В начале октября популярный плагин Postman SMTP был удален из каталога WordPress.org из-за проблем с безопасностью. Плагин не обновлялся два года и содержал в себе XSS-уязвимость, которая была обнародована в июле и до сих пор оставалась открытой. Попытки исследователя безопасности связаться с автором плагина, Джейсоном Хендриксом, не увенчались успехом.
Плагин используется для улучшения доставки электронных писем, которые генерирует WordPress, а также вносит в лог причины сбоев в доставке email, чтобы помочь исправить ошибки конфигурации. Он был установлен на более чем 100 000 сайтов до удаления с WordPress.org.
Йехуда Хассине, WordPress-разработчик и давний пользователь плагина, решил сделать форк Postman SMTP для своих пользователей. Он посчитал, что труд автора не должен пропадать впустую.
«Как поклонник той прекрасной работы, которую сделал Джейсон, я был удивлен, что никто не решился доработать плагин», — отметил Хассине. – «Это великолепный плагин – Джейсон решил очень много проблем, связанных с настройкой SMTP в WordPress. Он поработал на славу, и даже мысль о том, что все это могло пропасть, шокирует меня. За последние два года плагин исправно работал и практически не содержал в себе багов».
Форк Хассине был представлен сначала на GitHub, но затем Йехуда понял, что отсутствие плагина на WordPress.org может стать проблемой для некоторых пользователей. Йехуда решил опубликовать плагин в каталоге под новым именем — Post SMTP Mailer/Email Log. Плагин включает в себя патч безопасности, содержащий исправления ряда багов с Gmail API, Mandrill и SendGrid. Следующим пунктом его дорожной карты является доработка совместимости с PHP 7.
Хассине также попросил принять оригинальный плагин, поскольку нет возможности связаться со 100 000 пользователей, зависящих от него. Он отметил, что команда плагинов WordPress.org отклонила его запрос, поскольку он не так хорошо знаком в сообществе; также команда плагинов решила дать автору исходного плагина больше времени для ответа.
Форк Post SMTP Mailer/Email Log существует около недели и уже набрал более 1000 пользователей. Хассине отметил, что он тратит все свое свободное время на изучение SMTP-протокола и исходного кода Хендрикса. Пользователи Postman SMTP, желающие переключиться на форк, могут сохранить все настройки, просто деактивировав старый плагин и активировав новый.
Хассине обязался бесплатно поддерживать Post SMTP Mailer/Email Log, поскольку многие пользователи плагина имеют достаточные технические навыки и способны самостоятельно помогать друг другу. Он сказал, что если форк станет популярным и будет сложен в поддержке, он рассмотрит коммерческую модель поддержки плагина.
Пользователи исходного плагина Postman SMTP смогли узнать о причинах его пропажи из каталога только на сторонних сайтах, таких как Wordfence или Facebook. Команда WordPress.org Meta в данный момент работает над улучшением пользовательских уведомлений о закрытии/удалении плагинов из каталога. Этот тикет имеет высокий приоритет для команды. Решение должно появиться вместе с выходом новой версии каталога плагинов.