اختراق في إضافة WordPress الشهيرة يفتح الباب على مصراعيه للهاكرز

يقومون هاكرز الآن بشكل فعلي واستباقي باستغلال ثغرة حرجة جداً في إضافة Breeze Cache المشهورة لـ WordPress، وهذه الثغرة تسمح بتحميل ملفات عشوائية على خوادم المواقع دون الحاجة لأي كلمة مرور أو تحقق من الهوية.

هذا ليس مجرد خلل تقني صغير يمكن تجاهله، بل مشكلة أمنية كبيرة جداً تشكل تهديداً مباشراً لملايين المواقع حول العالم التي تستخدم هذه الإضافة.

الثغرة الأمنية تحمل رقماً تعريفياً CVE-2026-3844 وقد تم استغلالها بالفعل في أكثر من 170 محاولة اختراق تم تسجيلها بواسطة شركة Wordfence المتخصصة في حماية مواقع WordPress.

والأسوأ من ذلك أن إضافة Breeze Cache لوحدها مثبتة على أكثر من 400 ألف موقع نشط حول العالم. تخيل هذا الرقم الضخم وتصور عدد الأشخاص الذين قد يتأثرون بهذا الخلل.

إضافة Breeze Cache من شركة Cloudways موجودة على الويب لتحسين سرعة المواقع وتقليل وقت التحميل عن طريق تخزين نسخ من محتوى الصفحات، وتحسين الملفات، وتنظيف قاعدة البيانات.

بكلمات بسيطة جداً، هذه الإضافة مثل نادل ذكي في متجر يتذكر ما طلبه الزبائن سابقاً ليحضره لهم بسرعة دون انتظار. فكرة رائعة لكن بدون الحماية الكافية، تصبح بابا مفتوحاً للخطر.

الثغرة اكتشفت من قبل باحث أمن متخصص اسمه Hung Nguyen أو bashu كما يعرّف نفسه، وأطلقت عليها فرق الأمن درجة خطورة حرجة جداً بقيمة 9.8 من 10.

هذا يعني أن الخطورة قريبة جداً من الدرجة القصوى، وكل عاشر من الخطورة يمثل فرقاً كبيراً جداً في أمن المواقع.

الباحثون في شركة Defiant التي طورت برنامج Wordfence أوضحوا أن السبب الجذري للمشكلة هو غياب التحقق من نوع الملفات في دالة باسم 'fetch_gravatar_from_remote'. هذا يعني أن الإضافة تحمل الصور من مصادر خارجية دون أن تتحقق بشكل صحيح من أنها صور فعلية.

فبدلاً من أن تقول "هذا ملف صورة"، الإضافة تقول "حسناً، سأقبل أي ملف تعطيني إياه". هذا خطر جداً.

الثغرة تؤثر على جميع إصدارات Breeze Cache حتى الإصدار 2.4.4 شاملاً، بينما شركة Cloudways أصلحت الخلل في الإصدار الجديد 2.4.5 الذي تم إطلاقه في وقت قريب جداً من اكتشاف المشكلة.

والمهم هنا أن معهد البرامج الحرة WordPress أشار إلى أن الإصدار الجديد حصل على حوالي 138 ألف تحميل منذ إطلاقه، لكن هذا ليس كافياً بعد.

الطريقة بسيطة لكنها مرعبة. الهاكرز يستطيعون تحديد موقع WordPress يستخدم نسخة قديمة من Breeze Cache مع تفعيل خاصية "استضافة الصور محلياً"، ثم ينشئون ملف خبيث مكتوب بلغة PHP (لغة البرمجة التي تدير معظم مواقع الويب) ويجعلونه يبدو وكأنه صورة تعريف شخصي عادي.

الإضافة الغبية تحمل هذا الملف الخبيث وتضعه على الخادم، والآن الهاكر يستطيع الوصول إليه بسهولة وتشغيله وتنفيذ أي أوامر يريدها.

الاستغلال الكامل يحتاج إلى تفعيل ميزة اختيارية اسمها "Host Files Locally - Gravatars"، وهذه الميزة معطلة بشكل افتراضي. لكن كم موقع فعّل هذه الميزة فعلاً؟ لا أحد يعرف بالضبط! هذا جزء من الخطورة.

بعض أصحاب المواقع قد يكونوا فعّلوها دون أن يدركوا الخطر، أو قد يكون مسؤول الموقع السابق فعّلها ولم يخبر الحالي بذلك.

عندما يتمكن الهاكر من تحميل ملف خبيث على الخادم، يصبح لديه القدرة على تنفيذ أي كود يريده على الموقع.

هذا يعني أنه يمكن للهاكر التحكم الكامل بالموقع، سرقة البيانات، إضافة باكدور للعودة لاحقاً، أو حتى تحويل الموقع لنقطة انطلاق للهجمات على مواقع أخرى. الموقع ليس مجرد موقع مختوم، بل أصبح آلة في يد الهاكر يفعل بها ما يشاء.

المسؤولون عن المواقع الذين يستخدمون Breeze Cache يُنصحون بشدة بتحديث الإضافة إلى الإصدار الجديد 2.4.5 في أسرع وقت ممكن، أو في الحد الأدنى تعطيل الإضافة بشكل مؤقت.

لا يوجد وقت للتأخير هنا لأن الهاكرز بدأوا بالفعل يهاجمون. إذا كان من المستحيل التحديث الآن للأسباب تقنية ما، يجب على الأقل تعطيل ميزة "Host Files Locally - Gravatars" فوراً.

إذا كنت تشك أن موقعك قد يكون تم اختراقه بالفعل، هناك علامات تحذيرية يمكنك البحث عنها.

يجب البحث في سجلات الخادم عن طلبات غريبة لملفات في مجلدات الإضافات، والبحث عن ملفات جديدة بامتدادات خطيرة مثل .php أو .phtml، والتحقق من قاعدة البيانات عن حسابات مسؤول غريبة أو مهام مجدولة غريبة. إذا وجدت أي من هذه العلامات، يجب التحرك فوراً.

الإجابة المختصرة: نعم، لكن يحتاج إلى خبرة. إذا اكتشفت أن موقعك تعرض للاختراق، يجب تدوير جميع كلمات المرور، مسح جميع الملفات الخبيثة، تحديث Breeze إلى النسخة الآمنة، ومراقبة سجلات الموقع بحذر لمدة لا تقل عن 30 يوماً، العملية ليست مستحيلة لكنها متعبة وقد تحتاج إلى استدعاء متخصصين.