20 mingdan ortiq WordPress sayt xavf ostida: plagin ichiga yashirilgan “backdoor” orqali admin yaratish mumkin bo‘lgan zaiflik aniqlandi!
WordPress ekotizimida yana bir jiddiy xavfsizlik hodisasi yuz berdi. LA-Studio Element Kit for Elementor plaginiga maxsus joylashtirilgan “backdoor” — ya’ni ruxsatsiz kirish imkonini beruvchi maxfiy mexanizm borligi ma’lum bo‘ldi. Ushbu zaiflik orqali tajovuzkorlar hech qanday autentifikatsiyasiz saytga administrator huquqiga ega yangi foydalanuvchi yaratishi mumkin.
Zaiflik CVE-2026-0920 identifikatori bilan ro‘yxatga olingan bo‘lib, CVSS 9.8 (Critical) darajasida baholangan. Plagin dunyo bo‘ylab 20 000+ faol saytda o‘rnatilgani sababli, bu holat keng ko‘lamli xavf tug‘dirmoqda.
Eng tashvishlisi — bu oddiy xato emas, ataylab qo‘yilgan backdoor
LA-Studio kompaniyasi bergan ma’lumotga ko‘ra, ushbu zararli funksionallik plagin kodiga sobiq xodim tomonidan qo‘shilgan. U 2025-yil dekabr oxirida ishni tark etishidan sal avval plagin kodiga yashirin mexanizm joylashtirgan.
Bu voqea kiberxavfsizlikda ko‘pincha e’tibordan chetda qoladigan, ammo nihoyatda xavfli bo‘lgan yo‘nalish — insider threat (ichki tahdid) muammosini yana bir bor ko‘rsatdi. Kodni ko‘rib chiqish (code review), ayniqsa xodim almashinuvi davrida, qanchalik muhim ekani yaqqol namoyon bo‘ldi.
Zaiflik qanday ishlagan?
Tadqiqotchilar zaiflikni plagin ichidagi ajax_register_handle funksiyasida aniqlashdi. Bu funksiya foydalanuvchi ro‘yxatdan o‘tish jarayonini boshqaradi.
Hujumchi ro‘yxatdan o‘tish so‘roviga maxsus yashirin parametrni qo‘shadi:
lakit_bkroleAgar ushbu parametr mavjud bo‘lsa, yashirilgan kod ishga tushadi va yangi yaratilayotgan foydalanuvchiga administrator huquqlari biriktiriladi.
Natijada tajovuzkor:
- Saytni to‘liq boshqarishi
- Zararli fayllar yuklashi
- Kontentni o‘zgartirishi
- Foydalanuvchilarni zararli saytlarga yo‘naltirishi
- Spam yoki zararli skript joylashtirishi mumkin
Bularning barchasi parolsiz va ruxsatsiz amalga oshiriladi.
Yashirish usuli: murakkab obfuskatsiya
Wordfence mutaxassislari aniqlashicha, backdoor kodi ataylab obfuskatsiya qilingan — ya’ni oddiy ko‘z bilan ko‘rib aniqlab bo‘lmaydigan tarzda yashirilgan.
Quyidagi usullar qo‘llangan:
- Stringlarni sun’iy parchalash va birlashtirish
- Bilvosita funksiya chaqiriqlari
- Legitim kod orasiga singdirib yuborish
Bu esa odatiy xavfsizlik auditlari vaqtida zararli funksiyani aniqlashni nihoyatda qiyinlashtirgan.
Kimlar aniqladi va qachon tuzatildi?
Zaiflik 2026-yil 12-yanvarda xavfsizlik tadqiqotchilari Athiwat Tiprasaharn, Itthidej Aramsri va Waris Damkham tomonidan aniqlanib, Wordfence Bug Bounty dasturi orqali xabar qilingan.
- 13-yanvar: Wordfence Premium foydalanuvchilari uchun himoya qo‘shildi
- 14-yanvar: Plaginning 1.6.0 versiyasi chiqarilib, zaiflik bartaraf etildi
- 12-fevral: Wordfence bepul foydalanuvchilari uchun ham himoya yetib bordi
Zararlangan versiyalar: 1.5.6.3 va undan past
Texnik tafsilotlar
| Ko‘rsatkich | Ma’lumot |
|---|---|
| Zaiflik turi | Backdoor orqali admin yaratish |
| CVE | CVE-2026-0920 |
| Bahosi | 9.8 — Critical |
| Ta’sirlangan plagin | LA-Studio Element Kit for Elementor |
| Slug | lastudio-element-kit |
| Zaif versiyalar | ≤ 1.5.6.3 |
| Tuzatilgan versiya | 1.6.0 |
| Faol o‘rnatishlar | 20,000+ |
| Hujum vektori | lakit_bkrole parametri |
| Aniqlangan sana | 12-yanvar, 2026 |
Nega bu hodisa juda jiddiy?
Bu oddiy dasturiy xato emas. Bu — ataylab joylashtirilgan yashirin eshik.
Demak:
- Hujumchi hech qanday ekspluatatsiya yozishi shart emas
- Faqat maxsus so‘rov yuborish kifoya
- Har qanday himoyasiz sayt bir necha soniyada egallanishi mumkin
Bu holat WordPress ekotizimida plaginlarga bo‘lgan ishonch, kod auditi va ichki nazorat mexanizmlarini qayta ko‘rib chiqish zarurligini ko‘rsatadi.
Administratorlar nima qilishi kerak?
- Plaginni darhol 1.6.0 versiyaga yangilang
- Saytdagi barcha administratorlarni tekshiring
- Noma’lum foydalanuvchilarni o‘chiring
- WordPress loglarini ko‘zdan kechiring (yangi userlar qachon yaratilganini tekshiring)
- Parollarni va xavfsizlik kalitlarini yangilang
- Wordfence yoki boshqa WAF/himoya plaginini o‘rnating
CVE-2026-0920 hodisasi kiberxavfsizlikda eng xavfli ssenariylardan birini ko‘rsatdi: tahdid tashqaridan emas, ichkaridan keldi. Yashirilgan backdoor minglab WordPress saytlarni to‘liq egallash imkonini berdi.
Agar sizning saytingizda LA-Studio Element Kit for Elementor plaginining eski versiyasi o‘rnatilgan bo‘lsa, u holda sizning saytingiz ham allaqachon hujumchilarga ochiq bo‘lgan bo‘lishi mumkin.
Yangilashni kechiktirish — saytingizni begonalarga topshirish bilan barobar.
