Критическая уязвимость CSRF в плагине импортера тем // Опубликовано 15 октября 2025 г. // CVE-2025-10312

КОМАНДА БЕЗОПАСНОСТИ WP-FIREWALL

Theme Importer Vulnerability

Имя плагина Импортер тем
Тип уязвимости CSRF (подделка межсайтовых запросов)
Номер CVE CVE-2025-10312
Срочность Низкий
Дата публикации CVE 2025-10-15
Исходный URL-адрес CVE-2025-10312

Theme Importer (≤ 1.0) — CSRF (CVE-2025-10312): что владельцам сайтов следует делать сейчас

Краткое содержание: Уязвимость подделки межсайтовых запросов (CSRF), затрагивающая плагин Theme Importer для WordPress (версии ≤ 1.0), была публично раскрыта (CVE-2025-10312). Уязвимость может быть использована для принуждения аутентифицированного администратора или привилегированного пользователя к выполнению непреднамеренных действий, например, к импорту темы, изменению настроек или запуску путей кода, устанавливающих файлы. Несмотря на относительно низкий рейтинг CVSS (4,3), эта уязвимость позволяет злоумышленнику использовать сеанс вошедшего в систему пользователя для изменения состояния сайта. В этой статье я расскажу о технических подробностях, реалистичных сценариях атак, практических шагах обнаружения и сдерживания, рекомендуемом коде и методах защиты на стороне сервера, а также о том, как виртуальный патч на основе брандмауэра веб-приложений может защитить вас, пока официальное исправление для плагина недоступно.

Примечание: Это руководство написано с точки зрения WP-Firewall — профессионального поставщика брандмауэров и решений безопасности для WordPress — и предназначено для веб-хостингов, владельцев сайтов, разработчиков и групп безопасности, которым нужны немедленные, практичные и безопасные контрмеры.

Почему вам следует беспокоиться, даже если степень серьезности «низкая»

Рейтинг CVSS 4,3 предполагает ограниченную возможность прямого использования или умеренное воздействие. Однако CSRF-уязвимость неявная:

  • CSRF-атаки основаны на обмане легитимно аутентифицированного пользователя (обычно администратора/редактора), заставляющего его посетить страницу или загрузить HTML-форму, созданную злоумышленником. Если плагин обрабатывает запросы на изменение состояния без надлежащих мер защиты от CSRF-атак, злоумышленник может удалённо выполнять действия на уровне администратора.
  • Наихудший сценарий зависит от того, какие функции плагина доступны: импорт тем, добавление файлов, обновление настроек или выполнение обратных вызовов, которые записывают данные в файловую систему или базу данных. Один-единственный вредоносный импорт темы или изменение параметров может привести к появлению бэкдора, появлению постоянного вредоносного ПО или захвату сайта.
  • На многих сайтах WordPress есть несколько администраторов или редакторов, которые время от времени просматривают веб-страницы, находясь в учётной записи wp-admin. Это делает CSRF-атаку реальной угрозой, даже если сама уязвимость имеет статус «низкой».

Учитывая публичное раскрытие информации и отсутствие официального патча на момент написания статьи, владельцам сайтов следует действовать проактивно.

Как работает CSRF (кратко) и почему этот случай серьезен

Подделка межсайтовых запросов происходит, когда веб-приложение принимает запросы, изменяющие состояние, не проверяя, что запрос исходит из легитимного пользовательского интерфейса. WordPress уже предоставляет механизмы — проверки одноразовых кодов и рефереров — для предотвращения CSRF-атак. Уязвимые плагины либо не проверяют одноразовые коды, либо принимают запросы на изменение состояния через незащищённые конечные точки.

На практике для Theme Importer:

  • Злоумышленник создает веб-страницу с формой или скриптом, который отправляет запрос POST к конечной точке импорта плагина (например, wp-admin/admin-post.php?action=theme_import или admin-ajax.php?action=import_theme — фактические названия действий различаются в зависимости от плагина).
  • Если администратор, войдя на ваш сайт, посетит вредоносную страницу, браузер автоматически добавит файлы cookie и учётные данные администратора. Если плагин не проверит одноразовый код или реферер WP, запрос будет выполнен в контексте этого сеанса администратора.
  • Затем плагин может импортировать тему, изменять настройки сайта, записывать файлы или выполнять другие привилегированные операции — и все это без явного согласия администратора.

Даже если действие плагина ограничивается импортом темы, импортированная тема может содержать вредоносный PHP-код, бэкдор или код, который ведет к злоумышленнику.

Реалистичные сценарии атак

  1. Импорт темы со встроенным бэкдором

    • Злоумышленник создает вредоносный архив темы, содержащий бэкдор в функции.php или другой включённый файл. Используя CSRF-атаки, они заставляют администратора импортировать его. Тема устанавливается и либо активируется автоматически, либо позволяет злоумышленнику активировать её позже.
  2. Вмешательство в бесшумные настройки

    • Плагин может предоставлять конечным точкам доступ к настройкам временных параметров или флагов конфигурации. Злоумышленник изменяет URL-адрес или флаг включения, чтобы упростить последующее удалённое выполнение кода.
  3. Загрузка файлов / произвольная запись файлов

    • Если импортер сохраняет загруженные ресурсы или записывает файлы без очистки, действие CSRF может поместить файлы PHP в доступные для записи каталоги.
  4. Повышение привилегий через цепочку уязвимостей

    • Запрос CSRF заставляет администратора импортировать тему, содержащую код, эксплуатирующий другой уязвимый плагин или плохо настроенные права доступа к файлам, что дает более высокие привилегии.

Примечание: Злоумышленники обычно объединяют мелкие уязвимости в цепочку для достижения полного взлома. Нерешенная CSRF-атака «низкого» уровня серьёзности может стать первым шагом к полному захвату сайта.

Подтверждение того, уязвим ли ваш сайт

Ответственный подход — определить, установлен ли плагин Theme Importer и какую его версию вы используете:

  1. Проверьте установленные плагины

    • В wp-admin > Плагины найдите «Импортер тем».
    • Если версия плагина ≤ 1.0, считайте сайт потенциально уязвимым.
  2. Подтвердите доступные конечные точки

    • Просмотрите файлы плагина (wp-content/plugins/theme-importer/*). Найдите PHP-файлы, доступные для администрирования, которые регистрируют действия через админ_пост_*, admin_ajax_{действие}, или добавить_меню_страницу обратные вызовы. Запишите названия действий.
  3. Поиск отсутствующего использования одноразового кода

    • Откройте функции, которые выполняют изменение состояния (импорт, сохранение параметров). Проверьте использование check_admin_referer() или check_ajax_referer(). Если они отсутствуют или слабы, запросы, скорее всего, не защищены.
  4. Просмотреть недавнюю активность на сайте

    • Найдите недавно установленные темы и новые файлы в разделе wp-контент/темы, неожиданные пользователи-администраторы или изменения в wp_options. Проверьте журналы доступа на наличие POST-запросов к конечным точкам администратора от необычных источников.

Если у вас нет возможности проверить код или не хватает ресурсов разработчика, переходите сразу к этапам сдерживания (ниже).

Немедленные меры сдерживания (что делать сейчас)

Если вы обнаружите Theme Importer ≤ 1.0 на каком-либо производственном сайте:

  1. Переведите сайт в режим обслуживания (если это возможно)

    • Снижает вероятность того, что администратор будет просматривать внешние страницы, находясь в системе.
  2. Деактивировать плагин

    • Администрирование WordPress > Плагины > Отключите «Импорт тем». Это самый быстрый способ устранить уязвимость.
  3. Если вы не можете деактивировать (ограничения хоста), удалите или переименуйте каталог плагина.

    • На сервере: mv wp-content/plugins/theme-importer wp-content/plugins/_theme-importer-disabled
  4. Ротация учетных данных администратора и аннулирование сеансов

    • Сбросьте надежные пароли для всех администраторов.
    • Принудительный выход из всех сеансов с помощью плагина или путем изменения ключей SALT в wp-config.php (это приведет к аннулированию всех сеансовых cookie-файлов).
    • По возможности применяйте двухфакторную аутентификацию для привилегированных учетных записей.
  5. Сканирование на наличие индикаторов компрометации

    • Осмотреть wp-контент/темы для недавно добавленных тем, вредоносных файлов или файлов с недавними метками времени.
    • Проверять wp_options для неожиданных site_url/дом значения, записи планировщика (wp_options: cron), изменения в списке пользователей или метаданные администратора.
    • Используйте серверный сканер вредоносных программ для поиска подозрительных PHP-файлов и бэкдоров.
  6. Применить временную блокировку через WAF

    • Если у вас есть управляемый брандмауэр, немедленно включите правила, блокирующие конечные точки плагина или межсайтовые POST-запросы на URL-адреса администратора со сторонних источников. См. примеры правил WAF ниже.
  7. Уведомить заинтересованных лиц

    • Сообщите администраторам сайта и вашей команде хостинга, что плагин уязвим и деактивирован. Предоставьте инструкции, как не входить на сайт с общедоступных компьютеров, пока угроза не будет устранена.

Руководство по обнаружению: на что обращать внимание в журналах и файлах

  • Журналы веб-сервера
    • Запросы POST к /wp-admin/admin-ajax.php или /wp-admin/admin-post.php с параметрами действия, соответствующими плагину (или неизвестными именами действий).
    • Запросы с пустыми или отсутствующими заголовками HTTP Referer, нацеленные на конечные точки POST администратора.
    • Запросы POST, исходящие от незнакомых внешних IP-адресов или пользовательских агентов.
  • Журналы и параметры WordPress
    • Новые записи в wp_options которые выглядят как конфигурация из плагина.
    • Новые темы или измененные даты модификации тем в wp-контент/темы.
    • Недавно созданные пользователи с правами администратора.
  • Файловая система
    • Файлы PHP в каталогах uploads/ или theme, содержащие запутанный код (base64_decode, оценка, длинные закодированные строки).
    • Файлы, созданные или измененные вне ожидаемых окон развертывания.
  • Аномалии поведения
    • Неожиданные письма администратора, измененные настройки сайта или необъяснимые перенаправления.

Если вы заметили какой-либо из этих признаков и плагин был активен, считайте сайт потенциально скомпрометированным и передайте дело на экспертизу.

Как разработчикам исправить уязвимость в коде

Если вы являетесь автором плагина или имеете доступ к коду плагина, правильным решением будет реализация надлежащих проверок одноразовых значений WordPress и проверок возможностей любой логики изменения состояния.

Основные правила:

  • Использовать check_admin_referer() для отправки форм на страницах администрирования: 
    если ( ! empty( $_POST['theme_importer_nonce'] ) ) { check_admin_referer( 'theme_importer_import', 'theme_importer_nonce' ); } else { wp_die( 'Проверка безопасности не пройдена' ); }
  • Использовать check_ajax_referer() для конечных точек AJAX: 
    add_action( 'wp_ajax_import_theme', 'ti_import_theme_callback' ); function ti_import_theme_callback() { check_ajax_referer( 'theme_importer_ajax', 'security' ); // выполнить импорт wp_send_json_success(); }
  • Проверьте возможности перед выполнением привилегированных операций: 
    если ( ! current_user_can( 'activate_plugins' ) ) { wp_die( 'Недостаточно прав' ); }
  • Избегайте обработки GET-запросов на изменение состояния. Используйте POST с одноразовыми значениями.
  • Убедитесь, что загрузка файлов и импорт тем проверены и безопасны:
    • Проверьте содержимое архива темы перед извлечением (отсутствие непредвиденных PHP-файлов, проверьте структуру).
    • Ограничьте места записи файлов и обеспечьте проверку разрешений.
  • Добавить ведение журнала на стороне сервера для конфиденциальных действий (импорт, активация, административные изменения).

Если вы не являетесь разработчиком плагина, запросите у автора обновление безопасности, реализующее вышеперечисленное. До этого времени деактивация или виртуальное исправление обязательны.

Виртуальное исправление: как WAF (например, WP-Firewall) может защитить вас сейчас

Если официальный патч недоступен, брандмауэр веб-приложений (WAF) может предоставить эффективное виртуальное исправление, блокируя попытки эксплойта или требуя дополнительной проверки для опасных запросов. Виртуальное исправление позволяет выиграть время и предотвратить автоматизированные атаки, пока вы планируете долгосрочное устранение уязвимости.

Рекомендации WP-Firewall для правил виртуального патча:

  1. Универсальная административная защита POST
    • Блокируйте или оспаривайте любые перекрестные запросы POST к конечным точкам администратора, в которых отсутствует допустимый заголовок WordPress nonce или ожидаемый Referer.
    • Концепция правила:
      • Если запрос POST на /wp-admin/admin-ajax.php ИЛИ admin-post.php ИЛИ конечные точки администратора плагина
      • И Origin или Referer не является доменом вашего сайта
      • Параметр nonce отсутствует или имеет неверный формат.
      • ТО заблокируйте или оспорьте запрос.
  2. Блокировать известные уязвимые конечные точки плагина
    • Запретить запросы на определенные имена действий, используемые плагином (пример: действие=импорт_тема или действие=theme_importer_import). Если плагин регистрирует действие admin-ajax, блокируйте вызовы AJAX с этим параметром действия из неадминистративных источников.
  3. Требовать аутентификацию для критических действий
    • Для конечных точек, выполняющих импорт или запись файлов, требуйте аутентифицированный cookie-файл или токен сеанса из известного диапазона IP-адресов администратора. Блокируйте внешние запросы без подтверждения сеанса.
  4. Проверка полезных данных POST для загрузки архивов тем
    • Блокировать загрузки, которые выглядят как zip-архивы, на конечные точки плагина, если они не сопровождаются допустимым одноразовым кодом.
  5. Эвристика и репутация
    • Ограничение частоты повторных POST-запросов на конечные точки администратора.
    • Блокируйте известные вредоносные IP-адреса или шаблоны запросов.

Пример правила в стиле ModSecurity (концептуальный — синтаксис вашего брандмауэра может отличаться):

# Блокировка POST-запросов к admin-ajax.php с отсутствующим одноразовым кодом и кросс-доменным реферером SecRule REQUEST_URI "@contains /wp-admin/admin-ajax.php" "phase:2,chain,deny,id:100001,log,msg:'Смягчение CSRF-атак - отсутствующий одноразовый код в admin-ajax'" SecRule REQUEST_METHOD "POST" "chain" SecRule &ARGS:action "@gt 0" "chain" SecRule &ARGS:security "@eq 0" "t:none" SecRule REQUEST_HEADERS:Referer "!@contains example.com"

Примечания:

  • Заменять example.com с вашим хостером сайта.
  • Настройте имена аргументов (например, безопасность, theme_importer_nonce) на основе реализации плагина.
  • По возможности используйте блокировку с протоколированием или проверку подлинности (капчу, проверку JavaScript), чтобы избежать ложных срабатываний.

WP-Firewall может автоматически развертывать правила виртуальных исправлений, ориентированные на конечные точки и шаблоны плагина Theme Importer, при этом минимизируя воздействие на законных пользователей.

Предлагаемые сигнатуры и проверки WAF (обнаружение + предотвращение)

При составлении подписей стремитесь к минимальному количеству ложных срабатываний:

  • Подпись 1: ОТПРАВИТЬ в wp-admin/admin-ajax.php с «действием» равным подозрительным значениям и отсутствующим одноразовым кодом:
    • Условие: REQUEST_METHOD == POST И ARGS:действие в (import_theme, theme_importer_import, theme_importer_import_actionи т. д.) И (ARGS:theme_importer_nonce отсутствует ИЛИ ARGS:security отсутствует)
    • Действие: заблокировать с ошибкой 403 или отправить запрос
  • Подпись 2: ОТПРАВИТЬ в admin-post.php с отсутствующим реферером
    • Условие: REQUEST_METHOD == POST И REQUEST_URI содержит admin-post.php И HTTP_REFERER отсутствует ИЛИ не соответствует хосту сайта
    • Действие: отклонить
  • Подпись 3: Загрузка ZIP-файла в конечную точку импорта темы
    • Условие: POST с Content-Type multipart/form-data И имя файла заканчивается на .zip И целевая конечная точка соответствует импорту плагина И отсутствует одноразовый номер
    • Действие: отклонить или поместить в карантин
  • Подпись 4: аномальный пользовательский агент + администратор POST
    • Условие: POST-запрос на конечную точку администратора с использованием универсальных пользовательских агентов (curl, python, Java) из внешних диапазонов IP-адресов.
    • Действие: блокировка или дросселирование
  • Подпись 5: ограничение частоты повторных POST-запросов на конечные точки администратора с одного и того же IP-адреса
    • Полезно для остановки автоматизированной массовой эксплуатации.

Эти правила можно уточнить для каждого сайта: например, разрешить POST-запросы с внутренних IP-адресов администраторов и доверенных компьютеров сотрудников, а все остальное заблокировать.

Контрольный список действий после инцидента: восстановление и обеспечение безопасности

Если вы обнаружили доказательства эксплуатации, следуйте типичной схеме реагирования на инцидент:

  1. Содержать
    • Деактивируйте плагин.
    • Изолируйте среду (при необходимости отключите сайт).
  2. Искоренить
    • Удалить внедренный код и бэкдоры.
    • Замените измененные файлы ядра/темы/плагина заведомо исправными копиями.
    • Очистите или перестройте сайт из надежной резервной копии, если его целостность вызывает сомнения.
  3. Восстанавливаться
    • Восстановите данные из чистой резервной копии, если она доступна.
    • Переустановите плагины из официальных источников и убедитесь, что версии исправлены перед повторной активацией.
  4. Закалка
    • Обеспечить минимальный уровень привилегий для учетных записей пользователей.
    • Требуйте надежные пароли и многофакторную аутентификацию для всех учетных записей администраторов.
    • Регулярно обновляйте ядро WordPress, темы и плагины.
    • Используйте мониторинг целостности файлов и регулярное сканирование на наличие вредоносных программ.
  5. Извлеченные уроки
    • Задокументируйте временную шкалу, основную причину и шаги по устранению неполадок.
    • Если автор плагина выпустит патч позже, просмотрите заметки о выпуске и реализуйте обновления контролируемым образом.
  6. Уведомить (при необходимости)
    • Если данные клиентов или пользователей были затронуты, определите требования к уведомлению в соответствии с действующим законодательством и внутренними политиками.

Долгосрочные передовые практики по снижению CSRF и аналогичных рисков

  • Стандарты разработки плагинов
    • Каждое действие по изменению состояния должно проверять одноразовый номер и возможности пользователя.
    • Избегайте обработки изменений состояния с помощью GET-запросов.
  • Дисциплина администрирования сайта
    • Избегайте просмотра неизвестных веб-сайтов и открытия ненадежных ссылок, находясь в системе wp-admin.
    • Используйте отдельные браузеры или профили для административной работы (например, отдельный профиль браузера для wp-admin, чтобы уменьшить риск CSRF-атак).
  • Управление сеансом
    • Периодически меняйте соли и ключи.
    • Реализуйте кратковременные сеансы администрирования и повторную аутентификацию для критически важных операций.
  • Управление файлами и разрешениями
    • Используйте разрешения файловой системы с минимальными привилегиями; по возможности запрещайте прямое выполнение из загрузок.
  • Резервное копирование и мониторинг
    • Регулярно создавайте резервные копии вне офиса и проводите тестовые восстановления.
    • Следите за неожиданными изменениями файлов и обновлениями опций.

Как WP-Firewall защищает вас (практические функции, которые помогают)

WP-Firewall обеспечивает многоуровневую защиту, которая устраняет этот класс уязвимостей:

  • Управляемые правила WAF и виртуальное исправление
    • Быстро внедряйте новые правила для блокирования попыток использования недавно обнаруженных уязвимостей, даже до выхода официального обновления плагина.
  • Политики принудительного использования одноразовых кодов и рефереров
    • Усильте защиту конечных точек администратора, включив проверки рефереров и потребовав ожидаемые одноразовые параметры.
  • Сканирование вредоносных программ и автоматический карантин
    • Сканируйте темы и каталоги плагинов на наличие подозрительных файлов и помещайте их в карантин.
  • Ограничение скорости и блокировка на основе поведения
    • Предотвращайте попытки массовой эксплуатации уязвимостей и подозрительные пакеты POST на конечные точки администратора.
  • Оповещения и отчеты
    • Подробные журналы и оповещения, позволяющие администраторам получать уведомления о заблокированных попытках эксплойта или подозрительных администраторских POST-запросах.
  • Черный/белый список IP-адресов и геоконтроль
    • Блокируйте трафик с высокорискованных IP-адресов или географических регионов или разрешите доступ к интерфейсам администратора только доверенным IP-адресам.

Такая защита особенно ценна для сайтов, которые не могут немедленно исправить или удалить уязвимый плагин.

Рекомендуемые сроки для действий

  • Немедленно (в течение 1 часа)
    • Деактивируйте Theme Importer, если он установлен и его версия ≤ 1.0.
    • Если деактивация невозможна немедленно, включите правила WAF для блокировки конечных точек, связанных с импортом, и перекрестных POST-запросов.
  • Краткосрочно (в течение 24–72 часов)
    • Просканируйте на наличие признаков взлома, смените пароли администратора и отмените сеансы.
    • Применяйте любые временные виртуальные исправления или пользовательские правила для защиты конечных точек администратора.
  • Среднесрочный (в течение 2 недель)
    • Переоцените необходимость плагина. Замените функционал более безопасной альтернативой или оставьте плагин отключенным до выхода безопасной версии.
    • Реализуйте многофакторную аутентификацию для учетных записей администраторов.
  • Долгосрочный (постоянный)
    • Регулярно проводите сканирование на уязвимости, обновления WAF и аудит кода.
    • Используйте управляемые виртуальные службы исправления, чтобы снизить подверженность новым обнаруженным уязвимостям.

Новый заголовок, привлекающий ваше внимание к бесплатному плану WP-Firewall — начните защищать свой сайт немедленно

Защитите свой сайт WordPress быстро с помощью бесплатного плана WP-Firewall — получите все необходимое прямо сейчас:

  • Базовая защита: управляемый межсетевой экран, неограниченная пропускная способность, WAF, сканер вредоносных программ и снижение 10 основных рисков OWASP — все это включено в базовый (бесплатный) план.
  • Если вам требуется автоматическое удаление вредоносных программ и добавление IP-адресов в черный/белый список, перейдите на версию Standard.
  • Для полного спокойствия (ежемесячные отчеты по безопасности, автоматическое виртуальное исправление и премиум-дополнения) рассмотрите тарифный план Pro.

Зарегистрируйтесь сейчас, чтобы получить бесплатный план и начать защищать свой сайт уже сегодня: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Заключительные мысли

CVE-2025-10312 (Theme Importer ≤ 1.0 — CSRF) иллюстрирует распространённую закономерность: кажущиеся несерьёзными ошибки в коде могут привести к далеко идущим последствиям в сочетании с другими уязвимостями или при злоупотреблении ими для установки вредоносных тем и кода. Хотя непосредственный риск не всегда катастрофичен, сочетание публичного раскрытия информации и отсутствия официального патча — серьёзный сигнал к принятию мер.

Глубокая защита — немедленное сдерживание (удаление/деактивация плагина), быстрое виртуальное исправление через эффективный WAF, тщательное обнаружение и устранение уязвимостей, а также долгосрочная защита — обеспечит безопасность ваших сайтов на WordPress. Если вы управляете большим количеством сайтов, используйте автоматизацию для определения наличия плагинов и применяйте наборы правил ко всем сайтам, чтобы быстро снизить риск заражения.

Если вам нужна помощь с внедрением правил WAF, просмотром журналов или реагированием на инциденты на сайте, использующем этот плагин, команда WP-Firewall может помочь с управляемым виртуальным исправлением и криминалистическим расследованием. Начните с бесплатного тарифа, чтобы немедленно обеспечить базовую защиту: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Берегите себя, используйте минимум плагинов и регулярно их обновляйте.

wordpress security update banner

Получайте WP Security Weekly бесплатно 👋
Зарегистрируйтесь сейчас!!

Подпишитесь, чтобы каждую неделю получать обновления безопасности WordPress на свой почтовый ящик.

Мы не спамим! Читайте наши политика конфиденциальности для получения более подробной информации.

Свяжитесь с нами, чтобы запланировать бесплатную консультацию по безопасности WordPress.

Связаться с нами

WP-брандмауэр
6/F, The Rays, 71 Hung To Road, Kwun Tong, Kowloon, Гонконг

Функции Ценообразование Блог Авторизоваться
политика конфиденциальности Условия обслуживания Документы Партнер
ru_RU Русский
ru_RU Русский en_US English zh_CN 简体中文 zh_HK 香港中文 zh_TW 繁體中文 ja 日本語 es_ES Español fr_FR Français ar العربية hi_IN हिन्दी bn_BD বাংলা ko_KR 한국어 it_IT Italiano pt_PT Português nl_NL Nederlands vi Tiếng Việt pl_PL Polski de_DE Deutsch da_DK Dansk

© 2025 WP-Firewall™