اختراق ShapedPlugin يصيب أكثر من 400 ألف موقع WordPress عبر التحديثات الرسمية
أبرز النقاط
- هجوم سلسلة توريد يستغل نظام التحديث الرسمي لتوزيع برمجيات خبيثة على عملاء ShapedPlugin
- البرمجية الخبيثة تسرق بيانات الاعتماد ومفاتيح 2FA وبيانات قاعدة البيانات وطلبات WooCommerce
- يجب على المتضررين تغيير جميع كلمات المرور وإعادة توليد مفاتيح المصادقة الثنائية فوراً
في واحدة من أخطر هجمات سلسلة التوريد التي تستهدف منظومة WordPress هذا العام، نجح مهاجمون في اختراق البنية التحتية لشركة ShapedPlugin وتوزيع إصدارات مصابة من إضافاتها المدفوعة عبر نظام التحديث الرسمي ذاته. الهجوم طال أكثر من 400 ألف موقع يستخدم منتجات الشركة، وأتاح للمهاجمين سرقة بيانات اعتماد المديرين ومفاتيح المصادقة الثنائية، مما يُبقي الباب مفتوحاً أمامهم حتى بعد تغيير كلمات المرور.
ما الذي حدث بالضبط في اختراق ShapedPlugin؟
ShapedPlugin شركة متخصصة في إضافات واجهة المستخدم وعرض المحتوى لـ WordPress، وتمتلك قاعدة تثبيت تتجاوز 400 ألف موقع لمنتجاتها المجانية. الحادثة أصابت ثلاث إضافات مدفوعة فقط: Product Slider Pro قبل الإصدار 3.5.4، وReal Testimonials Pro الإصدار 3.2.5، وSmart Post Show Pro قبل الإصدار 4.0.2.
وفقاً لتحليل شركة Defiant الأمنية عبر جدار حماية WordFence، حُقن الباب الخلفي في إصدارات Pro يوم 21 مايو 2026، فيما ظهرت أولى بلاغات العملاء حول تحديثات مشبوهة في 10 يونيو. أكد الباحثون الاختراق بعد تحميل الإضافات المصابة من موقع ShapedPlugin في 12 يونيو، واعترفت الشركة بالحادثة في 16 يونيو.
كيف تعمل البرمجية الخبيثة؟
تحتوي الإضافات المصابة على ملف تحميل خبيث باسم LicenseLoader.php ينشط فور دخول مدير الموقع إلى لوحة التحكم. يتصل هذا الملف بخادم القيادة والتحكم C2، ثم يُنزّل المرحلة الثانية من الباب الخلفي ويُثبّتها كإضافة مزيفة تنتحل هوية مكونات WooCommerce — إما تحت اسم woocommerce-subscription أو woocommerce-notification — قبل أن يحذف نفسه لمحو الأدلة.
الإضافة المزيفة، المخفية تماماً عن قائمة إضافات WordPress، تسرق طيفاً واسعاً من البيانات الحساسة:
- بيانات تسجيل الدخول: أسماء المستخدمين، كلمات المرور، ملفات الجلسة، الأدوار، عناوين IP، وتفاصيل المتصفح
- مفاتيح المصادقة الثنائية 2FA من إضافات الأمان الشائعة
- بيانات اعتماد قاعدة البيانات ومفاتيح المصادقة من ملف wp-config.php
- تفاصيل حسابات المديرين وبيانات SMTP/البريد الإلكتروني
- بيانات طلبات WooCommerce للأشهر الثلاثة الماضية، بما فيها معلومات طرق الدفع
لماذا يُعدّ هذا الهجوم خطيراً بشكل استثنائي؟
الخطورة الحقيقية تكمن في أن المهاجمين استغلوا قناة موثوقة — نظام التحديث الرسمي للمطوّر — لتوزيع البرمجية الخبيثة. هذا الأسلوب يتجاوز معظم الإجراءات الأمنية التقليدية التي تفترض أن التحديثات القادمة من المصدر الأصلي آمنة بطبيعتها.
يرى باحثون أمنيون مستقلون أن هذا النوع من الهجمات يحوّل آليات الثقة نفسها إلى نواقل لتوزيع البرمجيات الخبيثة، مما يستدعي إعادة التفكير في نموذج الثقة المطلقة بتحديثات المطورين.
يرجّح باحثو WordFence أن الاختراق استهدف خط بناء البرمجيات Build Pipeline استناداً إلى أنماط التعديلات والطوابع الزمنية التي تشير إلى حقن آلي، إضافةً إلى مراجع Git المضمّنة في الحزم. الإصدارات المستضافة على WordPress.org جاءت نظيفة، ما يؤكد أن المهاجمين اخترقوا البنية التحتية لإصدارات ShapedPlugin تحديداً.
ما الإجراءات المطلوبة من مديري المواقع؟
إذا كنت تستخدم أياً من الإضافات المتأثرة، فالتحديث الفوري ضروري لكنه ليس كافياً. الإجراءات الموصى بها تشمل:
- التحديث إلى Product Slider Pro 3.5.4 أو أحدث، وSmart Post Show Pro 4.0.2 أو أحدث، وReal Testimonials Pro 3.2.6 أو أحدث
- البحث عن إضافات مزيفة باسم woocommerce-subscription أو woocommerce-notification وحذفها فوراً
- تغيير جميع كلمات المرور لكل المستخدمين على الموقع
- إعادة توليد مفاتيح المصادقة الثنائية 2FA من الصفر — تغيير كلمة المرور وحده لا يكفي لأن المهاجمين سرقوا هذه المفاتيح
- مراجعة قائمة المستخدمين للتأكد من عدم وجود حسابات مشبوهة
- تجديد مفاتيح المصادقة في ملف wp-config.php
السياق الأوسع: موجة هجمات سلسلة التوريد
يأتي اختراق ShapedPlugin في أعقاب هجوم مماثل استهدف OptinMonster عبر اختراق CDN نتيجة ثغرة في خادم تسويقي أتاحت للمهاجم سرقة بيانات اعتماد حساب CDN. كما شهد يونيو 2026 هجوم سلسلة توريد Awesome Motive الذي أثر على أكثر من 1.2 مليون موقع.
تتبع WordPress الحادثة تحت المعرّف CVE-2026-10735، فيما قُدّم CVE-2026-49777 كتكرار. درجة الخطورة CVSS بلغت 9.8 من 10، ما يضعها في فئة الثغرات الحرجة.
رأي Logicity
هذه الحادثة تكشف هشاشة نموذج الثقة المطلقة في تحديثات المطورين. السوق الخليجي، الذي يشهد توسعاً متسارعاً في التجارة الإلكترونية عبر WooCommerce، يحتاج إلى تبني مقاربات 'انعدام الثقة' Zero Trust حتى مع التحديثات الرسمية. الحل الأمثل يجمع بين مراقبة سلامة الملفات على مستوى الخادم، ومراجعة التغييرات البرمجية يدوياً قبل تطبيق التحديثات الحساسة، خاصةً للمواقع التي تعالج بيانات دفع.
الأسئلة الشائعة
هل تأثرت الإصدارات المجانية من إضافات ShapedPlugin؟
لا، الهجوم استهدف فقط ثلاث إضافات مدفوعة Pro. الإصدارات المستضافة على WordPress.org جاءت نظيفة.
لماذا لا يكفي تغيير كلمة المرور لتأمين الموقع؟
لأن البرمجية الخبيثة سرقت مفاتيح المصادقة الثنائية 2FA. المهاجمون يمكنهم تجاوز كلمة المرور الجديدة باستخدام هذه المفاتيح ما لم تُعاد توليدها من الصفر.
كيف أعرف إذا كان موقعي مصاباً؟
ابحث في قاعدة بيانات الإضافات عن woocommerce-subscription أو woocommerce-notification — هذه إضافات مزيفة لا تظهر في القائمة المعتادة. استخدم أداة فحص أمني مثل WordFence للكشف عن الملفات الخبيثة.
متى بدأ توزيع الإصدارات المصابة؟
حُقن الباب الخلفي في إصدارات Pro يوم 21 مايو 2026، وظهرت أولى البلاغات في 10 يونيو.
هل تحتاج مساعدة في التطبيق؟
إذا كنت تدير موقعاً تجارياً على WordPress وتحتاج مساعدة في تقييم مدى التأثر أو تطبيق إجراءات المعالجة، تواصل مع فريق Logicity للحصول على استشارة أمنية متخصصة.
فاطمة الزهراء
كاتبة تقنية متخصصة في الذكاء الاصطناعي
مقالات ذات صلة
تصفح الكل
OpenAI تختبر اشتراك ChatGPT للعلوم: هل يُغيّر قواعد البحث الأكاديمي؟
رصد مطوّرون سلاسل برمجية داخلية على واجهة الويب الخاصة بـ ChatGPT تُشير إلى فئة اشتراك جديدة تحمل اسم ChatGPT for Science، ما يؤكد أن OpenAI تتجه نحو تقسيم قاعدة مستخدميها إلى شرائح عمودية متخصصة بدلا
تسريب FortiBleed يكشف بيانات اعتماد 73 ألف جهاز Fortinet VPN حول العالم
كشف باحثون في الأمن السيبراني عن تسريب ضخم يحمل اسم FortiBleed، يتضمن بيانات اعتماد صالحة لأكثر من 73 ألف جهاز Fortinet VPN وجدران حماية FortiGate منتشرة في مؤسسات حول العالم. التسريب يُعدّ من أكبر عم
إضافات خبيثة على سوق JetBrains تسرق مفاتيح API الخاصة بالذكاء الاصطناعي من 70 ألف مطوّر
كشف باحثون أمنيون في شركة Aikido Security عن حملة منسّقة استهدفت مطوّري البرمجيات عبر 15 إضافة خبيثة على سوق JetBrains Marketplace، صُمِّمت خصيصاً لسرقة مفاتيح API الخاصة بخدمات الذكاء الاصطناعي مثل O
برمجية Rokarolla الخبيثة تستهدف 217 تطبيقاً مصرفياً ومحفظة عملات رقمية على أندرويد
كشف باحثون في شركة Zimperium للأمن السيبراني عن برمجية خبيثة جديدة تُدعى Rokarolla تستهدف مستخدمي أندرويد عبر 217 تطبيقاً مصرفياً ومحفظة عملات رقمية، مستخدمةً ترسانة ضخمة من 137 أمراً للتحكم الكامل با
اقرأ أيضاً
لقاء مودي مع الرئيس التنفيذي لـ Mistral AI: هل تتحول الهند إلى مركز للذكاء الاصطناعي السيادي؟
في خطوة تعكس التنافس المتصاعد على ريادة الذكاء الاصطناعي عالمياً، التقى رئيس الوزراء الهندي ناريندرا مودي بالرئيس التنفيذي لشركة Mistral AI الفرنسية آرثر مينش، على هامش قمة VivaTech 2026 في باريس، حيث
Tringbox تجمع 5 كرور روبية لتطوير تقنية الموسيقى الذكية في المساحات التجارية
أعلنت شركة Tringbox، الناشئة في مومباي والمتخصصة في تقنية الموسيقى الذكية، عن إتمام جولة تمويل أولية بقيمة 5 كرور روبية هندية (نحو 600 ألف دولار أمريكي). تقود الجولة Nikhil Gandhi عبر شركته GIPL، بمشا
وضع سطح المكتب في Android 16 يعمل أخيراً على جميع هواتف Pixel
حملتَ نظام تشغيل مكتبي مجاني في جيبك طوال الوقت دون أن تدري. مع تحديث Android 16 QPR3 الذي أطلقته Google ضمن إسقاط Pixel لشهر مارس 2026، بات بإمكان كل مالك لهاتف Pixel 8 أو أحدث توصيل جهازه بشاشة خارج