اسم البرنامج الإضافي	تقويم الأحداث لـ GeoDirectory
نوع الضعف	تصعيد الامتيازات
رقم CVE	CVE-2026-11616
الاستعجال	عالي
تاريخ نشر CVE	2026-06-09
رابط المصدر	CVE-2026-11616

تصعيد الامتيازات في “تقويم الأحداث لـ GeoDirectory” (CVE-2026-11616) — تحليل، مخاطر، وما يجب على مالكي مواقع WordPress القيام به الآن

نُشر في 2026-06-09 بواسطة فريق أمان WP-Firewall

الملخص: تم الكشف عن ثغرة تصعيد امتيازات عالية الخطورة (CVE-2026-11616، CVSS 8.8) في مكون تقويم الأحداث لـ GeoDirectory الخاص بـ WordPress تؤثر على الإصدارات ≤ 2.3.28. يمكن للمستخدمين المعتمدين الذين لديهم وصول بمستوى المشترك تصعيد الامتيازات. يشرح هذا المنشور ما تعنيه الثغرة، وكيفية تحديد أولويات التخفيف، وخطوات الكشف والعلاج، وإرشادات تعزيز عملية الأمان لمالكي المواقع والمطورين — من منظور WP-Firewall، مزود أمان WAF وWordPress محترف.

TL;DR — ما تحتاج إلى معرفته الآن

• الثغرة: تصعيد الامتيازات المعتمدة في مكون تقويم الأحداث لـ GeoDirectory.
• الإصدارات المتأثرة: ≤ 2.3.28
• الإصدار المصحح: 2.3.29
• CVE: CVE-2026-11616
• الخطورة: عالية (CVSS 8.8). مصنفة تحت OWASP A7 — فشل التعرف والمصادقة.
• الأولوية الفورية: إذا كنت تستخدم هذا المكون، قم بالتحديث إلى 2.3.29 على الفور. إذا لم تتمكن من التحديث، اتبع “التخفيفات الفورية” أدناه.
• إذا كنت تشك في أن موقعك قد تم اختراقه، اتبع قائمة التحقق من استجابة الحوادث في هذه المقالة.

---

لماذا هذه الثغرة خطيرة

تسمح ثغرات تصعيد الامتيازات لمهاجم لديه حساب منخفض الامتيازات (على سبيل المثال، مشترك) بالحصول على امتيازات أعلى (محرر، مسؤول، أو وصول مرتفع خاص بالمكون). بمجرد أن يحصل الحساب على امتيازات مرتفعة، يمكن للمهاجم:

• إنشاء حسابات مسؤول جديدة وإغلاق الوصول عليك.
• تثبيت أو تحديث المكونات الإضافية والسمات التي تتضمن أبواب خلفية.
• تعديل ملفات PHP، إنشاء قذائف ويب، أو تحميل محتوى ضار.
• سرقة البيانات من قاعدة بياناتك (قوائم المستخدمين، البريد الإلكتروني، المحتوى الخاص).
• حقن بريد عشوائي لتحسين محركات البحث، إعادة توجيه الحركة، أو تحقيق الربح من الموقع لصالح المهاجمين.
• الانتقال بشكل جانبي إلى أنظمة أخرى إذا كانت بيانات اعتماد الاستضافة مخزنة على الموقع.

لأن الثغرة تتطلب فقط حساب مصدق صالح، فهي خطيرة بشكل خاص على المواقع التي تسمح بتسجيل المستخدمين أو تقبل تسجيل الضيوف. غالبًا ما تستهدف حملات الاستغلال الجماعي الآلي المكونات الإضافية الضعيفة في ووردبريس، مما يجعل التخفيف السريع أمرًا حاسمًا.

---

ما الذي قد يكون خاطئًا (نظرة عامة تقنية، غير استغلالية)

بينما تقدم إعلانات البائعين وبيانات CVE التصنيف على مستوى عالٍ، تشمل الأسباب الشائعة لتصعيد الامتيازات المصدقة في المكونات الإضافية:

• فحص القدرات المفقودة: معالجات المكونات الإضافية (نقاط نهاية AJAX، REST، أو admin-post) تقوم بعمليات حساسة دون التحقق من قدرات المتصل باستخدام current_user_can().
• فحص nonce المفقود أو غير الصحيح: الكود الذي يقبل طلبات POST/GET التي تغير الحالة دون التحقق من nonce ووردبريس أو القدرة المناسبة يمكن استغلاله.
• التحقق غير الكافي من المدخلات: نقاط النهاية التي تقوم بتحديث بيانات المستخدم أو إنشاء مستخدمين دون تطهير أو تحقق من الدور يمكن التلاعب بها لرفع الدور.
• عيوب منطقية: كود شرطي يفترض دورًا أو موثوقية المدخلات من مستخدم مصدق، بدلاً من التحقق من الأذونات الفعلية.

مسار الاستغلال في العالم الحقيقي عادةً ما يكون: مهاجم لديه حساب مشترك يستدعي نقطة نهاية مكون إضافي يجب أن تكون محدودة للمسؤولين، موفرًا معلمات مصممة لتغيير الدور أو بيانات المستخدم، أو لتفعيل وظيفة مكون إضافي تنشئ مستخدمًا إداريًا أو تحدث القدرات.

لن نقدم كود الاستغلال هنا - هدفنا هو مساعدة مالكي المواقع على الحماية والتصحيح.

---

هل أنا متأثر؟ كيف تتحقق بسرعة

• من لوحة تحكم ووردبريس: انتقل إلى المكونات الإضافية → المكونات الإضافية المثبتة وتحقق من إصدار المكون الإضافي. إذا كان يسرد تقويم الأحداث لـ GeoDirectory (أو اسم مشابه) وكان الإصدار 2.3.28 أو أقدم، فأنت متأثر.
• من نظام الملفات، تحقق من ملف readme الخاص بالمكون الإضافي أو رأس ملف المكون الإضافي (مثل events-for-geodirectory.php) لخط الإصدار.
• فحص سريع باستخدام WP-CLI:
  • قائمة إصدارات المكونات الإضافية: wp plugin list --format=json | jq -r '.[] | select(.name|test("geodirect")) | "\(.name) \(.version)"'
  • أو فقط: wp plugin status events-for-geodirectory (قد يختلف اسم المكون الإضافي - قم بالتعديل وفقًا لذلك).
• إذا لم تكن متأكدًا من اسم المكون الإضافي، تحقق من wp-content/plugins/ للبحث عن الأدلة المتعلقة بـ GeoDirectory أو Events Calendar.

---

إجراءات فورية (مرتبة حسب الأولوية)

اتبع هذا التصنيف ذي الأولوية لتقليل المخاطر على المواقع الحية.

1. تحديث الإضافة (أفضل وأسرع إصلاح)
   • قم بتحديث Events Calendar لـ GeoDirectory إلى الإصدار 2.3.29 أو أحدث.
   • استخدم تحديثات لوحة التحكم → المكونات الإضافية، أو WP-CLI:
     • wp plugin update events-for-geodirectory --version=2.3.29
   • بعد التحديث، اختبر وظائف الموقع الأساسية في بيئة الاختبار إذا كان ذلك ممكنًا، ثم في الإنتاج.
2. إذا لم تتمكن من التحديث على الفور
   • قم بإلغاء تنشيط المكون الإضافي مؤقتًا:
     • لوحة التحكم → المكونات الإضافية → تعطيل
     • WP-CLI: wp plugin deactivate events-for-geodirectory
   • إذا أدى التعطيل إلى كسر وظائف العمل، قم بتطبيق هذه التخفيفات (انظر أدناه).
3. قلل من التعرض من حسابات المشتركين
   • قم بتعطيل التسجيل العام مؤقتًا (الإعدادات → عام → العضوية).
   • قم بمراجعة قائمة المستخدمين للبحث عن حسابات مشبوهة واحذف حسابات المشتركين غير المعروفة:
     • WP-CLI قائمة المستخدمين: wp user list --role=subscriber --format=csv
     • قم بإزالة المستخدمين المشبوهين: wp user delete --reassign=
   • فرض سياسات كلمات مرور أقوى وتشجيع إعادة تعيين كلمات المرور.
4. تفعيل جدار حماية تطبيق الويب (WAF)
   • إذا كنت تستخدم WP-Firewall (أو WAF مكافئ)، تأكد من أن التصحيحات الافتراضية / القواعد الحية نشطة. يقوم WP-Firewall بإصدار قواعد مستهدفة لحظر أنماط الاستغلال للثغرات مثل هذه حتى يتم الانتهاء من التصحيح.
   • إذا لم يكن لديك WAF، فكر في ضوابط مزود الاستضافة، أو قواعد جدار الحماية الشبكي، أو تعطيل المكونات الإضافية.
5. حظر نقاط النهاية الخاصة بالمكونات الإضافية أو الطلبات المشبوهة
   • قم برفض الوصول HTTP مؤقتًا إلى ملفات إدارة المكونات الإضافية أو نقاط النهاية API المستخدمة من قبل المكون الإضافي، عند الإمكان.
   • استخدم قواعد الخادم (Nginx/Apache) لتقييد الوصول إلى نقاط النهاية الإدارية لمجموعة عناوين IP الخاصة بالمسؤولين المعتمدين إذا كان ذلك ممكنًا.
6. راقب السجلات بحثًا عن نشاط مشبوه.
   • راجع سجلات الوصول وسجلات WordPress لطلبات POST من مستخدمين غير مسؤولين إلى نقاط نهاية المكونات الإضافية، أو إنشاء مفاجئ لمستخدمين إداريين، أو كتابة ملفات غير متوقعة.

---

أمثلة على التخفيف السريع: الأوامر وقواعد خادم الويب

ملاحظة: قم بتكييف الأمثلة مع بيئتك. اختبر أولاً على موقع تجريبي.

WP-CLI: قائمة وإزالة المشتركين المشتبه بهم

# قائمة المشتركين

# حذف مستخدم مشبوه (استبدل USER_ID و ADMIN_ID)

فرض إعادة تعيين كلمات المرور للمسؤولين:

# فرض إعادة تعيين كلمة المرور عبر البريد الإلكتروني لجميع المسؤولين

حظر مؤقت لملف إدارة المكون الإضافي عبر Apache (.htaccess):

# حظر الوصول إلى ملف PHP الإداري المحدد للمكون الإضافي (قم بتعديل اسم الملف)

رفض موقع Nginx:

# رفض طلبات POST إلى نقطة نهاية المكون الإضافي (مثال).

---

تذكر: هذه أدوات خشنة. قد يؤدي حظر ملفات المكونات الإضافية إلى كسر ميزات الموقع الشرعية. استخدمها كضوابط طارئة مؤقتة حتى تتمكن من تصحيحها بشكل صحيح.

الكشف: علامات قد يكون الموقع قد تم استغلاله

• بعد الكشف عن مثل هذه الثغرة، افترض أن المهاجمين قد قاموا بالفعل بفحص أو استغلال المواقع. ابحث عن مؤشرات الاختراق (IoCs):.
• مستخدمون إداريون جدد أو غير متوقعين في WP admin (المستخدمون → جميع المستخدمين).
• تغييرات في أدوار المستخدمين أو بيانات التعريف في قاعدة البيانات (تغييرات wp_usermeta).
• مهام مجدولة غير متوقعة (transients المحملة تلقائيًا في wp_options، إدخالات cron).
• ملفات PHP جديدة أو ملفات أساسية/مكونات إضافية/ثيمات معدلة (أوقات تعديل الملفات).
• البريد العشوائي أو حمولات تحسين محركات البحث، إعادة التوجيه المخفية، أو صفحات جديدة بمحتوى عشوائي.
• زيادة حركة مرور POST إلى نقاط نهاية المكونات الإضافية في سجلات الوصول.
• وجود قذائف ويب (ملفات تحتوي على base64_decode، eval، أو PHP مشوش).
• تنبيهات من ماسح البرامج الضارة أو WAF حول سلوك مشبوه.

استخدم هذه الأوامر للمساعدة في اكتشاف الشذوذ:

تحقق من الملفات المعدلة مؤخرًا (آخر 7 أيام):

find /path/to/wordpress -type f -mtime -7 -print

ابحث عن وظائف PHP مشبوهة:

grep -R --exclude-dir={wp-content/uploads,wp-content/cache} -nE "base64_decode|eval\(|gzinflate|str_rot13" /path/to/wordpress

استعلام عن قاعدة البيانات للأدوار الإدارية غير المتوقعة:

SELECT user_id, meta_key, meta_value FROM wp_usermeta WHERE meta_key LIKE 'pabilities%' AND meta_value LIKE 'ministrator%';

إذا وجدت مؤشرات، اعتبر الموقع محتمل الاختراق واتبع خطوات الاستجابة للحوادث أدناه.

---

إذا كنت تشك في الاختراق - قائمة التحقق للاستجابة للحوادث

1. عزل الموقع
   • ضع الموقع في وضع الصيانة أو قم بتعطيل الوصول العام مؤقتًا للحد من نشاط المهاجمين.
   • إذا أمكن، قم بأخذ لقطة من الخادم للتحليل الجنائي.
2. حفظ السجلات
   • احتفظ بسجلات وصول/خطأ خادم الويب، سجلات PHP-FPM، و wp-content/debug.log لفترة النشاط المشبوه.
3. قم بعمل نسخة احتياطية
   • أنشئ نسخة احتياطية كاملة (ملفات + قاعدة بيانات) قبل خطوات الإصلاح. هذا يحافظ على الأدلة.
4. تدوير أوراق الاعتماد
   • غير جميع كلمات مرور لوحة التحكم الإدارية واستضافة.
   • قم بتدوير بيانات اعتماد قاعدة البيانات وتحديث wp-config.php.
   • قم بتدوير أي مفاتيح API أو رموز طرف ثالث مخزنة في الموقع.
5. قم بإزالة الأبواب الخلفية والملفات الضارة.
   • استبدل ملفات النواة، والثيمات، والمكونات الإضافية بنسخ معروفة جيدة من المستودعات الرسمية.
   • أزل أي ملفات غير معروفة في مجلدات التحميلات، والمكونات الإضافية، والثيمات.
6. تدقيق المستخدمين والأدوار
   • احذف المسؤولين غير المعروفين، وتحقق من حسابات المسؤولين والتغييرات الأخيرة على بيانات المستخدم.
7. تنظيف أو استعادة
   • إذا كان ذلك ممكنًا، استعد من نسخة احتياطية معروفة نظيفة تم إنشاؤها قبل الاختراق.
   • خلاف ذلك، قم بتنظيف الملفات وقاعدة البيانات، ثم قم بتشديد الأمان.
8. تحقق من التنظيف
   • قم بإجراء فحص كامل للبرامج الضارة باستخدام ماسح موثوق.
   • أعد المسح بعد الإصلاح للتأكد من عدم وجود مشكلات متبقية.
9. أعد إصدار الأملاح وكلمات المرور
   • قم بتحديث أملاح ووردبريس في wp-config.php وأجبر على إعادة تعيين كلمات المرور.
10. تحسينات ما بعد الحادث
    • تفعيل المصادقة الثنائية لمستخدمي المسؤول.
    • قلل عدد حسابات المسؤولين.
    • نفذ سياسات الحد الأدنى من الامتيازات لأدوار المستخدمين.
    • قم بتمكين جدار حماية تطبيقات الويب والمراقبة المستمرة.

إذا كنت تفتقر إلى الموارد الداخلية لإجراء التحليلات الجنائية أو التنظيف، فاستعن بأخصائي أمان موثوق أو مزود الاستضافة الخاص بك.

---

إرشادات المطور - كيف كان يجب منع ذلك في الكود

يجب على مطوري الإضافات والقوالب اتباع ممارسات تطوير آمنة لتجنب أخطاء تصعيد الامتيازات:

• تحقق من الأذونات على جانب الخادم
  • تحقق دائمًا يمكن للمستخدم الحالي لأي إجراء يعدل البيانات أو الأدوار.
  • لا تعتمد فقط على عناصر التحكم على جانب العميل أو JavaScript.
• استخدم النونز بشكل صحيح
  • تحقق check_admin_referer() أو wp_verify_nonce() لنقاط نهاية الإجراءات.
• تطهير والتحقق من المدخلات
  • يستخدم تطهير حقل النص, absint(), تعقيم البريد الإلكتروني بشكل مناسب.
  • استخدم عبارات SQL المعدة أو وظائف WP للتفاعل مع قاعدة البيانات.
• مبدأ الحد الأدنى من الامتياز
  • تجنب منح قدرات غير ضرورية للأدوار التي أنشأتها الإضافات.
  • استخدم قدرات مخصصة بدلاً من إعادة استخدام قدرات مستوى المسؤول حيثما كان ذلك ممكنًا.
• تجنب كشف نقاط نهاية المسؤول الحساسة.
  • حيثما أمكن، قم بتقييد نقاط نهاية REST أو AJAX لتتطلب إدارة_الخيارات أو قدرة عالية المستوى أخرى.
  • أعد رسائل خطأ عامة لتجنب تسرب تفاصيل التنفيذ.
• إعدادات افتراضية آمنة
  • يجب أن يكون سلوك المكون الإضافي الافتراضي آمناً: قم بتعطيل الميزات الخطرة بشكل افتراضي واطلب تكويناً صريحاً من المسؤول.
• اختبار الوحدة والأمان.
  • قم بتضمين اختبارات محددة للأمان تحاول تنفيذ إجراءات محدودة الامتياز مع مستخدمين ذوي امتيازات منخفضة.
  • قم بإجراء مراجعات أمنية عند إصدار تحديثات رئيسية.

---

كيفية تعزيز تسجيل المستخدمين وتقليل سطح الهجوم

• تعطيل تسجيل المستخدمين إذا لم يكن مطلوبًا.
• استخدم الاعتدال أو التحقق من البريد الإلكتروني للحسابات الجديدة.
• قم بتقييد عدد الحسابات ذات الأدوار القابلة للكتابة (مؤلف، محرر).
• استخدم reCAPTCHA أو وسائل أخرى للتخفيف من الروبوتات في نماذج التسجيل وتسجيل الدخول.
• نفذ المصادقة الثنائية لجميع حسابات المسؤولين أو الحسابات المميزة.
• ضع في اعتبارك استخدام مرشحات القدرات (المكونات الإضافية أو التعليمات البرمجية المخصصة) لإزالة القدرات الخطرة من الأدوار ذات المستوى المنخفض.

مثال: إزالة القدرات الخطرة من دور المشترك

function wpf_remove_subscriber_caps() {;

ملاحظة: اختبر أي تغييرات في القدرات لتجنب كسر الوظائف المقصودة.

---

منظور WP-Firewall - كيف يساعد WAF وما نقدمه

يوفر جدار حماية تطبيق الويب (WAF) ضوابط سريعة تعويضية خلال الفترة بين الكشف عن الثغرات وإصلاحها. الطرق الرئيسية التي يحمي بها WAF:

• التصحيح الافتراضي: حظر أنماط الاستغلال المعروفة على مستوى HTTP قبل أن تصل الطلبات إلى الشيفرة الضعيفة.
• تحديد المعدل والتخفيف من الروبوتات: تقليل حركة الهجوم الآلي التي تستكشف نقاط نهاية المكون الإضافي بحثاً عن الثغرات.
• حظر الحمولة المعروفة السيئة: قواعد تعتمد على regex والتوقيع لمطابقة الحمولات الخبيثة (مثل، محاولات التلاعب بالأدوار أو إنشاء مستخدمين عبر نقاط نهاية المكون الإضافي).
• المراقبة والتنبيه: إبلاغ مالكي المواقع بمحاولات مشبوهة لاستغلال الثغرات المعروفة.
• فحص سلامة الملفات والبرمجيات الضارة: اكتشاف التغييرات غير المتوقعة أو الملفات الخبيثة التي تشير إلى الاختراق.

يقدم WP-Firewall خطة أساسية مجانية توفر الحمايات الأساسية التي تكون مفيدة بشكل خاص في سيناريوهات مثل هذه الثغرة:

• جدار حماية مُدار مع قواعد WAF
• عرض نطاق غير محدود للتخفيف
• ماسح البرامج الضارة
• الحمايات التي تخفف من مخاطر OWASP Top 10

إذا كنت ترغب في حماية آلية إضافية، فإن خططنا المدفوعة تضيف ميزات مثل إزالة البرمجيات الضارة تلقائيًا، قائمة حظر/إذن IP، التصحيح الافتراضي والتقارير الشهرية.

---

سير عمل تصحيح آمن (موصى به)

1. قم بتحديث الإضافة على الفور إلى 2.3.29.
2. قم بتشغيل فحص كامل للبرمجيات الضارة بعد التصحيح.
3. تدقيق حسابات المستخدمين والأدوار؛ إزالة المستخدمين المشبوهين وإعادة تعيين المحتوى إذا لزم الأمر.
4. تدوير بيانات الاعتماد والأملاح.
5. استبدال ملفات الإضافة بنسخ رسمية محدثة (لا تستعد النسخ القديمة غير المصححة).
6. تفعيل جدار حماية تطبيقات الويب مع التصحيح الافتراضي بينما تبقى أي أكواد غير مصححة أو مخصصة.
7. مراقبة السجلات والتنبيهات لمدة 30 يومًا على الأقل.
8. النظر في إجراء تدقيق أمني للتأكد من عدم بقاء أي نقاط انطلاق.

---

علامات تدل على أنه يجب عليك تصعيد الأمر إلى فريق استجابة للحوادث محترف

• تجد مستخدمين إداريين غير متوقعين ولا يمكنك تفسير إنشائهم.
• المحتوى العام يظهر رسائل غير مرغوب فيها في SEO، روابط مخفية، أو إعادة توجيه.
• تكتشف اتصالات صادرة إلى مضيفين يتحكم بهم المهاجم.
• هناك شل ويب أو كود PHP مشوش لا يمكنك إزالته بثقة.
• يستضيف الموقع بيانات حساسة للعملاء قد تم الوصول إليها.

في تلك الحالات، توقف عن الوصول العام إذا كان ذلك ممكنًا، واحفظ الأدلة، وتواصل مع متخصص أمان.

---

جديد: تأمين موقعك مع خطة WP-Firewall المجانية — ابدأ بالحماية اليوم

ابدأ بحماية أساسية — WP-Firewall Basic (مجاني)

إذا كنت ترغب في حماية فورية مُدارة أثناء تصحيح وتقوية موقعك، فكر في خطتنا الأساسية (مجانية) في WP-Firewall. تتضمن الخطة المجانية جدار حماية مُدار وقواعد WAF تقلل من أنماط الاستغلال الشائعة، وماسح ضوئي للبرامج الضارة، وحمايات تعالج OWASP Top 10 — جميعها مصممة كشبكة أمان أثناء الحوادث الأمنية مثل تصعيد الامتيازات هذا. قم بتنشيط الخطة المجانية بسرعة هنا: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

لأصحاب المواقع الذين يفضلون التنظيف التلقائي أو تغطية أكثر تقدمًا، تضيف مستوياتنا القياسية والمحترفة إزالة البرامج الضارة تلقائيًا، والتحكم في قوائم IP البيضاء والسوداء، والترقيع الافتراضي، وتقارير الأمان الشهرية، وخيارات الدعم المخصصة.

---

أفضل الممارسات على المدى الطويل لتقليل المخاطر المستقبلية

• حافظ على برنامج تصحيح نشط: قم بتحديث الإضافات، والسمات، والنواة بسرعة.
• قلل من عدد الإضافات المثبتة؛ فكلما كانت الإضافات أقل، كان سطح الهجوم أصغر.
• استخدم بيئات الاختبار لاختبار التحديثات قبل نشرها في الإنتاج.
• فرض كلمات مرور قوية وفريدة من نوعها وتمكين المصادقة الثنائية لجميع مستخدمي الإدارة.
• تنفيذ مبادئ الحد الأدنى من الامتيازات لأدوار المستخدمين والقدرات.
• احتفظ بنسخ احتياطية منتظمة ومختبرة في وضع عدم الاتصال أو على تخزين منفصل.
• قم بتمكين WAF وفحص البرامج الضارة بانتظام.
• اشترك في إشعارات الثغرات للإضافات التي تستخدمها، وكلف شخصًا لمراقبة التصرف بسرعة.

---

الأفكار النهائية

تعتبر ثغرات تصعيد الامتيازات المعتمدة من بين أخطر القضايا لمواقع WordPress لأنها تحول الثقة الصغيرة — حساب مشترك أو حساب محدود آخر — إلى تحكم إداري كامل. العمل السريع مهم. إذا كان موقعك يعمل على Events Calendar لـ GeoDirectory وكانت النسخة 2.3.28 أو أقدم، قم بالتحديث إلى 2.3.29 على الفور. إذا لم تتمكن من التحديث على الفور، قم بتطبيق تخفيفات مؤقتة — قم بإلغاء تنشيط الإضافة، وشدد على ضوابط التسجيل، وقم بتدقيق حسابات المستخدمين، وقم بتمكين WAF.

في WP-Firewall، هدفنا هو تقليل تعرضك ومنحك الوقت لتصحيح الأمور وإصلاحها بأمان. إذا لم يكن لديك حماية استباقية بالفعل، فإن خطتنا الأساسية (مجانية) توفر جدار حماية مُدار وفحصًا أساسيًا لتوفير شبكة أمان أقوى أثناء تصرفك.

ابق آمنًا، وأعط الأولوية للتصحيح قبل أن يتخذ المهاجمون القرار بدلاً منك.

— فريق أمان جدار الحماية WP

---

المراجع والقراءات الإضافية

• CVE-2026-11616 (إدخال CVE الرسمي)