WPML (WordPress Multilingual Plugin)은 다양한 언어로 사이트를 쉽게 구축하고 관리할 수 있는 강력한 워드프레스 플러그인입니다.
WPML은 페이지, 게시물, 사용자 정의 유형, 메뉴, 테마 텍스트까지 번역할 수 있으며, 워드프레스 API를 사용하는 모든 테마와 플러그인과 호환돼 다국어 사이트를 만드는 사람들에게 각광받고 있습니다.
자동 번역과 수동 번역을 결합하여 90%의 정확도로 사이트 전체를 빠르게 번역할 수 있으며, 사용자 정의 번역 관리, 용어 사전, 번역 메모리 기능을 제공하여 일관된 번역을 유지할 수 있습니다. 또한, WPML은 SEO 최적화에도 뛰어나 검색 엔진이 사이트 구조를 이해하고 적절한 언어로 트래픽을 유도하도록 도와준다고 합니다.
그러나 최근 Wordfence의 플러그인 취약점 검사에서 WPML 플러그인의 심각한 보안 취약점이 보고됐습니다.
WPML Multilingual CMS 4.6.12 이하 버전은 Twig 서버 측 템플릿 주입(Server-Side Template Injection)을 통한 원격 코드 실행(Remote Code Execution, RCE)에 취약합니다. 이 취약점은 입력값 검증 및 정화 기능이 누락된 render 함수로 인해 발생하며, 기여자(Contributor) 이상의 권한을 가진 인증된 공격자가 서버에서 악성 코드를 실행할 수 있습니다.
CVSS 점수 9.9로 매우 치명적인 이 취약점은 2024년 8월 21일에 공개되었으며, 현재는 WPML 버전 4.6.13에서 패치되었습니다. WPML 플러그인을 사용하시는 경우 즉시 플러그인을 최신 버전으로 업데이트하여 이 취약점으로부터 사이트를 보호하는 것이 중요합니다.