---
title: "همین الان وردپرس را آپدیت کنید: نقص بحرانی وردپرس راه اجرای کد را باز می‌کند"
date: 2026-07-18T07:25:00Z
modified: 2026-07-18T08:26:18Z
permalink: "https://nooshdaroo.ir/news-opinion/update-wordpress-critical-rce-flaw/"
type: post
status: publish
excerpt: ""
wpid: 15507
categories:
  - خبر و تحلیل
  - کسب‌وکار آنلاین
tags:
  - برنامه نویسی
author:
  - team
  - daniyal
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/ChatGPT-Image-Jul-18-2026-10_51_10-AM.webp"
---

برای هک شدن یک سایت وردپرسی همیشه به افزونه آلوده، رمز عبور سرقت‌شده یا دسترسی مدیریتی نیاز نیست. دو آسیب‌پذیری تازه در هسته وردپرس می‌توانند به مهاجم ناشناس اجازه دهند تنها با ارسال یک درخواست اینترنتی، روی بعضی سایت‌ها کد اجرا کند؛ حتی اگر سایت هیچ افزونه‌ای نداشته باشد و با تنظیمات پیش‌فرض راه‌اندازی شده باشد.

## زنجیره حمله چگونه کار می‌کند؟

این زنجیره حمله که wp2shell نام گرفته، در واقع از دو نقص مستقل تشکیل شده:

- آسیب‌پذیری CVE-2026-60137 نوعی تزریق SQL در بخش WP\_Query وردپرس است و می‌تواند ورودی کنترل‌نشده مهاجم را وارد پرس‌وجوی پایگاه داده کند.
- نقص دوم با شناسه CVE-2026-63030 به مسیر درخواست‌های گروهی REST API مربوط می‌شود.

 ترکیب این دو ایراد، دسترسی ناشناس به آسیب‌پذیری پایگاه داده را ممکن می‌کند و در نهایت می‌تواند به اجرای کد از راه دور یا RCE برسد.

## کدام نسخه‌های وردپرس آسیب‌پذیرند؟

دامنه خطر در همه نسخه‌ها یکسان نیست:

- **وردپرس ۶.۸ تا ۶.۸.۵**: آسیب‌پذیر در برابر تزریق SQL؛ اصلاح‌شده در ۶.۸.۶
- **وردپرس ۶.۹ تا ۶.۹.۴**: آسیب‌پذیر در برابر زنجیره کامل اجرای کد؛ اصلاح‌شده در ۶.۹.۵
- **وردپرس ۷.۰ و ۷.۰.۱**: آسیب‌پذیر در برابر زنجیره کامل؛ اصلاح‌شده در ۷.۰.۲



بنابراین سایت‌های سری ۶.۸ از طریق همین زنجیره مشخص در معرض اجرای کد نیستند، اما همچنان باید برای برطرف شدن تزریق SQL به‌روزرسانی شوند.

## آیا وصله امنیتی به‌صورت خودکار نصب می‌شود؟

وردپرس توزیع اجباری وصله‌ها را از طریق سامانه به‌روزرسانی خودکار آغاز کرده است، اما مدیران سایت نباید فرض کنند که اصلاحیه حتماً نصب شده؛ به‌ویژه اگر به‌روزرسانی خودکار را غیرفعال کرده‌اند. انتشار عمومی کد اثبات مفهوم در گیت‌هاب نیز خطر اسکن گسترده سایت‌های آسیب‌پذیر را افزایش داده است.

طبق بررسی شرکت کلاودفلر (Cloudflare)، استفاده از Redis یا Memcached به‌عنوان کش پایدار ممکن است مسیر فعلی اجرای کد را مختل کند، اما این موضوع نه یک راهکار امنیتی است و نه آسیب‌پذیری تزریق SQL را برطرف می‌کند.

اقدام اصلی روشن است: ورژن وردپرس‌تان را همین حالا بررسی کنید و به نسخه امن ارتقا دهید.



## اگر به‌روزرسانی فوری ممکن نیست چه کنیم؟

اگر نصب نسخه امن فوراً ممکن نیست، می‌توان برای کاهش موقت خطر زنجیره RCE، دسترسی ناشناس به این دو مسیر را در فایروال یا WAF مسدود کرد:

`/wp-json/batch/v1`

`/?rest_route=/batch/v1`

این اقدام ممکن است بعضی اتصال‌ها و قابلیت‌های سایت را مختل کند. همچنین فقط مسیر شناخته‌شده زنجیره RCE را مسدود می‌کند و خود آسیب‌پذیری تزریق SQL را برطرف نمی‌کند؛ بنابراین صرفاً یک راهکار اضطراری تا زمان نصب وصله است.

## پس از به‌روزرسانی چه چیزهایی را بررسی کنیم؟

پس از به‌روزرسانی، گزارش‌های WAF و وب‌سرور را برای درخواست‌های مشکوک به مسیرهای batch API بررسی کنید. وجود نسخه آسیب‌پذیر به‌تنهایی به معنای هک‌شدن سایت نیست؛ اما اگر نشانه‌ای از بهره‌برداری، فایل ناشناس یا تغییر غیرمنتظره دیده شد، صرف به‌روزرسانی کافی نیست و باید بررسی امنیتی کامل انجام شود.

  [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/06/ChatGPT-Image-Jun-9-2026-01_43_00-PM.webp) ](https://nooshdaroo.ir/safe-ecommerce-selling/wordpress-to-secure-all-plugins-and-themes/) 

 

#####  [سپر جدید وردپرس برای افزونه‌ها و پوسته‌ها: تمام آپدیت‌ها پیش از انتشار بازبینی می‌شوند](https://nooshdaroo.ir/safe-ecommerce-selling/wordpress-to-secure-all-plugins-and-themes/)