سياسة أمان ايتوس
واضحين في اللي بنحمي منه، واللي مش بنحمي منه.
نموذج التهديد
بنحمي الإضافة من ثلاث نواحٍ: مين يقدر يدخل للنظام، إيه اللي يقدر يعدّله، وهل ممكن يتلاعب بالترخيص أو التحديثات. التفاصيل التقنية تحت للمطورين.
ايتوس بيحمي ضد 3 فئات تهديد:
- مهاجمين خارجيين غير موثوقين، Endpoints عامة (تحت
/.well-known/) بس اللي بتقدر توصل بدون auth. كل entry point للـ admin بيتطلب admin مسجّل دخول + nonce صالح. - جلسة admin متخترقة، حتى مع admin مخترق، الـ features بتقيّد الـ outbound URLs ضد loopback/private IPs (حماية SSRF)، بتتحقق من رفع الملفات، وبترفض الكتابة خارج شجرة ووردبريس.
- تلاعب باستخراج كود الإضافة، رد الترخيص الموقّع من السيرفر هو البوابة الموثوقة. الفحوصات المحلية بترفع البار ضد التلاعب البسيط.
الدفاعات المتعددة الطبقات
| الطبقة | بتحمي من |
|---|---|
| Server-signed Ed25519 | Network MITM، DNS spoofing، endpoint ترخيص مزيف، إعادة الـ response |
| HMAC build tuple | تلاعب بسيط، أدلة bypass النسخ واللصق |
| Build-manifest hashes | تعديلات مستهدفة على الملفات |
| Honeytoken | دروس bypass |
| نافذة Freshness (±36 ساعة) | إعادة طويلة المدى لردود موقّعة مسجّلة |
| Nonce ring buffer (آخر 8) | إعادة nonces متبادلة داخل نافذة الـ freshness |
| UrlValidator (A+AAAA، حجب private-IP) | SSRF بدفع من الأدمن |
| قفل audit-run ذرّي | تشغيل مكرر من cron/AJAX بسبب race |
| احتواء KB roots | جذر فهرسة يضعه الأدمن خارج شجرة ووردبريس |
| منقّي prompt-injection | محتوى ملف مفهرس يتصرّف كتوجيهات LLM في استدعاءات AI خارجية |
| CSV/XLSX neutralizer | حقن Excel-DDE / صيغ عبر حقول finding مصنوعة |
الإبلاغ عن ثغرة
ابعت إيميل على support@aetosseo.com فيه:
- إصدار الإضافة المتأثر
- إعادة إنتاج مختصرة (URL، دور الأدمن، الطلب بالظبط)
- الميعاد اللي يناسبك للمتابعة
هدفنا الرد خلال 48 ساعة. الرجاء عدم فتح issue على GitHub أو نشر على social media لثغرات لسه ما اتصلحتش. بنذكر المُبلّغين في الـ changelog إلا لو فضّلت البقاء مجهول.
سجل مراجعات الكود
ايتوس عدّى بـ 7 جولات مراجعة كود داخلية باستخدام 4 نماذج مختلفة:
- Claude Opus، audit بنيوي مبدئي + إدارة الإصلاحات
- Gemini Pro، IPv6 SSRF، parser nonce في query-string، إعادة الترخيص
- DeepSeek Expert، race في القفل الذرّي، SSRF عبر broker URL
- ChatGPT، fail-open في الترخيص، احتواء KB، توجيه XLSX neutralizer
أكثر من 22 ملاحظة اتقفلت عبر إصدارات إصلاح في دورة المراجعة قبل إطلاق v3.3، وكل النماذج الأربعة أصدرت حكم جاهزية بعد الإصلاحات. الإضافة بتطلع أسبوعياً من ساعتها، والإصدار الحالي هو v3.3.52. السجل الكامل: /ar/changelog.
إعدادات تقوية متقدمة
العملاء اللي عايزين يفعّلوا سلوك أصرم أو يوقفوا طبقات التوافق القديمة يقدروا يحطوا الـ flags دي في wp-config.php:
NSR_ELMTAGR_SEO_ALLOW_INSECURE_LICENSE_RESPONSE، التخلّي عن صرامة فحص توقيع الـ response (تواصل مع legacy، خطر)NSR_ELMTAGR_SEO_ALLOW_DEV_MODE، السماح لإضافة غير مبنية بالعمل على دومين غير localhost (للتطوير/QA فقط)
جهة الإفصاح، الشخص، مش طابور
عبدالله فتحي بيقرأ كل تقرير أمان بنفسه. مؤسس ايتوس، القاهرة. واتساب مباشر: +20 106 818 7346 ، للحالات العاجلة خارج ساعات العمل.
خارج النطاق
- اختراق install ووردبريس نفسه (قراءة قاعدة البيانات، كتابة على نظام الملفات).
- خصوم بقدرات دولية يقدروا يولّدوا توقيعات Cloudflare Worker.
- قنوات جانبية في PHP/MySQL host (Spectre، row-hammer، FS races خارج أقفالنا).