Voorkomen van Privilege Escalatie in Mentoring Plugin//Gepubliceerd op 2026-05-05//CVE-2025-13618

WP-FIREWALL BEVEILIGINGSTEAM

WordPress Mentoring Plugin Vulnerability

Pluginnaam WordPress Mentoring Plugin
Type kwetsbaarheid Privilege escalatie
CVE-nummer CVE-2025-13618
Urgentie Kritisch
CVE-publicatiedatum 2026-05-05
Bron-URL CVE-2025-13618

Privilege Escalatie in de “Mentoring” WordPress Plugin (CVE‑2025‑13618) — Wat site-eigenaren nu moeten doen

Auteur: WP-Firewall Beveiligingsteam

Gepubliceerd: 2026-05-05

Trefwoorden: WordPress, WAF, Kwetsbaarheid, Privilege Escalatie, Incidentrespons

Samenvatting: Een kwetsbaarheid voor privilege-escalatie met hoge ernst zonder authenticatie werd onthuld in de “Mentoring” WordPress-plugin (alle versies ≤ 1.2.8). Het stelt aanvallers in staat om privileges te escaleren tijdens het registratieproces. Deze post legt de technische details, detectie- en mitigatiestappen, onmiddellijke incidentrespons, virtuele patching / WAF-regels die je nu kunt toepassen, en langetermijnversterkingsadvies uit om WordPress-sites te beschermen.

TL;DR (voor site-eigenaren die nu moeten handelen)

  • CVE: CVE‑2025‑13618 — onbevoegde privilege-escalatie in de Mentoring-plugin via de registratiehandler.
  • Betrokken versies: ≤ 1.2.8. Gepatcht in 1.2.9.
  • Risico: Hoog (CVSS 9.8). Uitvoerbaar door onbevoegde aanvallers en geschikt voor geautomatiseerd massascannen/exploiteren.
  • Onmiddellijke acties:
    1. Update de plugin naar 1.2.9 of later. Als je niet onmiddellijk kunt updaten:
    2. Pas WAF-regels / virtuele patching toe om de kwetsbare registratiehandler te blokkeren en rolparameters te verwijderen.
    3. Controleer gebruikersaccounts op onverwachte beheerdersgebruikers en roteer inloggegevens.
    4. Volg de onderstaande checklist voor incidentrespons.

Achtergrond: wat er is gebeurd

Beveiligingsonderzoekers onthulden een kritieke kwetsbaarheid in de Mentoring-plugin die door sommige WordPress-sites wordt gebruikt om cursus- en mentorregistraties te beheren. De plugin stelt een registratiehandler bloot (gebruikt voor het aanmaken of bijwerken van gebruikers tijdens de registratieworkflow) die onbevoegde verzoeken accepteert. Vanwege onvoldoende invoervalidatie en ontbrekende capaciteit/nonce-controles kan een aanvaller parameters opgeven die accountrollen wijzigen of een laaggeprivilegieerde gebruiker naar beheerder escaleren — zonder authenticatie.

De fout bevindt zich in een registratieverwerkings-eindpunt (de AJAX/REST-handler van de plugin). Omdat het eindpunt onbevoegde verzoeken verwerkt en bepaalde invoerparameters vertrouwt (bijvoorbeeld rol of gebruikers-id), kunnen aanvallers dit misbruiken om gebruikers met verhoogde privileges aan te maken of te wijzigen.

Een patch werd uitgebracht in versie 1.2.9. Als je 1.2.8 of lager draait, moet je getroffen sites als hoog risico beschouwen.

Hoe de kwetsbaarheid werkt (technisch overzicht)

Opmerking: Ik beschrijf de kwetsbaarheid algemeen zodat de defensieve richtlijnen nuttig zijn, zelfs als je installatie iets verschilt.

  1. De plugin stelt een registratie-eindpunt bloot (meestal via admin-ajax.php actie of een plugin REST-route) bijv.:
    • POST /wp-admin/admin-ajax.php?action=mentoring_process_registration
    • of POST /wp-json/mentoring/v1/registration
  2. De endpoint accepteert een aanvraaglichaam met registratievelden:
    • gebruikersnaam
    • e-mail
    • wachtwoord (optioneel)
    • en — cruciaal — een rol parameter of gebruikers-id parameter.
  3. De handler mist:
    • een capaciteitscontrole voor current_user_can( 'create_users' ) / bewerk_gebruikers bij het wijzigen van rollen,
    • juiste nonce-verificatie voor niet-geauthenticeerde aanvragen,
    • validatie dat de rol verstrekte is toegestaan voor een openbare registratie,
    • en/of sanering rond updates van bestaande gebruikersrecords.
  4. Een niet-geauthenticeerde aanvaller stuurt een aangepaste POST met:
    • action=mentoring_process_registration
    • username=aanvaller
    • [email protected]
    • rol=administrator
    • mogelijk user_id die verwijst naar een bestaand account met lage rechten dat zij beheersen

Omdat de plugin het invoer vertrouwt, kan het resultaat zijn:

  • creatie van een account met beheerder rol, of
  • wijziging van een bestaande abonnee/redacteur rol naar administrator, of
  • injectie/creatie van een usermeta die hogere privileges verleent.

Na privilege-escalatie kan de aanvaller:

  • backdoors installeren,
  • persistente admin gebruikers toevoegen,
  • kwaadaardige plugins/thema's uploaden,
  • gegevens exfiltreren of naar andere delen van de infrastructuur pivoteren.

Bewijs‑van‑concept (illustratief, voer dit niet uit op live sites die je niet bezit)

Het volgende is een gesimuleerde aanvraag om te illustreren wat aanvallers kunnen verzenden. Het exacte eindpunt en de parameters variëren per plugin-implementatie; dit is een conceptueel voorbeeld:

POST /wp-admin/admin-ajax.php HTTP/1.1
Host: victim.example
Content-Type: application/x-www-form-urlencoded

action=mentoring_process_registration&username=eviluser&email=evilexample.com&password=Passw0rd!&role=administrator

Als de handler geen mogelijkheden verifieert of de rol parameter valideert, kan deze aanvraag een gebruiker aanmaken of promoveren.

Indicatoren van compromittering (IoCs) — waar je op moet letten

Als je WordPress-sites beheert, let dan op deze tekenen:

  • Nieuwe administratoraccounts met onbekende gebruikersnamen of e-mailadressen.
  • Bestaande gebruikers met rolwijzigingen van abonnee/redacteur/bijdrager naar administrator.
  • Ongebruikelijke POST-aanvragen in toegangslogs naar:
    • /wp-admin/admin-ajax.php?action=mentoring_process_registration
    • /wp-json/ (elke plugin-specifieke route die ‘mentoring’, ‘register’, ‘registratie’ bevat)
  • Verzoeken die bevatten rol=administrator of gebruikers-id zonder geauthenticeerde cookies of ontbrekende nonce-headers.
  • Pieken van verzoeken van een enkel IP of een kleine groep IP's die gericht zijn op het registratie-eindpunt.
  • Verdachte wijzigingen in de wp_usermeta (capaciteiten) tabelinvoer.
  • Onverwachte installatie van plugins/thema's of gewijzigde bestandstijdstempels in wp-content.
  • Geplande taken (wp_cron-invoeren) toegevoegd zonder admin-activiteit.

Hoe snel te queryen:

Zoek in webserverlogs naar verdachte POST's:

# Apache / Nginx gecombineerde logvoorbeeld:

Controleer de database op onverwachte admin-gebruikers:

SELECT ID, user_login, user_email, user_registered
FROM wp_users
WHERE ID IN (
 SELECT user_id FROM wp_usermeta WHERE meta_key = 'wp_capabilities' AND meta_value LIKE 'ministrator%'
);

Controleer recente wijzigingen aan plugins/thema's:

vind /var/www/html/wp-content -type f -mtime -7 -ls

Onmiddellijke containment en remedie (stap-voor-stap)

Als je de plugin hebt geïnstalleerd en niet onmiddellijk kunt updaten, handel dan als volgt.

  1. Update nu (beste optie)
    • Update de Mentoring-plugin naar 1.2.9 of later op alle sites (kernregel).
    • Test op staging voordat je een bulkupdate uitvoert als je veel sites hebt.
  2. Als je niet onmiddellijk kunt updaten — pas nood WAF/virtuele patching toe
    • Blokkeer POST-verzoeken naar het kwetsbare registratie-eindpunt van niet-geauthenticeerde gebruikers.
    • Verwijder of blokkeer verzoeken die een rol parameter bevatten of proberen in te stellen gebruikers-id op dat eindpunt.
    • Beperk aanvragen tot het registratie-eindpunt en vereis een geldige nonce voor legitiem verkeer.
    • Voorbeelden van WAF-patronen en voorgestelde regels worden in de volgende sectie gegeven.
  3. Controleer gebruikersaccounts
    • Beoordeel onmiddellijk alle beheerdersgebruikers.
    • Verwijder alle onbekende admin-accounts.
    • Voor elk account dat je behoudt, dwing wachtwoordreset en roteer inloggegevens af.
    • Intrek applicatiewachtwoorden en reset API-sleutels.
  4. Scan op achterdeurtjes
    • Voer een malware-scan uit: zoek naar eval(base64_decode(, file_put_contents vreemde paden, preg_replace met /e modifier of onbekende PHP-bestanden in uploads.
    • Controleer op verdachte wijzigingen in thema's en plugin-directories.
  5. Controleer op persistentie
    • Beoordeling wp_opties op verdachte automatisch geladen vermeldingen en actieve_plugins.
    • Controleer geplande taken (wp_cron) op onverwachte hooks.
    • Inspecteer .htaccess en serverconfiguratie op redirects/backdoors.
  6. Herstel indien nodig vanuit een schone back-up
    • Als compromittering is bevestigd en schone remediatie niet mogelijk is, herstel dan vanaf back-ups die voor de inbreuk zijn gemaakt.
    • Rotateer alle inloggegevens (beheerdersaccounts, databasewachtwoorden, API-sleutels) na herstel.
  7. Versterk de toegang
    • Implementeer multi-factor authenticatie (MFA) voor beheerdersaccounts.
    • Plaats beheerdersdashboards achter IP-beperkingen waar mogelijk.
    • Overweeg om beheersinterfaces op een privé-netwerk of ten minste met twee-factor toegang te plaatsen.

Virtuele patching en WAF-regels die u nu kunt toepassen

Hoewel bijwerken de enige echte oplossing is, verminderen goed afgestelde WAF-regels onmiddellijk het risico op exploitatie. Hieronder staan voorbeeldregels en strategieën. Pas deze aan op je WAF-engine (ModSecurity, Nginx LUA, Cloud WAF of de WP-Firewall appliance).

Belangrijk principe: blokkeer het gedrag waarop de kwetsbaarheid vertrouwt (niet-geauthenticeerde roltoewijzing / gebruikerswijziging), niet normale registratieflows.

Generiek regelontwerp

  • Blokkeer of daag POST-verzoeken naar admin-ajax.php of plugin REST-routes waar actie (of routepad) gelijk is aan de registratiehandler van de plugin wanneer:
    • er geen geldige WordPress ingelogde cookie is (geen authenticatiecookie), EN
    • de POST-body bevat rol of gebruikers-id parameters, OF
    • de POST-body probeert hoge rollen in te stellen (beheerder, super_admin, enz.)
  • Als legitieme openbare registraties enkele van de velden vereisen, in plaats daarvan:
    • Weiger elke roltoewijzing in openbare verzoeken (verwijder rol), en
    • Vereis een geldige nonce of token.

Voorbeeld ModSecurity-stijl pseudo-regel

(Dit is illustratief — test zorgvuldig in een staging-omgeving.)

# Blokkeer anonieme verzoeken die een 'rol' parameter aan de verdachte registratieactie leveren"

Voorbeeld Nginx Lua / aangepaste WAF-logica

  • Match POSTs naar admin-ajax.php.
  • Als queryparameter action=mentoring_process_registration en geen WordPress auth-cookie:
    • Geef 403 of 429 terug.
  • Als body bevat rol=administrator en verzoek is niet-geauthenticeerd:
    • Geef 403 terug.

Voorgestelde handtekeningregels

  • Blokkeer of daag verzoeken uit met:
    • Verzoekpad bevat mentoring EN verzoeklichaam bevat rol=administrator
    • Verzoeken naar registratie-eindpunten die bevatten gebruikers-id of rol terwijl een geldige X-WP-Nonce of geverifieerde cookie ontbreekt.
  • Beperk het aantal oproepen naar de registratiehandler tot, bijv., 5 verzoeken per minuut per IP.

Voorbeeld Fail2Ban regex om herhaalde pogingen te detecteren

Voeg toe aan filter:

/wp-admin/admin-ajax.php.*action=mentoring_process_registration.*role=administrator

Ban vervolgens IP's met meerdere voorkomens in een kort tijdsvenster.

Logging en waarschuwingen

  • Configureer WAF om geblokkeerde verzoeken te loggen met de volledige verzoekbody (voorzichtig met privacy) en waarschuw bij:
    • >5 geblokkeerde pogingen per minuut van hetzelfde IP,
    • >10 verschillende IP's die hetzelfde eindpunt in een klein tijdsvenster raken,
    • Nieuwe admin-creatie-evenementen gedetecteerd door CMS-hooks (als WAF integreert met applicatielogs).

Wat te doen als uw site al is gecompromitteerd

Als u bewijs van compromittering detecteert, volg dan een formele incidentrespons:

  1. Isoleren
    • Neem de site tijdelijk offline indien nodig of schakel de openbare toegang tot wp-admin uit.
  2. Triage & bewijsverzameling
    • Bewaar logs (webserver, WAF, syslog) en database-dumps.
    • Snapshots van getroffen servers (schijfimages indien mogelijk).
  3. Identificeer impact
    • Lijst alle beheerdersaccounts die zijn aangemaakt/wijzigd, plugins/thema's die zijn toegevoegd, cron-taken die zijn gepland en bestanden die zijn geüpload.
    • Zoek naar webshells en backdoors in uploads, thema/plugin mappen en de wp-content root.
  4. Verwijder backdoors en wijzig sleutels.
    • Verwijder kwaadaardige bestanden en reinig aangetaste plugin/thema bestanden (herstel vanuit de vendor code waar mogelijk).
    • Werk WordPress zouten bij (in wp-config.php), roteer databasewachtwoorden en roteer alle externe API-inloggegevens.
  5. Herinstalleer en patch.
    • Herinstalleer de WordPress-kern, plugins en thema's vanuit vertrouwde bronnen.
    • Werk de Mentoring-plugin bij naar 1.2.9+ en andere verouderde componenten.
  6. Herstel indien nodig.
    • Als de compromittering uitgebreid is en de opruiming onzeker is, herstel dan vanuit een bekende goede back-up en werk onmiddellijk bij.
  7. Evaluatie na incident
    • Voer een oorzaak-analyse uit en pas de verdedigingen aan (WAF-regels, monitoring, patchfrequentie).

Ontwikkelaarsrichtlijnen: hoe dit geïmplementeerd had moeten worden

Als je WordPress-plugins ontwikkelt, volg dan deze veilige coderingsprincipes om deze klasse van kwetsbaarheid te voorkomen:

  • Vertrouw nooit op invoer van de client wanneer dit invloed heeft op privileges. Accepteer nooit een rol parameter van niet-geauthenticeerde verzoeken.
  • Gebruik capaciteitscontroles:
    • Bij het wijzigen van gebruikersrollen of het bewerken van gebruikers, roep current_user_can('edit_users') of current_user_can('create_users').
  • Veilige AJAX-eindpunten aan:
    • Voor geauthenticeerde AJAX-handlers, gebruik add_action( 'wp_ajax_my_action', 'handler' );
    • Voor niet-geauthenticeerde eindpunten die echt openbaar moeten zijn, valideer een nonce met check_ajax_referer en pas strikte invoervalidatie toe.
  • Voorkomen wp_set_current_user of wp_update_user stromen die willekeurige gebruikers-id of rol aanvraagvariabelen zonder controles accepteren.
  • Sanitize/valideer alle invoer (gebruik sanitize_user, sanitize_email, en strikte rolwhitelisting).
  • Beperk REST-eindpunten: gebruik machtigingscallback om ervoor te zorgen dat alleen geautoriseerde gebruikers rollen kunnen wijzigen.
  • Log verdachte pogingen naar een beveiligingslogboek en beperk het aantal openbare registratie-eindpunten.
  • Volg het principe van de minste privileges: als openbare registratie vereist is, geef dan alleen de rol van abonnee en sta nooit roloverschrijding toe.

Voorbeeld van een server-side controle skelet:

function mentoring_process_registration() {

Detectieregels en queries voor beveiligingsteams

  • Webserver / WAF-logboeken:
    • Patroon: admin-ajax.php met action=mentoring_process_registration En rol=administrator.
  • WordPress: query gebruikers tabel voor admin capaciteitswijzigingen in recente tijdsperiode.

SQL om gebruikers te vinden die recentelijk zijn aangemaakt/wijzigingen hebben ondergaan:

SELECT ID, user_login, user_email, user_registered;

Vind usermeta voor admin rolactiviteit:

SELECT u.ID, u.user_login, um.meta_value
FROM wp_users u
JOIN wp_usermeta um ON u.ID = um.user_id
WHERE um.meta_key = 'wp_capabilities'
 AND um.meta_value LIKE 'ministrator%';

Zoek PHP-bestanden naar veelvoorkomende backdoorpatronen:

# Snelle scan voorbeeld (verlaat je hier niet alleen op)

Langetermijn aanbevelingen en beste praktijken

  1. Houd alle plugins, thema's en de WordPress-kern up-to-date.
  2. Abonneer je op een kwetsbaarheidsfeed en monitor CVE-advisories die relevant zijn voor jouw stack.
  3. Implementeer een WAF die snel virtuele patches kan toepassen voor noodbescherming.
  4. Schakel tweefactorauthenticatie in voor alle admingebruikers.
  5. Gebruik sterke unieke wachtwoorden en een wachtwoordbeheerder; roteer inloggegevens na elk beveiligingsincident.
  6. Schakel automatische updates in voor kleine releases en voor vertrouwde plugins wanneer mogelijk.
  7. Voer dagelijkse/wekelijkse integriteitscontroles en bestandswijzigingsmonitoring uit op wp-content.
  8. Handhaaf het principe van de minste privileges voor accounts en vermijd het gebruik van gedeelde beheerdersaccounts.
  9. Versterk de server:
    • Schakel PHP-uitvoering uit in wp-content/uploads (waar mogelijk).
    • Houd de server-OS en pakketten gepatcht.
  10. Zorg voor frequente back-ups, opgeslagen offline of op een externe locatie, en test herstelprocedures.

Voorbeeld WAF-regel aanbevelingen voor WordPress-hosts

Hosts en beheerde serviceteams moeten de volgende verdedigingsmaatregelen overwegen:

  • Globale WAF-regel: blokkeer niet-geauthenticeerde POST-verzoeken die proberen in te stellen rol of mogelijkheden via admin-ajax of plugin REST-eindpunten.
  • Toepassingsniveau monitors: haak in op gebruiker_registreer En profiel_update om te waarschuwen wanneer de rol van een gebruiker wordt gewijzigd in administrator buiten een goedgekeurde workflow (stuur een waarschuwing + vergrendel tijdelijk het account).
  • Snelheidsbeperking: per-IP throttling voor registratie-eindpunten (bijv. 5 registraties per uur).
  • Reputatie blokkadelijsten: voeg bekende kwaadaardige IP's toe aan blokkadelijsten, maar vermijd overblokkeren.
  • Honeypot-eindpunten: creëer nepregistratieacties die legitieme plugins niet gebruiken — oproepen naar deze eindpunten duiden op een scanner of aanvaller.

Veelgestelde vragen

V: Ik heb de plugin bijgewerkt - moet ik nog iets doen?
A: Ja. Update onmiddellijk, controleer vervolgens gebruikers en scan op tekenen van compromittering (controleer op nieuwe beheerders, recente bestandswijzigingen en verdachte geplande taken). Als je snel hebt gepatcht en er geen verdachte activiteit is, blijf dan de logs monitoren.

Q: Mijn site gebruikte de plugin, maar ik heb de registratiefunctie nooit gebruikt — ben ik veilig?
A: Niet noodzakelijk. De kwetsbaarheid betreft de registratiehandler zelf. Als de plugin actief is en de handler bereikbaar is, kan deze worden misbruikt, zelfs als je de openbare registratie niet opzettelijk hebt ingeschakeld. Voer een audit uit en patch ongeacht.

Q: Kan ik het hele plugin-eindpunt blokkeren totdat er een update beschikbaar is?
A: Ja. Toegang tot het registratie-eindpunt van de plugin tijdelijk blokkeren is een effectieve mitigatie terwijl je je voorbereidt om te updaten. Zorg ervoor dat je legitieme gebruikersstromen niet verstoort als je op die pluginfunctie vertrouwt.

Q: Ik heb een verdachte admin gevonden — moet ik deze verwijderen?
A: Verwijder onbekende admin-accounts, maar verzamel eerst logs en bewijs. Als je een inbraak vermoedt, neem de site offline voor containment en volg de bovengenoemde stappen voor incidentrespons.

Praktijkgeval: waarom dit nu belangrijk is

Privilege-escalatiebugs in registratie- of AJAX-handlers zijn aantrekkelijk voor aanvallers omdat:

  • Ze ontdekt en geëxploiteerd kunnen worden door geautomatiseerde scanners.
  • Ze kunnen worden geëxploiteerd zonder authenticatie.
  • De impact is hoog: een enkel admin-account geeft volledige controle over het CMS, plugins en vaak de hostingomgeving indirect.

Massale exploitatiecampagnes scannen doorgaans naar deze eindpunten op duizenden sites en proberen veelvoorkomende payloads. Dat maakt snelle patching of virtuele patching essentieel om de blootstelling te verminderen.

Sluit je aan bij het WP‑Firewall Gratis Plan om je WordPress-site te beschermen (Eenvoudige, snelle bescherming)

Titel: Begin met het gratis beschermen van je WordPress-site — onmiddellijke firewall en scanning

Als je een gemakkelijke, kosteloze manier wilt om proactieve bescherming te krijgen terwijl je patcht en auditeert, omvat het Basis (Gratis) plan van WP‑Firewall essentiële verdedigingen die helpen om exploits zoals deze onmiddellijk te blokkeren. Kenmerken zijn onder andere:

  • Beheerde firewall met virtuele patching om bekende exploitpatronen te blokkeren,
  • Onbeperkte bandbreedte voor WAF-verkeer,
  • Web Application Firewall (WAF) regels die onmiddellijk kunnen worden ingeschakeld,
  • Malware-scanner om verdachte bestanden en veelvoorkomende backdoors te detecteren,
  • Mitigatie dekking voor OWASP Top 10 risico's.

Begin met het gratis plan op:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(We raden aan om nu de gratis bescherming in te schakelen terwijl je plugins bijwerkt en een grondige audit uitvoert.)

Sluit aanbevelingen — een checklist van een expert

  • Werk de Mentoring-plugin bij naar 1.2.9 of later op elke site.
  • Als de update wordt vertraagd, schakel dan onmiddellijk WAF-regels in die:
    • Niet-geauthenticeerde verzoeken naar de pluginregistratiehandler blokkeren,
    • Verwijder rol En gebruikers-id parameters in openbare verzoeken,
    • Beperk het aantal en log registratiepogingen.
  • Controleer alle beheerdersaccounts en roteer inloggegevens.
  • Scan op achterdeurtjes en gemanipuleerde bestanden; herstel schone bestanden waar nodig.
  • Versterk je WordPress-installatie: MFA, minimale privileges, back-ups en continue monitoring.

Als je hulp nodig hebt bij het beschermen van grote vloten van WordPress-sites of een WAF-regelsysteem wilt dat je onmiddellijk kunt implementeren, kan het WP‑Firewall-team op maat gemaakte virtuele patches en detectieregels voor jouw omgeving voorbereiden. Ons gratis plan biedt een onmiddellijke basisbeschermingslaag terwijl je updates en opruiming voltooit. Bezoek https://my.wp-firewall.com/buy/wp-firewall-free-plan/ om het gratis plan op jouw site in te schakelen.

Auteur: WP‑Firewall Security Team — beveiligingsingenieurs met praktische ervaring in WordPress-incidentrespons. Als je specifieke logs of indicatoren hebt die je wilt laten beoordelen, verzamel dan je webserverlogs en een lijst van geïnstalleerde plugins en neem contact op met je beveiligingsteam of een incidentresponsprovider.

wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.

Neem contact met ons op om een gratis WordPress-beveiligingsconsult in te plannen

Neem contact met ons op

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Functies Prijzen Blog Login
Privacybeleid Servicevoorwaarden Documenten Partner

© 2026 WP-Firewall™