التخفيف من المصادقة المكسورة في Awesome Support//نُشر في 2026-04-08//CVE-2026-4654

فريق أمان جدار الحماية WP

Awesome Support CVE-2026-4654

اسم البرنامج الإضافي دعم رائع
نوع الضعف مصادقة معطلة
رقم CVE CVE-2026-4654
الاستعجال واسطة
تاريخ نشر CVE 2026-04-08
رابط المصدر CVE-2026-4654

إشعار هام لمواقع ووردبريس: Awesome Support <= 6.3.7 — ثغرة في التعريف عن الهوية للمشتركين المعتمدين (CVE-2026-4654)

في 8 أبريل 2026، كشف باحث أمني عن ثغرة في المصادقة المكسورة / الإشارة المباشرة غير الآمنة (IDOR) تؤثر على مكون Awesome Support الإضافي لووردبريس في الإصدارات حتى 6.3.7 بما في ذلك. يتم تتبع الثغرة كـ CVE-2026-4654 ولها درجة شدة تم تعيينها من قبل Patchstack على أنها متوسطة (CVSS 5.3). يسمح لحساب معتمد في دور المشترك بالوصول إلى أو نشر ردود على تذاكر لا يمتلكها عن طريق التلاعب بـ معرف_التذكرة المعلمة.

تم نشر هذا الإشعار من قبل فريق أمان WP-Firewall لتزويد مالكي مواقع ووردبريس والمطورين ومقدمي خدمات الاستضافة بإرشادات واضحة وعملية: ما هي المشكلة، المخاطر الحقيقية، والخطوات الدقيقة التي يجب عليك اتخاذها الآن لتقليل التعرض والتعافي إذا كنت قد تأثرت.

ملخص قصير مهم

  • البرنامج المتأثر: مكون Awesome Support الإضافي لووردبريس، الإصدارات <= 6.3.7
  • تم تصحيحه في: 6.3.8
  • CVE: CVE-2026-4654
  • الامتياز المطلوب: مشترك معتمد (امتياز منخفض)
  • النوع: مصادقة مكسورة / إشارة مباشرة غير آمنة (IDOR)
  • مستوى المخاطر: متوسط (CVSS 5.3) — ولكنه قابل للاستغلال على نطاق واسع لأن العديد من المواقع تسمح بحسابات المشتركين والعديد من مديري المواقع لا يراقبون نقاط نهاية تذاكر الدعم عن كثب

اقرأ المزيد للحصول على سياق تقني، والتخفيفات الدقيقة التي يجب تطبيقها على الفور، وإرشادات المراقبة وWAF، وخطوات الاستجابة الموصى بها للحوادث.


ما هي هذه الثغرة (على مستوى عالٍ)؟

يكشف مكون Awesome Support الإضافي عن وظيفة لتقديم ردود على تذاكر الدعم. يسمح التنفيذ لمستخدم معتمد (دور المشترك أو أعلى) بتقديم أو الوصول إلى ردود التذاكر عن طريق تقديم معرف_التذكرة معلمة. نظرًا لأن المكون الإضافي لم يتحقق بشكل صحيح من أن المستخدم المعتمد يمتلك أو مخول بالتصرف على التذكرة المشار إليها بـ معرف_التذكرة, ، يمكن للمشترك تحديد معرف تذكرة عشوائي ونشر ردود أو الوصول إلى بيانات لتذاكر لا يمتلكها.

هذه ثغرة كلاسيكية في الإشارة المباشرة غير الآمنة (IDOR) — تدفق مصادقة/تفويض مكسور حيث يتم قبول معرفات الكائنات دون التحقق من تفويض الطرف الطالب. على الرغم من أن الاستغلال يتطلب حسابًا معتمدًا، إلا أن حسابات مستوى المشترك شائعة في العديد من مواقع ووردبريس (مثل تسجيلات المستخدمين، العملاء، وبوابات الدعم)، مما يزيد من احتمال الاستغلال على نطاق واسع.


لماذا هذا مهم - التأثير في العالم الحقيقي

على الرغم من أن هذه الثغرة لا تمنح السيطرة الإدارية على ووردبريس بمفردها، إلا أنها خطيرة لأسباب عملية متعددة:

  • حاجز دخول منخفض: يمكن لأي مستخدم لديه دور المشترك (أو حسابات الموقع التي تتوافق مع المشترك) استغلالها. تسمح العديد من المواقع بالتسجيلات التي تؤدي إلى وصول على مستوى المشترك.
  • تسرب البيانات وتصعيد الثقة: يمكن للمهاجمين قراءة أو حقن ردود في التذاكر التي تخص عملاء حقيقيين أو موظفي الموقع، مما يتسبب في الكشف عن معلومات حساسة، أو الهندسة الاجتماعية، أو تلف السمعة.
  • التصيد الاجتماعي والهندسة الاجتماعية: يمكن للمهاجم الرد داخل سلسلة تذاكر موجودة وخداع موظفي الدعم أو العملاء لتسليم بيانات الاعتماد، أو النقر على روابط خبيثة، أو إعادة فتح تدفقات الدعم للحصول على موطئ قدم إضافي.
  • بصمة للهجمات اللاحقة: قد يحتوي الرد الخبيث على رابط أو تعليمات تؤدي إلى سرقة بيانات الاعتماد أو إلى إجراء يمكّن من تصعيد الامتيازات (مثل إقناع المستخدم بتحميل محتوى أو تغيير الإعدادات).
  • إمكانيات الأتمتة: نظرًا لأن ticket_id هو معلمة بسيطة، يمكن لأدوات المسح الجماعي الآلي تعداد معرفات التذاكر للعثور على أهداف قابلة للاستغلال عبر العديد من المواقع، مما يزيد من نطاق الاستغلال.

حتى عندما تكون العواقب المباشرة محدودة على نظام التذاكر، يمكن أن تكون الآثار اللاحقة شديدة (فقدان الثقة، استرداد الأموال الاحتيالية، تعرض بيانات العملاء). اعتبر هذا كإجراء تصحيح عالي الأولوية لأي موقع متأثر.


من هم المتضررون؟

  • أي موقع ووردبريس يستخدم إصدار 6.3.7 أو أقدم من مكون Awesome Support.
  • المواقع التي تسمح على الأقل للمستخدمين المعتمدين بمستوى المشترك (المتطلب لهذا الاستغلال).
  • المنظمات التي تعتمد على محتوى تذاكر الدعم أو سير العمل للتواصل حول بيانات حساسة (مثل معلومات الطلب، عناوين البريد الإلكتروني، تفاصيل الفواتير).

إذا كنت غير متأكد من الإصدار الذي تستخدمه، تحقق من قائمة المكونات الإضافية في إدارة ووردبريس الخاصة بك أو من دليل composer/wp-content/plugins لموقعك.


الكشف والنسبة

تم الكشف عن هذه المشكلة علنًا في أبريل 2026 وتم تخصيص CVE-2026-4654. يُنسب الفضل في الاكتشاف إلى مايكل إيدن (Mickhat) - الباحث الذي أبلغ عن المشكلة بمسؤولية. أصدر مؤلف المكون الإضافي إصدارًا مصححًا، 6.3.8، لمعالجة المشكلة.


إجراء فوري (لكل مالكي/مشغلي المواقع)

إذا كان موقعك يستخدم Awesome Support، فاتبع هذه الخطوات على الفور:

  1. قم بتحديث المكون الإضافي إلى 6.3.8 أو أحدث (موصى به).
    • هذه هي الخطوة الأكثر أهمية. أصدر المطور تصحيحًا يضيف فحوصات تفويض صحيحة ويصلح المرجع غير الآمن.
  2. إذا لم تتمكن من التحديث فورًا:
    • قم بتعطيل المكون الإضافي مؤقتًا، أو
    • إذا لم يكن من الممكن التعطيل، قم بتقييد الوصول إلى نقاط نهاية المكون الإضافي (انظر تدابير WAF والمستوى الخادم أدناه).
  3. تدقيق أدوار المستخدمين:
    • راجع ما إذا كان موقعك يسمح للمستخدمين غير الموثوق بهم بالتسجيل كمشتركين. إذا كان بإمكانك تشديد التسجيل (مثل الموافقة اليدوية)، فافعل ذلك.
  4. 1. راقب وراجع:
    • 2. افحص نشاط التذاكر الحديثة والسجلات بحثًا عن ردود غير طبيعية على التذاكر، أو عناوين IP غير معروفة، أو أنماط تأليف غير عادية.
    • 3. تحقق من سجلات خادم الويب لطلبات POST التي تحتوي على معرف_التذكرة 4. معلمات تنشأ من حسابات المشتركين في أوقات غير عادية.
  5. 5. طبق تقوية أساسية:
    • 6. فرض كلمات مرور قوية وتدوير بيانات الاعتماد لحسابات الإدارة إذا اكتشفت نشاطًا مشبوهًا.
    • 7. قم بتمكين المصادقة الثنائية (2FA) للمستخدمين الإداريين.

8. التحديث إلى 6.3.8 يحل الثغرة المباشرة. إذا لم تتمكن من التحديث بسبب قيود التوافق أو العمل، فطبق التخفيفات المؤقتة أدناه.


9. التخفيفات المؤقتة وإرشادات WAF

10. لأن الثغرة تعتمد على معلمة قابلة للتلاعب تُستخدم في طلبات ردود التذاكر، يمكن أن تقلل جدران الحماية لتطبيقات الويب المستهدفة (WAF) والضوابط الخدمية من المخاطر أثناء استعدادك للتحديث. معرف_التذكرة 11. بعض مشكلات IDOR لا يمكن التخفيف منها بالكامل بواسطة WAF خارجي إذا كان من الضروري أن تتحقق من منطق التطبيق ملكية الكائن. يساعد WAF في تقليل حجم الهجمات وإيقاف الإساءة الآلية العامة ولكنه لا يحل محل إصلاح التطبيق. اعتبر هذه الإجراءات دفاعية بطبيعتها.

ملاحظة مهمة: 12. قواعد WAF / الخادم المقترحة (على مستوى عالٍ، ليست استغلالًا برمجيًا):.

13. حظر أو تحدي الطلبات إلى نقاط النهاية المستخدمة لنشر التذاكر من حسابات لا تحتاج إلى الوصول:

  • 14. مثال: حظر طلبات POST إلى نقطة نهاية رد التذاكر الخاصة بالمكون الإضافي ما لم يتطابق معرف مستخدم الجلسة مع مالك التذكرة (إذا كان WAF لديه وعي بالجلسة).
    • 15. تحديد معدل طلبات POST مع.
  • 16. من نفس عنوان IP أو الحساب: معرف_التذكرة 17. ضع حدًا محافظًا (مثل 5 محاولات في الدقيقة) وارجع 429 أو تحدي CAPTCHA.
    • 18. اكتشاف الشذوذ.
  • 19. إذا كانت معرفات التذاكر تتكون من أرقام فقط، علم أو احظر الطلبات حيث معرف_التذكرة القيم:
    • إذا كانت معرفات التذاكر تتكون من أرقام فقط، قم بتحديد أو حظر الطلبات حيث معرف_التذكرة يظهر خارج النطاق المتوقع أو يمكن تخمينه بوضوح.
  • تحدي أو حظر الطلبات التي تحتوي على معرف_التذكرة وتأتي من حسابات ذات دور مشترك حيث تظهر الجلسة عدم وجود تاريخ سابق للتفاعل مع تلك التذكرة.
  • فرض فحوصات صارمة للمُحيل والأصل على نقاط نهاية التذاكر:
    • قبول الطلبات القادمة فقط من صفحات الموقع المعتمدة وليس من أصول عبر المواقع.
  • يتطلب وجود رموز غير قابلة للتكرار صالحة في نماذج ردود التذاكر ورفض الطلبات بدونها.
  • حظر عناوين IP المعروفة المسيئة والمواقع الجغرافية إذا كان الإساءة مركزة.

إذا كان جدار الحماية الخاص بك يدعم توقيعات التصحيح الافتراضية، اعمل مع فريق الأمان الخاص بك لتنفيذ قواعد تبحث عن مجموعة من:

  • مسار نقطة النهاية المستخدمة في تدفق ردود التذاكر للملحق،,
  • وجود معرف_التذكرة معلمة في POST أو GET،,
  • سياق حساب مستوى المشترك (إذا كان متاحًا)، أو تسلسل غير طبيعي من مراجع ticket_id.

كن حذرًا عند صياغة القواعد لتجنب الإيجابيات الكاذبة التي تعطل تدفقات الدعم المشروعة.


إصلاح على مستوى المطور (كيف يجب إصلاح الملحق)

لمطوري الملحقات (أو إذا كنت تحافظ على تكاملات مخصصة)، فإن الإصلاح الصحيح هو فرض فحوصات التفويض على كل وصول وإجراء. العناصر الرئيسية:

  1. تحقق من ملكية الكائن:
    • عند التعامل مع طلب يشير إلى معرف_التذكرة, ، استرجع سجل التذكرة من جانب الخادم وتحقق من أن المستخدم الحالي هو مالك التذكرة أو لديه تفويض صريح (مثل، دور الوكيل).
    • لا تعتمد على بيانات جانب العميل أو حقول النموذج المخفية لفحوصات الملكية.
  2. استخدم فحوصات القدرات:
    • تنفيذ فحوصات القدرة مثل يمكن للمستخدم الحالي أو فحوصات القدرة المخصصة المرتبطة بأدوار موظفي الدعم.
    • التمييز بين نقاط النهاية الموجهة للعملاء ونقاط النهاية الموجهة للموظفين.
  3. استخدام الرموز غير المتكررة وحماية CSRF:
    • يتطلب وجود رمز غير متكرر صالح في النماذج ورفض الطلبات التي لا تحتوي على تحقق صالح من الرمز غير المتكرر.
  4. تجنب التعداد غير الآمن:
    • عدم الكشف عما إذا كان معرف_التذكرة موجودًا في رسائل الاستجابة للمستخدمين غير المصادق عليهم أو غير المصرح لهم.
  5. تطهير والتحقق من المعلمات:
    • تأكد من أن معرف_التذكرة يتم التحقق من أنه النوع والنطاق المتوقعين، واستخدام العبارات المحضرة لاستعلامات قاعدة البيانات.
  6. تحديد البيانات المعادة:
    • إرجاع البيانات الضرورية فقط للمستخدم أو الموظف المصرح له. إخفاء الحقول الحساسة ما لم يكن مصرحًا بذلك.
  7. التسجيل والتدقيق:
    • تسجيل الإجراءات الحساسة مع معرفات المستخدمين وعناوين IP؛ توفير وسيلة للمسؤولين لمراجعة التعديلات والردود الأخيرة على التذاكر.

هذه هي ممارسات تطوير آمنة قياسية لكنها مهمة بشكل خاص للإضافات التي تتعامل مع اتصالات العملاء الخاصة.


الكشف والمراقبة - ما الذي يجب البحث عنه

إذا كنت تدير دعمًا رائعًا، راقب ما يلي:

  • ردود التذاكر غير المتوقعة التي كتبها مستخدمون ليسوا مالكي التذكرة أو من حسابات تم إنشاؤها مؤخرًا.
  • زيادة في طلبات POST إلى نقاط نهاية التذاكر مع معرف_التذكرة المعلمة، خاصة من مستخدمين مسجلين حديثًا أو من نفس نطاق IP.
  • محاولات تقديم متكررة مع معرف_التذكرة قيم متسلسلة - علامة على محاولات التعداد.
  • محتوى رد التذكرة الذي يتضمن روابط عن بُعد، مرفقات، أو طلبات لمعلومات حساسة.
  • سجلات خادم الويب تظهر العديد من الطلبات إلى نقاط نهاية المكونات الإضافية بعد فترة وجيزة من تسجيل المستخدم أو تسجيل الدخول.
  • أي شكاوى من العملاء بشأن تلقي رسائل غير عادية في تذاكرهم الحالية.

إعداد تنبيهات للأنماط الشاذة وضمان الاحتفاظ بالسجلات لمدة 30 يومًا على الأقل لتسهيل التحقيق.


إذا كنت تشك في أنك تعرضت للاستغلال - خطوات استجابة الحوادث

إذا كانت المراجعة أو المراقبة تشير إلى الاستغلال، تصرف بسرعة:

  1. عزل:
    • تعطيل تقديم التذاكر العامة مؤقتًا أو ضبط نظام التذاكر ليكون للقراءة فقط.
    • تعطيل المكون الإضافي Awesome Support إذا لزم الأمر.
  2. الحفاظ على الأدلة:
    • جمع سجلات التطبيق، سجلات خادم الويب، ونسخ احتياطية من قاعدة البيانات. لا تقم بكتابة السجلات فوق بعضها.
  3. تدوير بيانات الاعتماد:
    • فرض إعادة تعيين كلمات المرور للمستخدمين المعنيين في محادثات التذاكر ولجميع الحسابات الإدارية.
  4. تحقق من النطاق:
    • تحديد التذاكر التي تم عرضها أو تعديلها. ابحث عن نشاط لاحق قد يشير إلى مزيد من التهديد (مستخدمون إداريون جدد، مكونات إضافية معدلة، أو ملفات ثيم معدلة).
  5. البحث عن أبواب خلفية:
    • قم بإجراء فحص شامل للبرامج الضارة ضد نظام ملفات الموقع وقاعدة البيانات.
  6. إزالة الردود الخبيثة:
    • إزالة أو تطهير أي ردود أو مرفقات تم حقنها.
  7. استعادة إذا لزم الأمر:
    • إذا كانت البرامج الضارة أو التغييرات غير المصرح بها موجودة، فكر في الاستعادة من نسخة احتياطية نظيفة تم أخذها قبل الاستغلال الأولي.
  8. أبلغ الأطراف المتأثرة:
    • إذا تم كشف بيانات العملاء أو كانت الرسائل التي تم الرد عليها خبيثة، قم بإخطار المستخدمين المتأثرين وتقديم إرشادات العلاج.
  9. تطبيق التصحيح:
    • تحديث Awesome Support إلى 6.3.8 أو إصدار لاحق قبل إعادة الموقع إلى الخدمة الكاملة.
  10. تعزيز ما بعد الحادث:
    • تنفيذ قواعد WAF، وضوابط تسجيل المستخدمين الأكثر صرامة، والمراقبة لاكتشاف المحاولات المتكررة.

توثيق جميع الخطوات المتخذة والحفاظ على جدول زمني للتدقيق والالتزامات المحتملة بالإفصاح.


1. توجيه المضيف والوكالة

2. إذا كنت مضيفًا أو مسؤولاً عن المواقع المدارة، فقم بإعطاء الأولوية لما يلي:

  • 3. الجرد: تحديد مواقع العملاء التي تعمل بإصدار المكون الإضافي المعرض للخطر.
  • 4. تحديثات قسرية: تنسيق التحديثات الجماعية حيثما أمكن أو إبلاغ العملاء بشكل عاجل.
  • 5. الحمايات المؤقتة: استخدام WAF على مستوى المضيف أو قواعد الخادم لحظر إساءة استخدام التذاكر أثناء تحديث العملاء.
  • 6. تقديم الدعم: توفير أو التوصية بمساعدة استجابة الحوادث إذا تم استغلال العملاء.
  • 7. توعية العملاء: نصح العملاء بمراجعة نشاط التذاكر الأخير وتغيير بيانات الاعتماد إذا لزم الأمر.
  • 8. سياسة العزل: إذا تم تأكيد اختراق موقع، قم بعزله عن العملاء الآخرين لمنع الحركة الجانبية.

9. يجب على المضيفين الذين لديهم القدرة على نشر القواعد مركزيًا تطبيق تخفيفات مستهدفة تحظر أو تحد من نشاط نقاط نهاية التذاكر المشبوهة حتى يقوم العملاء بتطبيق التصحيح الرسمي.


10. أمثلة على قواعد الكشف الهيورية (مفاهيمية)

11. أدناه هي هيوريات مفاهيمية يمكنك ترجمتها إلى حل المراقبة أو WAF الخاص بك. تم تصميمها عمدًا لتكون غير قابلة للتنفيذ لتجنب إساءة الاستخدام.

  • 12. الهيورية 1 - كشف التعداد:
    • 13. يتم تفعيلها عندما يطلب عنوان IP واحد (أو مجموعة صغيرة) POSTs بقيم تتزايد بشكل متسلسل (مثل، id=1001، 1002، 1003) ضمن إطار زمني قصير. معرف_التذكرة 14. الهيورية 2 - رد غير المالك:.
  • 15. يتم تفعيلها عندما يظهر POST إلى نقطة نهاية رد التذكرة من مستخدم لم يتفاعل أبدًا مع تلك التذكرة وكان الطلب ليس من عنوان IP أو دور وكيل معروف.
    • 16. الهيورية 3 - الحجم السريع:.
  • 17. يتم تفعيلها عندما يتجاوز عدد POSTs رد التذكرة من حساب جديد واحد عتبة صغيرة في ساعة.
    • 18. الهيورية 4 - محتوى مشبوه:.
  • 19. وضع علامة على الردود التي تحتوي على روابط خارجية، أو طلبات للحصول على بيانات الاعتماد، أو مرفقات ثنائية نشرها عملاء لديهم عمر تسجيل أقل من 24 ساعة.
    • علم الردود التي تحتوي على روابط خارجية، أو طلبات للحصول على بيانات الاعتماد، أو مرفقات ثنائية تم نشرها من قبل العملاء الذين تقل أعمار تسجيلهم عن 24 ساعة.

قم دائمًا بضبط العتبات لتحقيق توازن بين الكشف والإيجابيات الكاذبة.


الوقاية على المدى الطويل وأفضل الممارسات

لتقليل سطح الهجوم وتعزيز وضعك بما يتجاوز هذه الثغرة المحددة:

  • مبدأ الحد الأدنى من الامتياز:
    • امنح أدوار المستخدمين القدرات اللازمة فقط. قيد قدرات المشتركين حيثما كان ذلك ممكنًا.
  • تعزيز تسجيلات المستخدمين:
    • استخدم تأكيد البريد الإلكتروني، والموافقات اليدوية، أو قيد إنشاء المشتركين التلقائي.
  • تحديثات منتظمة:
    • حافظ على تحديث الإضافات، والسمات، ونواة ووردبريس. أعط الأولوية لتحديثات الأمان.
  • المراقبة والتنبيهات:
    • نفذ مراقبة مستمرة للنشاط غير العادي على مستوى التطبيق والخادم.
  • استراتيجية النسخ الاحتياطي:
    • تأكد من وجود نسخ احتياطية منتظمة ومختبرة مع الاحتفاظ بها في موقع خارجي.
  • اختيار الإضافات ومراجعتها:
    • فضل الإضافات التي يتم صيانتها بمسؤولية أمنية وتحديثات في الوقت المناسب. راجع وصول الإضافات والغرض منها بشكل دوري.
  • اختبار الأمان:
    • قم بتضمين اختبارات تفويض التطبيق في عمليات مراجعة ضمان الجودة والأمان الخاصة بك.

لماذا تستمر هذه الفئة من العيوب في العودة (رؤية من مهندسينا)

من الصعب الحصول على منطق التفويض بشكل صحيح أكثر من المصادقة وغالبًا ما يتم تجاهله في تطوير الإضافات. تشمل الأخطاء الشائعة:

  • الاعتماد على القيم المرسلة من العميل (معرفات) دون فحوصات ملكية من جانب الخادم.
  • الافتراض بأن المصادقة تعني التفويض.
  • نقص أو عدم كفاية الاختبارات الآلية للحالات السلبية للتفويض (مثل: “المستخدم A لا يمكنه الوصول إلى الكائن B”).
  • تطوير الميزات بسرعة مع إعطاء الأولوية للوظائف على فحوصات الأمان.

توصيتنا لفرق التطوير: اعتبر التفويض من الدرجة الأولى. أضف اختبارات وحدات واختبارات تكامل تؤكد أن المستخدمين غير المصرح لهم لا يمكنهم الوصول إلى أو تعديل الكائنات التي لا ينبغي عليهم الوصول إليها.


كيف يساعد WP-Firewall

في WP-Firewall نقدم جدار حماية لتطبيقات الويب المدارة، وحماية من الروبوتات، وفحص البرمجيات الضارة، ومراقبة مستمرة تقلل من احتمال استغلال هذه الثغرة في موقعك أثناء تطبيقك لتحديث الإضافة الرسمي.

تشمل حماية لدينا:

  • قواعد WAF المدارة المصممة لتناسب أنماط إساءة استخدام إضافات WordPress.
  • فحص البرمجيات الخبيثة الذي يمكنه العثور على الردود المدخلة أو التعديلات المشبوهة.
  • ميزات تحديد المعدل وسمعة IP التي تقلل من عمليات الفحص الآلي ومحاولات التعداد.
  • التنبيه والتسجيل حتى يتمكن المسؤولون من اكتشاف نشاط التذاكر الشاذ بسرعة.

ومع ذلك، فإن WAF هو دفاعي - يقلل من المخاطر وحجم الهجمات ولكنه لا يلغي الحاجة إلى تطبيق الإصلاح الرسمي للإضافة. يجب دائمًا تطبيق تصحيح البائع كخطوة نهائية.


إذا كنت مطورًا: قائمة مراجعة سريعة لمراجعة قاعدة الشيفرة الخاصة بك


العنوان الجديد: تأمين قناة الدعم الخاصة بك على الفور مع WP-Firewall (الخطة المجانية)

حماية موقعك تبدأ مع دفاعات أساسية وموثوقة. اشترك في خطة WP-Firewall Basic (مجانية) واحصل على حماية أساسية ودائمة لمواقع WordPress الخاصة بك - بما في ذلك جدار ناري مُدار، عرض نطاق غير محدود، قواعد WAF مصممة لإساءة استخدام الإضافات الشائعة، فحص البرمجيات الخبيثة، وتخفيف مخاطر OWASP Top 10. الخطة المجانية هي خطوة أولى رائعة لتقليل فرصة أن تؤدي ثغرة مثل CVE-2026-4654 إلى استغلال واسع النطاق على موقعك أثناء تحديثك وتقوية بيئتك. استكشف الخطة المجانية واشترك هنا: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

أبرز ملامح الخطة:

  • الأساسي (مجاني): جدار ناري مُدار، عرض نطاق غير محدود، WAF، ماسح للبرامج الضارة، تخفيف لمخاطر OWASP Top 10.
  • المعيار ($50/السنة): يضيف إزالة البرمجيات الخبيثة تلقائيًا والتحكم في القوائم السوداء/البيضاء لـ IP.
  • برو ($299/السنة): يضيف تقارير أمان شهرية، تصحيح افتراضي تلقائي (حيثما ينطبق)، وإضافات متميزة للخدمات المدارة.

ملاحظات نهائية وروابط موصى بها

  • قم بتصحيح على الفور إلى Awesome Support 6.3.8 أو أحدث. هذه هي المعالجة الأساسية.
  • قم بمراجعة تاريخ التذاكر الخاص بك بحثًا عن ردود مشبوهة ومشاركين غير معروفين.
  • إذا كنت بحاجة إلى مساعدة في التحقيق، فكر في العمل مع محترف أمان ووردبريس أو مزود الاستضافة الخاص بك.

المرجع: CVE-2026-4654 (إشعار عام نُشر في أبريل 2026؛ الباحث: مايكل إيدن). إذا كنت مسؤولاً عن العديد من المواقع، اعتبر هذا الأمر عاجلاً: الامتياز المطلوب للاستغلال منخفض والأتمتة تجعل الإساءة الجماعية محتملة.

إذا كنت تريد المساعدة في تطبيق التخفيفات، أو نشر توقيعات WAF، أو إجراء استجابة للحوادث، يمكن لفريق أمان WP-Firewall المساعدة - بما في ذلك خدمة مجانية لمساعدتك في الحماية بسرعة أثناء تصحيحك.

ابق آمناً، راقب السجلات، وأعطِ الأولوية للتصحيح.

— فريق أمان جدار الحماية WP


wordpress security update banner

احصل على WP Security Weekly مجانًا 👋
أفتح حساب الأن
!!

قم بالتسجيل لتلقي تحديث أمان WordPress في بريدك الوارد كل أسبوع.

نحن لا البريد المزعج! اقرأ لدينا سياسة الخصوصية لمزيد من المعلومات.