كثرة الثغرات لا تعني تحديث كل شيء فورًا؛ تعني أنك تحتاج ترتيبًا أسبوعيًا واضحًا.
أظهر تقرير Wordfence الأسبوعي الأخير 199 ثغرة مضافة في إضافات وقوالب WordPress خلال أسبوع واحد، كما تعرض قاعدة الثغرات إضافات كثيرة بها عدة مشاكل محدثة في يوليو. هذا الحجم يجعل السؤال العملي ليس: هل نحدث؟ بل: ماذا نحدث أولًا، وماذا نفحص بعد التحديث؟
كيف تبدأ triage؟
صدّر قائمة الإضافات والقوالب المثبتة مع الإصدارات، ثم طابقها مع قاعدة ثغرات موثوقة. أعط أولوية للإضافات التي تمس النماذج، المستخدمين، الملفات، الدفع، النسخ الاحتياطي، أو محررات الصفحات.
بعد ذلك راجع قابلية الاستغلال: هل الثغرة بدون تسجيل دخول؟ هل تكفي صلاحية مشترك أو كاتب؟ هل تسمح برفع ملف، قراءة ملف، SQL injection، أو إنشاء مستخدم إداري؟
التحديث ليس نهاية الفحص
إذا كانت الثغرة تؤثر على الملفات أو المستخدمين أو قاعدة البيانات، فالتحديث يغلق الباب لكنه لا يثبت أن الموقع نظيف. افحص المستخدمين الإداريين، الملفات المعدلة حديثًا، وسجلات الوصول عند الثغرات عالية الأثر.
أما الثغرات الأقل خطورة في إضافات غير حساسة، فيمكن وضعها في نافذة تحديث منظمة مع اختبار سريع للصفحات المهمة.
Checklist أسبوعي
- طابق قائمة الإضافات مع قاعدة الثغرات.
- رتب الأولوية حسب نوع الأثر والصلاحية المطلوبة.
- خذ نسخة قبل تحديث الإضافات الحساسة.
- اختبر النماذج، البحث، تسجيل الدخول، والصفحات التجارية بعد التحديث.
- اكتب سبب تأجيل أي تحديث مهم.
- راجع الإضافات المهجورة أو غير المستخدمة واحذفها من بيئة اختبار أولًا.
متى تصعد الحالة؟
صعّد أي ثغرة تسمح بالوصول غير المصرح للملفات أو قاعدة البيانات، أو أي ثغرة في إضافة نشطة على أكثر من موقع مهم. هنا يجب أن يتحول التحديث إلى فحص أثر قصير.
وجود firewall أو إضافة حماية لا يلغي مسؤولية التحديث. الحماية تقلل الخطر، لكنها لا تعوض إدارة الإصدارات والنسخ والفحص.
المصادر
- Wordfence weekly vulnerability report: June 22 to June 28, 2026.
- Wordfence WordPress plugin vulnerability database.
- WordPress.org: Hardening WordPress.
هل تحديثات WordPress عندك مرتبة حسب الخطر؟
نراجع الإضافات، الثغرات، النسخ، وسجلات الأثر حتى تصبح التحديثات قرارًا مدروسًا لا تجربة عشوائية.
اطلب مراجعة الموقع