Уязвимость в плагине Gravity SMTP для WordPress: как хакеры крадут API-ключи

В последние месяцы киберпреступники активизировали атаки на популярный плагин Gravity SMTP для WordPress, используемый примерно на 100 тысячах сайтов. Уязвимость средней тяжести CVE-2026-4020 (оценка CVSS 5,3) позволяет неавторизованным пользователям получать доступ к конфиденциальным данным через небезопасный REST API. Эта проблема уже используется в массовых кампаниях, и эксперты фиксируют десятки миллионов запросов с целью похищения API-ключей, секретов и токенов OAuth. Владельцам сайтов, использующих уязвимую версию плагина, необходимо срочно принять меры для защиты.

Что такое Gravity SMTP и почему уязвимость критична

Gravity SMTP — это плагин для WordPress, который обеспечивает корректную отправку почтовых уведомлений через сторонние SMTP-сервисы. Он интегрируется с различными почтовыми провайдерами, такими как SendGrid, Mailgun или Amazon SES, и требует настройки API-ключей для работы. По данным разработчиков, плагин установлен на более чем 100 тысячах сайтов, что делает его привлекательной мишенью для злоумышленников.

Уязвимость CVE-2026-4020 возникает из-за неправильной настройки REST API-эндпоинта /wp-json/gravitysmtp/v1/tests/mock-data. Этот эндпоинт предназначен для тестирования, но из-за ошибки в функции permission_callback он доступен без аутентификации. При добавлении параметра ?page=gravitysmtp-settings сервер возвращает около 365 КБ данных в формате JSON, содержащих полный системный отчёт, включая API-ключи, секреты и конфигурации интеграций. Таким образом, любой посетитель сайта может получить доступ к критически важной информации без необходимости входа в административную панель.

Как происходит эксплуатация уязвимости

Атака начинается с отправки простого HTTP-запроса GET на уязвимый эндпоинт. Злоумышленники используют параметр ?page=gravitysmtp-settings, чтобы заставить плагин вернуть системный отчёт. В результате сервер отвечает объёмным JSON-файлом, который содержит не только API-ключи для отправки почты, но и детали конфигурации сайта, включая версии установленных плагинов, настройки сервера и другие данные, которые могут быть использованы для последующих атак.

Эксперты отмечают, что похищенные API-ключи позволяют злоумышленникам отправлять поддельные письма от имени сайта, что может быть использовано для фишинговых атак или рассылки спама. Кроме того, детальная информация о программном обеспечении сайта значительно упрощает подготовку к дальнейшим атакам, таким как эксплуатация других уязвимостей или подбор учётных данных. Таким образом, последствия могут выходить за рамки простого похищения данных и приводить к полноценным вторжениям в инфраструктуру.

Масштабы атак и активность злоумышленников

С момента публикации информации об уязвимости киберпреступники начали массовые атаки. По данным исследователей, с начала мая 2026 года было зафиксировано более 17 миллионов попыток эксплойта CVE-2026-4020. Первые атаки начались в мае, но их интенсивность резко возросла в начале июня, достигнув пика в 4 миллиона запросов в день. Злоумышленники используют различные IP-адреса, что затрудняет блокировку атак на уровне сетевых фильтров.

Аналитики связывают всплеск активности с тем, что уязвимость была исправлена только в версии 2.1.5 плагина, а многие владельцы сайтов ещё не обновили программное обеспечение. Кроме того, простота эксплуатации уязвимости — отправка одного HTTP-запроса — делает её привлекательной для автоматизированных ботнетов, которые сканируют интернет в поисках уязвимых сайтов. Таким образом, угроза касается не только отдельных ресурсов, но и всей экосистемы WordPress.

Кто подвержен риску и какие данные могут быть скомпрометированы

Основную угрозу представляют владельцы сайтов, которые используют уязвимую версию Gravity SMTP и настроили интеграцию с внешними почтовыми сервисами. Если на сайте установлена версия плагина ниже 2.1.5, велика вероятность, что API-ключи и другие секреты уже были похищены. Даже если атака не была замечена, эксперты рекомендуют считать такие сайты скомпрометированными и предпринять меры по смене учётных данных.

Кроме API-ключей, злоумышленники могут получить доступ к следующим данным:

• Конфигурации SMTP-серверов, включая адреса и порты.
• OAuth-токены, используемые для интеграции с почтовыми провайдерами.
• Детали системного отчёта, включая версии плагинов и тем WordPress.
• Логи ошибок и другую диагностическую информацию.

Эти данные могут быть использованы для рассылки спама, фишинговых атак, а также для подготовки к более сложным атакам, таким как внедрение вредоносного кода или кража пользовательских данных.

Как защитить свой сайт: пошаговые рекомендации

Если ваш сайт использует Gravity SMTP, первым делом необходимо обновить плагин до версии 2.1.5 или выше. Это закроет уязвимость и предотвратит дальнейшие попытки эксплойта. Однако одного обновления недостаточно — владельцам сайтов следует предпринять дополнительные меры для минимизации рисков.

1. Смена API-ключей и учётных данных После обновления плагина необходимо сменить все API-ключи и секреты, которые могли быть скомпрометированы. Это касается не только ключей Gravity SMTP, но и учётных данных для интеграции с почтовыми сервисами. Используйте уникальные и сложные пароли, а также двухфакторную аутентификацию для доступа к административной панели.

2. Проверка системных логов Изучите логи сервера и плагина на предмет подозрительных запросов. Обратите внимание на необычные GET-запросы к эндпоинту /wp-json/gravitysmtp/v1/tests/mock-data с параметром ?page=gravitysmtp-settings. Если такие записи обнаружены, это может свидетельствовать о попытке атаки.

3. Мониторинг активности Установите системы мониторинга, которые будут оповещать вас о подозрительных действиях на сайте. Это могут быть как специализированные плагины для WordPress, так и внешние сервисы безопасности. Также регулярно проверяйте обновления для всех установленных плагинов и тем.

4. Ограничение доступа к API Если функционал плагина не требует публичного доступа к API-эндпоинтам, рассмотрите возможность их отключения или ограничения доступа по IP-адресам. Это снизит риск эксплуатации уязвимостей в будущем.

5. Резервное копирование и план восстановления Регулярно создавайте резервные копии сайта и базы данных. В случае успешной атаки это позволит быстро восстановить работоспособность ресурса. Убедитесь, что резервные копии хранятся в безопасном месте и не доступны для злоумышленников.

Почему уязвимости в плагинах WordPress становятся массовыми проблемами

Проблема уязвимостей в плагинах WordPress не нова, но её масштабы продолжают расти. Это связано с несколькими факторами:

• Широкое распространение: WordPress используется более чем на 40% всех сайтов в интернете, а количество плагинов превышает 60 тысяч. Даже небольшая уязвимость в популярном плагине может затронуть тысячи сайтов.
• Сложность обновлений: Многие владельцы сайтов не обновляют плагины регулярно из-за страха нарушить работу сайта или отсутствия времени. Это оставляет их уязвимыми для известных атак.
• Автоматизация атак: Злоумышленники используют автоматизированные инструменты для сканирования интернета в поисках уязвимых сайтов. Даже средняя уязвимость может быть использована в массовых кампаниях.

Gravity SMTP — не первый и не последний плагин, который стал мишенью для киберпреступников. В 2025 году аналогичные атаки происходили на плагины для резервного копирования, формы обратной связи и SEO-оптимизации. Это подчёркивает необходимость комплексного подхода к безопасности WordPress: регулярные обновления, мониторинг, резервное копирование и использование специализированных средств защиты.

Какие ещё угрозы могут возникнуть после эксплуатации уязвимости

После успешной эксплуатации уязвимости CVE-2026-4020 злоумышленники получают не только API-ключи, но и детальную информацию о конфигурации сайта. Это открывает возможности для дальнейших атак:

• Фишинг и социальная инженерия: Похищенные API-ключи могут быть использованы для отправки поддельных писем от имени сайта, что повышает доверие к фишинговым атакам.
• Рассылка спама: Злоумышленники могут использовать скомпрометированные SMTP-серверы для рассылки спама, что негативно скажется на репутации сайта и может привести к его блокировке почтовыми провайдерами.
• Подготовка к более сложным атакам: Детальная информация о программном обеспечении сайта позволяет злоумышленникам подбирать эксплойты для других уязвимостей, таких как уязвимости в ядре WordPress или других плагинах.
• Кража пользовательских данных: Если на сайте хранятся личные данные пользователей, злоумышленники могут использовать полученную информацию для подготовки к атакам на аккаунты.

Таким образом, последствия эксплуатации уязвимости выходят за рамки простого похищения данных и могут привести к серьезным репутационным и финансовым потерям.

Что делать, если ваш сайт уже атакован

Если вы подозреваете, что ваш сайт стал жертвой атаки через уязвимость в Gravity SMTP, действуйте незамедлительно:

1. Отключите плагин Gravity SMTP до полной проверки и обновления. Это предотвратит дальнейшую утечку данных.
2. Замените все API-ключи и учётные данные, которые могли быть скомпрометированы. Это касается не только ключей Gravity SMTP, но и учётных данных для почтовых сервисов и других интеграций.
3. Проведите аудит безопасности. Используйте специализированные инструменты или обратитесь к профессионалам для проверки сайта на наличие вредоносного кода или других уязвимостей.
4. Уведомите пользователей о возможной компрометации данных, если на сайте хранилась личная информация. Это поможет сохранить доверие и избежать юридических последствий.
5. Восстановите сайт из резервной копии, если атака привела к изменению контента или внедрению вредоносного кода.

Помните, что даже после устранения последствий атаки необходимо продолжать мониторинг сайта и регулярно обновлять программное обеспечение для предотвращения новых инцидентов.

Выводы: уроки для владельцев сайтов и разработчиков

Уязвимость в Gravity SMTP — это очередное напоминание о том, что безопасность WordPress требует постоянного внимания. Владельцам сайтов необходимо:

• Регулярно обновлять плагины и темы до последних версий.
• Использовать надёжные пароли и двухфакторную аутентификацию.
• Устанавливать системы мониторинга и резервного копирования.
• Проводить аудиты безопасности, особенно после обнаружения новых уязвимостей.

Разработчикам плагинов следует уделять больше внимания безопасности API-эндпоинтов и регулярно проводить аудиты кода на предмет уязвимостей. Использование правильных методов аутентификации, таких как проверка прав доступа, может предотвратить подобные инциденты в будущем.

Киберпреступники не останавливаются, и новые уязвимости появляются регулярно. Только комплексный подход к безопасности позволит защитить сайты от массовых атак и сохранить доверие пользователей.