{"id":962,"date":"2017-10-10T17:50:30","date_gmt":"2017-10-10T17:50:30","guid":{"rendered":"http:\/\/blog.platiniumhost.com\/?p=962"},"modified":"2017-10-10T17:58:53","modified_gmt":"2017-10-10T17:58:53","slug":"vulnerabilidad-de-postman-smtp-en-wordpress","status":"publish","type":"post","link":"https:\/\/platiniumhost.com\/blog\/vulnerabilidad-de-postman-smtp-en-wordpress\/","title":{"rendered":"Vulnerabilidad de \u201cPostman SMTP\u201d en WordPress"},"content":{"rendered":"

La semana pasada desapareci\u00f3 del repositorio de plugin de WordPress el plugin\u00a0Postman SMTP<\/strong>.<\/p>\n

Esto es debido a que se detect\u00f3 una vulnerabilidad en el plugin pero el autor del mismo no ha sido capaz o no ha querido, solucionarla.<\/p>\n

WordPress.org<\/strong>\u00a0decidi\u00f3 entonces eliminarlo del repositorio siendo imposible encontrarlo a la hora de escribir este art\u00edculo.<\/p>\n

En estos momentos tampoco podemos saber sin el autor del plugin va a realizar alguna actualizaci\u00f3n del mismo para solucionar el problema que se ha detectado.
\nTengo Instalado Postman SMTP, \u00bfEstoy en Peligro?<\/strong><\/p>\n

Seg\u00fan parece, ha sido un investigador an\u00f3nimo el que en una prueba de concepto, detect\u00f3 y demostr\u00f3 la vulnerabilidad del plugin\u00a0Postman SMTP<\/strong>. Esta informaci\u00f3n se la envi\u00f3 al autor de plugin para avisarle pero parece que el plugin est\u00e1 abandonado por su creador y no tiene pinta de ser solucionado.<\/p>\n

No hay indicios de que se haya producido ning\u00fan ataque usando este plugin m\u00e1s de la prueba de concepto que realiz\u00f3 el investigador de seguridad an\u00f3nimo, por lo que\u00a0no hay motivos para pensar que alg\u00fan atacante haya usado esta vulnerabilidad<\/strong>, al menos por ahora.<\/p>\n


\n\u00bfTengo que Desinstalar Postman SMTP de WordPress<\/strong><\/p>\n

Pese a que no existe ninguna alerta sobre alg\u00fan ataque del plugin la vulnerabilidad existe y\u00a0no hay nada que impida que un atacante use dicha vulnerabilidad<\/strong>.<\/p>\n

Adem\u00e1s, que WordPress lo haya eliminado de su repositorio tambi\u00e9n es muy significativo y aunque no hay un comunicado oficial indicando el porqu\u00e9 de la retirada del plugin, una de las causas m\u00e1s comunes son los problemas de seguridad no resueltos.<\/p>\n

As\u00ed que si se est\u00e1 usando el plugin Postman SMTP o se tiene instalado,\u00a0se recomienda eliminarlo lo antes posible<\/strong>\u00a0y buscar una soluci\u00f3n alternativa.<\/p>\n

\u00bfPara que Serv\u00eda Postman SMTP?<\/h2>\n

WordPress hace muchas cosas y muchas de ellas muy bien, pero una de ellas no es el env\u00edo de emails autenticados.<\/p>\n

Como para casi toda falta de funci\u00f3n en WordPress, aparecieron varios plugins para solucionar esto, siendo uno de ellos\u00a0Postman SMTP<\/strong>.<\/p>\n

No enviar correos autentificados es cada vez un problema mayor, ya que en muchas ocasiones los filtros antispam\"\" de sitios como Outlook o Gmail, etc\u2026 los marcan directamente como\u00a0correo no deseado o spam<\/strong>.<\/p>\n

Postman SMTP<\/strong>\u00a0era un buen plugin que supla esta falta de una manera muy sencilla, lo que solucionaba el problema de los env\u00edos de email que WordPress realizaba.<\/p>\n

Este es uno de esos plugins de WordPress que una vez se instala y se configura, s\u00f3lo hay que volver a preocuparse de el para actualizarlo de manera ocasional, as\u00ed que\u00a0es posible que lo est\u00e9n usando miles de instalaciones<\/strong>\u00a0de WordPress.<\/p>\n

\u00bfC\u00f3mo Afectaba la Vulnerabilidad de Postman SMTP?<\/h2>\n

La vulnerabilidad encontrada en el plugin fuel del tipo\u00a0XSS<\/strong>, que viene del ingl\u00e9s\u00a0Cross-site scriping<\/em>.<\/p>\n

Este tipo de vulnerabilidad son muy habituales en las aplicaciones web y permita al atacante inyectar alg\u00fan tipo de\u00a0c\u00f3digo malicioso<\/strong>.<\/p>\n

Este tipo de ataques puede utilizarse para conseguir informaci\u00f3n delicada, como emails o contrase\u00f1as, secuestrar sesiones de usuarios logueados, etc\u2026<\/p>\n

Por este motivo es muy recomendable\u00a0eliminar el plugin Postman SMTP<\/strong>\u00a0de cualquier instalaci\u00f3n de WordPress en el que se encuentre.<\/p>\n

\"Postman<\/p>\n

Recuerda..<\/h2>\n

En PlatiniumHost nos preocupamos mucho por la seguridad de nuestros servidores, por eso analizamos todas las instalaciones de WordPress\u00a0en busca de alg\u00fan tipo de c\u00f3digo malicioso<\/strong>\u00a0que pueda alterar el correcto funcionamiento del sitio web.<\/p>\n

Adem\u00e1s, con nuestro\u00a0hosting WordPress<\/strong>\u00a0te ayudaremos en todo momento si alg\u00fan tipo de c\u00f3digo consigue inyectarse en tu WordPress.<\/p>\n

Aislaremos los archivos infectados en una\u00a0cuarentena<\/em>\u00a0y te avisaremos para que puedas revisarlos y eliminarlos o sustituirlos en cada caso.<\/p>\n

Adem\u00e1s, todos nuestros alojamientos web WordPress vienen con el\u00a0panel de control cPanel<\/strong>\u00a0y discos\u00a0SSD<\/strong>, adem\u00e1s de servicio de soporte t\u00e9cnico telef\u00f3nico y por email.<\/p>\n

 <\/p>\n

Conoce nuestros planes de hosting aqui<\/a><\/p>\n

 <\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

La semana pasada desapareci\u00f3 del repositorio de plugin de WordPress el plugin\u00a0Postman SMTP. Esto es debido a que se detect\u00f3 una vulnerabilidad en el plugin pero el autor del mismo no ha sido capaz o no ha querido, solucionarla. WordPress.org\u00a0decidi\u00f3 entonces eliminarlo del repositorio siendo imposible encontrarlo a la hora de escribir este art\u00edculo. En…<\/p>\n","protected":false},"author":1,"featured_media":965,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[151],"tags":[21,12,20,146,18,5,62,28],"class_list":["post-962","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wordpress","tag-alojamiento","tag-blog","tag-hosting","tag-informatica","tag-internet","tag-platinium-host","tag-seguridad","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/posts\/962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/comments?post=962"}],"version-history":[{"count":0,"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/posts\/962\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/media\/965"}],"wp:attachment":[{"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/media?parent=962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/categories?post=962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/platiniumhost.com\/blog\/wp-json\/wp\/v2\/tags?post=962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}