LA‑Studio Element Kit for Elementor 中的關鍵後門 (CVE‑2026‑0920) — WordPress 網站擁有者現在必須做的事情

更新： 2026 年 1 月 21 日
CVE： CVE‑2026‑0920 — 插件版本 <= 1.5.6.3 存在漏洞；在 1.6.0 中修復。.
嚴重性： CVSS 9.8 (高)。攻擊向量：未經身份驗證。分類：後門 / 權限提升。.

TL;DR

在 LA‑Studio Element Kit for Elementor (≤1.5.6.3) 中發現了一個後門。它允許未經身份驗證的攻擊者通過隱藏參數創建管理用戶 (報告為 lakit_bkrole)，使受影響的網站完全控制。如果您在任何 WordPress 網站上運行此插件，請將其視為緊急情況。.

• 立即驗證插件版本。如果您運行 <= 1.5.6.3，請立即更新到 1.6.0 或更高版本。.
• 如果您無法立即更新，請停用或刪除該插件，並在可能的情況下應用立即的虛擬修補或防火牆規則。.
• 掃描新創建的管理員、可疑的用戶帳戶以及意外的文件或修改。.
• 如果懷疑被攻擊，請遵循事件響應步驟：隔離、調查、恢復、加固。.

為什麼這麼緊急

後門漏洞是最危險的 WordPress 問題之一，因為它們允許攻擊者保持長期、隱秘的訪問。LA‑Studio Element Kit 的後門特別嚴重，因為它：

• 可以在沒有任何身份驗證的情況下被利用（任何遠程行為者都可以觸發它）。.
• 允許創建管理帳戶（完全控制網站）。.
• 嵌入在插件代碼中，以繞過正常的權限檢查。.
• 根據 CVSS 在保密性、完整性和可用性方面具有高影響。.

當後門可以創建管理員時，攻擊者可以安裝額外的後門、部署惡意軟體、竊取數據或使網站無法使用。攻擊者通常在漏洞披露後不久掃描已知的易受攻擊插件——快速行動至關重要。.

我們對漏洞的了解（摘要）

• 受影響的軟體： LA‑Studio Element Kit for Elementor（WordPress 插件）
• 易受攻擊的版本： 任何版本在 1.5.6.3 或以下
• 修復於： 1.6.0
• 漏洞類型： 後門導致未經身份驗證的特權提升（管理用戶創建）
• 向量： 該插件暴露了一個未記錄的入口點，接受一個特殊參數（在公共報告中識別為 lakit_bkrole ）。如果調用某些代碼路徑，這將觸發創建具有管理能力的用戶。.
• 發現： 由安全研究人員報告並於 2026 年 1 月 21 日公開披露。.
• CVE： CVE‑2026‑0920
• CVSS v3.1 基本分數： 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

注意：這裡不重現攻擊有效載荷；目標是幫助防禦者檢測、減輕和恢復。.

攻擊如何運作（高層次——以防禦者為中心）

研究人員在插件中發現了一條接受遠程輸入並以導致用戶創建的方式處理的代碼路徑。報告中提到的參數名稱是 lakit_bkrole ——可能是一個內部/後端管理入口，暴露且驗證不足。.

遠程攻擊者可以發送包含此參數的 HTTP 請求，以調用邏輯創建具有管理特權的新用戶或修改角色分配行為。因為在受影響版本中，該入口點不需要身份驗證檢查，因此可以在不登錄的情況下創建完全特權的用戶帳戶。.

攻擊者創建管理員帳戶的後果包括：

• 通過插件和主題對 WP 管理員和文件系統的完全訪問。.
• 能夠安裝持久性後門和計劃任務。.
• 可能竊取數據庫內容和用戶數據。.
• 電子郵件、付款、聯盟或其他業務工作流程的劫持。.
• 事後獲利化（惡意軟體、SEO 垃圾郵件、重定向器）。.

真實攻擊場景

• 大規模妥協： 攻擊者掃描具有漏洞插件的網站，並在數千個網站上創建管理員用戶。.
• 定向接管： 一個有動機的攻擊者針對高價值網站，創建一個管理員，然後在組織內部進行橫向移動。.
• 供應鏈濫用： 如果網站儲存特權 API 憑證，這些憑證可以被竊取並在網站之外被濫用。.

我是否脆弱？立即檢查

1. 插件版本

   檢查 WordPress 管理員 → 插件，並驗證“LA‑Studio Element Kit for Elementor”的活動版本。或使用 WP‑CLI：

   wp 插件列表 --格式=表格 | grep lastudio-element-kit

   如果版本 ≤ 1.5.6.3，則您是脆弱的。.

2. 新的或意外的管理員帳戶

   在 WP 管理員中檢查所有用戶，尋找您不認識的用戶。WP‑CLI：

   wp 用戶列表 --角色=管理員 --字段=ID,user_login,user_email,display_name,registered

   尋找最近創建的用戶（與披露同一天或之後）。.

3. 可疑的用戶和角色

   檢查非標準角色或具有意外能力的用戶。通過 WP‑CLI 傾倒角色：

   wp eval 'print_r(get_editable_roles());'

4. 文件修改和可疑文件

   在上傳或插件目錄中尋找修改過的插件文件或意外的 PHP 文件。簡單的伺服器檢查：

   find /path/to/wp-content -type f -mtime -30 -name '*.php' -ls

   在插件文件夾中搜索關鍵字 lakit_bkrole （後門代碼或引用的指示）：

   grep -R --line-number "lakit_bkrole" wp-content/plugins/lastudio-element-kit

5. 日誌和訪問模式

   檢查網頁伺服器日誌中對插件端點的異常 POST/GET 請求，特別是那些帶有異常參數的請求。.

6. 數據庫檢查

   查詢用戶表以獲取最近的條目：

   SELECT ID,user_login,user_email,user_registered FROM wp_users WHERE user_registered > '2026-01-01' ORDER BY user_registered DESC;

如果任何檢查顯示可疑結果 — 將網站視為可能已被攻擊。.

立即緩解步驟（前 60 分鐘）

如果您確認已安裝易受攻擊的插件或無法快速驗證，請立即遵循這些操作。.

1. 立即將插件更新至 1.6.0 或更高版本。.

   這是開發者的最終修復。.

2. 如果無法立即更新：
   • 立即通過 WP 管理員 → 插件 → 停用來停用插件，或：

   wp plugin deactivate lastudio-element-kit

   • 如果停用失敗，請從文件系統中刪除或重命名插件文件夾（重命名而不是刪除以保留文件以供調查）：

   mv wp-content/plugins/lastudio-element-kit wp-content/plugins/lastudio-element-kit.bak

3. 在可用的地方應用虛擬修補 / 防火牆規則。.

   如果您運行應用程序防火牆 (WAF) 或主機級防火牆，請添加規則以阻止匹配簽名的請求（調用插件端點的請求，帶有 lakit_bkrole 參數）。虛擬修補可以立即阻止遠程嘗試，並爭取時間進行修補和調查。調整規則以避免誤報。.

4. 鎖定訪問權限。.
   • 如果您看到掃描行為，暫時阻止來自可疑 IP 範圍的流量。.
   • 通過 .htaccess、主機控制面板或防火牆限制管理員訪問已知 IP。.
5. 旋轉憑證。.
   • 更改管理密碼（WP 管理員、數據庫用戶、主機面板、FTP/SSH）。.
   • 撤銷網站持有的任何 API 密鑰、OAuth 令牌或服務集成，並在確保網站乾淨後發放新憑證。.
6. 檢查持久性。.

   在上傳和插件/主題文件夾中搜索後門、惡意計劃任務（cron 條目）、對 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, 的編輯，以及添加的 mu-plugins。.

7. 快照並保存。.

   在進行進一步更改之前，對伺服器進行完整備份（文件系統 + 數據庫）和法醫快照以供調查。.

如何清理和恢復（如果確認受到損害）

如果您發現受到損害的證據（新管理員、未知 PHP 文件、Webshell、修改的核心/插件/主題文件），請遵循結構化的恢復過程。.

1. 隔離並保存
   • 將網站下線或放入維護模式。.
   • 保存日誌、備份和可疑文件的副本以供調查人員使用。.
2. 確定範圍
   • 清點惡意工件、新增的管理帳戶和事件時間表。.
   • 確定可能已被竊取的數據（用戶列表、付款、存儲的憑證）。.
3. 移除後門
   • 用來自官方來源的乾淨版本替換修改過的核心、插件和主題文件。.
   • 刪除上傳、mu-plugins 和其他可寫目錄中的可疑文件。.
4. 清理數據庫。
   • 移除未經授權的管理員帳戶和可疑的用戶元數據。.
   • 檢查是否有惡意選項在 wp_options （cron 鉤子，自動加載的選項）。.
5. 加固並恢復
   • 使用修正版本（1.6.0 或更高版本）重新安裝插件，或者如果無法信任則完全移除插件。.
   • 重置所有密碼並輪換憑證。.
   • 確保 WordPress 核心、主題和所有插件均已更新。.
6. 恢復後監控
   • 啟用增強日誌記錄和完整性監控，以檢測後門的重新插入。.
   • 監控伺服器的外發連接以檢測外洩活動。.

如果恢復超出您團隊的能力範圍，請尋求經驗豐富的事件響應提供者。.

偵測與妥協指標（IoCs）— 需要注意的事項

• 新創建的管理員帳戶與 2026 年 1 月 21 日以後相關。.
• 對插件端點的異常 HTTP 請求，特別是那些包含參數的請求，如 lakit_bkrole.
• 在以下位置出現意外的 PHP 文件：
  • wp-content/uploads/
  • wp-content/plugins/lastudio-element-kit/
  • wp-content/mu-plugins/
• 異常的排程事件（wp-cron）或在插件移除後仍然存在的 mu-plugins。.
• 無法解釋的變更至 wp_options （惡意自動加載的條目）。.
• 從網頁伺服器發出的可疑 IP 或域的外發網絡連接。.

保留可疑文件的副本以便分析和報告。.

WAF / 虛擬修補指導（技術）

如果您管理自己的 WAF 或伺服器防火牆，請考慮這些保守的防禦措施（僅限防禦）：

• 當請求包含可疑的參數名稱或不尋常的角色分配嘗試時，阻止對插件公共端點的請求。.
• 阻止或限制包含與漏洞相關的關鍵字的請求（使用謹慎的模式匹配以避免誤報）。.
• 在可行的情況下，阻止來自未知用戶代理的請求或具有可疑有效載荷大小的請求，對插件路徑的 POST/GET 請求。.
• 創建規則以警報任何對插件路徑的 HTTP 請求，這些請求導致後端變更（例如，與用戶創建同時出現的 200 響應）。.

概念性偽規則：

如果請求路徑包含 '/wp-content/plugins/lastudio-element-kit/' 且請求參數包括 'lakit_bkrole'，則阻止並記錄。.

調整簽名以避免干擾合法的管理流量。.

加固建議（超越修補）

• 最小特權原則： 只將管理角色授予真正需要的帳戶。使用具有範圍權限的專用服務帳戶。.
• 多因素身份驗證： 強制所有管理帳戶使用 MFA。.
• 定期備份： 每日離線備份，並進行版本控制和定期恢復測試。.
• 文件完整性監控： 對意外的文件變更發出警報 wp-content, 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, ，以及其他關鍵文件。.
• 安全標頭和 HTTPS： 確保 TLS 是最新的，並應用安全標頭（HSTS、CSP 在適當的情況下）。.
• 限制文件編輯： 通過禁用 WordPress 中的主題和插件文件編輯來限制文件編輯。 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。:

  define('DISALLOW_FILE_EDIT', true);

• 限制管理區域訪問： 使用伺服器或防火牆控制，僅允許來自已知 IP 範圍的管理區域訪問，若可行。.
• 漏洞管理： 監控插件更新並訂閱可信的漏洞資訊來源。.
• 沙盒環境： 在部署到生產環境之前，在測試環境中測試插件更新。.

事件響應手冊（簡明）

1. 偵測：通過日誌、WAF 警報或完整性警報識別可疑活動。.
2. 隔離：暫時停用易受攻擊的插件並阻止攻擊流量。.
3. 分析：保留日誌/備份並掃描文物。.
4. 根除：刪除惡意文件、帳戶並修補漏洞。.
5. 恢復：恢復乾淨的網站並驗證功能；更換憑證。.
6. 事件後：進行根本原因分析，調整控制措施並記錄經驗教訓。.

常見問題

問：我更新了插件——我還需要掃描我的網站嗎？

答：是的。更新修復了未來利用的代碼路徑，但不會刪除攻擊者在更新之前可能創建的後門或用戶。掃描並審核持久性。.

問：我可以僅依賴 WAF 而不更新嗎？

答：WAF 提供即時保護（虛擬修補），但插件仍應更新為最終修復。WAF 在邊緣案例中可能失效；深度防禦是必需的。.

問：如果我發現可疑的管理帳戶——我應該刪除它嗎？

答：首先保留證據（導出用戶詳細信息和日誌）。然後禁用（更改密碼，移除會話），如果確認為惡意，則刪除。確保更換其他憑證。.

問：我如何檢查找不到的隱藏後門？

答：使用多個掃描器，將文件與乾淨的插件/主題副本進行比較，檢查計劃任務和數據庫鉤子。如果不確定，請諮詢取證團隊。.

時間表（建議立即採取的行動）

• 0–15 分鐘： 確認插件版本。如果存在漏洞，停用或應用防火牆規則。更改關鍵密碼。.
• 15–60分鐘： 執行新管理員和可疑文件的掃描。快照伺服器並保留日誌。.
• 1–24小時： 將插件更新至1.6.0（如果無法信任則移除插件）。清理任何發現的持久性。.
• 24–72 小時： 繼續監控，加強安全，輪換憑證並進行全面審計。.
• 持續進行： 維持漏洞掃描、防火牆保護和定期備份。.

為什麼虛擬修補和WAF對於此類事件很重要

後門在公開披露後通常會在幾小時內被利用。虛擬修補——防火牆規則阻止利用嘗試——為網站擁有者提供了關鍵的修補和調查窗口。這不是更新代碼的替代品，但它爭取了時間，並可以在您遵循修復步驟時防止大規模妥協。.

示例安全命令和檢查（僅限防禦）

• 列出已安裝的插件及版本：

  wp plugin list --format=csv | grep lastudio-element-kit

• 停用插件：

  wp plugin deactivate lastudio-element-kit

• 列出管理員：

  wp user list --role=administrator --format=csv

• 在插件文件夾中搜索可疑標記（防禦性）：

  grep -R --line-number "lakit_bkrole" wp-content/plugins/lastudio-element-kit || true

• 查找最近修改的 PHP 文件：

  find wp-content -type f -name '*.php' -mtime -30 -ls

給網站擁有者和管理者的最終備註（香港安全專家的觀點）

從香港安全從業者的角度看：如果您托管有漏洞的插件，請將此披露視為操作緊急情況。快速、冷靜和協調的行動可以減少損害——確認版本，必要時隔離，並尋求適當的技術資源。.

修補是確定的解決方案；插件開發者發布了1.6.0版本以修復該問題。如果您無法立即更新，請移除或停用插件，應用保守的防火牆規則以阻止利用嘗試，並進行全面審計。.

維持例行審計，執行最小權限，保持備份和監控到位，並確保事件響應程序得到實踐。這些步驟實質上減少了此類事件的爆炸半徑。.

結束

如果您需要專業的事件響應或取證幫助，請及時聘請經驗豐富的服務提供商。.