A több, mint 300 000 letöltésnél járó Easy WP SMTP nevű WordPress bővítményben súlyos biztonsági rést fedeztek fel 2019. március közepén.
Mikor használunk SMTP alapú levélküldést egy weboldalon?
Röviden akkor, amikor a tárhelyen tiltva van a php alapú levélküldés.
Mi a baj a bővítménnyel?
Az 1.3.9-es verzióban olyan sérülékenységet találtak, amely kihasználásával adminisztrátori hozzáférésre tudnak szert tenni a támadók, és onnantól kezdve pedig bármit meg tudnak tenni a weboldalon. Eddig én olyan verzióval találkoztam a támadásból, hogy a weboldal címét átírták egy idegen URL-re, így a böngésző megtévesztő webhelyként jelölte meg az áldozatul esett honlapot, ami egy teljesen idegen weboldalt próbált megnyitni. Így:
Mit kell tenni?
Két fő lehetőség van:
- Érdemes frissíteni az Easy WP SMTP bővítmény a legújabb, min. 1.3.9.1-es verzióra.
- Törölni kell a bővítményt, és alternatív megoldással kiszolgálni az SMTP alapú e-mail küldést a weboldalon.
Alternatív megoldások SMTP alapú levélküldésre WordPress-hez
Remekül működő alternatív megoldás pl. a „WP Mail SMTP by WPForms” nevű WordPress bővítmény.
Források, részletek: