Критическая backdoor‑уязвимость в LA‑Studio Element Kit для Elementor: как злоумышленники могут создать админа на вашем сайте

В популярном плагине LA‑Studio Element Kit for Elementor, установленном более чем на 20 000 сайтов WordPress, обнаружена критическая backdoor‑уязвимость. Она позволяет неавторизованному злоумышленнику создать учетную запись администратора и получить полный контроль над сайтом, если используется уязвимая версия плагина (1.5.6.3 и ниже). Разработчик уже выпустил исправление в версии 1.6.0, поэтому владельцам сайтов важно как можно скорее обновиться и провести базовую проверку безопасности.

Содержание статьи

Что произошло с LA‑Studio Element Kit

12 января 2026 года специалисты по безопасности выявили backdoor‑уязвимость в плагине LA‑Studio Element Kit for Elementor, который установлен более чем на 20 000 активных сайтов WordPress. Уязвимость получила идентификатор CVE-2026-0920 и оценку 9,8 из 10 по шкале CVSS, что соответствует критическому уровню угрозы.

Проблема затрагивает все версии плагина до 1.5.6.3 включительно, а исправление было выпущено в версии 1.6.0 уже 14 января 2026 года. Пользователей настоятельно призывают обновить плагин до последнего релиза как можно скорее, чтобы закрыть дыру безопасности.

Простыми словами: в чем суть backdoor‑дыры

LA‑Studio Element Kit расширяет функциональность конструктора Elementor, добавляя собственные виджеты и, в том числе, функциональность регистрации пользователей через Ajax. В уязвимых версиях плагина в функцию ajax_register_handle(), обрабатывающую регистрацию, было встроено скрытое (обфусцированное) поведение.

Если при регистрации передать специальный параметр lakit_bkrole, в коде срабатывает скрытый механизм, который добавляет создаваемому пользователю административные возможности. Это позволяет неавторизованному атакующему отправить запрос регистрации и сразу получить учетную запись с правами администратора, минуя обычную проверку ролей и стандартные ограничения WordPress.

Почему это особенно опасно для владельцев сайтов

Backdoor‑уязвимость с возможностью создания администратора означает фактический полный захват сайта при успешной эксплуатации. Получив права администратора, злоумышленник может делать практически все, что доступно законному владельцу или разработчику.

Типичные последствия:

  • Установка и активация вредоносных плагинов или тем с бэкдорами и вирусами.

  • Изменение контента сайта: подмена страниц, вставка спам‑ссылок, редиректы на фишинговые ресурсы.

  • Создание дополнительных скрытых администраторов и «черных ходов», чтобы сохранить доступ даже после удаления исходного backdoor‑кода.

Такие сценарии напрямую бьют по репутации бренда, SEO‑позициям (через спам и вредоносный контент) и доверию клиентов, а в ряде случаев ведут к блокировке сайта хостингом или поисковыми системами.

Важная деталь: человеческий фактор и инсайдерская угроза

Разработчик плагина сообщил, что backdoor‑код был добавлен бывшим сотрудником, который покинул компанию в конце декабря 2025 года. Последние изменения в скрытой функциональности были внесены примерно в тот же период, что указывает на инсайдерский характер инцидента.

Этот кейс показывает, что риски для безопасности сайта связаны не только с внешними хакерами, но и с внутренними участниками — разработчиками, имеющими доступ к коду и релизам. Для студий и агентств особенно важны процессы контроля изменений, ревью кода, ограничение доступа и корректное завершение доступа при увольнении сотрудников.

Технические детали уязвимости (без лишней боли в голове)

С технической точки зрения проблема заключается в обработке регистрации в функции ajax_register_handle() класса LaStudio_Kit_Integration. Функция использует дополнительные фильтры и обфусцированный код, который при наличии параметра lakit_bkrole подключает вспомогательную функцию ajax_register_handle_backup().

Эта вспомогательная логика модифицирует метаданные пользователя и добавляет ему административные возможности через специальный набор capabilities, возвращаемый вспомогательным классом LaStudio_Kit_Helper. В итоге регистрационный механизм, который внешне может выглядеть как обычная форма для пользователей, фактически превращается в скрытый канал для создания учеток с правами администратора.

Что нужно сделать владельцам сайтов прямо сейчас

Чтобы защитить сайт на WordPress и снизить риск взлома, рекомендуется выполнить следующие шаги:

  1. Проверить, установлен ли LA‑Studio Element Kit

    • В админ‑панели зайдите в раздел «Плагины» и найдите LA‑Studio Element Kit for Elementor (lastudio-element-kit).

    • Если плагин установлен, обратите внимание на его версию в списке.

  2. Убедиться, что версия не уязвима

    • Все версии до и включая 1.5.6.3 считаются уязвимыми для CVE-2026-0920.

    • Безопасной считается версия 1.6.0 и выше, где backdoor‑код был удален.

  3. Срочно обновить плагин до 1.6.0 или выше

    • Обновите плагин через стандартное обновление в WordPress или скачайте последнюю версию из официального репозитория.

    • После обновления перепроверьте, что в списке плагинов указана версия 1.6.0 или новее.

  4. Проверить список пользователей и роли

    • Откройте раздел «Пользователи» в админке и внимательно изучите всех администраторов.

    • Удалите неизвестные учетные записи администраторов и при необходимости смените пароли легитимным пользователям.

  5. Просканировать сайт на наличие вредоносного кода

    • Рекомендуется выполнить антивирусное сканирование WordPress‑сайта с помощью специализированных плагинов безопасности или внешних сервисов.

    • Обратите внимание на наличие подозрительных плагинов, тем и файлов, добавленных или измененных недавно.

  6. Усилить общую безопасность WordPress

    • Настройте многофакторную аутентификацию для администраторов и ограничьте доступ в админ‑панель по IP или через дополнительные защиты.

    • Регулярно обновляйте все плагины, темы и ядро WordPress, чтобы закрывать новые уязвимости в экосистеме.

Войти
adwork-color-copyCreated with Sketch.
Добро пожаловать в Adwork