تعرّضت إضافة WordPress الشهيرة “Smart Slider 3″، التي تُستخدم على أكثر من 800 ألف موقع إلكتروني، لثغرة أمنية خطيرة تسمح بالوصول غير المصرح به إلى ملفات حساسة على الخادم. هذه الثغرة، المعروفة باسم “قراءة الملفات التعسفية” (Arbitrary File Read)، كانت تتيح للمهاجمين استغلالها لسرقة بيانات حساسة مثل بيانات الاعتماد وإعدادات التكوين، حتى من حسابات ذات صلاحيات منخفضة.
### كيف كانت الثغرة تؤدي إلى الاختراق؟
تكمن المشكلة في نقص التحقق من الأذونات خلال وظائف التصدير عبر تقنية AJAX في الإضافة. رغم وجود رمز أمان (nonce)، إلا أن المهاجمين يمكنهم الحصول عليه، مما يسمح حتى للحسابات ذات الصلاحيات المحدودة، مثل المشتركين، بتنفيذ عمليات التصدير. عند تنفيذ وظيفة “actionExportAll()”، يتم تجميع الملفات في ملف ZIP قابل للتنزيل باستخدام دالة file_get_contents()، دون التحقق من نوع أو مصدر الملفات. هذا يتيح للمهاجمين تضمين ملفات سرية، مثل ملف إعدادات الموقع wp-config.php، وبالتالي الوصول إلى معلومات حساسة مخزنة على الخادم.
### مدى خطورة الثغرة وتأثيرها على المواقع
نظرًا لأن بعض الملفات تحتوي على معلومات حساسة، كالبيانات الاعتمادية والمفاتيح وملفات الملح، فإن استغلال الثغرة قد يسبب أضرارًا جسيمة. ومع ذلك، بما أن المهاجمين يتطلب منهم أن يكونوا مسجلين وموثقين على الموقع، فإن تقييم الخطورة كان متوسطًا. لكن، نظرًا لانتشار الاشتراكات والعضويات على الكثير من المنصات، يُعتقد أن الخطر أكبر مما تظهره درجة الخطورة الرسمية.
### الكشف عن الثغرة وتصحيحها
تم اكتشاف الثغرة من قبل الباحث الأمني ديمتري إغناتيف في فبراير 2026، وأبلغ عنها لفريق Wordfence في بداية مارس من نفس السنة، وحصل على مكافأة قدرها 2200 دولار مقابل اكتشافه. قامت شركة Nextendweb، المطوِّرة لإضافة Smart Slider 3، بإصدار تحديث أمان يحمل الرقم 3.5.1.34. حتى الآن، تم تنزيل هذا الإصدار أكثر من 308,575 مرة، مما يعني أن نحو 500 ألف موقع لا تزال عرضة للخطر.
### النصيحة للمستخدمين
حتى الآن، لم يتم تسجيل أي حالات استغلال فعلية للثغرة في الواقع، لكن الخبراء ينصحون بسرعة تحديث الإضافة إلى الإصدار الجديد لمنع أي محاولات استهداف. من المهم أن يحرص مستخدمو WordPress على تحديث منصاتهم، القوالب، والإضافات بشكل منتظم، وأن يختاروا فقط الإضافات والقوالب التي يستخدمونها بالفعل، مع تعديل الإعدادات الافتراضية للأمان والخصوصية للحماية من الثغرات الأمنية.
### ملاحظة عن أمان WordPress
على الرغم من أن منصة WordPress تُعتبر عادةً آمنة، إلا أن وجود مخزون ضخم من الإضافات والقوالب من تطوير جهات خارجية يعرّض المستخدمين لمخاطر أمنية، خاصة مع الإضافات المجانية التي غالبًا ما تكون غير محدثة أو غير مدارة بشكل جيد. لذلك، يُشدد خبراء الأمان على ضرورة الحفاظ على تحديث جميع مكونات الموقع باستمرار، واستخدام الإضافات والقوالب الموثوقة فقط.
### خلاصة
يُعد تحديث الإضافات إلى أحدث إصدار ضرورة قصوى لحماية المواقع المستضافة على WordPress، خاصة مع وجود ثغرات مثل تلك التي اكتُشفت في Smart Slider 3. الحفاظ على الأمان يتطلب وعيًا مستمرًا، وتحديثات دورية، واختيارات حكيمة للإضافات والقوالب، لضمان سلامة البيانات والموقع بشكل عام.