Pinny’s Simple SMTP 是一款超轻量级 SMTP 插件,体积仅有 4KB。它简单易用,高度安全,并包含可靠发送电子邮件所需的所有基本功能。
🚀 30秒极速配置,轻松搞定!
受够了臃肿的设置向导、“连接账号”弹窗,还有没完没了的菜单吗?
Pinny’s Simple SMTP 旨在隐于无形。我们剔除了所有累赘,让您专注真正的工作。 1. 输入邮件主机地址和端口。 2. 输入登录信息。 3. 点击保存。
大功告成。就这么简单。 无需学习复杂的界面,无需管理繁琐的控制台。它是真正的“即设即忘”方案,只管安静、稳定地运行。
与大多数 SMTP 插件(体积通常在 2MB 以上)不同,Pinny’s Simple SMTP 极致轻量,配置简便,且在安全性上绝不妥协。我们确保您的敏感凭据始终受到自动加密的保护——彻底告别明文存储密码。
这款插件与众不同。它比 favicon 还小,兼容任意邮件服务商,只需几秒即可完成配置。
功能特性:
- 极致轻量 (4KB):这是一款超轻量级的 SMTP 插件,对您的网站速度零影响。
- 加密安全:我们非常重视安全性。您的 SMTP 密码使用 WordPress 原生盐值在数据库中进行加密。我们绝不以明文形式存储凭据。
- 极简设置:无需令人困惑的向导或教程。只需输入您的主机、端口和登录信息,然后点击保存即可。
- 所有基本功能:支持 TLS/SSL、自定义端口、覆盖发件人邮箱/姓名,并包含一键测试邮件工具。
- 零臃肿:无广告、无仪表盘小工具、无使用追踪、无升级推销。
- wp-config 配置模式:为了提高安全性,可在
wp-config.php中定义 SMTP 设置并锁定后台界面。
⚙️ 高级:通过 wp-config.php 配置 SMTP
Pinny’s Simple SMTP 支持直接通过 wp-config.php 进行配置,使管理员和开发者能够锁定 SMTP 设置,防止在 WordPress 后台进行更改。
启用后,插件会自动将后台界面切换为只读模式。
若要启用此模式,请在您的 wp-config.php 文件中添加以下常量:
define('PINNYS_SMTP_FORCE', true);
define('PINNYS_SMTP_ENABLED', true);
define('PINNYS_SMTP_HOST', 'smtp.gmail.com');
define('PINNYS_SMTP_PORT', 587);
define('PINNYS_SMTP_ENCRYPTION', 'tls');
define('PINNYS_SMTP_AUTH', true);
define('PINNYS_SMTP_USERNAME', 'your@email.com');
define('PINNYS_SMTP_PASSWORD', 'your_app_password');
define('PINNYS_SMTP_FROM_EMAIL', 'your@email.com');
define('PINNYS_SMTP_FROM_NAME', 'Your Website');
一旦启用了 PINNYS_SMTP_FORCE:
- SMTP 设置从
wp-config.php加载 - WordPress 设置页面变为只读
- WordPress 后台的修改无法覆盖您的配置
注意:如果未定义 PHP 常量 PINNYS_SMTP_FORCE,插件将正常运行,您可以在 WordPress 后台配置相关设置。
🛡️ “零留存”安全承诺
Pinny’s Simple SMTP 秉持着严苛的安全理念:WordPress 是 CMS,而非邮件归档库。
大多数 SMTP 插件会将您网站发出的每一封邮件都记录到 WordPress 数据库中。这看似方便,实则带来了巨大的安全风险、数据库臃肿以及隐私违规问题。
我们采用零留存架构。我们连接、投递,然后不留痕迹。为什么这样对您更安全:
1. 安全风险(为何我们不留存日志)
将邮件日志存储在您的数据库中,会使其成为黑客的高价值目标。
- 真实“大漏洞”案例: 在 2024 和 2025 年,主流 SMTP 插件(如 Post SMTP)曝出严重漏洞(CVE-2023-6875 和 CVE-2025-11833)。攻击者可以绕过身份验证,触发密码重置邮件,读取插件记录的邮件日志拿到重置链接,进而接管整个网站。
- 我们的解决方案:既然没有记录,自然无从窃取。通过不保留任何邮件日志,Pinny’s Simple SMTP 从根本上杜绝了这类“账户劫持(盗号)”攻击。
2. 数据库与隐私问题
- 臃肿:事务性日志会无限膨胀。一个繁忙的电商站点每月会发送数千封邮件。将这些数据存储在
wp_options或自定义数据表中,会拖慢网站运行速度,并让备份文件臃肿不堪。 - GDPR 与隐私:您的数据库不应永久存储客户的 PII(个人身份信息),例如密码重置链接、交易收据或联系表单的私密留言。一旦您的网站遭到入侵,这些日志无异于随时可能泄露的数据隐患。
3. 正确的日志记录方式
如果您需要追踪邮件送达情况,请到它该在的地方:您的邮件服务提供商。
- Gmail / Google Workspace:自带“已发送”文件夹,并提供详尽的发送追踪记录。
- SendGrid / Mailgun / SES:这些服务专为安全存档海量邮件而设计,自带完善的数据清理规则与严格的访问控制。
- Microsoft / Outlook:系统自带“已发送邮件”保存功能。 Pinny’s Simple SMTP 通过让邮件服务商做好本职工作,使您的 WordPress 数据库保持干净、高效和安全。
🚫 “反臃肿”架构:为何我们坚决摒弃 OAuth
Pinny’s Simple SMTP 基于一项严苛的性能理念而打造:用不到的代码,绝不加载。
业界的通行做法是强制用户使用 OAuth(即“使用 Google / 微软账号登录”)。这看似高大上,但对于 WordPress 插件而言,它在技术上反而不如标准的 SMTP。以下就是我们为何在 Pinny’s 中刻意剔除 OAuth 的原因:
1. “万能适配器”陷阱(代码臃肿) 绝大多数用户只会接入 一个 邮件服务商(比如只用 Gmail)。然而,为了支持 OAuth 验证,其他插件不得不内置 10 到 15 家不同服务商(Google、Microsoft、Amazon、Yahoo、Zoho 等)的庞大 SDK 代码库。
- 结果就是:您安装了数 MB 的第三方代码,就为了发一封简单的邮件。
- 我们的解决方案:Pinny’s 采用标准 SMTP。我们绝不会为了用到第 15 个 API 代码库,就强行把另外 14 个根本用不到的代码库塞进您的服务器。这使得我们的代码体积保持在 仅 ~4KB。
2. 复杂性风险(安全) 在安全领域,复杂性是大忌。OAuth 验证流程涉及重定向、Token(令牌)存储、刷新 Token,还要频繁跟进 API 更新。插件每引入一个第三方代码库,都会扩大“攻击面”——代码越多,漏洞越容易藏身。
- 真实情况:如果插件内置的“Google API 客户端”存在漏洞,您的网站就会面临风险——哪怕您用的是 Outlook。
- 我们的解决方案:我们采用 WordPress 原生函数。零外部依赖。无第三方 SDK。无供应链漏洞。
3. “公用 OAuth 认证”的真相 许多插件都宣传支持 Gmail 或 Microsoft 365 的“一键 OAuth 登录”。为了提供这种便利,免去用户自行创建开发者凭证的麻烦,这些插件通常会通过插件开发者提供的公用 OAuth 应用(客户端 ID 和密钥)来进行身份验证。
这会带来一些潜在风险,包括:
- 共享的 API 调用配额 OAuth 的配额是按这个共享应用来计算的,而不是按你的单个站点。
- 滥用波及 如果其他使用同一 OAuth 应用的站点发送垃圾邮件或违反了服务提供方的政策,服务提供方可能会限制或标记该应用,进而波及所有使用该应用的用户。
- 应用被停用 当这个公用 OAuth 应用被服务提供方停用或限制时,所有使用该应用的站点都会认证失败。
- 依赖开发者服务器 有些插件通过开发者自己的服务器进行 OAuth 认证。一旦该服务器宕机,用户可能就无法绑定账户或刷新认证令牌。
- 维护风险 OAuth 集成需要不断更新 API。如果插件停更且 OAuth 应用无人维护,身份验证迟早会失效。
Pinny’s Simple SMTP 通过使用直接 SMTP 认证,完全避免了这些依赖,让您的网站可以直接与邮件服务器通信,而无需依赖第三方 OAuth 服务。
4. 应用密码:更优的选择 我们采用 应用密码(标准 SMTP 身份验证)。这是服务器端发送邮件的安全推荐做法(适用于 Gmail/Workspace 及 Microsoft 365)。
- 严格限定权限:应用密码通常只拥有发送邮件的权限。与 OAuth 令牌不同(后者有时会被授予过于宽泛的权限),应用密码不能用来修改您的账户设置或读取您的 Drive 文件。
- 一键撤销:如果您怀疑出现安全泄露,可以直接在 Google/Microsoft 后台立刻作废该应用密码,而无需更改主账号的登录密码。
- 零中断:OAuth 令牌会过期,且 API 一旦变动也会导致授权断开。而应用密码只要您不主动撤销,就能一直稳定生效。
Pinny’s Simple SMTP chooses stability over shiny buttons. Enter your Host, Port, and App Password → Save. Done.