Критическая уязвимость в плагине Elementor угрожает тысячам WordPress-сайтов
Экосистема WordPress сегодня является фундаментом миллионов сайтов по всему миру. Однако даже одна ошибка внутри небольшого плагина способна вызвать серьёзные проблемы. В последние дни именно такая ситуация и произошла: обнаруженная критическая уязвимость в популярном плагине «King Addons for Elementor» поставила под угрозу безопасность тысяч веб-ресурсов.
Уязвимость, зарегистрированная под номером CVE-2025-8489 и оценённая баллом 9.8 — Critical, относится к категории наиболее опасных. Наиболее тревожным является то, что злоумышленнику для эксплуатации ошибки не требуется авторизация: отправив специально подготовленный запрос, он может создать новую учётную запись администратора и получить полный контроль над сайтом.
Как работает уязвимость?
В версиях плагина от 24.12.92 до 51.1.14 функция регистрации пользователей была реализована с серьёзной ошибкой. Плагин не ограничивал выбор роли для создаваемого аккаунта, чем могли воспользоваться злоумышленники.
Отправив запрос на admin-ajax.php и указав параметр:
user_role=administrator
атакующий мог создать новую учётную запись с административными правами без логина, пароля или каких-либо разрешений.
Получив такие привилегии, злоумышленник способен:
- полностью изменять содержимое сайта;
- устанавливать вредоносные плагины и темы;
- добавлять скрытые бэкдоры;
- перенаправлять посетителей на фишинговые ресурсы;
- распространять спам и вредоносный контент.
Иными словами — сайт может быть полностью захвачен.
Атаки уже начались
После публичного раскрытия информации 30 октября 2025 года злоумышленники практически сразу начали активную эксплуатацию уязвимости. По данным компании Wordfence, её защитные механизмы зарегистрировали более 48 400 попыток атаки.
Наиболее активные IP-адреса:
| IP-адрес | Блокированных запросов |
|---|---|
| 45.61.157.120 | 28 900+ |
| 2602:fa59:3:424::1 | 16 900+ |
| 182.8.226.228 | 300+ |
| 138.199.21.230 | 100+ |
| 206.238.221.25 | 100+ |
Особенно высокий всплеск активности был зафиксирован 9–10 ноября 2025 года.
Меры защиты и обновления
Разработчик плагина выпустил исправленную версию 51.1.35 25 сентября 2025 года. Wordfence включил правила защиты для премиум-пользователей 4 августа, а бесплатные пользователи получили защиту 3 сентября.
Если на вашем сайте установлен этот плагин, необходимо срочно выполнить следующие шаги:
1. Обновить плагин до последней версии
Уязвимые версии: 24.12.92 — 51.1.14
Исправление: 51.1.35
2. Проверить список администраторов
Если обнаружены неизвестные или подозрительные аккаунты — удалите их.
3. Проанализировать серверные логи
Особенно на наличие запросов с IP-адресов, связанных с атаками.
4. Проверить контент, темы и плагины на изменения
5. При подозрении на взлом — обратиться к специалистам
Не исключено, что потребуется профессиональная очистка и реагирование на инцидент.
Обнаруженная уязвимость в «King Addons for Elementor» еще раз показывает, насколько критичной может быть даже небольшая ошибка в экосистеме WordPress. Тысячи зафиксированных попыток эксплуатации подтверждают серьёзность угрозы.
Своевременное обновление, контроль за администраторами, анализ логов и регулярный мониторинг — ключевые меры, которые помогут защитить сайт и предотвратить возможный взлом.
