Более 500 000 сайтов на WordPress под угрозой: уязвимость в плагине Kirki позволяет захватить учётные записи администраторов!

В последние годы экосистема WordPress остаётся одной из наиболее популярных систем управления контентом в мире, которой пользуются миллионы веб-сайтов. Однако широкое распространение платформы делает её привлекательной мишенью для киберпреступников. Наглядным тому подтверждением служит новая критическая уязвимость, недавно обнаруженная и зарегистрированная под идентификатором CVE-2026-8206.

Данная уязвимость была выявлена в популярном плагине Kirki для WordPress. По оценкам специалистов, она может затронуть более полумиллиона веб-сайтов. Наиболее тревожный аспект состоит в том, что около 150 000 сайтов используют уязвимые версии плагина и находятся в зоне непосредственного риска атаки.

Общие сведения об уязвимости

Плагин Kirki широко применяется на сайтах WordPress для упрощения управления дизайном и настройками. Он используется для расширения возможностей тем оформления, конструкторов страниц и инструмента WordPress Customizer. Именно эта популярность обусловливает то, что любая уязвимость в нём способна затронуть огромное количество ресурсов.

Обнаруженная уязвимость CVE-2026-8206 касается версий с 6.0.0 по 6.0.6 и получила оценку 9,8 балла по шкале CVSS, что свидетельствует о её критически высокой степени опасности.

Уязвимость позволяет киберпреступникам повышать привилегии пользователя (Privilege Escalation) без прохождения аутентификации и в конечном счёте захватывать учётные записи администраторов. Подобное развитие событий может привести к полной компрометации веб-сайта.

Механизм действия уязвимости

Проблема была обнаружена в функции сброса пароля (Password Reset), реализованной в плагине. Согласно стандартному защищённому механизму, при запросе на сброс пароля специальная ссылка должна отправляться исключительно на зарегистрированный в системе адрес электронной почты соответствующего пользователя.

Однако в уязвимых версиях функция, отвечающая за сброс пароля, не осуществляет полной проверки соответствия между именем пользователя (username) и адресом электронной почты (email).

В результате злоумышленник, зная логин администратора или иного привилегированного пользователя, может указать в запросе на сброс пароля свой собственный адрес электронной почты. Система при этом корректно идентифицирует пользователя, однако отправляет ссылку для сброса пароля на адрес, указанный злоумышленником.

После этого злоумышленник устанавливает новый пароль и получает несанкционированный доступ к учётной записи администратора.

Возможные последствия

Захват учётной записи администратора фактически равнозначен утрате контроля над всем сайтом. В случае успешного осуществления атаки возможны следующие негативные последствия:

  • Установка вредоносных плагинов;
  • Внедрение скрытых бэкдоров (Backdoor) на сайт;
  • Создание дополнительных учётных записей администраторов;
  • Размещение веб-шелл скриптов для обеспечения постоянного доступа;
  • Дефейс или фальсификация страниц сайта;
  • Похищение данных пользователей;
  • Обман посетителей посредством размещения фишинговых страниц;
  • Использование сервера в качестве плацдарма для проведения других кибератак.

В практике кибербезопасности подобные атаки, как правило, относятся к категориям «Privilege Escalation», «Persistence» и «Account Takeover».

Обнаружение и устранение уязвимости

Данная уязвимость была выявлена исследователем в области кибербезопасности Чой Гёнмином и сообщена разработчикам через программу вознаграждения за найденные уязвимости Wordfence Bug Bounty. За это открытие исследователь получил вознаграждение в размере 6 436 долларов США.

Специалисты Wordfence подтвердили наличие уязвимости 8 мая 2026 года и уже на следующий день ввели защитные правила для премиум-пользователей. После официального уведомления разработчиков плагина Kirki обновлённая версия 6.0.7 была выпущена всего через три дня.

Это свидетельствует об оперативной реакции со стороны разработчиков.

Рекомендации по защите

Специалисты рекомендуют всем администраторам WordPress принять следующие меры:

1. Незамедлительно обновить плагин Плагин Kirki необходимо обновить до версии 6.0.7 или выше. Это наиболее эффективный способ устранения уязвимости.

2. Проверить учётные записи администраторов Необходимо убедиться в отсутствии на сайте неизвестных администраторов или недавно созданных пользователей.

3. Проанализировать журнал сброса паролей Рекомендуется проверить запросы на сброс паролей, попытки входа в систему и журналы аутентификации за последний период.

4. Внедрить многофакторную аутентификацию Двухфакторная аутентификация (2FA) обеспечивает учётные записи администраторов дополнительным уровнем защиты.

5. Использовать решения WAF Межсетевой экран уровня веб-приложений (Web Application Firewall, WAF) позволяет обнаруживать и блокировать атаки на начальном этапе. Такие защитные инструменты, как Wordfence, уже ввели специальные правила против данной уязвимости.

6. Ограничить возможности регистрации пользователей Если сайт не предполагает активной регистрации новых пользователей, функцию регистрации рекомендуется отключить.

Уязвимость CVE-2026-8206 оценивается как одна из наиболее опасных проблем, выявленных в экосистеме WordPress за последнее время. Эксплуатация уязвимости не требует сложных технических знаний, однако её последствия могут быть весьма серьёзными. Захват учётной записи администратора способен привести к утрате контроля над всем веб-ресурсом, утечке данных и использованию сайта в злоумышленных целях.

В связи с этим всем владельцам и администраторам сайтов на WordPress с установленным плагином Kirki настоятельно рекомендуется как можно скорее перейти на версию 6.0.7 или выше, проверить системные журналы и принять дополнительные меры защиты. В сфере кибербезопасности своевременное устранение уязвимостей является одним из ключевых факторов, позволяющих сохранить не только защищённость системы, но и доверие пользователей.