ثغرة لا تحتاج إلى كلمة مرور: ماذا يحدث في ووردبريس

يُعد ووردبريس WordPress واحدًا من أشهر أنظمة إدارة المحتوى في العالم، أو ما يعرف بـ Content Management System – CMS. وتستخدمه ملايين المواقع، من المدونات الشخصية إلى المواقع الإعلامية والمتاجر الإلكترونية. وبحسب منصة الإحصاءات التقنية W3Techs، يستحوذ ووردبريس على حوالي 60% من سوق المواقع التي تستخدم نظام إدارة محتوى معروفًا.
لهذا، فإن أي خلل أمني في نواة ووردبريس لا يبقى خبرًا تقنيًا محدودًا. فهو يهم عددًا واسعًا من المواقع، خصوصًا عندما تكون الثغرة في النظام الأساسي نفسه، لا في إضافة خارجية أو قالب غير محدث.
- ماذا أعلن ووردبريس؟
أصدر ووردبريس تحديثًا أمنيًا عاجلًا للإصدار 7.0.2، لمعالجة ثغرتين في نواة النظام، إحداهما مصنفة حرجة، والأخرى عالية الخطورة.
ووفق الإعلان الرسمي لووردبريس، فُعّلت التحديثات الخلفية التلقائية للمواقع التي تعمل بالإصدارات المتأثرة. وهذه الخطوة تعني أن التحديث ليس مجرد تحسين عادي، بل تصحيح أمني ينبغي التأكد من وصوله إلى الموقع.
- لماذا هذه الثغرة مقلقة؟
في العادة، ترتبط كثير من حوادث ووردبريس بثغرات في الإضافات أو القوالب. لكن هذه المرة، الخلل موجود في نواة ووردبريس WordPress Core، أي في الجزء الأساسي الذي يقوم عليه النظام.
هذا يعني أن الموقع قد يكون معرضًا للخطر حتى لو كان يستخدم إضافات قليلة، أو قالبًا معروفًا، أو لم تظهر عليه أي علامة اختراق. العامل الحاسم هنا هو رقم الإصدار الذي يعمل عليه الموقع.
- ما الثغرتان اللتان يعالجهما التحديث؟
الثغرة الأولى مسجلة باسم CVE-2026-60137، وتتعلق بحقن قواعد البيانات، أو حقن SQL، والمعروف تقنيًا باسم SQL Injection. وهذا النوع من الثغرات قد يسمح، في بعض الحالات، بتمرير أوامر غير مشروعة إلى قاعدة بيانات الموقع عبر طلبات تبدو عادية.
أما الثغرة الثانية، وهي الأخطر، فمسجلة باسم CVE-2026-63030، وتتعلق بخلل في واجهة برمجة التطبيقات REST، أو REST API. وعند تداخلها مع مشكلة حقن SQL، قد يصل الخطر إلى تنفيذ أوامر برمجية عن بُعد، أو ما يعرف باسم Remote Code Execution – RCE.
- كيف يتحول الخلل إلى تنفيذ أوامر عن بُعد؟
المسار الذي تركز عليه التحذيرات هو:
/wp-json/batch/v1
هذا المسار جزء من آلية الطلبات المجمعة داخل ووردبريس، وليس مسارًا خبيثًا في حد ذاته. لكن المشكلة أن الإصدارات المتأثرة قد تتعامل مع بعض الطلبات عبر هذا المسار بطريقة غير آمنة.
وفي هذا السياق، أتاحت شركة الأمن السيبراني Searchlight Cyber، المتخصصة في استخبارات التهديدات الرقمية ورصد المخاطر السيبرانية، خدمة فحص عامة باسم wp2shell، تساعد أصحاب المواقع على معرفة ما إذا كانت مواقعهم تعمل بإصدار متأثر.
وبحسب الخدمة، يمكن أن يكون الاستغلال ممكنًا قبل تسجيل الدخول، أو ما يعرف باسم Pre-authentication. أي أن المهاجم لا يحتاج بالضرورة إلى اسم مستخدم أو كلمة مرور حتى يبدأ محاولة الاستغلال.
في أسوأ الحالات، قد يؤدي تنفيذ الأوامر عن بُعد إلى تشغيل كود على الموقع، أو زرع ملفات خبيثة، أو إنشاء حسابات غير مصرح بها، أو تعديل محتوى الموقع، أو استخدامه لاحقًا في هجمات أخرى.
- هل أصبحت آلية الاستغلال منشورة؟
بحسب موقع The Hacker News، لم يعد الخطر مجرد تحذير نظري؛ فقد أصبحت آلية الاستغلال معروفة، ونُشر نموذج إثبات استغلال عملي، أو ما يعرف باسم (Proof of Concept – PoC)، على منصة (GitHub).
هذا لا يعني أن كل موقع متأثر قد تعرض للاختراق، لكنه يجعل الوقت المتاح أمام المواقع غير المحدثة أقصر. فبعد نشر نموذج استغلال عملي، تبدأ عادة مرحلة سباق بين أصحاب المواقع الذين يثبتون التحديث، والمهاجمين الذين يبحثون عن المواقع التي لا تزال تعمل بإصدارات قديمة.
وحتى تاريخ التحديث الذي أورده المصدر، لم تكن الثغرة مدرجة في كتالوج الثغرات المستغلة فعليًا المعروف باسم CISA KEV، كما لم يكن هناك تأكيد منشور على استغلال واسع لها. لكن نشر نموذج عملي على (GitHub) يجعل التحديث أكثر إلحاحًا.
- ما الإصدارات المتأثرة؟
بحسب ووردبريس، فإن نسخة 6.9 متأثر بالثغرتين، وتم إصدار WordPress 6.9.5 لمعالجتهما. أما نسخة 6.8، فهو متأثر بثغرة حقن SQL فقط، وتم إصدار WordPress 6.8.6 لمعالجتها.
وتوضح خدمة (wp2shell) أن الإصدارات المتأثرة بالثغرة الأخطر تشمل:
الإصدارات المتأثرة:
WordPress 6.9.0 إلى WordPress 6.9.4.
WordPress 7.0.0 إلى WordPress 7.0.1.
الإصدارات المصححة:
WordPress 6.9.5.
WordPress 7.0.2.
ويقول ووردبريس إن الإصدارات الأقدم من نسخة 6.8 غير متأثرة بهذه الثغرات.
- كيف يمكن فحص الموقع وحمايته؟
للمساعدة في التحقق السريع، يمكن استخدام خدمة wp2shell لمعرفة ما إذا كان الموقع يعمل بإصدار متأثر. ورغم أهمية هذه الأداة، فإنها لا تغني عن التحقق المباشر من رقم الإصدار داخل لوحة تحكم ووردبريس.
وفي موازاة ذلك، قالت شركة كلاودفلير Cloudflare، وهي من أبرز الشركات العالمية في حماية وتسريع المواقع عبر شبكاتها وخدماتها السحابية، إنها نشرت قواعد حماية عبر جدار حماية تطبيقات الويب Web Application Firewall – WAF للتقليل من محاولات استغلال الثغرتين.
لكن هذه الحماية لا تعالج الخلل داخل ووردبريس نفسه. هي تخفف الخطر مؤقتًا، خصوصًا في الفترة التي تسبق التحديث. أما الإجراء الحاسم، فيبقى تثبيت الإصدار المصحح.
إذا كان موقعك يعمل على WordPress 7.0 أو WordPress 7.0.1، فيجب تحديثه إلى WordPress 7.0.2.
إذا كان يعمل على نسخة 6.9، فيجب تحديثه إلى WordPress 6.9.5.
إذا كان يعمل على نسخة 6.8، فيجب تحديثه إلى WordPress 6.8.6.
بعد التحديث، يُنصح بتحديث الإضافات والقوالب، ومسح الذاكرة المؤقتة، أو Cache، ومراجعة سجلات الخادم، أو Server Logs، بحثًا عن طلبات غير معتادة، خصوصًا تلك المرتبطة بمسار REST API:
/wp-json/batch/v1
وجود طلبات على هذا المسار لا يعني وحده أن الموقع تعرض للاختراق، لكنه مؤشر يستحق المراجعة إذا ترافق مع نشاط غير طبيعي.



