Dureza Contra Escalação de Privilégios em Complementos Essenciais//Publicado em 2026-05-14//CVE-2026-5193

EQUIPE DE SEGURANÇA WP-FIREWALL

Essential Addons for Elementor Vulnerability

Nome do plugin Complementos essenciais para Elementor
Tipo de vulnerabilidade Escalação de privilégios
Número CVE CVE-2026-5193
Urgência Baixo
Data de publicação do CVE 2026-05-14
URL de origem CVE-2026-5193

Escalada de privilégios no “Essential Addons for Elementor” (<= 6.5.13) — O que os proprietários de sites WordPress precisam saber e como proteger seu site

Autor: Equipe de Segurança do Firewall WP
Data: 2026-05-14
Etiquetas: WordPress, Vulnerabilidade, WAF, Segurança de plugin, Resposta a incidentes

Resumo: Uma vulnerabilidade de escalada de privilégios recentemente divulgada que afeta o Essential Addons for Elementor — componente Popular Elementor Templates & Widgets (versões <= 6.5.13) permite que usuários autenticados com privilégios de nível Autor realizem ações que não deveriam ser capazes de fazer. O fornecedor corrigiu o problema na versão 6.6.0. Este post explica o risco, como os atacantes podem explorá-lo, como você pode detectar abusos e passos práticos que você deve tomar agora — incluindo um controle compensatório robusto usando um WAF gerenciado e nosso plano gratuito WP‑Firewall.

Índice

  • O que aconteceu (nível alto)
  • Quem é afetado?
  • Por que isso é perigoso
  • Como a vulnerabilidade funciona (em alto nível, não acionável)
  • Indicadores de comprometimento (IoCs) e orientações de detecção
  • Passos imediatos de remediação (atualização, fortalecimento, investigação)
  • Mitigações temporárias se você ainda não puder aplicar o patch
  • Orientação de WAF / patch virtual (regras e assinaturas que você pode aplicar)
  • Lista de verificação pós-incidente e recuperação
  • Melhorias na postura de segurança a longo prazo
  • Proteja seu site com WP‑Firewall (plano gratuito)
  • Considerações finais e recursos

O que aconteceu (nível alto)

Uma vulnerabilidade de escalada de privilégios foi divulgada para o componente do plugin Essential Addons for Elementor (Popular Elementor Templates & Widgets), afetando versões até e incluindo 6.5.13. O problema permite que um usuário autenticado com o papel de Autor acione funcionalidades no plugin que deveriam ter sido limitadas a contas com privilégios mais altos. Isso significa que um atacante que ganha ou já tem acesso de Autor pode potencialmente expandir suas capacidades e realizar ações administrativas, dependendo das verificações exatas contornadas no caminho de código vulnerável.

O fornecedor lançou uma correção na versão 6.6.0. Se seu site estiver executando uma versão anterior a 6.6.0, você deve considerar isso uma prioridade a ser resolvida.

Referência CVE: CVE-2026-5193
Classificado como: Escalada de privilégios / Falhas de identificação e autenticação
Gravidade: Moderado (pontuação base CVSS reportada como 6.5)

Quem é afetado?

  • Sites WordPress que têm o plugin Essential Addons for Elementor instalado onde o componente Popular Elementor Templates & Widgets do plugin está presente (<= 6.5.13).
  • Sites onde um atacante pode criar ou tem acesso a uma conta de nível Autor (ou comprometer uma conta de Autor existente).
  • Instâncias multisite usando o plugin afetado também podem estar em risco, dependendo de como os endpoints e verificações de capacidade do plugin foram implementados.

Observação: Sites que não usam este plugin ou já atualizaram para a versão 6.6.0 ou mais recente não são afetados por este problema específico.

Por que isso é perigoso

À primeira vista, pode parecer que “apenas Autores” estão afetados — e Autores tradicionalmente têm capacidades limitadas. No entanto:

  • Contas de Autor são comumente usadas para colaboradores convidados, escritores da equipe, ou comprometidas via reutilização de credenciais ou phishing. Muitos sites permitem que Autores se registrem ou sejam convidados.
  • Bugs de escalonamento de privilégios permitem que um atacante passe de ações limitadas (criar postagens, fazer upload de mídia) para ações de administração do site (instalar/ativar plugins, alterar temas, modificar configurações, criar usuários administrativos).
  • Uma vez que o acesso de nível administrativo é alcançado, um atacante pode persistir no site, implantar backdoors, pivotar para outros sistemas (conta de hospedagem, bancos de dados, serviços integrados) ou usar o site para campanhas maiores (distribuição de malware, spam de SEO, desfigurações, criptomoeda).

Mesmo que o plugin apenas permitisse escalonamento parcial (por exemplo, a capacidade de modificar configurações específicas do plugin), um atacante pode frequentemente combinar isso com outros problemas ou engenharia social para obter controle total.

Como a vulnerabilidade funciona (em alto nível, não acionável)

Não publicaremos código de exploração ou instruções passo a passo. Mas para ajudar os administradores a entender o risco, aqui está uma explicação não acionável:

  • O plugin expõe funcionalidades via endpoints AJAX ou REST e manipuladores internos para suportar importação/exportação de templates, gerenciamento de widgets ou recursos de catálogo de templates.
  • Pelo menos um desses manipuladores falhou em impor verificações de capacidade adequadas ou assumiu incorretamente as capacidades do chamador ao realizar operações sensíveis (como alterar configurações, importar templates que contêm conteúdo executável ou modificar dados associados a privilégios mais altos).
  • Porque o código confiou na solicitação do usuário autenticado sem verificar se o usuário tinha as capacidades necessárias do WordPress (por exemplo, manage_options, edit_theme_options ou manage_plugins), uma conta de Autor poderia acionar ações reservadas para administradores.

A causa raiz é tipicamente uma verificação de autorização insuficiente — um padrão comum em vulnerabilidades de plugins. A correção na versão 6.6.0 corrige as verificações para que apenas contas com capacidades adequadas possam realizar as ações sensíveis.

Indicadores de Compromisso (IoCs) e orientações de detecção

Se você estiver executando uma versão afetada e quiser saber se seu site já pode ter sido abusado, procure os seguintes sinais. Estes não são provas definitivas, mas são indicadores comuns para investigar mais a fundo.

  1. Usuários administrativos inesperados
    • Novas contas com o administrador papel criado recentemente.
    • Usuários existentes promovidos repentinamente a papéis mais altos.
    • Consulta ao banco de dados (MySQL) para listar novos administradores: 
      SELECT user_login, user_email, user_registered FROM wp_users u JOIN wp_usermeta m ON u.ID = m.user_id WHERE m.meta_key = 'wp_capabilities' AND m.meta_value LIKE 'ministrator%' AND u.user_registered > '2026-05-01';
  2. Mudanças repentinas de plugins/temas
    • Plugins ativados que você não ativou.
    • Mudanças ou uploads de tema não aprovados.
  3. Configurações de plugin modificadas ou templates desconhecidos
    • Opções específicas do plugin alteradas na tabela wp_options para chaves que pertencem ao plugin afetado.
    • Novos templates importados no Elementor/Essential Addons que contêm código inesperado ou dependências externas.
  4. Atividade administrativa incomum de contas de Autor
    • Registros de auditoria mostrando contas de usuários Autor acessando endpoints administrativos ou executando ações que normalmente não podem realizar.
    • Solicitações POST suspeitas para admin-ajax.php ou endpoints REST provenientes de contas de Autor.
  5. Alterações de arquivos e backdoors
    • Novos arquivos PHP em wp-content/uploads ou wp-content/plugins que são desconhecidos.
    • Arquivos de núcleo ou de tema modificados com código injetado.
  6. Conexões de saída incomuns
    • Solicitações HTTP inesperadas do servidor para IPs ou domínios externos (beacons, comando e controle).
    • Logs de nível de servidor e regras de firewall de saída podem revelar isso.
  7. Tarefas cron ou tarefas agendadas
    • Novas tarefas agendadas (wp-cron) que são executadas em horários estranhos ou chamam caminhos de código desconhecidos.
  8. Logs do servidor web e de acesso
    • Procure por solicitações repetidas a endpoints de plugins conhecidos em torno do momento de ações suspeitas.
    • Procure por strings de user-agent anômalas ou POSTs repetidos do mesmo IP ligados a contas de Autor.

Sempre que possível, preserve logs (servidor web, PHP-FPM, banco de dados) e clone o diretório do site e o DB antes de realizar remediações intrusivas para análise forense.

Passos imediatos de remediação (ordem recomendada)

Se o seu site usa a versão do plugin afetado, tome as seguintes medidas imediatas. Elas estão listadas em ordem de prioridade.

  1. Atualize o plugin para a versão 6.6.0 (ou posterior) imediatamente
    • Esta é a correção definitiva.
    • Use WordPress admin → Plugins → Atualizar, ou WP‑CLI: 
      wp plugin update essential-addons-for-elementor-lite
    • Sempre teste atualizações em um ambiente de staging se você tiver personalizações complexas, mas para esta classe de vulnerabilidade a atualização deve ser priorizada.
  2. Redefina credenciais e revise contas
    • Force a redefinição de senha para contas de Administrador e quaisquer contas privilegiadas.
    • Revise os usuários com funções de Autor e Editor: remova contas não utilizadas, reduza o número de Autores sempre que possível.
    • Considere forçar todos os Autores a usar senhas fortes e habilitar a autenticação de dois fatores (2FA) para Editores e Administradores.
  3. Revise os logs e investigue
    • Verifique os logs de acesso em busca de ações suspeitas de contas de Autor.
    • Procure novos usuários administradores, instalações de plugins ou temas, opções modificadas.
  4. Faça uma varredura no site em busca de malware/backdoors
    • Execute uma verificação de malware em arquivos e no banco de dados.
    • Procure arquivos PHP em diretórios de upload ou arquivos com timestamps de modificação recentes após a divulgação da vulnerabilidade.
  5. Revogue chaves de API obsoletas e gire credenciais
    • Se o site usar chaves de API de terceiros, gire-as como precaução.
  6. Restaure a partir de um backup conhecido como bom, se necessário
    • Se você encontrar evidências de comprometimento que não pode remediar completamente, restaure para um backup feito antes da atividade suspeita.
    • Nota: certifique-se de que o backup esteja limpo; caso contrário, você pode reintroduzir a vulnerabilidade.
  7. Alterações de endurecimento
    • Remova plugins e temas não utilizados.
    • Limite o acesso ao editor de plugins/temas (define('DISALLOW_FILE_EDIT', true) em wp-config.php).
    • Use o princípio do menor privilégio nas contas de usuário.
  8. Notificar as partes interessadas
    • Informe os proprietários do site, o provedor de hospedagem e as partes interessadas sobre o status do incidente e as etapas de remediação que você está tomando.

Mitigações temporárias se você não puder aplicar o patch imediatamente

Se você não puder aplicar imediatamente o patch do fornecedor (por exemplo, devido a personalizações ou restrições de staging), implemente controles compensatórios para reduzir a superfície de ataque:

  1. Aplique uma regra WAF direcionada / patch virtual
    • Bloqueie ou filtre solicitações suspeitas direcionadas aos endpoints do plugin.
    • Implemente validação rigorosa para parâmetros e garanta que apenas os métodos HTTP esperados sejam permitidos.
  2. Restringir o acesso aos endpoints do plugin por IP
    • Se o plugin expuser endpoints sob uma URL previsível, restrinja o acesso POST e GET a intervalos de IP confiáveis usando regras de servidor web ou .htaccess (apenas se seu fluxo de trabalho editorial permitir).
    • Exemplo (pseudo .htaccess do Apache):

      <LocationMatch "/wp-json/eael/|/wp-admin/admin-ajax.php.*action=eael_">
  Require ip 203.0.113.0/24
  Require ip 198.51.100.0/24
</LocationMatch>
    • Tenha cuidado para não bloquear usuários ou serviços legítimos.
  3. Reduzir temporariamente as capacidades do Autor
    • Reduza o que os Autores podem fazer (por exemplo, impedir uploads de arquivos ou limitar o uso de endpoints administrativos).
    • Crie um papel personalizado com permissões mais rigorosas para colaboradores até que você faça a correção.
  4. Desativar plugin ou componente
    • Se o risco for inaceitável, desative o plugin afetado ou desative o componente específico (se o plugin suportar desativação modular).
    • Nota: desativar pode quebrar a funcionalidade do site; planeje e comunique-se com o proprietário do site.
  5. Monitorar com registro e alertas aumentados
    • Aumente a verbosidade do registro por um curto período.
    • Configure alertas para a criação de usuários administrativos, mudanças de função ou eventos de modificação de arquivos.

Orientação sobre WAF e patch virtual (como o WP‑Firewall protege você)

No WP‑Firewall, recomendamos uma abordagem em camadas: conserte o código sempre que possível, depois adicione patches virtuais compensatórios e filtragem de tráfego mais rigorosa. Se você executar nosso WAF gerenciado, podemos bloquear tentativas de exploração proativamente. Abaixo estão assinaturas de detecção de exemplo e regras conceituais de WAF que você pode usar (não copie cargas ou ajude a armamentar o problema).

Importante: Essas assinaturas são conceituais e devem ser testadas em um ambiente de staging antes da produção.

  1. Regra genérica de aplicação de capacidade REST/AJAX (pseudo-regra)
    • Propósito: bloquear solicitações não autorizadas para endpoints de plugin que devem ser restritos a funções de nível administrativo.
    • Correspondência:
      • Solicitações para padrões de caminho de plugin (exemplos):
        • /wp-json/essential-addons/v1/*
        • /wp-admin/admin-ajax.php com parâmetro action contendo ações específicas do plugin (por exemplo, eael_* ou eael_import)
      • Método de solicitação: POST ou PUT
      • Ausência de um nonce WP válido ou incompatibilidade de nonce para o usuário autenticado
    • Ação: Bloquear / desafiar (403) ou registrar e notificar
    • Exemplo ModSecurity (conceitual): 
      SecRule REQUEST_URI "@rx /wp-json/.*eael|admin-ajax\.php.*action=eael_" "fase:2,negar,status:403,msg:'Bloquear chamada ajax/rest de essential-addons potencialmente não autorizada',log,id:100001"
  2. Validação de parâmetros e verificações de comprimento
    • Bloquear solicitações com parâmetros que incluam dados serializados suspeitos, strings semelhantes a eval ou cargas extremamente longas usadas para contrabandear dados administrativos.
    • Exemplo ModSecurity: 
      SecRule ARGS_NAMES|ARGS "@rx (base64_encode|serialize|eval|shell_exec)" "fase:2,negar,status:403,msg:'Bloquear função suspeita na solicitação',id:100002"
  3. Detecção de escalonamento de função (regra para detectar mudanças)
    • Monitorar solicitações que tentam definir chaves meta de usuário para capacidades (chave meta: *capabilities*)
    • Se uma solicitação se originar de uma sessão não administrativa e tentar mudar funções de usuário, bloquear e alertar.
  4. Reputação de IP e proteção contra força bruta
    • Bloquear ou limitar a taxa de tráfego de IPs que fazem solicitações repetidas para endpoints do plugin.
    • Limitar tentativas de login e controlar tráfego API suspeito.
  5. Patch virtual (se você executar o serviço gerenciado WP‑Firewall)
    • Podemos implantar patches virtuais direcionados para bloquear os padrões exatos de endpoints vulneráveis, mantendo o restante da operação do plugin intacto.
  6. Registro e alerta
    • Criar alertas para eventos bloqueados para triagem imediata.
    • Manter uma política de retenção de alertas de curto prazo para resposta rápida.

Observação: As regras do WAF devem ser testadas para evitar falsos positivos que possam quebrar a funcionalidade legítima do site. Em caso de dúvida, defina a regra para o modo de monitoramento primeiro.

Receitas de detecção: consultas e dicas de monitoramento

  • Encontre administradores criados recentemente (MySQL): 
    SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE ID IN (SELECT user_id FROM wp_usermeta WHERE meta_key='wp_capabilities' AND meta_value LIKE 'ministrator%') ORDER BY user_registered DESC LIMIT 20;
  • Liste as alterações de opções recentes para o plugin (verifique os padrões de option_name): 
    SELECT option_name, option_value, autoload FROM wp_options WHERE option_name LIKE 'el%' OR option_name LIKE '%essential_addons%' ORDER BY option_id DESC LIMIT 50;
  • Procure arquivos PHP recentemente modificados: 
    find /caminho/para/wp-content -name '*.php' -mtime -14 -print
  • Verifique os logs do servidor web para solicitações POST para possíveis endpoints: 
    grep -E "wp-json.*eael|admin-ajax.php.*eael" /var/log/nginx/access.log | tail -n 200
  • Verifique entradas de cron suspeitas: 
    wp cron event list --due-now'
  • Audite a lista de plugins e os últimos horários de atualização: 
    wp plugin list --format=csv

Lista de verificação pós-incidente e recuperação

Se você determinar que o site foi abusado, faça o seguinte além das etapas imediatas de remediação:

  1. Conter
    • Coloque o site em modo de manutenção.
    • Desative temporariamente o acesso remoto (SFTP, SSH) se suspeitar de roubo de credenciais.
  2. Preserve as evidências.
    • Exporte logs de acesso do servidor web, logs de erro do PHP e logs do banco de dados.
    • Faça uma cópia dos arquivos do site e do banco de dados para análise forense.
  3. Remova portas traseiras e restaure a integridade
    • Substitua os arquivos principais do WordPress por cópias oficiais.
    • Reinstale plugins e temas de fontes oficiais.
    • Remova arquivos desconhecidos, especialmente arquivos PHP em uploads.
  4. Reconstruir a confiança
    • Altere todas as senhas (usuários WP, banco de dados, painel de hospedagem, FTP/SFTP).
    • Gire chaves de API e tokens usados pelo site.
  5. Reative os serviços e monitore
    • Traga o site de volta e monitore de perto para recorrências.
    • Mantenha o WAF em modo de bloqueio para as assinaturas relevantes por pelo menos 30 dias.
  6. Relate e aprenda
    • Notifique as partes interessadas, clientes e possivelmente usuários se houve exposição de dados.
    • Realize uma análise pós-morte para determinar a causa raiz e melhorar os processos (cadência de patches, controle de acesso, monitoramento).

Melhorias na postura de segurança a longo prazo

O padrão recorrente em incidentes do WordPress não é apenas uma única vulnerabilidade, mas uma segurança operacional fraca em torno da gestão de plugins, acesso de usuários e monitoramento. Para reduzir seu raio de explosão para problemas futuros:

  • Aplique o princípio do menor privilégio para funções de usuário. Reavalie as definições de função para Autores e Editores.
  • Mantenha uma cadência de patches: atualize plugins, temas e o núcleo do WordPress regularmente em staging e depois em produção.
  • Use detecção automatizada de vulnerabilidades e um WAF gerenciado que possa aplicar patches virtuais enquanto você prepara e testa as atualizações do fornecedor.
  • Mantenha backups regulares (diários) com retenção segura e fora do site e verifique os procedimentos de restauração periodicamente.
  • Reforce sua área administrativa: restrinja wp-admin por IP para administradores onde for viável, aplique senhas fortes e ative a 2FA.
  • Use registro e alerta focados em segurança (monitoramento de integridade de arquivos, registro de atividade do usuário).
  • Revise plugins de terceiros: remova plugins não utilizados ou mal mantidos; prefira plugins com manutenção ativa e resposta rápida a segurança.

Proteja seu site com WP‑Firewall (plano gratuito)

Proteja seu site WordPress hoje — proteção gratuita que cobre o essencial

No WP‑Firewall, oferecemos um plano Básico gratuito que fornece proteções práticas e imediatas para sites de qualquer tamanho. O plano Básico (Gratuito) inclui um firewall gerenciado, largura de banda ilimitada, um firewall de aplicação web (WAF), varredura de malware e mitigação dos riscos do OWASP Top 10. Isso significa que, para incidentes como essa elevação de privilégio, nosso WAF gerenciado pode aplicar patches virtuais e bloquear tentativas de exploração em tempo real enquanto você testa e aplica a atualização do fornecedor. Se você quiser começar rapidamente, inscreva-se no plano gratuito aqui: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se você precisar de mais do que o essencial, nossos planos Standard e Pro adicionam remoção automática de malware, blacklist/whitelist de IP, relatórios mensais, patching virtual automático e suporte dedicado — para que você possa se concentrar no conteúdo do seu site enquanto cuidamos da proteção.

Exemplo prático: como protegeríamos um site dessa vulnerabilidade

  1. Identifique os endpoints do plugin e insira regras de WAF focadas para bloquear:
    • Solicitações POST para ações específicas do plugin de sessões não administrativas.
    • Solicitações que não possuem nonces válidos do WordPress onde necessário.
  2. Coloque as regras em modo “monitorar” por 24 horas para avaliar falsos positivos, depois mude para “bloquear” se for seguro.
  3. Notifique os administradores do site e agende a atualização do plugin para 6.6.0 (ou a mais recente especificada pelo fornecedor).
  4. Após a atualização, execute uma verificação de integridade de arquivos e DB, e mantenha as assinaturas do WAF ativas por mais 30 dias.

Essa abordagem compra tempo e reduz o risco sem quebrar os fluxos de trabalho editoriais.

Perguntas frequentes (FAQ)

P: Meu site possui apenas contas de Autor para colaboradores confiáveis — ainda estou em risco?
UM: Sim. Colaboradores confiáveis podem ter suas contas comprometidas por meio de senhas reutilizadas, phishing ou outros ataques. Qualquer conta com privilégios de Autor pode ser usada para explorar essa vulnerabilidade até que o plugin seja corrigido.

P: Posso desativar o plugin com segurança enquanto testo a atualização?
UM: Possivelmente, mas tenha em mente que desativar pode quebrar páginas construídas com widgets ou templates do Elementor. Se o tempo de inatividade for aceitável ou se você puder colocar o site em modo de manutenção, desativar o componente do plugin afetado é a mitigação mais conservadora.

P: Devo reverter para uma versão mais antiga do plugin?
UM: Não. Reverter não é recomendado porque versões mais antigas também podem ser vulneráveis ou incompatíveis com outro código. Atualizar para a versão corrigida é a abordagem preferida.

P: Um WAF me protegerá completamente de futuras vulnerabilidades?
UM: Um WAF é um forte controle compensatório e pode bloquear tráfego de ataque e prevenir a exploração de problemas conhecidos, mas não é um substituto para manter plugins e o núcleo atualizados. Combine a proteção do WAF com gerenciamento de patches e higiene de segurança.

Considerações finais e próximos passos

Este caso de escalonamento de privilégios é um lembrete de que cada plugin é parte da superfície de ataque do seu site. Os atacantes procuram combinações: um usuário com privilégios relativamente baixos mais um plugin que não impõe verificações de autorização iguala a oportunidade.

Passos práticos a serem tomados agora:

  • Confirme a versão do seu plugin. Se <= 6.5.13, atualize para 6.6.0 ou posterior.
  • Se você não puder atualizar imediatamente, aplique controles compensatórios (regra WAF, restrinja o acesso, diminua as capacidades de Autor).
  • Revise e fortaleça contas de usuários e credenciais.
  • Execute uma verificação de malware e pesquise logs por atividades suspeitas.
  • Considere um WAF gerenciado ou serviço de segurança para fornecer correção virtual rápida e monitoramento.

Se você gostaria de ajuda para implementar correção virtual ou aplicar regras WAF focadas para proteger seu site enquanto testa atualizações, nossa equipe de segurança da WP‑Firewall está pronta para ajudar. Você pode começar com o plano gratuito que cobre proteções essenciais imediatamente: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Fique seguro e priorize atualizações pontuais — a maioria das compromissos de site bem-sucedidos é resultado de problemas conhecidos que permaneceram sem correção por dias, semanas ou meses.

— Equipe de Segurança do Firewall WP

Referências e leitura adicional

  • Aviso de segurança do fornecedor (registro de alterações do plugin): verifique o registro de alterações oficial do plugin para as notas de lançamento 6.6.0.
  • Guia de endurecimento do WordPress: siga as recomendações do WordPress.org para funções de usuário, backups e atualizações.
  • Modelos de resposta a incidentes: mantenha um manual de resposta a incidentes para seu site ou agência.

(Fim do post)

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado

© 2026 WP-Firewall™