אבטחת אתרי וורדפרס: 21 צעדים שעובדים (2026)

אבטחת אתרי וורדפרס היא נושא שאי אפשר להתעלם ממנו. וורדפרס מפעילה יותר מ-60% מכלל האתרים שמשתמשים במערכת ניהול תוכן, כלומר כ-43% מכלל האתרים ברשת פועלים על וורדפרס.

מכיוון שהמערכת תופסת נתח שוק גדול כל כך, גם הסיכוי לניסיונות פריצה עולה. אסור להקל ראש בנושא האבטחה, והאמינו לי, אתם לא רוצים להגיע למצב בו האתר שלכם נפרץ.

אבטחת האתר כוללת כמה פעולות. אבל קודם כול, האם וורדפרס בכלל בנויה כמערכת מאובטחת מהקופסה?

האם וורדפרס היא מערכת מאובטחת?

מכיוון שמתבצעות פריצות רבות לאתרי וורדפרס, עולה השאלה אם מדובר במערכת מאובטחת מספיק. אם נסכם במשפט אחד, וורדפרס עצמה, ובמיוחד קובצי הליבה שלה, כתובה נכון מבחינת אבטחה, כך שמאוד קשה לנצל אותם בכדי לפרוץ לאתר שלכם.

מרבית הפריצות המוצלחות לאתרי וורדפרס נגרמות מטעויות אנוש, קונפיגורציה שגויה או תחזוקה לא נכונה של המערכת. הסיבות המרכזיות שהופכות אתר לפגיע הן גרסאות וורדפרס לא מעודכנות, תוספים לא מעודכנים ושימוש בתוספים או בתבניות שלא עומד מאחוריהם מפתח מנוסה.

אז איפה בעצם וורדפרס כמערכת הכי פגיעה? לפי הדוח השנתי של Patchstack לשנת 2026, 96% מכלל הפגיעויות בוורדפרס מקורן בתוספים, בעוד שתבניות וליבת וורדפרס מהוות את השאר. 43% מפגיעויות אלה אינן דורשות אימות כלל בכדי לנצל אותן, ו-33% לא תוקנו בזמן שנחשפו.

אם הארגון שלכם מבצע מבדקי חדירה, עיינו במדריך תיקון ממצאי pentest בוורדפרס.

בפוסט זה אציג כמה פעולות שיחזקו את אבטחת האתר שלכם ויקשו על ניסיונות פריצה.

21 צעדים לאבטחת אתרי וורדפרס

תמיד יש סיכוי שיצליחו לפרוץ לאתר שלכם, ולעולם לא תוכלו למנוע זאת באופן מוחלט. אבל בכדי להקשות באמת על ניסיונות פריצה, כדאי ליישם כמה פרקטיקות ופעולות שיחזקו את אבטחת האתר שלכם.

1. בחרו את חברת האחסון הכי יקרה שאתם יכולים להרשות לעצמכם

גם אם תיישמו את כל פעולות האבטחה, בלי חברת אחסון טובה מאחוריכם, המאמצים שלכם לא יעזרו יותר מדי. אחוז משמעותי מאתרי וורדפרס נפגעים בעקבות פגיעויות בסביבת האחסון שלהם.

אם אתם יושבים על שרת שיתופי, ודאו מול חברת האחסון שקיים בידוד לחשבון (Account Isolation). אפשרות זו תמנע מאתר נגוע שנמצא על השרת להשפיע על אתר הוורדפרס שלכם.

רעיון טוב עוד יותר הוא לעבוד עם חברת אחסון ייעודית לוורדפרס. בשרתי אחסון מנוהלים שמתמחים בוורדפרס, יש סבירות גבוהה יותר למצוא חומת אש (Firewall) שמותאמת לוורדפרס, גרסאות PHP עדכניות, סריקות שוטפות של Malware, שרת שמותאם ייעודית לוורדפרס וצוות תמיכה שמכיר את וורדפרס על בוריה (כמובן).

2. השתמשו בגירסה האחרונה של PHP

PHP היא השפה שעליה וורדפרס בנויה. הרצת גירסה שאינה נתמכת פירושה שפגיעויות ידועות לא יתוקנו לעולם. ודאו שאתם על PHP 8.2 לפחות, ושדרגו ל-8.3 כשחברת האחסון תומכת בכך.

גירסאות PHP חדשות גם מהירות יותר. שדרוג יכול לשפר את מהירות האתר ואת הביצועים שלו.

3. ודאו כי וורדפרס והתוספים הקיימים באתר מעודכנים

חשוב מאוד שגירסת הוורדפרס באתר שלכם תהיה מעודכנת לגירסה האחרונה. אותו דבר נכון גם לגבי התוספים שבהם אתם משתמשים. מעבר לכך, השתמשו רק בתוספים ובתבניות שאתם סומכים עליהם. התקינו תבניות ותוספים רק מהריפוזיטורי של וורדפרס, ובחרו כאלה עם מספר התקנות גבוה ודירוג טוב בביקורות.

כשאתם מפגרים מאחור ברמת הגרסאות, אתם חשופים ליותר פריצות, משום שהאקרים נוטים לחפש ולתקוף גרסאות ישנות עם פגיעויות ידועות.

נושא חשוב לא פחות: הקפידו לבצע גיבוי של האתר שלכם! גיבוי יאפשר לכם לשחזר את האתר במהירות במקרה שהאתר שלכם נפרץ.

4. השתמשו בסיסמאות חזקות ובמנהל סיסמאות

היו חכמים בבחירת שם המשתמש והסיסמה לממשק הניהול של וורדפרס. אל תשתמשו ב-admin כשם משתמש, ובחרו סיסמה מורכבת. זו כנראה אחת הפעולות החשובות ביותר למניעת פריצות, ובאופן אירוני גם אחת הפשוטות ביותר ליישום.

השתמשו במנהל סיסמאות כמו 1Password, Bitwarden או LastPass בכדי ליצור ולשמור סיסמאות חזקות וייחודיות. לעולם אל תשתמשו באותה סיסמה במספר אתרים.

5. הפעילו אימות דו-שלבי (2FA)

אימות דו-שלבי מוסיף שכבת אבטחה נוספת מעבר לסיסמה. השתמשו באימות מבוסס אפליקציה (TOTP) דרך Google Authenticator, Authy או Microsoft Authenticator, והימנעו מ-2FA מבוסס SMS, מכיוון שהוא פגיע להתקפות SIM-swapping.

אפשר להפעיל 2FA באמצעות תוספים כמו WP 2FA או Two-Factor. למדריך הגדרה מלא, ראו את מדריך זה להגדרת אימות דו-שלבי.

6. שנו את ה-Login URL ללוח הבקרה של וורדפרס

בכדי למנוע מתקפות Brute Force, שנו את כתובת הגישה לממשק הניהול של וורדפרס. מכיוון שכולנו יודעים שהגישה לממשק הניהול מתבצעת דרך wp-admin כברירת מחדל, האקרים ניגשים לכתובת זו ומנסים שילובים שונים של שמות משתמש וסיסמאות בכדי לפרוץ לאתר שלכם.

בכדי להקשות עליהם, צריך לשנות את כתובת ה-URL של ממשק הניהול. אפשר לעשות זאת באמצעות תוסף קל לתפעול בשם WPS Hide Login.

תנו מבט במדריך קצר שכתבתי, שמסביר כיצד לשנות את ה-Login URL ללוח הבקרה של וורדפרס באמצעות תוסף זה.

7. הגבילו את מספר ניסיונות ההתחברות

כברירת מחדל, וורדפרס מאפשרת לנסות סיסמאות שונות בלי כל הגבלה על מספר הניסיונות. מצב זה הופך את האתר שלכם לחשוף למתקפות Brute Force. אפשר להטמיע מערכת להגבלת ניסיונות התחברות בקלות באמצעות תוסף ייעודי, כמו Limit Login Attempts Reloaded.

8. אבטחו את הקובץ wp-config.php

הקובץ wp-config.php מכיל את כל המידע הדרוש לגישה למסד הנתונים של האתר. מדובר בקובץ החשוב ביותר בהתקנת הוורדפרס שלכם.

אבטחו את הקובץ על ידי חסימת גישה ישירה. הוסיפו את הקוד הבא לקובץ .htaccess:

<Files wp-config.php>
    Require all denied
</Files>

שינויים בקובץ .htaccess מומלצים למשתמשים מנוסים בלבד.

9. בטלו את XML-RPC

XML-RPC הוא פרוטוקול ישן שמאפשר גישה מרחוק לאתר הוורדפרס שלכם. הוא הוחלף לחלוטין על ידי ה-REST API, שמספק אימות מאובטח יותר המבוסס על טוקנים.

האקרים עלולים לנצל את XML-RPC בכדי לבצע מתקפות Brute Force (באמצעות system.multicall, שמאפשר לבדוק מאות סיסמאות בבקשה אחת) ומתקפות DDoS דרך pingbacks.

אפשר לבטל את XML-RPC לחלוטין. הדרך הפשוטה ביותר היא להוסיף את הקוד הבא לקובץ .htaccess:

<Files xmlrpc.php>
    Require all denied
</Files>

בטלו אותו אלא אם אתם משתמשים בכלים שדורשים XML-RPC (כמו אפליקציית וורדפרס לנייד או Jetpack).

10. הסתירו את גירסת הוורדפרס שלכם

עדכוני גירסה של וורדפרס כוללים בדרך כלל גם עדכוני אבטחה. אם תבדקו את קוד המקור של אתר הוורדפרס שלכם, תגלו שגירסת הוורדפרס גלויה בתגית meta.

מידע זה נגיש להאקרים ונותן להם רמז אם הם מחפשים לתקוף אתרים שמשתמשים בגירסאות וורדפרס ישנות יותר עם פגיעויות ידועות.

בכדי להסתיר את גירסת הוורדפרס, הוסיפו את הקוד הבא לקובץ functions.php:

function wpversion_remove_version() {
    return '';
}
add_filter('the_generator', 'wpversion_remove_version');

אגב, שינוי קידומת הטבלאות במסד הנתונים הוא טיפ אבטחה נפוץ שלא באמת עוזר. הסתרת גירסת וורדפרס כן שווה את המאמץ.

11. השתמשו בתוסף אבטחה

תוספי אבטחה מבצעים אוטומציה של פעולות רבות ממדריך זה: חומת אש, סריקת Malware, הגנה מפני Brute Force, בדיקת שלמות קבצים ומעקב אחר שינויי DNS. רובם גם שולחים התראות בזמן אמת כשמשהו חשוד קורה, כך שתוכלו להגיב מהר במקום לגלות פריצה ימים מאוחר יותר.

למרות שאפשר ליישם כל צעד הקשחה באופן ידני, תוסף אבטחה טוב מרכז הכול בלוח בקרה אחד ושומר על ההגנות פעילות גם כשאתם לא עוקבים (אגב).

תוספי אבטחה מומלצים:

• Wordfence Security
• Solid Security (לשעבר iThemes Security)
• Sucuri Security
• Shield Security

12. השתמשו תמיד בחיבור מאובטח

לא משנה מאיפה אתם מתחברים לשרת שלכם, תמיד ודאו שהחיבור מאובטח. השתמשו בהצפנת SFTP (או SSH) בכדי להתחבר לאתר. חברת האחסון בה האתר שלכם מאוחסן צריכה לספק את הכלים הבטוחים ביותר להתחברות לשרת.

כשאני אומר מאובטח, אני מתכוון לשימוש בגירסאות נתמכות ומעודכנות של PHP ו-MySQL, בידוד חשבונות ושימוש בחומות אש. הימנעו מחברות אחסון זולות ושיתופיות, משום שבין היתר אתם עלולים להיתקל בבעיות של שרתים עמוסים וחלוקה של כתובות IP.

13. בטלו את אפשרות עריכת הקבצים מלוח הבקרה של וורדפרס

משתמשים שמחוברים כמנהלי מערכת יכולים לערוך את קובצי ה-PHP של התבניות והתוספים באתר. מומלץ לבטל את האפשרות הזו ולערוך קבצים אך ורק באמצעות FTP.

בכדי לבטל את האפשרות, הוסיפו את השורה הבאה לקובץ wp-config.php:

define('DISALLOW_FILE_EDIT', true);

14. בטלו רמזים הקשורים להתחברות משתמשים לאתר

כשאתם מנסים להתחבר לממשק הניהול של וורדפרס עם שם משתמש או סיסמה שגויים, וורדפרס מציגה הודעה שמציינת איזה מהפרטים שהזנתם שגוי.

הודעה כזו נותנת רמז למי שמנסים לפרוץ לאתר שלכם לגבי הנתון שאינו נכון. תוכלו לשנות הודעות אלה להודעה כללית יותר על ידי הוספת הפונקציה הבאה לקובץ functions.php:

function no_wordpress_errors(){
  return 'Wrong Details - Try Again';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

15. השתמשו בתעודת SSL להצפנת נתונים

הטמעת תעודת SSL חשובה מאוד בכדי לאבטח את לוח הבקרה של וורדפרס. שימוש ב-SSL מבטיח תקשורת נתונים מוצפנת ומאובטחת בין המשתמש, הדפדפן והשרת, וכך מקשה על האקרים ליירט ולגנוב מידע.

במקרים רבים, תעודת SSL היא אפשרות חינמית שמגיעה עם חבילת האחסון, בדרך כלל דרך Let's Encrypt.

תעודת SSL משפיעה גם על דירוג אתר הוורדפרס שלכם בגוגל, ואתרים עם תעודה זו מדורגים גבוה יותר מאתרים ללא תעודה. הנה מאמר שכתבתי שמסביר בהרחבה על תעודות SSL והאם יש צורך בהן באתרי וורדפרס.

תעודת SSL הולכת יד ביד עם המעבר החשוב לפרוטוקול HTTPS, שלו יש יתרונות נוספים מעבר לאבטחת התקשורת.

16. הוסיפו Security Headers

Security Headers בוורדפרס נועדו להגן על אפליקציות מפני מתקפות נפוצות, בלי שתצטרכו לשנות משהו בקוד של האפליקציה שלכם. אמנם פעולה זו מופיעה אחרונה כרונולוגית בפוסט, אבל היא אחת הפעולות הראשונות והחשובות שכדאי לבצע (אגב).

תנו מבט בפוסט שכתבתי על הוספת Security Headers לאתרי וורדפרס.

17. אבטחו את REST API של וורדפרס

ה-REST API מאפשר למפתחים לתקשר עם נתוני האתר, אבל אם הוא אינו מאובטח, הוא עלול לחשוף שמות משתמשים, פוסטים שלא פורסמו ומידע רגיש נוסף. כברירת מחדל, משתמשים שאינם מחוברים יכולים לגשת לנקודות קצה כמו /wp-json/wp/v2/users, מה שהופך איסוף שמות משתמשים לפשוט במיוחד.

קראו את המדריך המלא על כיצד לאבטח את REST API של וורדפרס בכדי ללמוד איך להגביל גישה בלי לשבור פונקציונליות של תבניות או תוספים.

18. בטלו גלישה בתיקיות (Directory Browsing)

כברירת מחדל, שרתים מסוימים מאפשרים למבקרים לעיין בתוכן של תיקיות שאינן מכילות קובץ index. מצב זה עלול לחשוף את מבנה הקבצים שלכם, שמות תוספים ופרטי תבניות בפני תוקפים.

הוסיפו את השורה הבאה לקובץ .htaccess בכדי למנוע גלישה בתיקיות:

Options -Indexes

19. הגדירו עדכונים אוטומטיים

וורדפרס תומכת בעדכונים אוטומטיים מפורטים עבור הליבה, התוספים והתבניות. הפעילו עדכונים אוטומטיים עבור עדכוני ליבה קטנים, שכוללים תיקוני אבטחה, ועבור תוספים מהימנים. תוכלו לנהל זאת מלוח הבקרה תחת עמוד התוספים, או להוסיף את הקוד הבא ל-wp-config.php:

// הפעלת עדכונים אוטומטיים קטנים (מופעל כברירת מחדל)
define('WP_AUTO_UPDATE_CORE', 'minor');

// הפעלת עדכונים אוטומטיים לתוספים באמצעות פילטר
add_filter('auto_update_plugin', '__return_true');

// הפעלת עדכונים אוטומטיים לתבניות באמצעות פילטר
add_filter('auto_update_theme', '__return_true');

היו סלקטיביים עם עדכונים אוטומטיים לתוספים. הפעילו אותם עבור תוספי אבטחה ותחזוקה, אבל עדכונים גדולים בדקו ידנית קודם על סביבת פיתוח (כמובן).

20. הפעילו רישום פעילות (Activity Logging)

לדעת מה קרה באתר, ומתי, זה קריטי גם למניעה וגם לטיפול באירועי אבטחה. רישומי פעילות עוקבים אחרי התחברויות משתמשים, שינויי תוכן, התקנות תוספים ושינויי הגדרות.

במקרה של פריצה, הלוגים עוזרים להבין בדיוק מתי ואיך התוקף חדר. התקינו תוסף כמו WP Activity Log בכדי לנהל מעקב ביקורת עם חיפוש והתראות דוא"ל על אירועים חשודים.

21. יישמו את עקרון ההרשאות המינימליות

לא כל משתמש צריך הרשאות מנהל מערכת. וורדפרס מגיעה עם תפקידים מובנים: מנהל מערכת, עורך, כותב, תורם ומנוי, ולכל אחד מהם יכולות שונות. הקצו לכל משתמש את התפקיד המינימלי שנדרש לו.

בדקו את רשימת המשתמשים שלכם באופן קבוע והסירו חשבונות לא פעילים. חשבונות שאינם נמצאים בשימוש ועם הרשאות גבוהות הם מטרה קלה לתוקפים.

שאלות נפוצות

שאלות נפוצות בנושא אבטחת וורדפרס:

לסיכום

רוב הפעולות שלמעלה לוקחות דקות ספורות כל אחת. אינכם חייבים לבצע את כל 21 הצעדים במכה אחת, אבל ככל שתסמנו יותר פריטים מהרשימה, כך האתר שלכם יהיה קשה יותר לפריצה.

אם יש לכם טיפים נוספים שעובדים לכם, שתפו בתגובות. תמיד שמח ללמוד משהו חדש 🙂