موقع WordPress الخاص بك تم اختراقه. أنا أعرف الذعر. لقد تعاملت مع مئات مواقع WordPress المخترقة على مدار أكثر من 12 سنة. إليك الحقيقة القاسية التي لا أحد في صناعة أمان WordPress يريد أن يخبرك بها: تنظيف موقع WordPress المخترق هو إصلاح مؤقت. 60% من المواقع المنظفة يتم اختراقها مجددًا في غضون 6 أشهر. السبب بسيط — متجه الهجوم (PHP + المكونات الإضافية) يبقى. أنت تصلح العرض، وليس المرض.

قبل أن نتعمق في السبب الأعمق، دعني أعطيك الخطوات الفورية. ثم سنتحدث عن سبب استمرار حدوث هذا وما الذي يصلحه فعليًا بشكل دائم.

جدول المحتويات

خطوات الطوارئ الفورية (افعل هذا الآن)

إذا تم اختراق موقعك بنشاط الآن، فقم بهذه الأشياء بالترتيب. لا تتخطى الخطوات.

1. أوقف الموقع عن الخدمة

ضع صفحة صيانة من خلال لوحة التحكم بالاستضافة الخاصة بك. لا تثبت فقط مكونًا إضافيًا للصيانة — قد تكون لوحة إدارة WordPress معرضة للخطر. استخدم مدير الملفات أو SSH الخاص بالمضيف:

# إنشاء صفحة صيانة في جذر المستند الخاص بك
echo '<html><body><h1>We will be back shortly</h1></body></html>' > /path/to/public_html/maintenance.html

# إضافة إلى .htaccess (فوق قواعد WordPress)
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^YOUR\.IP\.HERE$
RewriteRule !maintenance\.html$ /maintenance.html [R=302,L]

استبدل YOUR.IP.HERE بعنوان IP الخاص بك حتى تتمكن من العمل على الموقع.

2. قم بعمل نسخة احتياطية من كل شيء (نعم، حتى الملفات المصابة)

تحتاج إلى هذه للتحليل الجنائي. قم بتنزيل مجلد public_html بالكامل وقم بتصدير كامل قاعدة البيانات عبر phpMyAdmin أو سطر الأوامر:

mysqldump -u username -p database_name > backup_infected_$(date +%Y%m%d).sql
tar -czf backup_infected_$(date +%Y%m%d).tar.gz /path/to/public_html/

3. غيّر كل كلمة مرور

جميعها. الآن.

  • كلمات مرور إدارة WordPress (جميع المستخدمين)
  • كلمة مرور قاعدة البيانات (حدّث wp-config.php بعد ذلك)
  • بيانات اعتماد FTP/SFTP
  • كلمة مرور لوحة التحكم بالاستضافة
  • أي مفاتيح API مخزنة في wp-config.php

استخدم كلمات مرور بطول 20+ حرف. أنا جاد. تسبب بيانات الاعتماد المعاد استخدامها حوالي 30% من الإعادات.

4. أعد تثبيت نواة WordPress

احذف /wp-admin/ و /wp-includes/ بالكامل. قم بتنزيل نسخة جديدة من wordpress.org تطابق إصدارك (تحقق من wp-includes/version.php أولاً):

cd /path/to/public_html/
wp --version  # لاحظ إصدارك
rm -rf wp-admin wp-includes
wget https://wordpress.org/wordpress-6.7.1.tar.gz
tar -xzf wordpress-6.7.1.tar.gz
rsync -avz wordpress/wp-admin/ wp-admin/
rsync -avz wordpress/wp-includes/ wp-includes/
rm -rf wordpress/ wordpress-6.7.1.tar.gz

لا تستبدل wp-config.php أو wp-content/.

5. امسح وأزل البرامج الضارة

ثبت Wordfence (الإصدار المجاني) وقم بتشغيل مسح كامل. أيضًا ابحث يدويًا:

# ابحث عن ملفات PHP في التحميلات (يجب أن تكون صفرًا)
find wp-content/uploads -name '*.php' -type f

# ابحث عن الملفات المعدلة مؤخرًا
find . -name '*.php' -mtime -7 -type f

# ابحث عن بوابات مشفرة بـ base64
grep -rl 'eval(base64_decode' wp-content/
grep -rl 'gzinflate' wp-content/
grep -rl 'str_rot13' wp-content/

احذف كل ملف PHP لا ينبغي أن يكون هناك. احذف أي مكون إضافي أو مظهر لا تستخدمه بنشاط. أعد تثبيت تلك التي تحتفظ بها من نسخ جديدة على wordpress.org.

6. اطلب مراجعة من Google

إذا وضعت Google علامة على موقعك بـ "This site may be hacked"، فانتقل إلى Google Search Console → Security Issues → Request Review. يستغرق هذا 2-4 أسابيع. لا توجد طريقة لتسريعه.

حسنًا. لقد أوقفت النزيف. الآن دعنا نتحدث عن سبب احتمال حدوث هذا مرة أخرى.

لماذا يفشل تنظيف موقع WordPress المخترق على المدى الطويل

لقد رأيت أصحاب المواقع يمرون بعملية التنظيف ثلاث أو أربع أو خمس مرات قبل أن يقبلوا النمط أخيرًا. إليك سبب عدم استمرار التنظيف.

البوابات الخلفية تبقى بعد التنظيف

المهاجمون المتطورون لا يتركون بوابة خلفية واحدة. يتركون عشرات. ملف PHP متنكر في شكل ملف أساسي لـ WordPress في /wp-includes/. حمولة مشفرة بـ base64 محقونة في functions.php الخاص بالمظهر. كود ضار مضافة إلى ملف مكون إضافي شرعي. قذيفة PHP مخفية داخل بيانات EXIF لصورة JPEG في /uploads/.

حتى خدمات إزالة البرامج الضارة الاحترافية تفوتها. تقارير Sucuri الخاصة بهم تقر بأن الإصابات متعددة المتجهات — حيث يزرع المتسللون بوابات خلفية في قاعدة البيانات وفي نظام الملفات وفي مهام cron الخاصة بالخادم — تزداد شيوعًا في 2025-2026. تنظف واحدة، والأخرى تعيد تثبيتها.

متجه الهجوم يبقى

هذا هو الكبير. إذا تم اختراق موقعك من خلال ثغرة في مكون إضافي، فإن إزالة البرامج الضارة لا تزيل الثغرة. تصلح ذلك المكون الإضافي، بالتأكيد. لكن ماذا عن المكونات الإضافية الأخرى 15-30 على موقعك؟

أبلغت Patchstack عن 244 ثغرة جديدة في مكون WordPress في أسبوع واحد في أوائل 2026. هذا ليس خطأ إملائي. مئتان وأربع وأربعون طريقة جديدة للدخول إلى مواقع WordPress، تم اكتشافها في سبعة أيام.

أنت تلعب لعبة "ضرب الخلد" مع أكثر من 60,000 مكون إضافي في نظام WordPress البيئي. وسوف تخسر.

عقوبة Google تستمر وتزداد تفاقمًا

تحذير "This site may be hacked" في نتائج بحث Google يستغرق 2-4 أسابيع للإزالة بعد تنظيف كل شيء وتقديم مراجعة. خلال هذا الوقت: حركة مرور عضوية صفر. صفر ثقة من الزائرين الذين يجدونك مباشرة.

إليك ما لا يتحدث عنه الناس: إذا حدثت مرتين، فقد لا تتعافى سمعة المجال الخاص بك بالكامل. تأخذ خوارزميات Google في الاعتبار الحوادث الأمنية التاريخية. مجال تم وضع علامة عليه عدة مرات يتم الزحف إليه بتكرار أقل وتصنيفًا أقل لأشهر، وأحيانًا بشكل دائم. لقد رأيت مواقع تفقد 40-60% من حركة المرور العضوية حتى بعد ستة أشهر من اختراقهم الثاني.

الجدول الزمني لثغرات مكونات WordPress 2025-2026

يعتقد الناس أن اختراقات WordPress حوادث نادرة وجديرة بالأخبار. إنها ليست. إنها مستمرة. إليك عينة من ثغرات المكونات الرئيسية من العام الماضي:

التاريخ المكون الإضافي التثبيتات CVE/الشدة النوع
فبراير 2026 WPVivid Backup 900K+ CVE-2026-1357 / 9.8 تنفيذ رمز بعيد
يناير 2026 Jeejix Social Locker 200K+ CVE-2026-0891 / 9.1 حقن SQL
ديسمبر 2025 Popup Builder 700K+ CVE-2025-8842 / 8.8 Cross-Site Scripting → استيلاء على المسؤول
نوفمبر 2025 LiteSpeed Cache 6M+ CVE-2025-7429 / 9.8 تصعيد الامتياز غير المصرح
أكتوبر 2025 GiveWP 100K+ CVE-2025-6832 / 9.8 PHP Object Injection → RCE
سبتمبر 2025 Really Simple Security 4M+ CVE-2025-5910 / 9.8 التحايل على المصادقة
أغسطس 2025 Elementor Pro 10M+ CVE-2025-4817 / 8.8 كسر التحكم في الوصول
يوليو 2025 WP Statistics 600K+ CVE-2025-3922 / 8.3 حقن SQL

لاحظ درجات الشدة. 9.8 تعني "سهل الاستغلال تمامًا، تسوية النظام بالكامل." هذه ليست نظرية — يتم استغلالها بنشاط في البرية في غضون ساعات من الكشف.

الجزء المحبط حقًا؟ تُظهر تقارير ثغرات Patchstack الأسبوعية باستمرار 150-300 ثغرة جديدة في مكون WordPress كل أسبوع واحد. هذا هو النظام البيئي الذي تثق فيه مع عملك.

التكلفة الحقيقية لأمان WordPress

دعنا نكون محددين بشأن المال، لأن ذلك هو ما يقنع معظم الناس أخيرًا.

بند التكلفة التكلفة السنوية
إزالة البرامج الضارة الاحترافية (1-2 حوادث) $500 - $4,000
مكون الأمان (Wordfence Premium / Sucuri Pro) $119 - $299/سنة
وقتك في كل حادثة (10-20 ساعة × معدلك بالساعة) $500 - $4,000
فقدان الإيرادات أثناء التوقف (يختلف اختلافًا كبيرًا) $500 - $50,000+
عمل استرجاع SEO بعد وضع علامة من Google $500 - $2,000
المجموع السنوي المحافظ $2,119 - $10,299

وهذا بافتراض أنك تم اختراقك مرة أو مرتين فقط. لقد عملت مع الشركات التي كانت تتعرض للضرب شهريًا لأن لديهم مزيجًا من المكونات الإضافية كان غير آمن بشكل أساسي.

لماذا لا يمكن اختراق Next.js بنفس الطريقة

أريد أن أكون دقيقًا هنا. لا نظام غير قابل للاختراق. لكن متجهات الهجوم المحددة التي تجعل WordPress مصنع الأهداف ببساطة لا تتواجد في بنية Next.js. اسمح لي بشرح كل واحدة.

لا تنفيذ PHP على الخادم

96% من استغلالات WordPress تستهدف PHP. هذا ليس تخمينًا — إنه من تقارير Sucuri السنوية للمواقع المخترقة. يعتمد نموذج الهجوم الكامل على القدرة على تنفيذ رمز PHP تعسفي على الخادم الخاص بك.

يقوم Next.js بتشغيل JavaScript. على Vercel، يتم تنفيذ رمز الخادم الخاص بك في عزلات V8 (نفس المحرك الذي يشغل Chrome). لا توجد وقت تشغيل PHP. لا توجد ثغرة eval(). فئة استغلال WordPress الأكثر شيوعًا ببساطة لا يمكن أن توجد.

عندما نبني مواقع مع Next.js، فإن سطح الهجوم من جانب الخادم مختلف بشكل أساسي — وأصغر بكثير.

لا مكونات إضافية تعمل على الخادم الخاص بك

صفر كود من جهات خارجية يتم تنفيذه على خادم الإنتاج الخاص بك. لا شيء.

لا توجد نماذج Gravity Forms التي تعالج SQL على قاعدة البيانات الخاصة بك. لا WPVivid مع ثغرة RCE بشدة 9.8. لا Contact Form 7 مع التحايل على تحميل الملف الخاص به. لا Elementor مع كسر التحكم في الوصول.

هل تحتاج إلى نموذج اتصال؟ إنه مكون React يرسل البيانات إلى دالة بدون خادم. هل تحتاج إلى تحليلات؟ إنها علامة نص برمجي من جانب العميل. هل تحتاج إلى نسخة احتياطية؟ موقعك بالكامل في Git. مفهوم "ثغرة مكون إضافي" لا ينتقل إلى هذه الهندسة المعمارية.

لا /wp-admin للقوة الغاشمة

لا توجد عنوان URL /wp-admin. لا توجد wp-login.php. لا توجد xmlrpc.php (التي يتم ضربها بمحاولات brute-force على كل موقع WordPress، باستمرار).

عندما نبني مع headless CMS مثل Payload، يتم التعامل مع المصادقة بواسطة Supabase Auth — تجزئة كلمة مرور bcrypt، رموز JWT، Row Level Security على طبقة قاعدة البيانات. واجهة المسؤول إما على مجال منفصل أو خلف مصادقة ليست بث إلى العالم عبر عنوان URL يمكن التنبؤ به.

معمارية ثابتة + بدون خادم

معظم الصفحات على موقع Next.js يتم عرضها مسبقًا كملفات HTML ثابتة تجلس على شبكة توصيل المحتوى. إنها ملفات حرفية. لا توجد استعلام قاعدة بيانات عندما يزور شخص ما صفحة. لا يوجد محلل PHP يحلل طلب. لا توجد فرصة لحقن SQL لأنه لا يتم تنفيذ SQL على مستوى الصفحة.

تعمل الوظائف الديناميكية (النماذج والبحث وحسابات المستخدم) من خلال مسارات API بدون خادم تبدأ وتتنفذ واختفاء. لا يوجد خادم دائم جالس هناك ينتظر التسوية.

النشر القائم على Git

يعيش كود المصدر بالكامل في GitHub. يتم تتبع كل تغيير واحد، وإسناده إلى شخص محدد، وعكسه. إذا حدث خطأ ما، فأنت تتراجع عن النشر السابق في نقرة واحدة على Vercel.

قارن ذلك مع WordPress، حيث يمكن للمتسلل تعديل الملفات مباشرة على الخادم وحقن الرمز في قاعدة البيانات وتركك بدون مسار تدقيق وبدون حالة نظيفة للعودة إليها.

دراسة حالة: هجرة SleepDr.com

دعني أخبرك عن مشروع حقيقي. كان SleepDr.com يعمل بـ WordPress مع درجة أداء Lighthouse بـ 35. كانوا بحاجة إلى تصحيحات أمان متعددة باستمرار. كان فريق التطوير الخاص بهم ينفق المزيد من الوقت في الحفاظ على أمان WordPress أكثر من بناء الميزات.

قمنا بترحيلهم إلى Next.js 15 + Payload CMS 3 + Supabase + Vercel.

النتائج:

  • درجة Lighthouse: 35 → 94
  • حوادث الأمان منذ الهجرة: صفر
  • مشاركات المدونة المرحلة: 228، بدون فقدان محتوى
  • عدد المكونات الإضافية: 30+ → 0
  • الوقت المستغرق في الحفاظ على أمان شهريًا: ~8 ساعات → 0 ساعة

يفضل محررو المحتوى الخاصة بهم فعليًا واجهة Payload CMS الإدارية الجديدة على WordPress. سير عمل الكتابة أنظف، مكتبة الوسائط أسرع، وليس لديهم قلق كلما رأوا إشعار "تحديث مكون متاح".

الرياضيات الخاصة بالهجرة التي تغير كل شيء

إليك المقارنة التي جعلت SleepDr.com تسحب الزناد:

السيناريو السنة 1 السنة 2 السنة 3 المجموع لـ 5 سنوات
البقاء على WordPress (تكاليف الأمان) $4,000 $4,000 $4,000 $20,000
الهجرة إلى Next.js $10,000 (الهجرة) $0 $0 $10,000
صافي التوفير بحلول السنة 5 $10,000

تلك الأرقام WordPress محافظة. تفترض إزالة برامج ضارة احترافية بـ $1,000 لكل حادثة، 1.5 حادثة في السنة، Wordfence Premium بـ $119/سنة، وحوالي 15 ساعة من وقتك لكل حادثة بقيمة $100/ساعة. إذا كنت موقع تجارة إلكترونية تفقد $2,000/يوم في الإيرادات أثناء كل اختراق، فإن الرياضيات تصبح أسوأ بكثير لـ WordPress.

تدفع الهجرة إلى Next.js لنفسها في 2-4 سنوات من عدم التعرض للاختراق. وتحصل على درجة Lighthouse بـ 90+ كمكافأة.

تحقق من صفحة التسعير الخاصة بنا للحصول على مستويات الهجرة المحددة بناءً على تعقيد الموقع.

الهجرة الطارئة: كيف تبدو فعليًا

إذا تم اختراق موقع WordPress الخاص بك في آخر 30 يوم، فإليك كيفية تبدو الهجرة الطارئة عند التواصل معنا:

الجدول الزمني: 5-10 أيام عمل

الاستثمار: $5,000-$10,000 حسب تعقيد الموقع

ما يحدث:

  1. اليوم 1: نصدر جميع محتوياتك — المشاركات والصفحات والوسائط والحقول المخصصة. كل شيء.
  2. الأيام 2-4: نبني موقعك في Next.js 15 مع Payload CMS 3 كخلفية المحتوى، المنشورة على Vercel.
  3. الأيام 5-7: تنفيذ التصميم الذي يطابق هويتك الحالية (أو محسّن — يريد معظم العملاء تحسينات).
  4. الأيام 7-9: هجرة المحتوى وتعيينات عناوين URL (كل عنوان URL قديم واحد يرسم خريطة للعنوان الجديد — بدون خسارة عصير SEO) والاختبار.
  5. اليوم 10: تبديل DNS. موقعك مباشر على المكدس الجديد.

ما تحصل عليه على الجانب الآخر:

  • صفر مكونات إضافية
  • صفر PHP
  • صفر سطح هجوم /wp-admin
  • التحكم في الإصدارات المستند إلى Git لكل تغيير
  • Lighthouse 90+
  • CMS يستمتع محررو المحتوى الخاصة بك بفعليًا استخدامه

لقد وثقنا الطريقة الكاملة في /solutions/wordpress-hacked-migration، وإذا كنت تريد فهم فلسفة المكون-إلى-صفر-مكون، فاقرأ /blog/wordpress-30-plugins-nextjs-zero.

بالنسبة للمواقع المبنية على Astro بدلاً من Next.js، نقدم نفس مسار الهجرة من خلال ممارسة تطوير Astro الخاصة بنا — فوائد الأمان متطابقة.

الأسئلة الشائعة

كيف أعرف ما إذا تم اختراق موقع WordPress الخاص بي؟ تشمل العلامات الشائعة إعادات توجيه غير متوقعة إلى مواقع البريد المزعج وحسابات مسؤول جديدة لم تنشئها وملفات معدلة (خاصة ملفات PHP في /wp-content/uploads/) وتحذيرات أمان Google Search Console وإيقاف مزود الاستضافة حسابك وانخفاض مفاجئ في حركة المرور العضوية. قم بتشغيل find wp-content/uploads -name '*.php' عبر SSH — إذا أرجع أي نتائج، فقد تم اختراقك بالفعل.

ما مدى تكلفة إزالة برامج ضارة WordPress احترافية؟ تتراوح خدمات التنظيف الاحترافية لمرة واحدة من $500 إلى $2,000 لكل حادثة في 2025-2026. تتقاضى Sucuri حوالي $500 لخدمة التنظيف الأساسية الخاصة بهم. تبدأ استجابة الحوادث في Wordfence بـ $990. تتراوح المكونات الإضافية الأمنية الممتازة مع الميزات ذاتية التنظيف (مثل MalCare) من $99-$199/سنة، لكنها تلتقط فقط التوقيعات المعروفة. التكلفة المخفية هي وقتك — توقع 10-20 ساعة لكل حادثة للتنسيق والاختبار والاسترجاع.

لماذا يتم اختراق موقع WordPress الخاص بي باستمرار بعد تنظيفه؟ ثلاثة أسباب: بوابات خلفية غير محكوشفة (يقوم المتسللون بتضمين ملفات بوابات متعددة عبر نظام الملفات وقاعدة البيانات الخاصة بك التي تبقى بعد التنظيف)، بنية المكون الإضافي القابل للاستغلال تبقى نفسها، والوصول المعرض على مستوى الخادم (مهام cron وSH مفاتيح) لم يتم معالجتها أثناء التنظيف. تبلغ Sucuri عن 60%+ من مواقع WordPress المنظفة التي تعاني من إعادة العدوى. المشكلة الأساسية هي أن سطح الهجوم — تنفيذ PHP والمكونات الإضافية الضعيفة وعناوين URL الإدارية التي يمكن التنبؤ بها — لا يتغير بعد التنظيف.

كم من الوقت يستغرق تحذير Google "This site may be hacked" للإزالة؟ بعد تنظيف الموقع بالكامل وتقديم طلب مراجعة من خلال Google Search Console، توقع 2-4 أسابيع لإزالة التحذير. يقوم Google بإعادة الزحف وإعادة تقييم الموقع خلال هذه الفترة. خلال تلك الأسابيع، ستشهد حركة مرور عضوية تقريبًا صفر ومعدلات نقر منخفضة بشكل كبير على أي انطباعات بحث متبقية. إذا تم وضع علامة على موقعك مرة ثانية، فإن الاسترجاع يستغرق وقتًا أطول وقد تكون سلطة المجال الخاص بك معرضة للخطر بشكل دائم.

هل Next.js أكثر أمانًا من WordPress فعليًا، أم أن هذا حديث تسويقي؟ إنها هندسة معمارية وليست تسويقًا. 96% من استغلالات WordPress تستهدف تنفيذ PHP — لا يقوم Next.js بتشغيل PHP. متجهات الهجوم الأكثر شيوعًا (ثغرات المكونات الإضافية وbrute force wp-admin والحقن SQL من خلال عرض الصفحات الديناميكية واستغلالات تحميل الملفات) لا توجد حرفيًا في نشر Next.js ثابت/بدون خادم على Vercel. لا نظام محصن ضد الاختراق، لكن الهجمات المحددة التي تعرض 1.5 مليون موقع WordPress مهددة شهريًا لا يمكن تكرارها ضد موقع Next.js. سطح الهجوم مختلف بشكل أساسي وأصغر بكثير.

كم من الوقت تستغرق هجرة موقع WordPress إلى Next.js؟ بالنسبة لهجرة الطوارئ (الموقع المخترق حاليًا أو المخترق مؤخرًا)، نسلم عادةً في 5-10 أيام عمل. تستغرق الهجرة القياسية لموقع ثقيل المحتوى (100-500 صفحة/منشور) 3-6 أسابيع. تم إكمال هجرة SleepDr.com — 228 منشور مدونة وتصميم مخصص وتعيين إعادة التوجيه الكامل لـ SEO — ضمن الجدول الزمني القياسي لدينا بدون فقدان محتوى. أكبر متغير هو الوظائف المخصصة؛ تُعيّن معظم ميزات المكون الإضافي بنظافة إلى دوال بدون خادم أو مكونات React.

ماذا يحدث لمحتوى WordPress الخاص بي أثناء الهجرة؟ يتم ترحيل كل منشور وصفحة وحقل مخصص وصورة وملف وسائط. ننتقل عبر WordPress REST API أو WPGraphQL وتحويل البيانات لـ Payload CMS 3 والتحقق من الاكتمال بعد الهجرة. يتم الحفاظ على هياكل العناوين من خلال خرائط إعادة التوجيه في next.config.js، لذا لا تفقد أي منصب SEO. لقد قمنا بترحيل مواقع بـ 1,000+ منشور بدون فقدان قطعة واحدة من المحتوى.

هل يمكنني استخدام WordPress كـ headless CMS مع Next.js؟ يمكنك، لكننا لا نوصي به. استخدام WordPress بدون رأس لا يزال يعني الحفاظ على WordPress — تحديث النواة وتحديث المكونات الإضافية (حتى الإعدادات بدون رأس غالبًا ما تستخدم ACF وWPGraphQL والمكونات الإضافية الأخرى) وتأمين واجهة الإدارة والدفع لاستضافة WordPress المُدارة. لقد أزلت سطح الهجوم من جانب الواجهة الأمامية لكنك احتفظت بواحد من جانب الخلف. يوفر Payload CMS 3 تجربة تحرير أفضل وتبعيات صفرية للمكون الإضافي ويتم نشره جنبًا إلى جنب مع جبهة Next.js الخاصة بك على نفس البنية الأساسية. إنه اقتطاع نظيف.

ماذا لو لم أتمكن من تحمل هجرة كاملة الآن؟ أولاً، قم بخطوات التنظيف الطارئة في هذه المقالة. ثم استثمر في Wordfence Premium ($99/سنة) وتفعيل المصادقة متعددة العوامل على كل حساب مسؤول وحذف كل مكون إضافي لا تستخدمه بنشاط وضبط النسخ الاحتياطية اليومية مع خدمة تخزنها بعيدًا عن الخادم. لن يمنع هذا الاختراق التالي، لكنه سيسرع الاسترجاع. عندما تكون مستعدًا للإصلاح الدائم، تواصل معنا — يمكننا تقسيم الهجرة على 2-3 أشهر لنشر التكاليف.