ثغرة WP Maps Pro: خطر كبير يهدد آلاف مواقع ووردبريس بالكامل

تعد ثغرة WP Maps Pro من أخطر التهديدات الحالية لمواقع ووردبريس، حيث تسمح للمهاجمين بإنشاء حسابات مدير والسيطرة الكاملة على المواقع المصابة.

كشف خبراء الأمن الرقمي عن ثغرة أمنية حرجة في إضافة ووردبريس الشهيرة WP Maps Pro، والتي حققت مبيعات تجاوزت 15 ألفاً على متجر إنفاتو. تتيح هذه الثغرة للمخترقين تجاوز إجراءات الأمان والتحكم في المواقع بشكل كامل، وهو ما حذر منه تيكبامين لمساعدة أصحاب المواقع على حماية بياناتهم من الهجمات النشطة حالياً.

ما هي خطورة ثغرة CVE-2026-8732 في ووردبريس؟

الثغرة التي تحمل الرمز CVE-2026-8732 حصلت على تقييم خطورة يصل إلى 9.8 من 10، مما يصنفها كواحدة من أكثر الثغرات تهديداً في عام 2026. تكمن الخطورة الأساسية في عدة نقاط:

• قدرة المهاجمين غير المسجلين على إنشاء حساب مستخدم بصلاحيات مدير.
• تسمح بالسيطرة المطلقة على محتوى الموقع وقواعد البيانات.
• سهولة استغلالها عبر طلبات AJAX بسيطة دون الحاجة لخبرة تقنية عميقة.

لماذا تعتبر الإضافة هدفاً جذاباً للمخترقين؟

تُستخدم إضافة WP Maps Pro لدمج خرائط جوجل وخرائط OpenStreetMap القابلة للتخصيص. وبسبب وظيفتها كأداة لتحديد المواقع والفروع، فهي تخزن بيانات هامة وغالباً ما تُستخدم في مواقع تجارية، مما يجعل اختراقها وسيلة فعالة لنشر البرمجيات الخبيثة أو سرقة بيانات العملاء.

كيف يتم استغلال إضافة WP Maps Pro لاختراق المواقع؟

تعود جذور المشكلة إلى ميزة "الوصول المؤقت" المصممة لمساعدة فريق الدعم الفني أثناء استكشاف الأخطاء. ووفقاً لما ذكره تيكبامين، فإن الخلل الفني يتلخص في الآتي:

• ثغرة في دالة wpgmp_temp_access_support التي تفتقر للتحقق من الهوية.
• استخدام رمز nonce عام يمكن الوصول إليه من الواجهة الأمامية للموقع.
• إمكانية استدعاء معالج الوصول المؤقت مع تعطيل التحقق، مما ينشئ مستخدماً مديراً فوراً.

بمجرد إرسال الطلب الخبيث، يحصل المهاجم على رابط دخول "سحري" يقوم تلقائياً بتسجيل دخوله كمدير للموقع، مما يمنحه القدرة على حذف الموقع بالكامل أو استخدامه في هجمات أخرى.

هل موقعك في خطر وما هي النسخ المصابة؟

يجب على أصحاب المواقع التحقق فوراً من إصدار الإضافة المستخدم لديهم. النسخ المتأثرة بالثغرة تشمل:

• كافة الإصدارات التي تسبق النسخة 6.1.1.
• الإصدار 6.1.0 وما قبله (بما في ذلك النسخ القديمة جداً).

تم إطلاق التحديث الأمني في 20 مايو 2026، وهو الإصدار 6.1.1 الذي يغلق هذه الثغرة نهائياً عن طريق فرض التحقق من هوية المدير قبل الوصول إلى هذه الدالات الحساسة.

خطوات حماية موقعك من الهجمات النشطة

رصدت شركات الأمن الرقمي أكثر من 2,858 هجوماً استهدف هذه الثغرة خلال يوم واحد فقط، مما يعني أن المخترقين يستخدمون أدوات آلية للبحث عن المواقع المصابة. لحماية نفسك، اتبع الآتي:

• تحديث إضافة WP Maps Pro إلى الإصدار 6.1.1 أو أحدث فوراً.
• تغيير كلمات مرور كافة حسابات المديرين كإجراء احترازي.
• فحص قائمة المستخدمين للتأكد من عدم وجود حسابات غريبة تم إنشاؤها مؤخراً.
• تفعيل جدار حماية لمواقع الويب (WAF) لصد المحاولات المشبوهة.

في الختام، يؤكد خبراء تيكبامين أن التأخر في تحديث الإضافات البرمجية هو السبب الأول لاختراق مواقع ووردبريس، لذا ينصح دائماً بتفعيل التحديثات التلقائية للإضافات الحساسة لضمان أعلى مستويات الأمان الرقمي.