40,000个WordPress网站因脆弱的Post SMTP插件面临被劫持风险

超过4万个运行易受攻击版本流行WordPress插件的网站可能面临被黑客劫持的风险。

Post SMTP插件是一个被约40万个WordPress网站使用的附加组件，用于提高邮件发送的可靠性和安全性。该插件之所以受欢迎，部分原因在于其营销宣传将其定位为WordPress内置邮件功能的更可靠、功能更全面的替代品。

根据Patchstack的报告，一名道德黑客负责任地披露了Post SMTP插件中的一个严重漏洞。该漏洞允许本应只有低权限的网站用户（如订阅者）拦截WordPress网站发送的任何邮件，包括发送给任何用户的密码重置邮件。利用这些信息，低权限用户将能够夺取管理员级别账户的控制权，导致完全站点接管。

插件开发者WPExperts的Saad Iqbal认真对待该报告，并在三天内提供了潜在补丁，经确认该补丁解决了被命名为CVE-2025-24000的漏洞。6月11日，Iqbal发布了Post SMTP插件3.3.0版本，其中包含对该漏洞的修复。

你可能会认为这是故事的圆满结局——但事实并非如此。问题是，根据WordPress.org的数据，该插件40万+活跃用户中超过10%仍在运行易受攻击的3.1版本（此处以紫色显示）。正如Bleeping Computer报道，令人担忧的是24.2%的网站（近10万个）仍在运行Post SMTP 2.x.x版本——这使得它们面临更多已知漏洞和安全缺陷。

那么，你能做什么？首先，如果你管理WordPress网站，请更新其插件。任何过时的插件都可以通过访问WordPress内的wp-admin仪表板进行更新。如果你觉得合适，甚至可以设置WordPress插件在新版本可用时自动更新。

此外，问问自己正在采取什么措施来加固你的网站和WordPress安装？例如，你是否将网站管理界面的访问限制在特定IP地址？是否设置了多因素认证？是否检查了网站上安装的插件和主题，并移除了不再需要的？

打补丁显然是明智的，应尽早进行，但永远不要忘记，额外的保护层可以超越补丁——或许能更主动地防御系统免受攻击。