Раньше критические дыры в плагинах WordPress казались проблемой для редких и неудачливых сайтов. Теперь уязвимость в Kirki показывает более неприятную картину: злоумышленнику достаточно отправить запрос на сброс пароля, чтобы увести учётную запись, включая административную.
Что произошло
Kirki — это популярный визуальный конструктор и кастомизатор тем для WordPress. По данным исследователей, плагин работает более чем на 500 тыс. сайтов, а уязвимые версии 6.0.0–6.0.6 стоят почти у 40 % пользователей продукта.
Речь идёт о критической уязвимости повышения привилегий CVE-2026-8206. На практике она уже используется в атаках: Wordfence заблокировала более 222 попыток за 24 часа у своих клиентов.
Для админов это плохая новость по простой причине: взлом одной учётной записи часто открывает дорогу к сайту целиком. После входа атакующий может подменить контент, поставить вредоносный плагин или спрятать веб-шелл для дальнейшего доступа.
Как работает атака
Проблема сидит в механике сброса пароля. Плагин принимает произвольный адрес почты, а затем через REST API-эндпоинт создаёт ссылку для сброса пароля по указанному имени пользователя.
Здесь и возникает сбой: ссылка уходит не на почту владельца аккаунта, а на адрес, который указал атакующий. В итоге злоумышленник получает рабочую ссылку для чужой учётной записи и забирает её без пароля.
Это не классический подбор пароля и не сложная цепочка с несколькими этапами. Уязвимость опасна именно тем, что для атаки не нужны доступ к панели управления, фишинг или социальная инженерия.
Почему это опасно для сайта
WordPress остаётся удобной, но очень зависимой от плагинов системой. Когда ломается один популярный модуль, под удар попадают тысячи площадок с разными уровнями защиты и дисциплины обновлений.
Потеря административной учётной записи — это не просто вход в панель. Это возможность менять настройки, отключать защитные плагины, пересоздавать пользователей и закрепляться в системе надолго. В таких историях атака часто заканчивается не шумным дефейсом, а тихой кражей контроля.
Похожую картину мы уже видели в других инцидентах с WordPress-плагинами — например, в разборе про уязвимость VS Code, позволявшую красть токены GitHub в один клик и в материале про малварь для WordPress, которая прятала команды в профилях Steam. Общий вывод один: одна ошибка в популярном компоненте быстро превращается в массовую проблему.
Как понять, касается ли вас эта проблема
Если ваш сайт работает на WordPress и использует Kirki, проверка нужна без промедления. Особенно если у вас стоит версия из диапазона 6.0.0–6.0.6 или вы давно не обновляли плагины.
Тревожные признаки не всегда бросаются в глаза. Насторожить должны неожиданные письма о сбросе пароля, новые входы в админку, изменения в темах и плагинах, а также появление непонятных пользователей с повышенными правами.
Если сайт обслуживает подрядчик, запросите у него список активных расширений и версию Kirki. Это тот случай, когда лучше потратить 10 минут на сверку, чем потом неделями вычищать последствия инцидента.
Что делать прямо сейчас
Разработчик выпустил исправление в версии 6.0.7, и это первый шаг, который нужен всем владельцам сайтов на Kirki. Если обновление нельзя поставить немедленно, плагин лучше временно отключить и проверить журналы действий в админке.
Дальше стоит пройтись по базовой гигиене сайта: сменить пароли у администраторов, включить двухфакторную защиту, ограничить число людей с доступом к панели и убедиться, что резервные копии лежат отдельно от самого сайта. Для оценки рисков в открытых сетях и при удалённой админке можно использовать и дополнительные меры приватности — например, аккуратное подключение для рабочих задач в дороге, если вы заходите в панель сайта из аэропорта, кафе или поезда.
Чек-лист для владельца WordPress-сайта
- Проверить, установлен ли Kirki и какая у него версия.
- Обновить плагин до 6.0.7 или отключить его до исправления.
- Проверить логи входов, сбросов пароля и смены прав пользователей.
- Сменить пароли у всех администраторов.
- Включить двухфакторную защиту для всех аккаунтов с доступом к сайту.
- Убедиться, что резервные копии свежие и хранятся отдельно.
- Ограничить число учётных записей с правами администратора.
- Проверить сайт на неожиданные плагины, темы и новые файлы.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.