Verstevigen van de toegangscontroles voor het boeken van buskaartjes//Gepubliceerd op 2026-05-10//CVE-2025-66105

WP-FIREWALL BEVEILIGINGSTEAM

Bus Ticket Booking with Seat Reservation Vulnerability

Pluginnaam Bus Ticket Booking met Zitplaatsreservering
Type kwetsbaarheid Toegangscontrole
CVE-nummer CVE-2025-66105
Urgentie Laag
CVE-publicatiedatum 2026-05-10
Bron-URL CVE-2025-66105

Gebroken Toegangscontrole in “Bus Ticket Booking with Seat Reservation” (plugin < 5.6.8) — Wat WordPress Site-eigenaren Nu Moeten Doen

Een analyse van het WordPress-beveiligingsteam van de recente kwetsbaarheid voor Gebroken Toegangscontrole (CVE-2025-66105) in de plugin Bus Ticket Booking with Seat Reservation, hoe het werkt, hoe gevaarlijk het is, en praktische stappen (inclusief WAF-regels en WordPress-versteviging) om uw site onmiddellijk te beschermen.

Auteur: WP‑Firewall Beveiligingsteam
Datum: 2026-05-10
Tags: WordPress, WAF, Kwetsbaarheid, Pluginbeveiliging, Gebroken Toegangscontrole, Incidentrespons

OPMERKING: Deze waarschuwing is geschreven vanuit het perspectief van een WordPress-webapplicatie-firewallprovider en beveiligingsoperationeel team. Het richt zich op praktische, uitvoerbare mitigaties die u onmiddellijk kunt toepassen — of u nu een site-eigenaar, ontwikkelaar of host bent.

Samenvatting

Een probleem met gebroken toegangscontrole dat de WordPress-plugin “Bus Ticket Booking with Seat Reservation” (alle versies vóór 5.6.8) beïnvloedt, is openbaar gemaakt (CVE-2025-66105). Het kernprobleem is een ontbrekende autorisatie-/toestemmingscontrole in een of meer pluginacties, waardoor niet-geauthenticeerde actoren hoger-privilegegedrag kunnen activeren. Hoewel de gemeten CVSS-ernst voor dit probleem gematigd/laag is in sommige openbare trackers, is de realiteit voor veel WordPress-sites anders: geautomatiseerde scanners en massale exploitcampagnes richten zich agressief op veelvoorkomende plugin-kwetsbaarheden, wat betekent dat zelfs een “lage” beoordeling kan leiden tot wijdverspreide compromittering.

Als u deze plugin op een openbare site draait, moet u nu handelen:

  • Als het mogelijk is, werk de plugin bij naar versie 5.6.8 of later (de leverancier heeft een patch uitgebracht).
  • Als u niet onmiddellijk kunt bijwerken, pas dan gelaagde mitigaties toe: deactiveer de plugin, beperk de toegang tot de getroffen eindpunten met uw WAF, implementeer kortetermijnversteviging in WordPress en houd verdachte activiteiten in de gaten.
  • Volg een checklist na een incident om eventuele succesvolle exploits te detecteren, in te dammen en te verhelpen.

Hieronder leggen we uit wat gebroken toegangscontrole in de praktijk betekent, het waarschijnlijke aanvalsurface voor deze pluginclass, praktische detectiestappen en aanbevolen mitigaties — inclusief voorbeeld WAF-regels en WordPress-verstevigingsstappen die u vandaag kunt toepassen.

Wat is “Gebroken Toegangscontrole” (praktische definitie)

“Gebroken toegangscontrole” is de overkoepelende term voor situaties waarin code een actie uitvoert die beperkt zou moeten zijn tot geautoriseerde gebruikers, maar niet in staat is om de identiteit, capaciteit of een vereiste nonce/token van de oproeper correct te verifiëren. In WordPress-plugins verschijnt dit vaak als:

  • Ontbrekende of onjuiste huidige_gebruiker_kan() controles.
  • Ontbrekende nonce-verificatie voor acties die worden blootgesteld via admin-ajax.php, frontend formulierhandlers of REST API-eindpunten.
  • REST-routes die gebruikmaken van register_rest_route() zonder een veilige toestemming_callback.
  • Eindpunten die aannemen dat een gebruiker is geauthenticeerd omdat de code alleen in een admin-context wordt gebruikt, maar ook toegankelijk zijn vanaf de openbare site.

Wanneer deze controles ontbreken, kunnen niet-geauthenticeerde aanvallers eindpunten aanroepen die gegevens creëren of wijzigen (bijvoorbeeld boekingen, stoelen, bestellingen creëren of wijzigen, of zelfs bevoorrechte gebruikers creëren), wat kan leiden tot gegevensmanipulatie, fraude of verdere compromittering van de site.

Waarom deze pluginkwetsbaarheid belangrijk is, zelfs als de ernst als “laag” wordt gerapporteerd”

  • Aanvallers gebruiken geautomatiseerde scanners die zich niet interesseren voor “laag” versus “hoog”. Als een kwetsbaarheid een betrouwbare, automatiseerbare weg biedt om gegevens te wijzigen of bevoorrechte acties uit te voeren, zal deze worden misbruikt.
  • Boekings- en reserveringssystemen integreren vaak met betalingen, gebruikers-e-mails en voorraad. Het manipuleren van boekingen kan financiële fraude, lekken van klantgegevens, valse boekingen of verstoring van bedrijfsworkflows veroorzaken.
  • Een bescheiden omzeiling van toegangscontrole kan een opstapje zijn: aanvallers kunnen het gebruiken om gegevens in te voeren die andere risicovolle stromen activeren (bijv. opgeslagen cross-site scripting in admin-weergaven, of het toevoegen van een admin-gebruiker via gekoppelde kwetsbaarheden).
  • Veel websites worden niet 24/7 gemonitord; patches die dagen na openbaarmaking zijn geïnstalleerd, kunnen nog steeds te laat zijn.

Wat we weten over het probleem (samenvatting)

  • Betrokken plugin: Bus Ticket Booking met Zitplaatsreservering
  • Kwetsbare versies: elke release vóór 5.6.8
  • Gepatcht in: 5.6.8
  • CVE-identificatie: CVE-2025-66105
  • Kwetsbaarheidsklasse: Gebroken Toegangscontrole — niet-geauthenticeerde actor kan actie(s) met hogere privileges activeren
  • Typische exploitatievector (generiek): onbeveiligd admin-ajax.php acties of REST-eindpunten zonder mogelijkheid/nonce-controles

We vermijden het openbaar maken van details van proof-of-concept-exploits hier — het delen van exploitcode maakt het gemakkelijker voor kwaadwillende actoren. In plaats daarvan bieden we detectie- en mitigatie-instructies voor site-operators.

Onmiddellijke stappen voor site-eigenaren (0–24 uur)

  1. Controleer je pluginversie
    • Gebruik WP‑Admin → Plugins, of WP‑CLI: 
      wp plugin get bus-ticket-booking-with-seat-reservation --field=versie
    • Als de geïnstalleerde versie lager is dan 5.6.8, ga dan verder hieronder.
  2. Update naar 5.6.8 (de aanbevolen actie)
    • Update de plugin zo snel mogelijk op productie- en staging-sites.
    • Controleer na de update of de boekingsstromen en admin-interfaces van de site nog steeds werken.
  3. Als u niet onmiddellijk kunt updaten:
    • Deactiveer de plugin tijdelijk als de boekingsfunctionaliteit niet kritisch is totdat je veilig kunt updaten.
    • Als je de plugin actief moet houden, pas dan WAF-mitigaties en WordPress-harding toe (secties hieronder).
  4. Rotateer inloggegevens en geheimen als je verdachte activiteit ziet:
    • Wijzig de beheerderswachtwoorden.
    • Reset API-sleutels en gateway-inloggegevens die mogelijk door de plugin zijn opgeslagen.
    • Ongeldige bestaande sessies: je kunt gebruikers vragen opnieuw in te loggen, en voor beheerders gebruik WP-tools om sessies te laten vervallen.
  5. Controleer op compromitteringsindicatoren (initiële triage)
    • Zoek naar onverwachte beheerdersgebruikers: 
      wp gebruiker lijst --rol=administrator
    • Zoek serverlogs en toegangslogs naar verzoeken aan plugin-eindpunten of naar admin-ajax.php met ongebruikelijke actie= parameters.
    • Controleer boekingsrecords op anomalieën: duplicaten, gewijzigde status, ongebruikelijke e-mailadressen of IP-adressen.
    • Voer een malware-scan uit met je scanner (WP-Firewall omvat malware-scanning in het gratis plan).

Hoe potentiële exploitatie te detecteren (praktische controles)

  • Server / weblogs
    • Zoek naar verzoeken naar admin-ajax.php, REST-eindpunten die plugin-slugs bevatten, of ongebruikelijke POST-verzoeken naar pluginpagina's.
    • Typische verdachte handtekeningen:
      • POST-verzoeken met actie= parameters die verwijzen naar boekings- of zitacties van onbekende IP's of in bulk.
      • Grote uitbarstingen van vergelijkbare verzoeken van hetzelfde IP of een kleine set IP's.
  • WordPress-audit
    • WordPress-gebruikerscontroles: 
      wp user list --role=administrator --fields=ID,user_login,user_email,user_registered
    • Controleer opties en plugintabellen op nieuwe geplande taken (wp_postmeta of aangepaste plugintabellen).
  • Databasecontroles
    • Query plugintabellen voor boekingen die op vreemde tijden zijn gemaakt of met verdachte metadata (bijv. dezelfde gebruiker/e-mail herhaald).
  • Bestandsysteemcontroles
    • Zoek naar gewijzigde pluginbestanden (tijdstempels, onverwachte bestanden in de pluginmap).
    • Vergelijk met een verse kopie van het pluginpakket van de officiële bron.
  • Malware scans
    • Voer een volledige scan uit op de site en bestanden om achterdeurtjes, gewijzigde kern/pluginbestanden of webshells te detecteren.

Als je bewijs van kwaadaardige activiteit vindt, isoleer de site (zet deze offline of beperk de toegang), bewaar logs voor onderzoek en herstel indien nodig vanaf een bekende goede back-up.

Korte termijn mitigatie: WAF-regels en patronen die je nu kunt toepassen

Als je de plugin niet onmiddellijk kunt bijwerken of deactiveren, kan een WAF (webapplicatiefirewall) exploitatiepogingen blokkeren door de toegang tot de kwetsbare eindpunten te beperken of door verwachte verzoekkenmerken af te dwingen. Hieronder staan voorbeeldmitigaties; pas ze aan je omgeving aan.

Belangrijk: WAF-regels moeten in blokkermodus op staging worden getest en vervolgens zorgvuldig naar productie worden gepromoot.

Hoog-niveau WAF-strategie.

  • Blokkeer openbare toegang tot administratieve eindpunten van plugins, tenzij verzoeken afkomstig zijn van vertrouwde IP's.
  • Handhaaf de aanwezigheid van verwachte cookies / ingelogde sessietokens voor acties die alleen beschikbaar zouden moeten zijn voor geauthenticeerde gebruikers.
  • Beperk het aantal verdachte verzoeken (bijv. veel admin-ajax-aanroepen vanaf hetzelfde IP).
  • Blokkeer veelvoorkomende geautomatiseerde scanners / verdachte user-agents (maar vermijd overmatig blokkeren van legitieme klanten).

Voorbeeld ModSecurity-stijl regel (conceptueel)

Dit is een conceptuele ModSecurity-regel die het idee laat zien — kopieer/plak niet blindelings. Pas aan voor uw omgeving en test:

# Blokkeer admin-ajax boekingsacties van ongeauthenticeerde verzoeken"

Uitleg:

  • De regel komt overeen met verzoeken naar admin-ajax.php.
  • Het inspecteert de actie argument voor boekingsgerelateerde acties die door de plugin worden gebruikt.
  • Het weigert het verzoek als er geen wordpress_ingelogd_ cookie aanwezig is (d.w.z. ongeauthenticeerd).
  • Pas de actie regex om de actienamen van de plugin te matchen; als je ze niet kent, concentreer je dan op het blokkeren van ongebruikelijke POST-patronen naar admin-ajax.php afkomstig van het openbare internet.

Nginx + Lua (conceptueel) — weiger verzoeken zonder ingelogde cookie

Als je een Nginx WAF met Lua gebruikt, kan een eenvoudige voorafgaande controle zijn:

  • Als verzoek overeenkomt /wp-admin/admin-ajax.php EN bevat actie=... van plugin EN cookie wordpress_ingelogd_ is afwezig → retourneer 403.

Blokkeer plugin REST-routes

Als de plugin REST-eindpunten onder een namespace blootstelt (bijvoorbeeld /wp-json/bus-booking/v1/...), voeg WAF-regels toe om verzoeken naar die routes van niet-geauthenticeerde clients te weigeren:

# Voorbeeld: weiger REST-route voor niet-geauthenticeerde clients"

Algemene rate-limit en botbescherming

  • Beperk het aantal aanvragen admin-ajax.php oproepen (bijv. meer dan 20 verzoeken/min van een IP → uitdaging of blokkeren).
  • Uitdaging verzoeken die de verwachte headers niet presenteren (bijv. ontbrekende Referer van dezelfde oorsprong of ontbrekende verwachte nonce-header).

Voorbeeld van WordPress-verstevigingscodefragmenten op korte termijn

Als je niet op je WAF kunt vertrouwen, kun je een kortetermijn-pluginfragment toevoegen dat toegang tot specifieke REST-routes of admin-ajax-acties voor niet-geauthenticeerde gebruikers weigert. Voeg dit toe aan een kleine mu-plugin of functies.php in een geïsoleerde omgeving; test voordat je het implementeert.

Belangrijk: dit zijn mitigatiefragmenten — geen vervangers voor de patch van de leverancier.

Blokkeer specifieke admin-ajax-acties als niet ingelogd

<?php;

Verwijder blootgestelde REST-eindpunten (voorbeeld)

<?php;

Opmerkingen:

  • Deze fragmenten zijn tijdelijk; ze kunnen legitieme sitefunctionaliteit verstoren.
  • Gebruik ze als tijdelijke oplossing totdat je de officiële plugin-update kunt installeren.

Detectiehandtekeningen & monitoringrichtlijnen voor hosts en beveiligingsteams

Om pogingen tot exploitatie of verkenning te detecteren:

  • Monitor weblogs voor:
    • POST naar admin-ajax.php met actie= waarden die overeenkomen met boekings/reserveringsstromen.
    • Verzoeken om /wp-json/ namespaces gerelateerd aan de plugin.
    • Herhaalde verzoeken met korte intervallen van dezelfde IP-reeksen.
  • Monitor WP-logs/audit plugins voor:
    • Plotselinge creatie van boekingen met vergelijkbare metadata.
    • Nieuwe admin gebruikers of gewijzigde mogelijkheden.
    • Wijzigingen aan pluginbestanden of onverwachte pluginactivaties.
  • Alarmregels:
    • Trigger wanneer er > 20 admin-ajax POSTs van een enkel IP binnen 10 minuten zijn.
    • Trigger bij elke wijziging van kritieke pluginbestanden (hash gewijzigd vanuit de repository).
    • Trigger bij elke boeking gemaakt door niet-geverifieerde e-mails of geblokkeerde IP's.

Als je een beheerde WAF of monitoringdienst draait, routeer deze detecties naar een beveiligingsoperatiesworkflow die leidt tot onderzoek, tijdelijke IP-blokkering en herstel.

Als je site al gecompromitteerd is: checklist voor incidentrespons

  1. Neem de site offline of zet deze in onderhoudsmodus (isoleer).
  2. Bewaar logs en snapshots voor onderzoek.
  3. Identificeer de reikwijdte:
    • Welke gebruikers zijn aangemaakt/wijzigd?
    • Welke boekingen/records zijn gewijzigd?
    • Zijn er nieuwe bestanden of gewijzigde plugin/core bestanden?
  4. Herstel vanaf een schone back-up die voor de inbreuk is gemaakt, indien mogelijk.
  5. Draai alle toegangsreferenties (WordPress admins, database, FTP/SFTP, API-sleutels) om.
  6. Maak malware/backdoors schoon met betrouwbare tools en handmatige inspectie.
  7. Heruitgeven van alle aangetaste API-sleutels of betalingsgegevens.
  8. Na opschoning: patch de plugin naar 5.6.8+, opnieuw scannen, monitoren op herhaling.
  9. Beoordeel en versterk de configuratie: pas het principe van de minste privilege toe, schakel 2FA in, installeer WAF-regels.
  10. Als je klantgegevens verwerkt, volg dan de lokale meldingswetten bij datalekken en informeer de betrokken partijen indien nodig.

Voor ontwikkelaars: hoe je gebroken toegangscontrole in je eigen plugins kunt voorkomen

Als je een WordPress-pluginontwikkelaar bent, zijn dit de praktische regels om deze klasse van kwetsbaarheden te vermijden:

  • Valideer capaciteitscontroles bij elke actie die gegevens wijzigt.
    • Gebruik current_user_can( 'beheer_opties' ) of een capaciteit die overeenkomt met de actie.
  • Gebruik altijd nonces voor acties die vanuit de frontend of via AJAX worden geactiveerd.
    • Verifieer nonces via wp_verify_nonce().
  • Voor REST API-eindpunten, zorg altijd voor een toestemming_callback die de capaciteit of gebruikersidentiteit verifieert.
    • Geef GEEN terug waar of laat de callback weg.
  • Sanitize en valideer alle invoer voordat je naar de database schrijft.
  • Beperk de blootstelling van alleen admin-functies tot geauthenticeerde contexten.
  • Vermijd het vertrouwen op obscuriteit (bijv. “geheime” actienamen) als enige bescherming.
  • Unit-test en fuzz-test je eindpunten met ongeauthenticeerde aanroepen om ervoor te zorgen dat ze de verwachte 401/403 retourneren in plaats van acties uit te voeren.

Voorbeeld van veilige REST-route registratie:

<?php;

Als je functionaliteit ongeauthenticeerd gebruik moet toestaan (bijv. openbare boekingen), implementeer dan strikte server-side validatie, CAPTCHA, rate-limiting en een robuust anti-fraudeproces.

Aanbevelingen voor de lange termijn beveiligingshouding voor site-eigenaren

  • Houd de WordPress-kern, thema's en plugins up-to-date — en test updates eerst in staging.
  • Zorg voor regelmatige back-ups (offsite) en test vaak herstelprocedures.
  • Monitor continu logs en gebruik waarschuwingen voor verdachte activiteiten.
  • Handhaaf het principe van de minste privileges: maak admin-accounts alleen aan wanneer nodig, en gebruik gedetailleerde rollen.
  • Handhaaf sterke wachtwoorden en implementeer multi-factor authenticatie (MFA) voor administratoraccounts.
  • Gebruik een beheerde WAF om geautomatiseerde exploitatiepogingen te blokkeren en verkrijg virtuele patchingcapaciteit totdat je kunt updaten.
  • Onderhoud een kwetsbaarheidsbeheerproces: abonneer je op vertrouwde kwetsbaarheidsfeeds, test patches en implementeer updates binnen een SLA die past bij je risicoprofiel (24–72 uur voor openbaar gemaakte externe kwetsbaarheden is gebruikelijk voor waardevolle sites).
  • Beoordeel plugins vóór installatie: controleer actieve onderhoud, beoordelingen en beveiligingsgeschiedenis.

Waarom een WAF en gelaagde verdedigingen belangrijk zijn

Een WAF is geen vervanging voor patching, maar het geeft je tijd. Het kan:

  • Pogingen tot exploitatie blokkeren tegen bekende kwetsbare eindpunten.
  • Verkeerslimieten instellen en verdachte verkeer uitdagen.
  • Virtuele patching bieden (tijdelijke regels die exploitatievectoren stoppen totdat een officiële patch is toegepast).
  • Inzicht geven in aanvalspatronen en indicatoren die je helpen een compromis te detecteren.

Gelaagde verdedigingen (WAF + patching + hardening + monitoring + back-ups) creëren veerkracht: als één controle faalt (bijv. late patching), verminderen andere nog steeds het risico en de hersteltijd.

Tekenen van pogingen tot exploitatie waar je op moet letten (IOC's)

  • Meerdere POST-verzoeken naar admin-ajax.php met boekings/reserveringsactieparameters van eerder ongeziene IP's.
  • Grote aantallen boekingen of stoelreserveringen die binnen een kort tijdsbestek zijn gemaakt.
  • Boekingen met onzinnige e-mails, of identieke e-mailadressen met kleine variaties.
  • Onverwachte wijzigingen in boekingsstatussen of zitplaatsinventaris.
  • Meldingen van uw malware-scanner over gewijzigde pluginbestanden.
  • Nieuwe beheerdersgebruikers of onverwachte rolverhogingen.
  • Onverwacht uitgaand netwerkverkeer (van een hostingserver) dat verbinding maakt met onbekende IP's onmiddellijk na pluginactiviteit.

Als u deze tekenen ziet, volg dan de incidentresponschecklist hierboven.

Slotgedachten van het WP‑Firewall-team

Gebroken toegangscontrole blijft een van de meest voorkomende categorieën van WordPress-pluginfouten. Aanvallers zijn efficiënt en opportunistisch: ze scannen naar plugins zonder autorisatie- of nonce-controles op duizenden sites en exploiteren alles wat nog kwetsbaar is. Tijdig patchen, goede sitehygiëne en gelaagde verdedigingen maken het verschil tussen een klein incident en een grote herstelinspanning.

Als u “Bus Ticket Booking with Seat Reservation” op een openbare website draait, geef dan prioriteit aan het onmiddellijk bijwerken naar 5.6.8. Als u niet meteen kunt bijwerken, pas dan de hierboven beschreven mitigaties toe (WAF-regels, tijdelijke codeversterking, monitoring) en beschouw de plugin als potentieel gecompromitteerd totdat deze als schoon is bewezen.

Begin uw boekingssite te beschermen met essentiële bescherming (Gratis plan)

Begin vandaag nog met het beschermen van uw site — WP‑Firewall Gratis Plan

We raden elke WordPress-site-eigenaar aan een gelaagde beschermingsaanpak te hanteren. Ons gratis WP‑Firewall-plan biedt essentiële verdedigingen die het belangrijkst zijn tijdens incidenten zoals deze: beheerde WAF-regels, onbeperkte bandbreedte, een malware-scanner en bescherming tegen de OWASP Top 10 — allemaal ontworpen om geautomatiseerde exploitatie te stoppen en u tijd te geven om te patchen.

  • Wat het Gratis (Basis) plan omvat:
    • Beheerde firewall met virtuele patching en ondersteuning voor aangepaste regels
    • Onbeperkte bandbreedtebescherming
    • Webapplicatiefirewall (WAF) monitoring en blokkering
    • Malware-scanning om gewijzigde bestanden en backdoors te detecteren
    • Beperking van de top 10-risico's van OWASP

Als u wilt beginnen met onmiddellijke bescherming terwijl u patcht of onderzoekt, leer meer en meld u hier aan voor het WP‑Firewall Basic (Gratis) plan:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Als u aanvullende controles nodig heeft — automatische malwareverwijdering, blacklisting/whitelisting, maandelijkse rapporten of beheerde diensten — bieden onze betaalde plannen die functies.)

Handige checklist (kopiëren/plakken) — onmiddellijke acties

  • ☐ Verifieer pluginversie: 
    wp plugin get bus-ticket-booking-with-seat-reservation --field=versie
  • ☐ Update plugin naar 5.6.8 (of later)
  • ☐ Als u niet kunt bijwerken: deactiveer plugin OF pas tijdelijke WAF-regels en WP-versterking toe
  • ☐ Scan site met malware-scanner
  • ☐ Inspecteer logs op POST's naar admin-ajax.php en REST-routes
  • ☐ Controleer op nieuwe admin gebruikers: 
    wp gebruiker lijst --rol=administrator
  • ☐ Draai admin inloggegevens en API-sleutels als verdachte activiteit wordt gevonden
  • ☐ Herstel vanaf een schone back-up als compromittering wordt ontdekt
  • ☐ Monitor de site en logs gedurende 14+ dagen na opschoning

Als je hulp nodig hebt bij het implementeren van WAF-regels, het versterken van incidentele plugin-eindpunten, of het uitvoeren van een triage-scan, kan ons beveiligingsoperationele team bij WP‑Firewall helpen met begeleide mitigatie, virtuele patching en incidentrespons om je risico te verminderen terwijl je bijwerkt en herstelt.

wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.

Neem contact met ons op om een gratis WordPress-beveiligingsconsult in te plannen

Neem contact met ons op

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Functies Prijzen Blog Login
Privacybeleid Servicevoorwaarden Documenten Partner

© 2026 WP-Firewall™