خوارزمية RCE غير مُصادق عليها في مُكوّن تغيير حجم الصور في Cloudflare // تاريخ النشر: ١٨ أغسطس ٢٠٢٥ // CVE-2025-8723

فريق أمان جدار الحماية WP

Cloudflare Image Resizing Vulnerability

اسم البرنامج الإضافي تغيير حجم الصور في Cloudflare
نوع الضعف تنفيذ التعليمات البرمجية عن بعد
رقم CVE CVE-2025-8723
الاستعجال عالي
تاريخ نشر CVE 2025-08-18
رابط المصدر CVE-2025-8723

تنبيه أمني عاجل: تغيير حجم الصور في Cloudflare (cf-image-resizing) <= 1.5.6 — RCE غير مُصادق عليه عبر rest_pre_dispatch (CVE-2025-8723)

تاريخ: 18 أغسطس 2025
خطورة: حرج (CVSS 10.0) — تنفيذ التعليمات البرمجية عن بُعد (RCE)
المكونات الإضافية المتأثرة: تغيير حجم الصور في Cloudflare (العنوان الفرعي للمكون الإضافي: cf-image-resizing)
الإصدارات المعرضة للخطر: <= 1.5.6
تم إصلاحه في: 1.5.7
CVE: CVE-2025-8723

كُتبت هذه الاستشارة من منظور WP-Firewall، وهي شركة متخصصة في أمن ووردبريس وجدار حماية تطبيقات الويب (WAF) المُدار، وتهدف إلى مساعدة مالكي مواقع ووردبريس ومديريها وفرق الأمن على فهم الثغرة الأمنية، وتقييم مدى التعرض لها، وتطبيق إجراءات سريعة وعملية للحد منها (بما في ذلك قواعد جدار حماية تطبيقات الويب (WAF) وخطوات الاستجابة للحوادث). أسلوبها عملي وإنساني، مُركزًا على ما يجب عليك فعله الآن لحماية موقعك وكيفية التعافي في حال تعرضه للاختراق.

ملحوظة: إذا قمت بتشغيل البرنامج الإضافي Cloudflare Image Resizing على أي موقع WordPress، فتعامل مع هذا الأمر باعتباره حالة طارئة واتبع قسم "الإجراءات الفورية" أدناه.

الملخص التنفيذي

تسمح ثغرة أمنية حرجة في مكون Cloudflare Image Resizing WordPress (الإصدارات <= 1.5.6) للمهاجمين غير المصادق عليهم بتحقيق تنفيذ التعليمات البرمجية عن بعد (RCE) من خلال إساءة استخدام استخدام المكون الإضافي لخطاف إرسال واجهة برمجة تطبيقات WordPress REST (الراحة قبل الإرسال) دون فحوصات مصادقة كافية. تم تحديد الثغرة الأمنية بالرقم CVE‑2025‑8723، وتم إصلاحها في الإصدار 1.5.7.

يعد RCE في مكون WordPress أحد أخطر فئات الثغرات الأمنية: فهو يتيح تنفيذ أوامر عشوائية على الخادم، والاستيلاء الكامل على الموقع، والأبواب الخلفية، واستخراج البيانات، والقائمة السوداء للبريد العشوائي/البرامج الضارة، والانتقال إلى مواقع أخرى في بيئة الاستضافة.

إذا لم تتمكن من التحديث فورًا إلى الإصدار 1.5.7، فطبّق تصحيحًا افتراضيًا (قواعد جدار حماية تطبيقات الويب) وضوابط وصول لمنع محاولات الاستغلال. إذا كنت تشك في وجود اختراق، فاتبع قائمة التحقق من الاستجابة للحوادث أدناه.

ما الخطأ الذي حدث (الخلفية الفنية)

  • يقوم البرنامج المساعد بتسجيل المنطق الذي يتم تشغيله عبر خطاف الإرسال المسبق لـ WordPress REST API الراحة قبل الإرساليتم تشغيل هذا الخطاف في وقت مبكر أثناء معالجة طلب REST ويمكن استخدامه لتقصير مسار توجيه REST العادي.
  • في الإصدارات المعرضة للخطر، قامت المنطق المرتبط بهذا الخطاف بمعالجة المدخلات غير المصادق عليها ووصلت إلى مسارات التعليمات البرمجية التي سمحت بتنفيذ الحمولة التي يوفرها المهاجم أو تضمين محتوى غير آمن - مما مكن بشكل فعال من RCE.
  • السبب الجذري هو عدم إجراء فحص المصادقة/التفويض بالإضافة إلى التعامل غير الآمن مع الإدخالات التي يتحكم فيها المستخدم في مسار التعليمات البرمجية التي تصل إلى سياق التنفيذ على الخادم.

لأن الراحة قبل الإرسال يتم استدعاء هذا الاستغلال قبل تطبيق مصادقة REST العادية، ويؤدي عدم التحقق من صحة الطلب إلى وصول غير مُصادق عليه إلى عمليات ذات امتيازات. يمكن تشغيل هذا الاستغلال ببساطة عبر طلب HTTP إلى نقطة (نقاط) نهاية واجهة برمجة تطبيقات REST التي يتصل بها المكون الإضافي.

تأثير

  • من الممكن اختراق الموقع بالكامل (RCE → الباب الخلفي → إنشاء حساب المسؤول → سرقة البيانات).
  • الوصول على مستوى الخادم إذا كانت عملية PHP تحتوي على أذونات خطيرة أو توجد ثغرات في تصعيد الامتيازات المحلية.
  • استخراج البيانات (تفريغ قواعد البيانات)، وتشويه المحتوى، وتوزيع البريد العشوائي، وتعدين العملات المشفرة، والحركة الجانبية في بيئات الاستضافة متعددة المواقع، أو التضمين في شبكات الروبوتات.
  • الفهرسة والقائمة السوداء بواسطة محركات البحث وخدمات الأمان - تأثير خطير على تحسين محركات البحث والسمعة.

نظرًا لطبيعة هذه الثغرة الأمنية غير المصادق عليها وشدتها العالية (CVSS 10)، فمن المحتمل أن يقوم المهاجمون بأتمتة محاولات الاستغلال؛ ويتطلب الأمر اتخاذ إجراء سريع.

الإجراءات الفورية (ما يجب فعله الآن)

  1. قم بتحديث البرنامج المساعد إلى الإصدار 1.5.7 أو الأحدث على الفور (الإصلاح الموصى به والأبسط).
    • من مسؤول WP: المكونات الإضافية → المكونات الإضافية المثبتة → تحديث تغيير حجم الصور في Cloudflare.
    • أو عبر WP-CLI: 
      قائمة مكونات wp الإضافية --format=table
      تحديث إضافة wp cf-image-resize
  2. إذا لم تتمكن من التحديث فورًا، فقم بتطبيق قواعد التصحيح الافتراضي/WAF (انظر إرشادات جدار حماية التطبيقات (WAF) أدناه). احظر جميع عمليات الوصول غير المُصادق عليها إلى نقاط نهاية REST الخاصة بالمكون الإضافي وأي حمولات مشبوهة.
  3. إذا كنت تشك في وجود استغلال أو لا يمكنك تأكيد حالة التصحيح:
    • ضع الموقع في وضع الصيانة (أو قم بحظر جميع حركة المرور الخارجية مؤقتًا).
    • إنشاء نسخة احتياطية كاملة للملف وقاعدة البيانات والحفاظ على السجلات للتحليل الجنائي.
    • قم بتدوير جميع كلمات المرور/مفاتيح SSH الخاصة بمسؤول WordPress والاستضافة.
    • البحث عن مؤشرات الاختراق (IoCs) - راجع قسم الكشف.
  4. تعطيل البرنامج الإضافي مؤقتًا إذا لم يكن من الممكن تطبيق التحديث في الوقت المناسب أو التصحيح الافتراضي الموثوق به: 
    إضافة wp تُلغي تفعيل تغيير حجم صورة cf

    انتبه إلى أن هذا قد يؤثر على وظيفة الصورة إذا كنت تعتمد على تغيير حجم الصورة في Cloudflare.

  5. تمكين أو زيادة المراقبة من سجلات الوصول، وسجلات الأخطاء، وتنبيهات جدار حماية تطبيقات الويب.

إرشادات التصحيح الافتراضي / WAF

إذا لم يكن التصحيح الفوري ممكنًا (مثل اختبار التوافق أو الصيانة المجدولة)، فطبّق التصحيح الافتراضي لمنع محاولات الاستغلال. يوصي WP-Firewall بالنهج الطبقي التالي:

  1. حظر طلبات واجهة برمجة التطبيقات REST التي تستهدف مساحة اسم البرنامج الإضافي أو نقاط النهاية.
  2. حظر أنماط الحمولة المشبوهة المستخدمة بشكل شائع في RCE (PHP المشفر بـ base64، ومغلفات PHP، و"system("، و"exec("، وعلامات الاقتباس العكسية، وPHP التسلسلي مع أسماء فئات غير متوقعة).
  3. تتطلب المصادقة لمسارات REST الحساسة باستخدام القيود على مستوى الخادم.

فيما يلي أمثلة على القواعد والمقاطع التي يمكنك إضافتها إلى جدار حماية تطبيقات الويب (أو إلى nginx/Apache) كإجراءات مؤقتة. هذه القواعد والمقاطعات مُحافظة ومُخصصة كإجراءات طارئة، لذا اختبرها قبل نشرها على نطاق واسع.

ملاحظة: استبدل حدوثات /wp-json/ مع مساحة الاسم الفعلية التي يستخدمها البرنامج المساعد إذا كانت معروفة (يعتبر عنوان البرنامج المساعد وأنماط المسار النموذجية نقاط بداية مفيدة: على سبيل المثال، /wp-json/cf-تغيير حجم الصورة/).

قاعدة ModSecurity العامة (مثال)

تمنع قاعدة ModSecurity هذه الطلبات الموجهة إلى نقاط نهاية REST التي تحتوي على أحرف حمولة RCE نموذجية أو معلمات مشبوهة. تكيّف مع بيئتك واختبرها.

SecRule REQUEST_URI "@beginsWith /wp-json/cf-image-resizing" "id:100001,phase:1,deny,log,status:403,msg:'تم حظر طلب REST مشبوه إلى cf-image-resizing',severity:2" SecRule REQUEST_URI "@beginsWith /wp-json" "chain,phase:1,deny,log,status:403,msg:'حظر POST غير المصادق عليه إلى واجهة برمجة تطبيقات REST ذات نص مشبوه'" SecRule REQUEST_METHOD "POST" SecRule REQUEST_HEADERS:Content-Type "application/json" "chain" SecRule ARGS_NAMES|REQUEST_BODY "(?:system\(|exec\(|passthru\(|popen\(|`.*`|base64_decode\(|php://input|gzinflate\()" "t:none,deny,log,status:403,msg:'حمولة RCE محتملة في طلب REST'"

مقتطف Nginx — تقييد نقطة نهاية REST للمكون الإضافي

يمكنك منع الوصول الخارجي إلى مسار REST الخاص بالمكون الإضافي بالكامل، أو تقييده على الطلبات المصادق عليها / عناوين IP المحددة.

حظر الوصول إلى مسار REST للمكون الإضافي (بسيط وآمن):

الموقع ~* ^/wp-json/cf-image-resizing/ { return 403; }

إذا كنت بحاجة إلى الوصول الانتقائي (السماح بـ Cloudflare أو عناوين IP الموثوقة):

الموقع ~* ^/wp-json/cf-image-resizing/ { السماح بـ 203.0.113.0/24؛ السماح بـ 198.51.100.17؛ # الاستبدال بعناوين IP موثوقة رفض الكل؛ }

Apache (.htaccess) — رفض الوصول إلى مسار REST للمكون الإضافي

ضع داخل جذر WordPress:

يتطلب رفض جميع

مرشح على مستوى WordPress (PHP مؤقت)

كإجراء طارئ لراحة المشرفين في تعديل السمات أو إضافات متعددة، أضف إضافة متعددة سهلة الاستخدام تمنع الوصول غير المُصادق إلى نقاط نهاية REST ضمن مساحة اسم الإضافة. أنشئ ملفًا. wp-content/mu-plugins/block-cf-rest.php:

<?php
add_filter('rest_authentication_errors', function($result) {
    // If authentication already failed, return it.
    if ( ! empty($result) ) {
        return $result;
    }

    $request = rest_get_server()->get_request();
    $route = $request->get_route();

    if (strpos($route, '/cf-image-resizing/') === 0) {
        return new WP_Error('rest_forbidden', 'Access to this endpoint is temporarily disabled', array('status' => 403));
    }

    return $result;
}, 90);

هذا يحظر طلبات REST غير المُصادق عليها إلى مساحة اسم المكون الإضافي. أزله بعد تحديث المكون الإضافي والتأكد من سلامته.

الكشف: مؤشرات الاختراق (IoCs) وأنماط السجل

إذا تم استغلال الثغرة الأمنية، فإن المؤشرات الشائعة تشمل:

  • طلبات API REST غير المعتادة إلى مساحة اسم البرنامج الإضافي:
    • الطلبات الموجهة إلى /wp-json/cf-image-resizing/* من عناوين IP مشبوهة أو العديد من عناوين IP المميزة في فترة زمنية قصيرة.
    • طلبات POST مع أجسام JSON تحتوي على حمولات مشفرة أو مشوشة.
  • ملفات PHP جديدة أو معدلة في الدلائل القابلة للكتابة (uploads، wp-content/uploads، wp-includes، plugins):
    • الملفات التي تحمل أسماء تشبه سجلات النظام وملفات الوسائط ولكنها تحتوي على كود PHP (على سبيل المثال، صورة.php, thumb.jpg.php, ._thumbs.php).
  • تم إنشاء مستخدمين إداريين غير مصرح لهم:
    • ابحث عن المستخدمين الذين تم إنشاؤهم مؤخرًا ولديهم إمكانيات المسؤول.
  • المهام المجدولة غير المتوقعة (وظائف cron):
    • إدخالات cron جديدة تقوم بتشغيل كود PHP.
  • اتصالات الشبكة الصادرة من خادم الويب إلى عناوين IP المشبوهة (الأوامر والتحكم)، وخاصةً على المنافذ غير HTTP.
  • أوامر Shell التي تم تنفيذها في السجلات (على سبيل المثال، ارتفاعات أداة wget, حليقة أو إخراج أمر غير متوقع في سجلات الأخطاء).
  • تعديلات مشبوهة على ملفات .htaccess أو الفهرس في أدلة المكونات الإضافية/الموضوعات.
  • سجلات الأخطاء المرتفعة تُظهر eval() وinclude() مع مسارات غير متوقعة.

استعلامات السجل المقترحة:

  • سجلات وصول Apache/Nginx (grep لمسار REST والحمولات المشبوهة): 
    # العثور على نتائج REST لمسار البرنامج المساعد في الأيام السبعة الماضية zgrep "/wp-json/cf-image-resizing" /var/log/nginx/access.log* | tail -n 200
  • ابحث عن سلاسل base64 أو غلافات php في نصوص الطلب: 
    zgrep -E "base64_decode|gzinflate|php://input|system\(|exec\(|passthru\(" /var/log/nginx/access.log*
  • التحقق من الملفات المعدلة في التحميلات خلال الأيام الـ14 الماضية: 
    البحث عن wp-content/uploads -type f -mtime -14 -print
  • قائمة الملفات التي تم تعديلها مؤخرًا عبر الموقع: 
    البحث عن . -type f -mtime -14 -not -path "./.git/*" -print
  • WP-CLI: قائمة المستخدمين الذين تم إنشاؤهم في آخر X أيام: 
    قائمة مستخدمي wp --role=administrator --fields=ID,user_registered,user_email,user_login --format=csv | awk -F, '$2 > "2025-08-01" {print}'
  • ابحث عن توقيعات PHP webshell (سلاسل مثل تقييم(, تأكيد(, فك تشفير base64() في ملفات الموقع: 
    grep -R --exclude-dir=vendor -nE "eval\(|assert\(|base64_decode\(" .

قائمة التحقق الجنائية (إذا كنت تشك في وجود اختراق)

  1. الحفاظ على الأدلة:
    • نسخة احتياطية لقرص الخادم وقاعدة البيانات (نسخة محمية ضد الكتابة).
    • الحفاظ على سجلات خادم الويب الكاملة وسجلات PHP-FPM/fastcgi.
  2. عزل الموقع (أخرجه من الشبكة أو قم بحظر حركة المرور من عناوين IP غير الموثوق بها).
  3. تحديد نطاق التنازل:
    • ما هي الملفات/المستخدمين الذين تم تغييرهم؛ والجدول الزمني للتعديلات.
  4. إزالة الأبواب الخلفية والملفات الضارة:
    • فحص الملفات المشبوهة يدويًا؛ إزالة webshells وملفات PHP غير المعروفة.
  5. تدوير بيانات الاعتماد:
    • تغيير كلمات مرور مسؤول WordPress، وبيانات اعتماد قاعدة البيانات، ومفاتيح SSH، ورموز API (بما في ذلك Cloudflare/الخدمات الأخرى).
  6. المسح الضوئي والتنظيف:
    • استخدم أدوات المسح الضوئي المتعددة والتحقق اليدوي.
  7. استعادة من نسخة احتياطية معروفة بأنها جيدة إذا لزم الأمر.
  8. قم بوضع الرقعة، وقم بتقوية المنطقة، ثم قم بمراقبتها عن كثب للتأكد من عدم تكرار حدوثها.
  9. إذا كان الاختراق يمس بيانات حساسة أو بيانات العملاء، فاتبع إجراءات الإفصاح القانونية والتنظيمية الخاصة بك.

إذا لم تكن لديك مهارات داخلية في الاستجابة للحوادث، فاستعن بمقدم خدمة استجابة متخصص. الوقت عامل حاسم، إذ يحاول المهاجمون إعادة إصابة المواقع بسرعة.

توصيات التصلب (بعد التحديث)

بالإضافة إلى تحديث البرنامج الإضافي، قم بتطبيق تدابير التحصين عبر موقع WordPress الخاص بك لتقليل سطح الهجوم:

  • حافظ على تحديث جميع مكونات ووردبريس الأساسية، والسمات، والإضافات. فعّل التحديثات الثانوية التلقائية، وراعِ جداول زمنية مُحكمة للتحديثات الرئيسية.
  • اقتصر تثبيت الإضافات على الإضافات الموثوقة والمُدارة بنشاط. أزل الإضافات والسمات غير المستخدمة.
  • تقييد أذونات نظام الملفات:
    • عادةً ما تكون ملفات ووردبريس مملوكة لمستخدم لا يمكنه تنفيذ أوامر عشوائية. تجنب منح أذونات كتابة واسعة النطاق لمستخدم خادم الويب.
  • تقييد الوصول إلى واجهة برمجة التطبيقات REST:
    • قم بحظر الوصول إلى نقاط نهاية REST التي لا يلزم أن تكون عامة باستخدام المرشحات أو قواعد جانب الخادم.
  • قم بتنفيذ الحد الأدنى من الامتيازات لمستخدمي WordPress ولا تستخدم حساب المسؤول مطلقًا للعمليات الروتينية.
  • استخدم جدار حماية التطبيقات على الويب (WAF) المُدار مع التصحيحات الافتراضية لمنع محاولات استغلال الثغرات الأمنية التي تم الكشف عنها حديثًا.
  • مراقبة السجلات والتنبيهات - الحفاظ على القدرة على اكتشاف الحوادث.
  • إجراء نسخ احتياطية منتظمة للكود وقاعدة البيانات واختبار إجراءات الاستعادة.

كيف يعمل WP-Firewall على تخفيف وحماية موقع WordPress الخاص بك

في WP-Firewall، نطبق نهجًا متعدد الطبقات للحفاظ على أمان المواقع:

  • التصحيح الافتراضي السريع: عندما يتم الكشف عن ثغرة أمنية مثل هذه، نقوم بنشر توقيعات WAF المستهدفة التي تستهدف أنماط الهجوم المحددة ونقاط نهاية REST المرتبطة بالمشكلة (منع محاولات الاستغلال بشكل استباقي).
  • قواعد تدرك السياق: يقوم جدار حماية التطبيقات لدينا بفحص مكالمات واجهة برمجة التطبيقات REST ويحظر الطلبات غير المصادق عليها التي تحاول الوصول إلى مساحات أسماء خاصة بالمكونات الإضافية أو إرسال حمولات مشبوهة.
  • المسح والمراقبة المُدارة: عمليات مسح مجدولة للبحث عن تغييرات الملفات، وأدلة على وجود صفحات ويب، ونشاط إداري غير طبيعي.
  • إرشادات الاستجابة للحوادث: إذا كان هناك شك في وجود خطر، فإننا نقدم علاجًا خطوة بخطوة ونساعد في نشر قواعد الاحتواء.
  • إدارة التحديث التلقائي: يمكنك تمكين التحديثات التلقائية للمكونات الإضافية الهامة بشكل اختياري لضمان حصول بيئتك على الإصلاحات على الفور (يمكنك التحكم في السياسة ونوافذ الاختبار).

إذا كنت بحاجة إلى حماية فورية، فإن التصحيح الافتراضي للمكون الإضافي المعرض للخطر يعد أحد أسرع الطرق وأقلها إزعاجًا لتقليل المخاطر أثناء جدولة تحديث المكون الإضافي الرسمي واختباره.

قواعد البحث عن التهديدات ومراقبتها التي يجب عليك إضافتها الآن

  • تنبيه بشأن الوصول إلى /wp-json نقاط النهاية التي تحتوي على سلاسل فرعية مشبوهة في النص:
    • base64_decode، eval، gzinflate، php://input،
  • قم بوضع علامة على إنشاء مستخدم إداري جديد خارج نوافذ التغيير.
  • ربط ارتفاعات استجابات 403/5xx على نقاط نهاية REST - غالبًا ما يُظهر المسح الآلي نمطًا للعديد من الطلبات السريعة.
  • راقب إنشاء الملف في wp-content/uploads مع .php ملحق أو ملفات ذات امتدادات مزدوجة (على سبيل المثال، صورة.jpg.php).
  • راقب الاتصالات الصادرة من خادم الويب إلى عناوين IP والمجالات الخارجية الجديدة.

مثال على قاعدة SIEM (الزائفة):
إذا كان > 5 طلبات POST إلى /wp-json/cf-تغيير حجم الصورة/ من نفس عنوان IP خلال 60 ثانية ويحتوي نص الطلب على فك تشفير base64 أو نظام(، قم بتحديده كاستغلال محتمل وقم بحظر عنوان IP.

إجراءات الاسترداد وما بعد الحادث

  1. تنظيف أو استعادة من نسخة احتياطية نظيفة قبل الاختراق.
  2. استبدال أي بيانات اعتماد معرضة للخطر (قاعدة البيانات، ووردبريس، ولوحات التحكم في الاستضافة، ومفاتيح API).
  3. قم بتصحيح البرنامج المساعد إلى الإصدار 1.5.7 أو الأحدث.
  4. قم بإجراء مسح شامل للبيئة بأكملها (وليس فقط ملفات الموقع): الحاويات، ونظام التشغيل المضيف، ومهام cron، والأبواب الخلفية لقاعدة البيانات.
  5. أعد إصدار شهادات SSL في حالة تعرض المفاتيح الخاصة للخطر.
  6. أبلغ عن الحادث إلى مزود الاستضافة الخاص بك وأي أطراف متضررة وفقًا للالتزامات التنظيمية.
  7. تنفيذ أو تشديد المراقبة وحماية جدار الحماية للتطبيقات على الأجهزة المحمولة للكشف عن محاولات إعادة الإصابة.

مثال: أوامر الكشف السريع والفحوصات

  • التحقق من إصدار البرنامج المساعد: 
    حالة مكون wp cf-image-resizing --field=version
  • قم بإلغاء تنشيط البرنامج الإضافي بسرعة: 
    إضافة wp تُلغي تفعيل تغيير حجم صورة cf
  • قائمة الملفات التي تم تعديلها في الأيام السبعة الماضية: 
    البحث عن . -type f -mtime -7 -print
  • التحقق من وجود webshells في التحميلات: 
    grep -R --exclude-dir=plugin-folder -nE "
  • قائمة مستخدمي الإدارة: 
    قائمة مستخدمي wp --role=administrator --fields=ID,user_login,user_email,user_registered

الأسئلة الشائعة

س: لقد قمت بالتحديث إلى الإصدار 1.5.7 - هل أنا آمن؟
ج: نعم، التحديث إلى الإصدار 1.5.7 يُصلح الثغرة. مع ذلك، إذا تم استغلال ثغرة أمنية سابقًا، فإن التحديث وحده لا يُزيل الثغرات الأمنية أو يُزيل تغييرات التنظيف التي أجراها المهاجم. نفّذ عمليات فحص لمؤشرات الاختراق (IoCs) ونفّذ قائمة التحقق الجنائي المذكورة أعلاه.

س: ماذا لو لم أتمكن من التحديث (تبعية الكود المخصص)؟
ج: طبّق التصحيح الافتراضي (قواعد جدار حماية التطبيقات على الويب) و/أو قيّد الوصول إلى نقاط نهاية REST للمكون الإضافي عبر إعدادات مستوى الخادم. فكّر في تعطيل المكون الإضافي مؤقتًا إذا لم تكن ميزات تغيير حجم الصورة ضرورية حتى تتمكن من اختباره وتحديثه بأمان.

س: هل ستؤدي قواعد WAF إلى تعطل وظيفة صورة Cloudflare المشروعة؟
ج: قد يؤثر الحظر المُفرط على الاستخدام المشروع في حال سوء تطبيقه. صمّم القواعد لحظر المكالمات غير المُصادق عليها فقط لمسارات REST الخاصة بالمكون الإضافي والحمولات الدالة على تنفيذ التعليمات البرمجية. اختبر القواعد في وضع الكشف فقط، إن أمكن، قبل الحظر.

عنوان فقرة التسجيل في خطة WP-Firewall المجانية
ابدأ بحماية موقعك في دقائق — WP‑Firewall Basic (مجاني)

إذا كنت تدير مواقع ووردبريس وترغب في حماية فورية تتضمن جدار حماية مُدارًا، ونطاق ترددي غير محدود، وجدار حماية تطبيقات ويب مُعدّل، وفحصًا آليًا للبرامج الضارة، والتخفيف من مخاطر OWASP العشرة الأكثر خطورة، فإن WP‑Firewall Basic (مجاني) يوفر لك الحماية الأساسية فورًا. اشترك في الخطة المجانية واحصل على تصحيحات افتراضية سريعة ومراقبة مستمرة لحجب ثغرات الإضافات المُكتشفة حديثًا، مثل CVE‑2025‑8723، أثناء جدولة التحديثات واختبارها. تعرّف على المزيد واشترك: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

الملاحظات النهائية وقائمة المراجعة الموصى بها (قابلة للنسخ)

  • قم بتحديث cf-image-resizing على الفور إلى الإصدار 1.5.7 (أو أحدث).
  • إذا لم يكن التحديث ممكنًا، فقم بتطبيق قواعد WAF لحظر /wp-json/cf-image-resizing/ والحمولات المشبوهة.
  • تحقق من السجلات بحثًا عن ضربات واجهة برمجة التطبيقات REST وأجسام الطلبات المشبوهة.
  • ابحث عن مستخدمي الإدارة الذين تم إنشاؤهم حديثًا والملفات المعدلة ومهام cron.
  • قم بإنشاء نسخة احتياطية وحفظ الأدلة في حالة الاشتباه في حدوث اختراق.
  • قم بتدوير بيانات الاعتماد وتعزيز بيئتك.
  • فكر في تمكين WAF المُدار / التصحيح الافتراضي لحماية المواقع بشكل استباقي.

إذا كنت بحاجة إلى مساعدة في تطبيق أيٍّ من قواعد جدار حماية التطبيقات (WAF) المذكورة أعلاه، أو إجراء فحوصات جنائية، أو إعداد حماية مستمرة لمواقع متعددة، فيمكن لفريق WP‑Firewall مساعدتك في التصحيحات الافتراضية الطارئة والاستجابة المُوجَّهة للحوادث. اشترك في الخطة الأساسية (المجانية) للحصول على حماية فورية ورؤية واضحة أثناء إصلاح الخلل.https://my.wp-firewall.com/buy/wp-firewall-free-plan/)

ابقى آمنًا - قم بالمراجعة والتصحيح الآن.

wordpress security update banner

احصل على WP Security Weekly مجانًا 👋
أفتح حساب الأن!!

قم بالتسجيل لتلقي تحديث أمان WordPress في بريدك الوارد كل أسبوع.

نحن لا البريد المزعج! اقرأ لدينا سياسة الخصوصية لمزيد من المعلومات.

اتصل بنا لتحديد موعد استشارة مجانية حول أمان WordPress

اتصل بنا

جدار الحماية WP
6/F, The Rays, 71 Hung To Road, كوون تونغ, كولون, هونج كونج

سمات التسعير مدونة تسجيل الدخول
سياسة الخصوصية شروط الخدمة المستندات انضم
ar العربية
ar العربية en_US English zh_CN 简体中文 zh_HK 香港中文 zh_TW 繁體中文 ja 日本語 es_ES Español fr_FR Français hi_IN हिन्दी bn_BD বাংলা ko_KR 한국어 it_IT Italiano pt_PT Português nl_NL Nederlands vi Tiếng Việt ru_RU Русский pl_PL Polski de_DE Deutsch da_DK Dansk

© 2025 WP-Firewall™