Ausência de autorização permite que assinantes instalem o tema de demonstração//Publicado em 19/08/2025//CVE-2025-9202

EQUIPE DE SEGURANÇA WP-FIREWALL

ColorMag CVE-2025-9202 Vulnerability

Nome do plugin ColorMag
Tipo de vulnerabilidade Autorização ausente
Número CVE CVE-2025-9202
Urgência Baixo
Data de publicação do CVE 2025-08-19
URL de origem CVE-2025-9202

ColorMag <= 4.0.19 — A falta de autorização permite que assinantes autenticados instalem o ThemeGrill Demo Importer (CVE-2025-9202)

Como equipe do WP-Firewall — um firewall gerenciado para WordPress e serviço de proteção de sites — acompanhamos de perto divulgações como esta. Em 19 de agosto de 2025, foi publicada uma vulnerabilidade de Controle de Acesso Quebrado que afeta o tema ColorMag (versões <= 4.0.19) (CVE-2025-9202). A vulnerabilidade permite que um usuário autenticado com privilégios de Assinante acione a instalação do plugin ThemeGrill Demo Importer devido à ausência de uma verificação de autorização na funcionalidade de importação de demonstração do tema.

Embora o nível de privilégio necessário seja baixo (Assinante), o risco prático e o alcance da ameaça tornam importante compreender e mitigar essa vulnerabilidade: a instalação de plugins é uma operação poderosa. Se um atacante conseguir instalar um plugin que controla (ou um plugin malicioso/abusivo), ele pode escalar para o controle total do site, manter backdoors ou exfiltrar dados confidenciais. Neste post, explicarei a vulnerabilidade, o impacto no mundo real, as ações imediatas recomendadas, o fortalecimento da segurança a longo prazo, as abordagens de detecção e mitigação (incluindo como o WP-Firewall protege você) e as etapas para resposta a incidentes.

Observação: Se você administra sites da ColorMag, atualize o tema para a versão 4.0.20 ou superior imediatamente. O fornecedor lançou uma correção na versão 4.0.20.

TL;DR (Resumo rápido)

  • O que: Controle de acesso comprometido no tema ColorMag ≤ 4.0.19 (CVE-2025-9202).
  • Impacto: Um assinante autenticado (com privilégios muito baixos) pode acionar uma ação que instala o plugin ThemeGrill Demo Importer.
  • Gravidade: Baixo CVSS (4.3), mas o risco prático pode ser alto se explorado (instalação de plugin → comprometimento adicional).
  • Consertar: Atualize o ColorMag para a versão 4.0.20 ou posterior. Remova plugins de importação/não utilizados. Verifique o site em busca de plugins não autorizados ou backdoors.
  • Dica do WP-Firewall: Se não for possível atualizar imediatamente, habilite as regras de aplicação de patches virtuais/WAF para bloquear solicitações relacionadas à instalação de plugins de usuários com privilégios limitados.

Por que essa vulnerabilidade é importante (risco prático)

À primeira vista, a ideia de que "um assinante possa instalar um plugin" parece improvável — o WordPress normalmente restringe a instalação de plugins a administradores. Mas esse é o ponto: a lógica de importação da demonstração do tema invocou um caminho de código que:

  • Funcionalidade chamada de instalação de plugins sem verificação. usuário_atual_pode('instalar_plugins'), ou
  • Falha na verificação de nonces/autorização ao executar uma ação de instalação.

De qualquer forma, o resultado é o mesmo: contas com privilégios baixos podem acionar uma operação que deveria ser exclusiva de contas com privilégios elevados. O cenário do atacante é simples:

  1. O atacante cria (ou utiliza uma conta de assinante existente) no site alvo. Isso pode ocorrer por meio de auto-registro (se permitido), formulários de comentários, configuração incorreta das definições ou credenciais comprometidas.
  2. Enquanto estiver conectado como assinante, o atacante invoca a ação de importação de demonstração (seja pela interface de administração ou criando uma solicitação HTTP).
  3. O código vulnerável executa as etapas de instalação do plugin (download, descompactação, instalação) para o plugin ThemeGrill Demo Importer sem validar as capacidades.
  4. Uma vez instalado esse plugin, etapas adicionais de ataque tornam-se possíveis — especialmente se o atacante conseguir carregar um plugin malicioso ou explorar um plugin com proteções mais fracas.

Por que a instalação é tão perigosa?

  • Os plugins executam código PHP no contexto do site. Instalar um plugin que você controla permite executar código PHP arbitrário.
  • Os atacantes podem adicionar tarefas agendadas, criar usuários administradores com acesso restrito, substituir conteúdo ou exfiltrar dados.
  • Recuperar-se de uma invasão baseada em plugin pode ser difícil se o atacante persistir.

Embora a vulnerabilidade em si seja classificada como "baixa" pelo CVSS, as consequências no mundo real dependem das ações subsequentes tomadas por um agente malicioso. Devemos levar a sério qualquer possibilidade de instalar plugins a partir de contas com privilégios limitados.

Como o problema normalmente se apresenta no código (conceitual)

A maioria das vulnerabilidades PHP desse tipo apresenta um padrão semelhante: uma ação que executa uma operação administrativa não verifica as capacidades ou os nonces.

Pseudo-trecho vulnerável (conceitual):

// Chamado quando um botão de importação de demonstração é clicado function colormag_demo_import_handler() { // busca o slug do plugin ou a URL do pacote da requisição $package = $_POST['package']; // baixa e instala o plugin com WP_Upgrader sem verificar current_user_can() $upgrader = new Plugin_Upgrader( new Automatic_Upgrader_Skin() ); $result = $upgrader->install( $package ); // responde com sucesso wp_send_json_success( array('installed' => $result) ); } add_action( 'wp_ajax_colormag_demo_import', 'colormag_demo_import_handler' );

Abordagem paliativa (o que uma implementação correta deveria fazer):

function colormag_demo_import_handler() { // verificação de capacidade if ( ! current_user_can( 'install_plugins' ) ) { wp_send_json_error( 'Não autorizado', 403 ); } // verificação de nonce (proteção via nonce AJAX) if ( ! isset( $_POST['colormag_nonce'] ) || ! wp_verify_nonce( $_POST['colormag_nonce'], 'colormag_demo_import' ) ) { wp_send_json_error( 'Nonce inválido', 400 ); } $package = $_POST['package']; $upgrader = new Plugin_Upgrader( new Automatic_Upgrader_Skin() ); $result = $upgrader->install( $package ); wp_send_json_success( array('installed' => $result) ); }

Pontos principais:

  • Sempre use usuário_atual_pode() para aplicação de capacidades.
  • Nonces (wp_nonce_field / wp_verify_nonce) proteger contra CSRF.
  • Prefira verificações de capacidade no servidor em vez de depender de ocultação na interface do usuário.

Reprodução: etapas conceituais (para defensores e revisores)

Não vou publicar uma receita de exploração aqui, mas defensores e equipes de resposta a incidentes devem entender os passos que um adversário pode seguir para que possam procurar evidências. O padrão de reprodução provável é:

  1. Autentique-se com uma conta de assinante.
  2. Enviar uma solicitação que acione a ação de importação de demonstração do tema (isso pode ser uma chamada AJAX para admin-ajax.php com ação=colormag_demo_import ou para um ponto final específico do tema).
  3. Observe o comportamento do lado do servidor: arquivos de plugin criados em wp-content/plugins, alterações no banco de dados ou respostas HTTP indicando o progresso da instalação do plugin.

Indicadores a serem observados:

  • Diretórios de plugins recém-criados em wp-content/plugins/ Você não instalou.
  • Arquivos inesperados ou arquivos PHP com registros de data e hora que correspondem à atividade de exploração.
  • Novas tarefas cron em opções_wp (matriz cron) que parecem suspeitos.
  • Novos usuários administradores ou modificações em usuários existentes.
  • Registros HTTP mostrando solicitações POST para admin-ajax.php ou admin-post.php a partir de sessões de assinante autenticadas que coincidem com alterações no sistema de arquivos.

Medidas imediatas de mitigação (o que fazer agora)

Se você gerencia sites que executam o ColorMag versão <= 4.0.19, siga estas etapas imediatamente:

  1. Atualize o tema
    • O desenvolvedor lançou a versão 4.0.20, que corrige a verificação de autorização ausente. Atualize imediatamente para a versão 4.0.20 ou superior.
  2. Auditar plugins instalados
    • Verificar wp-content/plugins para quaisquer plugins adicionados recentemente que você não instalou manualmente — especialmente o ThemeGrill Demo Importer e outros plugins de importação.
    • Se encontrar plugins inesperados, desative-os e coloque-os em quarentena (mova-os da pasta de plugins para um local de backup) e investigue.
  3. Verificar contas de usuário
    • Procure por novas contas de administrador ou contas com privilégios elevados adicionadas aproximadamente na mesma época.
    • Revogue todas as contas não reconhecidas e altere as senhas dos administradores existentes.
  4. Verifique os registros e os carimbos de data/hora dos arquivos.
    • Analise os registros de acesso, os registros de erros e conteúdo wp Alterações em busca de sinais de atividade de exploração. Anote endereços IP, agentes de usuário e horários.
  5. Se não for possível atualizar imediatamente, aplique proteções temporárias:
    • Desativar a instalação de plugins em todo o site: define('DISALLOW_FILE_MODS', true); em wp-config.phpAVISO: Isso desativa as atualizações e a instalação de plugins/temas para TODOS os usuários, incluindo administradores. Use apenas como medida emergencial de curto prazo, caso não haja outra opção.
    • Remova a interface de importação da demonstração do tema até que você possa atualizá-la (caso se sinta confortável editando os arquivos do tema).
    • Utilize um firewall de aplicações web (WAF) para bloquear chamadas à ação de instalação do plugin a partir de contas que não sejam de administrador (consulte a seção WP-Firewall abaixo).

Recomendações de mitigação e reforço a longo prazo

Além da solução imediata, implemente medidas de segurança a longo prazo para que um problema semelhante não cause comprometimento no futuro:

  • Princípio do menor privilégio
    • Conceda aos usuários apenas as funcionalidades de que precisam. Evite conceder funcionalidades extras a contas de nível Assinante. Se permitir o registro de usuários, assegure-se de que os novos usuários recebam a função com o mínimo de privilégios e realize auditorias periódicas nos registros.
  • Remover temas e plugins não utilizados
    • Mantenha seu site minimalista. Temas/plugins não utilizados são uma superfície de ataque. Exclua-os completamente em vez de deixá-los inativos.
  • Utilize restrições de função e gerenciamento de capacidades.
    • Considere o uso de plugins ou pequenos plugins essenciais que reforcem as funcionalidades, mas certifique-se de que eles próprios sejam seguros e estejam atualizados.
  • Impor a autenticação de dois fatores (2FA) para contas de administrador.
    • Mesmo que a vulnerabilidade afete apenas o assinante, limitar a capacidade de escalar privilégios de contas ou alterar configurações ajuda.
  • Monitoramento de alterações de segurança
    • Monitoramento da integridade dos arquivos, verificação automatizada de novos plugins e monitoramento de alterações em arquivos importantes (wp-config.php, funções.php, .htaccess) ajudará você a detectar atividades rapidamente.
  • Utilize ambientes de teste e revisão de código.
    • Teste as atualizações e funcionalidades do tema em ambiente de teste antes de habilitá-las em produção — isso pode revelar verificações ausentes ou comportamentos incomuns.
  • Mantenha backups com armazenamento imutável.
    • Cópias de segurança regulares armazenadas fora do local permitem a recuperação caso o site seja comprometido. Mantenha vários pontos de restauração no tempo.

Lista de verificação para resposta a incidentes (caso suspeite de exploração)

Se detectar indícios de que a vulnerabilidade foi explorada, aja rapidamente:

  1. Isole o local
    • Coloque o site em modo de manutenção ou desative temporariamente o acesso público, se possível.
  2. Atualize imediatamente o tema para a versão 4.0.20 ou superior e atualize todos os plugins e o núcleo do sistema.
  3. Remova plugins não autorizados e coloque arquivos suspeitos em quarentena.
    • Remova as pastas de plugins suspeitos de wp-content/plugins Para análise forense. Preserve cópias de arquivos suspeitos para investigação.
  4. Procure por portas traseiras.
    • Procure por arquivos PHP em uploads/, temas/ou pastas de plugins que não pertencem ao sistema. Verifique se há código ofuscado, avaliar(), base64_decodificação(), sistema() uso, etc.
  5. Rotacionar credenciais
    • Altere todas as senhas de administrador, senhas de banco de dados e chaves de API usadas pelo site. Redefina as senhas de todas as contas que possam ser afetadas.
  6. Avaliar a persistência
    • Verifique os eventos agendados, os plugins obrigatórios e os arquivos .php em wp-content/uploadse arquivos principais modificados.
  7. Restaure a partir de um backup limpo, se necessário.
    • Se houver uma restauração limpa disponível antes da ocorrência da violação de segurança, considere restaurar o sistema e, em seguida, aplicar as atualizações e medidas de segurança necessárias.
  8. Relatórios pós-incidente
    • Documente as conclusões e o cronograma. Se este local fizer parte de um conjunto maior de instalações, notifique as partes interessadas e implemente medidas corretivas em todos os locais.

Padrões de detecção e regras de monitoramento que você deve adicionar agora

Adicione as seguintes verificações de detecção à sua pilha de monitoramento ou plugin de segurança:

  • Monitoramento do sistema de arquivos:
    • Alerta para qualquer criação de novos diretórios em wp-content/plugins/ ou novos arquivos PHP em wp-content/uploads/.
  • Monitoramento do comportamento do usuário:
    • Alerta quando um assinante ou outra função com privilégios limitados executa uma ação que normalmente requer capacidades administrativas.
  • Padrões de requisição HTTP:
    • Alerta sobre POSTagens para admin-ajax.php, admin-post.phpou endpoints específicos do tema com parâmetros que indicam a instalação do plugin (por exemplo, URL do pacote, slug do plugin) quando o usuário autenticado não possui privilégios de administrador.
  • Alterações no cron e nas tarefas agendadas:
    • Alerta sobre adições a tarefas agendadas ou hooks cron inesperados.
  • Usuários administradores novos ou modificados:
    • Alerta imediato de alta prioridade quando um novo administrador é adicionado.

Esses padrões ajudarão a detectar tentativas de explorar a falta de verificações de capacidade e lhe darão tempo para responder antes que a persistência seja estabelecida.

Como o WP-Firewall protege os sites contra esse tipo de vulnerabilidade

Na WP-Firewall, abordamos incidentes como este em duas fases: proteção preventiva e aplicação de patches virtuais.

  1. Proteção preventiva (linha de base)
    • Implementamos uma validação rigorosa de solicitações e bloqueamos operações conhecidas por serem de risco para usuários com privilégios limitados. Isso inclui:
      • Bloquear solicitações que tentem instalar ou atualizar plugins/temas, a menos que a sessão pertença a uma função privilegiada.
      • Detecção e bloqueio de tentativas de acesso aos endpoints do instalador de temas/plugins a partir de fontes não administrativas.
      • Limitação da taxa de criação de contas e padrões POST suspeitos.
  2. Correção virtual (quando não é possível atualizar imediatamente)
    • O patch virtual oferece uma proteção de curto prazo: se um tema/plugin tiver uma falha conhecida na verificação de autorização, o WAF insere uma regra que bloqueia o caminho específico da exploração (com base nos atributos da requisição) sem modificar o código do seu site. Isso ganha tempo para corrigir completamente a vulnerabilidade, ao mesmo tempo que impede a exploração em situações reais.
    • Para esta edição da ColorMag, as regras típicas de WAF/patch virtual são:
      • Bloquear chamadas admin-ajax/admin-post que contenham ações relacionadas ao instalador quando a função do usuário autenticado for Assinante (ou quando nenhuma sessão de administrador estiver presente).
      • Bloquear fluxos HTTP de instalação de plugins originados da interface do usuário do importador de temas/demonstrações, a menos que a conta seja de administrador.
      • Bloquear solicitações que incluam URLs de pacotes suspeitos ou que se pareçam com payloads de instalação automatizada de plugins.
  3. Monitoramento e alertas contínuos
    • O WP-Firewall monitora os indicadores pós-exploração descritos anteriormente (novos plugins, alterações de arquivos, novas contas de administrador) e alerta o proprietário e os administradores do site.

Por fim, a aplicação de patches virtuais e as regras do WAF não substituem as correções do fornecedor: são uma proteção temporária até que você aplique a atualização oficial.

Exemplos de conceitos de regras WAF (alto nível)

Abaixo, seguem algumas ideias de regras em linguagem natural que você pode fornecer ao seu provedor de hospedagem, administrador de firewall ou console WAF. Essas regras são conceituais e devem ser adaptadas ao seu ambiente:

  • Regra A: Bloquear ações de instalação de plugins para usuários não administradores.
    • Condição: HTTP POST para /wp-admin/admin-ajax.php ou /wp-admin/admin-post.php onde o corpo contém ação=colormag_demo_import OU contém instalar_plugin E a função da sessão autenticada é diferente de administrador.
    • Ação: Bloquear (HTTP 403)
  • Regra B: Bloquear URLs de instalação de pacotes de sessões anônimas/de assinantes
    • Condição: POST inclui parâmetro pacote com URL para um arquivo zip de plugin E função de sessão diferente de administrador
    • Ação: Bloquear e registrar
  • Regra C: Monitorar a criação de pastas de plugins
    • Condição: Evento de criação de arquivo em wp-content/plugins/ pelo usuário do servidor web
    • Ação: Alerta à equipe de segurança + quarentena

Se você utiliza o WP-Firewall, podemos implementar regras de patch virtuais semelhantes para você de forma centralizada.

Padrões de código seguros que autores de temas e plugins devem seguir.

Se você é um desenvolvedor de temas ou plugins, siga estes princípios para evitar problemas de controle de acesso:

  • Nunca execute ações privilegiadas sem verificar as permissões necessárias:
    • Usar usuário_atual_pode( 'instalar_plugins' ), usuário_atual_pode( 'atualizar_plugins' ), usuário_atual_pode( 'ativar_plugins' ) quando apropriado.
  • Sempre verifique os nonces para ações que alteram o estado:
    • Usar verificar_referenciador_admin() ou wp_verify_nonce() Para formulários AJAX e de administração.
  • Mantenha a lógica no servidor — não dependa de interfaces de usuário ocultas ou verificações de função no lado do cliente.
  • Limite o escopo e os endpoints públicos: não exponha os endpoints do instalador ao front-end, a menos que seja estritamente necessário.
  • Documente e teste as funcionalidades como parte do seu pipeline de CI.

Lista de verificação para administradores do WordPress

Use esta lista de verificação para proteger seu site contra este e outros bugs semelhantes:

  1. Atualize o ColorMag para a versão 4.0.20 ou superior agora mesmo.
  2. Atualize o núcleo do WordPress e todos os plugins para as versões mais recentes.
  3. Remova plugins e temas de importação não utilizados.
  4. Procure por plugins ou arquivos suspeitos; coloque em quarentena qualquer item inesperado.
  5. Auditar usuários e funções; remover ou reatribuir contas conforme necessário.
  6. Ative a autenticação de dois fatores (2FA) para todas as contas de administrador.
  7. Use senhas fortes e altere suas credenciais caso detecte atividades suspeitas.
  8. Implementar monitoramento e alertas de integridade de arquivos.
  9. Mantenha backups e, se possível, habilite backups imutáveis.
  10. Considere uma solução de WAF gerenciada/aplicação de patches virtuais para proteção rápida contra vulnerabilidades.

Exemplo de trecho de código de emergência: negar acesso ao importador de demonstração para usuários não administradores (temporário)

Se você não puder atualizar o tema imediatamente e se sentir confortável em adicionar um pequeno trecho de código a um plugin específico do site ou a um mu-plugin, isso bloqueará o padrão de ação AJAX comum. Use com cautela e teste em ambiente de teste.

<?php
// mu-plugin: block-demo-importer.php
add_action( 'admin_init', function() {
    // Replace 'colormag_demo_import' with the actual action name if different.
    if ( defined( 'DOING_AJAX' ) && DOING_AJAX ) {
        $action = isset( $_REQUEST['action'] ) ? sanitize_text_field( $_REQUEST['action'] ) : '';
        if ( 'colormag_demo_import' === $action ) {
            if ( ! current_user_can( 'install_plugins' ) ) {
                // Block and return 403
                wp_die( 'Forbidden', 'Forbidden', array( 'response' => 403 ) );
            }
            // Optionally verify nonce
            if ( empty( $_REQUEST['colormag_nonce'] ) || ! wp_verify_nonce( $_REQUEST['colormag_nonce'], 'colormag_demo_import' ) ) {
                wp_die( 'Invalid request', 'Bad Request', array( 'response' => 400 ) );
            }
        }
    }
});

Esta é uma medida de proteção temporária. Atualize o tema assim que possível.

Falsos positivos e considerações operacionais para as regras do WAF

Ao implementar patches virtuais rigorosos ou regras WAF, você pode encontrar falsos positivos (por exemplo, um administrador legítimo que usa uma importação de demonstração pode ser bloqueado). Para reduzir esse atrito:

  • Aplicar regras somente a sessões autenticadas onde a função seja diferente de administrador.
  • Exclua IPs confiáveis (por exemplo, IPs do escritório do desenvolvedor) das regras de bloqueio até que você confirme a atividade.
  • Use uma abordagem de alerta prioritário: inicialmente, configure a regra para apenas monitorar e notificar e, em seguida, mude para bloqueio quando tiver certeza.
  • Para evitar confusão, comunique temporariamente a proteção aos seus usuários administradores.

Por que você deve tratar a instalação de plugins como uma operação de alto risco?

A instalação de plugins e temas é, por definição, um processo privilegiado, pois utiliza PHP de forma arbitrária. Qualquer mecanismo que permita a usuários com privilégios limitados acionar a instalação deve ser considerado um vetor potencial de comprometimento total do site. A pontuação CVSS é uma coisa — o impacto prático nos negócios (perda de dados, adulteração, violação de dados, tempo de inatividade) é outra. Proteja essas operações de forma rigorosa.

Novo: Experimente o plano gratuito do WP-Firewall — proteção essencial para sites WordPress.

Título: Por que é importante atualizar sua segurança básica — comece com o WP-Firewall Basic (gratuito)

Se você deseja uma camada imediata de proteção enquanto aplica patches e reforça a segurança, o plano Básico (gratuito) do WP-Firewall oferece recursos essenciais de firewall gerenciado, incluindo:

  • Firewall gerenciado com largura de banda ilimitada
  • Regras do Firewall de Aplicativos Web (WAF) que podem bloquear ações de instalação de plugins por usuários com privilégios limitados.
  • Verificador de malware e detecção de novas instalações de plugins
  • Medidas de mitigação para os 10 principais riscos da OWASP

Inscreva-se no plano gratuito e ative a proteção em minutos: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Se você precisar de proteções mais avançadas, nossos planos Standard e Pro oferecem remoção automática de malware, recursos de lista branca/lista negra, relatórios de segurança mensais e aplicação automática de patches virtuais para proteger seu site enquanto você o atualiza.

Considerações finais — práticas e humanas

Esta divulgação serve como um lembrete de que segurança não se resume apenas a pontuações ou rótulos CVSS. Mesmo problemas classificados como "baixos" podem ser explorados como pontos de partida para uma violação completa, caso ações subsequentes estejam disponíveis. Os responsáveis pela segurança devem priorizar as atualizações, mas também implementar proteção em camadas: privilégio mínimo, monitoramento, integridade de arquivos e um WAF gerenciado.

Se você gerencia vários sites WordPress, planeje a atualização de temas e plugins de fornecedores de forma centralizada. Fique atento aos importadores e recursos de conveniência dos temas — eles frequentemente extrapolam os limites usuais e, portanto, exigem verificações cuidadosas de compatibilidade.

Se você precisa de ajuda para avaliar a exposição em toda a sua infraestrutura, implementar patches virtuais ou configurar planos de monitoramento e resposta a incidentes, a WP-Firewall pode ajudar. Nossa filosofia é que a proteção mais rápida é uma combinação de patches de fornecedores aplicados em tempo hábil com regras de mitigação específicas que impedem a exploração em ambientes reais.

Mantenha-se seguro e, se você usa o ColorMag, atualize agora.

wordpress security update banner

Receba WP Security semanalmente de graça 👋
Inscreva-se agora!!

Inscreva-se para receber atualizações de segurança do WordPress na sua caixa de entrada, toda semana.

Não fazemos spam! Leia nosso política de Privacidade para mais informações.

Entre em contato conosco para agendar uma consulta gratuita sobre segurança do WordPress

Contate-nos

Firewall WP
6/F, Os Raios, 71 Hung To Road, Kwun Tong, Kowloon, Hong Kong

Características Preços Blogue Conecte-se
política de Privacidade Termos de serviço Documentação Afiliado
pt_PT Português
pt_PT Português en_US English zh_CN 简体中文 zh_HK 香港中文 zh_TW 繁體中文 ja 日本語 es_ES Español fr_FR Français ar العربية hi_IN हिन्दी bn_BD বাংলা ko_KR 한국어 it_IT Italiano nl_NL Nederlands vi Tiếng Việt ru_RU Русский pl_PL Polski de_DE Deutsch da_DK Dansk

© 2025 WP-Firewall™