סאבי / בלוג / פיתוח אתרי וורדפרס / כיצד לאפשר העלאת סוגי קבצים נוספים בוורדפרס?

כיצד לאפשר העלאת סוגי קבצים נוספים בוורדפרס?

נכתב ע״י רועי יוסף • עודכן ב-20 לפברואר, 2026 • 40 תגובות

למטרת אבטחה, וורדפרס מאפשרת העלאה של סוגי קבצים נפוצים בלבד – תמונות, סרטונים ומסמכים. אבל לפעמים צריך להעלות קובץ עם סיומת שוורדפרס חוסמת כברירת מחדל, כמו SVG, PSD, או פורמט מותאם אישית.

במדריך זה תלמדו כיצד לאפשר סוגי קבצים נוספים, כיצד לחסום סוגים מסוימים, ומהן ההשלכות הביטחוניות של כל גישה.

וורדפרס קובעת את סוגי הקבצים המותרים על בסיס סוגי MIME. סוג MIME הוא תווית כמו image/png או application/pdf שמזהה את פורמט הקובץ. וורדפרס מנהלת רשימת היתרים פנימית של סוגי MIME, וכל קובץ שלא תואם נדחה בזמן ההעלאה.

סוגי קבצים מותרים כברירת מחדל

וורדפרס מאפשרת את רוב סוגי הקבצים הנפוצים מהקופסה, כולל:

תמונות: JPG, JPEG, PNG, GIF, ICO, WEBP (מ-WP 5.8), AVIF (מ-WP 6.5)
מסמכים: PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, ODT, PPS
אודיו: MP3, M4A, OGG, WAV
וידאו: MP4, MOV, AVI, WMV, MPEG, OGV, 3GP, WebM

הרשימה המלאה מוגדרת בפונקציה wp_get_mime_types() בליבת וורדפרס. לרשימה המלאה, עיינו בתיעוד הרשמי.

כיצד לאפשר סוגי קבצים נוספים

כדי לאפשר סוגי קבצים נוספים, השתמשו בפילטר upload_mimes. הוסיפו את הקוד הזה לקובץ functions.php של תבנית הבת:

add_filter( 'upload_mimes', function( $mime_types ) {
    $mime_types['svg']  = 'image/svg+xml';
    $mime_types['psd']  = 'image/vnd.adobe.photoshop';
    $mime_types['ai']   = 'application/postscript';
    $mime_types['eps']  = 'application/postscript';
    return $mime_types;
} );

כל שורה מוסיפה סיומת קובץ ממופה לסוג MIME שלה. כדי למצוא את סוג ה-MIME הנכון לפורמט כלשהו, חפשו אותו ברישום IANA Media Types.

הנה כמה סוגי MIME שנדרשים לעיתים קרובות:

סיומת	סוג MIME	תיאור
.svg	`image/svg+xml`	Scalable Vector Graphics
.psd	`image/vnd.adobe.photoshop`	Adobe Photoshop
.ai / .eps	`application/postscript`	Adobe Illustrator / PostScript
.json	`application/json`	קבצי JSON
.woff / .woff2	`font/woff` / `font/woff2`	פונטים לווב

אזהרת אבטחה לגבי SVG: קבצי SVG מבוססי XML ויכולים להכיל JavaScript מוטמע, מה שהופך אותם לווקטור התקפה פוטנציאלי של XSS. אם אתם מאפשרים העלאת SVG, הענקו הרשאות העלאה רק למשתמשים מהימנים, או השתמשו בתוסף כמו Safe SVG שמנקה את הקבצים בזמן ההעלאה.

אפשור כל סוגי הקבצים (לא מומלץ)

גישה נוספת היא להסיר את כל הגבלות סוגי הקבצים על ידי הוספת קבוע זה לקובץ wp-config.php:

define( 'ALLOW_UNFILTERED_UPLOADS', true );

סיכון אבטחה: הגדרה זו מאפשרת העלאה של כל סוג קובץ, כולל קבצים הרצה כמו .php, .exe, או .sh. משתמש זדוני עם הרשאות העלאה יכול להעלות סקריפט PHP ולקחת שליטה מלאה על השרת. השתמשו בזה רק בסביבות פיתוח, לעולם לא באתר ייצור.

כיצד לחסום סוג קובץ מסוים

אם אתם רוצים למנוע העלאה של סוג קובץ מסוים, השתמשו באותו פילטר upload_mimes עם unset():

add_filter( 'upload_mimes', function( $mimes ) {
    unset( $mimes['gif'] );
    return $mimes;
} );

קוד זה מסיר GIF מהסוגים המותרים. ניתן להסיר כל מפתח ממערך $mimes כדי לחסום פורמט זה.

חלופות באמצעות תוספים

אם אתם מעדיפים לא לערוך קוד, מספר תוספים מטפלים בכך:

WP Extra File Types – מוסיף דף הגדרות שבו ניתן לסמן/לבטל סימון סוגי קבצים מותרים ללא כתיבת קוד
Safe SVG – מאפשר העלאת SVG תוך ניקוי הקבצים מקוד שעלול להיות זדוני
WP Add Mime Types – מאפשר להוסיף סוגי MIME מותאמים אישית מממשק הניהול של וורדפרס

פתרון בעיות בהעלאת קבצים

אם הוספתם סוג קובץ אבל ההעלאות עדיין נכשלות, בדקו את הסיבות הנפוצות הבאות:

מגבלת גודל קובץ: הגדרות ה-PHP של השרת upload_max_filesize ו-post_max_size עשויות להיות נמוכות מדי
הגבלות Multisite: בוורדפרס Multisite, רק Super Admins יכולים להעלות קבצים ללא סינון. להגדרות הרשת יש גם רשימת סוגי קבצים מותרים נפרדת תחת Network Admin > Settings
חסימה ברמת השרת: שרת האינטרנט (Apache/Nginx) או תוסף אבטחה כמו Wordfence עשויים לחסום סוגי קבצים מסוימים ללא קשר להגדרות וורדפרס
אימות קבצים: מאז וורדפרס 4.7.1, קבצים מאומתים מול התוכן שלהם ולא רק מול הסיומת. קובץ עם סיומת שלא תואמת את התוכן יידחה

לבעיות העלאת תמונות ספציפיות, עיינו במדריך תיקון בעיות העלאת תמונות בוורדפרס.

שאלות נפוצות

שאלות נפוצות על העלאת קבצים בוורדפרס:

למה וורדפרס מגבילה העלאת קבצים?

וורדפרס מגבילה העלאת קבצים מסיבות אבטחה. מתן אפשרות להעלאות ללא הגבלה יכול לאפשר למשתמשים זדוניים להעלות קבצים הרצה (כמו סקריפטי PHP) שעלולים לפרוץ לשרת. על ידי ניהול רשימת היתרים של סוגי MIME בטוחים, וורדפרס מבטיחה שרק פורמטים מוכרים ניתנים להעלאה דרך ספריית המדיה.

האם בטוח להעלות קבצי SVG בוורדפרס?

קבצי SVG מבוססי XML ויכולים להכיל JavaScript מוטמע, מה שהופך אותם לווקטור התקפה פוטנציאלי של XSS. אם אתם מאפשרים העלאת SVG, השתמשו בתוסף כמו Safe SVG שמנקה את תוכן הקובץ בזמן ההעלאה. הענקו גישת העלאה רק למשתמשים מהימנים, ולעולם אל תאפשרו העלאת SVG ממקורות לא מהימנים כמו טופס ציבורי.

האם וורדפרס תומכת בתמונות WEBP ו-AVIF?

כן. תמיכה ב-WEBP נוספה בוורדפרס 5.8 (2021), ותמיכה ב-AVIF נוספה בוורדפרס 6.5 (2024). אין צורך בקוד מותאם או תוספים כדי להעלות פורמטים אלו - הם עובדים מהקופסה בשרתים נתמכים. השרת חייב להכיל את ספריית התמונות המתאימה (GD או Imagick) עם תמיכה בפורמטים אלו.

כיצד מוצאים את סוג ה-MIME של פורמט קובץ מסוים?

הרישום הרשמי של סוגי MIME מתוחזק על ידי IANA בכתובת iana.org/assignments/media-types. ניתן גם לבדוק את סוג ה-MIME של קובץ ב-Linux/Mac על ידי הרצת file --mime-type filename בטרמינל. דוגמאות נפוצות: image/svg+xml ל-SVG, application/json ל-JSON, ו-font/woff2 לפונטים מסוג WOFF2.

האם כדאי להשתמש ב-ALLOW_UNFILTERED_UPLOADS באתר שלי?

לא, לא באתר ייצור. ALLOW_UNFILTERED_UPLOADS מסיר את כל ההגבלות על סוגי קבצים, ומאפשר העלאה של כל קובץ - כולל סקריפטי PHP וקבצי הרצה. זהו סיכון אבטחה קריטי. במקום זאת, השתמשו בפילטר upload_mimes כדי לאפשר רק את סוגי הקבצים הספציפיים שאתם צריכים. שמרו את ALLOW_UNFILTERED_UPLOADS לסביבות פיתוח מקומיות בלבד.

סיכום

וורדפרס מגבילה העלאת קבצים לרשימת סוגי MIME בטוחים מסיבות אבטחה. כדי לאפשר סוגים נוספים, השתמשו בפילטר upload_mimes בקובץ functions.php של תבנית הבת כדי להוסיף סיומות ספציפיות.

הימנעו משימוש ב-ALLOW_UNFILTERED_UPLOADS באתרי ייצור, מכיוון שזה מסיר את כל ההגבלות ויוצר פרצת אבטחה רצינית. לקבצי SVG במיוחד, השתמשו בתוסף סניטציה כמו Safe SVG כדי למנוע התקפות XSS.

גרסאות וורדפרס מודרניות תומכות ב-WEBP (מגרסה 5.8) וב-AVIF (מגרסה 6.5) באופן מובנה – לא נדרש קוד מותאם עבור פורמטים אלו.

כותב הפוסט : רועי יוסף

מפתח אתרים ותבניות וורדפרס. מספק אתרים עם ביצועים גבוהים, מותאמים למנועי חיפוש ובעלי קוד ולידי, סמנטי ונקי. צריכים עזרה? צרו איתי קשר.

פיתוח אתרי וורדפרס

[

מדריך שימוש בהוקים של ווקומרס (WooCommerce Hooks)

]

[

בניית אתר דו לשוני בוורדפרס באמצעות פולילנג

]

דיון ותגובות

[ 40 תגובות ]

הוסיפו תגובה חדשה

דסי 20 פברואר 2018, 11:49
שלום רועי,
זו ההזדמנות לומר תודה ענקית על הפוסטים המושקעים והמקצועיים, שבאים בדיוק בזמן!!! מעריכה מאד! ונעזרת בהם המוווון… לא יודעת מה הייתי עושה בלי…
לגבי הפוסט הזה, שאלה: אם אפשר לדעת היכן אוכל למצא קוד לסוגי קבצים נוספים? למשל קובץ פאוור פוינט, אני לא מצליחה להעלות.
תודה רבה!!
הגיבו קישור
- רועי יוסף 20 פברואר 2018, 12:04
  תודה דסי, שמח לשמוע! 🙂
  ניתן להעלות קבצי פאוור פוינט (PPT או PPTX) לספריית המדיה. וורדפרס מאפשרת זאת כברירת מחדל עבור קבצים אלו ועבור סוגי הקבצים הבאים…
  הגיבו קישור
  - דסי 20 פברואר 2018, 13:17
    תודה רבה על המענה. ניסיתי, ואני לא מצליחה להעלות דרך המדיה.
    אולי משהו בהגדרות אחרות?
    הגיבו קישור
    - רועי יוסף 20 פברואר 2018, 13:23
      מה השגיאה שאת מקבלת?
      הגיבו קישור
      - דסי 20 פברואר 2018, 13:31
        לאחר מספר נסיונות הקובץ עלה לבסוף לאחר ששיניתי את שם הקובץ לשם באנגלית-אולי זו התשובה? לפני כן כתב שהקובץ לא מורשה מטעמי אבטחה.
        תודה רבה על המענה האדיב. אין דברים כאלו!!
        תצליח.
        הגיבו קישור
kuti 28 יוני 2018, 12:26
יש אפשרות לעזרה
אך ניתן לעלות קובץ ZIP שיש בו ממסד קובץ נתוני מלונות לאתר ווארדפרס ואך להשתמש במידע ?
תודה
הגיבו קישור

מנחם 19 דצמבר 2018, 0:09

היי רועי , לא הצלחתי לאפשר העלאה של קבצי CSV יש לך אפשרות להעיף מבט פה מה פספסתי?
זה מה שהוספתי ל function.php:

function my_mime_types( $existing_mimes ) {
    $existing_mimes['csv'] = 'text/csv';
    
    return $existing_mimes;
}
add_filter( 'mime_types', 'my_mime_types' );

תודה רבה על כל ההשקעה.

הגיבו קישור

רועי יוסף 19 דצמבר 2018, 0:16

זהו באג בוורדפרס ששאני מאמין ויתוקן בקרוב. בינתים אתה יכול להוסיף את הקוד הבא ל functions.php:

/**
 * Restore CSV upload functionality for WordPress 4.9.9 and up
 */
add_filter('wp_check_filetype_and_ext', function($values, $file, $filename, $mimes) {
	if ( extension_loaded( 'fileinfo' ) ) {
		// with the php-extension, a CSV file is issues type text/plain so we fix that back to 
		// text/csv by trusting the file extension.
		$finfo     = finfo_open( FILEINFO_MIME_TYPE );
		$real_mime = finfo_file( $finfo, $file );
		finfo_close( $finfo );
		if ( $real_mime === 'text/plain' && preg_match( '/\.(csv)$/i', $filename ) ) {
			$values['ext']  = 'csv';
			$values['type'] = 'text/csv';
		}
	} else {
		// without the php-extension, we probably don't have the issue at all, but just to be sure...
		if ( preg_match( '/\.(csv)$/i', $filename ) ) {
			$values['ext']  = 'csv';
			$values['type'] = 'text/csv';
		}
	}
	return $values;
}, PHP_INT_MAX, 4);