XSS Kwetsbaarheid in Floating Menu Plugin//Gepubliceerd op 2026-05-20//CVE-2026-4811

WP-FIREWALL BEVEILIGINGSTEAM

WPB Floating Menu Vulnerability Image

Pluginnaam WPB Vlot Menu of Categorieën – Plakkerig Vlot Zijmenu & Categorieën met Pictogrammen
Type kwetsbaarheid XSS
CVE-nummer CVE-2026-4811
Urgentie Laag
CVE-publicatiedatum 2026-05-20
Bron-URL CVE-2026-4811

Geauthenticeerde Editor Opgeslagen XSS in WPB Vlot Menu of Categorieën (<=1.0.8) — Wat Elke Site-eigenaar en Ontwikkelaar Nu Moet Doen

Auteur: WP-Firewall Beveiligingsteam

Datum: 2026-05-20

Samenvatting: Een opgeslagen Cross-Site Scripting (XSS) kwetsbaarheid werd ontdekt in de “WPB Vlot Menu of Categorieën – Plakkerig Vlot Zijmenu & Categorieën met Pictogrammen” WordPress-plugin die versies ≤ 1.0.8 beïnvloedt (CVE-2026-4811). Een geauthenticeerde gebruiker met Editor-rechten kan kwaadaardige HTML/JavaScript opslaan die later in de front-end wordt weergegeven, wat mogelijk invloed heeft op sitebezoekers en beheerders. Deze post legt het technische risico uit, hoe aanvallers de bug kunnen misbruiken, detectie- en containmentstappen, oplossingen op ontwikkelaarsniveau en praktische mitigaties die je onmiddellijk kunt toepassen — inclusief een kosteloze beschermingsoptie van WP‑Firewall.

Waarom dit belangrijk is

Opgeslagen XSS (ook wel persistente XSS genoemd) is gevaarlijk omdat de kwaadaardige inhoud op de server wordt opgeslagen en later aan veel gebruikers wordt aangeboden. In tegenstelling tot een gereflecteerde XSS die op maat gemaakte links voor elke slachtoffer vereist, kan opgeslagen XSS persistent zijn in inhoud die aan talrijke bezoekers wordt getoond (bijvoorbeeld als onderdeel van een menu of categorienaam) en in hun browsers worden uitgevoerd met de privileges van de sitecontext.

Deze specifieke kwetsbaarheid vereist een geauthenticeerde aanvaller met Editor-rechten of hoger om de payload in te voeren. Hoewel dat de lat hoger legt in vergelijking met anonieme alleen-op-afstand bugs, staan veel WordPress-sites bijdragers, auteurs of redacteuren toe via siteworkflows, externe toegang of zwakke accounthygiëne. Elke site waar Editor-accounts in gebruik zijn en de getroffen plugin is geïnstalleerd en actief, moet dit als een onmiddellijke remediëringsprioriteit beschouwen.

CVSS (zoals berekend door externe bronnen) plaatst de ernst in het gematigde bereik (CVSS 5.9). Dat weerspiegelt de vereiste voor een geauthenticeerde rol en enige gebruikersinteractie, maar het elimineert het risico niet: wanneer het wordt uitgebuit op drukbezochte sites of waar redacteuren zijn gecompromitteerd, kan de impact aanzienlijk zijn (sessiediefstal, privilege-escalatie via sociale engineering, persistente omleidingen, inhoudsvervalsing en impact op de toeleveringsketen).

De technische analyse — wat waarschijnlijk misging

Op basis van de kwetsbaarheidsbeschrijving, slaat de plugin inhoud op die door een geauthenticeerde redacteur is aangeleverd en rendert deze later in een pagina zonder geschikte escaping of output-sanitization. Veelvoorkomende onveilige patronen zijn onder andere:

  • Onbetrouwbare HTML of attributen opslaan in termnamen, menulabels of meta-velden, en deze vervolgens echoën met functies zoals echo $waarde of innerHTML in JavaScript zonder escaping.
  • In adminformulieren, niet sanitizen of valideren van gebruikersinvoer bij opslaan.
  • Gebruikersgecontroleerde inhoud renderen in HTML-attributen of scriptcontexten zonder karaktercodering.

Sleutel factoren die het risico hier verhogen:

  • De plugin manipuleert front-end inhoud (menu's, categorieën, pictogrammen), die regelmatig voor bezoekers wordt weergegeven.
  • Redacteuren hebben doorgaans de mogelijkheid om taxonomie of menulabels te bewerken, of om inhoud te creëren/wijzigen die de plugin leest en weergeeft.
  • Als de plugin inhoud rechtstreeks in een DOM-context uitvoert die scriptuitvoering toestaat (bijv. binnen een element met innerHTML), kan een opgeslagen payload worden uitgevoerd telkens wanneer een bezoeker de getroffen pagina laadt.

Aanvalsvector in eenvoudige termen:

  • Aanvaller met Editor-rechten dient een op maat gemaakte payload in (in een categorienaam, menulabel, pictogrammarkup, enz.).
  • Plugin slaat de payload op in de database.
  • Later, wanneer de site een pagina weergeeft die dat menu/categorie bevat, voert de browser de geïnjecteerde JavaScript uit.
  • Het kwaadaardige script kan willekeurige acties in de browser uitvoeren (cookies of JWT's stelen, acties in de browser van de gebruiker uitvoeren, verdere malware laden, bezoekers omleiden, misleidende inhoud weergeven, en meer).

Wie is getroffen?

  • Sites die de plugin draaien op versie 1.0.8 of eerder.
  • Sites die gebruikersaccounts met Editor (of hogere) rechten toestaan die taxonomie/menu-invoeren of instellingen die de plugin blootlegt kunnen wijzigen.
  • Multisite-installaties waar de plugin netwerk-geactiveerd is en Editors op subsites de bevoegdheden hebben om de getroffen velden te wijzigen.

Waarom dit nog steeds belangrijk is, zelfs met “Editor vereist”

Veel site-eigenaren gaan ervan uit dat kwetsbaarheden die een geverifieerde rol vereisen laag-risico zijn. Dat is niet altijd waar:

  • Editors worden vaak gecompromitteerd door het stelen van inloggegevens, phishing, hergebruikte wachtwoorden, of via uitbestede contentworkflows.
  • Aanvallers die een editor sociaal kunnen manipuleren (bijv. via een kwaadaardige e-mail) kunnen de exploit activeren.
  • Zodra de aanvaller een persistente payload injecteert, kunnen ze sitebezoekers (inclusief beheerders) targeten zonder verdere bevoegde toegang.

Onmiddellijke acties — korte checklist (doe dit nu)

  1. Update de plugin onmiddellijk naar de gepatchte versie (1.0.9).
  2. Als je niet meteen kunt bijwerken:
    • Deactiveer de plugin totdat u kunt bijwerken.
    • Beperk tijdelijk de toegang op Editor-niveau: bekijk huidige gebruikers, deactiveer of wijs accounts die je niet vertrouwt opnieuw toe.
  3. Scan op verdachte invoer die door de plugin is opgeslagen:
    • Zoek in taxonomienamen, menulabels en plugin-gerelateerde optie/meta-tabellen naar verdachte tags of JavaScript-fragmenten.
  4. Bekijk admin- en webserverlogs op onverwachte POST-verzoeken naar admin-eindpunten en voor nieuw aangemaakte/wijzigde termen of opties rond de tijd dat een rogue Editor handelde.
  5. Draai inloggegevens voor Administrators en Editors als je vermoedt dat er een compromis is. Dwing wachtwoordresets af voor risicovolle accounts.
  6. Voer een site-brede malwarecontrole uit en vergelijk met een vertrouwde back-up. Verwijder kwaadaardige bestanden en database-invoeren indien aanwezig.
  7. Overweeg om de site achter een beheerde Web Application Firewall (WAF) te plaatsen of virtuele patchregels in te schakelen totdat je volledig gepatcht bent.

Hoe je verdachte opgeslagen inhoud in je database kunt vinden (veilige technieken)

Gebruik alleen-lezen SELECT-query's om verdachte inhoud te lokaliseren. Voer deze uit vanuit een veilige omgeving (wijzig nooit voordat je hebt beoordeeld):

SELECT term_id, naam
VAN wp_terms
WHERE naam LIKE '%<script%';

SELECT term_id, meta_key, meta_value
FROM wp_termmeta
WHERE meta_value LIKE '%<script%'
OF meta_value LIKE '%javascript:%'
OF meta_value LIKE '%onmouseover=%';

SELECT optie_naam, optie_waarde
VAN wp_options
WAAR option_value LIKE '%<script%'
OF option_value LIKE '%<iframe%'
OF option_value LIKE '%javascript:%';

SELECT post_id, meta_key, meta_value
FROM wp_postmeta
WHERE meta_value LIKE '%<script%'
OF meta_value LIKE '%onerror=%';

Opmerking: Deze zoekopdrachten kunnen valse positieven opleveren (bijv. legitieme HTML in toegestane velden). Beoordeel de resultaten handmatig en houd een audittrail bij voordat je iets verwijdert.

Detectie & Indicatoren van Compromittering (IoCs)

  • Onverwachte omleidingen van je front-end pagina's.
  • Nieuwe of gewijzigde menu-/categorie-labels die HTML-achtige strings of vreemde tekens bevatten.
  • Bezoekers die pop-ups, advertenties of inlogprompten melden die je niet hebt toegevoegd.
  • Abnormale pieken in uitgaand verkeer of verzoeken naar externe script-URL's vanaf je site.
  • Admin-logins van onverwachte IP's of tijden.
  • Gewijzigde bestanden of code (bijv. wijzigingen in themabestanden, plugins of wp-config.php).
  • Geplande taken (cron) die vreemde bewerkingen uitvoeren.

Als je actieve payloads in de database vindt:

  • Reviseer onmiddellijk de toegang voor de Editor-accounts die de wijzigingen hebben aangebracht.
  • Wis caches (serverzijde, CDN, eventuele cache-plugins) — gecachte pagina's kunnen de payloads blijven serveren, zelfs na verwijdering.
  • Maak database-invoer schoon en bevestig dat het kwaadaardige script verdwenen is in alle inhoudscaches en statische pagina-caches.

Ontwikkelaarsrichtlijnen — hoe plugin-auteurs deze problemen moeten oplossen

Als je plugins of thema's onderhoudt, volg dan het principe “sanitization on input, escaping on output”. Hier zijn concrete, veilige patronen.

1. Sanitize bij schrijven (bij het opslaan van waarden van formulieren in wp-admin):

<?php

Voor beperkte HTML die wordt geaccepteerd (bijvoorbeeld, het toestaan van strong/em-tags), gebruik wp_kses met een strikte toegestane lijst:

<?php

2. Escape bij uitvoer (altijd):

Wanneer je een waarde in de HTML-tekstcontext uitvoert:

<?php

Wanneer je uitvoert in een HTML-attribuut:

&lt;?php

Wanneer je toegestane HTML uitvoert:

<?php

3. Gebruik capaciteitscontroles en nonces in admin-handlers:

<?php

4. Vermijd het echoën van niet-vertrouwde waarden in JavaScript-contexten zonder JSON-codering:

<?php

Gebruik makend van wp_json_encode voorkomt injectie in JavaScript-code.

5. Valideer en saniteer alle door gebruikers ingediende URL's, kleuren of pictogramklassen.

Gebruik functies zoals esc_url_raw(), sanitize_hex_kleur(), En preg_match() voor strikte formaten.

6. Wanneer je AJAX of REST-eindpunten gebruikt, controleer dan opnieuw de capaciteiten en saniteer REST-verzoeklichamen met de schema-gedreven sanering die de WP REST API ondersteunt.

Veilige manieren om snel te patchen als je de plugin niet onmiddellijk kunt bijwerken

Als je de plugin niet onmiddellijk naar de vaste versie kunt bijwerken, overweeg dan de volgende tijdelijke mitigaties:

  • Deactiveer de plugin totdat je kunt upgraden. Dit is de veiligste onmiddellijke reactie.
  • Gebruik rolbeheer om te voorkomen dat redacteuren de bewerkbare velden van de plugin wijzigen (verwijder mogelijkheden die het bewerken van termen of menu's toestaan).
  • Verwijder of beperk de admin-schermen voor de plugin door in te haken op admin_menu en toegang beperken op basis van capaciteit (tijdelijke oplossing).
  • Implementeer WAF-regels die POST/PUT-verzoeken naar de admin-eindpunten van de plugin blokkeren die script-tags of on* attributen bevatten (zie WAF-sectie hieronder).
  • Scan en saniteer de database-invoer die de plugin gebruikt voor het weergeven van menu's/categorieën en verwijder alle HTML-tags die je niet verwacht.

Hoe een Web Application Firewall (WAF) helpt — en wat het niet kan vervangen

Een goed geconfigureerde WAF biedt een belangrijke verdedigingslaag:

  • WAF's kunnen virtuele patches toepassen (regels die exploit-payloads blokkeren) voordat de plugin-auteur een oplossing voor elke site vrijgeeft.
  • Ze kunnen voorkomen dat voor de hand liggende script-tags, gebeurtenisafhandelaars, inline JavaScript en verdachte attributen worden opgeslagen of aangeboden.
  • WAF's kunnen verzoeken beperken en strengere regels afdwingen op admin-eindpunten waar kwaadaardige redacteuren payloads kunnen indienen.

Neem echter niet aan dat een WAF een permanente oplossing is:

  • WAF's maken deel uit van verdediging in diepte. Ze verminderen risico's maar elimineren de onderliggende onveilige code niet.
  • Aanvallers kunnen proberen payloads te obfusceren om naïeve regels te omzeilen; daarom is het essentieel om WAF's te combineren met code-oplossingen en correcte escaping.
  • Patch altijd plugins en thema's — virtueel patchen koopt tijd, geen permanentie.

Als je een WAF gebruikt, schakel dan regels in die:

  • Verzoeken blokkeren met inline tags of verdachte attributen (onerror, onload, onmouseover, javascript:).
  • Valideer POST- en REST API-verzoeken naar admin-eindpunten op onverwachte HTML.
  • Monitor en waarschuw bij wijzigingen op admin-niveau in taxonomie, menu of pluginoptietabellen.

Voorbeeld (niet-exploiteerbare) WAF-regelconcept — alleen defensief

Hieronder staat een conceptueel patroon (geen exploiteerbare payload), dat een defensieve regelidee toont. Pas dergelijke patronen zorgvuldig toe en test op staging:

  • Blokkeer POST-verzoeken naar admin-eindpunten die rauwe “<script” in de payload bevatten, of attributen die beginnen met “on” (gebeurtenisafhandelaars), of “javascript:” URI's.
  • Log en waarschuw wanneer een redacteuraccount gegevens indient die HTML-tags bevatten.

Belangrijk: Testregels zodat je legitieme workflows niet verstoort. Bijvoorbeeld, sommige toegestane HTML kan in bepaalde velden zijn toegestaan; pas regels aan op het legitieme gedrag van de plugin.

Responsplan — als je denkt dat je bent uitgebuit.

  1. Zet de site in onderhoudsmodus (risicobeperking voor het publiek).
  2. Maak een snapshot van de hele omgeving (bestanden + database + logs) voor forensisch onderzoek.
  3. Draai alle admin- en redacteurswachtwoorden en maak authenticatiecookies ongeldig (wachtwoorden wijzigen en uitloggen afdwingen).
  4. Bekijk recente wijzigingen (bestanden en database). Gebruik checksums of een schone back-up voor vergelijking.
  5. Zoek naar geïnjecteerde scripts en verwijder ze, inclusief uit caches en CDN-snapshots.
  6. Maak schoon of herstel vanaf een bekende goede back-up die vóór de compromittering is gemaakt.
  7. Voer een volledige malware-scan uit en een handmatige controle op backdoors (bijv. verdachte PHP-bestanden, gewijzigde wp-config.php, ongeautoriseerde geplande taken).
  8. Herbevestig plugin/thema versies en werk alles bij naar de nieuwste veilige releases.
  9. Bouw inloggegevens opnieuw op (API-tokens, SSH-sleutels) en bevestig dat er geen derde partij integraties zijn gecompromitteerd.
  10. Monitor na opschoning nauwlettend: verhoogde logsampling, gebruikersloginrapporten en WAF-waarschuwingen gedurende enkele weken.

Als je hulp nodig hebt en je beheert een enterprise of beheerde site, overweeg dan om een professioneel incidentrespons team in te schakelen dat ervaring heeft met WordPress-compromissen.

Versterkingschecklist om toekomstig risico te verminderen

  • Principe van de minste privilege: beperk redacteursaccounts. Overweeg om aangepaste rollen te gebruiken met beperkte mogelijkheden.
  • Handhaaf sterke wachtwoorden en MFA voor alle administratieve gebruikers.
  • Beoordeel gebruikersaccounts elk kwartaal; verwijder ongebruikte accounts en beperk gedeelde inloggegevens.
  • Schakel bestandsbewerking in wp-admin uit (define('DISALLOW_FILE_EDIT', true)).
  • Houd de WordPress-kern, thema's en plugins up-to-date. Test updates eerst in een staging-omgeving.
  • Houd regelmatige off-site back-ups bij en test herstelprocedures.
  • Gebruik een WAF en/of beheerde firewall met virtuele patchingcapaciteit voor zero-day bescherming.
  • Voer geautomatiseerde malware-scans en periodieke handmatige controles uit.
  • Neem een pluginbeoordelingsproces aan: evalueer de updatefrequentie van de plugin, de reputatie van de ontwikkelaar, changelogs en de responsiviteit van de ondersteuning voordat je installeert.
  • Implementeer API-credentials met de minste privileges en draai sleutels regelmatig.
  • Gebruik een staging-site voor het testen van nieuwe plugins of pluginupdates.

Voor plugin auteurs — neem veilige ontwikkelingspraktijken aan

  • Volg de beste beveiligingspraktijken van WordPress: saniteren bij invoer, ontsnappen bij uitvoer.
  • Voeg eenheden- en integratietests toe die de saniterings-/ontsnappingslogica in renderingspaden bevestigen.
  • Overweeg een geautomatiseerde beveiligingsscan als onderdeel van uw CI-pijplijn om niet-gemanipuleerde uitvoer of potentiële XSS-kwetsbaarheden op te sporen.
  • Bied documentatie over mogelijkheden en vermijd het vertrouwen op grote rolcapaciteiten wanneer een plugin bewerkingsfuncties blootstelt.
  • Onderhoud een transparant proces voor het openbaar maken van kwetsbaarheden en bied tijdige patches aan.

Waarom routinematige monitoring belangrijk is (en wat te monitoren)

Monitor:

  • Admingebied POST's en REST-verzoeken, vooral naar eindpunten die termen, menu's en plugininstellingen aanmaken/wijzigen.
  • Creatie- en wijzigingsgebeurtenissen voor term-, optie- en postmeta-records.
  • Ongebruikelijke inhoud die HTML-tags bevat in velden waar u platte tekst verwacht.
  • Inlogpogingen (succes en mislukkingen) en inlogpogingen vanaf nieuwe IP-adressen.
  • WAF-waarschuwingen met betrekking tot geblokkeerde payloads of regeltriggers.

Combineer geautomatiseerde monitoring met periodieke handmatige beoordelingen voor de hoogste effectiviteit.

Hoe WP‑Firewall helpt (inclusief de gratis optie)

Bij WP‑Firewall werken we met de mindset van gelaagde bescherming: patchen, verharding, detectie en snelle mitigatie. Onze beheerde firewallservice biedt:

  • Beheerde WAF-regels en virtueel patchen om te verdedigen tegen bekende kwetsbaarheden van plugins en thema's.
  • Malware-scanning en site-monitoring om abnormale activiteit te detecteren.
  • Incidentprocedures en begeleide remediatie voor geïnfecteerde of gecompromitteerde sites.

Begin met het gratis basisplan:

  • Essentiële bescherming: beheerde firewall, onbeperkte bandbreedte, WAF, malware-scanner en mitigatie van OWASP Top 10-risico's — zonder kosten.
  • Als je automatische malwareverwijdering en eenvoudige IP-blokkering/witlisting nodig hebt, is ons Standaardplan betaalbaar.
  • Voor teams en bureaus die geautomatiseerde virtuele patching en maandelijkse beveiligingsrapportage nodig hebben, biedt het Pro-plan geavanceerde controles en beheerde diensten.

Krijg onmiddellijke, kosteloze basisbescherming voor je WordPress-site:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Begin vandaag nog met het beschermen van je site met het WP‑Firewall Gratis Plan

Als je een WordPress-site beheert en een pragmatische, laagdrempelige manier wilt om een beschermende laag toe te voegen terwijl je oplossingen toepast en je omgeving versterkt, biedt het WP‑Firewall Gratis plan essentiële beheerde firewallbescherming, een WAF, onbeperkte bandbreedte en malware-scanning zonder kosten. Dit biedt een belangrijke mitigatielaag voor kwetsbaarheden zoals de opgeslagen XSS die hier wordt besproken: virtuele patching en blokkering van voor de hand liggende payloads kunnen je tijd geven om plugins bij te werken, redacteursaccounts te auditen en een zorgvuldige opschoning uit te voeren. Meld je aan en bescherm je site nu:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Veelgestelde vragen (snelle antwoorden)

Q: Als ik een admin ben, moet ik wachtwoorden voor alle gebruikers wijzigen?
A: Als je bewijs van compromittering vindt, reset dan de inloggegevens voor accounts die mogelijk zijn getroffen (redacteuren en admins). Forceer wachtwoordresets en maak sessies ongeldig (WordPress ondersteunt het vervallen van andere sessies).

Q: Kan ik op een WAF vertrouwen in plaats van plugins bij te werken?
A: Nee. Een WAF is een mitigatielaag die het risico kan verminderen, maar het vervangt niet het oplossen van de onderliggende onveilige code. Werk altijd bij naar de gepatchte plugin en volg veilige coderingspraktijken.

Q: Zijn zoek-en-vervangoplossingen veilig voor het verwijderen van kwaadaardige inhoud?
A: Alleen als je duidelijk begrijpt wat je verandert. Blind massaal vervangen kan legitieme HTML of gegevens breken. Maak altijd een back-up voordat je bulk DB-bewerkingen uitvoert en test op een staging-kopie.

Q: Hoe kan ik testen of mijn site nog steeds kwetsbaar is na de upgrade?
A: Werk de plugin bij naar de gepatchte versie en voer dezelfde tests opnieuw uit die oorspronkelijk het probleem detecteerden (zonder gebruik te maken van proof-of-concept exploit payloads op productie). Controleer of eerder verdachte invoer nog steeds wordt uitgevoerd, bevestig dat de uitvoer correct is ontsnapt en zorg ervoor dat caches zijn geleegd.

Eindchecklijst — wat nu te doen (samenvatting)

  • Werk de plugin onmiddellijk bij naar versie 1.0.9 (of later).
  • Als een update niet meteen mogelijk is: deactiveer de plugin en beperk de toegang op redacteursniveau.
  • Doorzoek je database naar opgeslagen scriptachtige payloads in termen, menulabels, pluginopties en postmeta.
  • Maak alle caches (server, CDN, plugin) leeg na remediation.
  • Draai inloggegevens voor hoogrisicogebruikers en handhaaf MFA.
  • Plaats een WAF/beheerde firewall voor je site — begin met de gratis beschermingsoptie om een extra laag toe te voegen terwijl je opruimt.
  • Scan op malware en backdoors, en herstel indien nodig vanaf een schone back-up.
  • Neem strengere maatregelen voor het controleren en versterken van plugins om toekomstige risico's te verminderen.

Opgeslagen XSS blijft een belangrijke vector die door aanvallers wordt uitgebuit, omdat zodra kwaadaardige scripts zijn opgeslagen, ze snel kunnen worden gebruikt om een site tegen bezoekers en beheerders te wapenen. De combinatie van tijdige updates, toegang tot de minste privileges, output escaping en beschermende WAF-regels vermindert het risico aanzienlijk. Als je verantwoordelijk bent voor een WordPress-site die deze plugin gebruikt, beschouw dit dan als een prioriteit: patch, audit en bescherm — en als je een eenvoudige manier wilt om onmiddellijke mitigatie toe te voegen terwijl je werkt, biedt het WP‑Firewall Free-plan je essentiële beheerde bescherming om de blootstelling vandaag te verminderen: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

wordpress security update banner

Ontvang WP Security Weekly gratis 👋
Meld je nu aan!!

Meld u aan en ontvang wekelijks de WordPress-beveiligingsupdate in uw inbox.

Wij spammen niet! Lees onze privacybeleid voor meer informatie.

Neem contact met ons op om een gratis WordPress-beveiligingsconsult in te plannen

Neem contact met ons op

WP-Firewall
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Functies Prijzen Blog Login
Privacybeleid Servicevoorwaarden Documenten Partner

© 2026 WP-Firewall™