Vulnerabilidad del Plugin “Postman SMTP” en WordPress

Categorias: Plugins, Wordpress

Vulnerabilidad Plugin Postman SMTP Plugin WordPress

La semana pasada desaparecio del repositorio de plugin de WordPress el plugin Postman SMTP.

Esto es debido a que se detectó una vulnerabilidad en el plugin pero el autor del mismo no ha sido capaz o no ha querido, solucionarla.

WordPress.org decidió entonces eliminarlo del repositorio siendo imposible encontrarlo a la hora de escribir este artículo.

En estos momentos tampoco podemos saber sin el autor del plugin va a realizar alguna actualización del mismo para solucionar el problema que se ha detectado.
 

Tengo Instalado Postman SMTP, ¿Estoy en Peligro?

Según parece, ha sido un investigador anónimo el que en una prueba de concepto, detectó y demostró la vulnerabilidad del plugin Postman SMTP. Esta información se la envió al autor de plugin para avisarle pero parece que el plugin está abandonado por su creador y no tiene pinta de ser solucionado.

No hay indicios de que se haya producido ningún ataque usando este plugin más de la prueba de concepto que realizó el investigador de seguridad anónimo, por lo que no hay motivos para pensar que algún atacante haya usado esta vulnerabilidad, al menos por ahora.


¿Tengo que Desinstalar Postman SMTP de WordPress

Pese a que no existe ninguna alerta sobre algún ataque del plugin la vulnerabilidad existe y no hay nada que impida que un atacante use dicha vulnerabilidad.

Además, que WordPress lo haya eliminado de su repositorio también es muy significativo y aunque no hay un comunicado oficial indicando el porqué de la retirada del plugin, una de las causas más comunes son los problemas de seguridad no resueltos.

Así que si se está usando el plugin Postman SMTP o se tiene instalado, se recomienda eliminarlo lo antes posible y buscar una solución alternativa.

postman smtp peligro - WordPress

¿Para que Servía Postman SMTP?

WordPress hace muchas cosas y muchas de ellas muy bien, pero una de ellas no es el envío de emails autenticados.

Como para casi toda falta de función en WordPress, aparecieron varios plugins para solucionar esto, siendo uno de ellos Postman SMTP.

No enviar correos autentificados es cada vez un problema mayor, ya que en muchas ocaciones los filtros antispam de sitios como Outlook o Gmail, etc… los marcan directamente como correo no deseado o spam.

Postman SMTP era un buen plugin que supla esta falta de una manera muy sencilla, lo que solucionaba el problema de los envíos de email que WordPress realizaba.

Este es uno de esos plugins de WordPress que una vez se instala y se configura, sólo hay que volver a preocuparse de el para actualizarlo de manera ocasional, así que es posible que lo estén usando miles de instalaciones de WordPress.

Hay muchas otras opciones actualizadas y sin problemas, así que sólo hay que realizar una búsqueda den el repositorio de plugins de WordPress y probar cual nos interesa más:

plugins SMTP para WordPress


¿Cómo Afectaba la Vulnerabilidad de Postman SMTP?

La vulnerabilidad encontrada en el plugin fuel del tipo XSS, que viene del ingles Cross-site scriping.

Este tipo de vulnerabilidad son muy habituales en las aplicaciones web y permita al atacante inyectar algún tipo de código malicioso.

Este tipo de ataques puede utilizarse para conseguir información delicada, como emails o contraseñas, secuestrar sesiones de usuarios logueados, etc…

Por este motivo es muy recomendable eliminar el plugin Postman SMTP de cualquier instalación de WordPress en el que se encuentre.

Más información aquí. (En inglés)


* APÚNTATE GRATIS para recibir más consejos y artículos de Seguridad en WordPress.  CLICK AQUÍ

Recuerda..

En Hostinet nos preocupamos mucho por la seguridad de nuestros servidores, por eso analizamos todas las instalaciones de WordPress en busca de algún tipo de código malicioso que pueda alterar el correcto funcionamiento del sitio web.

Además, con nuestro hosting WordPress te ayudaremos en todo momento si algún tipo de código consigue inyectarse en tu WordPress.

Aislaremos los archivos infectados en una cuarentena y te avisaremos para que puedas revisarlos y eliminarlos o sustituirlos en cada caso.

Además, todos nuestros alojamientos web WordPress vienen con el panel de control cPanel y discos SSD, además de servicio de soporte técnico telefónico y por email.

Algunas de las opciones más populares de Hosting WordPress que ofrecemos son la siguientes:

  • WordPress 1 Hosting especializado en WordPress con discos SSDdesde 4 ´38 €/mes
  • WordPress 2 Hosting especializado en WordPress con discos SSDdesde 5 ´54 €/mes
  • WordPress 3 Hosting especializado en WordPress con discos SSDdesde 8 ´34 €/mes
  • WordPress 1 Hosting especializado en WordPress con discos SSDdesde 4 ´38 €/mes
  • WordPress 2 Hosting especializado en WordPress con discos SSDdesde 5 ´54 €/mes
  • WordPress 3 Hosting especializado en WordPress con discos SSDdesde 8 ´34 €/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14,95 € al año AQUIPuedes contratar tu certificado SSL por solo 14,95 € al año AQUIPuedes contratar tu certificado SSL por solo 14,95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
VN:F [1.9.22_1171]
Rating: 0.0/5 (Votos: 0)

¿NECESITAS AYUDA? Llama a nuestro soporte técnico 946 545 762

De Lunes a Viernes de 08:00 a 20:00 horas.


¡¡SOLO PARA TI!! Aprovéchate Ahora ...

¡¡Descubre los Mejores Artículos de Expertos en Tecnología!!

-

¡¡Descubre los mejores Artículos de Tecnología con Hostinet!!
Todos realizados por Expertos.

¡¡SOLO PARA TI!! Aprovéchate Ahora ...

¡¡Descubre los Mejores Artículos de Expertos en Tecnología!!

-

¡¡Descubre los mejores Artículos de Tecnología con Hostinet!!
Todos realizados por Expertos.