Portada Wordpress Vulnerabilidad del Plugin «Postman SMTP» en WordPress
La semana pasada desaparecio del repositorio de plugin de WordPress el plugin Postman SMTP.
Esto es debido a que se detectó una vulnerabilidad en el plugin pero el autor del mismo no ha sido capaz o no ha querido, solucionarla.
WordPress.org decidió entonces eliminarlo del repositorio siendo imposible encontrarlo a la hora de escribir este artículo.
En estos momentos tampoco podemos saber sin el autor del plugin va a realizar alguna actualización del mismo para solucionar el problema que se ha detectado.
Según parece, ha sido un investigador anónimo el que en una prueba de concepto, detectó y demostró la vulnerabilidad del plugin Postman SMTP. Esta información se la envió al autor de plugin para avisarle pero parece que el plugin está abandonado por su creador y no tiene pinta de ser solucionado.
No hay indicios de que se haya producido ningún ataque usando este plugin más de la prueba de concepto que realizó el investigador de seguridad anónimo, por lo que no hay motivos para pensar que algún atacante haya usado esta vulnerabilidad, al menos por ahora.
Pese a que no existe ninguna alerta sobre algún ataque del plugin la vulnerabilidad existe y no hay nada que impida que un atacante use dicha vulnerabilidad.
Además, que WordPress lo haya eliminado de su repositorio también es muy significativo y aunque no hay un comunicado oficial indicando el porqué de la retirada del plugin, una de las causas más comunes son los problemas de seguridad no resueltos.
Así que si se está usando el plugin Postman SMTP o se tiene instalado, se recomienda eliminarlo lo antes posible y buscar una solución alternativa.
WordPress hace muchas cosas y muchas de ellas muy bien, pero una de ellas no es el envío de emails autenticados.
Como para casi toda falta de función en WordPress, aparecieron varios plugins para solucionar esto, siendo uno de ellos Postman SMTP.
No enviar correos autentificados es cada vez un problema mayor, ya que en muchas ocaciones los filtros antispam de sitios como Outlook o Gmail, etc… los marcan directamente como correo no deseado o spam.
Postman SMTP era un buen plugin que supla esta falta de una manera muy sencilla, lo que solucionaba el problema de los envíos de email que WordPress realizaba.
Este es uno de esos plugins de WordPress que una vez se instala y se configura, sólo hay que volver a preocuparse de el para actualizarlo de manera ocasional, así que es posible que lo estén usando miles de instalaciones de WordPress.
Hay muchas otras opciones actualizadas y sin problemas, así que sólo hay que realizar una búsqueda den el repositorio de plugins de WordPress y probar cual nos interesa más:
La vulnerabilidad encontrada en el plugin fuel del tipo XSS, que viene del ingles Cross-site scriping.
Este tipo de vulnerabilidad son muy habituales en las aplicaciones web y permita al atacante inyectar algún tipo de código malicioso.
Este tipo de ataques puede utilizarse para conseguir información delicada, como emails o contraseñas, secuestrar sesiones de usuarios logueados, etc…
Por este motivo es muy recomendable eliminar el plugin Postman SMTP de cualquier instalación de WordPress en el que se encuentre.
Más información aquí. (En inglés)
En Hostinet nos preocupamos mucho por la seguridad de nuestros servidores, por eso analizamos todas las instalaciones de WordPress en busca de algún tipo de código malicioso que pueda alterar el correcto funcionamiento del sitio web.
Además, con nuestro hosting WordPress te ayudaremos en todo momento si algún tipo de código consigue inyectarse en tu WordPress.
Aislaremos los archivos infectados en una cuarentena y te avisaremos para que puedas revisarlos y eliminarlos o sustituirlos en cada caso.
Además, todos nuestros alojamientos web WordPress vienen con el panel de control cPanel y discos SSD, además de servicio de soporte técnico telefónico y por email.
Algunas de las opciones más populares de Hosting WordPress que ofrecemos son la siguientes: