SQL-injectiebedreiging in Simply Schedule Appointments//Gepubliceerd op 2026-03-20//CVE-2026-3658

WP-FIREWALL BEVEILIGINGSTEAM

Simply Schedule Appointments SQL Injection Vulnerability

Pluginnaam Gewoon afspraken plannen
Type kwetsbaarheid SQL-injectie
CVE-nummer CVE-2026-3658
Urgentie Hoog
CVE-publicatiedatum 2026-03-20
Bron-URL CVE-2026-3658

Dringend: Ongeauthenticeerde SQL-injectie in Simply Schedule Appointments (≤ 1.6.10.0) — Wat elke WordPress-site-eigenaar nu moet doen

Auteur: WP-Firewall Beveiligingsteam
Datum: 2026-03-20

Samenvatting: Een kwetsbaarheid voor ongeauthenticeerde SQL-injectie met hoge ernst (CVE-2026-3658) werd onthuld in de Simply Schedule Appointments-plugin die versies ≤ 1.6.10.0 beïnvloedt en gepatcht is in 1.6.10.2. Deze post legt uit wat de kwetsbaarheid is, waarom het gevaarlijk is, hoe aanvallers het kunnen misbruiken, hoe je tekenen van compromittering kunt detecteren, en de onmiddellijke en langetermijnstappen die je moet nemen om je WordPress-sites te beschermen — inclusief uitvoerbare WAF- en serverniveau-mitigaties die geschikt zijn voor WP-Firewall-gebruikers.

Inhoudsopgave

  • Overzicht: wat er is gebeurd
  • Technische samenvatting (wat de kwetsbaarheid is)
  • Waarom dit gevaarlijk is (impact & gevolgen)
  • Wie loopt er risico?
  • Onmiddellijke stappen (0–24 uur)
  • Aanbevolen WAF-regels en voorbeelden van virtuele patches
  • Voorbeelden van serverniveau- en webserverregels (nginx/Apache)
  • Versterking van WordPress en beste praktijken voor plugins
  • Checklist voor incidentrespons en herstel
  • Post-incident: monitoring, testen en follow-up
  • Hoe WP-Firewall kan helpen (details van het gratis plan en aanmelding)
  • Slotgedachten en aanvullende bronnen

Overzicht: wat er is gebeurd

Op 20 maart 2026 werd een kritieke beveiligingsadviezen gepubliceerd voor de WordPress-plugin Simply Schedule Appointments. De pluginversies ≤ 1.6.10.0 bevatten een ongeauthenticeerde SQL-injectie kwetsbaarheid die een aanvaller — zonder in te loggen — in staat stelt om een databasequery te manipuleren via de invoerhandling van de plugin (de “velden” parameter). Het probleem kreeg de aanduiding CVE-2026-3658 en heeft een hoge CVSS-score (9.3).

De leverancier heeft een patch geleverd in versie 1.6.10.2. Als je site de getroffen plugin draait en niet is bijgewerkt, moet je dit als een onmiddellijke prioriteit beschouwen. Exploiteerbare ongeauthenticeerde SQL-injectie kwetsbaarheden worden vaak gewapend in geautomatiseerde massaal-exploitatiecampagnes en kunnen leiden tot datadiefstal, compromittering van de site of volledige vernietiging van de database.

Technische samenvatting (wat de kwetsbaarheid is)

In eenvoudige bewoordingen:

  • Type kwetsbaarheid: SQL-injectie (A3: Injectie / OWASP Top 10)
  • Betrokken onderdeel: Simply Schedule Appointments WordPress-plugin (versies ≤ 1.6.10.0)
  • Vector: ongeauthenticeerde HTTP-aanroep die een kwaadaardige payload bevat in de velden verzoekparameter
  • Resultaat: Door de aanvaller geleverde invoer wordt in een databasequery opgenomen zonder voldoende sanitatie of parameterisatie, waardoor SQL-besturingskarakters en clausules kunnen worden geïnjecteerd
  • CVE ID: CVE-2026-3658
  • Gepatcht in: 1.6.10.2

Hoewel ik hier geen exploitstrings zal publiceren, is het essentiële probleem dat door gebruikers geleverde inhoud wordt gebruikt om SQL-queries op te bouwen. Zonder voorbereide instructies of juiste escaping en validatie, kunnen aanvallers de database-engine dwingen om door de aanvaller gecontroleerde SQL-code uit te voeren.

Waarom dit gevaarlijk is (impact & gevolgen)

Ongeauthenticeerde SQLi is een van de ergste kwetsbaarheden die een WordPress-plugin kan bevatten omdat:

  • Geen inloggen vereist is: elke externe aanvaller kan op grote schaal proberen te exploiteren.
  • Volledige databaseblootstelling mogelijk is: SQLi kan tabellen (gebruikers, opties, berichten) lezen, inloggegevens exfiltreren en geheimen verzamelen.
  • Accountovername: gestolen beheerdersreferenties of wachtwoordresettokens kunnen leiden tot volledige overname van de site.
  • Persistente achterdeurtjes: aanvallers kunnen kwaadaardige records injecteren, nieuwe beheerdersgebruikers aanmaken of achterdeurtjes naar het bestandssysteem schrijven.
  • Laterale beweging: Als referenties elders worden hergebruikt (hosting controlepanelen, externe diensten), kunnen aanvallers verder gaan dan WordPress.
  • Losgeld en beschadiging: SQLi kan inhoud vernietigen of versleutelen, wat losgeld eisen of sitebeschadiging vergemakkelijkt.
  • Massale exploitatiepotentieel: geautomatiseerde scanners en bots zullen duizenden installaties onderzoeken en proberen te exploiteren.

Gezien de CVSS 9.3 beoordeling en de alomtegenwoordigheid van deze plugin, is het redelijk om snel pogingen te verwachten om deze kwetsbaarheid te wapenen. Behandel het als hoge prioriteit.

Wie loopt er risico?

  • Sites die Simply Schedule Appointments draaien met versies ≤ 1.6.10.0 en die de patch van de leverancier niet hebben toegepast.
  • Multisite-netwerken die de plugin gebruiken.
  • Hosts of bureaus die meerdere klantensites beheren die de plugin gebruiken.
  • Sites die geen WAF of andere virtuele patching hebben die kwaadaardige payloads kan onderscheppen.

Als uw WordPress-installatie deze plugin gebruikt, neem dan aan dat deze risico loopt totdat u de patch toepast of een effectieve virtuele patch implementeert via een WAF-regel.

Onmiddellijke stappen (eerste 0–24 uur)

  1. Update de plugin onmiddellijk naar 1.6.10.2 (of de nieuwste release).
    • Beste optie: update vanuit het WordPress-dashboard of via uw beheersworkflow.
  2. Als u niet onmiddellijk kunt updaten (compatibiliteits- of stagingproblemen), pas dan virtuele patching toe via uw WAF om kwaadaardige payloads te blokkeren in de velden parameter (voorbeelden hieronder).
  3. Zet de site in een onderhoudsmodus / beperk tijdelijk de openbare toegang als u actieve probing vermoedt of redenen heeft om te geloven dat exploitatie heeft plaatsgevonden.
  4. Controleer logs:
    • Webservertoegangslogs voor verdachte verzoeken die gericht zijn op plugin-eindpunten met een velden= parameter.
    • PHP-foutlogs en langzame querylogs voor ongebruikelijke queries of databasefouten.
  5. Maak onmiddellijk een volledige back-up (bestanden + database) en sla deze offline op (voor eventuele herstelwijzigingen).
  6. Scan uw site op indicatoren van compromittering (IOC): nieuwe beheerdersgebruikers, gewijzigde bestanden, onbekende geplande taken, onverwachte uitgaande verbindingen.
  7. Als u verdachte activiteit detecteert, isoleer de site (deactiveer de plugin, keer terug naar de back-up of neem de site offline) en volg de onderstaande checklist voor incidentrespons.

Indicators of Compromise (IoCs) — waar je op moet letten

Zoek naar de volgende signalen die kunnen wijzen op een poging tot of succesvolle exploitatie:

  • Toegangslogboekvermeldingen met velden= gevolgd door SQL metakarakters (aanhalingstekens, opmerkingen, booleaanse operatoren, UNIE, SELECT, slaap(), enz.) gericht op eindpunten die behoren tot de plugin.
  • Databasefouten in logs die verwijzen naar syntaxisfouten in SQL of niet-afgehandelde uitzonderingen.
  • Onverwachte nieuwe beheerdersaccounts in wp_users (controleer op recente gebruikerscreatie).
  • Onverwachte wijzigingen in wp_options, wp_posts of plugin-tabellen (injectie van <script> payloads of base64 blobs).
  • Uitgaande HTTP(s) verzoeken naar onbekende domeinen (mogelijke exfiltratie).
  • Nieuwe of gewijzigde PHP-bestanden in wp-content/uploads, wp-content/themes of pluginmappen.
  • Abnormaal CPU- of databasegebruik dat samenvalt met verdachte verzoeken (scannen/pogingen tot exploitatie kunnen CPU-pieken veroorzaken of leiden tot zware DB-query's).

Als je een van deze vindt, behandel de site dan als potentieel gecompromitteerd.

Aanbevolen WAF- en virtuele patchregels

Als je de patch van de leverancier niet onmiddellijk kunt toepassen, is virtueel patchen met een Web Application Firewall (WAF) een effectieve tijdelijke oplossing. Hieronder staan voorbeeldregelpatronen die je kunt gebruiken in je WAF om waarschijnlijke exploitatiepogingen te blokkeren die misbruik maken van de velden parameter. Dit zijn conservatieve patronen die bedoeld zijn om valse positieven te verminderen terwijl ze duidelijke injectiepogingen blokkeren.

Belangrijk: test regels eerst in niet-blokkerende (monitor) modus op een staging-site of met beperkte reikwijdte voordat je volledige blokkering op productie inschakelt.

  1. Generieke regel: blokkeer verzoeken wanneer velden parameter SQL-sleutelwoorden of controlekarakters bevat (hoofdletterongevoelig)
    • Overeenkomende voorwaarden:
      • Parameternaam: velden
      • Waarde regex (PCRE, hoofdletterongevoelig): (?i)(\b(select|union|insert|update|delete|drop|benchmark|sleep|load_file|outfile)\b|\b(or|and)\b\s+?[\w\W]{0,30}=?\s*('|")|--|#|/\*)

    Voorbeeld PCRE:
    (?i:(\b(select|union|insert|update|delete|drop|benchmark|sleep|load_file|outfile)\b|(--|#|/\*)|(\b(or|and)\b.{0,30}=[\s'"])))

  2. Lengte en op encoding gebaseerde regel:
    • Blokkeer als velden parameter lengte > 500 tekens (gebruikelijk in exploit payloads) of bevat gecodeerde binaire tekens of volledig URL-gecodeerde SQL-patronen.
    • Voorbeeld: blokkeer als URL-gecodeerd velden bevat %27 (‘) of %22 (“) vergezeld van SQL-sleutelwoorden.
  3. Verzoekpad targeting:
    • Als je merkt dat de kwetsbare code wordt geactiveerd op een specifiek eindpunt pad (identificeer de plugin verzoekroute), maak dan een regel die alleen voor dat pad wordt uitgevoerd om valse positieven te verminderen.
  4. Specifieke blacklist voor verdachte tekens:
    • Als velden bevat ; of /* of */ of opeenvolgende aanhalingstekens (''), vlag of blokkeer.
  5. Blokkeer veelvoorkomende exploitatiepatronen met union/select:
    • (?i:union(?:\s+select)?) in de velden parameter — blokkeer.

Opmerkingen:

  • Pas regex aan op je verkeer. Als velden normaal wordt gebruikt om formuliergegevens in te dienen met JSON of gestructureerde arrays, pas dan regels aan om legitieme payloads te negeren.
  • Loggingmodus: stel regels in om te loggen en te waarschuwen voor 12–24 uur om valse positieven te zien voordat je actief blokkeert.
  • Rate limiting: als je veel kwaadaardige pogingen van enkele IP's ziet, blokkeer of beperk die IP's tijdelijk.

WP-Firewall klanten: onze beheerde firewall biedt kant-en-klare, afgestemde virtuele patches voor dit type kwetsbaarheid, en we kunnen snel blokkeringregels inschakelen op je sites.

Voorbeeld mod_security / webapplicatie firewallregel (voorbeeld)

Hieronder staat een eenvoudige illustratieve mod_security-regel die je kunt aanpassen. Dit voorbeeld moet in een niet-productieomgeving worden getest voordat het wordt ingeschakeld.

SecRule ARGS:fields "@rx (?i:(\b(select|union|insert|update|delete|drop|benchmark|sleep|load_file|outfile)\b|(--|#|/\*)|(\b(or|and)\b.{0,30}=[\s'"])))" \"

Nginx (lua-nginx of WAF-module) en andere WAF's ondersteunen vergelijkbare regels.

Herinnering: Zet geen te brede weigeringregel in die legitieme formulierindieningen blokkeert. Test grondig.

Webserver-niveau regels: nginx en Apache voorbeelden

Als een WAF niet beschikbaar is, kun je lichte blokkering op webserverniveau toevoegen als tijdelijke maatregel.

Nginx (serverblok) — basiscontrole met map + if:

map $arg_fields $sqli_flag {

Apache (.htaccess) — blokkeer verzoeken met verdachte velden:

<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} fields=.*(select|union|insert|update|delete|drop|sleep|benchmark) [NC]
RewriteRule .* - [F]
</IfModule>

Dit zijn botte instrumenten — ze kunnen massale geautomatiseerde aanvallen snel mitigeren, maar ze kunnen interfereren met legitiem plugin-gedrag. Gebruik als tijdelijke maatregelen en verwijder/vervang na het toepassen van de leverancierpatch.

WordPress-niveau mitigaties en verharding

  1. Direct updaten
    • Installeer de pluginpatch (1.6.10.2 of nieuwer). Dit is de beste mitigatie.
  2. Principe van de minste privileges voor je DB-gebruiker
    • Zorg ervoor dat de DB-gebruiker die WordPress gebruikt de minimale benodigde privileges heeft. Geef geen SUPER- of bestandsprivileges tenzij nodig.
  3. Houd de WordPress-kern, thema's en andere plugins up-to-date
  4. Regelmatige back-ups en back-upretentie
    • Maak frequente (dagelijkse of meer) back-ups en houd meerdere historische kopieën op een externe locatie.
  5. Multi-factor authenticatie
    • Handhaaf MFA voor alle accounts op beheerdersniveau.
  6. Credential hygiëne
    • Draai wachtwoorden voor beheerdersgebruikers en eventuele database-inloggegevens als er een compromis wordt vermoed.
  7. Bestandsintegriteitsbewaking
    • Houd wijzigingen in kernplug-ins, thema's en wp-content-bestanden in de gaten.
  8. Deactiveer plug-ins als ze niet worden gebruikt.
    • Als de plug-in niet nodig is, verwijder deze dan in plaats van deze geïnstalleerd maar inactief te laten.
  9. Beperk de REST API en AJAX-eindpunten waar mogelijk.
    • Sommige plug-in eindpunten kunnen toegankelijk zijn via admin-ajax.php en kunnen worden beperkt als ze niet nodig zijn.
  10. Databaseback-ups en exports veilig opslaan.
    • Zorg ervoor dat back-ups niet openbaar toegankelijk zijn in wp-content/uploads.

Checklist voor incidentrespons en herstel

Als je vermoedt dat je site doelwit was of gecompromitteerd is, volg dan deze geprioriteerde checklist:

  1. Bevatten
    • Neem de site offline of schakel de onderhoudsmodus in.
    • Als de live site actief moet blijven, blokkeer verdachte IP's en schakel WAF-regels agressief in.
  2. Bewijsmateriaal bewaren
    • Bewaar volledige back-ups van bestanden en database voor analyse (overschrijf ze niet).
    • Sla relevante logs op (webserver, PHP, DB, toegangslogs).
  3. Identificeren
    • Zoek naar de IoCs die hierboven zijn beschreven (weblogs, DB-anomalieën, nieuwe beheerdersaccounts, gewijzigde bestanden).
  4. Uitroeien
    • Verwijder kwaadaardige bestanden, herstel gewijzigde bestanden vanuit een bekende goede back-up en werk gecompromitteerde plug-ins bij naar gepatchte versies.
    • Als de integriteit van de database twijfelachtig is, herstel dan vanuit een back-up vóór de compromis.
  5. Herstellen
    • Draai alle wachtwoorden, API-sleutels en geheimen die mogelijk zijn blootgesteld.
    • Bouw de productieomgeving opnieuw op indien nodig.
  6. Monitoring na herstel
    • Verhoog logging en monitoring na terugkeer naar productie gedurende ten minste 30 dagen.
  7. Openbaarmaking en naleving
    • Als gevoelige klantgegevens zijn blootgesteld, volg dan de wettelijke en regelgevende verplichtingen voor het melden van inbreuken.
  8. Oorzaakanalyse
    • Identificeer hoe de compromis is gebeurd en schrijf een post-mortem. Implementeer proceswijzigingen om toekomstige risico's te verminderen.

Als je veel klantensites beheert, coördineer dan met hostingproviders en klanten; overweeg om een professioneel incidentrespons team in te schakelen voor complexe incidenten.

Post-patch testen en verificatie

Zodra je de patch van de leverancier en eventuele tijdelijke WAF-regels toepast, valideer dan het volgende:

  • Bevestig dat de pluginversie 1.6.10.2 of nieuwer is in de WordPress-admin.
  • Verifieer dat de kwetsbare eindpunten veilige reacties teruggeven op goed gevormde invoer.
  • Voer kwetsbaarheidsscans uit met tools (gerenommeerd en veilig) in staging om resterende problemen te detecteren.
  • Verwijder tijdelijke webserverregels en WAF-handtekeningen die valse positieven veroorzaakten of niet langer nodig zijn.
  • Controleer de logs opnieuw op pogingen na het patchen — als je voortdurende exploitatiepogingen ziet, blijf dan loggen en overweeg IP-blokkering.

Hoe WP-Firewall helpt (bescherming van sites onmiddellijk)

Beveilig je site onmiddellijk — Probeer WP-Firewall vandaag gratis

We weten dat niet iedereen leveranciersupdates kan toepassen op het moment dat een patch wordt uitgebracht. De beheerde firewallservice van WP-Firewall is ontworpen voor scenario's zoals deze: het biedt snelle virtuele patching en continu bijgewerkte regels die exploitatiepogingen gericht op plugin-kwetsbaarheden (inclusief ongeauthenticeerde SQL-injectiepogingen) stoppen terwijl je updates plant, test en uitrolt.

Waarom kiezen voor het gratis plan?

  • Basis (Gratis) — essentiële bescherming direct: beheerde firewall, onbeperkte bandbreedte, Web Application Firewall (WAF), malware-scanner en mitigatie die de OWASP Top 10 dekt.
  • Als je meer automatisering nodig hebt: het Standaardplan voegt automatische malwareverwijdering en IP-blacklist-/whitelistmogelijkheden toe.
  • Voor teams en bureaus: het Pro-plan omvat maandelijkse beveiligingsrapporten, geautomatiseerde virtuele patching en premium add-ons voor hands-on remediering en ondersteuning.

Meld je aan voor het gratis plan en krijg binnen enkele minuten bescherming: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Als je meerdere sites beheert, kan WP-Firewall gerichte virtuele patches toepassen op je vloot om massale exploitcampagnes te stoppen terwijl je updates plant.)

Praktische voorbeelden: wat te zoeken in logs (exacte strings om naar te zoeken)

Hieronder staan veilige voorbeelden van zoekopdrachten die je op je logs kunt uitvoeren om verdachte verzoeken aan het licht te brengen. Dit zijn patronen in plaats van exploitinhoud:

  • Zoek naar velden= in toegang logs: 
    grep -i "fields=" /var/log/nginx/access.log
  • Zoek naar SQL-sleutelwoorden in dezelfde verzoeken: 
    grep -i "fields=.*select" /var/log/nginx/access.log
  • Zoek naar URL-gecodeerde enkele aanhalingstekens of commentaartokens: 
    grep -i "" /var/log/nginx/access.log
  • En algemene verdachte lange velden waarden: 
    awk -F"fields=" '{ if(length($2) > 400) print $0 }' /var/log/nginx/access.log

Het begrijpen van het normale velden parameter gedrag voor uw site is belangrijk; veel formulieren verzenden legitiem gestructureerde inhoud. Gebruik een combinatie van sleutelwoord- en lengtedetectie zoals hierboven beschreven.

Preventieve maatregelen voor de lange termijn

  • Neem een robuuste pluginbeheerworkflow aan: staging, plugin wijzigingslogs, compatibiliteitstests.
  • Abonneer u op kwetsbaarheidsfeeds of leveranciersadviezen voor plugins die u gebruikt.
  • Schakel automatische kleine updates in waar veilig — maar test grote pluginupdates in staging.
  • Implementeer gecentraliseerde logging en SIEM voor multi-sitebeheer.
  • Houd een gedocumenteerd incidentresponsplan bij en voer tabletop-oefeningen uit.
  • Overweeg hosting met de minste privileges: aparte databasegebruikers per applicatie waar mogelijk.

Laatste opmerkingen en aanbevelingen

Deze kwetsbaarheid is een dringende herinnering: WordPress-beveiliging is een combinatie van tijdige updates, gelaagde verdedigingen en operationele gereedheid. De leverancier patch (1.6.10.2) is uw primaire verdediging — pas deze nu toe. Als onmiddellijke updates onmogelijk zijn, gebruik dan een virtuele patch via een WAF en serverniveau regels terwijl u compatibiliteit valideert.

Als u meerdere klantwebsites beheert of veel WordPress-instanties beheert, gebruik dan een beheerde virtuele patchoplossing om regels snel en consistent over alle sites te implementeren. Dit voorkomt dat mass-exploit bots ongepachte sites vinden en misbruiken terwijl u updates coördineert.

De beheerde WAF en kwetsbaarheidsresponsdiensten van WP-Firewall zijn speciaal ontworpen om te helpen in precies deze situaties. U kunt beginnen met het gratis plan om onmiddellijk basisbescherming te krijgen, en vervolgens upgraden als u automatische opschoning, rapportage en premium ondersteuning wilt.

Slotgedachten

Beveiligingsincidenten zoals CVE-2026-3658 herinneren eraan dat aanvallers altijd naar de zwakste schakel zullen zoeken. Jouw doel als site-eigenaar, ontwikkelaar of host is om de blootstelling te verminderen: houd software up-to-date, handhaaf goede operationele hygiëne en pas gelaagde bescherming toe. Als jouw site de Simply Schedule Appointments-plugin gebruikt, controleer dan nu je versie en werk onmiddellijk bij naar 1.6.10.2 of nieuwer.

Als je hulp nodig hebt bij het implementeren van virtuele patches, het bekijken van logs of het uitvoeren van een opschoning, staat ons beveiligingsteam bij WP-Firewall klaar om te helpen. Begin met onmiddellijke bescherming van het gratis Basisplan en schaal op naar beheerde diensten indien nodig.

Let op je veiligheid,
WP-Firewall Beveiligingsteam

Bijlage: snelle checklist (kopieer-plak)

  • [ ] Inventaris: Draai ik Simply Schedule Appointments? Welke versie?
  • [ ] Update: Pas plugin-update toe naar 1.6.10.2 of nieuwer.
  • [ ] Backup: Maak een offline backup (bestanden + DB).
  • [ ] WAF: Schakel ingeschakelde regel in voor velden parameter als de update vertraagd is.
  • [ ] Logs: Zoek in toeganglogs naar velden= en verdachte SQL-sleutelwoorden.
  • [ ] Scan: Voer malware- en integriteitscontroles uit.
  • [ ] Audit: Controleer op nieuwe admin-gebruikers en gewijzigde bestanden.
  • [ ] Roteren: Wijzig wachtwoorden en geheimen als compromittering wordt vermoed.
  • [ ] Monitor: Verhoog logging en monitoring gedurende 30 dagen na fixes.

Als je snel hulp wilt bij het implementeren van een van de bovenstaande stappen — inclusief virtueel patchen op meerdere sites — leer meer over WP-Firewall-plannen en begin met het gratis Basisplan: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.

Neem contact met ons op om een gratis WordPress-beveiligingsconsult in te plannen

Neem contact met ons op

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Functies Prijzen Blog Login
Privacybeleid Servicevoorwaarden Documenten Partner

© 2026 WP-Firewall™