חיזוק אבטחה באתרי וורדפרס – אופטימיזציה וטיפים

וורדפרס היא מערכת ניהול התוכן הפופולרית ביותר ברשת. היא מפעילה למעלה מ-60% מכלל האתרים המשתמשים במערכת ניהול תוכן, כלומר כ-43% מכלל האתרים ברשת פועלים על וורדפרס.

מאחר והמערכת תופסת נפח כה גדול מהשוק, היא מעלה את הסיכויים לניסיונות פריצה. אין לקחת את נושא האבטחה בקלות ראש, והאמינו לי שאינכם רוצים להגיע למצב בו האתר שלכם נפרץ.

אבטחת האתר כרוכה במספר פעולות. אבל קודם כל – האם וורדפרס בכלל מאובטחת מהקופסה?

האם וורדפרס היא מערכת מאובטחת?

מאחר ומתבצעות פריצות רבות לאתרי וורדפרס, עולה השאלה האם זו מערכת מאובטחת דיה. אם לומר במשפט אחד, וורדפרס לכשעצמה – ובמיוחד קבצי הליבה שלה – כתובים נכון מבחינה זו כך שיהיה מאוד קשה לנצל אותם בכדי לפרוץ לאתר שלכם.

מרבית הפריצות המוצלחות לאתרי וורדפרס הן תוצאה של טעויות אנוש, קונפיגורציה שגויה או תחזוקה לא נכונה של המערכת. הסיבות המרכזיות שגורמות לאתר להיות פגיע הן גירסאות וורדפרס שאינן מעודכנות, תוספים לא מעודכנים, ושימוש בתוספים או תבניות שלא עומד מאחוריהם מפתח מנוסה.

אז היכן בעצם וורדפרס כמערכת הכי פגיעה? על פי הדוח השנתי של Patchstack לשנת 2025, 96% מכלל הפגיעויות בוורדפרס מקורן בתוספים, כאשר תבניות וליבת וורדפרס מהוות את השאר. 43% מפגיעויות אלו אינן דורשות אימות כלל לניצול, ו-33% לא תוקנו בזמן שנחשפו.

במדריך זה אציג מספר פעולות שיחזקו את אבטחת האתר שלכם ויקשו על ניסיונות פריצה.

17 פעולות לחיזוק אבטחה באתרי וורדפרס

תמיד ישנו סיכוי שיצליחו לפרוץ לאתר שלכם ולעולם לא תוכלו למנוע זאת בצורה מוחלטת. אך בכדי להקשות משמעותית על ניסיונות הפריצה יש לבצע מספר פרקטיקות ופעולות שיחזקו את אבטחת האתר שלכם.

1. בחרו את חברת האחסון הכי יקרה שאתם יכולים להרשות לעצמכם

גם אם תבצעו את כל פעולות האבטחה, אם אין מאחוריכם חברת אחסון טובה המאמצים שלכם לא יעזרו יותר מדי. אחוז משמעותי מאתרי הוורדפרס נפגעים בעקבות פגיעויות בסביבת האחסון שלהם.

אז אם אתם על שרת שיתופי, וודאו עם חברת האחסון כי קיים בידוד לחשבון (Account Isolation). אפשרות זו תמנע מאתר נגוע הקיים על השרת להשפיע על אתר הוורדפרס שלכם.

רעיון טוב יותר יהיה לעבוד עם חברת אחסון ייעודית לוורדפרס. בשרתי אחסון מנוהלים המתמחים בוורדפרס, תהיה סבירות גבוהה יותר למצוא חומת אש (Firewall) המתאימה לוורדפרס, כמו גם גירסאות PHP עדכניות, סריקה שגרתית של Malware, שרת שמותאם ייעודית לוורדפרס וצוות של אנשי תמיכה שמכירים את וורדפרס על בוריה.

2. השתמשו בגירסה האחרונה של PHP

PHP היא השפה עליה וורדפרס בנויה. הרצת גירסה שאינה נתמכת משמעותה שפגיעויות ידועות לא יתוקנו לעולם. וודאו שאתם על PHP 8.2 לפחות, ושדרגו ל-8.3 כשחברת האחסון תומכת בכך.

גירסאות PHP חדשות גם מהירות יותר. שדרוג יכול לשדרג את מהירות וביצועי אתר הוורדפרס שלכם.

3. וודאו כי וורדפרס והתוספים הקיימים באתר מעודכנים

מאוד חשוב כי גרסת הוורדפרס באתר שלכם תהיה מעודכנת לגרסה האחרונה. כנ"ל לגבי התוספים בהם אתם משתמשים. מעבר לכך, השתמשו אך ורק בתוספים ותבניות עליהן אתם סומכים. התקינו תבניות ותוספים רק מהריפוזיטורי של וורדפרס ובחרו כאלו עם התקנות רבות וציון גבוה בביקורות.

אם אתם נמצאים מאחור ברמת גירסאות אתם חשופים לפריצות רבות יותר, מכיוון שהאקרים נוטים לחפש ולתקוף גירסאות ישנות עם פגיעויות ידועות.

נושא חשוב לא פחות – הקפידו לבצע גיבוי של האתר שלכם! גיבוי יאפשר לכם לשחזר את האתר במהירות במקרה שהאתר שלכם נפרץ.

4. השתמשו בסיסמאות חזקות ומנהל סיסמאות

היו חכמים בבחירת שם המשתמש והסיסמה לממשק הניהול של וורדפרס. אין להשתמש ב-admin כשם משתמש ויש לבחור סיסמה מורכבת. זוהי כנראה אחת הפעולות החשובות ביותר למניעת פריצות, ובצורה אירונית גם הפעולה הכי פשוטה לביצוע.

השתמשו במנהל סיסמאות כמו 1Password, Bitwarden או LastPass ליצירה ושמירה של סיסמאות חזקות וייחודיות. לעולם אל תשתמשו באותה סיסמה במספר אתרים.

5. הפעילו אימות דו-שלבי (2FA)

אימות דו-שלבי מוסיף שכבת אבטחה נוספת מעבר לסיסמה. השתמשו באימות מבוסס אפליקציה (TOTP) דרך Google Authenticator, Authy או Microsoft Authenticator – הימנעו מ-2FA מבוסס SMS מכיוון שהוא פגיע להתקפות SIM-swapping.

ניתן להפעיל 2FA באמצעות תוספים כמו WP 2FA או Two-Factor. למדריך הגדרה מלא, ראו את המדריך שלנו להגדרת אימות דו-שלבי.

6. שנו את ה-Login URL ללוח הבקרה של וורדפרס

בכדי למנוע התקפות Brute Force, שנו את כתובת הגישה לממשק הניהול של וורדפרס. מכיוון שכולנו יודעים שהגישה לממשק הניהול מתבצעת עם wp-admin כברירת מחדל, האקרים ניגשים לכתובת זו ומנסים שילובים שונים של שמות משתמש וסיסמאות בכדי לנסות ולפרוץ לאתר שלכם.

בכדי להקשות עליהם עלינו לשנות את כתובת ה-URL לממשק הניהול. ניתן לעשות זאת באמצעות תוסף קל לתפעול בשם WPS Hide Login.

תנו מבט במדריך קצר שכתבתי המסביר כיצד לשנות את ה-Login URL ללוח הבקרה של וורדפרס באמצעות תוסף זה.

7. הגבילו את מספר ניסיונות ההתחברות

כברירת מחדל, וורדפרס מאפשרת לנסות סיסמאות שונות ללא הגבלה כלל על כמות הניסיונות. זה הופך את האתר שלכם לחשוף למתקפות Brute Force. ניתן להטמיע מערכת הגבלת ניסיונות התחברות בקלות באמצעות תוסף ייעודי, כמו Limit Login Attempts Reloaded.

8. אבטחו את הקובץ wp-config.php

הקובץ wp-config.php מכיל את כל המידע הדרוש לגישה למסד הנתונים של האתר. זהו הקובץ החשוב ביותר בהתקנת הוורדפרס שלכם.

אבטחו את הקובץ על ידי חסימת גישה ישירה. הוסיפו את הקוד הבא לקובץ .htaccess:

<Files wp-config.php>
    Require all denied
</Files>

שינויים בקובץ .htaccess מומלצים למשתמשים מנוסים בלבד.

9. בטלו את XML-RPC

XML-RPC הוא פרוטוקול ישן המאפשר גישה מרחוק לאתר הוורדפרס שלכם. הוא הוחלף לחלוטין על ידי ה-REST API, שמספק אימות מאובטח יותר מבוסס טוקנים.

האקרים עלולים לנצל את XML-RPC לביצוע מתקפות Brute Force (באמצעות system.multicall שמאפשר לבדוק מאות סיסמאות בבקשה אחת) ומתקפות DDoS דרך pingbacks.

ניתן לבטל את XML-RPC באמצעות תוסף כמו Disable XML-RPC-API, או על ידי הוספת הקוד הבא לקובץ .htaccess:

<Files xmlrpc.php>
    Require all denied
</Files>

בטלו אותו אלא אם אתם משתמשים בכלים שדורשים XML-RPC (כמו אפליקציית וורדפרס לנייד או Jetpack).

10. הסתירו את גירסת הוורדפרס שלכם

עדכוני גירסה של וורדפרס בדרך כלל מכילים עדכוני אבטחה. אם תבדקו את קוד המקור של אתר הוורדפרס שלכם, תמצאו כי גירסת הוורדפרס גלויה בתגית meta.

מידע זה נגיש להאקרים ונותן להם רמז במידה והם מחפשים לתקוף אתרים המשתמשים בגירסאות וורדפרס ישנות יותר עם פגיעויות ידועות.

על מנת להסתיר את גירסת הוורדפרס הוסיפו את הקוד הבא לקובץ functions.php:

function wpversion_remove_version() {
    return '';
}
add_filter('the_generator', 'wpversion_remove_version');

11. השתמשו בתוסף אבטחה

תוספי אבטחה מבצעים אוטומציה של פעולות רבות מהמדריך הזה – חומת אש, סריקת Malware, הגנה מפני Brute Force, בדיקת שלמות קבצים ומעקב אחר שינויי DNS. רובם גם שולחים התראות בזמן אמת כשמשהו חשוד מתרחש, כך שתוכלו להגיב מהר במקום לגלות פריצה ימים מאוחר יותר.

למרות שאפשר ליישם כל צעד הקשחה באופן ידני, תוסף אבטחה טוב מרכז הכל בלוח בקרה אחד ושומר על ההגנות פעילות גם כשאתם לא עוקבים.

תוספי אבטחה מומלצים:

• Wordfence Security
• Solid Security (לשעבר iThemes Security)
• Sucuri Security
• Shield Security

12. השתמשו תמיד בחיבור מאובטח

לא משנה מהיכן אתם מתחברים לשרת שלכם, תמיד וודאו שהחיבור שלכם מאובטח. השתמשו בהצפנת SFTP (או SSH) בכדי להתחבר לאתר. על חברת האחסון בה האתר שלכם מאוחסן לספק את הכלים הבטוחים ביותר להתחבר לשרת.

כשאני אומר מאובטחת אני מתכוון לשימוש בגירסאות תומכות ומעודכנות של PHP ו-MySQL, בידוד חשבונות ושימוש בחומות אש. הימנעו מחברות אחסון זולות ושיתופיות, מכיוון שבין היתר אתם יכולים להיתקל בבעיות של שרתים עמוסים וחלוקה של כתובות IP.

13. בטלו את אפשרות עריכת הקבצים מלוח הבקרה של וורדפרס

משתמשים אשר מחוברים כמנהלי מערכת יכולים לערוך את קבצי ה-PHP של התבניות והתוספים באתר. מומלץ לבטל את אפשרות זו ולערוך קבצים אך ורק באמצעות FTP.

על מנת לבטל את האפשרות הוסיפו את השורה הבאה לקובץ wp-config.php:

define('DISALLOW_FILE_EDIT', true);

14. בטלו רמזים הקשורים להתחברות משתמשים לאתר

כאשר אתם מנסים להתחבר לממשק הניהול של וורדפרס עם שם משתמש או סיסמה לא נכונים, וורדפרס תציג הודעה המציינת איזה מהפרטים שהכנסתם היה שגוי.

הודעה זו מרמזת לאלו המנסים לפרוץ לאתר שלכם איזה מהנתונים אינו נכון. ניתן לשנות הודעות אלו להודעה כללית יותר על ידי הוספת הפונקציה הבאה לקובץ functions.php:

function no_wordpress_errors(){
  return 'Wrong Details - Try Again';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

15. השתמשו בתעודת SSL להצפנת נתונים

הטמעת תעודת SSL חשובה מאוד בכדי לאבטח את לוח הבקרה של וורדפרס. השימוש ב-SSL דואג לתקשורת נתונים מוצפנת ומאובטחת בין המשתמש, הדפדפן והשרת, ובכך מקשה על האקרים ליירט ולגנוב מידע.

בהרבה מקרים תעודת SSL היא אפשרות חינמית המגיעה עם חבילת האחסון, בדרך כלל באמצעות Let's Encrypt.

תעודת SSL משפיעה גם על הדירוג של אתר הוורדפרס שלכם בגוגל ומדרגת אתרים בעלי תעודת SSL גבוה יותר מאשר אתרים ללא תעודה. הנה מאמר שכתבתי המדבר בהרחבה על תעודות SSL והאם יש צורך בהן באתרי וורדפרס.

תעודת SSL באה יחד עם המעבר החשוב לפרוטוקול HTTPS שלו יתרונות בפני עצמו מעבר לאבטחת התקשורת.

16. הוסיפו Security Headers

Security Headers בוורדפרס נוצרו בכדי להגן על אפליקציות ממתקפות נפוצות ללא הצורך לשנות משהו בקוד של האפליקציה שלכם. אומנם פעולה זו אחרונה כרונולוגית בסדר הופעתה בפוסט, אך היא בהחלט אחת מהפעולות הראשונות והחשובות שיש לבצע.

תנו מבט בפוסט שכתבתי על הוספת Security Headers לאתרי וורדפרס.

17. אבטחו את REST API של וורדפרס

ה-REST API מאפשר למפתחים לתקשר עם נתוני האתר, אך אם הוא לא מאובטח הוא עלול לחשוף שמות משתמשים, פוסטים שלא פורסמו ומידע רגיש נוסף. כברירת מחדל, משתמשים שאינם מחוברים יכולים לגשת לנקודות קצה כמו /wp-json/wp/v2/users, מה שהופך איסוף שמות משתמשים לפשוט.

קראו את המדריך המלא על כיצד לאבטח את REST API של וורדפרס כדי ללמוד כיצד להגביל גישה מבלי לשבור פונקציונליות של תבניות או תוספים.

שאלות נפוצות

שאלות נפוצות בנושא אבטחת וורדפרס:

לסיכום

רוב הפעולות למעלה לוקחות דקות ספורות כל אחת. לא חייבים לעשות את כל 17 במכה אחת, אבל ככל שתסמנו יותר מהרשימה, כך האתר שלכם יהיה קשה יותר לפריצה.

אם יש לכם טיפים נוספים שעובדים לכם, שתפו בתגובות – תמיד שמח ללמוד משהו חדש 🙂