Уведомление об уязвимости XSS в плагине Passeum Ticketing//Опубликовано 2026-06-03//CVE-2026-7421

КОМАНДА БЕЗОПАСНОСТИ WP-FIREWALL

Passeum Ticketing CVE-2026-7421 Vulnerability

Имя плагина Passeum Билеты
Тип уязвимости Межсайтовый скриптинг (XSS)
Номер CVE CVE-2026-7421
Срочность Низкий
Дата публикации CVE 2026-06-03
Исходный URL-адрес CVE-2026-7421

Аутентифицированный администратор, хранящий XSS в Passeum Ticketing (≤ 1.0) — риск, влияние и как защитить ваш сайт на WordPress

Краткое содержание

  • Уязвимость: Аутентифицированный (администраторский) хранимый межсайтовый скриптинг (XSS)
  • Затронутое программное обеспечение: Плагин Passeum Ticketing для WordPress, версии ≤ 1.0
  • CVE: CVE-2026-7421
  • CVSS (сообщено): 5.9 (Средний)
  • Эксплуатация: Требуется, чтобы злоумышленник имел или получил права администратора для хранения вредоносного кода, который будет выполнен в браузере привилегированного пользователя или посетителя сайта
  • Влияние: Произвольное выполнение JavaScript в контексте браузера жертвы; перехват сеанса, эскалация привилегий (через социальную инженерию), манипуляция интерфейсом администратора или постоянный компромисс сайта и посетителей
  • Статус на момент публикации: Официальный патч для уязвимой версии не доступен (администраторы сайта должны применять компенсирующие меры и обнаружение)

Мы пишем это как практики безопасности WordPress, чтобы объяснить проблему, кто находится под риском, как может произойти эксплуатация, немедленные шаги, которые вы должны предпринять, и практические меры защиты, которые вы можете применить — как краткосрочные, так и долгосрочные — для снижения риска. Мы также объясним, как управляемый веб-аппликационный брандмауэр (WAF) и другие методы усиления могут снизить уязвимость, пока не будет выпущен патч от поставщика.


Что такое хранимый межсайтовый скриптинг (XSS)?

Хранимый XSS возникает, когда приложение сохраняет несоответствующий пользовательский контент (например, в базе данных) и позже отображает его на веб-странице без адекватного кодирования вывода. Когда браузер загружает этот сохраненный контент, любой встроенный JavaScript выполняется в браузере жертвы с привилегиями этого источника (ваш сайт). В административном контексте хранимый XSS может быть очень мощным, потому что он нацелен на пользователей с повышенными привилегиями — администраторов или редакторов, которые могут изменять настройки, устанавливать плагины или управлять пользователями.

Когда для создания или редактирования хранимого контента требуется учетная запись уровня администратора, уязвимость часто классифицируется как “аутентифицированный (администратор) хранимый XSS”. Это означает, что злоумышленнику нужен доступ на уровне администратора, чтобы внедрить полезную нагрузку, или он должен обмануть администратора, чтобы тот выполнил инъекцию. Оба вектора опасны.


Уязвимость Passeum Ticketing — Обзор

Уязвимость хранимого XSS была обнаружена в плагине Passeum Ticketing, затрагивающем версии до и включая 1.0. Основная проблема заключается в том, что плагин принимает и позже отображает определенные поля ввода без надлежащей санитарной обработки или кодирования вывода. Злоумышленник с правами администратора может сохранить вредоносный HTML/JavaScript в полях, управляемых плагином, которые позже будут отображены в браузере администратора или другого привилегированного пользователя.

Основные факты:

  • Требуемая привилегия: Администратор (злоумышленник должен быть учетной записью администратора или иначе заставить администратора выполнить задачу, которая сохраняет полезную нагрузку)
  • Тип: Хранимый межсайтовый скриптинг (XSS)
  • Потенциальное влияние: Если администратор просматривает страницу, содержащую сохраненную полезную нагрузку (например, просматривая билет, ответ на билет, страницу настроек, управляемую плагином, или виджет панели управления), вредоносный скрипт выполняется в их браузере
  • Эксплуатируемые последствия: кража куки сессии, удаленные действия, инициируемые через браузер администратора, несанкционированные изменения настроек, инъекция постоянных бэкдоров и переход к другим частям сайта

Уязвимость особенно тревожна на сайтах с несколькими администраторами, управляемых средах WordPress или любом сайте, где администраторы получают доступ к интерфейсу билетирования.


Почему это важно: Практические сценарии риска

  1. Злоупотребление привилегиями со стороны злонамеренного администратора
    Если на сайте несколько администраторов или если учетная запись администратора скомпрометирована (фишинг, повторное использование пароля), злоумышленник может создавать полезные нагрузки, которые выполняются каждый раз, когда другой администратор просматривает билет или экран администратора — что позволяет осуществлять боковое перемещение и скрытую постоянность.
  2. Эскалация социальной инженерии
    Нападающий с более низкими привилегиями может попытаться обмануть администратора, заставив его скопировать содержимое в тикет или кликнуть на специально подготовленные действия администратора, которые вставляют вредоносное содержимое от его имени.
  3. Постоянное компрометирование сайта
    Хранимый XSS может быть использован для внедрения дополнительных задних дверей, размещения вредоносных файлов, создания дополнительных учетных записей администраторов или установки механизмов перенаправления/доставки вредоносного ПО. Эти действия могут быть не сразу видны в обычном интерфейсе администратора сайта.
  4. Влияние на клиентов и посетителей
    В зависимости от того, где отображается хранимое содержимое, посетители сайта также могут быть затронуты (например, если содержимое тикета общедоступно), что может привести к утечке данных, загрузкам без ведома пользователя или другим атакам на стороне клиента.

Хотя оценка CVSS средняя, это не означает, что проблема безобидна. Контекст (инъекция и хранение на уровне администратора) повышает вероятность серьезного воздействия в сочетании с другими уязвимостями (например, слабыми учетными записями администраторов, повторно используемыми учетными данными, отсутствием мониторинга).


Рекомендуемые немедленные действия (краткосрочные меры)

Если ваш сайт использует Passeum Ticketing ≤ 1.0, выполните следующие немедленные шаги:

  1. Уменьшите административное воздействие
    • Ограничьте количество учетных записей администраторов. Проведите аудит пользователей и удалите или понизьте любые ненужные учетные записи администраторов.
    • Применяйте сильные, уникальные пароли и немедленно включите многофакторную аутентификацию (MFA) для всех учетных записей администраторов.
  2. Временно отключите или удалите плагин
    • Если вы можете позволить себе время простоя для удаления плагина, это устранит поверхность атаки. Если плагин критически важен и его удаление невозможно, рассмотрите возможность отключения доступа к страницам плагина, ограничив роли, которые могут их видеть (например, с помощью инструментов управления ролями).
  3. Очистите хранимые данные и проверьте поля базы данных
    • Проверьте базу данных на наличие подозрительных тегов скриптов или встроенных обработчиков событий в таблицах, связанных с плагином, или записях postmeta, используемых плагином. Не выполняйте отображаемые страницы в браузере, пока не убедитесь, что они чисты.
    • Если вы найдете внедренное содержимое, удалите его из базы данных. Если вы не уверены, восстановите известную хорошую резервную копию, сделанную до самой ранней подозреваемой инъекции.
  4. Укрепить доступ администратора
    • Ограничьте доступ к страницам администратора для конкретных IP-адресов, где это возможно.
    • Включите HTTP-аутентификацию на /wp-admin для дополнительной защиты или используйте белый список IP на уровне сервера или прокси для администраторских путей.
  5. Увеличьте мониторинг и ведение журналов
    • Включите детализированное ведение журнала для действий администратора и HTTP-запросов к конечным точкам тикетирования (как журналы веб-сервера, так и приложения). Следите за необычными POST-запросами, которые создают или обновляют тикеты или содержимое, связанное с плагином.
  6. Рассмотрите возможность виртуального патчирования с помощью вашего WAF.
    • Если официальное обновление плагина еще не доступно, реализуйте правило WAF для блокировки загрузки или параметров POST, содержащих скриптовые полезные нагрузки, нацеленные на конечные точки плагина. Тщательно написанная виртуальная патч может значительно снизить риск, пока вы ждете официального патча.
  7. Коммуникация и обучение пользователей
    • Сообщите администраторам сайта о проблеме и инструктируйте их не открывать неизвестные ссылки или копировать/вставлять контент в поля тикетов в течение окна устранения.

Долгосрочные и окончательные шаги по устранению

  1. Примените патч от поставщика, когда он станет доступен
    • Окончательное решение заключается в том, чтобы разработчик плагина правильно очищал/экранировал вводимые и выводимые данные. Следите за каналами выпуска плагина и применяйте официальное обновление, как только оно будет выпущено.
  2. Применяйте лучшие практики безопасного кодирования для плагинов/тем
    • Предпочитайте плагины, которые следуют лучшим практикам безопасности WordPress: используйте подготовленные выражения для доступа к БД, очищайте вводимые данные с помощью правильных функций очистки и экранируйте выводимые данные при рендеринге в HTML.
  3. Регулярное сканирование на уязвимости
    • Интегрируйте автоматическое сканирование на известные уязвимости и периодически проводите аудит плагинов и тем на наличие устаревшего или не поддерживаемого кода.
  4. Минимальные привилегии и разделение обязанностей
    • Организуйте рабочие процессы так, чтобы создание/редактирование тикетов не требовало учетных записей с высокими привилегиями, когда это возможно. Избегайте предоставления учетных записей администратора сотрудникам, которым они не нужны для повседневных задач.
  5. Планирование резервного копирования и восстановления
    • Поддерживайте частые, протестированные резервные копии и план восстановления после инцидентов, чтобы вы могли быстро восстановить чистое состояние в случае компрометации.
  6. Аудит после инцидента
    • Если вы обнаружите эксплуатацию, проведите полный аудит: журналы, файловая система, база данных, учетные записи пользователей, запланированные задачи (cron) и внешние интеграции (API-ключи). Отмените и измените ключи, измените пароли и рассмотрите возможность переустановки основных файлов, если подозревается вмешательство.

Обнаружение — вещи, на которые следует обратить внимание в журналах и базе данных

  • Запросы POST администратора к конечным точкам плагина с подозрительными шаблонами полезных нагрузок (например, <script>, onmouseover=, javascript:, закодированные полезные нагрузки).
  • Новые учетные записи администраторов, созданные примерно в то же время, когда появилось подозрительное содержимое.
  • Неожиданные изменения параметров или настроек плагина в БД.
  • Необычные сеансы администратора или входы с неизвестных IP-адресов или в странные часы.
  • Внешние обратные вызовы или исходящие соединения, инициированные с сервера в то время, когда подозревается активность (может указывать на наличие обратной двери).

Несколько безопасных, неразрушающих проверок, которые вы можете выполнить (сначала выполните резервные копии):

  • Поиск в базе данных тегов скриптов или подозрительных атрибутов в метаполях, специфичных для плагина:
    ВЫБРАТЬ meta_key, meta_value ИЗ wp_postmeta ГДЕ meta_value LIKE '%<script%';
    И искать в таблицах опций и любых пользовательских таблицах, которые создает плагин для продажи билетов.
  • Аудит wp_users для недавно добавленных учетных записей с правами администратора:
    SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE ID IN (SELECT user_id FROM wp_usermeta WHERE meta_key = 'wp_capabilities' AND meta_value LIKE '%administrator%') ORDER BY user_registered DESC;
  • Мониторинг журналов доступа веб-сервера на предмет необычно больших POST-пayload или повторяющихся запросов, нацеленных на URL-адреса плагина.

Будьте осторожны при поиске и удалении контента: не удалите случайно законный HTML, от которого зависит ваш сайт, и сохраняйте резервные копии.


Как WAF (Web Application Firewall) помогает здесь — Виртуальное патчирование и защита

WAF предоставляет важный защитный уровень, который может блокировать попытки эксплуатации, смягчать определенные классы уязвимостей и предотвращать хранение или отображение вредоносного ввода. Когда исправление кода от поставщика еще недоступно, можно использовать управляемый WAF для реализации виртуального патча.

Что WAF может сделать в этой ситуации:

  • Блокировать запросы к административным конечным точкам плагина, если они содержат подозрительные payload, такие как встроенные скрипты или обработчики событий, с использованием правил сопоставления шаблонов и контекстно-зависимых правил.
  • Применять более строгую проверку/нормализацию ввода для полей, связанных с плагином для продажи билетов, предотвращая отправку сохраненных payload.
  • Ограничивать или блокировать подозрительные учетные записи администраторов или поведение сессий (например, неизвестные IP, выполняющие администраторские POST-запросы).
  • Обнаруживать общие шаблоны обфускации и закодированные payload, пытающиеся обойти наивные фильтры.
  • Генерировать оповещения и подробные журналы запросов для расследования инцидентов.

Тщательно настроенный виртуальный патч должен быть узконаправленным, чтобы избежать ложных срабатываний. Примеры концепций правил (представительные, иллюстративные только — не копируйте дословно в продукцию без тестирования):

  • Блокировать или оспаривать POST-запросы к конечной точке создания билетов, если тело включает "<script" или общие встроенные атрибуты событий (без учета регистра) или шаблоны псевдо-URL javascript:.
  • Санитизировать или удалять подозрительный HTML при отправке для конечных точек, известных как поддерживающие только текстовые поля.
  • Оспаривать аномальные входы администраторов с помощью запросов MFA или блокировать неизвестные диапазоны IP для административных маршрутов.

Важный: WAF является компенсирующим контролем, а не постоянной заменой исправления, предоставленного поставщиком. Виртуальные патчи могут и должны быть удалены после применения и проверки официального патча.


Практическое руководство: Создание консервативных правил WAF (концептуально)

Ниже приведены концептуальные схемы, которые вы можете обсудить с вашим инженером по безопасности или провайдером управляемого WAF. Не копируйте/вставляйте слепо — всегда тестируйте на стадии и используйте мониторинг для настройки.

  • Блокируйте POST-запросы, содержащие общие маркеры встроенных скриптов для конечных точек, специфичных для плагинов:
    • Если URI запроса совпадает /wp-admin/admin.php?page=passeum-ticketing ИЛИ совпадает с конечными точками API плагина, затем проверьте тело POST-запроса на наличие:
      • "<script" (без учета регистра)
      • "onerror=" "onload=" "onmouseover=" (обычно используемые встроенные обработчики событий)
      • "javascript:" псевдопротокол
  • Применяйте ограничение по скорости для POST-запросов на странице администратора от одного IP-адреса и ставьте задачу с CAPTCHA или требуйте двухфакторную аутентификацию при аномалиях.
  • Блокируйте запросы с подозрительно закодированными полезными нагрузками (например, base64 или повторяющиеся шаблоны кодирования %xx), нацеленные на ресурсы администратора.

Работайте с вашей хостинг-командой и тщательно тестируйте. Правила WAF, которые слишком широки, могут нарушить законные рабочие процессы администратора; правила, которые слишком узки, могут пропустить сложное сокрытие.


План действий по реагированию на инциденты (если вы подозреваете эксплуатацию)

  1. Изолировать
    Временно удалите затронутый плагин (или отключите сайт, если необходимо), чтобы предотвратить дальнейшее выполнение сохраненных полезных нагрузок.
  2. Сохраняйте доказательства
    Сделайте судебную копию журналов, текущей базы данных и файловой системы для анализа.
  3. Отозвать доступ и сменить учетные данные
    Принудительно сбросьте пароль для всех администраторов; аннулируйте сессии (принудительный выход везде); измените API-ключи и внешние учетные данные (платежные шлюзы, API), если они могли быть раскрыты.
  4. Очистите сайт
    Удалите вредоносные записи из базы данных (скрипты, несанкционированные настройки).
    Проверьте файловую систему на наличие новых или измененных PHP-файлов, особенно в wp-content/uploads, темах или каталогах плагинов.
    Замените измененные файлы ядра/плагина/темы на известные хорошие копии.
  5. Восстановите из чистой резервной копии, если это необходимо
    Если вы не можете уверенно очистить сайт, восстановите его из резервной копии, сделанной до появления признаков компрометации. Убедитесь, что сначала установлены патчи/меры по смягчению.
  6. Укрепление после восстановления.
    Примените вышеуказанные исправления: уменьшите количество администраторов, включите MFA, примените виртуальные правила WAF и запланируйте аудит всех сторонних плагинов.
  7. Сообщите и изучите
    Если вы являетесь поставщиком услуг, уведомите затронутых клиентов. Внутри компании рассмотрите, как произошла компрометация, и обновите процессы (например, лучшее тестирование плагинов, улучшенный мониторинг).

Руководство разработчика (для авторов плагинов)

Если вы автор плагина, исправьте руководство на высоком уровне:

  • Очистите ввод при получении: проверьте, что для каждого поля принимаются только ожидаемые типы и символы.
  • Экранируйте вывод при рендеринге: всегда используйте функции экранирования, соответствующие контексту (HTML, атрибут, JavaScript) при рендеринге сохраненных значений.
  • Используйте API WordPress для безопасного вывода: используйте esc_html(), esc_attr(), wp_kses_post() с разрешенными тегами и тщательно определяйте разрешенные атрибуты для полей, которые поддерживают HTML.
  • Избегайте хранения ненадежного HTML; если это необходимо, очистите его с помощью строго определенного белого списка и рассматривайте любой административный интерфейс, который рендерит этот HTML, как чувствительный.
  • Реализуйте проверки прав и верификацию nonce, чтобы гарантировать, что происходят только авторизованные действия, и проверяйте на стороне сервера, а не полагайтесь на проверки на стороне клиента.

Практический контрольный список по усилению безопасности для владельцев сайтов (быстрая справка)

  • Проверьте, установлен ли плагин Passeum Ticketing, и определите версию.
  • Ограничьте количество учетных записей администраторов и применяйте MFA для всех входов администраторов.
  • Если возможно, деактивируйте и удалите плагин до тех пор, пока не будет доступен патч от поставщика; в противном случае ограничьте доступ к его административным страницам.
  • Просканируйте базу данных на наличие возможных сохраненных скриптов и удалите подозрительное содержимое (создайте резервную копию перед изменениями).
  • Настройте правило WAF для блокировки или проверки подозрительных POST-запросов администраторов и HTML-скриптов для конечных точек плагина.
  • Мониторьте журналы на предмет необычных POST-запросов администраторов, новых администраторов или внешних обратных вызовов.
  • Смените все пароли администраторов и любые ключи, которые могут быть затронуты.
  • Храните резервные копии и тестируйте процедуры восстановления.

Почему деталь “требуется администратор” может быть обманчивой

Многие администраторы предполагают, что поскольку уязвимость требует привилегий администратора для активации, риск ниже. На самом деле:

  • Компрометация администратора распространена: администраторы могут стать целью фишинга или кражи учетных данных. Как только злоумышленник получает доступ администратора (через повторное использование учетных данных, злонамеренных инсайдеров или скомпрометированный доступ третьих лиц), он может использовать сохраненный XSS в своих целях.
  • Социальная инженерия может превратить действия с низкими привилегиями в хранение на уровне администратора: например, убедить кого-то с правами администратора вставить содержимое или перейти по вредоносной ссылке.
  • Сохраненный XSS является постоянным: полезная нагрузка остается до тех пор, пока не будет удалена, и может затрагивать нескольких администраторов и потенциально посетителей.

Поэтому даже уязвимости, предназначенные только для администраторов, требуют срочного внимания.


Общение с вашей командой и вашим хостинг-провайдером

  • Немедленно проинформируйте своих внутренних заинтересованных лиц и хостинг-провайдера, если вы используете затронутый плагин.
  • Предоставьте доказательства и предполагаемые сроки, а также привлеките помощь для анализа журналов и восстановления из резервных копий.
  • Спросите у вашего хостинг-провайдера, могут ли они реализовать ограничения на уровне сети или виртуальное патчирование, пока вы устраняете проблему.

Как WP-Firewall может помочь, пока патч ожидается

В WP-Firewall мы регулярно наблюдаем эту схему: уязвимость раскрывается, и владельцам сайтов нужны немедленные, практические меры до того, как будет доступно исправление. Наши управляемые WAF и услуги безопасности предназначены для быстрого и безопасного снижения уязвимости, пока вы применяете долгосрочные исправления.

Что мы предоставляем, что помогает против сценариев хранения XSS:

  • Управляемый веб-аппликационный файрвол: адаптированные, контекстно-осведомленные правила для блокировки паттернов инъекций на известных конечных точках плагинов с тщательной настройкой, чтобы не нарушать рабочие процессы администраторов.
  • Сканирование на наличие вредоносного ПО: обнаружение подозрительных файлов и внедренных скриптов в ядре, плагинах, темах и директориях загрузок.
  • Смягчение OWASP Top 10: встроенные защиты (шаблоны виртуального патчирования) для общих рисков инъекций, включая XSS.
  • Руководство по реагированию на инциденты и журналы: ведение журналов запросов с судебно-экспертным качеством и поддержка для интерпретации предупреждений и реализации мер по устранению.
  • Постоянный мониторинг и разведка угроз: мы отслеживаем паттерны и новые эксплойты, чтобы защитные правила обновлялись быстро.

Если вы обеспокоены потенциальной эксплуатацией и нуждаетесь в немедленной защите, управляемый WAF плюс перечисленные выше действия существенно снизят риск принятия и выполнения сохраненных полезных нагрузок.


Новое: Защитите свой сайт с помощью WP-Firewall Basic (Бесплатно) — Легкая защита, пока вы патчите

Мы создали простой план, чтобы помочь администраторам быстро и недорого защитить свои сайты на WordPress. План Basic (Бесплатно) предлагает основную защиту, которая решает многие из немедленных рисков, связанных с сохраненным XSS и аналогичными уязвимостями плагинов:

  • Основная защита: управляемый файрвол, который фильтрует вредоносный ввод и снижает уязвимость.
  • Неограниченная пропускная способность и защита без ограничений на сайт.
  • Правила WAF (веб-аппликационного файрвола), настроенные для общих конечных точек плагинов WordPress.
  • Сканер вредоносного ПО для обнаружения вредоносных файлов и подозрительных инъекций.
  • Смягчение рисков OWASP Top 10 для снижения уязвимости к инъекциям, XSS и общим веб-угрозам.

Если вы хотите добавить дополнительный уровень защиты, пока работаете над исправлениями и очисткой, начните с базового плана здесь:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

За небольшую ежегодную плату наши стандартные и профессиональные уровни предоставляют дополнительные автоматизации (автоматическое удаление вредоносного ПО, черные/белые списки, ежемесячные отчеты и автоматическое виртуальное патчирование) и идеально подходят для развивающихся сайтов и агентств.


Заключительные заметки и реалистичные ожидания

  • Виртуальное патчирование и защита WAF эффективны, но не безошибочны. Они значительно снижают вероятность атаки и дают вам время, но вы всегда должны применять официальный патч плагина, когда он станет доступен.
  • Не пытайтесь “очистить” или редактировать файлы или базу данных без резервных копий и плана отката. Плохое устранение может повредить сайт или удалить законные данные.
  • Если вы подозреваете компрометацию и у вас нет внутренней экспертизы, обратитесь к профессиональной службе реагирования на инциденты. Время критично, когда постоянный клиентский код может быть в свободном доступе.

Заключительные мысли

Хранение XSS в плагине для тикетов напоминает о том, что даже административные инструменты — те, которые предназначены для помощи в управлении вашим сайтом — могут вводить мощные векторы атаки, если они не закодированы с учетом безопасности. Ключ к безопасной работе — это многослойная защита: уменьшите административную уязвимость, полагайтесь на строгие контроль доступа и MFA, проактивно мониторьте и ведите журналы, и используйте WAF для виртуального патчирования, пока применяется исправление на стороне сервера.

Если вы используете Passeum Ticketing или аналогичные плагины, действуйте сейчас: проверьте пользователей, просканируйте на наличие подозрительного сохраненного контента, включите MFA и рассмотрите возможность использования управляемого WAF для снижения немедленного риска. Эти шаги защитят администраторов, клиентов и долгосрочную целостность вашего сайта.

Если вам нужна помощь в оценке вашей уязвимости или внедрении защитных правил, команда WP-Firewall готова проконсультировать и помочь с экстренным виртуальным патчированием, обнаружением и планированием восстановления.

Будьте в безопасности и храните свои административные учетные данные в секрете.

— Команда безопасности WP-Firewall


Примечание: Эта статья является информационной и направлена на помощь администраторам сайтов в снижении рисков. Она намеренно избегает деталей эксплуатации и пошаговых инструкций по атакам. Если вы отвечаете за сайт, затронутый этой проблемой, следуйте рекомендациям по устранению и реагированию на инциденты выше и проконсультируйтесь с квалифицированным специалистом по безопасности.


wordpress security update banner

Получайте WP Security Weekly бесплатно 👋
Зарегистрируйтесь сейчас
!!

Подпишитесь, чтобы каждую неделю получать обновления безопасности WordPress на свой почтовый ящик.

Мы не спамим! Читайте наши политика конфиденциальности для получения более подробной информации.