200 000 sites WordPress vulnérables en raison du plugin Post SMTP

Plus de 200 000 sites web utilisant une version vulnérable d'un plugin WordPress populaire pourraient être exposés au risque d'être piratés par des hackers.

Le plugin Post SMTP est un module complémentaire utilisé par environ 400 000 sites web fonctionnant sous WordPress afin d'améliorer la fiabilité et la sécurité de l'envoi de leurs e-mails. Ce plugin a connu un grand succès, en partie grâce à son marketing qui le présente comme un remplacement plus fiable et plus complet de la fonctionnalité de messagerie électronique intégrée par défaut à WordPress.

Selon un rapport de Patchstack, un pirate informatique éthique a divulgué de manière responsable une grave vulnérabilité dans le plugin Post SMTP.

Cette faille permettait aux utilisateurs du site web qui ne devraient avoir que des privilèges limités, tels que les abonnés, d'intercepter tous les e-mails envoyés par le site web WordPress, y compris les e-mails de réinitialisation de mot de passe destinés à tous les utilisateurs. Grâce à ces informations, un utilisateur disposant de faibles privilèges pouvait prendre le contrôle d'un compte de niveau administrateur, ce qui lui permettait de prendre le contrôle total du site.

Saad Iqbal de WPExperts, le développeur du plugin, a pris ce rapport au sérieux et a fourni en trois jours un correctif potentiel qui a permis de résoudre la vulnérabilité, baptisée CVE-2025-24000.

Le 11 juin, M. Iqbal a publié la version 3.3.0 du plugin Post SMTP, qui incluait le correctif pour la faille.

Vous pourriez penser que l'histoire se termine bien, mais ce n'est pas le cas.

Vous voyez, le problème est que, selon WordPress.org, seulement 49,1 % des plus de 400 000 installations actives du plugin ont été mises à jour vers la version corrigée 3.3.0.

Comme le rapporte Bleeping Computer, 24,2 % des sites (près de 100 000) fonctionnent toujours avec la version 2.x..x de Post SMTP, ce qui les expose à encore plus de vulnérabilités et de failles de sécurité connues.

Alors, que pouvez-vous faire ?

Tout d'abord, si vous administrez un site web WordPress, mettez à jour ses plugins.

Tous les plugins obsolètes peuvent être mis à jour en vous rendant sur votre tableau de bord wp-admin dans WordPress. Si vous vous sentez à l'aise, vous pouvez même configurer les plugins WordPress pour qu'ils se mettent à jour automatiquement dès qu'une nouvelle version est disponible.

De plus, demandez-vous ce que vous faites pour renforcer la sécurité de votre site web et de votre installation WordPress. Par exemple, limitez-vous l'accès à l'interface d'administration de votre site web à des adresses IP spécifiques ? Avez-vous mis en place une authentification multifactorielle ? Avez-vous vérifié les plugins et les thèmes que vous avez installés sur votre site web et supprimé ceux qui ne sont plus nécessaires ?

L'application de correctifs est évidemment judicieuse et doit être effectuée dès que possible, mais n'oubliez jamais que des couches de protection supplémentaires peuvent aller au-delà des correctifs et être peut-être plus proactives dans la défense de vos systèmes contre les attaques.