ثغرة CSRF حرجة في إضافة عد تنازلي لإعادة التوجيه // نُشرت في 2026-03-23 // CVE-2026-1390

فريق أمان جدار الحماية WP

WordPress Redirect Countdown Plugin Vulnerability

اسم البرنامج الإضافي إضافة العد التنازلي لإعادة التوجيه في ووردبريس
نوع الضعف طلب تزوير موقع على الإنترنت
رقم CVE CVE-2026-1390
الاستعجال قليل
تاريخ نشر CVE 2026-03-23
رابط المصدر CVE-2026-1390

CVE-2026-1390 — إضافة العد التنازلي لإعادة التوجيه (<=1.0) CSRF: ماذا يعني ذلك لموقع ووردبريس الخاص بك وكيفية حمايته

مؤلف: فريق أمان جدار الحماية WP
تاريخ: 2026-03-23

ملخص
تم الكشف علنًا عن ثغرة في تزوير الطلبات عبر المواقع (CSRF) (CVE-2026-1390) تؤثر على إضافة العد التنازلي لإعادة التوجيه في ووردبريس الإصدار 1.0 وما قبله. تسمح هذه الثغرة للمهاجم بإجبار مسؤول موثوق (أو مستخدم آخر ذو صلاحيات) على تغيير إعدادات الإضافة دون التحقق بشكل صحيح من النونز أو فحوصات القدرات. في الممارسة العملية، يمكن استخدام ذلك لإدخال إعادة توجيه خبيثة، كسر تحسين محركات البحث، أو توجيه الزوار إلى صفحات يتحكم بها المهاجم. يشرح هذا المقال ما حدث، كيف يمكن أن يستغل المهاجمون ذلك، كيف يمكنك اكتشاف علامات الاستغلال، والتخفيفات العملية (بما في ذلك حماية WP-Firewall) التي يجب عليك تطبيقها على الفور.

جدول المحتويات

  • ما هي هذه الثغرة؟
  • من هم المتضررون؟
  • لماذا هذا مهم (سيناريوهات التهديد)
  • التحليل الفني — كيف يعمل CSRF
  • مثال على إثبات المفهوم (تصوري)
  • علامات الاختراق وفحوصات الطب الشرعي
  • إجراءات فورية لمالكي المواقع والمديرين
  • حماية WP-Firewall وقواعد WAF الموصى بها
  • إرشادات المطور: كيفية إصلاح كود المكون الإضافي
  • أفضل الممارسات لتعزيز الأمان والمراقبة على المدى الطويل
  • قائمة التحقق من الاستجابة للحوادث
  • الأفكار النهائية
  • تأمين موقعك باستخدام WP-Firewall (تفاصيل الطبقة المجانية والتسجيل)

ما هي هذه الثغرة؟

CVE-2026-1390 هو تزوير طلبات عبر المواقع (CSRF) يؤثر على إضافة العد التنازلي لإعادة التوجيه في ووردبريس (الإصدارات <= 1.0). يقبل مسار الكود المعرض للخطر طلبات POST التي تحدث إعدادات الإضافة دون التحقق من نونز ووردبريس صالح أو إجراء فحوصات القدرات المناسبة. نتيجة لذلك، يمكن لموقع ويب خبيث أو بريد إلكتروني استضافة صفحة، عند زيارتها من قبل مسؤول موثوق (أو مستخدم آخر ذو صلاحيات للوصول إلى إعدادات الإضافة)، ستقوم بهدوء بتقديم طلب مصمم يقوم بتحديث تكوين الإضافة.

توضيحات مهمة:

  • لا يحتاج المهاجم إلى كلمة مرور المسؤول. يحتاج فقط إلى أن يكون المسؤول مسجلاً الدخول إلى ووردبريس ثم زيارة صفحة تحت سيطرة المهاجم (أو النقر على رابط مصمم).
  • هذه ثغرة CSRF، وليست تنفيذ كود عن بُعد غير موثوق. إنها تستغل جلسة موثوقة لمستخدم ذو صلاحيات.
  • تعتبر الخطورة منخفضة إلى متوسطة في التقييمات العامة (تم الإبلاغ عن CVSS ~4.3) لأن الاستغلال يتطلب خداع المسؤول لزيارة صفحة خبيثة؛ ومع ذلك، يمكن أن يكون التأثير اللاحق أكبر اعتمادًا على الإعدادات التي تم تغييرها (على سبيل المثال، أهداف إعادة التوجيه).

من هم المتضررون؟

  • أي موقع ووردبريس يحتوي على إضافة العد التنازلي لإعادة التوجيه مثبتة بالإصدار 1.0 أو ما قبله قد يتأثر.
  • الخطر الحقيقي ينشأ في المواقع التي تم تفعيل الإضافة فيها حيث يقوم واحد أو أكثر من المستخدمين ذوي الصلاحيات (المسؤولين أو المستخدمين الذين لديهم صلاحية إعدادات الإضافة) بتسجيل الدخول إلى واجهة إدارة ووردبريس وتصفح الويب أثناء كونهم موثوقين.
  • المواقع التي تستضيف حسابات إدارة عامة أو لديها عدة مسؤولين تعتبر أكثر عرضة للخطر لأن المهاجم لديه المزيد من الضحايا المحتملين لخداعهم اجتماعيًا.

إذا كنت تستخدم إصدارًا لاحقًا من الإضافة حيث أضاف البائع فحوصات النونز/القدرات، فلن تتأثر بهذه الثغرة CSRF المحددة. إذا لم يكن هناك تحديث رسمي متاح بعد، فاتبع التخفيفات الفورية أدناه.

لماذا هذا مهم — سيناريوهات التهديد

يمكن أن يبدو تحديث الإعدادات في إضافة إعادة التوجيه غير ضار حتى تفكر في كيفية استخدام المهاجم لذلك:

  • عمليات إعادة التوجيه الضارة: يمكن للمهاجم تغيير وجهة إعادة التوجيه إلى صفحة تصيد مستضافة من قبل المهاجم أو صفحة هبوط للبرامج الضارة. قد يتعرض كل زائر لعنوان URL المعاد توجيهه.
  • ضرر SEO والسمعة: يمكن أن تؤدي إعادة التوجيه إلى محتوى مزعج أو احتيالي إلى تدمير الثقة والترتيب في محركات البحث.
  • التصيد وسرقة بيانات الاعتماد: يمكن أن تلتقط إعادة التوجيه التي تحاكي صفحات تسجيل الدخول بيانات الاعتماد أو تمكّن من الاستيلاء على الحساب.
  • تتبع المستخدم واستخراج البيانات: قد تمكّن الإعدادات أو تغير سلوكيات التتبع أو صفحات العد التنازلي التي تلتقط البيانات.
  • بقايا مستمرة: حتى إذا تم اكتشافها، يمكن استخدام إدخالات إعادة التوجيه السيئة للحفاظ على الاختراق مستمرًا وصعب الإزالة.

نظرًا لأن الاستغلال يحدث عبر جلسة مصادق عليها لمستخدم متميز، يمكن أن تؤدي أدوات المسح الآلي على نطاق واسع إلى تفعيله على نطاق واسع - يمكن للمهاجم إنشاء صفحة واحدة ومحاولة جذب العديد من المسؤولين للنقر.

التحليل الفني — كيف يعمل CSRF

على مستوى عالٍ، يحدث CSRF عندما تقبل تطبيقات الويب طلبات تغيير الحالة (POST/PUT/DELETE) دون التأكد من أن الطلب تم إجراؤه عمدًا من قبل المستخدم عبر واجهة الموقع الشرعية. يستخدم WordPress رموز غير متكررة (آلية رمز لمرة واحدة مضافة إلى النماذج وإجراءات AJAX) وفحوصات القدرة لمنع CSRF.

في هذه الثغرة، كشف المكون الإضافي عن نقطة نهاية تحديث الإعدادات التي:

  • تقبل بيانات POST لتغيير إعدادات إعادة التوجيه (عنوان URL الوجهة، تمكين/تعطيل إعادة التوجيه، وقت العد التنازلي، إلخ).
  • لا تتحقق من رمز غير متكرر لمشرف WordPress (مثل check_admin_referer / check_ajax_referer).
  • لا تؤكد أن المستخدم الحالي لديه القدرة المتوقعة (مثل manage_options).
  • لا تتحقق من مرجع أو رأس الأصل بشكل صحيح.

يمكن أن تنشئ صفحة مستضافة من قبل المهاجم نموذج HTML يرسل POST المعدل إلى نقطة نهاية المكون الإضافي ويقوم بإرسال النموذج تلقائيًا عبر JavaScript. نظرًا لأن متصفح الضحية لا يزال مصادقًا مع الموقع (جلسة الكوكي موجودة)، سيقبل WordPress الطلب ويقوم بتحديث الإعدادات.

الحمايات الرئيسية المفقودة:

  • لا يوجد تحقق من الرمز غير المتكرر في كود معالجة النموذج.
  • فحوصات القدرة غير كافية - أو لا توجد على الإطلاق.
  • ربما لا يوجد فحص CSRF على معالجات admin-post.php إذا استخدم المكون الإضافي تلك الآلية.

مثال على إثبات المفهوم (تصوري)

أدناه هو نموذج HTML مفاهيمي يوضح نمط الهجوم. تم تقديم هذا للمدافعين - لفهم مدى سهولة تسليحها واختبار التخفيفات بأمان في بيئة الاختبار الخاصة بك. لا تقم بتشغيل هذا ضد مواقع الإنتاج ما لم تتحكم فيها ولديك نسخ احتياطية.

<!-- Conceptual PoC - Do not run on production sites! -->
<html>
  <body>
    <form id="exploit" method="POST" action="https://victim-site.example/wp-admin/admin-post.php?action=redirect_countdown_update">
      <input type="hidden" name="redirect_enabled" value="1">
      <input type="hidden" name="redirect_url" value="https://attacker.example/malicious">
      <input type="hidden" name="countdown_seconds" value="3">
    </form>
    <script>
      // Auto-submit the form when the (logged in) admin visits this page
      document.getElementById('exploit').submit();
    </script>
  </body>
</html>

لماذا يعمل هذا: يتضمن متصفح الضحية ملفات تعريف الارتباط الخاصة بالتحقق من صحة المسؤول عند إجراء POST، ونظرًا لأن نقطة نهاية المكون الإضافي تفتقر إلى فحوصات nonce/قدرة مناسبة، يقوم الخادم بتطبيق تغيير التكوين.

علامات الاختراق وفحوصات الطب الشرعي

إذا كنت تشك في أن هذا المكون الإضافي أو نقطة نهاية مشابهة تعتمد على النماذج قد تم إساءة استخدامها، فقم بإعطاء الأولوية لفحوصات الطب الشرعي التالية:

  1. تحقق من إعدادات المكون الإضافي:
    • قم بزيارة صفحات إعدادات المكون الإضافي وتفقد وجهات إعادة التوجيه.
    • ابحث عن القيم التي تم تغييرها مؤخرًا، أو المجالات غير المألوفة، أو سلاسل الاستعلام المشبوهة.
  2. ابحث في جدول الخيارات:
    • العديد من المكونات الإضافية تخزن التكوين في wp_options. قم بتشغيل الاستعلامات (على نسخة احتياطية إذا كان ذلك ممكنًا):
    SELECT option_name, option_value FROM wp_options WHERE option_name LIKE '%redirect%countdown%' OR option_value LIKE '%attacker.example%';
    • ابحث عن حمولات غير عادية أو بيانات مشفرة.
  3. سجلات خادم الويب وWordPress:
    • ابحث عن طلبات POST إلى admin-post.php، admin-ajax.php، أو نقاط نهاية إدارة المكون الإضافي التي تنشأ من المحيلين الخارجيين.
    • ابحث عن ارتفاعات مفاجئة في طلبات POST أو طلبات تحتوي على معلمات nonce فارغة/غير قياسية.
    • مثال على الجريب:
    grep "admin-post.php" /var/log/apache2/access.log | grep POST
  4. .htaccess / قواعد على مستوى الخادم:
    • أحيانًا يضيف المهاجمون إعادة توجيه على مستوى الخادم. تحقق من .htaccess وتكوين Nginx بحثًا عن قواعد غير معروفة.
  5. مستخدمون جدد كمسؤول أو مستخدمون معدلون:
    • تحقق من الحسابات الإدارية التي تم إنشاؤها مؤخرًا أو تصعيد الامتيازات.
  6. افحص الملفات الضارة:
    • قم بتشغيل فحص كامل للموقع للبرامج الضارة؛ قد تكون إعادة التوجيه مدعومة بملفات PHP خبيثة.
  7. مراقبة الروابط الخارجية:
    • تحقق من وحدة التحكم في البحث أو التحليلات عن أي ارتفاعات مفاجئة في حركة المرور الخارجية إلى مجالات غير مألوفة.

إجراءات فورية لمالكي المواقع والمديرين

إذا كنت تدير موقعًا به المكون الإضافي المتأثر أو كنت غير متأكد، فاتبع هذه الخطوات الفورية - مرتبة حسب الأمان والسرعة.

  1. تحديث البرنامج المساعد
    • إذا كانت هناك نسخة محدثة من المكون الإضافي متاحة من البائع، قم بالتحديث على الفور. هذه هي أفضل حل.
  2. إذا لم يكن هناك تصحيح متاح، قم بإلغاء تنشيط المكون الإضافي.
    • قم بإيقاف تشغيل المكون الإضافي على الفور لإزالة سطح الهجوم.
  3. تقييد الوصول الإداري
    • قم بتقييد الوصول إلى wp-admin مؤقتًا عن طريق قائمة بيضاء لعناوين IP (جدار حماية خادم الويب) أو عن طريق إضافة مصادقة HTTP للمسؤول.
    • تطلب من جميع المسؤولين تسجيل الخروج، ثم تسجيل الدخول مرة أخرى بعد التخفيف.
  4. قم بتدوير كلمات المرور والأسرار.
    • فرض إعادة تعيين كلمات المرور لجميع حسابات المسؤولين. قم بتدوير مفاتيح API وأي أسرار قد يكون المكون الإضافي قد خزّنها.
  5. تدقيق الإعدادات واستعادتها.
    • تحقق من إعدادات المكون الإضافي واستعدها إذا تم تغييرها. استعد من نسخة احتياطية نظيفة إذا اكتشفت وجهات إعادة توجيه خبيثة يصعب إزالتها.
  6. قم بتشغيل فحص البرمجيات الضارة
    • قم بفحص ملفات الموقع وقاعدة البيانات بحثًا عن محتوى تم حقنه. قم بإزالة أو حجر الملفات المشبوهة.
  7. تمكين المصادقة الثنائية (2FA)
    • تطلب 2FA لحسابات المسؤولين لتقليل خطر المتابعات المعتمدة على بيانات الاعتماد.
  8. زيادة المراقبة والتسجيل
    • قم بتمكين ومراجعة سجلات الوصول التفصيلية. ضع في اعتبارك إضافة مراقبة سلامة الملفات لاكتشاف التغييرات المستقبلية.
  9. إخطار أصحاب المصلحة
    • قم بتنبيه مالكي الموقع والعملاء وأعضاء الفريق حول التغييرات المحتملة والخطوات المتخذة.
  10. إذا لم يكن لديك موارد أمان داخلية، اتصل بمحترف.
    • ضع في اعتبارك خدمة أمان محترفة لإجراء تقييم كامل وتنظيف.

حماية WP-Firewall - كيف يمكن أن تساعدك WAF الآن.

في WP-Firewall، نصمم قواعد وتصحيحات افتراضية خصيصًا للثغرات مثل هذه لأن مالكي المواقع غالبًا لا يمكنهم تطبيق تصحيحات البائع على الفور. يمكن لجدار حماية تطبيق الويب (WAF) تقليل فترة التعرض بشكل كبير من خلال اعتراض محاولات الاستغلال وتطبيق ضوابط تعويضية.

فيما يلي الحمايات الملموسة التي يطبقها WP-Firewall وقواعد WAF الموصى بها التي يمكنك تنفيذها على الفور:

  1. التصحيح الافتراضي لنقاط نهاية CSRF
    • اكتشاف طلبات POST إلى نقاط نهاية إدارة المكونات الإضافية المعروفة بأنها ضعيفة والمتطلبات التحقق الإضافي (مثل، التحقق من وجود _wpnonce وصلاحيته).
    • إذا كانت معلمة nonce مفقودة أو غير صالحة، قم بحظر أو تحدي الطلب وتنبيه مسؤول الموقع.
  2. فرض SameSite و Origin/Referer
    • حظر طلبات POST إلى نقاط نهاية الإدارة التي تحتوي على أصل خارجي أو رأس Referer مفقود. عادةً ما تأتي طلبات الإدارة المشروعة من نطاق الإدارة.
  3. نمذجة سلوك الطلبات
    • حظر أو تحدي النماذج المرسلة تلقائيًا من أصول خارجية (طلبات ذات مدة قصيرة وبدون تفاعل).
    • تحديد معدل طلبات POST إلى admin-post.php و admin-ajax.php من نفس عنوان IP أو المصدر.
  4. أمثلة على توقيع WAF (تكوين زائف)
    • حظر إذا: POST إلى /wp-admin/admin-post.php مع action=redirect_countdown_update ومعلمة _wpnonce مفقودة.
    • حظر إذا: POST إلى /wp-admin/admin.php?page=redirect-countdown ورأس Referer غير موجود أو لا يتطابق مع أصل الموقع.
    • حظر إذا: POST إلى نقطة إعدادات المكون الإضافي مع معلمة redirect_url تتطابق مع قائمة نطاقات ضارة معروفة أو URI بيانات.
  5. إضافة تحدي على الإجراءات الإدارية المشبوهة
    • وضع تحدٍ إضافي (CAPTCHA أو مطالبة 2FA) أمام نقاط نهاية إعدادات المكون الإضافي للعملاء الذين لا يمكنهم تحديث المكون الإضافي على الفور.
  6. تنبيهات الشذوذ المستندة إلى السلوك
    • تنبيه بشأن التغييرات المفاجئة على الخيارات المتعلقة بإعادة التوجيه في جدول الخيارات وعلى طلبات POST التي تعدل حقول إعادة التوجيه.
  7. حماية التراجع التلقائي
    • اكتشاف وحظر التغييرات على أهداف إعادة التوجيه التي تتطابق مع أنماط عالية المخاطر (نطاقات خارجية، نطاقات قصيرة العمر، نطاقات تم الإبلاغ عنها للتصيد).

مثال (قاعدة كود زائفة):

إذا كانت request.method == POST

ملاحظة: لا يمكن لـ WAFs العامة التحقق بشكل موثوق من WP nonces التي تتغير في كل جلسة دون تكامل إضافي، لذا فإن الحظر بناءً على nonce المفقود + المرجع الخارجي هو تصحيح افتراضي عملي.

إرشادات المطور - كيفية إصلاح كود المكون الإضافي

إذا كنت تحافظ على أو تطور مكونات WordPress الإضافية، فإن هذه الثغرة تذكير مهم باتباع أفضل ممارسات أمان WordPress. إليك ما يجب القيام به في معالجات طلبات المكون الإضافي:

  1. إضافة والتحقق من nonce 
    wp_nonce_field( 'redirect_countdown_update_action', 'redirect_countdown_nonce' );
    
    إذا ( ! isset( $_POST['redirect_countdown_nonce'] ) || ! wp_verify_nonce( $_POST['redirect_countdown_nonce'], 'redirect_countdown_update_action' ) ) {
  2. تحقق من قدرات المستخدم الحالي 
    if ( ! current_user_can( 'manage_options' ) ) {
  3. تطهير والتحقق من المدخلات 
    $redirect_url = isset( $_POST['redirect_url'] ) ? esc_url_raw( wp_unslash( $_POST['redirect_url'] ) ) : '';
  4. استخدم admin-post أو REST مع ردود أذونات مناسبة

    إذا كنت تعرض نقاط نهاية REST، استخدم permission_callback الذي يتحقق من القدرة وnonce.
    لمعالجات admin-post، استخدم check_admin_referer() حيثما كان ذلك مناسبًا.

  5. سجل تغييرات الإدارة وقدم خيار التراجع

    احتفظ بسجل لتغييرات الإعدادات وآلية تراجع بسيطة للتراجع عن التغييرات غير المقصودة بسرعة.

  6. مراجعة قائمة التحقق للنشر/الالتزام

    يجب أن تكون مراجعة كود الأمان جزءًا من عملية الإصدار. تساعد اختبارات الوحدة واختبارات التكامل للتحقق من الأذونات وnonces في تجنب التراجع.

أفضل الممارسات لتعزيز الأمان والمراقبة على المدى الطويل

  • مبدأ الحد الأدنى من الامتياز
    الحد من عدد حسابات الإدارة. استخدم أدوار دقيقة وتجنب منح المستخدمين غير الموثوق بهم امتيازات عالية.
  • فرض المصادقة الثنائية
    تطلب المصادقة الثنائية لمستخدمي الإدارة لتقليل تأثير سرقة بيانات الاعتماد ومخاطر الجلسة.
  • الحد من جلسات الإدارة على الآلات العامة
    درب الموظفين على تسجيل الخروج من لوحات تحكم الإدارة، وتجنب جلسات الإدارة على الواي فاي العامة، واستخدام عزل المتصفح لمهام الإدارة.
  • جدار حماية تطبيقات الويب
    استخدم جدار حماية مع قدرات التصحيح الافتراضي لحظر أنماط الاستغلال المعروفة أثناء انتظار التحديثات.
  • مراقبة سلامة الملفات والتغييرات
    استخدم مراقبة سلامة الملفات والفحوصات المجدولة لاكتشاف الحقن الخبيثة والتعديلات غير المتوقعة.
  • مراقبة تغييرات قاعدة البيانات
    راقب التغييرات في wp_options والجداول الحرجة الأخرى؛ أرسل تنبيهات عند إضافة مفاتيح غير متوقعة أو تغيير القيم.
  • خطة النسخ الاحتياطي والاستعادة
    حافظ على نسخ احتياطية متكررة ومختبرة (ملف + قاعدة بيانات). احتفظ بنسخ خارجية وتحقق من إجراءات الاستعادة.
  • الإفصاح عن الثغرات وإدارة التصحيحات
    احتفظ بجرد من المكونات الإضافية والقوالب. اشترك في قوائم البريد الأمني وطبق التحديثات على الفور.

قائمة التحقق من الاستجابة للحوادث (خطوة بخطوة)

إذا اكتشفت أو اشتبهت في الاستغلال:

  1. قم بإيقاف تشغيل الموقع أو وضعه في وضع الصيانة إذا لزم الأمر لمنع المزيد من الضرر.
  2. حظر نقطة نهاية المكون الإضافي المعرض للخطر عبر جدار الحماية.
  3. قم بإلغاء تنشيط المكون الإضافي المعرض للخطر (إذا كان من الآمن القيام بذلك).
  4. غير كلمات المرور لجميع المستخدمين بمستوى الإدارة وقم بتدوير بيانات اعتماد واجهة برمجة التطبيقات.
  5. فرض تسجيل الخروج من جميع الجلسات (على سبيل المثال، تحديث رموز جلسة المستخدم).
  6. راجع الإعدادات وأزل التحويلات الخبيثة.
  7. افحص .htaccess وتكوين الخادم بحثًا عن قواعد خبيثة.
  8. قم بفحص الملفات وقاعدة البيانات بحثًا عن المحتوى المحقون؛ نظف أو استعد من النسخة الاحتياطية المعروفة الجيدة.
  9. إعادة تثبيت نواة ووردبريس والإضافات من مصادر موثوقة.
  10. اجمع السجلات والبيانات الوصفية للتحليل الجنائي، واحفظها لأي تحقيق لاحق.
  11. قم بإخطار أصحاب المصلحة، وإذا لزم الأمر، الفرق القانونية/الامتثال.
  12. أعد تفعيل الموقع فقط بعد تنفيذ الإصلاحات والمراقبة.

الأفكار النهائية

ثغرة CSRF التي تستهدف إعدادات المكونات الإضافية - خاصة تلك التي تدير إعادة التوجيه - قوية بشكل خادع لأنها تستغل ثقة وامتيازات مديريك. إنها تذكير بأن الأمان هو مسؤولية تطوير وانضباط تشغيلي: يجب على المطورين تنفيذ فحوصات nonce والقدرات؛ يجب على مشغلي الموقع تعزيز الأمان والمراقبة.

إذا كنت تستخدم المكون الإضافي المتأثر، فقم بإعطاء الأولوية للتخفيف الآن: قم بتحديث أو تعطيل المكون الإضافي، وفرض أفضل الممارسات الإدارية، وتطبيق حماية WAF لتقليل نافذة الهجوم. الخطوات أعلاه توفر مسارًا دفاعيًا لكل من الفرق الفنية ومالكي المواقع.

احمِ موقعك مع WP-Firewall - حماية أساسية مجانية

عنوان: تأمين فوري مع جدار ناري خفيف ومدار

إذا كنت تبحث عن طريقة سهلة لتقليل تعرضك للثغرات مثل هذه - بما في ذلك التصحيح الافتراضي الفوري واكتشاف التهديدات المستمر - فإن خطة WP-Firewall الأساسية (المجانية) توفر لك الأساسيات دون أي تكلفة. تتضمن الخطة المجانية جدار ناري مدار، عرض نطاق غير محدود، جدار حماية تطبيقات الويب (WAF) مع تحديثات القواعد، ماسح للبرامج الضارة، وحماية ضد مخاطر OWASP العشرة الأوائل. تم تصميمها لتوفير حماية عملية وسهلة لمواقع ووردبريس الصغيرة والمتوسطة أثناء تطبيق الإصلاحات أو الانتظار لتحديثات المكونات الإضافية.

اشترك في الخطة المجانية واحصل على حماية WAF المدارة الآن:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

إذا كنت بحاجة إلى المزيد من ميزات الأتمتة والاستجابة، فإن الخطط المدفوعة تضيف إزالة البرامج الضارة تلقائيًا، والتحكم في IP المستهدف، وتقارير شهرية، وتصحيح افتراضي متقدم - مفيد للوكالات والمواقع ذات القيمة العالية.

شكرًا لقراءتك. إذا كنت بحاجة إلى مساعدة في تقييم موقعك أو تطبيق أي من هذه التخفيفات، يمكن لفريق أمان WP-Firewall تقديم الإرشادات والخدمات المدارة لتأمين بيئة ووردبريس الخاصة بك بسرعة وموثوقية.

wordpress security update banner

احصل على WP Security Weekly مجانًا 👋
أفتح حساب الأن!!

قم بالتسجيل لتلقي تحديث أمان WordPress في بريدك الوارد كل أسبوع.

نحن لا البريد المزعج! اقرأ لدينا سياسة الخصوصية لمزيد من المعلومات.

اتصل بنا لتحديد موعد استشارة مجانية حول أمان WordPress

اتصل بنا

جدار الحماية WP
6/F, The Rays, 71 Hung To Road, كوون تونغ, كولون, هونج كونج

سمات التسعير مدونة تسجيل الدخول
سياسة الخصوصية شروط الخدمة المستندات انضم

© 2026 WP-Firewall™