LA‑Studio Element Kit for Elementor 中的关键后门 (CVE‑2026‑0920) — WordPress 网站所有者现在必须采取的措施

更新： 2026年1月21日
CVE： CVE‑2026‑0920 — 插件版本 <= 1.5.6.3 存在漏洞；在 1.6.0 中修复。.
严重性： CVSS 9.8（高）。攻击向量：未认证。分类：后门 / 权限提升。.

TL;DR

在LA‑Studio Element Kit for Elementor (≤1.5.6.3)中发现了一个后门。它允许未经身份验证的攻击者通过一个隐藏参数创建管理员用户（报告为 lakit_bkrole），从而完全控制受影响的网站。如果您在任何WordPress网站上运行此插件，请将其视为紧急情况。.

• 立即验证插件版本。如果您运行的是≤ 1.5.6.3，请立即更新到1.6.0或更高版本。.
• 如果您无法立即更新，请停用或删除该插件，并在可能的情况下应用即时虚拟补丁或防火墙规则。.
• 扫描新创建的管理员、可疑用户帐户以及意外的文件或修改。.
• 如果怀疑被攻陷，请遵循事件响应步骤：隔离、调查、恢复、加固。.

为什么这如此紧急

后门漏洞是最危险的WordPress问题之一，因为它们允许攻击者保持长期、隐秘的访问。LA‑Studio Element Kit后门尤其严重，因为它：

• 可以在没有任何身份验证的情况下被利用（任何远程行为者都可以触发它）。.
• 允许创建管理员帐户（完全控制网站）。.
• 以绕过正常权限检查的方式嵌入在插件代码中。.
• 根据CVSS，在机密性、完整性和可用性方面具有高影响。.

当后门可以创建管理员时，攻击者可以安装其他后门、部署恶意软件、窃取数据或使网站无法使用。攻击者通常在披露后不久扫描已知的易受攻击插件——快速行动至关重要。.

我们对该漏洞的了解（摘要）

• 受影响的软件： LA‑Studio Element Kit for Elementor (WordPress 插件)
• 易受攻击的版本： 任何版本为 1.5.6.3 或更低
• 修复于： 1.6.0
• 漏洞类型： 后门导致未经身份验证的特权升级（管理员用户创建）
• 向量： 该插件暴露了一个未记录的入口点，接受一个特殊参数（在公共报告中标识为 lakit_bkrole ）。如果调用某些代码路径，这将触发创建具有管理权限的用户。.
• 发现： 由安全研究人员报告，并于2026年1月21日公开披露。.
• CVE： CVE‑2026‑0920
• CVSS v3.1 基础分数： 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

注意：攻击有效载荷在此未重现；目标是帮助防御者检测、缓解和恢复。.

攻击如何工作（高层次 — 防御者关注）

研究人员发现插件中有一个代码路径接受远程输入，并以导致用户创建的方式处理它。报告中提到的参数名称是 lakit_bkrole ——可能是一个内部/后端管理入口，暴露且验证不足。.

远程攻击者可以发送一个包含此参数的HTTP请求，以调用创建具有管理员权限的新用户或修改角色分配行为的逻辑。由于在受影响版本中该入口点不需要身份验证检查，因此可以在没有任何登录的情况下创建一个完全特权的用户帐户。.

攻击者创建管理员帐户的后果包括：

• 通过插件和主题完全访问 WP 管理和文件系统。.
• 能够安装持久后门和定时任务。.
• 可能会泄露数据库内容和用户数据。.
• 劫持电子邮件、支付、联盟或其他业务工作流程。.
• 事件后货币化（恶意软件、SEO 垃圾邮件、重定向器）。.

真实攻击场景

• 大规模妥协： 攻击者扫描具有易受攻击插件的网站，并在数千个网站上创建管理员用户。.
• 定向接管： 一个有动机的攻击者针对高价值网站，创建一个管理员，然后在组织内部进行横向移动。.
• 供应链滥用： 如果网站存储特权 API 凭据，这些凭据可能被盗取并在网站之外滥用。.

我是否易受攻击？立即检查

1. 插件版本

   检查 WordPress 管理 → 插件，并验证“LA‑Studio Element Kit for Elementor”的活动版本。或者使用 WP‑CLI：

   wp 插件列表 --format=table | grep lastudio-element-kit

   如果版本 ≤ 1.5.6.3，您是易受攻击的。.

2. 新的或意外的管理员账户

   在 WP 管理中检查所有用户，寻找您不认识的用户。WP‑CLI：

   wp 用户列表 --role=administrator --fields=ID,user_login,user_email,display_name,registered

   查找最近创建的用户（与披露同一天或之后）。.

3. 可疑用户和角色

   检查非标准角色或具有意外权限的用户。通过 WP‑CLI 导出角色：

   wp eval 'print_r(get_editable_roles());'

4. 文件修改和可疑文件

   查找上传或插件目录中修改过的插件文件或意外的 PHP 文件。简单的服务器检查：

   find /path/to/wp-content -type f -mtime -30 -name '*.php' -ls

   在插件文件夹中搜索关键字 lakit_bkrole （后门代码或引用的指示）：

   grep -R --line-number "lakit_bkrole" wp-content/plugins/lastudio-element-kit

5. 日志和访问模式

   检查 Web 服务器日志中对插件端点的异常 POST/GET 请求，特别是那些具有异常参数的请求。.

6. 数据库检查

   查询用户表以获取最近的条目：

   SELECT ID,user_login,user_email,user_registered FROM wp_users WHERE user_registered > '2026-01-01' ORDER BY user_registered DESC;

如果任何检查显示可疑结果 — 将网站视为可能被攻陷。.

立即缓解步骤（前60分钟）

如果您确认安装了易受攻击的插件或无法快速验证，请立即采取这些措施。.

1. 立即将插件更新到 1.6.0 或更高版本。.

   这是开发者提供的最终修复。.

2. 如果无法立即更新：
   • 立即通过 WP 管理员 → 插件 → 停用来停用插件，或者：

   wp 插件停用 lastudio-element-kit

   • 如果停用失败，请从文件系统中删除或重命名插件文件夹（重命名而不是删除以保留文件以供调查）：

   mv wp-content/plugins/lastudio-element-kit wp-content/plugins/lastudio-element-kit.bak

3. 在可用的地方应用虚拟补丁/防火墙规则。.

   如果您操作应用程序防火墙 (WAF) 或主机级防火墙，请添加规则以阻止匹配签名的请求（请求调用插件端点的 lakit_bkrole 参数）。虚拟补丁可以立即阻止远程尝试，并为修补和调查争取时间。调整规则以避免误报。.

4. 限制访问。.
   • 如果您看到扫描行为，请暂时阻止来自可疑 IP 范围的流量。.
   • 通过 .htaccess、主机控制面板或防火墙限制管理员访问已知 IP。.
5. 轮换凭据。.
   • 更改管理密码（WP 管理员、数据库用户、主机面板、FTP/SSH）。.
   • 撤销网站持有的任何 API 密钥、OAuth 令牌或服务集成，并在确认网站干净后发放新凭据。.
6. 检查持久性。.

   在上传和插件/主题文件夹中搜索后门、恶意计划任务（cron 条目）、对 wp-config.php, 的编辑，以及添加的 mu-plugins。.

7. 快照并保存。.

   在进行进一步更改之前，进行完整备份（文件系统 + 数据库）和服务器的取证快照以供调查。.

如何清理和恢复（如果确认被攻陷）

如果发现妥协的证据（新管理员、未知 PHP 文件、Webshell、修改的核心/插件/主题文件），请遵循结构化恢复过程。.

1. 隔离和保存
   • 将网站下线或置于维护模式。.
   • 为调查人员保留日志、备份和可疑文件的副本。.
2. 确定范围
   • 清点恶意工件、新添加的管理员帐户和事件时间线。.
   • 确定可能被外泄的数据（用户列表、支付、存储的凭据）。.
3. 移除后门
   • 用来自官方来源的干净版本替换被修改的核心、插件和主题文件。.
   • 删除上传、mu‑plugins 和其他可写目录中的可疑文件。.
4. 2. 清理数据库
   • 删除未经授权的管理员账户和可疑的用户元数据。.
   • 检查是否存在恶意选项 wp_options （cron 钩子、自动加载的选项）。.
5. 5. 加固和恢复
   • 使用修复版本（1.6.0 或更高版本）重新安装插件，或者如果无法信任该插件，则完全删除它。.
   • 重置所有密码并轮换凭据。.
   • 确保 WordPress 核心、主题和所有插件均已更新。.
6. 7. 恢复后监控
   • 启用增强的日志记录和完整性监控，以检测后门的重新插入。.
   • 监控服务器的出站连接以发现外泄活动。.

如果恢复超出您团队的能力范围，请联系经验丰富的事件响应提供商。.

检测与妥协指标（IoCs）— 需要注意的事项

• 10. 新创建的管理员账户与 2026 年 1 月 21 日及之后相关。.
• 对插件端点的异常 HTTP 请求，特别是那些包含参数的请求 lakit_bkrole.
• 12. wp-content/plugins/lastudio-element-kit/ 中的意外 PHP 文件
  • wp-content/uploads/
  • 13. 异常的计划事件（wp-cron）或持久的 mu-plugins。
  • wp-content/mu-plugins/
• 异常的计划事件（wp‑cron）或在插件删除后仍然存在的添加的 mu‑plugins。.
• 对于 wp_options （恶意自动加载条目）无法解释的更改。.
• 从 Web 服务器发出的可疑 IP 或域的出站网络连接。.

保留可疑文件的副本以供分析和报告。.

19. 对于直接管理 WAF 的管理员，请考虑这些防御措施（保持规则保守，以避免干扰合法的管理员流量）：

如果您管理自己的 WAF 或服务器防火墙，请考虑这些保守的防御措施（仅限防御）：

• 当请求包含可疑参数名称或异常角色分配尝试时，阻止对插件公共端点的请求。.
• 阻止或限制包含与漏洞相关的关键字的请求（使用仔细的模式匹配以避免误报）。.
• 尽可能阻止来自未知用户代理或具有可疑有效负载大小的插件路径的POST/GET请求。.
• 创建规则以警报任何导致后端更改的插件路径的HTTP请求（例如，与用户创建同时发生的200响应）。.

概念伪规则：

如果请求路径包含'/wp-content/plugins/lastudio-element-kit/'并且请求参数包括'lakit_bkrole'，则阻止并记录。.

调整签名以避免干扰合法的管理员流量。.

加固建议（超出补丁）

• 最小权限原则： 仅向真正需要的账户授予管理员角色。使用具有范围权限的专用服务账户。.
• 多因素身份验证： 对所有管理员账户强制实施多因素身份验证（MFA）。.
• 定期备份： 每日离线备份，带版本控制和定期恢复测试。.
• 文件完整性监控： 对意外文件更改发出警报 wp-content, wp-config.php, ，以及其他关键文件。.
• 安全头和HTTPS： 确保TLS是最新的，并应用安全头（HSTS、CSP在适当时）。.
• 限制文件编辑： 通过WordPress禁用主题和插件文件编辑 wp-config.php:

  define('DISALLOW_FILE_EDIT', true);

• 限制管理员区域访问： 使用服务器或防火墙控制，仅允许来自已知IP范围的管理员区域访问。.
• 漏洞管理： 监控插件更新并订阅可靠的漏洞信息源。.
• 沙箱环境： 在部署到生产环境之前，在暂存环境中测试插件更新。.

事件响应手册（简明）

1. 检测：通过日志、WAF警报或完整性警报识别可疑活动。.
2. 隔离：暂时停用易受攻击的插件并阻止攻击流量。.
3. 分析：保存日志/备份并扫描工件。.
4. 根除：删除恶意文件、账户，并修补漏洞。.
5. 恢复：恢复干净的网站并验证功能；更换凭据。.
6. 事件后：进行根本原因分析，调整控制措施，并记录经验教训。.

常见问题

问：我更新了插件——我还需要扫描我的网站吗？

A：是的。更新修复了未来利用的代码路径，但不会删除攻击者在更新之前可能创建的后门或用户。扫描和审计持久性。.

问：我可以仅依赖WAF而不更新吗？

A：WAF提供即时保护（虚拟修补），但插件仍应更新为最终修复。WAF在边缘案例中可能会失败；深度防御是必不可少的。.

问：如果我发现一个可疑的管理员账户——我应该删除它吗？

A：首先保存证据（导出用户详细信息和日志）。然后禁用（更改密码，移除会话），如果确认是恶意的，则删除。确保更换其他凭据。.

问：我如何检查找不到的隐藏后门？

A：使用多个扫描器，将文件与干净的插件/主题副本进行比较，并检查计划任务和数据库钩子。如果不确定，请咨询取证团队。.

时间表（建议立即采取的行动）

• 0–15分钟： 确认插件版本。如果存在漏洞，请停用或应用防火墙规则。更改关键密码。.
• 15–60分钟： 对新管理员和可疑文件进行扫描。快照服务器并保存日志。.
• 1–24小时： 将插件更新到1.6.0（如果无法信任，则移除插件）。清理任何发现的持久性。.
• 24–72 小时： 继续监控，加固，更换凭据并进行全面审计。.
• 持续进行： 维护漏洞扫描、防火墙保护和定期备份。.

为什么虚拟补丁和WAF在此类事件中很重要

后门在公开披露后的几个小时内经常被利用。虚拟修补——防火墙规则阻止利用尝试——为网站所有者提供了一个关键窗口，以便进行修补和调查。这不是更新代码的替代品，但可以争取时间，并在您遵循修复步骤时防止大规模妥协。.

示例安全命令和检查（仅限防御）

• 列出已安装的插件及版本：

  wp 插件列表 --format=csv | grep lastudio-element-kit

• 停用插件：

  wp 插件停用 lastudio-element-kit

• 列出管理员：

  wp user list --role=administrator --format=csv

• 在插件文件夹中搜索可疑令牌（防御性）：

  grep -R --line-number "lakit_bkrole" wp-content/plugins/lastudio-element-kit || true

• 查找最近修改的PHP文件：

  find wp-content -type f -name '*.php' -mtime -30 -ls

网站所有者和管理者的最终说明（香港安全专家视角）

从香港安全从业者的观点来看：如果您托管了易受攻击的插件，请将此披露视为操作紧急情况。快速、冷静和协调的行动可以减少损害——确认版本，必要时隔离，并寻求适当的技术资源。.

修补是最终解决方案；插件开发者发布了1.6.0版本以修复该问题。如果您无法立即更新，请移除或停用该插件，应用保守的防火墙规则以阻止攻击尝试，并进行全面审计。.

进行例行审计，实施最小权限，保持备份和监控，并确保事件响应程序得到实践。这些步骤实质性地减少了此类事件的影响范围。.

结束

如果您需要专业的事件响应或取证帮助，请及时联系经验丰富的服务提供商。对于香港及该地区的网站所有者：考虑当地的事件响应公司和托管合作伙伴，他们了解地区法规并能迅速采取行动。保持警惕，将插件升级和安全监控视为优先操作任务——它们往往是控制事件与大规模接管之间的区别。.