40,000个WordPress网站因Post SMTP插件漏洞面临劫持风险

超过40,000个运行存在漏洞版本的WordPress插件的网站可能面临被黑客劫持的风险。

Post SMTP插件是一个被约400,000个WordPress网站使用的附加组件，用于提高邮件发送的可靠性和安全性。该插件之所以受欢迎，部分原因是其营销宣传称其比WordPress内置的默认邮件功能更可靠且功能更全面。

根据Patchstack的报告，一位道德黑客负责任地披露了Post SMTP插件中的一个严重漏洞。该漏洞允许仅具有低权限的网站用户（如订阅者）拦截WordPress网站发送的任何邮件，包括发送给任何用户的密码重置邮件。利用这些信息，低权限用户能够接管管理员级别的账户，从而导致整个网站被控制。

插件开发商WPExperts的Saad Iqbal认真对待了这份报告，并在三天内提供了一个潜在补丁，该补丁被确认可以修复这个被命名为CVE-2025-24000的漏洞。6月11日，Iqbal发布了Post SMTP插件的3.3.0版本，其中包含了对该漏洞的修复。

你可能认为这是一个圆满的结局，但事实并非如此。根据WordPress.org的数据，超过10%的插件活跃用户（超过400,000个）仍在运行存在漏洞的3.1版本（图中紫色部分）。更令人担忧的是，Bleeping Computer报道称，24.2%的网站（近100,000个）仍在运行Post SMTP的2.x.x版本，这使得它们面临更多已知漏洞和安全问题。

那么，你能做些什么呢？

首先，如果你管理一个WordPress网站，请更新其插件。你可以通过访问WordPress的wp-admin仪表板来更新所有过时的插件。如果你愿意，还可以设置WordPress插件在新版本发布时自动更新。

此外，问问自己，你为加固网站和WordPress安装做了什么？例如，你是否限制了特定IP地址对网站管理界面的访问？你是否启用了多因素认证？你是否检查了网站上安装的插件和主题，并删除了不再需要的那些？

打补丁显然是明智之举，应尽早进行，但永远不要忘记，额外的保护层可以超越补丁，或许能更主动地防御系统免受攻击。