۴۰٬۰۰۰ وب‌سایت وردپرس در معرض خطر به‌ دلیل آسیب‌پذیری در افزونه Post SMTP

بیش از ۴۰٬۰۰۰ وب‌سایت وردپرسی که از نسخه آسیب‌پذیر یکی از افزونه‌های محبوب استفاده می‌کنند، در معرض خطر هک و هایجک شدن توسط مهاجمان قرار دارند.

افزونه Post SMTP که بر روی حدود ۴۰۰٬۰۰۰ وب‌سایت مبتنی بر وردپرس نصب است، با هدف بهبود قابلیت اطمینان و امنیت ارسال ایمیل‌ها مورد استفاده قرار می‌گیرد. محبوبیت این افزونه تا حد زیادی به‌دلیل بازاریابی آن است که آن را جایگزینی قابل اعتمادتر و دارای امکانات بیشتر نسبت به قابلیت ایمیل پیش‌فرض وردپرس معرفی می‌کند.

طبق گزارشی از شرکت امنیتی Patchstack، یکی از هکرهای اخلاق‌گرا به‌صورت مسئولانه یک آسیب‌پذیری جدی را در این افزونه افشا کرده است.

این آسیب‌پذیری به کاربرانی با سطح دسترسی پایین مانند مشترکان (Subscribers) امکان می‌داد تا ایمیل‌های ارسالی توسط سایت، از جمله ایمیل‌های بازنشانی رمز عبور برای سایر کاربران، را رهگیری کنند. با استفاده از این اطلاعات، یک کاربر با دسترسی پایین می‌توانست کنترل یک حساب کاربری با سطح مدیر (Administrator) را به دست بگیرد و در نتیجه، کل وب‌سایت را تصاحب کند.

سعد اقبال از تیم WPExperts، توسعه‌دهنده این افزونه، گزارش را جدی گرفت و ظرف ۳ روز یک وصله امنیتی ارائه داد که آسیب‌پذیری را برطرف می‌کرد. این نقص با شناسه CVE-2025-24000 ثبت شده است.

در تاریخ ۱۱ ژوئن، اقبال نسخه ۳.۳.۰ از افزونه Post SMTP را منتشر کرد که شامل این وصله امنیتی بود.

شاید تصور کنید داستان همین‌جا به پایان می‌رسد، اما این‌طور نیست.

مشکل اینجاست که طبق آمار سایت WordPress.org، بیش از ۱۰٪ از کاربران فعال این افزونه (یعنی ده‌ها هزار سایت) هنوز از نسخه آسیب‌پذیر ۳.۱ استفاده می‌کنند (که در نمودار مربوطه با رنگ بنفش نمایش داده شده است).

به گزارش وب‌سایت Bleeping Computer، حدود ۲۴.۲٪ از وب‌سایت‌ها (یعنی نزدیک به ۱۰۰٬۰۰۰ سایت) همچنان از نسخه‌های ۲.x.x افزونه استفاده می‌کنند که در برابر آسیب‌پذیری‌ها و مشکلات امنیتی شناخته‌شده دیگر نیز آسیب‌پذیر هستند.

حالا چه باید کرد؟
اول و مهم‌تر از همه: اگر مدیریت یک وب‌سایت وردپرسی را برعهده دارید، افزونه‌های سایت را به‌روز کنید.

برای به‌روزرسانی افزونه‌های نصب‌شده، می‌توانید از طریق پیشخوان مدیریت سایت (wp-admin) اقدام کنید. اگر آشنایی کافی دارید، حتی می‌توانید تنظیمات وردپرس را طوری تغییر دهید که افزونه‌ها به‌صورت خودکار به‌روزرسانی شوند.

علاوه بر آن، از خودتان بپرسید چه اقداماتی برای سخت‌سازی امنیتی سایت انجام داده‌اید؟
آیا دسترسی به بخش مدیریت سایت را به آی‌پی‌های مشخص محدود کرده‌اید؟
آیا احراز هویت چندمرحله‌ای (MFA) فعال است؟
آیا افزونه‌ها و قالب‌های نصب‌شده را بررسی کرده‌اید و موارد غیرضروری را حذف کرده‌اید؟

به‌روزرسانی و وصله کردن، اقدامی ضروری و اولیه است، اما فراموش نکنید که لایه‌های امنیتی بیشتر می‌توانند مکمل وصله‌ها باشند — و حتی گاهی پیشگیرانه‌تر از وصله‌ها عمل کنند.

منبع: https://www.bitdefender.com/en-us/blog/hotforsecurity/40-000-wordpress-websites-at-risk-of-being-hijacked-due-to-vulnerable-post-smtp-plugin