200.000 WordPress-Websites sind aufgrund einer Sicherheitslücke im Post SMTP-Plugin von einer Übernahme bedroht

Über 200.000 Websites, die eine anfällige Version eines beliebten WordPress-Plugins verwenden, könnten Gefahr laufen, von Hackern gekapert zu werden.

Das Post SMTP-Plugin ist ein Add-on, das von etwa 400.000 WordPress-basierten Websites verwendet wird, um die Zuverlässigkeit und Sicherheit ihrer E-Mail-Zustellung zu verbessern. Das Plugin ist unter anderem deshalb so beliebt, weil es in der Werbung als zuverlässigerer und funktionsreicherer Ersatz für die in WordPress integrierte Standard-E-Mail-Funktion präsentiert wird.

Laut einem Bericht von Patchstack hat ein ethischer Hacker verantwortungsbewusst eine schwerwiegende Sicherheitslücke im Post SMTP-Plugin offengelegt.

Die Schwachstelle ermöglichte es Website-Benutzern, die nur über geringe Berechtigungen verfügen sollten, wie z. B. Abonnenten, alle von der WordPress-Website gesendeten E-Mails abzufangen, einschließlich E-Mails zum Zurücksetzen von Passwörtern an beliebige Benutzer. Mit diesen Informationen konnte ein Benutzer mit geringen Berechtigungen die Kontrolle über ein Konto auf Administratorebene übernehmen, was zu einer vollständigen Übernahme der Website führte.

Saad Iqbal von WPExperts, der Entwickler des Plugins, nahm den Bericht ernst und stellte innerhalb von drei Tagen einen potenziellen Patch zur Verfügung, der die Sicherheitslücke – die den Namen CVE-2025-24000 erhalten hatte – nachweislich beheben konnte.

Am 11. Juni veröffentlichte Iqbal die Version 3.3.0 des Post SMTP-Plugins, die den Patch für die Schwachstelle enthielt.

Man könnte meinen, dass dies ein Happy End der Geschichte ist – aber das ist es nicht.

Das Problem ist, dass laut WordPress.org nur 49,1 % der über 400.000 aktiven Installationen des Plugins auf die korrigierte Version 3.3.0 aktualisiert wurden.

Wie Bleeping Computer berichtet, laufen besorgniserregende 24,2 % der Websites (fast 100.000) immer noch mit Post SMTP Version 2.x..x – wodurch sie noch mehr bekannten Schwachstellen und Sicherheitslücken ausgesetzt sind.

Was können Sie also tun?

Nun, das Wichtigste zuerst. Wenn Sie eine WordPress-Website verwalten, aktualisieren Sie deren Plugins.

Alle veralteten Plugins können über Ihr wp-admin-Dashboard in WordPress aktualisiert werden. Wenn Sie sich damit auskennen, können Sie WordPress-Plugins sogar so einstellen, dass sie automatisch aktualisiert werden, sobald neue Versionen verfügbar sind.

Fragen Sie sich außerdem, was Sie tun, um Ihre Website und Ihre WordPress-Installation zu sichern. Beschränken Sie beispielsweise den Zugriff auf die Admin-Oberfläche Ihrer Website auf bestimmte IP-Adressen? Haben Sie eine Multi-Faktor-Authentifizierung eingerichtet? Haben Sie überprüft, welche Plugins und Themes Sie auf Ihrer Website installiert haben, und alle nicht mehr benötigten entfernt?

Das Patchen ist natürlich sinnvoll und sollte so früh wie möglich erfolgen, aber vergessen Sie nie, dass zusätzliche Schutzebenen über Patches hinausgehen können – und möglicherweise proaktiver bei der Verteidigung Ihrer Systeme gegen Angriffe sind.