wanneer een aanvaller JavaScript of andere uitvoerbare inhoud kan injecteren in pagina's die door andere gebruikers worden bekeken. Stored XSS betekent dat de payload op de server wordt opgeslagen (bijvoorbeeld in de postinhoud of een blokattribuut), zodat elke bezoeker (of elke gebruiker die de kwaadaardige inhoud bekijkt) kan worden getroffen.

In dit geval stelt de plugin een weg bloot waar blokattributen (gegevens die aan Gutenberg-blokken zijn gekoppeld) worden geaccepteerd en opgeslagen zonder adequate sanitization of escaping. Een Contributor-gebruiker kan een post of blok maken met kwaadaardige attributen die later worden uitgevoerd wanneer een andere gebruiker — mogelijk een Editor of Administrator — de post in de editor opent of de weergegeven pagina bekijkt. Omdat Contributors op veel sites beschikbaar zijn (bijv. multi-auteur blogs, redactieteams), wordt dit een realistische bedreigingsvector.

De combinatie van een geauthenticeerde gebruiker met lage privileges + opgeslagen payload die wordt uitgevoerd in de browser van een gebruiker met privileges is bijzonder effectief voor aanvallers. Het vereist vaak slechts één gebruiker met privileges om met de post te interageren (zoals door te bewerken of te previewen), wat de reden is waarom de opmerking “gebruikersinteractie vereist” belangrijk is.

Kwetsbaarheidsoverzicht (technisch)

  • Aangetast component: Info Cards WordPress-plugin (Gutenberg blok-gebaseerde plugin).
  • Kwetsbare versies: <= 2.0.7.
  • Gepatcht in: 2.0.8.
  • Type: Stored Cross-Site Scripting (XSS) via Gutenberg blokattributen.
  • Vereiste bevoegdheid: Contributor (geauthenticeerd).
  • CVE: CVE-2026-4120.
  • CVSS: 6.5 (medium/belangrijk — afhankelijk van de context van de site en gebruikersrollen).

Oorzaak (hoog niveau): Blokattributen worden door de plugin geaccepteerd en opgeslagen zonder voldoende server-side sanitization voor velden die uiteindelijk als attributen of HTML kunnen worden weergegeven. Wanneer die attributen in de editor of op de frontend worden weergegeven zonder juiste escaping, kan een door de aanvaller gecontroleerde payload worden uitgevoerd.

Hoe een aanvaller dit kan misbruiken (aanvalscenario's)

  1. Kwaadaardige Contributor plaatst een nieuwe pagina of post met behulp van het blok van de plugin en plaatst een kwaadaardige payload in een blokattribuut dat de plugin opslaat.
  2. De payload wordt in de DB opgeslagen als onderdeel van de post_content (of post_meta) voor het blok.
  3. Een editor of admin opent de post in de blokeditor (of previewt deze) en de blokrenderingcode voegt de attribuutinhoud in de DOM in zonder escaping of met onvoldoende sanitization.
  4. De JavaScript wordt uitgevoerd in de browser van de gebruiker met privileges, waardoor de aanvaller:
    • Cookies of sessietokens steelt (als cookies niet goed zijn beschermd),
    • Geauthenticeerde verzoeken doet namens de gebruiker (CSRF-achtige acties),
    • Verdere kwaadaardige inhoud of backdoors invoegt,
    • Maak nieuwe admin-gebruikers aan via admin-area-acties die worden uitgevoerd via de editorcontext.

Zelfs als de aanval alleen zorgt voor blijvende inhoudsvervorming of advertentie-injectie, schaadt het de reputatie, het vertrouwen van zoekmachines en kan het compliance/juridische gevolgen hebben.

Indicatoren van compromittering (waarop te letten)

  • Nieuwe of bewerkte berichten gemaakt door Contributor-accounts die ongebruikelijke scriptachtige attributen bevatten, of vreemd gecodeerde payloads binnen blokattributen.
  • Fouten in de browserconsole van de editor bij het openen van specifieke berichten - soms zullen kwaadaardige payloads de uitvoering van scripts onderbreken of ongebruikelijke netwerkoproepen loggen.
  • Onverwachte omleidingen, pop-ups of externe resource-ladingen bij het bekijken van berichten of het laden van pagina's met Info Cards-blokken.
  • Nieuwe gebruikers die onverwacht zijn aangemaakt of wijzigingen in de site-instellingen (als de browser van een admin is misleid om dergelijke verzoeken te doen).
  • Uitgaande netwerkverbindingen vanuit het admin-gedeelte (tracking/analytische oproepen naar verdachte domeinen).
  • Ongebruikelijk geïnjecteerde HTML of <script> elementen binnen berichten/pagina's.

Als een van de bovenstaande zaken verschijnt, isoleer de getroffen site (of beperk de admin-toegang) en voer een diepere forensische beoordeling uit.

Onmiddellijke remedie

  1. Werk de plugin bij naar de gepatchte versie (2.0.8 of later)
    • Dit is de veiligste en aanbevolen actie. De auteur van de plugin heeft een patch uitgebracht om blokattributen correct te saneren en te ontsnappen.
  2. Als u niet onmiddellijk kunt updaten:
    • Deactiveer de Info Cards-plugin totdat je kunt updaten.
    • Verwijder tijdelijk de privileges op Contributor-niveau of verlaag de mogelijkheden van Contributors (voorkom het aanmaken van nieuwe berichten) totdat je kunt patchen.
    • Als je redactionele workflow Contributors vereist, handhaaf dan moderatie: sta Contributors niet toe om te publiceren zonder dat een Editor de inhoud heeft beoordeeld en gesaneerd.
  3. Pas een WAF/virtuele patchregel toe
    • Gebruik WP-Firewall of andere WAF-oplossingen om verzoeken te blokkeren die proberen om postinhoud met kwaadaardige payloadpatronen op te slaan of bij te werken (zie voorbeeld WAF-regels hieronder).
  4. Beoordeel recente inhoud door Contributors
    • Scan recente berichten en pagina's (laatste 30–90 dagen) op verdachte payloads of ongebruikelijke HTML in blokattributen. Kijk in de database naar berichten met verdachte markeringen.
  5. Handhaaf twee-factor-authenticatie (2FA) voor alle redacteuren en beheerders als dit nog niet is ingeschakeld.
  6. Auditlogboeken
    • Controleer wie recentelijk inhoud heeft gemaakt/bewerkt; noteer ongebruikelijke sessies, IP-adressen of inlogpatronen.

Hoe kwaadaardige opgeslagen blokattributen in uw database te detecteren

Zoek naar verdachte reeksen in de post_content-kolom (of postmeta waar blokken attributen opslaan):

  • Gecodeerde script-tags: script, \u003Cscript\u003E
  • Inline gebeurtenishandlers binnen attributen: onerror=, onload=, onclick=
  • JavaScript-URI's: javascript:
  • Veelvoorkomende payloadpatronen: <svg onload=, <img src=x onerror=, document.cookie, window.location, eval(

Voorbeeld SQL-fragment (alleen-lezen zoekopdracht; wijzig DB NIET direct zonder back-up):

SELECT ID, post_title;

Wees voorzichtig: er zijn veel valse positieven. Gebruik handmatige controle door een ervaren beheerder.

WAF en virtueel patchen: praktische regelvoorbeelden die u nu kunt toepassen

Als u de plugin niet onmiddellijk kunt bijwerken, is het toepassen van WAF-regels om exploitpogingen te blokkeren een effectieve tijdelijke oplossing. Het doel van virtueel patchen is om kwaadaardige verzoeken die payloads opslaan (bijv. postindieningen, REST API-aanroepen) te onderscheppen en te blokkeren voordat ze de kwetsbare code bereiken.

Hieronder staan voorbeeldregelpatronen die u kunt aanpassen aan uw WAF of aan WP-Firewall aangepaste regels. Gebruik conservatieve blokkering om te voorkomen dat legitiem redacteurgedrag wordt verbroken — begin met logmodus en verscherp naar blokkeren wanneer het veilig is.

Opmerking: dit zijn illustratieve patronen en moeten op staging worden getest.

  1. Blokkeer verzoeken (POST/PUT) die duidelijke script-tags of gebeurtenishandlers in inhoudsvelden bevatten:
    • Algemene overeenkomst (detecteer script-tags of gebeurtenishandlers):
    • Voorwaarden:
      • REQUEST_METHOD in (POST, PUT) EN
      • (REQUEST_URI bevat /wp-json/ OF /wp-admin/post.php OF /wp-admin/post-new.php OF /wp-admin/admin-ajax.php OF /wp-admin/edit.php)
      • EN request body bevat regex: (?i)(<script\b|script|onerror=|onload=|javascript:|document\.cookie|eval\(|window\.location)
    • Actie: Blokkeer (of Uitdaging / Snelheidslimiet) / Log
  2. Blokkeer verdachte attributen in Gutenberg blok JSON payloads:
    • Gutenberg editor plaatst blok JSON in post_content of REST API payloads. Kijk naar velden die naar /wp/v2/posts of naar admin-ajax eindpunten worden verzonden.
    • Regex om JSON attributen te detecteren die hoekhaak payloads bevatten:
      (?i)\"attributes\".*?(<script\b|onerror=|javascript:|\u003Cscript)
    • Actie: Blokkeer verzoek, waarschuw admin
  3. Voorkom opgeslagen SVG/onload patronen:
    • Blokkeer of saniteer elke inhoud die “<svg" gevolgd door "onload="
    • Regex: (?i)]*onload\s*=
  4. Weiger verdachte gecodeerde payloads:
    • Blokkeer verzoeken die URL-gecodeerde script tags bevatten:
      script|svgonload|iframesrc
  5. Beperk gevoelige acties:
    • Beperk de snelheid van postbewerkingen door Contributor-accounts — als een bijdrager snel veel posts aanmaakt met vergelijkbare payload patronen, auto-quarantaine en waarschuw admin.
  6. Blokkeer inhoudsopslag als XSS-marker aanwezig is (pseudo regel):
    • Als POST-param post_content of content het patroon bevat:
      (?i)(<script\b|on\w+\s*=|javascript:|document\.cookie|window\.location|eval\()
    • Beantwoord dan met een 403 en log details voor administratieve beoordeling.

Voorbeeld (ModSecurity-achtige pseudo-regel):

SecRule REQUEST_METHOD "POST" "chain,phase:2,deny,id:100001,msg:'Blokkeer potentiële XSS in postinhoud',log"

Belangrijk: Test deze eerst op een staging-site. Sommige legitieme geavanceerde inhoud (bijv. toegestane scripts door ontwikkelaars) kan problemen veroorzaken. Begin met alleen detectie om regels af te stemmen.

Versterkingsaanbevelingen (site-eigenaren en beheerders)

  • Principe van de minste privilege: herzie en beperk de rollen van bijdragers. Waar mogelijk, gebruik workflows die vereisen dat redacteuren inhoud beoordelen of publiceren.
  • Handhaaf strikte inhoudsbeoordeling: vereis handmatige publicatie of gebruik moderatieplug-ins.
  • Houd alle plug-ins en thema's bijgewerkt op een onderhoudscyclus; pas beveiligingspatches binnen 48–72 uur toe wanneer de ernst dat vereist.
  • Handhaaf 2FA op alle accounts met redacteur/beheerder rollen.
  • Gebruik sterke wachtwoordbeleid en roteer sleutels (REST API-sleutels, applicatiewachtwoorden).
  • Beperk de toegang tot de blokeditor als dit niet nodig is. Sommige sites kunnen de Gutenberg-editor beperken tot bepaalde rollen.
  • Schakel Content Security Policy (CSP) in met conservatieve standaardinstellingen (inline scripts verbieden en alleen vertrouwde hosts toestaan). Een goed geconfigureerde CSP kan de impact van XSS aanzienlijk verminderen door de uitvoering van inline scripts te voorkomen en externe scriptladingen te blokkeren.
  • Gebruik veilige cookie-vlaggen (HttpOnly, Secure, SameSite) voor auth-cookies om diefstal aan de clientzijde moeilijker te maken.

Ontwikkelaarsrichtlijnen: hoe de oorzaak aan te pakken (voor pluginauteurs)

Als je een plugindeveloper bent (of je werkt met het Info Cards-pluginteam), hier zijn concrete, veilige coderingspraktijken:

  1. Sanitize invoer server-side bij opslaan
    • Vertrouw nooit alleen op client-side validatie.
    • Voor attribuutgegevens die tekstueel moeten zijn: gebruik sanitize_text_veld() of wp_strip_all_tags().
    • Voor HTML die moet worden toegestaan: gebruik wp_kses() met een strikte toegestane lijst.
    • Voor JSON-attributen: parse en valideer elk veld expliciet; sla geen ruwe geserialiseerde HTML of markup op die door onbetrouwbare gebruikers is geleverd.
  2. Escape uitvoer bij het renderen
    • Escape altijd attributen met esc_attr() en inhoud met esc_html() of wp_kses_post() afhankelijk van verwachte inhoud.
    • Bij het afdrukken van blokattributen als HTML-attributen: esc_attr() of json_encode() indien van toepassing.
  3. Gebruik register_blok_type() render callbacks veilig
    • Als je server-side rendering gebruikt via render_callback, sanitize en escape alles voordat je markup retourneert.
    • Vermijd het direct echoën van gebruikersinhoud; bouw strings met veilige escape-functies.
  4. Vermijd het vertrouwen op het gedrag van de Gutenberg-editor
    • Blokattribuutwaarden kunnen worden gemanipuleerd door bijdragers of via op maat gemaakte REST-aanvragen. Valideer bij opslaan en bij renderen.
  5. Bied een capaciteitsbewuste UI
    • Toon rijke veldeditors alleen aan rollen die vertrouwd zijn. Voor bijdragerrollen, bied vereenvoudigde velden die strikt zijn gesanitiseerd.
  6. Logging en monitoring
    • Log verdachte inhoudspatronen en beperk het aantal inhoudsopslaan van gebruikers met lage privileges.

Door deze stappen te volgen, verhelpen pluginleveranciers de kwetsbaarheid bij de wortel — sanitization bij invoer + escaping bij uitvoer + juiste validatie.

Post-incident checklist (als je kwaadaardige inhoud vindt)

  1. Isoleren en patchen: Update de plugin of deactiveer deze.
  2. Quarantaine verdachte berichten: wijzig hun status in concept totdat ze zijn beoordeeld.
  3. Scan de volledige site (bestanden en database) op geïnjecteerde scripts of backdoors:
    • Controleer uploads, mu-plugins, actieve themabestanden en wp-content op onverwachte bestanden.
    • Zoek naar admin-ajax-aanroepen of cron-taken die onverwacht worden uitgevoerd.
  4. Rotatie van inloggegevens:
    • Reset wachtwoorden voor alle admin/editor-accounts.
    • Intrekken en opnieuw aanmaken van API-sleutels en applicatiewachtwoorden.
  5. Controleer gebruikersaccounts:
    • Verwijder verdachte gebruikers of gebruikers die rond het tijdstip van het incident zijn aangemaakt.
    • Controleer op privilege-escalatie in gebruikersrollen.
  6. Voer kwetsbaarheidsscans opnieuw uit:
    • Gebruik een robuuste malware-scanner en WAF-logboeken om indicatoren van compromittering te vinden.
  7. Belanghebbenden op de hoogte stellen:
    • Als gegevensblootstelling wordt vermoed, volg dan uw incidentrespons en juridische verplichtingen (privacywetten, klantmeldingen).
  8. Herstel indien nodig vanaf een bekende goede back-up:
    • Als de manipulatie diepgaand is en niet betrouwbaar kan worden schoongemaakt, keer dan terug naar een back-up vóór de compromittering en pas veilige updates opnieuw toe.

Monitoring & detectie: wat in de toekomst in te schakelen

  • Implementeer bestandsintegriteitsmonitoring om ongeautoriseerde wijzigingen te detecteren.
  • Log inhoudsopslaggebeurtenissen, inclusief editor IP's en payload-samenvattingen, om anomalieën te detecteren (bijv. een bijdrager die veel berichten plaatst met vreemde attributen).
  • Houd WAF-regels up-to-date en schakel automatische regelimplementaties in waar mogelijk.
  • Houd kwetsbaarheidsdisclosures van derden in de gaten en abonneer u op beveiligingsmailinglijsten of waarschuwingen.
  • Voer regelmatig geautomatiseerde inhoudsscans uit over post_content en postmeta om verdachte opmaakpatronen te detecteren.

Hoe WP-Firewall helpt en wat we aanbevelen

Bij WP-Firewall bieden we een gelaagde aanpak om WordPress-sites te verdedigen tegen deze categorie aanvallen:

  • Beheerde WAF-handtekeningen: onze WAF omvat virtuele patches die bekende exploitpatronen detecteren en blokkeren (gecodeerde script-tags, inline gebeurtenishandlers, verdachte blokattributeninhoud) voordat ze WordPress bereiken.
  • Malware-scanner: continu scannen op geïnjecteerde scripts en verdachte bestandswijzigingen.
  • Beheerde firewall: blokkeer kwaadaardig verkeer en onbekende bots aan de rand.
  • Incidentguidance: uitvoerbare herstelinstructies en ondersteuning om sites te isoleren, schoon te maken en te versterken.

Als u snelle bescherming wilt terwijl u plugins bijwerkt, kan de beheerde WAF van WP-Firewall virtuele patching toepassen om exploitatiepogingen gericht op deze Info Cards-kwetsbaarheid te blokkeren. Voor teams die diepere hulp nodig hebben, omvatten onze geavanceerde plannen automatische kwetsbaarheid virtuele patching en maandelijkse beveiligingsrapporten.

Bescherm uw site vandaag — Begin met het gratis plan van WP-Firewall

Krijg onmiddellijke, essentiële bescherming voor uw WordPress-site met het Basis (Gratis) plan van WP-Firewall. Het biedt beheerde firewallbescherming, een robuuste WAF, onbeperkte bandbreedte en een malware-scanner — die de OWASP Top 10 risicobeperkingseisen zonder kosten dekt. Als u automatische malwareverwijdering of IP-toestaan/weigeren-controles nodig heeft, voegen de Standaard- en Pro-plannen deze functies en geavanceerde diensten toe.

Meld je aan en bescherm je site nu: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Gratis plan: beheerde firewall, WAF, malware-scanner, onbeperkte bandbreedte, OWASP Top 10 mitigatie. Betaalde plannen bieden automatische remediering, blacklisting/whitelisting, virtueel patchen en beheerde diensten.)

Voorbeeld veilige ontwikkelingschecklist voor pluginonderhouders

  • Voer unittests en fuzz-tests uit voor blokattributen parsing.
  • Zorg ervoor dat elke unittestsuite tests bevat met kwaadaardige payloads (script-tags, gecodeerde payloads, JSON-injectie).
  • Zorg ervoor dat alle invoerpaden op de serverzijde worden gevalideerd.
  • Voer een codebeoordeling uit voor elke echo, afdrukken, printf, of concatenatie die gebruikersinvoer zonder escaping uitvoert.
  • Gebruik statische analysetools voor PHP om onveilige functiegebruik te markeren.
  • Publiceer beveiligingsupdates en release-opmerkingen snel; neem deel aan gecoördineerde openbaarmaking wanneer kwetsbaarheden worden gerapporteerd.

Laatste opmerkingen voor site-eigenaren

  • Behandel laaggeprivilegieerde accounts zoals Bijdragers als een echt risico: ze kunnen worden gebruikt als toegangspunten voor opgeslagen XSS. Zelfs als bijdragers geen bestanden kunnen uploaden, zijn opgeslagen payloads in berichten een krachtige vector.
  • Maak regelmatig back-ups en test herstelprocedures.
  • Plan een regelmatige kwetsbaarheidsbeoordeling voor uw pluginstack — streef ernaar om kritieke en hoge patches zo snel mogelijk toe te passen.
  • Als u zich ongemakkelijk voelt om de wijzigingen zelf aan te brengen, raadpleeg dan een WordPress-beveiligingsprofessional.

Als u hulp nodig heeft bij het implementeren van WAF-regels, het scannen op kwaadaardige inhoud of het toepassen van virtueel patchen om deze kwetsbaarheid te blokkeren terwijl u pluginupdates plant, kan het team van WP-Firewall snel helpen en de nodige bescherming implementeren.

Als u tot hier heeft gelezen, neem dan twee minuten de tijd om de bijdrageraccounts op uw site te controleren en de versie van de Info Cards-plugin te verifiëren. Patchen naar 2.0.8 (of de plugin uitschakelen totdat u dat kunt) verwijdert het onmiddellijke risico — in combinatie met WAF-bescherming en de hierboven genoemde verhardingsstappen, sluit u het venster van kansen voor aanvallers.

wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.

Neem contact met ons op om een gratis WordPress-beveiligingsconsult in te plannen

Neem contact met ons op

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Functies Prijzen Blog Login
Privacybeleid Servicevoorwaarden Documenten Partner

© 2026 WP-Firewall™