GłównaWP Dziecięce Raporty Kontrola Dostępu Wrażliwość//Opublikowano 2026-04-07//CVE-2026-4299

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

MainWP Child Reports Heartbeat Vulnerability

Nazwa wtyczki Raporty MainWP Child
Rodzaj podatności Wrażliwość Kontroli Dostępu
Numer CVE CVE-2026-4299
Pilność Niski
Data publikacji CVE 2026-04-07
Adres URL źródła CVE-2026-4299

Jak działa luka w kontroli dostępu Heartbeat w raportach MainWP Child — oraz praktyczne kroki, aby chronić swoje strony

Autor: Zespół ds. bezpieczeństwa WP-Firewall

Opublikowany: 2026-04-07

Tagi: Bezpieczeństwo WordPress, WAF, Heartbeat API, podatność wtyczki, reakcja na incydenty

Streszczenie: Niedawny problem z naruszeniem kontroli dostępu w wtyczce raportów MainWP Child (wersje <= 2.2.6, CVE-2026-4299, naprawione w 2.3) ujawnia wrażliwe dane raportowe za pośrednictwem WordPress Heartbeat API dla kont o niskich uprawnieniach (rola subskrybenta). Ten post wyjaśnia ryzyko, jak problem działa na poziomie technicznym, jak napastnicy mogą to wykorzystać oraz krok po kroku wskazówki dotyczące łagodzenia i wykrywania, które możesz zastosować natychmiast — w tym tymczasowe wirtualne poprawki, które możesz zastosować z WP-Firewall podczas aktualizacji.

Spis treści

  • Co się stało (krótkie)
  • Dlaczego to ma znaczenie dla stron WordPress
  • Analiza techniczna — Heartbeat API, brak autoryzacji i wpływ
  • Scenariusze ataków i ryzyko w rzeczywistym świecie
  • Natychmiastowe łagodzenia (wykonywalne kroki, które możesz zastosować teraz)
  • Jak zapora aplikacji internetowej (WAF) pomaga — zalecane zasady i sygnatury
  • Utwardzanie, monitorowanie i kontrole po poprawkach
  • Przykładowe fragmenty kodu (bezpieczne, defensywne)
  • Gdy nie możesz zaktualizować — podręcznik awaryjny
  • O WP-Firewall i jak pomagamy chronić Twoją stronę
  • Chroń swoją stronę już dziś — szczegóły darmowego planu

Co się stało (krótkie)

W wtyczce raportów MainWP Child odkryto lukę w kontroli dostępu, która dotyczy wersji do 2.2.6 włącznie. Wtyczka ujawniała punkt końcowy (uzyskiwany za pośrednictwem mechanizmu WordPress Heartbeat API), który zwracał dane raportu lub inne informacje bez weryfikacji uprawnień wywołującego. Umożliwiło to uwierzytelnionym użytkownikom z rolą subskrybenta dostęp do danych, których nie powinni widzieć. Problem został naprawiony w wersji 2.3.

To klasyczny przykład braku kontroli autoryzacji: kod akceptował żądanie, przetwarzał je i zwracał potencjalnie wrażliwe treści bez weryfikacji, czy użytkownik składający żądanie miał uprawnienia do przeglądania tych treści.

Dlaczego to ma znaczenie dla stron WordPress

  • Rola subskrybenta jest powszechna i często używana dla użytkowników o niskich uprawnieniach (członkowie, komentatorzy, subskrybenci listy mailingowej). Na wielu stronach konta subskrybentów są tworzone przez odwiedzających, czasami w sposób zautomatyzowany lub półzautomatyzowany.
  • Luka, która pozwala użytkownikom o niskich uprawnieniach uzyskać dostęp do danych uprzywilejowanych, oznacza, że każdy atakujący, który może stworzyć konto subskrybenta — lub skompromitować dane uwierzytelniające subskrybenta — może zbierać informacje ze strony.
  • Ujawnienie informacji, nawet jeśli wydaje się niewielkie, umożliwia dalsze ataki (np. ukierunkowane phishingi, próby eskalacji uprawnień, inżynierię społeczną lub rozpoznanie w celu większych kompromisów).
  • Heartbeat API jest używane przez rdzeń WordPressa i wtyczki do komunikacji w tle. Gdy wtyczka ujawnia wrażliwe dane za pośrednictwem tego kanału bez solidnej autoryzacji, powierzchnia ataku staje się uwierzytelnioną bazą użytkowników strony.

Chociaż ten konkretny problem jest oceniany jako niski/średni (CVSS 5.3) w opublikowanych publicznych poradnikach, powaga podatności nie jest jedynym czynnikiem do rozważenia: możliwość wykorzystania, obecność wielu kont subskrybentów oraz potencjał automatyzacji sprawiają, że nawet problemy o “niższej” powadze są warte szybkiej naprawy.

Analiza techniczna — Heartbeat API, brak autoryzacji i wpływ

Tło dotyczące API Heartbeat

  • WordPress Heartbeat zapewnia prosty mechanizm do okresowej komunikacji w stylu AJAX między przeglądarką a serwerem. Zwykle korzysta z admin-ajax.php lub REST API i jest używany do automatycznego zapisywania postów, blokowania sesji oraz telemetrii specyficznej dla wtyczek.
  • Żądania Heartbeat są wysyłane z przeglądarki uwierzytelnionego użytkownika i zawierają ciasteczka oraz tokeny uwierzytelniające; dlatego użytkownik o niskich uprawnieniach może wywołać te żądania z własnej sesji.

Brak autoryzacji w kodzie wtyczki

  • W bezpiecznych ścieżkach kodu każda akcja, która zwraca wrażliwe treści, musi:
    1. Zweryfikować źródło żądania (nonce lub uprawnienie),
    2. Potwierdzić, że uwierzytelniony użytkownik ma wymagane uprawnienie (np. manage_options, edit_others_posts, read_private_pages),
    3. Oczyścić wszelkie dane wejściowe i ograniczyć wyjście do pól potrzebnych przez wnioskodawcę.
  • Podatność w tej wtyczce wynikała z punktu końcowego, który:
    • Akceptował żądania Heartbeat od zalogowanych użytkowników,
    • Nie przeprowadzał poprawnie sprawdzenia nonce ani sprawdzenia uprawnień,
    • Zwracał więcej informacji niż minimum potrzebne (ujawnienie informacji).

Jakie dane mogą być ujawnione?

  • Generowane raporty, metadane witryny, identyfikatory wewnętrzne lub linki do innych zasobów, które powinny być poufne.
  • W zależności od API wtyczki i sposobu, w jaki witryna z niego korzysta, dane mogą obejmować informacje o użytkownikach, dane diagnostyczne lub zebrane raporty, które pomagają atakującemu w mapowaniu topologii witryny lub identyfikowaniu celów.

Dlaczego subskrybenci są problemem

  • Konta subskrybentów są często liczne i mogą być tworzone przez użytkowników lub boty.
  • Każdy publiczny proces rejestracji, który pozwala na tworzenie subskrybentów, zwiększa ryzyko: atakujący może stworzyć wiele kont i programowo żądać podatnego punktu końcowego Heartbeat, aby zbierać dane.

Scenariusze ataków i ryzyko w rzeczywistym świecie

Scenariusz 1 — Rozpoznanie w skali

  • Atakujący rejestruje wiele kont subskrybentów (lub ponownie wykorzystuje istniejące skompromitowane subskrybenty).
  • Automatyzują żądania Heartbeat z każdego konta i zbierają zwrócone dane.
  • Zgromadzony wynik ujawnia strukturę witryny, treści raportów lub identyfikatory, które pomagają w tworzeniu dalszych ataków (phishing, inżynieria społeczna, identyfikacja użytkowników administracyjnych).

Scenariusz 2 — Ukierunkowana inżynieria społeczna lub eskalacja uprawnień

  • Atakujący wykorzystuje ujawnione dane do tworzenia przekonujących e-maili phishingowych do administratorów witryny.
  • Informacje z raportów mogą ujawniać adresy e-mail administratorów, wersje wtyczek lub integracje zewnętrzne — wszystko to przydatne w ukierunkowanych atakach.

Scenariusz 3 — Łańcuchowe wykorzystanie

  • Ujawnienie informacji prowadzi do wykrycia innej znanej podatności (wtyczka lub motyw).
  • Atakujący wykorzystuje ujawnione dane do wykorzystania tej kolejnej podatności i osiągnięcia pełnego kompromisu.

Nawet jeśli sama podatność nie umożliwia zdalnego wykonania kodu, znacznie obniża koszty wejścia atakującego dla bardziej wpływowych ataków.

Natychmiastowe łagodzenia (wykonywalne kroki, które możesz zastosować teraz)

Jeśli zarządzasz witrynami WordPress, wykonaj te czynności w kolejności priorytetowej:

  1. Zaktualizuj wtyczkę (zalecane, główna poprawka)
    • Natychmiast zaktualizuj MainWP Child Reports do wersji 2.3 lub nowszej. To jest kanoniczna poprawka, która zamyka brakującą kontrolę autoryzacji.
  2. Jeśli nie możesz zaktualizować natychmiast — wyłącz wtyczkę
    • Tymczasowo dezaktywuj wtyczkę na dotkniętych witrynach, aż będziesz mógł zaktualizować. To eliminuje powierzchnię ataku.
  3. Użyj WP-Firewall, aby zastosować szybkie wirtualne poprawki
    • Utwórz regułę, która blokuje lub ogranicza żądania Heartbeat, które w szczególności interagują z punktami końcowymi tej wtyczki. Przykładowa logika reguły:
      • Zablokuj żądania do admin‑ajax.php, gdy żądanie zawiera parametr akcji heartbeat wtyczki (np. ?action=PLUGIN_ACTION_NAME) i agent użytkownika lub cookie wskazuje na sesję subskrybenta (lub zastosuj ogólne blokowanie z nieautoryzowanych adresów IP, jeśli to odpowiednie).
    • Zastosuj ograniczenie liczby żądań do punktów końcowych Heartbeat, aby zapobiec masowemu automatycznemu zbieraniu danych.
  4. Ogranicz API Heartbeat
    • Rozważ zmniejszenie częstotliwości Heartbeat lub wyłączenie Heartbeat dla nieautoryzowanych użytkowników (niektóre wtyczki i filtry na to pozwalają).
    • Na przykład, użyj lekkiej wtyczki lub filtra, aby ograniczyć częstotliwość heartbeat do raz na 60 sekund lub wyłącz wywołania heartbeat specyficzne dla wtyczki, aż zostaną naprawione.
  5. Przejrzyj konta użytkowników
    • Przeprowadź audyt ról użytkowników i usuń niepotrzebne konta subskrybentów.
    • Zresetuj hasła dla kont, które wyglądają podejrzanie lub zostały utworzone niedawno masowo.
  6. Wzmocnij obszar administracyjny i logowanie.
    • Wymuszaj silne hasła i MFA dla uprzywilejowanych kont.
    • Ogranicz możliwość rejestracji, jeśli Twoja strona nie potrzebuje otwartej rejestracji.
  7. Monitoruj logi i aktywność
    • Szukaj nietypowych wzorców Heartbeat: powtarzające się wywołania do admin-ajax.php od subskrybentów, powtarzające się żądania z tym samym parametrem akcji lub skoki w żądaniach w tle po utworzeniu konta.
    • Ustaw alerty na nagły wzrost automatycznych żądań pochodzących od subskrybentów.
  8. Tymczasowe sprawdzenie oparte na kodzie (jeśli czujesz się komfortowo).
    • Dodaj mały fragment kodu, który weryfikuje obecne możliwości użytkownika przed pozwoleniem na kontynuację logiki wtyczki. Umieść to w mu-wtyczce lub wtyczce specyficznej dla witryny, jeśli nie możesz natychmiast zaktualizować wtyczki. (Zobacz przykładowy bezpieczny fragment poniżej.)

Jak zapora aplikacji internetowej (WAF) pomaga — zalecane zasady i sygnatury

WAF daje Ci szybkie, scentralizowane kontrole, które możesz wdrożyć w wielu witrynach. WP-Firewall oferuje wirtualne łatanie i tworzenie niestandardowych reguł, abyś mógł się bronić, czekając na poprawki od dostawcy.

Zalecane działania WAF w tej sprawie.

  • Wirtualna łatka (odmowa według wzoru).
    • Zablokuj żądania, w których:
      • Ścieżka URL to /wp-admin/admin-ajax.php (lub odpowiednik admin-ajax witryny),
      • I parametr zapytania action równa się akcji heartbeat wtyczki (jeśli znana),
      • I rola uwierzytelniona jest mniejsza niż wymagana (jeśli Twój WAF może sprawdzać ciasteczka lub tokeny sesji).
    • Jeśli nie znasz ciągu akcji wtyczki, zbuduj ściślejszą regułę, dopasowując wzorce ładunku żądania, które produkuje tylko wtyczka (np. konkretne klucze JSON używane tylko przez wtyczkę).
  • Ograniczenie liczby żądań
    • Wymuszaj limit żądań Heartbeat na sesję użytkownika (na przykład 1 żądanie co 30 sekund), aby masowe zbieranie danych było kosztowne lub niemożliwe.
  • Blokuj anonimowe i niskoprzywilejowane nadużycia.
    • Blokuj żądania do uprzywilejowanych punktów końcowych z kont, które są świeżo zarejestrowane lub które pasują do podejrzanych wzorców IP/geolokalizacji.
    • Tymczasowo blokuj tworzenie kont z krajów lub zakresów IP, jeśli zauważysz nadużycia masowego tworzenia kont.
  • 17. Utwórz powiadomienia dla zablokowanych zdarzeń pasujących do powyższych wzorców. To daje wgląd w próby wykorzystania.
    • Spraw, aby WAF generował alerty dla zablokowanych prób, abyś mógł przeprowadzić dochodzenie i, jeśli to konieczne, podjąć dalsze działania kryminalistyczne.

Przykład reguły WAF (pseudo-syntax)
> Odrzuć, gdy (request.path == ‘/wp-admin/admin-ajax.php’ I request.params[‘action’] ~ /child_reports|reports_heartbeat/i I request.user_role == ‘subscriber’)

Uwaga: dokładne nazwy akcji różnią się w zależności od wersji wtyczki. Jeśli nie znasz dokładnej nazwy akcji, pracuj z konserwatywnymi sygnaturami (specyficzna struktura odpowiedzi lub unikalne pola żądania), aby uniknąć fałszywych pozytywów.

Dlaczego wirtualne łatanie pomaga

  • Łatanie za pomocą WAF zyskuje czas. Zamiast czekać na ręczne zaktualizowanie każdej witryny, reguły WAF mogą centralnie blokować próby wykorzystania, drastycznie zmniejszając możliwości wykorzystania metodą brute-force.

Utwardzanie, monitorowanie i kontrole po poprawkach

Po załataniu (lub zastosowaniu środków zaradczych) wykonaj te kroki, aby zapewnić integralność i odporność witryny:

  1. Zweryfikuj aktualizację wtyczki
    • Potwierdź, że witryna działa na MainWP Child Reports 2.3+.
    • Wyczyść pamięci podręczne i uruchom ponownie pracowników PHP, jeśli to konieczne.
  2. Przeprowadź testy funkcjonalne po aktualizacji
    • Zweryfikuj funkcjonalność wtyczki dla legalnych przepływów pracy. Upewnij się, że wtyczka działa zgodnie z oczekiwaniami dla administratorów i redaktorów, jednocześnie odmawiając dostępu do wrażliwych treści subskrybentom.
  3. Skanuj w poszukiwaniu wskaźników nadużyć
    • Uruchom skany złośliwego oprogramowania i integralności. Szukaj nietypowych plików, zaplanowanych zadań (cron) lub nowych administratorów, którzy pojawili się w czasie narażenia.
  4. Przechowywanie i analiza logów
    • Przechowuj logi przez co najmniej 90 dni, gdzie to możliwe; krzyżowo koreluj logi dostępu, logi WAF i logi aplikacji, aby sprawdzić, czy jakiekolwiek wykorzystanie miało miejsce przed zastosowaniem środków zaradczych.
  5. Resetowanie haseł i 2FA
    • Dla kont o wysokiej wartości (administratorzy, redaktorzy) wymuszaj zmiany haseł i włącz dwuskładnikowe uwierzytelnianie.
  6. Ujawnienie luk w zabezpieczeniach i dalsze działania ze strony dostawcy
    • Jeśli jesteś dostawcą usług lub agencją, poinformuj swoich klientów o podjętych środkach zaradczych i naprawczych.
  7. Ciągłe aktualizacje
    • Włącz automatyczne aktualizacje dla wtyczek tam, gdzie to możliwe, lub użyj zarządzanego procesu aktualizacji, aby zapewnić zastosowanie krytycznych poprawek w ramach SLA.

Przykładowe fragmenty kodu (bezpieczne, defensywne)

Poniżej znajdują się bezpieczne przykłady, które możesz dodać do specyficznej dla witryny wtyczki lub mu-wtyczki, aby wymusić sprawdzenie możliwości w żądaniach typu heartbeat. Są to środki defensywne i powinny zostać usunięte po zaktualizowaniu i zweryfikowaniu wtyczki.

Notatka: Nie wklejaj ładunków eksploitów ani nie podawaj szczegółowych instrukcji dotyczących eksploitów. Poniższy fragment demonstruje tylko defensywne sprawdzenia możliwości.

PHP (przykład mu-wtyczki defensywnej)

<?php;

Kilka uwag:

  • Zastąp nazwy akcji w $sensitive_actions rzeczywistą akcją wtyczki, jeśli masz te dane.
  • Ten kod blokuje dostęp nie-administratorów do tych punktów końcowych i zatrzyma obsługę wtyczki przed zwracaniem danych użytkownikom o niskich uprawnieniach.
  • Dokładnie przetestuj w środowisku testowym przed wdrożeniem na produkcję.

Gdy nie możesz zaktualizować — podręcznik awaryjny

Jeśli zarządzasz wieloma witrynami lub masz klientów, którzy nie mogą szybko aktualizować, postępuj zgodnie z tym podręcznikiem:

  1. Zastosuj regułę WAF, która blokuje podatną akcję wtyczki (wirtualna poprawka).
  2. Wdróż fragment Emergency Heartbeat Guard jako mu-wtyczkę na dotkniętych witrynach (centralnie za pośrednictwem narzędzi zarządzających).
  3. Wyłącz automatyczne rejestracje lub kwarantannuj nowo utworzone konta do ręcznej weryfikacji.
  4. Ogranicz częstotliwość API Heartbeat globalnie (np. za pomocą reguły WP-Firewall lub limitów szybkości po stronie serwera).
  5. Przeprowadź audyt kont witryn i zresetuj dane logowania dla użytkowników o wysokich uprawnieniach.
  6. Kontynuuj monitorowanie dzienników w poszukiwaniu anomalii i dokumentuj wszelkie podejrzane próby dostępu.

Użycie kombinacji wirtualnych poprawek WAF i kodu po stronie serwera może chronić witryny, aż poprawki dostawcy zostaną zastosowane lub w pełni wdrożone.

Wykrywanie i wskaźniki kompromitacji (IoCs)

Szukaj następujących wzorców w dziennikach dostępu i WAF:

  • Wiele odrębnych kont (rola subskrybenta) wykonujących powtarzające się wywołania do admin-ajax.php z nietypowymi parametrami.
  • Nagły wzrost ruchu w API Heartbeat z niedawno utworzonych sesji zalogowanych.
  • Żądania zwracające HTTP 200 z nietypowo dużymi ładunkami z admin-ajax.php dla sesji subskrybenta.
  • Nietypowe sekwencje żądań, w których konta subskrybentów wywołują punkty końcowe, które normalnie wywołują tylko administratorzy.
  • Nowi użytkownicy administratora, nieoczekiwane zadania cron lub zmodyfikowane pliki wtyczek po oknie ekspozycji na podatność.

Jeśli wykryjesz którykolwiek z powyższych:

  • Zbieraj logi i zachowuj dowody kryminalistyczne,
  • Natychmiast blokuj obraźliwe adresy IP i dezaktywuj zaangażowane konta,
  • Przeprowadź pełne skanowanie integralności witryny i sprawdź pod kątem webshelli lub nieautoryzowanych zmian,
  • Powiadom odpowiednich interesariuszy i przywróć z czystych kopii zapasowych, jeśli kompromitacja zostanie potwierdzona.

O WP-Firewall i jak pomagamy chronić Twoją stronę

W WP-Firewall oferujemy zarządzany zaporę aplikacji WordPress, możliwości wirtualnego łatania, skanowanie złośliwego oprogramowania i łagodzenie ryzyk OWASP Top 10. Nasza architektura została zaprojektowana, aby zapewnić właścicielom witryn szybką ochronę podczas stosowania poprawek dostarczonych przez dostawców. W przypadku podatności, takiej jak błąd kontroli dostępu do raportów MainWP Child Heartbeat, WP-Firewall pomaga w trzech konkretnych sposobach:

  1. Wirtualne łatanie i niestandardowe zasady — możemy stworzyć defensywną zasadę dla punktu końcowego Heartbeat i wdrożyć ją natychmiast na Twoich witrynach, blokując próby wykorzystania.
  2. Zautomatyzowane skanowanie i monitorowanie — ciągłe skanowanie pod kątem znanych podatnych wersji wtyczek i nietypowych wzorców użycia Heartbeat.
  3. Wsparcie w odpowiedzi na incydenty — wskazówki i narzędzia do łagodzenia ekspozycji, audyt logów i bezpieczne odzyskiwanie.

Jeśli hostujesz wiele witryn WordPress lub zarządzasz klientami, scentralizowane zasady WAF pozwalają szybko chronić całą flotę — bez czekania na ręczne aktualizacje na każdej witrynie.

Chroń swoją stronę już dziś — Zacznij od darmowego planu WP-Firewall

Tytuł: Zacznij chronić swoją witrynę WordPress z WP-Firewall Free

Uzyskaj natychmiastową, niezbędną ochronę bez kosztów. Nasz bezpłatny plan podstawowy obejmuje zarządzaną zaporę, nielimitowaną przepustowość, zaporę aplikacji internetowej (WAF), skanowanie złośliwego oprogramowania i obrony skoncentrowane na OWASP Top 10 — wszystko, czego potrzebujesz, aby zablokować powszechne wzorce ataków i zyskać spokój umysłu podczas łatania wtyczek i zaostrzania konfiguracji. Zarejestruj się w planie WP-Firewall Free tutaj: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Jeśli potrzebujesz zautomatyzowanego usuwania złośliwego oprogramowania, zaawansowanych kontroli IP, miesięcznych raportów bezpieczeństwa lub automatycznego wirtualnego łatania na wielu witrynach, zapoznaj się z naszymi planami Standard i Pro — są one zaprojektowane dla agencji i zespołów.)

Zakończenie — praktyczne przypomnienia

  • Łataj niezwłocznie. Aktualizacja do wersji dostarczonej przez dostawcę (2.3+) jest jedynym trwałym rozwiązaniem zgłoszonego problemu.
  • Używaj warstwowych zabezpieczeń. WAF i środki wzmacniające zmniejszają ryzyko, nawet gdy łaty są opóźnione.
  • Monitoruj i ucz się. Zachowaj logi i okresowe przeglądy bezpieczeństwa jako część swojej rutynowej konserwacji.
  • Skaluj ochronę. Dla agencji i hostów, scentralizowane zasady WAF i skanowanie podatności to najszybszy sposób na zmniejszenie ryzyka na wielu stronach.

Jeśli potrzebujesz pomocy w wdrażaniu któregokolwiek z powyższych środków zaradczych, lub chcesz uzyskać pomoc w wirtualnym łatach i analizie logów, nasz zespół bezpieczeństwa WP-Firewall jest dostępny, aby pomóc. Ochrona WordPressa to zawsze proces — pomagamy uczynić go przewidywalnym i zarządzalnym.

Autor: Zespół Bezpieczeństwa WP-Firewall — Doświadczeni inżynierowie bezpieczeństwa WordPress i reagujący na incydenty, skoncentrowani na praktycznej, wykonalnej ochronie dla właścicieli stron i agencji.

Prawne: Ten post dostarcza defensywnych wskazówek i bezpiecznych fragmentów kodu przeznaczonych do naprawy. Celowo unika szczegółów dotyczących exploitów. Zawsze testuj zmiany w środowisku testowym przed zastosowaniem ich w produkcji.

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.

Skontaktuj się z nami, aby zaplanować bezpłatną konsultację dotyczącą bezpieczeństwa WordPress

Skontaktuj się z nami

Zapora sieciowa WP
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Hongkong

Cechy Wycena Blog Login
Polityka prywatności Warunki korzystania z usługi Dokumenty Przyłączać

© 2026 WP-Firewall™