آسیبپذیری WP2Shell در وردپرس چیست و چگونه از آن پیشگیری کنیم؟
در این مقاله میخوانید
تصور کنید یک هکر بدون داشتن نام کاربری، بدون نصب هیچ افزونهای و بدون اینکه شما حتی متوجه شوید، کنترل کامل سرور سایت وردپرسی شما را در دست بگیرد. این دقیقا سناریوی وحشتناکی است که آسیبپذیری بحرانی wp2shell (با شناسه CVE-2026-63030) رقم زده است. اگر از نسخههای ۶.۹.x یا ۷.۰.x وردپرس استفاده میکنید، سایت شما همین حالا در معرض خطر اجرای کد از راه دور (RCE) قرار دارد.
برای مقابله با این بحران امنیتی، نباید دست روی دست بگذارید. در این مقاله از بخش آموزش وردپرس بلاگ پارسپک، ابعاد این آسیبپذیری را زیر ذرهبین بردهایم تا با چند اقدام فوری و دقیق، امنیت کامل را به زیرساخت و سایت خود برگردانید.
کدام نسخهها آسیبپذیر هستند؟
این آسیبپذیری خطرناک از نسخه ۶.۹ وارد هسته وردپرس شده است. همچنین در بهروزرسانی امنیتی اخیر، یک باگ مجزای تزریق SQL (با شناسه CVE-2026-60137) نیز برطرف شده است که نسخههای ۶.۸ به بعد را تحت تاثیر قرار میدهد. در جدول زیر، وضعیت نسخههای مختلف و اقدام فوری موردنیاز را مشاهده میکنید:
| نسخه نصبشده روی سایت | وضعیت امنیت | اقدام لازم و فوری |
|---|---|---|
| ۶.۹.۰ تا ۶.۹.۴ | بهشدت آسیبپذیر | ارتقا فوری به نسخه ۶.۹.۵ یا جدیدتر |
| ۷.۰.۰ تا ۷.۰.۱ | بهشدت آسیبپذیر | ارتقا فوری به نسخه ۷.۰.۲ یا جدیدتر |
| ۶.۸.۵ و قدیمیتر | در برابر wp2shell ایمن است | ارتقا برای دریافت سایر وصلههای امنیتی |
| نسخه آزمایشی ۷.۱ | آسیبپذیر | ارتقا فوری به نسخه Beta 2 یا جدیدتر |
با سیستم مدیریت محتوا قدرتمند وردپرس آشنا شوید:
علت ایجاد آسیبپذیری
نقص امنیتی wp2shell نتیجه ترکیب دو خطای مهلک در هسته وردپرس است: «سردرگمی در مسیریابی درخواستهای گروهی REST API» و «تزریق کدهای SQL». زمانی که این دو اختلال در کنار هم قرار میگیرند، مسیرهای امنیتی سرور دور زده شده و مهاجم میتواند کدهای دلخواه خود را مستقیما به خورد وبسرور بدهد.
wp2shell چه خطری دارد؟
خطر اصلی wp2shell در «بینیاز بودن به تعامل» است. یعنی هکر برای نفوذ، نه نیازی به حساب کاربری دارد، نه نیازی به کلیک کردن شما روی یک لینک مخرب و نه حتی نیازی به وجود یک افزونه آسیبپذیر. او از بیرون مستقیما کدهای خود را روی سرور اجرا میکند.
اگرچه در زمان انتشار گزارشهای اولیه، حملات گستردهای بر پایه این باگ ثبت نشده بود، اما نبودِ گزارش عمومی به معنای امنیت نیست. هکرها معمولاً منتظر میمانند تا جزئیات فنی آسیبپذیری (PoC) منتشر شود و سپس حملات کور و رباتیک خود را به میلیونها سایت وردپرسی آغاز میکنند.
با هاست وردپرس پارسپک، ترافیک بالا برای سایت شما یک چالش نیست!
با خرید هاست وردپرس پارسپک، روی فروش و توسعه کسبوکارتان تمرکز کنید و میزبانی پرسرعت سایت وردپرسی خود را به زیرساخت قدرتمند پارسپک بسپارید. برای خرید روی لینک زیر کلیک نمایید:
اگر سایت شما آسیبپذیر باشد چه اتفاقی میافتد؟
نفوذ موفقیتآمیز از طریق wp2shell به معنای از دست رفتن کامل کنترل سایت است. مهاجمی که از این طریق وارد شود، میتواند اقدامات مخرب زیر را انجام دهد:
- اجرای کد از راه دور (RCE) و در دست گرفتن کنترل کامل سرور یا هاست.
- تغییر ظاهر و محتوای صفحات سایت (Defacement).
- ریدایرکت کردن کاربران سایت به صفحات فیشینگ یا مخرب.
- سرقت اطلاعات حساس پایگاه داده و فایلهای پیکربندی (مانند wp-config.php).
- ایجاد حسابهای کاربری جدید با دسترسی مدیر کل (Administrator).
- کاشت درهای پشتی (Backdoors) پنهان برای نفوذهای بعدی، حتی پس از آپدیت وردپرس!
چگونه نسخه وردپرس را بررسی کنیم؟
برای اینکه مطمئن شوید سایت شما در لیست قربانیان قرار ندارد، باید نسخه وردپرس تمام سایتهای اصلی، محیطهای تستی (Staging)، سابدامینهای فراموششده و سایتهای مشتریانتان را بررسی کنید:
۱. از طریق پیشخوان وردپرس: وارد مسیر پیشخوان > بهروزرسانیها شوید و شماره نسخه فعلی را بررسی کنید.
۲. از طریق خط فرمان (تخصصی): اگر در سرور خود به WP-CLI دسترسی دارید، وارد پوشه اصلی سایت شده و این فرمان را اجرا کنید:
wp core version
نکته:
پس از انجام بهروزرسانی، حتما عملکرد سایت، فرمهای تماس، فرایند سبد خرید و پنل مدیریت را شخصا تست کنید تا مطمئن شوید خطای PHP یا حالت «در دست تعمیر» روی سایت باقی نمانده باشد.
چگونه از سایت خود در برابر آسیبپذیری بحرانی wp2shell محافظت کنیم؟
بهترین و تنهاترین راهکار قطعی، بهروزرسانی هسته وردپرس به نسخههای اصلاحشده (۶.۹.۵ یا ۷.۰.۲) است. با این حال، اگر امکان آپدیت فوری برایتان مقدور نیست، میتوانید دسترسی ناشناس به مسیرهای زیر را بهصورت موقت در فایروال برنامههای وب (WAF) مسدود کنید:
/wp-json/batch/v1 ?rest_route=/batch/v1
نکته:
دقت کنید که این راهکار موقتی است و ممکن است عملکرد برخی افزونههای مجاز را مختل کند.
اقدامات پاکسازی در صورت وجود احتمال نفوذ
بهخاطر داشته باشید که آپدیت کردن وردپرس، فقط «راه نفوذ» را میبندد؛ اما اگر هکر قبلا وارد شده و درِ پشتی (Backdoor) ساخته باشد، آپدیت کردن، آن را پاک نمیکند. اگر به نفوذ مشکوک هستید، این اقدامات را انجام دهید:
۱. حفظ لاگها: پیش از هر تغییری، لاگهای وبسرور، WAF، هاست و تاریخچه ورود کاربران را برای بررسیهای امنیتی ذخیره کنید.
۲. بررسی تغییرات: فایلهای تازهویرایششده در هسته، قالبها، افزونهها و بهویژه پوشه mu-plugins را بررسی کنید.
۳. اسکن موارد مشکوک: به دنبال وظایف زمانبندیشده (Cron Jobs) غیرعادی، فایلهای PHP رهاشده، ریدایرکتهای مشکوک یا جاوااسکریپتهای تزریقشده بگردید. حسابهای مدیر ناشناس و Application Passwordهای جدید را فوراً پاک کنید.
۴. تغییر اطلاعات حیاتی: اگر احتمال میدهید سایت هک شده، آن را از یک بکاپ سالم (مربوط به قبل از تاریخ کشف آسیبپذیری) بازیابی کنید. رمز عبور دیتابیس، هاست و تمام مدیران را تغییر دهید.
۵. قطع نشستها: کلیدهای امنیتی (Salts) وردپرس را در فایل wp-config.php تغییر دهید تا تمام نشستهای فعالِ فعلی (حتی نشست هکرها) باطل شود.
جمعبندی
آسیبپذیری wp2shell با سطح خطر بحرانی، بار دیگر ثابت کرد که امنیت در وردپرس یک فرایند ادامهدار است، نه یک اقدام مقطعی. بهترین سپر دفاعی شما در برابر چنین حملات پیشبینینشدهای، استفاده از یک زیرساخت میزبانی ایزوله و ایمن است.
با انتقال سایت خود به هاست اختصاصی وردپرس پارسپک، علاوه بر بهرهمندی از سرعت بینظیر، فایروالهای سختگیرانه (WAF) و سیستم بکاپگیری منظم خودکار، خیالتان از بابت نفوذهای سطح سرور و پایداری کسبوکارتان در برابر تهدیدات روزافزون کاملاً راحت خواهد بود.
سوالات متداول
WP2Shell چیست؟
یک آسیبپذیری امنیتی بحرانی با شناسه CVE-2026-63030 در هسته وردپرس است که به هکرها اجازه میدهد بدون نیاز به نام کاربری یا نصب افزونه خاصی، کدهای مخرب خود را از راه دور روی سرور اجرا کنند.
کدام نسخههای وردپرس در برابر WP2Shell آسیبپذیر هستند؟
سایتهایی که از وردپرس نسخههای ۶.۹.۰ تا ۶.۹.۴، نسخههای ۷.۰.۰ تا ۷.۰.۱ و همچنین نسخه آزمایشی ۷.۱ استفاده میکنند، مستقیما در معرض این خطر قرار دارند.
چگونه میتوان از آسیب پذیری WP2Shell جلوگیری کرد؟
تنها راهکار قطعی، بهروزرسانی فوری هسته وردپرس به نسخههای اصلاحشده (۶.۹.۵ یا ۷.۰.۲) است. در صورتی که امکان آپدیت فوری ندارید، باید دسترسی ناشناس به مسیرهای batch/v1 در REST API را موقتاً از طریق فایروال (WAF) مسدود کنید.
منابع:
https://blog.gridinsoft.com/wordpress-wp2shell-cve-2026-63030-update/

