شهدت منصة ووردبريس واحدة من أخطر حوادث سلسلة التوريد خلال يونيو 2026، بعدما تمكن مهاجمون مجهولون من اختراق قنوات التوزيع الرسمية لشركة ShapedPlugin وإدخال شيفرات خبيثة في النسخ المدفوعة من إضافاتها. وفقًا لتحليل صادر عن شركة Wordfence، فإن المهاجمين تلاعبوا بعملية البناء والتوزيع، ما سمح لهم بحقن باب خلفي في الإصدارات الموجهة للمستخدمين الذين يمتلكون تراخيص رسمية ويقومون بالتحديث عبر البنية التحتية الخاصة بالشركة. الإضافات المتأثرة تشمل:
- Product Slider Pro for WooCommerce (الإصدارات قبل 3.5.4)
- Real Testimonials Pro (الإصدار 3.2.5)
- Smart Post Show Pro (الإصدارات قبل 4.0.2)
تفاصيل الثغرات والحمولة الخبيثة
الهجوم المرتبط بـ Product Slider Pro حصل على معرف الثغرة CVE-2026-49777 بدرجة خطورة قصوى (CVSS 10.0)، بينما تم تسجيل الحادثة الكاملة تحت CVE-2026-10735 بدرجة 9.8. الإصدارات المصابة تضمنت “لودر” يتم تشغيله في كل صفحة إدارية، حيث يقوم بجلب حمولة من خادم خارجي (194.76.217[.]28:2871)، ثم يثبتها ويُفعّلها كإضافة مزيفة. هذه الإضافة الخبيثة تخفي نفسها عن قائمة إضافات ووردبريس، وتتمتع بقدرات خطيرة مثل:
- سرقة بيانات تسجيل الدخول وكلمات المرور بنص واضح.
- التقاط رموز المصادقة الثنائية (2FA).
- إنشاء نقاط ثبات متعددة تسمح بكتابة ملفات عشوائية عبر REST endpoint مخصص.
- زرع Web Shell لتنفيذ أوامر مباشرة.
- استخدام ملف “install-persistent.php” لاستخراج بيانات حساسة مثل محتويات ملف wp-config.php، حسابات المدراء، بيانات إضافات البريد (WP Mail SMTP، Post SMTP، Easy WP SMTP)، وأوامر WooCommerce لآخر ثلاثة أشهر.
خطورة الهجوم على أصحاب المواقع
ما يجعل هذا الهجوم بالغ الخطورة هو أنه استهدف أصحاب تراخيص شرعية قاموا بتنزيل التحديثات مباشرة من النظام الرسمي للشركة، ما يعني أن الثقة في قنوات التوزيع الرسمية قد استُغلت لتسليم برمجيات خبيثة. بعد تفعيل الحمولة، يقوم البرنامج الخبيث بإرسال بيانات النطاق المستهدف إلى الخادم ثم يحذف نفسه لإخفاء الأثر، مما يعقد عملية الاستجابة للحوادث ويؤخر اكتشاف الاختراق.
رد الشركة وتوصيات الحماية
أكدت شركة ShapedPlugin وقوع الحادثة، وأعلنت أنها بصدد مراجعة عمليات التوزيع والإصدار لضمان سلامة منتجاتها مستقبلًا، مع وعد بإطلاق نسخ جديدة بعد مراجعات أمنية شاملة. أما بالنسبة لأصحاب المواقع الذين قاموا بتثبيت الإصدارات المصابة، فقد أوصت شركات الأمن السيبراني باتباع الإجراءات التالية:
- إعادة تعيين جميع كلمات المرور.
- إلغاء وإعادة إنشاء أسرار المصادقة الثنائية لجميع المستخدمين.
- مراجعة حسابات المدراء للتأكد من عدم إضافة حسابات غير مصرح بها.
- فحص إعدادات إضافات البريد للتأكد من عدم تعديل بيانات SMTP.































