Saltar al contenido
Contacto
Blog

Alerta de seguridad: Vulnerabilidad crítica en Post SMTP permite tomar el control de WordPress

por Javier Chiva noviembre 7, 2025
smtp

Una nueva vulnerabilidad crítica ha sido descubierta en el plugin Post SMTP, uno de los plugins más utilizados para enviar correos electrónicos desde WordPress, con más de 400.000 instalaciones activas.

Esta falla permite que un atacante con conocimientos técnicos acceda al registro de correos enviados, incluyendo mensajes de restablecimiento de contraseña, lo que puede dar acceso directo a cuentas administrativas del sitio afectado.

Índice

    ¿Qué está pasando exactamente?

    El plugin Post SMTP mantiene un registro (log) de los correos enviados desde WordPress. Sin embargo, esta función, mal implementada en versiones recientes, expone datos sensibles sin requerir autenticación adecuada.

    ¿Qué puede hacer un atacante?

    • Acceder a enlaces de recuperación de contraseñas
    • Restablecer la contraseña de un administrador
    • Tomar control total del sitio WordPress

    ¿Qué versiones están afectadas?

    Las versiones vulnerables incluyen hasta la versión 2.5.9. Ya se ha publicado una actualización que corrige el fallo de seguridad, por lo que es urgente actualizar el plugin si lo estás utilizando.

    ¿Qué debes hacer si tienes este plugin instalado?

    Pasos recomendados:

    1. Actualiza inmediatamente Post SMTP a la última versión disponible desde el repositorio oficial.
    2. Si no necesitas guardar un registro de correos, desactiva la función de log en la configuración del plugin.
    3. Cambia las contraseñas de los usuarios con permisos de administrador por seguridad.
    4. Revisa los logs del sitio en busca de accesos sospechosos o cambios no autorizados.
    5. Considera implementar medidas adicionales como:
      • Autenticación de dos factores (2FA)
      • Plugins de seguridad como Wordfence o iThemes Security
      • Auditorías regulares de plugins y usuarios

    ¿Eres desarrollador o gestor de sitios para clientes?

    Esta es una excelente oportunidad para:

    • Ofrecer servicios de mantenimiento proactivo
    • Realizar auditorías de seguridad en instalaciones WordPress
    • Educar a tus clientes sobre la importancia de mantener los plugins actualizados

    ¿Tienes dudas sobre si tu sitio está en riesgo?
    Contáctame y revisamos tu instalación WordPress paso a paso.

    El caso de Post SMTP vuelve a recordarnos algo fundamental: la seguridad en WordPress no es opcional. Una sola vulnerabilidad puede exponer tu sitio web (y los datos de tus usuarios) a un ataque grave. Mantente actualizado, revisa tus plugins y trabaja con profesionales que puedan ayudarte a proteger tu proyecto digital.

    ¿Quieres valorar nuestro artículo?

    Valoración promedio:
    5 estrellas (84 votos)

    Powered by Javier Chiva Luis

    Opciones