Переменная на адрес получателя в phpmailer.php, как закрыть уязвимость?
Добрый день)
Суть проблемы такова:
Сайт на WP, используется форма обратной связи
При этом на некоторых страницах адреса получателя различные, то есть в настройках конкретной страницы есть поле для ввода маил-адреса конкретно для этой страницы – адрес получателя выражается переменной, реализовано через redux.
Отправка писем идет через обычный phpmailer (5,2,22)
Все настроено и работает корректно
Но из-за того, что адрес получателя выражается переменной, боты подставляют рандомные адреса и отправляют на них письма с формы обратной связи. По факту происходит спам на рандомные, даже не существующие маил адреса.
Пример из логов mail.log:
mail() on [/var/www/u0123***/data/www/site.su/wp-includes/cl ass-phpmailer.php:698]: To: kdannyn@aol.com — Headers: Date: Thu, 6 Dec 2018 17:41:56 +0000 From: Mikhail Message-ID: X-Mailer: PHPMailer 5.2.22 (github.com/PHPMailer/PHPM... MIME-Version: 1.0 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: 8bit
В данном примере отправка идет на непонятный адрес kdannyn@aol.com, все остальные записи имеют схожий вид – меняются только адреса маил
Примеры из логов access.log:
173.249.31.49 – - [06/Dec/2018:20:08:47 +0300] "GET / HTTP/1.0" 200 24577 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
173.249.31.49 – - [06/Dec/2018:20:08:49 +0300] "POST / HTTP/1.0" 302 – "site.su/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
Здесь видно как бот зашел и оставил заявку, подставив маил адрес получателя, который указан выше.
Что можно сделать в данной ситуации?
Спасибо за внимание_)
