
ووردبريس تحت الهجوم: أخطر الثغرات الأمنية في الربع الأول من عام 2025 وكيفية الحماية منها
شهد الربع الأول من عام 2025 ارتفاعًا مُقلقًا في تهديدات أمن ووردبريس، مع وجود العديد من الثغرات الأمنية الحرجة التي تؤثر على ملايين المواقع الإلكترونية حول العالم. ومع تزايد استخدام المهاجمين لتقنيات متطورة، بما في ذلك ثغرات الذكاء الاصطناعي، أصبح أصحاب المواقع الإلكترونية بحاجة إلى استراتيجيات حماية شاملة أكثر من أي وقت مضى. يتناول هذا التقرير أخطر تهديدات أمن ووردبريس في الربع الأول من عام 2025، ويقدم توصيات الخبراء لتوفير حماية فعّالة.
مشهد التهديدات المتطور لـ WordPress
لا يزال ووردبريس يُهيمن على بيئة الويب، مُشغِّلاً ملايين المواقع الإلكترونية، ومُقدِّماً مرونةً لا مثيل لها من خلال نظامه الشامل للإضافات والقوالب. ومع ذلك، فإن هذا الانفتاح نفسه يجعله هدفاً رئيسياً لمجرمي الإنترنت. يبحث المهاجمون باستمرار عن البرامج القديمة، والثغرات الأمنية غير المُرقَّعة، وأخطاء التكوين التي يُمكن استغلالها للوصول غير المُصرَّح به.
الواقع مُقلق: العديد من مواقع ووردبريس تظل عُرضة للخطر لفترة طويلة بعد الكشف عن ثغرات أمنية، لمجرد تأخر التحديثات أو إهمالها. ووفقًا لرصد أمني حديث، شهد الشهر الماضي وحده نشر أكثر من 500 تصحيح افتراضي جديد للحماية من التهديدات الناشئة[10]. وهذا يُسلط الضوء على حقيقة بالغة الأهمية لأصحاب المواقع الإلكترونية، وهي أن الاعتماد فقط على التصحيحات التي يُصدرها المطورون لم يعد كافيًا في ظلّ التهديدات الحالية.
شهد الربع الماضي زيادةً حادةً في محاولات الاستغلال. يستغلّ المهاجمون الثغرات الأمنية القديمة والجديدة، حيث تعرضت بعض الثغرات الأمنية لآلاف محاولات الاستغلال خلال أيام من الكشف عنها. يشير هذا النمط إلى نهجٍ منظمٍ ومنهجيٍّ متزايدٍ لاستهداف تثبيتات ووردبريس على الإنترنت.
الدور المتزايد للذكاء الاصطناعي في هجمات WordPress
من التطورات المثيرة للقلق بشكل خاص في عام ٢٠٢٥ ازدياد تعقيد الهجمات المدعومة بالذكاء الاصطناعي. ينشر المخترقون أدوات تعتمد على الذكاء الاصطناعي يمكنها:
- مسح آلاف المواقع الإلكترونية في ثوانٍ لتحديد تثبيتات WordPress المعرضة للخطر
- استغلال الثغرات الأمنية المعروفة تلقائيًا دون تدخل بشري
- تجاوز تدابير الأمن التقليدية باستخدام التقنيات التكيفية
- إنشاء حملات تصيد مقنعة تستهدف مسؤولي WordPress
هذا النهج المُدعّم بالذكاء الاصطناعي يجعل الهجمات أكثر قابلية للتوسع بشكل ملحوظ، ويصعّب الدفاع عنها باستخدام تدابير الأمن التقليدية. يجب على مالكي المواقع الإلكترونية اعتماد آليات حماية متطورة بنفس القدر لمواجهة هذه التهديدات المتطورة.
أكثر ثغرات WordPress استغلالاً في الربع الأول من عام 2025
شهد الربع الأول من عام ٢٠٢٥ استغلالًا نشطًا للعديد من الثغرات الأمنية الحرجة. فهم هذه التهديدات هو الخطوة الأولى نحو الحماية الفعالة.
1. إضافة ووردبريس التلقائية - حقن SQL (CVE-2024-27956)
أثرت هذه الثغرة الأمنية الحرجة على إضافة شائعة تم تثبيتها لأكثر من 40,000 مرة، وسمحت لمهاجمين غير مصرّح لهم بتنفيذ استعلامات SQL عشوائية على قاعدة البيانات. كانت الثغرة موجودة في ميزة تصدير CSV عبر معلمة POST "auth".
وثّق باحثو الأمن أكثر من 6500 محاولة لاستغلال إصدارات ضعيفة من هذا المكون الإضافي منذ اكتشاف الثغرة. ويُعد هذا التهديد خطيرًا بشكل خاص لأنه لا يتطلب أي مصادقة، مما قد يتيح للمهاجمين الوصول إلى معلومات حساسة من قواعد البيانات، بما في ذلك بيانات اعتماد المستخدم وبياناته الشخصية.
2. إضافات Startklar Elementor – تحميل الملفات بشكل عشوائي (CVE-2024-4345)
أثرت هذه الثغرة الخطيرة على مكون WordPress Startklar Elementor Addons، مما سمح للمهاجمين غير الموثقين بتحميل ملفات عشوائية إلى خادم الويب، مما أدى في النهاية إلى اختراق موقع الويب بالكامل.
تكمن الثغرة في إجراء "startklar_drop_zone_upload_process" الخاص بالملحق، والذي لم يُحقق بشكل صحيح من أنواع الملفات المُحمّلة. مكّن هذا السهو أي شخص من تحميل ملفات ضارة، مما قد يُتيح تنفيذ أكواد برمجية عن بُعد. رصدت مراقبة الأمان آلاف محاولات الاستغلال التي استهدفت الإصدارات الضعيفة من هذا الملحق.
3. قالب Bricks - تنفيذ التعليمات البرمجية عن بُعد (CVE-2024-25600)
مع ما يقرب من 30000 مستخدم نشط، احتوى موضوع Bricks على خلل أمني خطير سمح للمستخدمين غير المصادق عليهم بتنفيذ تعليمات برمجية PHP عشوائية، مما قد يؤدي إلى الاستيلاء الكامل على موقع الويب.
عُثر على الثغرة في دالة "prepare_query_vars_from_settings"، التي تُستدعى عبر مسار REST "bricks/v1/render_element". لم يُنفَّذ أي فحص مناسب للقدرات، وكان من السهل تجاوز فحص nonce للمكون الإضافي نظرًا لأنه كان متاحًا لأي شخص يصل إلى الواجهة الأمامية. وقد وُثِّقت مئات محاولات الاستغلال منذ الكشف عن الثغرة.
٤. إضافة GiveWP - حقن كائنات PHP (CVE-2024-8353)
أثرت هذه الثغرة الأمنية الحرجة على إضافة تبرعات شائعة، تم تثبيتها لأكثر من 100,000 مرة. سمحت هذه الثغرة لمهاجمين غير مصادقين بتنفيذ هجمات حقن كائنات PHP بسبب عدم تسلسل العديد من المعلمات بشكل صحيح أثناء عملية التبرع.
كانت المعلمات التي تبدأ بـ "give_" أو "card_" عرضة لهذا الهجوم، مما قد يؤدي في النهاية إلى اختراق كامل للموقع. سُجلت مئات محاولات الاستغلال، مما يُبرز استهداف هذه الثغرة من قِبل جهات خبيثة.
نقاط الضعف الحرجة الناشئة في الربع الأول من عام 2025
إلى جانب نقاط الضعف الأكثر استغلالًا، هناك العديد من العيوب الخطيرة التي تم اكتشافها حديثًا والتي تتطلب اهتمامًا فوريًا من مالكي مواقع WordPress.
١. إضافة WP Ghost - تنفيذ التعليمات البرمجية عن بُعد (CVE-2025-26909)
تم اكتشاف ثغرة أمنية خطيرة للغاية مؤخرًا في إضافة WP Ghost الشهيرة لأمن ووردبريس، والتي أثرت على أكثر من 200,000 موقع إلكتروني. الثغرة، المُعرَّفة برقم CVE-2025-26909، ناتجة عن عدم كفاية التحقق من صحة الإدخالات داخل عرض الملف ()
وظيفة.
يمكن للمهاجمين استغلال هذه الثغرة عن طريق التلاعب بمسارات عناوين URL لتضمين ملفات عشوائية، مما قد يؤدي إلى تنفيذ برمجيات عن بُعد. مع تصنيف خطورة CVSS البالغ 9.6، تُمثل هذه الثغرة أحد أخطر التهديدات لأمن ووردبريس في الآونة الأخيرة. ينبغي على مالكي المواقع الإلكترونية الذين يستخدمون WP Ghost التحديث فورًا إلى الإصدار 5.4.02 أو أحدث.
٢. إضافات أساسية لـ Elementor - ثغرة XSS المنعكسة (CVE-2025-24752)
عانت إضافة Essential Addons for Elementor، التي تم تثبيتها لأكثر من مليوني مرة، من ثغرة في نصوص برمجية عكسية عبر المواقع. حدث هذا الخلل بسبب عدم كفاية التحقق والتطهير. محدد النافذة المنبثقة
وسيطة الاستعلام، مما يسمح بعكس القيم الضارة للمستخدمين.
من المحتمل استغلال هذه الثغرة لسرقة معلومات حساسة أو تنفيذ إجراءات نيابةً عن مستخدمين مُصادق عليهم. تم إصلاح المشكلة في الإصدار 6.0.15، وينبغي على جميع المستخدمين التحديث فورًا.
3. ملحق Age Gate - تضمين ملفات PHP محلية (CVE-2025-2505)
تم العثور على مكون Age Gate الخاص بـ WordPress، والذي تم تثبيته أكثر من 40000 مرة، معرضًا لخطر تضمين ملف PHP محليًا في جميع الإصدارات حتى 3.5.3 عبر معلمة "lang".
تسمح هذه الثغرة الأمنية الحرجة للمهاجمين غير المصادق عليهم بإضافة ملفات PHP عشوائية وتنفيذها على الخادم، مما قد يؤدي إلى تنفيذ برمجيات غير مصرح بها، واستخراج بيانات، وتصعيد صلاحيات، واختراق الخادم بالكامل. مع تقييم CVSS البالغ 9.8، يُمثل هذا خطرًا جسيمًا على المواقع الإلكترونية المتأثرة.
4. مرشح منتجات HUSKY - تضمين الملفات المحلية (CVE-2025-1661)
عانت إضافة HUSKY – Products Filter Professional لـ WooCommerce من ثغرة خطيرة تتعلق بتضمين الملفات المحلية في جميع الإصدارات حتى الإصدار 1.3.6.5. يظهر هذا الخلل عبر نموذج
معلمة بحث نص النباح
إجراء AJAX.
تسمح هذه الثغرة الأمنية للمهاجمين غير المصادق عليهم بإضافة ملفات عشوائية وتنفيذها على الخادم، مما قد يؤدي إلى تجاوز ضوابط الوصول، واستخراج بيانات حساسة، وحتى تنفيذ تعليمات برمجية عن بُعد في ظل ظروف معينة. يُرجى من مالكي المواقع الإلكترونية التحديث إلى الإصدار 1.3.6.6 أو أحدث فورًا.
لماذا لم تعد التدابير الأمنية التقليدية كافية؟
لقد تغير مشهد أمان WordPress بشكل جذري في عام 2025. هناك العديد من العوامل التي جعلت أساليب الأمان التقليدية غير كافية:
سرعة الاستغلال
يبدأ المهاجمون المعاصرون باستغلال الثغرات الأمنية في غضون ساعات أو حتى دقائق من اكتشافها. ووفقًا لرصد أمني، شهد الربع الأخير وحده آلاف محاولات استغلال الثغرات الأمنية التي كُشف عنها مؤخرًا. وهذا لا يترك لأصحاب المواقع الإلكترونية سوى فرصة محدودة للغاية لتطبيق التصحيحات.
فشل حلول جدار حماية التطبيقات العامة
كشفت الحوادث الأمنية الأخيرة عن قيود كبيرة في جدران حماية تطبيقات الويب العامة. أثناء استغلال ثغرة Bricks، "فشلت جميع حلول جدران حماية تطبيقات الويب الشائعة التي تستخدمها شركات الاستضافة في منع هجمات Bricks".
نتج هذا الفشل عن قيد أساسي: فأنظمة جدار الحماية للتطبيقات (WAFs) العامة المُنشَأة عبر DNS/CDN تفتقر إلى رؤية واضحة لمكونات تطبيق WordPress، والمكونات الإضافية المُثبَّتة، وحالة مصادقة المستخدم. وبدون معلومات استخباراتية خاصة بـ WordPress، لا تستطيع حلول الأمان هذه الحماية بفعالية من هجمات WordPress المُستهدفة.
التطور المتزايد في أساليب الهجوم
تستمر هجمات برامج الفدية والهجمات الموجهة في التطور من حيث التعقيد. ووفقًا لتقرير GRIT 2025 حول برامج الفدية والتهديدات السيبرانية، يظل مجرمو الإنترنت ذوو الدوافع المالية قادرين على الصمود رغم تعطل أجهزة إنفاذ القانون. وغالبًا ما تتضمن نواقل الوصول الأولية لهذه الهجمات سرقة بيانات الاعتماد واستغلال الثغرات الأمنية الجديدة والقديمة، وهي تحديدًا نقاط الضعف التي تُصيب العديد من أنظمة ووردبريس.
استراتيجية شاملة لحماية ووردبريس لعام 2025
تتطلب مواجهة هذه التهديدات المتطورة نهجًا أمنيًا متعدد الطبقات مصممًا خصيصًا لبيئات WordPress.
1. تنفيذ حلول أمنية خاصة بـ WordPress
لم تعد أدوات الأمان العامة كافية. ينبغي على مالكي المواقع الإلكترونية تطبيق حلول أمان مصممة خصيصًا لووردبريس، والتي يمكنها:
- مراقبة مكونات التطبيق الخاصة بـ WordPress
- تتبع المكونات الإضافية المثبتة والثغرات الأمنية المعروفة بها
- فهم سياقات مصادقة WordPress
- نشر تصحيحات افتراضية للحماية من الثغرات الأمنية المعروفة قبل الإصلاحات الرسمية
يوفر هذا النهج حماية أكثر فعالية بكثير من أدوات الأمان العامة التي تفتقر إلى الذكاء الخاص بـ WordPress.
2. اعتماد تقنية التصحيح الافتراضي
تُحيّد التحديثات الافتراضية الثغرات الأمنية المعروفة باستخدام قواعد جدار حماية مُصممة بدقة، ما يحمي مواقع الويب فورًا ويمنع المهاجمين من استغلال الثغرات غير المُرقعة. بدلًا من انتظار التحديثات الرسمية، يُمكن لأصحاب مواقع الويب البقاء محميين من التهديدات الناشئة.
لقد أثبتت هذه التقنية فعاليتها العالية - على سبيل المثال، قامت التصحيحات الافتراضية بحظر أكثر من 6500 محاولة استغلال تستهدف ثغرة المكون الإضافي التلقائي في WordPress، مما أدى إلى حماية مواقع الويب قبل أن يتمكن العديد من المالكين من تنفيذ التحديث الرسمي.
3. الحفاظ على ممارسات التحديث الصارمة
على الرغم من أن التصحيح الافتراضي يوفر حماية بالغة الأهمية، إلا أن الحفاظ على التحديثات المنتظمة يظل أمرًا ضروريًا:
- تمكين التحديثات التلقائية لنواة WordPress عندما يكون ذلك ممكنًا
- تنفيذ عملية مراجعة منهجية لتحديثات المكونات الإضافية
- قم بفحص المكونات الإضافية المثبتة بانتظام وإزالة المكونات غير المستخدمة
- فكر في استخدام بيئة مؤقتة لاختبار التحديثات قبل النشر
يقلل هذا النهج المنضبط من إجمالي سطح الهجوم ويضمن معالجة نقاط الضعف المعروفة على الفور.
4. تنفيذ ضوابط مصادقة قوية
مع بقاء سرقة بيانات الاعتماد بمثابة ناقل الهجوم الأساسي، فإن المصادقة القوية أمر غير قابل للتفاوض:
- طلب كلمات مرور قوية وفريدة لجميع حسابات المستخدمين
- تنفيذ المصادقة الثنائية للوصول الإداري
- تحديد محاولات تسجيل الدخول لمنع هجمات القوة الغاشمة
- قم بمراجعة حسابات المستخدمين بشكل منتظم وإزالة الوصول غير الضروري
تؤدي هذه الإجراءات إلى تقليل مخاطر الوصول غير المصرح به من خلال بيانات الاعتماد المخترقة بشكل كبير.
خاتمة
أظهر الربع الأول من عام ٢٠٢٥ أن تهديدات أمن ووردبريس لا تزال تتطور من حيث التعقيد والتأثير. وقد أثرت الثغرات الأمنية التي تمت مناقشتها في هذا التقرير على ملايين المواقع الإلكترونية مجتمعةً، مما يُبرز حجم التحدي الأمني الذي يواجهه مالكو مواقع ووردبريس.
يجب أن تتجاوز استراتيجية أمان ووردبريس القوية التحديثات الروتينية، بل تتطلب تخفيفًا فوريًا للتهديدات لضمان استباق المهاجمين. مع أن التحديثات الرسمية ضرورية، إلا أنها غالبًا ما تصل بعد استغلال التهديدات. من خلال الجمع بين حلول الأمان الاستباقية مثل WP-Firewall والممارسات الذكية كالتحديثات المنتظمة والمراقبة وتقليل الإضافات غير الضرورية، يمكن لأصحاب المواقع الإلكترونية بناء دفاع قوي ومتين ضد التهديدات الإلكترونية المتطورة في عام ٢٠٢٥.
مع حلول عام ٢٠٢٥، سيكون من الضروري البقاء على اطلاع دائم بالثغرات الأمنية الناشئة وتكييف استراتيجيات الأمان وفقًا لها للحفاظ على أمن مواقع ووردبريس. باتباع النهج الصحيح، يمكن لمواقع ووردبريس أن تبقى آمنة رغم تزايد تعقيد مشهد التهديدات.