
| Nazwa wtyczki | Formularz rezerwacji WP Time Slots |
|---|---|
| Rodzaj podatności | Ataki ukierunkowane |
| Numer CVE | CVE-2026-48882 |
| Pilność | Wysoki |
| Data publikacji CVE | 2026-06-04 |
| Adres URL źródła | CVE-2026-48882 |
Pilne: Wstrzyknięcie SQL w formularzu rezerwacji WP Time Slots (≤ 1.2.50) — Co właściciele stron WordPress muszą teraz zrobić
Wykryto podatność na wstrzyknięcie SQL o wysokim stopniu zagrożenia (CVE-2026-48882) w wtyczce WordPress “WP Time Slots Booking Form”, która dotyczy wersji do 1.2.50 włącznie. Dostawca wydał poprawioną wersję 1.2.51. Podatność została oceniona na CVSS 8.5 i sklasyfikowana jako OWASP A3: Wstrzyknięcie.
Jesteśmy zespołem stojącym za WP-Firewall. W tym poście wyjaśniamy dokładnie, co ta podatność oznacza dla Ciebie, jak napastnicy mogą ją wykorzystać, jakie natychmiastowe kroki powinieneś podjąć, jak wykryć, czy Twoja strona była celem lub została skompromitowana, oraz długoterminowe wskazówki dla deweloperów i operacji, aby zapobiec podobnym problemom.
To długi, praktyczny przewodnik napisany z perspektywy eksperta ds. bezpieczeństwa WordPress — bez marketingowego bełkotu. Przeczytaj sekcje, które Cię dotyczą, i postępuj zgodnie z listą kontrolną na końcu.
Streszczenie wykonawcze (szybkie, praktyczne)
- Krytyczne wstrzyknięcie SQL (SQLi) wpływające na wtyczkę WP Time Slots Booking Form w wersjach ≤ 1.2.50 pozwala napastnikowi z co najmniej kontem na poziomie subskrybenta manipulować zapytaniami do bazy danych.
- Poprawiona wersja: 1.2.51. Zaktualizuj natychmiast.
- Jeśli nie możesz zaktualizować od razu, zastosuj łagodzenie (wirtualna łatka przez WAF, wyłącz wtyczkę lub ogranicz dostęp).
- Ta podatność jest szczególnie niebezpieczna, ponieważ wtyczki do rezerwacji i kalendarzy są zainstalowane na wielu stronach, a automatyczne skanowanie/wykorzystanie jest prawdopodobne.
- Jeśli Twoja strona wykazuje nietypowe zachowanie (nowi użytkownicy administratora, zmodyfikowana zawartość, dziwne połączenia wychodzące lub dziwne rekordy w bazie danych), załóż możliwą kompromitację i działaj odpowiednio.
Co się stało: podatność w prostych słowach
W wtyczce WP Time Slots Booking Form (wersje ≤ 1.2.50) znaleziono podatność na wstrzyknięcie SQL. Wstrzyknięcie SQL oznacza, że dane wprowadzone przez użytkownika są wstawiane do zapytań SQL bez odpowiedniej walidacji lub parametryzacji, co pozwala napastnikowi zmienić strukturę zapytania. W zależności od wykorzystanego zapytania może to prowadzić do wycieku danych, modyfikacji zawartości bazy danych, tworzenia nieautoryzowanych kont administratorów, usuwania danych lub eskalacji uprawnień.
Publiczna informacja przypisała CVE-2026-48882 do tego problemu. Dostawca wydał łatkę w wersji 1.2.51; ta aktualizacja zawiera poprawki, które odpowiednio oczyszczają i parametryzują problematyczne zapytania (lub w inny sposób usuwają podatne ścieżki kodu).
Kluczowe fakty:
- Dotknięta wtyczka: Formularz rezerwacji WP Time Slots
- Wersje podatne: ≤ 1.2.50
- Poprawiona wersja: 1.2.51
- Klasyfikacja: SQL Injection (OWASP A3)
- CVE: CVE-2026-48882
- CVSS: 8.5 (Wysoka)
- Wymagane uprawnienia do wykorzystania: Poziom subskrybenta (niskie uprawnienia)
Ponieważ wykorzystanie wymaga tylko konta o niskich uprawnieniach, automatyczne skanery i napastnicy o niskim wysiłku mogą badać i wykorzystywać strony na dużą skalę. To znacznie zwiększa pilność.
Dlaczego to jest niebezpieczne dla stron WordPress
- Wiele wtyczek rezerwacyjnych udostępnia formularze i punkty końcowe widoczne dla użytkowników (czasami z AJAX). Te punkty końcowe są często celem skanera automatycznego.
- Atakujący potrzebuje tylko konta z bardzo niskimi uprawnieniami (subskrybent), które jest łatwe do uzyskania na wielu stronach (publiczna rejestracja lub logowanie przez media społecznościowe lub inne integracje).
- SQLi może ujawniać zawartość bazy danych, w tym adresy e-mail użytkowników, hasła w postaci skrótu i konfigurację witryny. W niektórych przypadkach pozwala na modyfikację rekordów bazy danych (tylne drzwi, nowi użytkownicy administratora).
- Atakujący często łączą luki — SQLi w celu uzyskania poświadczeń, a następnie zdalne wykonanie kodu lub trwałe tylne drzwi.
- Masowe wykorzystanie: gdy dowód koncepcji jest publiczny, atakujący przeprowadzają skany na dużą skalę i kampanie wykorzystania.
Prawdopodobny wektor i przegląd techniczny (co muszą wiedzieć deweloperzy i zespoły bezpieczeństwa)
Wtyczki rezerwacyjne i czasowe zwykle mają:
- Punkty końcowe AJAX na froncie, które akceptują parametry (daty, identyfikatory slotów, klucze wyszukiwania).
- Punkty końcowe administracyjne i publiczne, które odczytują/zapisują rezerwacje.
- Zapytania do bazy danych, które filtrują według parametrów takich jak slot_id, data, provider_id itp.
Gdy deweloperzy niepoprawnie konstruują zapytania SQL — łącząc niesanitizowane parametry w ciągu zapytania — otwierają drzwi do wstrzyknięcia SQL. W WordPressie poprawne wzorce to:
- Użyj $wpdb->prepare() dla dynamicznego SQL
- Używaj przygotowanych zapytań i powiązań parametrów
- Rzutuj wartości numeryczne (int) i waliduj wartości enumerowane
- Użyj odpowiednich funkcji escape (esc_sql tylko do ucieczki fragmentów SQL, nie jako substytut dla przygotowanych instrukcji)
- Wprowadź kontrole nonce i kontrole uprawnień podczas modyfikacji stanu serwera
Wzorzec podatny na atak może wyglądać tak (niebezpieczny przykład — nie używaj):
// Niebezpieczne: nie używaj;
Bezpieczny wzorzec byłby:
// Bezpieczne: użyj prepare i rzutuj;
Na podstawie tego, jak ta klasa wtyczek zazwyczaj działa, podatny kod prawdopodobnie był punktem końcowym, w którym parametry ciągowe lub numeryczne były bezpośrednio dołączane do SQL bez prepare/rzutowania. Ponieważ wymagane były tylko uprawnienia subskrybenta, punkt końcowy był prawdopodobnie publicznie dostępny lub dostępny dla zarejestrowanych użytkowników.
Scenariusze wykorzystania
Atakujący może:
- Użyj zarejestrowanego konta subskrybenta (lub oszukaj użytkownika o niskim poziomie, aby opublikował złośliwą treść), aby wstrzyknąć ładunki SQL do parametrów akceptowanych przez punkty końcowe rezerwacji.
- Wyciągnij wrażliwe dane, takie jak wp_users.email, wp_users.user_pass (zahasłowane), wp_options lub dane rezerwacji/klienta.
- Zmodyfikuj bazę danych, aby utworzyć nowych użytkowników administratora lub zmienić role użytkowników.
- Wstrzyknij trwałą treść (złośliwe przekierowania, treści farmaceutyczne/spamowe) do wp_posts lub opcji.
- Użyj wyciągniętych poświadczeń, aby się zalogować i eskalować dalej (zainstalować tylne drzwi, utworzyć zadania zaplanowane, zmodyfikować motywy/wtyczki).
Ponieważ luka wymaga tylko konta na poziomie subskrybenta, atakujący może skalować ataki, używając tanich kont lub skompromitowanych kont o niskich uprawnieniach.
Wskaźniki zagrożenia (IoC) — na co zwracać uwagę teraz
Jeśli atakujący wykorzystał lukę, możesz zobaczyć:
- Nowe konta administratorów, których nie utworzyłeś (sprawdź wp_users i wp_usermeta).
- Nieoczekiwane posty lub strony (spam/farmaceutyczne/farmy backlinków).
- Zmiany w opcjach witryny (siteurl/home zmodyfikowane, nietypowe klucze opcji).
- Nieznane pliki PHP w katalogach motywów, wtyczek lub przesyłania (szczególnie pliki z zafałszowaną treścią).
- Nierozpoznane zadania zaplanowane (wp_options > wpisy cron).
- Połączenia wychodzące z witryny (nietypowe zapytania DNS lub żądania HTTP).
- Zwiększone CPU/IO lub nietypowe wzorce ruchu (szczyty do konkretnych punktów końcowych).
- Podejrzane zapytania do bazy danych zapisane w logach DB/audit (jeśli włączone).
- Logi błędów pokazujące błędy SQL lub dziwne logi zapytań.
Natychmiastowe kroki, jeśli zobaczysz coś z powyższego: załóż kompromitację, izoluj witrynę, wykonaj pełne kopie zapasowe (pliki + DB) i rozpocznij ograniczony przegląd kryminalistyczny lub przywróć z znanej czystej kopii zapasowej.
Natychmiastowe kroki łagodzące (co zrobić teraz)
Jeśli Twoja witryna używa wtyczki WP Time Slots Booking Form i działa w wersji ≤ 1.2.50, natychmiast wykonaj te kroki:
- Zaktualizuj wtyczkę do wersji 1.2.51 lub nowszej.
- To jest ostateczna poprawka. Aktualizacja powinna być pierwszym krokiem.
- Jeśli nie możesz dokonać aktualizacji natychmiast:
- Dezaktywuj wtyczkę, aż będziesz mógł ją zaktualizować, LUB
- Zablokuj dostęp do podatnych punktów końcowych (poprzez .htaccess, zasady Nginx lub panel sterowania hostingu), aby tylko zaufane adresy IP mogły się do nich dostać.
- Zastosuj wirtualne łatanie za pomocą swojego zapory aplikacji internetowej (WAF), jeśli jest dostępna — blokuj żądania zawierające znaki kontrolne SQL lub podejrzane wzorce do punktów końcowych rezerwacji i ogranicz parametry POST/GET do znanych bezpiecznych wzorców.
- Wymuś resetowanie haseł dla administratorów i innych uprzywilejowanych kont, jeśli podejrzewasz wykorzystanie; zmień klucze API i dane logowania do bazy danych, jeśli istnieją dowody na naruszenie.
- Kopia zapasowa: wykonaj pełną kopię zapasową (pliki + DB) i zachowaj ją offline w celach kryminalistycznych.
- Skanuj stronę: uruchom aktualny skaner złośliwego oprogramowania i sprawdzacz integralności plików.
- Sprawdź logi: logi serwera WWW, logi błędów PHP i logi DB w poszukiwaniu podejrzanej aktywności i zapytań.
- Jeśli zlokalizujesz kompromitację, izoluj stronę (wyłącz ją lub włącz tryb konserwacji) i skonsultuj się z profesjonalistą ds. bezpieczeństwa w celu oczyszczenia i analizy kryminalistycznej.
Jak WP-Firewall może pomóc (wirtualne łatanie i ochrona)
W WP-Firewall stosujemy dwa podejścia, gdy pojawia się poważna podatność, jak ta:
- Wirtualne łatanie (zasady WAF): nasz zespół opracowuje i wdraża zasady ochronne, które natychmiast blokują prawdopodobne żądania wykorzystania. Wirtualne łaty zmniejszają okno narażenia, podczas gdy aktualizujesz wtyczkę.
- Wykrywanie behawioralne: blokowanie nienormalnych wzorców (takich jak subskrybenci wielokrotnie uderzający w punkty końcowe tylko dla administratorów AJAX lub wartości parametrów z osadzonymi znakami meta SQL) zmniejsza zautomatyzowane ataki, które próbują ładunków SQLi.
Jeśli korzystasz z zarządzanego rozwiązania zapory/WAF, upewnij się, że zasady dotyczące wstrzyknięcia SQL i anomalii parametrów są włączone i aktualizowane. Jeśli nie możesz szybko zaktualizować wtyczki, wirtualne łatanie jest najszybszym sposobem na zmniejszenie ryzyka.
Uwaga: Wirtualne łaty to tymczasowe łagodzenia. Zmniejszają ryzyko, ale nie zastępują łaty dostawcy. Zawsze aktualizuj wtyczkę do wersji naprawionej, gdy będzie dostępna.
Jak potwierdzić, że Twoja strona nie jest podatna (sprawdzenia)
- Sprawdź wersję wtyczki:
- WordPress admin: Wtyczki > Zainstalowane wtyczki, lub
- Sprawdź plik readme folderu wtyczki lub nagłówek wtyczki, aby zweryfikować wersję.
- Jeśli wersja wtyczki ≤ 1.2.50, traktuj stronę jako podatną.
- Potwierdź, czy wtyczka ujawnia publicznie dostępne punkty końcowe:
- Szukaj punktów końcowych AJAX, które akceptują parametry (sprawdź pliki wtyczki pod kątem wp_ajax_, wp_ajax_nopriv_, punktów końcowych REST lub bezpośrednich obsługiwaczy formularzy).
- Wyszukaj kod pod kątem niebezpiecznych wzorców:
- Szukaj użyć $wpdb->get_results() lub $wpdb->query(), gdzie parametry są łączone w ciąg bez $wpdb->prepare().
- Przejrzyj ostatnie logi witryny w poszukiwaniu podejrzanego dostępu do punktów końcowych wtyczek.
- Dla hostów: uruchom automatyczny skaner, który weryfikuje obecność wskaźników CVE-2026-48882.
Jeśli nie jesteś pewien lub wolisz przegląd eksperta, skontaktuj się z dostawcą bezpieczeństwa WordPressa w celu szybkiej oceny.
Wskazówki dla deweloperów — naprawianie kodu w odpowiedni sposób
Jeśli jesteś deweloperem utrzymującym witryny lub samą wtyczkę, zastosuj te praktyki bezpiecznego kodowania:
- Używaj $wpdb->prepare() dla wszystkich dynamicznych SQL:
- Nigdy nie łącz surowych danych wejściowych użytkownika w zapytaniach.
- Przykład:
$id = isset($_REQUEST['id']) ? (int) $_REQUEST['id'] : 0; $row = $wpdb->get_row( $wpdb->prepare( "SELECT * FROM {$wpdb->prefix}my_table WHERE id = %d", $id ) ); - Waliduj dane wejściowe ściśle:
- Rzutuj wartości numeryczne (int), waliduj wartości enum za pomocą białych list, oczyszczaj ciągi za pomocą sanitize_text_field(), sanitize_email() itp.
- Ogranicz uprawnienia i używaj nonce:
- Weryfikuj nonce dla wszystkich akcji POST/modyfikujących.
- Sprawdź current_user_can( ‘capability’ ) przed wykonaniem działań.
- Najmniejsze uprawnienia dla użytkowników DB:
- Twój użytkownik DB WordPressa powinien mieć tylko te uprawnienia, których potrzebuje.
- Unikaj ujawniania administracyjnych punktów końcowych użytkownikom nieautoryzowanym lub o niskich uprawnieniach:
- Jeśli funkcjonalność musi być publiczna, przemyśl, co robi punkt końcowy i jak dane są pobierane.
- Używaj przygotowanych instrukcji lub funkcji WP do operacji CRUD:
- Użyj $wpdb->insert(), $wpdb->update() i $wpdb->delete() z odpowiednią sanitizacją tam, gdzie to możliwe.
- Przegląd kodu i SCA:
- Użyj analizy statycznej kodu i analizy składu oprogramowania w swoim CI, aby wcześnie wykrywać niebezpieczne wzorce.
- Rejestrowanie i monitorowanie:
- Rejestruj anomalne zapytania i zachowanie użytkowników. Użyj scentralizowanego logowania i alertów.
Te kroki zapobiegają SQLi i innym wadom opartym na wstrzykiwaniu.
Odzyskiwanie: co zrobić, jeśli uważasz, że Twoja strona została wykorzystana
- Natychmiast wyłącz stronę lub włącz tryb konserwacji, aby zatrzymać dalsze szkody podczas badania.
- Wykonaj pełną kopię zapasową forensyczną (pliki i DB) przed wprowadzeniem zmian.
- Zmień wszystkie hasła i rotuj sekrety:
- konta wp-admin, SFTP/SSH, panel hostingowy, hasło użytkownika bazy danych, klucze API.
- Skanuj w poszukiwaniu złośliwych plików:
- Sprawdź motyw, wtyczki, katalogi przesyłania pod kątem nieznanych plików PHP lub zmodyfikowanych znaczników czasu.
- Szukaj zafałszowanego kodu (base64_decode, gzinflate, eval z konkatenacją zmiennych).
- Sprawdź bazę danych pod kątem podejrzanych wpisów:
- wp_users dla nieznanych kont, wp_options dla złośliwych modyfikacji siteurl/home lub nielegalnych zadań cron, wp_posts dla treści spamowych.
- Przywróć z czystej kopii zapasowej, jeśli jest dostępna i znana jako dobra.
- Jeśli nie możesz przywrócić, przeprowadź ręczne czyszczenie i ponownie zainstaluj rdzeń, motyw i wtyczki z nowych kopii z WordPress.org lub źródeł dostawcy.
- Zaangażuj specjalistę ds. bezpieczeństwa, jeśli atak jest zaawansowany:
- Złożone tylne drzwi czasami przetrwają naiwne czyszczenie.
- Po czyszczeniu uważnie monitoruj ponowne zainfekowanie i ponownie rotuj wszystkie klucze i dane uwierzytelniające.
- Udokumentuj ustalenia do analizy po incydencie i przyszłej prewencji.
Jak hosty i agencje powinny reagować
- Powiadom klientów, którzy używają dotkniętej wtyczki i dostarcz krok po kroku instrukcje naprawcze.
- Oferuj tymczasowe wirtualne łatanie lub izolację dla klientów, którzy nie mogą zaktualizować się sami.
- Skanuj hostowanych klientów pod kątem podatnej wtyczki i nadaj priorytet stronom wysokiego ryzyka.
- Zapewnij pomoc w przywracaniu i cofnięciu zmian, jeśli strona została skompromitowana.
- Rozważ wdrożenie zautomatyzowanego systemu inwentaryzacji wtyczek/wersji i powiadamiania o wykrytych podatnych wersjach.
Długoterminowe najlepsze praktyki w celu zmniejszenia ryzyka podatności wtyczek
- Inwentaryzuj i redukuj rozprzestrzenienie wtyczek: instaluj tylko te wtyczki, które aktywnie używasz i weryfikuj je przed instalacją.
- Utrzymuj wtyczki, motywy i rdzeń WordPressa na bieżąco. Używaj automatycznych aktualizacji dla wydań zabezpieczeń, gdzie to możliwe.
- Użyj środowiska stagingowego do testowania aktualizacji przed wdrożeniem.
- Włącz zasadę najmniejszych uprawnień dla użytkowników WordPressa — nie przyznawaj subskrybentom więcej możliwości niż to konieczne.
- Używaj silnych haseł i uwierzytelniania wieloskładnikowego dla kont administracyjnych.
- Monitoruj logi i ustaw automatyczne powiadomienia o podejrzanym zachowaniu.
- Zastosuj zaporę aplikacji webowej (WAF) do wirtualnego łatania i ochrony w czasie rzeczywistym.
- Okresowo przeprowadzaj skany podatności i audyty bezpieczeństwa.
- Szkol deweloperów i administratorów w zakresie bezpiecznych praktyk kodowania WordPressa (przygotowane instrukcje, walidacja danych wejściowych, nonce, itp.).
- Utrzymuj czyste kopie zapasowe i regularnie testuj procedury odzyskiwania.
Przykładowa lista kontrolna — natychmiastowe działania w celu ochrony Twojej strony
- Sprawdź wersję wtyczki. Jeśli ≤ 1.2.50, zaktualizuj do 1.2.51 teraz.
- Jeśli nie możesz zaktualizować: dezaktywuj wtyczkę lub zablokuj dostęp do punktów końcowych wtyczki.
- Włącz zasady WAF, aby blokować próby wstrzykiwania SQL i podejrzane wzorce parametrów.
- Zrób kopię zapasową witryny (pliki + DB).
- Skanuj witrynę w poszukiwaniu wskaźników kompromitacji.
- Rotuj dane uwierzytelniające i zresetuj hasła administratora, jeśli wykryto podejrzaną aktywność.
- Przejrzyj konta użytkowników w poszukiwaniu nowych lub zmienionych kont administratorów.
- W przypadku naruszenia, izoluj, ogranicz i przeprowadź przegląd forensyczny.
Przydatny fragment kodu — bezpieczne zapytanie do bazy danych w WordPressie
global $wpdb;
Zawsze waliduj i rzutuj dane wejściowe, a następnie użyj $wpdb->prepare() z odpowiednimi miejscami na dane.
Nowy akapit dla klientów — zacznij chronić swoją stronę za darmo
Zabezpiecz swoją stronę WordPress już dziś z naszym darmowym planem ochrony
Jeśli chcesz szybkiej, praktycznej warstwy ochrony podczas weryfikacji i aktualizacji podatnych wtyczek, zarejestruj się w naszym darmowym planie Basic na WP‑Firewall. Plan Basic (darmowy) zapewnia podstawową zarządzaną ochronę zapory, nielimitowaną przepustowość, zaporę aplikacji internetowych (WAF), skanowanie złośliwego oprogramowania oraz łagodzenie ryzyk OWASP Top 10 — wszystko, czego potrzebujesz, aby drastycznie zmniejszyć narażenie podczas aktualizacji i czyszczenia. Rozpocznij swój darmowy plan tutaj: https://my.wp-firewall.com/buy/wp-firewall-free-plan/
(Późniejsze aktualizacje są bezproblemowe — nasze płatne plany dodają automatyczne usuwanie złośliwego oprogramowania, czarną/białą listę adresów IP, miesięczne raporty, automatyczne łatki wirtualne i usługi zarządzane, jeśli potrzebujesz większego wsparcia.)
Ostateczne słowa od WP‑Firewall (praktyczne zakończenie)
Incydenty bezpieczeństwa, takie jak CVE-2026-48882, przypominają, że nawet powszechnie używane wtyczki mogą mieć poważne luki. Ponieważ ta iniekcja SQL wymagała jedynie uprawnień subskrybenta, okno narażenia jest szerokie, a wykorzystanie może być zautomatyzowane. Najszybsze i najbezpieczniejsze działania są proste: zaktualizuj wtyczkę do 1.2.51 lub dezaktywuj ją i/lub zastosuj wirtualną łatkę za pośrednictwem swojego WAF. Następnie przeprowadź dokładne skanowanie w poszukiwaniu wskaźników naruszenia i wzmocnij swoją stronę za pomocą zalecanych kontroli rozwoju i operacyjnych opisanych powyżej.
Wiemy, że to stresujące dla właścicieli stron i administratorów. Jeśli potrzebujesz pomocy — czy to w zakresie wirtualnych łatek, skanowania i czyszczenia, czy przeglądu bezpieczeństwa — nasz zespół w WP‑Firewall jest dostępny, aby pomóc. Rozpocznij od darmowego planu, aby uzyskać natychmiastową ochronę podczas pracy nad aktualizacjami i odzyskiwaniem.
Szybka lista kontrolna (jedna strona)
- Zweryfikuj wersję wtyczki; zaktualizuj do 1.2.51 natychmiast.
- Jeśli nie możesz zaktualizować, dezaktywuj wtyczkę lub zablokuj punkty końcowe / zastosuj zasady WAF.
- Wykonaj pełną kopię zapasową (pliki + DB).
- Skanuj pliki i bazę danych w poszukiwaniu IoC (nowi administratorzy, nieznane pliki PHP, zmodyfikowane opcje).
- Zmień dane uwierzytelniające administratora i DB, jeśli podejrzewasz naruszenie.
- Zastosuj długoterminowe wzmocnienie: przygotowane zapytania, walidacja danych wejściowych, nonce, minimalne uprawnienia.
- Monitoruj logi i ruch po usunięciu zagrożenia.
- Rozważ zarządzaną ochronę zapory ogniowej lub profesjonalne czyszczenie, jeśli nie jesteś pewien.
Jeśli potrzebujesz pomocy w priorytetyzacji działań na wielu stronach lub potrzebujesz prowadzonego czyszczenia, możemy pomóc — nasz zespół reaguje na pilne incydenty każdego dnia. Bądź bezpieczny i traktuj aktualizację poważnie.
— Zespół WP‑Firewall
