חיזוק אבטחה באתרי וורדפרס – אופטימיזציה וטיפים

וורדפרס היא מערכת ניהול התוכן הפופולרית ביותר ברשת. היא מפעילה למעלה מ-60% מכלל האתרים המשתמשים במערכת ניהול תוכן, כלומר כ-43% מכלל האתרים ברשת פועלים על וורדפרס.

מאחר והמערכת תופסת נפח כה גדול מהשוק, היא מעלה את הסיכויים לניסיונות פריצה. אין לקחת את נושא האבטחה בקלות ראש, והאמינו לי שאינכם רוצים להגיע למצב בו האתר שלכם נפרץ.

אבטחת האתר כרוכה במספר פעולות. אך לפני שנבצע פעולות אלו, נשאלת השאלה – האם וורדפרס בבסיסה היא מערכת מאובטחת?

האם וורדפרס היא מערכת מאובטחת?

מאחר ומתבצעות פריצות רבות לאתרי וורדפרס, עולה השאלה האם זו מערכת מאובטחת דיה. אם לומר במשפט אחד, וורדפרס לכשעצמה – ובמיוחד קבצי הליבה שלה – כתובים נכון מבחינה זו כך שיהיה מאוד קשה לנצל אותם בכדי לפרוץ לאתר שלכם.

מרבית הפריצות המוצלחות לאתרי וורדפרס הן תוצאה של טעויות אנוש, קונפיגורציה שגויה או תחזוקה לא נכונה של המערכת. הסיבות המרכזיות שגורמות לאתר להיות פגיע הן גירסאות וורדפרס שאינן מעודכנות, תוספים לא מעודכנים, ושימוש בתוספים או תבניות שלא עומד מאחוריהם מפתח מנוסה.

אז היכן בעצם וורדפרס כמערכת הכי פגיעה? על פי דוח Patchstack לשנת 2025, 89% מכלל הפגיעויות בוורדפרס מקורן בתוספים, 11% בתבניות, ופחות מ-1% בקבצי הליבה של וורדפרס. למעלה מ-57% מפגיעויות אלו אינן דורשות אימות כלל לניצול.

במדריך זה אציג מספר פעולות שיחזקו את אבטחת האתר שלכם ויקשו על ניסיונות פריצה.

17 פעולות לחיזוק אבטחה באתרי וורדפרס

תמיד ישנו סיכוי שיצליחו לפרוץ לאתר שלכם ולעולם לא תוכלו למנוע זאת בצורה מוחלטת. אך בכדי להקשות משמעותית על ניסיונות הפריצה יש לבצע מספר פרקטיקות ופעולות שיחזקו את אבטחת האתר שלכם.

1. בחרו את חברת האחסון הכי יקרה שאתם יכולים להרשות לעצמכם

גם אם תבצעו את כל פעולות האבטחה, אם אין מאחוריכם חברת אחסון טובה המאמצים שלכם לא יעזרו יותר מדי. אחוז משמעותי מאתרי הוורדפרס נפגעים בעקבות פגיעויות בסביבת האחסון שלהם.

אז אם אתם על שרת שיתופי, וודאו עם חברת האחסון כי קיים בידוד לחשבון (Account Isolation). אפשרות זו תמנע מאתר נגוע הקיים על השרת להשפיע על אתר הוורדפרס שלכם.

רעיון טוב יותר יהיה לעבוד עם חברת אחסון ייעודית לוורדפרס. בשרתי אחסון מנוהלים המתמחים בוורדפרס, תהיה סבירות גבוהה יותר למצוא חומת אש (Firewall) המתאימה לוורדפרס, כמו גם גירסאות PHP עדכניות, סריקה שגרתית של Malware, שרת שמותאם ייעודית לוורדפרס וצוות של אנשי תמיכה שמכירים את וורדפרס על בוריה.

2. השתמשו בגירסה האחרונה של PHP

PHP היא השפה עליה וורדפרס בנויה, כך ששימוש בגירסה נתמכת בשרת שלכם מאוד חשוב. כל גירסה מז'ורית של PHP נתמכת כארבע שנים לאחר שחרורה (שנתיים של תמיכה פעילה ושנתיים נוספות של עדכוני אבטחה בלבד).

נכון ל-2026, PHP 8.1 וגירסאות ישנות יותר הגיעו לסוף חייהן ואינן מקבלות עדכוני אבטחה. PHP 8.2 נמצאת בתמיכת אבטחה בלבד (עד דצמבר 2026), בעוד PHP 8.3 ו-8.4 הן הגירסאות המומלצות.

וודאו שאתם משתמשים לפחות ב-PHP 8.2, ושדרגו ל-8.3 או 8.4 כשחברת האחסון שלכם תומכת בכך.

יש לציין כי קיים גם הבדל בביצועים בין גירסאות ה-PHP השונות. שימוש בגירסה חדשה יותר של PHP ישדרג את מהירות וביצועי אתר הוורדפרס שלכם.

3. וודאו כי וורדפרס והתוספים הקיימים באתר מעודכנים

מאוד חשוב כי גרסת הוורדפרס באתר שלכם תהיה מעודכנת לגרסה האחרונה. כנ"ל לגבי התוספים בהם אתם משתמשים. מעבר לכך, השתמשו אך ורק בתוספים ותבניות עליהן אתם סומכים. התקינו תבניות ותוספים רק מהריפוזיטורי של וורדפרס ובחרו כאלו עם התקנות רבות וציון גבוה בביקורות.

אם אתם נמצאים מאחור ברמת גירסאות אתם חשופים לפריצות רבות יותר, מכיוון שהאקרים נוטים לחפש ולתקוף גירסאות ישנות עם פגיעויות ידועות.

נושא חשוב לא פחות – הקפידו לבצע גיבוי של האתר שלכם! גיבוי יאפשר לכם לשחזר את האתר במהירות במקרה שהאתר שלכם נפרץ.

4. השתמשו בסיסמאות חזקות ומנהל סיסמאות

היו חכמים בבחירת שם המשתמש והסיסמה לממשק הניהול של וורדפרס. אין להשתמש ב-admin כשם משתמש ויש לבחור סיסמה מורכבת. זוהי כנראה אחת הפעולות החשובות ביותר למניעת פריצות, ובצורה אירונית גם הפעולה הכי פשוטה לביצוע.

השתמשו במנהל סיסמאות כמו 1Password, Bitwarden או LastPass ליצירה ושמירה של סיסמאות חזקות וייחודיות. לעולם אל תשתמשו באותה סיסמה במספר אתרים.

5. הפעילו אימות דו-שלבי (2FA)

אימות דו-שלבי מוסיף שכבת אבטחה נוספת מעבר לסיסמה. גם אם תוקף ישיג את הסיסמה שלכם, הוא לא יוכל להתחבר ללא הגורם השני.

הגישה המומלצת היא אימות מבוסס אפליקציה (TOTP) באמצעות אפליקציות כמו Google Authenticator, Authy או Microsoft Authenticator. הימנעו מ-2FA מבוסס SMS כשאפשר, מכיוון שהוא פגיע להתקפות SIM-swapping.

ניתן להפעיל 2FA באמצעות תוספים כמו WP 2FA, Two-Factor, או דרך תוספי אבטחה כמו Wordfence ו-Solid Security שכוללים 2FA כתכונה מובנית.

6. שנו את ה-Login URL ללוח הבקרה של וורדפרס

בכדי למנוע התקפות Brute Force, יהיה נכון לשנות את כתובת הגישה לממשק הניהול של וורדפרס. מכיוון שכולנו יודעים שהגישה לממשק הניהול מתבצעת עם wp-admin כברירת מחדל, האקרים ניגשים לכתובת זו ומנסים שילובים שונים של שמות משתמש וסיסמאות בכדי לנסות ולפרוץ לאתר שלכם.

בכדי להקשות עליהם עלינו לשנות את כתובת ה-URL לממשק הניהול. ניתן לעשות זאת באמצעות תוסף קל לתפעול בשם WPS Hide Login.

תנו מבט במדריך קצר שכתבתי המסביר כיצד לשנות את ה-Login URL ללוח הבקרה של וורדפרס באמצעות תוסף זה.

7. הגבילו את מספר ניסיונות ההתחברות

כברירת מחדל, וורדפרס מאפשרת לנסות סיסמאות שונות ללא הגבלה כלל על כמות הניסיונות. זה הופך את האתר שלכם לחשוף למתקפות Brute Force. ניתן להטמיע מערכת הגבלת ניסיונות התחברות בקלות באמצעות תוסף ייעודי, כמו Limit Login Attempts Reloaded.

8. אבטחו את הקובץ wp-config.php

הקובץ wp-config.php מכיל את כל המידע הדרוש לגישה למסד הנתונים של האתר. זהו הקובץ החשוב ביותר בהתקנת הוורדפרס שלכם.

אבטחו את הקובץ על ידי חסימת גישה ישירה. הוסיפו את הקוד הבא לקובץ .htaccess:

<Files wp-config.php>
    Require all denied
</Files>

שינויים בקובץ .htaccess מומלצים למשתמשים מנוסים בלבד.

9. בטלו את XML-RPC

XML-RPC הוא פרוטוקול ישן המאפשר גישה מרחוק לאתר הוורדפרס שלכם. הוא הוחלף לחלוטין על ידי ה-REST API, שמספק אימות מאובטח יותר מבוסס טוקנים.

האקרים עלולים לנצל את XML-RPC לביצוע מתקפות Brute Force (באמצעות system.multicall שמאפשר לבדוק מאות סיסמאות בבקשה אחת) ומתקפות DDoS דרך pingbacks.

ניתן לבטל את XML-RPC באמצעות תוסף כמו Disable XML-RPC-API, או על ידי הוספת הקוד הבא לקובץ .htaccess:

<Files xmlrpc.php>
    Require all denied
</Files>

בטלו אותו אלא אם אתם משתמשים בכלים שדורשים XML-RPC (כמו אפליקציית וורדפרס לנייד או Jetpack).

10. הסתירו את גירסת הוורדפרס שלכם

עדכוני גירסה של וורדפרס בדרך כלל מכילים עדכוני אבטחה. אם תבדקו את קוד המקור של אתר הוורדפרס שלכם, תמצאו כי גירסת הוורדפרס גלויה בתגית meta.

מידע זה נגיש להאקרים ונותן להם רמז במידה והם מחפשים לתקוף אתרים המשתמשים בגירסאות וורדפרס ישנות יותר עם פגיעויות ידועות.

על מנת להסתיר את גירסת הוורדפרס הוסיפו את הקוד הבא לקובץ functions.php:

function wpversion_remove_version() {
    return '';
}
add_filter('the_generator', 'wpversion_remove_version');

11. השתמשו בתוסף אבטחה

קיימים לא מעט תוספי אבטחה לוורדפרס אשר יבצעו חלק מאותן פעולות שציינו במדריך זה ויעזרו למנוע מתקפות Brute Force ולחזק את אבטחת האתר.

תוספים אלו יעזרו לחסום רשתות זדוניות, לחסום פגיעויות אבטחה, לחייב בחירת סיסמאות חזקות, לסרוק שינויים בקבצי הליבה של וורדפרס, להטמיע חומת אש (Firewall), לעקוב אחר שינויי DNS ועוד.

מקור: Wordfence Real-Time Traffic

הנה מספר תוספי אבטחה מומלצים:

• Wordfence Security
• Solid Security (לשעבר iThemes Security)
• Sucuri Security
• Shield Security

12. השתמשו תמיד בחיבור מאובטח

לא משנה מהיכן אתם מתחברים לשרת שלכם, תמיד יש לוודא שהחיבור בו אתם משתמשים הוא חיבור מאובטח. השתמשו בהצפנת SFTP (או SSH) בכדי להתחבר לאתר. על חברת האחסון בה האתר שלכם מאוחסן לספק את הכלים הבטוחים ביותר להתחבר לשרת.

כשאני אומר מאובטחת אני מתכוון לשימוש בגירסאות תומכות ומעודכנות של PHP ו-MySQL, בידוד חשבונות ושימוש בחומות אש. הימנעו מחברות אחסון זולות ושיתופיות, מכיוון שבין היתר אתם יכולים להיתקל בבעיות של שרתים עמוסים וחלוקה של כתובות IP.

13. בטלו את אפשרות עריכת הקבצים מלוח הבקרה של וורדפרס

משתמשים אשר מחוברים כמנהלי מערכת יכולים לערוך את קבצי ה-PHP של התבניות והתוספים באתר. מומלץ לבטל את אפשרות זו ולערוך קבצים אך ורק באמצעות FTP.

על מנת לבטל את האפשרות הוסיפו את השורה הבאה לקובץ wp-config.php:

define('DISALLOW_FILE_EDIT', true);

14. בטלו רמזים הקשורים להתחברות משתמשים לאתר

כאשר אתם מנסים להתחבר לממשק הניהול של וורדפרס עם שם משתמש או סיסמה לא נכונים, וורדפרס תציג הודעה המציינת איזה מהפרטים שהכנסתם היה שגוי.

הודעה זו מרמזת לאלו המנסים לפרוץ לאתר שלכם איזה מהנתונים אינו נכון. ניתן לשנות הודעות אלו להודעה כללית יותר על ידי הוספת הפונקציה הבאה לקובץ functions.php:

function no_wordpress_errors(){
  return 'Wrong Details - Try Again';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

15. השתמשו בתעודת SSL להצפנת נתונים

הטמעת תעודת SSL חשובה מאוד בכדי לאבטח את לוח הבקרה של וורדפרס. השימוש ב-SSL דואג לתקשורת נתונים מוצפנת ומאובטחת בין המשתמש, הדפדפן והשרת, ובכך מקשה על האקרים ליירט ולגנוב מידע.

בהרבה מקרים תעודת SSL היא אפשרות חינמית המגיעה עם חבילת האחסון, בדרך כלל באמצעות Let's Encrypt.

תעודת SSL משפיעה גם על הדירוג של אתר הוורדפרס שלכם בגוגל ומדרגת אתרים בעלי תעודת SSL גבוה יותר מאשר אתרים ללא תעודה. הנה מאמר שכתבתי המדבר בהרחבה על תעודות SSL והאם יש צורך בהן באתרי וורדפרס.

תעודת SSL באה יחד עם המעבר החשוב לפרוטוקול HTTPS שלו יתרונות בפני עצמו מעבר לאבטחת התקשורת.

16. הוסיפו Security Headers

Security Headers בוורדפרס נוצרו בכדי להגן על אפליקציות ממתקפות נפוצות ללא הצורך לשנות משהו בקוד של האפליקציה שלכם. אומנם פעולה זו אחרונה כרונולוגית בסדר הופעתה בפוסט, אך היא בהחלט אחת מהפעולות הראשונות והחשובות שיש לבצע.

תנו מבט בפוסט שכתבתי על הוספת Security Headers לאתרי וורדפרס.

17. אבטחו את REST API של וורדפרס

ה-REST API מאפשר למפתחים לתקשר עם נתוני האתר, מה שמועיל במיוחד באתרים מבוססי Headless, קריאות AJAX ואינטגרציות. אם הוא לא מאובטח, הוא עלול לחשוף מידע רגיש כמו שמות משתמשים, פוסטים שלא פורסמו ועוד.

כברירת מחדל, משתמשים שאינם מחוברים יכולים לגשת למגוון נקודות קצה ב-REST API, מה שעלול להוביל לאיסוף נתונים או התקפות Brute Force.

יש כמה דרכים להגביל ולאבטח את הגישה ל-REST API, כולל:

• לאפשר גישה רק למשתמשים מחוברים
• לחסום נקודות קצה מסוימות כמו /wp-json/wp/v2/users
• להסתיר מידע רגיש של משתמשים כמו כתובות אימייל ושמות תצוגה
• להשתמש בתוספי אבטחה כדי לשלוט בגישה ל-REST API מבלי לכתוב קוד

כדי ללמוד כיצד לאבטח את REST API בצורה נכונה מבלי לשבור פונקציונליות של תבניות או תוספים – קראו את המדריך המלא על כיצד לאבטח את REST API של וורדפרס.

שאלות נפוצות

שאלות נפוצות בנושא אבטחת וורדפרס:

לסיכום

כפי שאתם רואים ישנן הרבה פעולות שניתן לבצע בכדי לחזק את האבטחה של אתר הוורדפרס שלכם. הרבה מההמלצות לוקחות רק מספר דקות על מנת להטמיע אותן, עשו זאת ובכך תוכלו להיות קצת יותר רגועים לגבי אבטחת האתר.

אני מקווה שמצאתם מדריך זה מועיל, הרגישו חופשי להגיב ולשתף ומאוד אשמח אם תכתבו בתגובות על טיפים נוספים שיש ברשותכם כך שכולנו נוכל ללמוד 🙂