Webサイト制作（多言語） / Webサイト制作（日本語） > ノウハウ

WordPressの脆弱性が原因で情報漏えいした事例はありますか？

はい。実際にWordPressの脆弱性やその周辺環境の不備が原因で、情報漏えいやサイト改ざんなどの被害が発生した事例は多数報告されています。

以下は代表的な例です。

• 2021年：「File Manager」プラグインの脆弱性を突いた攻撃
  約70万件以上のサイトに影響。攻撃者が任意のファイルをアップロードし、Webシェルを設置してサイトを乗っ取るという手口で、複数のサイトが改ざん・閉鎖に追い込まれ、情報漏えいの被害も多発しました。
• 2020年：「ThemeGrill Demo Importer」プラグインの脆弱性
  このプラグインを使用していた20万以上のサイトが対象となり、脆弱性を突かれてデータベースが初期化され、すべての投稿・固定ページが削除されるなど、甚大な被害が発生しました。
• 2017年：REST APIの脆弱性
  WordPress本体のAPI機能にバグがあり、パッチが適用される前に多数のサイトが投稿内容を改ざんされるという事件が起きました。

JPCERT CC、JVNなどのサイトには、WordPressだけではなく、様々なインターネット上で利用されているプログラムの脆弱性が日々報告されていたり、実例レポートなどが多数上がっていますので、他にも色々見つけることが出来るでしょう。
このように、WordPressが原因で情報漏えいや改ざんが起こる可能性は決してゼロではありませんし、大手企業だけが狙われるわけでもありません。
尚、これらの被害の多くは「更新が遅れた」「不要なプラグインを使っていた」「バックアップがなかった」など、運用上の不備が関係していることが多いのも事実です。

したがって、適切な運用と保守体制があれば、リスクを大幅に減らすことが可能です。被害事例から学び、備えることが重要です。