Heute bringen wir eine gute Nachricht für alle Benutzer des Postman SMTP- Plugins für WordPress , da es zum offiziellen Repository zurückkehrt, aber mit einem neuen Namen. Das ursprüngliche Plugin wurde Anfang des Monats entfernt, da es eine vor einigen Monaten gemeldete XSS-Schwachstelle aufweist und von seinem Entwickler nicht behoben wurde.
Das WordPress-Team hat versucht, den ursprünglichen Entwickler Jason Hendriks zu kontaktieren, um ihn über die Notwendigkeit des Ausbesserns der Sicherheitslücke zu informieren. Da die Kommunikation nicht möglich war, haben sie beschlossen, das Plugin zu entfernen, um zu verhindern, dass weitere WordPress-Installationen kompromittiert werden.
Das Postman SMTP-Plugin wurde in mehr als 100.000 WordPress-Blogs installiert. Ein dritter Entwickler namens Yehuda Hassine hat beschlossen, die Sicherheitsanfälligkeit zu beheben und das Plugin unter einem anderen Namen neu zu starten .
Das Postman SMTP-Plugin kehrt zum WordPress-Plugin-Repository mit dem Namen Post SMTP Mailer / Email Log zurück.
In einem ersten Versuch versuchte Yehuda Hassine, das Plugin zu übernehmen, aber das WordPress-Team lehnte seine Anfrage ab. Der nächste Schritt dieses Entwicklers bestand darin, den Plugin-Code für die in GitHub behobene Sicherheitsanfälligkeit freizugeben. Auf diese Weise ist es jedoch schwieriger, Benutzer zu erreichen. Schließlich entschloss er sich, das Plugin unter dem Namen «Post SMTP Mailer / Email Log» neu zu starten, um es im offiziellen Plugin-Repository zu veröffentlichen und so die Benutzer zu erreichen. Sie finden es in diesem Link .
Diese neue Version fügt auch einige Codekorrekturen hinzu, damit das Plugin ordnungsgemäß mit den APIs von Google Mail, Mandrill und SendGrid funktioniert. Wenn Sie die alte Version des Plugins verwenden, müssen Sie es nur deaktivieren und das neue Plugin aktivieren, ohne es neu konfigurieren zu müssen .
Zukunft von Post SMTP Mailer / Email Log.
Der Entwickler selbst hat mitgeteilt, dass sein nächstes Ziel darin besteht , die Kompatibilitätsprobleme des Plugins mit PHP 7 zu lösen . Gleichzeitig nutzen Sie einen Teil Ihrer Freizeit, um das SMTP-Protokoll besser zu verstehen und so den Code des Original-Plugins zu verstehen.
Seitdem diese Version für die Öffentlichkeit freigegeben wurde, haben bereits mehr als 2000 Benutzer sie installiert und die Anzahl wird mit Sicherheit weiter zunehmen.
Vorteile dieses Plugins gegenüber der Verwendung der WordPress-Standardbibliothek.
Der Hauptvorteil dieses Plugins ist, dass es die Zend_Mail Bibliothek anstelle von PHPMailer verwendet (standardmäßig in WordPress verwendet) . Diese Bibliothek bietet zusätzliche Funktionen, mit denen nicht nur das Versenden von E-Mails mit dem SMTP-Protokoll integriert werden kann , sondern auch das OAuth / OAuth2-Protokoll, um die externen Mail-Service-APIs (Gmail, Yahoo, Mandrill usw.) zu verwenden .
Ein weiterer Vorteil besteht darin, dass Sie das HTTPS-Protokoll zum Senden von E-Mails verwenden können und somit in Umgebungen, die SMTP-Ports blockieren und das Senden von E-Mails verhindern, reibungslos funktionieren .
Das Entfernen von Plugins aus dem Repository ohne Information für Benutzer ist ein großes Problem, das zu Verwirrung führt.
Alles, was mit diesem Plugin passiert ist, zeigt, dass das aktuelle System des WordPress-Teams, das darin besteht, Plugins mit Sicherheitsproblemen direkt zu entfernen, Verwirrung stiften kann. Tatsächlich wird bereits daran gearbeitet, eine bessere Kommunikation mit den Benutzern aufrechtzuerhalten, damit diese wissen, warum ein Plugin aus dem offiziellen Repository entfernt wird.