SPAM de correo por tu Jetpack

Jetpack es uno de los plugins de WordPress que se consideran indispensables. Indispensable porque incorpora a tu WordPress bastantes añadidos que os pueden hacer la vida más fácil. El problema es que con cada nuevo poder conlleva una nueva responsabilidad…

El problema

En este caso, Jetpack tiene una opción para compartir. Compartir sirve, entre otras cosas, para poder poner enlaces típicos estándar para enviar la entrada o página. Este “añadido” dispone de un botón para enviar por correo.

Hasta aquí todo perfecto, pero lo que mucha gente no sabe es que dicho “botón” incluido en Jetpack tiene la posibilidad de un ataque via GET o POST que hace o permite el envío de correos a partir de ahí.

Como el envío se hace por el mail del PHP (que esta unido al de la maquina o no), cualquier WordPress está afectado de esta vulnerabilidad del Jetpack.

¿Como solucionarlo?

Muy sencillo. Podéis poner un reCAPTCHA a dicho “botón” que, funcionara para todo envío de correo de WordPress.

Para ello simplemente tenéis que añadir las siguientes lineas en vuestro wp-config.php

define('RECAPTCHA_PUBLIC_KEY', 'XXXXXXX');
define('RECAPTCHA_PRIVATE_KEY', 'XXXXXXX');

Donde, la clave publica y la privada podéis obtenerla en la propia página del reCAPTCHA de Google donde, seguramente, os toque daros de alta (o no).

Una vez puesto, cuando alguien intente enviar un correo (o lo intente via GET o POST) necesitara haber “pasado” el reCAPTCHA.

tuti

Técnico en Comunicación Interna de la UVa

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *