Authenticated Contributors Can Access GenerateBlocks Options//Published on 2025-10-25//CVE-2025-11879

EQUIPE DE SEGURANÇA WP-FIREWALL

GenerateBlocks Vulnerability

Nome do plugin GerarBlocos
Tipo de vulnerabilidade Controle de acesso quebrado
Número CVE CVE-2025-11879
Urgência Baixo
Data de publicação do CVE 2025-10-25
URL de origem CVE-2025-11879

GenerateBlocks <= 2.1.1 — Autorização inadequada permite que colaboradores autenticados leiam opções arbitrárias (CVE-2025-11879)

Data: 25 de outubro de 2025
Autor: Equipe de Segurança do Firewall do WordPress — Especialistas em segurança e WAF para WordPress

Resumo: Uma falha de permissões no plugin GenerateBlocks (versões até a 2.1.1, inclusive) permitia que qualquer usuário autenticado com a função de Colaborador ou superior lesse opções arbitrárias do site por meio de um endpoint do plugin que não possuía verificações de autorização adequadas. O problema foi identificado como CVE-2025-11879, recebeu uma pontuação CVSS de 6,5 e foi corrigido na versão 2.1.2 do GenerateBlocks. Em termos simples: um usuário sem privilégios poderia obter configurações e possivelmente valores sensíveis armazenados na tabela de opções, que normalmente deveriam ser acessíveis apenas a administradores.

Este artigo explica o que é a vulnerabilidade, quem é afetado, cenários práticos de risco, como verificar se o seu site está vulnerável ou foi alvo de abusos, medidas imediatas para mitigar o risco (incluindo técnicas de aplicação de patches virtuais que você pode fazer agora) e orientações para reforçar a segurança a longo prazo. Como fornecedor de segurança para WordPress, também explicaremos como o WP-Firewall pode protegê-lo automaticamente e por que habilitar defesas em camadas reduz o risco durante a atualização de plugins.

Índice

  • O que aconteceu (resumidamente)
  • Como funciona a vulnerabilidade (visão geral técnica — não exploratória)
  • Por que isso é importante: impacto prático e cenários de ataque
  • Quem é afetado?
  • Medidas de detecção imediata — o que procurar nos registros e no banco de dados
  • Medidas de mitigação imediatas (aplicar o patch agora; se não for possível, adotar medidas temporárias)
  • Estratégias de aplicação de patches virtuais / WAF (alto nível + exemplos de regras)
  • Endurecimento e controles de longo prazo
  • Como o WP-Firewall protege seu site (recursos e configuração recomendada)
  • Opção de inscrição segura: Experimente o plano gratuito do WP-Firewall (título e detalhes do plano)
  • Perguntas frequentes
  • Conclusão e lista de verificação

O que aconteceu (resumidamente)

A GenerateBlocks lançou uma atualização de segurança para corrigir uma falha de autorização em um endpoint que retornava opções de plugins. O endpoint não verificava corretamente se o usuário que o invocava possuía permissões de administrador antes de retornar valores de opções arbitrários. Como os Colaboradores são usuários autenticados por padrão, um colaborador autenticado poderia invocar esse endpoint e obter valores que pertencem à tabela wp_options — alguns dos quais são sensíveis (chaves de API, tokens secretos ou sinalizadores de recursos). Os desenvolvedores corrigiram o problema na versão 2.1.2 da GenerateBlocks; a atualização para essa versão remove a vulnerabilidade.

Como funciona a vulnerabilidade (visão geral técnica — não exploratória)

Em linhas gerais, o bug é uma falha de autorização: um endpoint REST/AJAX implementado pelo plugin lê opções ou configurações, mas não verifica as permissões necessárias (por exemplo, permissões obrigatórias como `manage_options` ou `current_user_can('manage_options')`). Em vez disso, o endpoint permitia que qualquer usuário autenticado (com privilégios de Colaborador ou superior) o acessasse e recebesse os dados das opções.

Características técnicas importantes:

  • Privilégio necessário para explorar a vulnerabilidade: usuário autenticado com função de Colaborador (ou superior).
  • Dados expostos: opções arbitrárias acessíveis ao caminho do código do plugin — podem incluir configurações do plugin, chaves de API armazenadas como opções ou outras configurações armazenadas em wp_options.
  • Vetor de ataque: requisições HTTP autenticadas padrão para o endpoint do plugin (API REST ou admin-ajax). Não é necessária a execução remota de código nem a escrita de arquivos para a divulgação em si — trata-se de uma falha de divulgação de informações.
  • Correção: adicionar uma verificação de capacidade no endpoint (por exemplo, exigir `manage_options` ou uma capacidade de administrador semelhante) e higienizar/filtrar quais chaves de opção podem ser lidas se alguma API de configurações estiver exposta.

Não estamos divulgando o código de exploração. O ponto importante para os proprietários de sites é que o ataque requer apenas uma conta de Colaborador (ou um atacante capaz de criar tal conta) — o que é comum em sites que aceitam conteúdo gerado pelo usuário.

Por que isso é importante: impacto prático e cenários de ataque

Vulnerabilidades de divulgação de informações muitas vezes parecem menores em comparação com RCE ou injeção de SQL, mas seu impacto prático pode ser significativo:

  • A exposição de chaves de API ou credenciais de terceiros armazenadas pelo plugin pode permitir comprometimento lateral (por exemplo, um token de API vazado usado para obter acesso a outro serviço).
  • A configuração revelada pode expor URLs sensíveis, sinalizadores de recursos ou tokens de acesso, que os invasores podem combinar com outras vulnerabilidades para comprometer totalmente um site.
  • Os valores das opções podem revelar salts assinados, o estado do plugin usado na lógica de negócios ou flags personalizadas que expõem funcionalidades para abuso posterior.
  • Se existir uma conta com a função de Colaborador (conteúdo enviado pelo usuário, blogs da comunidade, sites de membros), um invasor pode facilmente criar ou sequestrar essas contas e, em seguida, explorar as opções disponíveis.

Exemplo de cadeia de ataque (ilustrativa):

  1. O atacante registra uma conta que obtém privilégios de Colaborador (ou usa uma conta de colaborador existente).
  2. O atacante chama o endpoint do plugin que enumera as opções.
  3. As opções recuperadas revelam um token de integração de terceiros para uma API remota ou revelam um segredo usado em um plugin personalizado.
  4. O atacante usa o token ou o conhecimento da configuração para escalar privilégios, alterar conteúdo ou extrair mais informações confidenciais.

Como o problema está relacionado à autorização (A7: Falhas de Identificação e Autenticação na classificação OWASP), ele é particularmente perigoso em sites com múltiplos autores ou em sites comunitários.

Quem é afetado?

  • Qualquer site WordPress que utilize a versão 2.1.1 ou anterior do GenerateBlocks é vulnerável.
  • A vulnerabilidade só pode ser explorada quando existe pelo menos um usuário autenticado com a função de Colaborador (ou superior). A maioria dos sites com múltiplos autores ou recursos de submissão de conteúdo pelo usuário final possui esse tipo de conta.
  • Sites que armazenam chaves ou opções sensíveis na tabela wp_options e que utilizam GenerateBlocks correm maior risco.

Se você utiliza o GenerateBlocks, verifique imediatamente a versão do plugin e atualize-a, se necessário.

Detecção imediata — verifique seu local em busca de sinais de exposição ou abuso.

  1. Verifique a versão do plugin.
    Use o painel de administração (Plugins) ou o WP-CLI para verificar:

    • WP-Admin: Plugins → GenerateBlocks → verificar versão
    • WP-CLI:
      status do plugin wp generateblocks --field=version

    Se a versão for ≤ 2.1.1 — vulnerável.

  2. Verifique os registros em busca de solicitações suspeitas.
    Procure por solicitações POST ou GET incomuns para admin-ajax.php ou para endpoints da API REST originadas de contas de colaboradores ou IPs que você não reconhece. Busque por solicitações com parâmetros de consulta que indiquem enumeração ou recuperação de opções.

    Exemplos de termos de pesquisa em logs:

    • “generateblocks” em REQUEST_URI
    • Nomes de usuário de colaboradores desconhecidos invocando endpoints de administração AJAX ou REST.
    • Requisições que retornam grandes volumes de dados JSON de endpoints vinculados a rotas de plugins
  3. Reconhecimento de banco de dados
    Um atacante que conseguiu exfiltrar opções com sucesso pode não ter deixado nenhum rastro óbvio além dos registros de acesso HTTP. No entanto, você pode verificar se houve alterações anormais:

    • Procure por opções adicionadas recentemente que sejam suspeitas:
      SELECT option_name, option_value, option_updated FROM wp_options ORDER BY option_id DESC LIMIT 200;
    • Opções de pesquisa para chaves de API ou padrões conhecidos (manuseio cuidadoso):
      SELECT option_name FROM wp_options WHERE option_value LIKE '%KEY%' OR option_value LIKE '%token%' LIMIT 100;
  4. Auditar contas de usuário
    Verificar se existem novos usuários com a função de Colaborador ou usuários que não deveriam existir:

    • WP-CLI: lista de usuários do WordPress --role=contributor
    • Administrador: Usuários → Todos os usuários
  5. Sistema de arquivos e integridade
    A divulgação de informações por si só pode não alterar os arquivos, mas, uma vez que as chaves são expostas, os invasores podem realizar ações subsequentes. Execute uma verificação de malware e de integridade se observar alguma atividade suspeita.

Medidas imediatas de mitigação — o que fazer agora mesmo

  1. Atualize o GenerateBlocks para a versão 2.1.2 ou posterior (primeiro passo recomendado).
    A solução mais segura e rápida é atualizar o plugin em todos os sites que executam versões vulneráveis. Atualize através do WP-Admin ou do WP-CLI:

    • WP-CLI: atualização do plugin do WordPress generateblocks

    Se você gerencia muitos sites, atualizações orquestradas são essenciais.

  2. Se não for possível atualizar imediatamente, tome medidas paliativas temporárias.
    Essas medidas temporárias reduzem o risco até que você possa aplicar a correção oficial.

    • a) Restringir o acesso dos colaboradores
      • Rebaixar temporariamente ou remover a função de Colaborador de usuários não confiáveis.
      • Desative o cadastro de usuários na interface, caso não seja necessário: Configurações → Geral → Associação (desmarque "Qualquer pessoa pode se cadastrar").
      • Remova as contas de Colaboradores que você não reconhece.
    • b) Utilize um firewall/WAF para bloquear o endpoint (aplicação de patches virtuais).
      • Se o seu firewall puder criar regras, bloqueie o acesso aos endpoints de plugins que expõem opções para usuários não administradores.
      • Uma regra WAF pode interceptar solicitações que correspondam à rota do plugin ou a padrões de parâmetros conhecidos e retornar o código 403, impedindo a exfiltração de dados.
    • c) Reforçar a segurança da API REST e do acesso administrativo via AJAX.
      • Desative os endpoints REST para usuários não autenticados, se apropriado.
      • Limitar o uso de admin-ajax por meio de plugins, como proteções em nível de aplicativo ou WAF.
    • d) Rotacionar segredos sensíveis
      Se você descobrir ou suspeitar que chaves foram exportadas, rotacione-as imediatamente (serviços de terceiros, tokens de API, segredos OAuth).
  3. Monitore os registros atentamente.
    • Fique atento às chamadas para o endpoint vulnerável.
    • Procure por endereços IP anômalos, alto volume de solicitações relacionadas a opções ou chamadas repetidas de um pequeno conjunto de contas.

Estratégias de patch virtual / WAF (como bloquear ataques rapidamente)

Quando uma correção oficial estiver disponível, a ação correta é atualizar. Mas para administradores que não podem atualizar imediatamente (ambientes de teste, integrações personalizadas ou janelas de lançamento restritas), a aplicação de patches virtuais é uma medida eficaz a curto prazo.

Estratégia de alto nível

  • Identifique os endpoints do plugin que leem opções e bloqueie as solicitações para eles, a menos que o solicitante tenha uma sessão de administrador.
  • Inspecione os payloads das requisições em busca de parâmetros que indiquem enumeração de opções (por exemplo, parâmetros nomeados como option, key, name, etc.) e bloqueie-os, caso estejam presentes, para usuários que não sejam administradores.
  • Aplique limites de taxa e detecção de anomalias para contas de colaboradores que chamam endpoints de administração.

Exemplos de regras WAF (ilustrativas — adapte à sua sintaxe WAF e teste em ambiente de teste)

Nota: Não copie uma regra de produção exata sem testá-la. Estes são padrões conceituais.

1) Bloquear solicitações para rotas de plugins que contenham parâmetros de pesquisa de opções:

SecRule REQUEST_URI "@rx /wp-json/generateblocks|/admin-ajax.php" "chain,deny,status:403,msg:'Vetor de divulgação de opções do GenerateBlocks bloqueado'" SecRule ARGS_NAMES|ARGS "@rx option_name|option|key|keys|settings" "chain"

Esta regra nega solicitações ao AJAX administrativo ou ao prefixo REST do plugin quando a solicitação inclui parâmetros normalmente usados para enumeração de opções.

2) Bloqueio por padrão de cookie de função

  • Se o seu WAF puder inspecionar cookies, negue as solicitações aos endpoints do plugin caso os cookies indiquem um login de usuário não administrativo (isso requer um tratamento cuidadoso; os nomes dos cookies de função variam de acordo com o site):
  • Se o COOKIE contiver user_login, mas o usuário não for administrador, bloqueie rotas de plugin específicas.

3) Exigir token CSRF ou privilégios de administrador para acesso ao endpoint

  • Interceptar chamadas para a rota REST e permitir somente quando o cabeçalho X‑WP‑Nonce corresponder a uma ação do administrador (isso é mais avançado e requer que o firewall valide os nonces do WP ou insira um redirecionamento para páginas administrativas).

4) Limitação de taxa

  • Aplique limites de taxa mais rigorosos para contas de colaboradores em endpoints AJAX e REST de administração para evitar enumeração em massa.

Por que o patch virtual ajuda

  • Ele bloqueia o vetor de ataque imediato antes que você possa atualizar todos os sites.
  • Isso dá tempo para agendar a atualização oficial e concluir os testes.
  • Isso impede a exploração automatizada que visa a assinatura da vulnerabilidade.

O WP-Firewall fornece regras de correção virtual que podem ser aplicadas em toda a sua frota (se você estiver usando uma solução gerenciada). Essas regras podem detectar e bloquear o padrão de solicitações característico dessa vulnerabilidade, impedindo a divulgação de dados sem a necessidade imediata de uma atualização do plugin.

Guia prático de regras WAF para administradores do WordPress

Se você gerencia um único site e usa um firewall baseado em plugins ou um WAF de servidor, recomendamos:

  • Crie uma regra específica que corresponda às solicitações para os endpoints do GenerateBlocks (tanto nos padrões REST quanto AJAX) onde a solicitação contenha parâmetros que sugiram acesso a opções.
  • Permita o acesso de usuários administradores, mas aplique o bloqueio para usuários não administradores. Se o seu WAF não puder inspecionar as funções, bloqueie todas as solicitações que não sejam do navegador para a rota ou exija que a solicitação se origine do painel de administração (aplicação de referenciador) — atenção: as verificações de referenciador não são infalíveis.
  • Registre e alerte sobre solicitações bloqueadas para que você possa detectar tentativas de exploração.

Conselhos sobre testes

  • Teste a regra em um ambiente de teste.
  • Confirme se a funcionalidade GenerateBlocks está funcionando corretamente para administradores e editores.
  • Monitore possíveis falsos positivos (por exemplo, colaboradores legítimos que precisam de acesso a um recurso).

Endurecimento e controles de longo prazo

Após a aplicação do patch, considere estas medidas de controle a longo prazo para reduzir riscos semelhantes no futuro:

  1. Princípio do Privilégio Mínimo para Funções
    • Reveja regularmente as atribuições de funções. Os colaboradores realmente precisam das capacidades que possuem?
    • Utilize plugins de gerenciamento de funções para criar funções personalizadas em vez de depender da função padrão de Colaborador.
  2. Gestão de segredos
    • Evite armazenar segredos de longa duração na tabela de opções, a menos que estejam criptografados ou armazenados com acesso restrito. Use variáveis de ambiente ou gerenciadores de segredos externos sempre que possível.
    • Quando os plugins armazenam tokens, prefira tokens de curta duração ou utilize mecanismos de atualização.
  3. Revisões regulares de segurança de plugins
    • Para plugins críticos (ferramentas de renderização, integrações), verifique regularmente os registros de alterações e os avisos de segurança.
    • Inscreva-se em listas de discussão de fornecedores ou de segurança focadas em atualizações de segurança do WordPress.
  4. Reforce a API REST
    • Se partes da API REST não forem utilizadas, considere desativá-las ou restringir o acesso a caminhos específicos.
    • Utilize plugins ou regras de servidor para restringir a API REST a funções autenticadas, sempre que possível.
  5. Registro e SIEM
    • Centralize os registros (servidor web, PHP, WP-JSON) e configure alertas para chamadas incomuns de alto volume para endpoints administrativos a partir de contas com privilégios limitados.
    • Periodicamente, verifique se há anomalias na tabela de opções (novas chaves inesperadas, blocos base64 que parecem tokens).
  6. Princípio da defesa em profundidade
    • Combine a disciplina de atualizações com um bom WAF, varreduras oportunas e gerenciamento de usuários. Cada medida reduz o risco quando outras falham temporariamente (por exemplo, quando uma correção urgente é atrasada).

Como o WP-Firewall protege seu site (explicação prática, sem foco em marketing)

Na WP-Firewall, criamos defesas em camadas para sites WordPress. Veja como abordaríamos a proteção contra esse tipo de vulnerabilidade:

  1. WAF gerenciado / Correção virtual
    • Quando uma nova vulnerabilidade que afeta plugins do WordPress é divulgada, nossa equipe de segurança cria regras de patch virtuais que detectam os padrões de requisição específicos usados pela vulnerabilidade e os bloqueiam na borda da rede.
    • Essas regras podem ser implementadas em sites protegidos em minutos, impedindo tentativas de exploração mesmo antes que a atualização do plugin seja aplicada em todos os sites.
  2. Bloqueio com reconhecimento de função
    • O WP-Firewall pode combinar a análise de cookies/nonce e padrões de requisição para permitir o tráfego administrativo legítimo, bloqueando, ao mesmo tempo, possíveis abusos de contas de colaboradores e outras sessões que não sejam de administradores.
  3. Análise de malware e verificações de integridade
    • Caso um invasor tenha utilizado quaisquer segredos divulgados para realizar ações subsequentes, nosso scanner de malware e verificações de integridade de arquivos ajudam a detectar arquivos alterados, backdoors ou código injetado.
  4. Alertas e relatórios
    • Exibimos alertas para tentativas detectadas contra endpoints vulneráveis e fornecemos orientações práticas (rotacionar segredos, remover usuários suspeitos, atualizar plugin).
  5. Opções de atualização automática e orquestração
    • Para clientes com serviços gerenciados, podemos oferecer fluxos de trabalho de orquestração de atualizações para atualizar plugins com segurança em diversos sites, com testes pré-atualização e monitoramento pós-atualização.
  6. Verificações de educação e endurecimento
    • O WP-Firewall oferece orientações e opções de reforço de segurança com um clique (por exemplo, desativar endpoints REST de plugins para usuários não administradores, limitar o registro de usuários, exigir senhas fortes, desativar XML-RPC se não estiver em uso).

Essas capacidades, em conjunto, formam uma postura de defesa prática. Embora a atualização oficial do plugin seja essencial, o patch virtual e o monitoramento reduzem drasticamente o risco enquanto você completa seu ciclo de atualização.

Proteja seu site em minutos — Experimente o plano gratuito do WP-Firewall

Criamos um plano gratuito para oferecer aos proprietários de sites proteção imediata enquanto planejam atualizações e reforço da segurança. O plano básico gratuito inclui proteções essenciais que abordam esses tipos de vulnerabilidades:

  • Regras de firewall e WAF gerenciadas (incluindo patches virtuais críticos quando novas vulnerabilidades de plugins são divulgadas)
  • Largura de banda ilimitada para filtragem de solicitações da web
  • Scanner de malware integrado
  • Medidas de mitigação contra os 10 principais riscos da OWASP

Se você deseja proteção prática agora mesmo, comece com o WP-Firewall Basic (gratuito): https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nosso plano gratuito ajuda a bloquear tentativas de exploração em tempo real e oferece espaço para você atualizar e fortalecer seu site com segurança. Se você precisar de remoção automática de malware, relatórios avançados ou aplicação automática de patches virtuais em vários sites, nossos planos pagos adicionam esses recursos.

(Destaques do plano)
– Básico (Gratuito): Firewall gerenciado, largura de banda ilimitada, WAF, scanner de malware, mitigação das 10 principais ameaças da OWASP
– Padrão ($50/ano): Adiciona remoção automática de malware e lista negra/branca de IPs para até 20 IPs.
– Pro ($299/ano): Adiciona relatórios de segurança mensais, aplicação automática de patches virtuais e serviços premium (suporte dedicado e serviços de segurança gerenciados).

Lista de verificação operacional rápida (o que fazer agora)

  • ✅ Verify your GenerateBlocks plugin version. If ≤ 2.1.1 — update to 2.1.2 immediately.
  • ✅ If you can’t update right away, remove or restrict Contributor accounts and turn off public registrations if unnecessary.
  • ✅ Apply a WAF rule to block the plugin endpoint for non‑admin users (virtual patch).
  • ✅ Rotate any keys or tokens stored in options if you find they may have been exposed.
  • ✅ Review access logs for suspicious calls to admin‑ajax or REST endpoints.
  • ✅ Run a malware scan and file integrity check.
  • ✅ Enable ongoing monitoring and alerting.

Perguntas frequentes

P: Se o atacante só tiver acesso a opções, qual o problema?
R: Depende do que está armazenado nas opções. Se as opções expostas contiverem chaves de API, credenciais de serviço ou segredos usados por outros plugins, o atacante pode usar esses valores para obter privilégios de administrador. Mesmo valores de configuração aparentemente inofensivos podem revelar como atacar um código personalizado. Considere qualquer divulgação não autorizada de opções como de alto risco até que você avalie o conteúdo.

P: Preciso rotacionar todas as chaves do site?
A: Rotacione apenas as chaves que estão armazenadas em locais onde poderiam ter sido lidas. Se encontrar chaves de API, tokens OAuth, segredos de webhook ou outras strings sensíveis nas opções do plugin, rotacione-as imediatamente e notifique o provedor, se necessário.

P: Desativar os Colaboradores vai danificar meu site?
A: Isso pode afetar o fluxo de trabalho se você depender de colaboradores para conteúdo. Se precisar manter os colaboradores, reforce outros controles (WAF, monitoramento) e aumente temporariamente a supervisão até atualizar o plugin.

P: É seguro confiar apenas em um WAF?
A: Um WAF oferece excelente proteção a curto prazo (aplicação de patches virtuais), mas não substitui a aplicação da correção do fornecedor. Sempre atualize o plugin assim que possível.

Conclusão

A vulnerabilidade CVE-2025-11879 no GenerateBlocks demonstra como um erro de autorização pode transformar uma conta com privilégios limitados em uma ferramenta para roubo de informações. A correção oficial (GenerateBlocks 2.1.2) resolve essa falha de autorização; a atualização é a ação recomendada. Caso não seja possível realizar atualizações imediatas, a aplicação de patches virtuais (regras de WAF), a higienização de contas, a rotação de segredos e o registro/monitoramento cuidadoso de logs podem mitigar o risco. Utilize defesas em camadas — aplicação de patches, firewall, varredura e gerenciamento de contas com privilégios mínimos — para reduzir sua exposição a essa e outras vulnerabilidades semelhantes.

Se você deseja proteção em tempo real enquanto planeja atualizações e correções, experimente o WP-Firewall Basic (gratuito) para aplicar regras WAF gerenciadas e patches virtuais que bloqueiam tentativas de exploração: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Mantenha-se seguro, revise suas permissões e reaja rapidamente — os invasores agem com rapidez após uma divulgação. Se precisar de ajuda para analisar registros ou aplicar regras de patch virtuais em vários sites, nossa equipe de segurança está disponível para orientá-lo durante todo o processo.

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado
pt_PT Português
pt_PT Português en_US English zh_CN 简体中文 zh_HK 香港中文 zh_TW 繁體中文 ja 日本語 es_ES Español fr_FR Français ar العربية hi_IN हिन्दी bn_BD বাংলা ko_KR 한국어 it_IT Italiano nl_NL Nederlands vi Tiếng Việt ru_RU Русский pl_PL Polski de_DE Deutsch da_DK Dansk

© 2025 WP-Firewall™