Zbog greške u popularnom WordPress pluginu ugroženo više od 200.000 sajtova

Vesti, 30.07.2025, 12:00 PM

Više od 200.000 veb sajtova koji koriste ranjivu verziju popularnog WordPress plugina Post SMTP mogli bi biti laka meta za hakere.

Post SMTP je dodatak koji koristi oko 400.000 WordPress veb sajtova kako bi poboljšali pouzdanost i bezbednost isporuke e-pošte. Dodatak se pokazao popularnim delimično zbog svog marketinga koji ga predstavlja kao pouzdaniju i potpuno funkcionalnu zamenu za podrazumevanu funkcionalnost e-pošte ugrađenu u WordPress.

Prema izveštaju Patchstack-a, jedan etički haker je otkrio ozbiljnu ranjivost u Post SMTP-u. Greška omogućava korisnicima veb sajta sa minimalnim privilegijama, kao što su pretplatnici, da presretnu sve imejlove koje sajt šalje, uključujući poruke za resetovanje lozinki, bilo kom korisniku. Koristeći ove informacije, napadač može da preuzme administratorski nalog i u potpunosti kompromituje sajt.

Saad Ikbal iz WPExperts-a, koji je programer Post SMTP-a, brzo je reagovao i u roku od tri dana, 11. juna, objavio verziju 3.3.0 koja je uključivala zakrpu za grešku. Ranjivost je registrovana pod oznakom CVE-2025-24000.

Ali ako ste mislili da je ovo srećan kraj priče - nije. Problem je u tome što je, prema WordPress.org, samo 49,1% od više od 400.000 aktivnih instalacija plugina ažurirano na ispravljenu verziju 3.3.0.

Zabrinjavajućih 24,2% sajtova (skoro 100.000) i dalje koristi Post SMTP verziju 2.x..x - što ih čini ranjivim.

Šta možete da uradite? Najpre, odmah ažurirajte sve WordPress dodatke u wp-admin, a ako bi vam bilo lakše, možete uključiti automatska ažuriranja dodataka.

Drugo, obezbedite dodatne slojeve zaštite: ograničite pristup admin panelu po IP adresama, uključite višefaktorsku autentifikaciju, uklonite neaktivne dodatke i teme, i proverite ko ima pristup vašem sajtu.