WordPress Post SMTP插件嚴重漏洞威脅40萬網站 攻擊者已發動逾4500次攻擊
回到上一頁

WordPress Post SMTP插件嚴重漏洞威脅40萬網站 攻擊者已發動逾4500次攻擊

2025-11-06
全球最受歡迎的內容管理系統WordPress正面臨一場嚴峻的安全危機。一款名為Post SMTP的熱門插件曝露出一項關鍵漏洞,影響高達40萬個網站,讓駭客能夠輕易接管使用者帳戶與整個網站。根據資安公司Wordfence的最新報告,攻擊者已在11月1日起展開行動,已被攔截超過4500次攻擊,專家警告,這可能只是風暴前的寧靜,預期大規模攻擊即將來襲。對於台灣數以萬計的中小企業與部落客來說,這不僅是技術問題,更是潛在的商業與隱私災難。
 
WordPress作為全球網站建置的龍頭,據統計佔據超過43%的網站市場,在台灣更是無所不在,從個人部落格到政府機關、電商平台,都仰賴其簡易的開源架構。Post SMTP插件則是其核心輔助工具之一,主要用來取代WordPress預設的PHP郵件功能,轉而採用更可靠的SMTP伺服器發送電子郵件,並提供郵件記錄與除錯功能。自推出以來,這款插件已累積超過40萬次下載,深受開發者與網站管理員青睞。然而,一項隱藏在插件核心的致命缺陷,正讓這些網站成為駭客的獵物。
 
這項漏洞被正式編號為CVE-2025-11833,由美國國家漏洞資料庫(NVD)評為9.8分的嚴重等級,意味著其風險極高且易於遠端執行。Wordfence資安研究員István Márton在公司部落格中詳細剖析,問題出在插件的PostmanEmailLogs類別建構函式(__construct)中,該函式負責顯示記錄的電子郵件訊息,但完全缺少權限檢查機制。這使得未經認證的駭客能夠任意存取任何已記錄的郵件內容,包括最敏感的密碼重設電子郵件。
 
想像一下:駭客只需透過簡單的HTTP請求,就能觸發網站管理員的密碼重設流程。系統會自動產生一個臨時重設金鑰,並透過Post SMTP插件發送郵件。因為漏洞的存在,駭客同時也能從郵件記錄中竊取這把「金鑰」。接著,他們只需點擊郵件連結、輸入新密碼,即可登入管理員帳戶,從而完全掌控網站。Márton強調,「這項漏洞讓未經授權的威脅行為者能輕鬆接管網站,無需任何額外工具或社工工程。」
 
Wordfence的發現過程堪稱教科書級的資安合作典範。漏洞於10月10日首次引入插件程式碼,同一天,一位化名「netranger」的資安研究員便透過Wordfence的漏洞懸賞計劃提交報告。這位研究員僅花費一天時間就識破缺陷,並獲得7800美元獎金。Wordfence隨即通知Post SMTP開發團隊,後者於10月29日緊急發布3.6.1版本修補程式。Márton呼籲所有使用者立即更新,「考慮到漏洞的嚴重性,我們強烈建議WordPress使用者盡快驗證並升級到最新版本,以避免網站被入侵。」
 
然而,更新並非萬靈丹。Wordfence的監測數據顯示,攻擊已在11月1日零星爆發,至11月5日已累計超過4500次被其防火牆攔截。這些攻擊多來自自動化掃描工具,針對全球WordPress站台發動大規模探測。Márton預測,「我們預期在接下來幾天內,將有一場大型攻擊運動展開。」這不僅限於英文網站,亞洲地區包括台灣的站台也已成為目標。台灣資安專家指出,許多本地網站管理員習慣延遲更新插件,導致暴露風險更高。
 
為何這項漏洞如此致命?除了技術層面,Post SMTP的普及性是關鍵。它不僅處理一般通知郵件,還負責密碼重設、使用者註冊等核心功能。一旦駭客接管,他們能像正常管理員般操作:上傳惡意插件或主題檔案、植入後門程式,甚至修改網站內容,將訪客導向釣魚頁面或散播惡意軟體。更可怕的是,這可作為跳板,發動後續攻擊,如竊取使用者資料庫、發送垃圾郵件,或甚至用於國家級網路間諜活動。回想近期相關事件,如北韓駭客組織Kimsuky針對南韓使用者的HTTPTroy後門攻擊,或Android惡意軟體竊取加密錢包,這類插件漏洞往往成為連鎖反應的起點。
 
在台灣脈絡下,這場危機的影響不容小覷。根據台灣網路資訊中心(TWNIC)數據,2024年台灣有超過50萬個活躍WordPress網站,其中許多屬於中小企業,依賴插件如Post SMTP來處理訂單確認與客戶通訊。若遭入侵,不僅損失金錢,還可能洩露客戶隱私,引發GDPR或個資法罰則。資安公司趨勢科技(Trend Micro)台灣分公司已發出警示,建議使用者啟用雙因素認證(2FA)並定期審核插件權限。
 
為防範CVE-2025-11833,Wordfence已為其付費用戶(Premium、Wordfence Care及Response)推送防火牆規則,自動阻擋常見利用手法。免費版使用者則需等到11月14日才能獲得相同保護。在此之前,專家建議以下緩解措施:
  1. 立即更新插件:登入WordPress後台,檢查Post SMTP版本是否為3.6.1以上。若未更新,停用插件並手動下載修補檔。
  2. 強化存取控制:在wp-config.php中加入額外驗證碼,並限制管理員IP僅允許台灣本地連線。
  3. 監測郵件記錄:定期清除舊有郵件日誌,避免敏感資料殘留。同時,改用外部SMTP服務如Google Workspace,減少依賴插件。
  4. 部署資安工具:安裝如Sucuri或iThemes Security的掃描器,偵測異常登入。對於企業級網站,考慮遷移至雲端託管如AWS Lightsail,內建自動更新。
  5. 教育使用者:台灣WordPress社群應加強宣傳,舉辦線上研討會,教導如何辨識釣魚郵件與異常流量。
 
WordPress生態系的脆弱性並非新鮮事。過去如2021年的Elementor Pro漏洞或2023年的WooCommerce擴充套件攻擊,都曾導致數十萬網站淪陷。開發者團隊雖積極修補,但開源本質意味著更新滯後往往致命。Márton在報告中感慨,「插件的廣泛安裝基數,正是駭客青睞的攻擊面。」
 
面對這波威脅,台灣政府與產業界也應行動。數位發展部(數發部)可考慮推出WordPress安全指南,補助中小企業進行漏洞掃描。同時,呼籲開發者強化程式碼審核,引入自動化測試以防類似疏失。
 
總之,這項Post SMTP漏洞不僅是技術警訊,更是數位時代的集體提醒:便利往往伴隨風險。網站管理員若不及時應對,可能付出高昂代價。Wordfence的及時披露與修補,值得肯定,但防患於未然,才是王道。讓我們共同守護網路安全,確保台灣的數位生態茁壯。
 
 
出處:本新聞參考自Elizabeth Montalbano於2025年11月5日發表於Dark Reading的報導《Critical Site Takeover Flaw Affects 400K WordPress Sites》。