자동차-또 워드프레스 플러그인 해킹…계정 탈취 방지법은?

워드프레스 플러그인 폴미네이터(Forminator) [사진: wordpress.org]

[디지털투데이 AI리포터] 워드프레스 인기 플러그인 폴미네이터(Forminator)가 계정 탈취 가능성을 가진 심각한 보안 취약점으로 인해 해커들의 타깃이 되고 있다고 3일(현지시간) IT매체 테크레이더가 알렸다.

이 플러그인은 수백만 개의 웹사이트에서 사용되며, 사용자가 쉽게 연락처, 피드백, 퀴즈, 설문조사, 투표 및 결제 양식을 만들 수 있도록 지원한다.

보안 연구자 'Phat RiO – BlueRock'은 폴미네이터 플러그인이 입력값 유효성 검사와 위생 처리가 불충분하며, 위험한 파일 삭제 로직을 가지고 있다고 경고했다. 공격자는 이를 악용해 맞춤형 파일을 삽입하고, 몇 가지 단계를 거쳐 핵심 워드프레스 파일을 삭제하도록 유도할 수 있다. 이렇게 되면 웹사이트가 '설정' 단계로 돌아가 공격자가 사이트를 장악할 수 있는 상태가 된다.

이 취약점은 CVE-2025-6463으로 추적되며, 심각도 점수 8.8/10을 기록했다. 1.44.2 버전까지 영향을 미치며, 현재 60만 개 이상의 웹사이트가 이 플러그인을 사용 중이다. 보안 패치는 이미 배포됐으며, 플러그인 개발사 WPMU DEV는 사용자들에게 즉시 업데이트할 것을 권장하고 있다. 하지만 현재 얼마나 많은 사이트가 여전히 취약한 상태인지 확인되지 않은 상황이다.

보안 전문가들은 폴미네이터 플러그인을 최신 버전으로 업데이트하거나, 사용하지 않을 경우 플러그인을 비활성화 및 삭제할 것을 권장하고 있다. 워드프레스는 안전한 플랫폼으로 평가되지만, 플러그인과 테마가 보안의 약한 고리가 될 수 있어 정기적인 업데이트가 필요하다고 강조했다.