Consultoria Especializada XSS em Injection Guard//Publicado em 2026-03-23//CVE-2026-3368

EQUIPE DE SEGURANÇA WP-FIREWALL

Injection Guard CVE-2026-3368 Vulnerability

Nome do plugin Proteção contra Injeção
Tipo de vulnerabilidade Script entre sites (XSS)
Número CVE CVE-2026-3368
Urgência Médio
Data de publicação do CVE 2026-03-23
URL de origem CVE-2026-3368

Urgente: CVE-2026-3368 — XSS armazenado não autenticado no plugin Injection Guard (<=1.2.9) — O que os proprietários de sites WordPress precisam saber e fazer

Publicado: 23 de março de 2026
CVE: CVE-2026-3368
Gravidade: CVSS 7.1 (Médio)
Versões afetadas: Plugin Injection Guard <= 1.2.9
Corrigido em: 1.3.0
Crédito de pesquisa: Itthidej Aramsri (Boeing777)

Como uma equipe de segurança do WordPress responsável por proteger milhares de sites, levamos a sério as novas vulnerabilidades de plugins. Em 23 de março de 2026, uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada afetando o plugin Injection Guard do WordPress (versões até e incluindo 1.2.9) foi divulgada publicamente e recebeu a designação CVE-2026-3368. A vulnerabilidade permite que um atacante não autenticado injete HTML/JavaScript arbitrário via um parâmetro de consulta (nome) que pode ser armazenado e posteriormente executado em um contexto de usuário privilegiado.

Este post explica a vulnerabilidade e a cadeia de ataque, avalia o risco no mundo real, fornece etapas imediatas e de acompanhamento para remediação, compartilha técnicas de detecção e limpeza (seguras para uso em produção) e mostra como um WAF e patching virtual podem lhe dar tempo se você não puder atualizar imediatamente.

Continue lendo para obter orientações práticas e acionáveis de uma equipe de segurança do WordPress experiente.

Resumo executivo (curto)

  • O que: XSS armazenado não autenticado através do nome parâmetro de consulta nas versões do plugin Injection Guard <= 1.2.9 (CVE-2026-3368).
  • Impacto: XSS armazenado que pode ser executado em contextos administrativos quando um usuário privilegiado visualiza páginas do plugin; potencial tomada de conta de administrador, instalação de backdoor no site, desfiguração de conteúdo ou roubo de dados.
  • Urgência: Alta prioridade para proprietários de sites com este plugin instalado. Patch disponível na v1.3.0 — atualize imediatamente.
  • Se você não puder atualizar imediatamente: aplique patching virtual WAF, bloqueie cargas úteis de exploração ou aplique um mu-plugin seguro para sanitizar a entrada.
  • Usuários do WP-Firewall: regras de mitigação protetivas e patching virtual estão disponíveis para bloquear tentativas de exploração enquanto você atualiza.

1) A vulnerabilidade e como ela funciona (visão técnica)

Esta é uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada. O XSS armazenado ocorre quando a entrada fornecida pelo usuário é aceita pelo servidor, armazenada (por exemplo, em opções, meta de post, comentários ou outro armazenamento persistente) e posteriormente renderizada em uma página sem a devida sanitização/escapamento. Quando esse conteúdo armazenado é renderizado no contexto de um usuário privilegiado (administrador, editor), qualquer JavaScript embutido será executado com os privilégios desse usuário.

Especificidades chave desta divulgação:

  • Plugin afetado: Injection Guard (versões <= 1.2.9).
  • Ponto de injeção: nome parâmetro de consulta. Solicitações não autenticadas podem ser capazes de injetar conteúdo que o plugin persiste.
  • Contexto de execução: O conteúdo armazenado é renderizado em uma página que usuários privilegiados (administradores do site) visitam. O payload armazenado é executado no contexto do navegador do administrador, permitindo roubo de sessão, CSRF ou comprometimento total do site.
  • Cadeia de exploração: O atacante envia uma solicitação não autenticada para o endpoint vulnerável que armazena conteúdo controlado pelo atacante. Mais tarde, um administrador visita o plugin (ou página de administração relacionada) e aciona o XSS armazenado, permitindo a execução de JavaScript fornecido pelo atacante em uma sessão de administrador.

Observação: A injeção inicial é não autenticada, mas a exploração requer que um administrador (ou outro usuário privilegiado) carregue a página contendo o payload armazenado — o que pode ocorrer ao clicar em um link, visualizar páginas de plugins ou abrir telas específicas de administração.

2) Por que isso é perigoso

O XSS armazenado que é executado em um contexto administrativo é uma das vulnerabilidades web mais perigosas para um site WordPress porque:

  • Ele é executado com os mesmos privilégios que o administrador logado em seu navegador. Um atacante pode realizar ações em nome do administrador (criar postagens, instalar plugins/temas, adicionar usuários, exportar dados).
  • Ele pode roubar cookies ou tokens de sessão e usá-los para sequestrar sessões de administrador.
  • Ele pode instalar backdoors (shells PHP), criar usuários administradores ou acionar modificações persistentes em arquivos do site e entradas de banco de dados.
  • Como a injeção inicial é não autenticada, automação e varreduras em massa podem encontrar e infectar muitos sites rapidamente.
  • Payloads armazenados sobrevivem entre carregamentos de página — um administrador pode se deparar com o conteúdo malicioso dias ou semanas depois.

Dada a combinação de injeção não autenticada e execução em um contexto de administrador, essa vulnerabilidade deve ser considerada de alto risco para os sites afetados.

3) Cenário de ataque (passo a passo)

  1. O atacante elabora uma solicitação que visa o endpoint do plugin e passa o nome parâmetro de consulta contendo conteúdo malicioso.
  2. O plugin armazena este nome valor no banco de dados (por exemplo, em opções ou meta de post) sem a devida sanitização.
  3. Mais tarde, um administrador visita a página de administração do plugin onde o nome valor armazenado é renderizado na página como HTML sem a devida escapagem.
  4. O script malicioso é executado no navegador do administrador. O script pode:
    • Exfiltrar cookies, tokens de autenticação ou nonces CSRF.
    • Faça solicitações autenticadas para URLs de administração do WordPress (crie um novo usuário administrador, instale um plugin, edite arquivos de tema ou plugin, etc.).
    • Insira scripts maliciosos ou backdoors no site.
  5. O atacante obtém controle administrativo total e pode persistir no acesso, monetizar o site ou pivotar para outros sistemas.

Este é um ataque XSS armazenado típico que é particularmente impactante quando o conteúdo injetado é mostrado a usuários privilegiados.

4) Ações imediatas para proprietários de sites (o que fazer agora)

Se o seu site usar o plugin Injection Guard (<=1.2.9):

  1. Atualizar Imediatamente
    • Atualize o plugin para a versão 1.3.0 ou posterior. Esta é a ação mais importante.
  2. Se você não puder atualizar imediatamente
    • Aplique um WAF/patch virtual para bloquear tentativas de exploração (veja as recomendações de WAF abaixo).
    • Adicione um mu-plugin temporário que sane ou rejeite solicitações contendo cargas úteis suspeitas no nome parâmetro de consulta.
  3. Rotacione Credenciais e Tokens de Sessão
    • Force redefinições de senha para todas as contas de administrador.
    • Invalide sessões ativas (você pode usar a tela de administração de Usuários ou executar comandos WP-CLI).
  4. Escaneie em busca de Conteúdo Malicioso e Backdoors
    • Pesquise no banco de dados por tags de script armazenadas e atributos suspeitos (veja as consultas de detecção abaixo).
    • Escaneie o sistema de arquivos em busca de arquivos recentemente alterados e padrões de backdoor conhecidos.
  5. Limpe e Audite
    • Remova quaisquer cargas úteis XSS armazenadas.
    • Audite todos os usuários de nível administrativo criados recentemente.
    • Verifique os editores de plugins e temas (Aparência > Editor de Arquivos do Tema, Plugins > Editor de Arquivos do Plugin) para edições não autorizadas.
  6. Monitore Logs e Tráfego
    • Ative a monitorização para capturar tentativas de exploração repetidas e IPs de origem.
    • Mantenha logs para análise forense.

Se você gerencia vários sites, faça um inventário e priorize a atualização e proteção daqueles que hospedam o plugin Injection Guard.

5) Como detectar payloads armazenados e artefatos suspeitos (consultas e comandos seguros)

Abaixo estão verificações seguras e não destrutivas que você pode executar para encontrar potenciais payloads XSS armazenados. Sempre faça backup do seu site (banco de dados + arquivos) antes de fazer alterações em massa.

Verificações de banco de dados (WP-CLI)

  • Pesquise wp_options por scripts armazenados:
    wp db query "SELECT option_id, option_name FROM wp_options WHERE option_value LIKE '%<script%';"
  • Pesquisar conteúdo de post:
    Consulta ao banco de dados do WordPress "SELECT ID, post_title FROM wp_posts WHERE post_content LIKE '%
  • Pesquisar postmeta:
    wp db query "SELECT meta_id, meta_key FROM wp_postmeta WHERE meta_value LIKE '%<script%';"

Se você tiver uma tabela personalizada usada pelo plugin, adapte as consultas para verificar valores com “<script”, “javascript:”, “onerror=”, “onload=”, “img src=javascript:” etc.

Verificações de arquivos e sistema de arquivos

  • Liste os arquivos modificados nos últimos 14 dias:
    find /caminho/para/wp -type f -mtime -14 -print
  • Procure por uso suspeito de PHP eval ou base64_decode (cuidado: pode gerar falsos positivos):
    grep -R --line-number -E "eval\(|base64_decode\(|gzinflate\(" /caminho/para/wp-content

Verificações de logs

  • Revise os logs do servidor web para solicitações repetidas atingindo o endpoint do plugin com nome= na string de consulta.
  • Bloqueie IPs que enviam tentativas de exploração repetidas após investigação.

Remoção segura de conteúdo (exemplos)

  • Use wp search-replace para remover tags de script com cuidado:
    wp search-replace '<script' '<!--script-removed' --skip-columns=guid --all-tables
    NOTA: Use cautela. Faça backup do DB primeiro. Teste em staging.

Se você não tiver certeza, contrate um profissional de segurança para realizar uma limpeza e revisão forense.

6) Mitigações de curto prazo quando a atualização não é imediatamente possível

Se você não puder atualizar para 1.3.0 imediatamente, aplique uma ou mais dessas mitigações:

  1. WAF (Firewall de Aplicação Web) / Patch virtual
    • Bloqueie solicitações de entrada que incluam caracteres suspeitos no nome parâmetro de consulta, como <, >, script, onerror, ou atributos de evento.
    • Limite os métodos de solicitação aos esperados e descarte padrões anômalos.
    • Para usuários do WP-Firewall: um conjunto de regras de mitigação específico para exploração está disponível para bloquear padrões de ataque conhecidos para essa vulnerabilidade enquanto você atualiza.
  2. Plugin mu temporário para sanitizar a entrada
    • Crie um mu-plugin (plugin de uso obrigatório) que sanitiza ou remove caracteres suspeitos do nome parâmetro GET antes que o código vulnerável possa armazená-lo. Exemplo (veja abaixo).
  3. Restringir o acesso à área de administração
    • Use a lista de permissões de IP para wp-admin, se possível.
    • Coloque autenticação HTTP em wp-admin para uma camada adicional.
  4. Desativar o plugin
    • Se o plugin não for crítico para as operações diárias, desative-o temporariamente até que você possa atualizar com segurança.

Exemplo de mu-plugin temporário (coloque em wp-content/mu-plugins/temporary-sanitize-name.php):

<?php;

Notas:

  • Esta é uma mitigação temporária, não um substituto para atualização.
  • Teste em staging antes de implantar em produção.
  • Use um mu-plugin (sempre carregado) para garantir que ele seja executado antes dos plugins que podem processar a entrada.

7) Lógica de regra de WAF de exemplo (nível alto)

Se você opera um WAF ou planeja definir regras personalizadas, o seguinte descreve um conjunto de regras seguras e de alto nível para bloquear tentativas de exploração sem gerar muitos falsos positivos:

  • Bloquear se o nome parâmetro de consulta contiver:
    • <script ou </script
    • javascript: (em qualquer atributo)
    • onerror= ou onload= ou onclick= (atributos de evento comuns)
    • documento.cookie / document.location / window.location
  • Bloquear valores de alta entropia ou incomumente longos nome (por exemplo, > 512 caracteres).
  • Bloquear solicitações que incluam tags HTML ou colchetes angulares no nome parâmetro.
  • Limitar a taxa de solicitações para o endpoint para reduzir a varredura automatizada.

Importante: ajustar regras para o ambiente do seu site para evitar quebrar funcionalidades legítimas.

8) Como fortalecer o código do plugin — orientação para desenvolvedores (correções a serem implementadas)

Se você é um desenvolvedor mantendo um plugin ou trabalhando com o código-fonte do Injection Guard, aplique estas práticas de codificação seguras:

  1. Validação e sanitização de entrada
    • Sanitizar entradas recebidas com base no tipo de dado esperado:
      • Campos apenas de texto: use sanitizar_campo_de_texto()
      • HTML permitido: usar wp_kses() com uma lista permitida de tags e atributos
      • Numérico: (int) conversão ou absint()
  2. Escapando a saída
    • Escape na saída com base no contexto:
      • Corpo HTML: echo wp_kses_post()
      • Valores de atributos: echo esc_attr()
      • Contextos JS: echo esc_js()
  3. Verificações de capacidade e nonce
    • Garantir que apenas usuários autorizados possam invocar ações que modificam dados persistentes:
      • verificar_referenciador_admin() para envios de formulários
      • usuário_atual_pode('gerenciar_opções') ou verificações de capacidade apropriadas
  4. Evitar armazenamento não sanitizado
    • Nunca persista HTML controlado pelo usuário em estado bruto, a menos que absolutamente necessário e seguro.
  5. Use declarações preparadas ao interagir com o DB
    • $wpdb->preparar() para evitar problemas de injeção SQL.
  6. Evite ecoar valores armazenados sem escape — até mesmo campos apenas para admin podem ser perigosos.

Exemplo mínimo de armazenamento e renderização seguros:

<?php;

Se HTML deve ser armazenado (raro), armazene-o após filtrar com wp_kses() e escape na saída de acordo com o contexto.

9) Lista de verificação de recuperação após suspeita de comprometimento

Se você suspeitar que o XSS armazenado foi explorado e ações administrativas foram realizadas por um atacante, siga esta lista de verificação de recuperação:

  1. Coloque o site offline ou coloque-o em modo de manutenção (se prático).
  2. Faça backup do sistema de arquivos e do banco de dados atuais para análise forense.
  3. Revogue todas as sessões e gire senhas e chaves de administrador (sais do WordPress em wp-config.php).
  4. Escaneie em busca de backdoors:
    • Procure por arquivos recentemente modificados fora dos horários de atualização esperados.
    • Verifique os uploads em busca de arquivos PHP.
  5. Inspecione os usuários administrativos e remova contas não reconhecidas.
  6. Verifique as tarefas agendadas (wp-cron ou cron do servidor) em busca de trabalhos desconhecidos.
  7. Substitua arquivos de núcleo/plugin/tema modificados por cópias limpas de fontes oficiais.
  8. Reinstale o plugin afetado (atualize para a versão corrigida) de uma fonte oficial.
  9. Reaudite e endureça:
    • Aplique 2FA para todos os usuários administrativos.
    • Ative o registro e alertas para alterações suspeitas.
  10. Contrate uma resposta a incidentes profissional se a violação parecer grave.

10) Como o WP-Firewall ajuda (o que oferecemos e por que isso é importante)

No WP-Firewall, construímos proteções que reduzem sua exposição a vulnerabilidades ativas de plugins como CVE-2026-3368. Quando uma nova vulnerabilidade é divulgada, tomamos as seguintes medidas:

  • Regras de mitigação imediata: Implantamos patches virtuais e assinaturas WAF para bloquear padrões comuns de exploração para a vulnerabilidade (por exemplo, solicitações contendo <script ou manipuladores de eventos no nome parâmetro de consulta).
  • Escaneamento de malware e alertas forenses: Nosso scanner procura indicadores de XSS armazenado e artefatos comuns pós-exploração.
  • Registro de ataques e reprodução: Capture tentativas de exploração para informar decisões de remediação e bloquear fontes persistentes.
  • Opções de mitigação automáticas ou manuais: Se preferir, podemos aplicar mitigação automaticamente ao seu site enquanto você agenda a atualização.
  • Recomendações e orientações de limpeza: Passos claros de remediação e listas de verificação personalizadas para o seu ambiente.

A proteção em camadas do WP-Firewall (WAF + scanner + monitoramento) é projetada para evitar que a injeção seja armazenada e bloquear tentativas de exploração que atinjam usuários privilegiados — dando a você tempo para atualizar plugins com segurança e realizar limpezas com confiança.

11) Exemplos práticos de remediação para administradores de sistema e desenvolvedores

A. Como remover com segurança tags de script armazenadas das opções (WP-CLI):

  1. Backup DB:
    • wp db export antes de qualquer alteração.
  2. Pesquisar:
    • wp db query "SELECT option_name FROM wp_options WHERE option_value LIKE '%<script%';"
  3. Para cada resultado, atualize com segurança:
    • Usar wp option get NOME_OPÇÃO para revisar.
    • Se inseguro, sanitize e atualize:
      • wp option update NOME_OPÇÃO "$(wp option get NOME_OPÇÃO | php -r '$s=fgets(STDIN); echo strip_tags($s);')"

B. Como invalidar sessões e girar sais:

  • Gire sais em wp-config.php: gere novas chaves via https://api.wordpress.org/secret-key/1.1/salt/ e atualize wp-config.php.
  • Forçar redefinições de senha: Para cada usuário, defina senha do usuário via wp-cli ou instrua os usuários a redefinir via e-mail.
  • Limpar sessões: Se você usar um plugin para sessões, siga a documentação do plugin. Caso contrário, use WP-CLI ou atualizações de banco de dados para limpar tokens de sessão na tabela usermeta.

C. Pesquisando o sistema de arquivos por JavaScript injetado:

  • grep -R --line-number -i "<script" wp-content/uploads
  • Inspecione qualquer arquivo retornado para legitimidade.

12) Orientação de comunicação: o que dizer aos seus clientes ou partes interessadas

Se você gerencia sites de clientes, a transparência é importante. Aqui está um texto de exemplo que você pode usar:

  • Para notificação imediata:
    • “Identificamos que um plugin instalado em seu site (Injection Guard, anterior à v1.3.0) está afetado por uma vulnerabilidade XSS armazenada (CVE-2026-3368). Estamos aplicando medidas de proteção e atualizaremos o plugin para a versão corrigida. Nenhuma evidência de exploração foi encontrada (ainda). Recomendamos alterar as senhas de administrador após a atualização como uma precaução adicional.”
  • Para acompanhamento após mitigação:
    • “Atualizamos o plugin para a versão corrigida e implementamos regras de WAF para bloquear tentativas de exploração. Escaneamos o site em busca de artefatos maliciosos e encontramos [nenhum/encontrado X]. Se algo suspeito foi encontrado, realizamos a limpeza e rotacionamos as credenciais.”

13) Defesas de longo prazo para reduzir o risco de plugins

  • Princípio do privilégio mínimo: Limite contas de usuário e restrinja a capacidade de gerenciamento de plugins a um pequeno conjunto de administradores confiáveis.
  • Reforce o acesso de administrador: Implemente lista de permissões de IP, autenticação HTTP para /wp-admin e 2FA.
  • Mantenha um inventário: Mantenha uma lista de todos os plugins instalados e monitore por divulgações.
  • Staging & teste: Teste atualizações de plugins em staging antes de enviar para produção.
  • Política de patching automatizado: Onde aceitável, habilite atualizações automáticas para patches não disruptivos ou agende janelas de atualização gerenciáveis.
  • Avaliação de terceiros: Use a reputação do plugin e revisões de código para plugins que você instala.
  • Monitoramento contínuo: Monitoramento de integridade de arquivos (FIM) e detecção de anomalias de tráfego.

14) Exemplo de substituição segura para desenvolvedores para código vulnerável (conceitual)

Se o plugin armazenar um parâmetro GET sem sanitização, substitua o armazenamento inseguro por um fluxo de trabalho validado e sanitizado — e exija nonces CSRF e verificações de capacidade para alterações de administrador. Exemplo de pseudo-correção conceitual:

<?php

Permita apenas armazenamento através de envios de formulários autenticados e autorizados, e sempre escape a saída no momento da renderização.

15) Linha do tempo e atribuição

  • Descoberta / divulgação pública: 23 de março de 2026
  • CVE: CVE-2026-3368
  • Corrigido em: Injection Guard v1.3.0
  • Pesquisador creditado: Itthidej Aramsri (Boeing777)

16) Perguntas frequentes

P: Um atacante não autenticado pode comprometer completamente meu site usando essa vulnerabilidade?
UM: A injeção inicial não requer autenticação, mas a exploração geralmente requer que um administrador ou usuário privilegiado visualize a carga útil armazenada. Se um administrador a visualizar, o atacante pode realizar ações administrativas através do script injetado, potencialmente levando a um comprometimento total.

P: Eu atualizei, ainda preciso me preocupar?
UM: Atualize para 1.3.0 ou posterior o mais rápido possível. Após a atualização, escaneie em busca de cargas úteis armazenadas e verifique se nenhuma ação administrativa foi realizada. Se sua atualização foi atrasada, assuma uma possível exposição e siga a lista de verificação de recuperação.

P: E se eu não tiver um backup?
UM: Crie um backup imediatamente antes de qualquer etapa de remediação. Se não houver backup, seja conservador e entre em contato com um profissional de resposta a incidentes — as ações de remediação podem ser destrutivas sem backups.

17) Proteja-se hoje com nosso plano de proteção de site gratuito

Se você é responsável pela segurança do WordPress, o risco de vulnerabilidades de plugins como esta é real e imediato. Para ajudar os proprietários de sites a agir rapidamente e com confiança, oferecemos um plano Básico gratuito que fornece proteções essenciais sem custo: um firewall gerenciado, regras WAF, largura de banda ilimitada, varredura de malware e mitigação contra os riscos do OWASP Top 10. Se você deseja correção virtual imediata e varredura para bloquear tentativas de exploração enquanto atualiza plugins e realiza limpeza, inscreva-se no plano WP-Firewall Básico (Gratuito) em: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Nosso plano Básico é projetado para parar muitos ataques automatizados e dar aos administradores espaço para atualizar e limpar sites. A atualização para planos pagos adiciona remoção automática de malware, blacklist de IP, relatórios de segurança mensais e correção virtual automatizada para ameaças emergentes.

18) Recomendações finais — lista de verificação priorizada

  1. Se o Injection Guard estiver instalado: atualize para v1.3.0 imediatamente.
  2. Se não for possível atualizar imediatamente:
    • Aplique regras de WAF/correção virtual para bloquear suspeitas nome solicitações de parâmetros.
    • Implemente a sanitização temporária de mu-plugin (veja o exemplo).
  3. Faça backup do site e do banco de dados antes de qualquer modificação.
  4. Escaneie o banco de dados e arquivos em busca de tags de script armazenadas e remova-as com segurança.
  5. Altere senhas de administrador e invalide sessões.
  6. Audite usuários administradores, plugins instalados e alterações recentes de arquivos.
  7. Imponha 2FA e outras medidas de segurança para administradores.
  8. Considere mudar para uma solução de segurança gerenciada com WAF + mitigação automatizada.

Nota final do WP-Firewall

Sabemos como as divulgações de segurança podem ser estressantes. Nossa filosofia é simples: a velocidade importa. Proteja primeiro (patch virtual + WAF), depois atualize, e então limpe e audite minuciosamente. Essa abordagem reduz a janela de exposição e minimiza a chance de comprometimento.

Se você gerencia vários sites WordPress, priorize aqueles que expõem usuários administradores ao tráfego externo, aqueles que hospedam e-commerce ou dados sensíveis, e aqueles com janelas de manutenção de baixa frequência. Se você gostaria de orientação adaptada ao seu ambiente, as equipes de suporte e serviços gerenciados da WP-Firewall estão prontas para ajudar.

Mantenha-se seguro e aja rapidamente — atualize, escaneie e proteja.

— Equipe de Segurança do Firewall WP

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™