كشف تقرير أمني حديث عن طريقة هجوم سيبراني متطور استغل فيها قراصنة برمجيات ووردبريس الموثوقة، حيث قاموا بإخفاء باب خلفي لمدة ثمانية أشهر قبل تفعيل برمجيات خبيثة. يسلّط هذا الهجوم الضوء على مخاطر سلاسل التوريد الرقمية.
بدأت القصة بشراء معلن لمجموعة برمجيات ووردبريس شهيرة، دون أن يلحظ أحد التغيير الحقيقي حتى فوات الأوان. تم اكتشاف الهجوم في أبريل 2026، بعد فترة طويلة من زرع الأدوات اللازمة لشن الهجوم.
البرمجيات المعنية كانت مملوكة لشركة “Essential Plugin”، التي أسسها فريق هندي حول عام 2015. قدمت الشركة أكثر من 30 إضافة مجانية لووردبريس، تغطي وظائف متنوعة مثل عدادات تنازلية، ومنزلقات صور، وخطوط رئيسية.
بعد انخفاض الإيرادات، قام مؤسس الشركة بعرض الأعمال للبيع على منصة “Flippa”. تم الاستحواذ على المجموعة من قبل مشترٍ يُعرف بـ “Kris”، لديه خبرة في التسويق الرقمي والعملات المشفرة، وذلك بمبلغ مالي كبير. وقد نشرت Flippa دراسة حالة عن الصفقة في يوليو 2025.
تمكن محللو الأمن من اكتشاف الخلل بعد بلاغ من أحد العملاء بوجود تنبيه أمني داخل لوحة تحكم ووردبريس الخاصة به. أشار التنبيه، الصادر من فريق ووردبريس.org، إلى وجود شيفرة في إضافة “Countdown Timer Ultimate” تسمح بالوصول غير المصرح به.
هجوم برمجيات ووردبريس الموثوقة: التفاصيل والآثار
أظهر التدقيق الأمني الكامل أن البرمجية الخبيثة لم تكن داخل الإضافة نفسها، بل كانت مدفونة بعمق في ملف wp-config.php الخاص بالموقع. كانت هذه الشيفرة تقوم سراً بحقن روابط سبام مخفية، وصفحات وهمية، وعمليات إعادة توجيه، وذلك حصرياً لمحركات البحث مثل جوجل، مما يجعلها غير مرئية لأصحاب المواقع.
وكان التأثير واسع النطاق؛ فقد قام موقع WordPress.org بإغلاق جميع إضافات “Essential Plugin” البالغ عددها 31 إضافة في يوم واحد، مما أثر على مئات الآلاف من التثبيتات النشطة. ورغم أن التحديث الإجباري إلى الإصدار 2.6.9.1 أزال آلية “الاتصال بالمنزل” من ملفات الإضافات، إلا أنه لم يعالج ملف wp-config.php، مما أبقى المواقع المخترقة تقدم محتوى سبام سرياً لمحركات البحث.
يذكّر هذا الهجوم بحادثة سابقة في عام 2017، حيث قام مشترٍ بإضافة سبام القروض السريعة إلى 200 ألف موقع عبر إضافة “Display Widgets”. في كلا الحالتين، تم اتباع نفس النهج: شراء إضافة موثوقة، واكتساب صلاحيات التعديل، ثم نشر شيفرة خبيثة. ويفتقر WordPress.org حالياً لآلية للإبلاغ عن تغييرات الملكية أو مراجعتها.
آلية الإصابة: ثمانية أشهر من الصمت
كان أول تعديل قام به المشتري بعد الاستحواذ على الأعمال هو زرع الباب الخلفي. في 8 أغسطس 2025، تم إصدار الإصدار 2.6.7 من إضافة Countdown Timer Ultimate، والذي أضاف 191 سطراً من الشيفرة تحت ملاحظة تغيير مضللة. كانت الشيفرة المخفية عبارة عن باب خلفي لتسلسل PHP، مما منح خادم المهاجم التحكم في وظائف وأوامر التنفيذ.
ظلت هذه الشيفرة كامنة حتى 5-6 أبريل 2026، عندما تم تفعيلها وبدأ موقع analytics.essentialplugin.com في إرسال حمولات خبيثة إلى جميع المواقع المتأثرة. ولجعل عملية التتبع صعبة، كان البرمجية الخبيثة تحل عنوان النطاق القيادي والتحكم الخاص بها عبر عقد ذكي على شبكة الإيثيريوم.
ينصح مسؤولو مواقع ووردبريس بالبحث الفوري عن أي من إضافات Essential Plugin الـ 31 المغلقة وإزالتها أو استبدالها. كما يجب فحص ملف wp-config.php يدوياً بحثاً عن أي شيفرة مدسوسة.
في حال كان حجم الملف أكبر من المتوقع، فإن الموقع يحتاج إلى تنظيف شامل وليس مجرد تحديث للإضافات. ويقترح المطورون على WordPress.org ضرورة وضع عملية مراجعة رسمية لتغييرات ملكية الإضافات لمنع تكرار أنماط الهجوم هذه.