WhatsApp

5 הטעויות המסוכנות ביותר באבטחת וורדפרס

90% מאתרי הוורדפרס שנפרצים נופלים על אותן חמש טעויות....

מאי 14, 2026 גרי
איור של מנעול מרכזי המוקף בחמישה איקונים מופשטים המייצגים את הטעויות הנפוצות באבטחת אתר וורדפרס
אבטחה
*אבטחה *הקשחה *וורדפרס *טעויות

אני בוחן בכל שנה עשרות אתרים שנפרצו, ויש לי הודאה לא פופולרית: רובם המוחלט נפלו על אותן חמש טעויות בסיסיות. לא בגלל אקספלויט מתוחכם של אפס-ימים. לא בגלל האקר רוסי שהחליט לתפור משהו ספציפית עליהם. בגלל הזנחה. אני גרי, מומחה וורדפרס עצמאי, ואחרי 10 שנים בתחום אני יכול לומר בבטחה שאם תתקן את חמש הנקודות במדריך הזה, הסיכוי שלך להיפרץ יורד ב-90% — ואלה לא מספרים שלי אלא של Sophos, Wordfence, ו-Sucuri שמפרסמים סטטיסטיקה כל שנה.

התשובה המהירה: חמש הטעויות שמובילות לרוב הפריצות בוורדפרס: (1) דחיית עדכונים של ליבה ותוספים, (2) סיסמת Admin חלשה או חוזרת, (3) שימוש בשם משתמש "admin", (4) היעדר אימות דו-שלבי על חשבונות Admin, (5) שימוש בתוספים או תבניות "Nulled" (פיראטיים). תיקון כל החמש לוקח שעה אחת ומפחית קיצונית את הסיכון להיפרץ. אבטחה היא תהליך, לא מוצר — תוסף Firewall לבדו לא יספיק אם הבסיס לא חזק.

תוכן עניינים

  • מה גורם באמת לפריצות בוורדפרס?
  • טעות 1: דחיית עדכונים
  • טעות 2: סיסמת Admin חלשה
  • טעות 3: שם משתמש "admin"
  • טעות 4: אין אימות דו-שלבי
  • טעות 5: תוספים ותבניות "Nulled"
  • בונוס: שלוש טעויות נוספות שכדאי להכיר
  • צ'קליסט מהיר של 60 דקות
  • שאלות נפוצות

מה גורם באמת לפריצות בוורדפרס?

לפי סטטיסטיקות של Sucuri מ-2025: 56% מהפריצות לוורדפרס היו דרך תוסף לא מעודכן או עם פגיעות מוכרת. 16% דרך גרסת ליבה ישנה. 11% דרך Brute Force על דף ההתחברות. 9% דרך תבנית פגומה (כולל nulled). שאר 8% מתחלקים על פגיעויות באחסון, סקריפטים זדוניים מצד שלישי, וטעויות אנוש.

מהמספרים האלה מתבררת הפואנטה: רוב הפריצות הן תוצאה של דברים שאתה שולט בהם. עדכונים, סיסמאות, היגיינה בסיסית. רק החלק הקטן הוא "אקספלויטים מתוחכמים".

טעות 1: דחיית עדכונים

המשפט שאני שומע הכי הרבה: "פחדתי לעדכן כדי לא לשבור משהו." הבעיה: הפחד מצדיק את עצמו רטרואקטיבית, כי אתה לא מעדכן, אז כשאתה כן מעדכן אחרי שנה, אתה קופץ 8 גרסאות וזה באמת שובר. הפתרון לא להפסיק לעדכן — הוא לעדכן בקצב סדיר ולגבות לפני.

מה לעשות:

  • עדכן ליבת וורדפרס תוך שבוע מיציאת גרסה. גרסאות אבטחה (x.y.z) — תוך 48 שעות.
  • עדכן תוספים תוך שבועיים מיציאת גרסה. תוספים שמעדכנים פגיעות אבטחה — מיד.
  • עדכן תבנית מהמקור הרשמי כל פעם שיוצא עדכון.
  • לפני כל עדכון: גיבוי מלא + sandbox check. אל תסכן את הפרודקשן.
  • אם תוסף לא מקבל עדכון יותר משנה — החלף אותו. סביר שננטש.

הפלטפורמה שלי: בדיקה של עדכונים ביום ראשון בבוקר, גיבוי, התקנה ב-staging, אישור, פרסום. רעת ארגונית. ראה עדכון וורדפרס בבטחה — המדריך המלא למתודולוגיה מלאה.

טעות 2: סיסמת Admin חלשה

אני עדיין רואה אתרים עם הסיסמה 123456, admin123, Aa12345!. בכל שניה שעוברת, בוטים בעולם מנסים פאז על דף ההתחברות שלך. סיסמה חלשה זה לא "סיכון נמוך" — זה הזמנה.

מה לעשות:

  • סיסמה אקראית של 20+ תווים עם תווים מיוחדים, מספרים, אותיות גדולות וקטנות. נוצרת אוטומטית במנהל סיסמאות. לא תזכור אותה — וזה הפואנט.
  • השתמש במנהל סיסמאות. Bitwarden (חינמי, מומלץ), 1Password (בתשלום), KeePass (offline). אסור לחזור על סיסמה בין שירותים — אם אחד נפרץ, כולם נפרצו.
  • אל תאפשר התחברות ב-/wp-login.php בלי הגנה. תוסף Limit Login Attempts Reloaded יחסום אחרי 4 ניסיונות כושלים. לפי Wordfence, זה מנטרל 99% של ניסיונות Brute Force.
  • בדוק אם הסיסמה שלך כבר דלפה ב-haveibeenpwned.com. אם כן — שנה היום, גם בכל אתר אחר שהשתמשת בה.

טעות 3: שם משתמש "admin"

ברירת המחדל הישנה של וורדפרס היתה "admin". המון אתרים נשארו כך. הבעיה: התוקפים יודעים. בכל ניסיון Brute Force, הניסיון הראשון תמיד עם שם המשתמש "admin".

הסיכון:

אתה לא רק מספק לתוקף את חצי הראשון של הזיווג, אתה גם מאשר לו שהמשתמש קיים. הרבה תוספי אבטחה משאירים את ההודעה "Invalid username or password" גנרית, אבל בדיקות עיתוי או שגיאות אחרות יכולות להסגיר.

מה לעשות:

  1. צור משתמש Admin חדש עם שם משתמש לא-צפוי (לא השם שלך, לא שם החברה — משהו אקראי כמו admin_q9x2). סיסמה חזקה.
  2. התחבר עם המשתמש החדש.
  3. לך ל-Users → All Users → מחק את המשתמש "admin" (או אם הוא בעלים של פוסטים — שייך אותם למשתמש החדש בעת המחיקה).

זה תיקון של 5 דקות שמסיר חצי מהמתקפה.

טעות 4: אין אימות דו-שלבי (2FA)

גם הסיסמה הכי חזקה יכולה לדלוף — דרך פישינג, מחשב נגוע, או דליפה מצד שלישי. 2FA הוא התסבוכת השנייה שמונעת מהתוקף להיכנס גם אם השיג את הסיסמה.

איך:

  • תוסף Two Factor (חינמי, מאת התומכים של וורדפרס עצמם) — תומך ב-TOTP (Google Authenticator), אפליקציה, ובמיילים.
  • WordFence (גרסה חינמית) כולל 2FA כאחד הפיצ'רים.
  • iThemes Security גם תומך.

מי חייב 2FA:

  • כל משתמש Admin
  • כל משתמש Editor שיכול לפרסם תוכן
  • כל מפתח חיצוני שאתה נותן גישה זמנית

רק 2FA לא מספיק — אם הסיסמה גם חלשה, יש דרכים לעקוף. אבל יחד עם סיסמה חזקה, זה כמעט בלתי שביר על ידי Brute Force.

טעות 5: תוספים ותבניות "Nulled"

תוסף Premium עולה 80$ והתחת לא רוצה לשלם. אז הוא יורד "Nulled" (גרסה פיראטית) מאתר ש-מבטיח "free download". זה אסון.

הבעיה:

  • כמעט כל גרסה Nulled מכילה backdoor — קוד שנותן לתוקף גישה מרחוק. זה לא מקרה — זה למה הם מציעים את זה בחינם.
  • אין לך גישה לעדכונים, אז גם אם הקוד "המקורי" נקי, פגיעויות עתידיות לא יתוקנו.
  • אתה גם בעל אחריות חוקית על הפרת זכויות יוצרים, אם זה משנה לך.

הפתרון:

  • אם אתה לא יכול להרשות לעצמך תוסף בתשלום — מצא חלופה חינמית. כמעט תמיד יש (Yoast → Rank Math, WP Rocket → LiteSpeed Cache, WPML → Polylang).
  • אם הצורך אמיתי, שווה את ההשקעה — הרוב עולים 50-100$ בשנה ושומרים אתר שווה הרבה יותר.
  • ב-WooCommerce, רוב התוספים החיוניים יש להם גרסה Free או חלופות.

איך לבדוק שתוסף שכבר אצלך אינו Nulled:

חפש שמות קבצים מוזרים בתיקיית התוסף (כמו class-wp-cache.php בתיקייה לא צפויה, קבצי nulled.php, קוד מקודד ב-base64_decode). השתמש ב-grep (אם יש לך SSH) או WordFence Premium שיסרוק.

בונוס: שלוש טעויות נוספות שכדאי להכיר

לא משתמש ב-firewall

תוסף Firewall (Wordfence, Sucuri, MalCare) חוסם בקשות זדוניות לפני שהן מגיעות לוורדפרס. גרסאות חינמיות נותנות הגנה בסיסית. CloudFlare ברמת ה-DNS גם פותר חלק.

גישת FTP במקום SFTP

FTP שולח סיסמה ב-cleartext על הרשת. אם אתה מחובר לוויפי ציבורי או הרשת שלך נחטפה, התוקף קולט. תמיד SFTP (פורט 22) או FTPS (פורט 990).

אין ניטור

אם תיפרץ עכשיו, אתה תדע מתי? אם התשובה "לא" — תתקין UptimeRobot (חינמי) ל-uptime, ו-Wordfence או Sucuri לסריקת קבצים. רצוי גם הוקים ב-WordFence שישלחו לך מייל על שינויים בקבצי ליבה.

צ'קליסט מהיר של 60 דקות

לבעלי אתרים שרוצים תיקון מהיר — סדר העדיפויות שלי:

  1. דקות 1-10: עדכן וורדפרס + כל התוספים + התבנית.
  2. דקות 11-20: צור משתמש Admin חדש עם שם לא-צפוי + סיסמה חזקה. התחבר אליו.
  3. דקות 21-30: מחק את המשתמש "admin" (או admins לא בשימוש). העבר בעלות על תוכן.
  4. דקות 31-40: התקן והגדר תוסף 2FA לכל המשתמשי-Admin.
  5. דקות 41-50: התקן Limit Login Attempts Reloaded + WordFence Free (או Sucuri) + הגדרות ברירת מחדל.
  6. דקות 51-60: ודא שאין תוספים Nulled. החלף לחלופות חוקיות. הגדר UpdraftPlus לגיבוי שבועי.

זהו. שעה. אם נשבר משהו תוך כדי, השב למצב הקודם דרך גיבוי שעשית בהתחלה (כי כן עשית גיבוי, נכון?).

ראה גם איך לשחזר אתר וורדפרס פרוץ — כדי שתבין למה כל זה חשוב, מתוך הזווית של מה קורה כש לא עושים את זה.

שאלות נפוצות

האם Wordfence או Sucuri Premium שווים את הכסף?
Wordfence Premium (99/שנה) מוסיף sample של תקיפות בזמן אמת, סריקת קבצים מתקדמת, ותמיכה. Sucuri (200+/שנה) מוסיף WAF בענן ושחזור פריצה ללא תוספת מחיר. עבור אתר עסקי שמייצר 5,000 ש"ח+ בחודש — שווה. לאתר תדמיתי קטן — Wordfence Free + הגדרה נכונה מספיקים.

האם להשתמש בתוסף Login URL Hider?
תוסף כמו WPS Hide Login שמשנה את /wp-admin ל-URL לא-צפוי הוא Security Through Obscurity — לא הגנה אמיתית, רק מסך עשן. הוא כן מפחית את כמות ניסיונות Brute Force בקנה מידה גדול (כי בוטים לא ימצאו את המסך), אבל לא יגן מפני תוקף ממוקד. מומלץ כשכבת חיזוק נוספת, לא כפתרון יחיד.

מה קורה אם אני שוכח את הסיסמה החדשה?
לכן יש מנהל סיסמאות. בלעדיו אתה תחזור לסיסמאות חלשות. אם אתה משתמש ב-Bitwarden / 1Password והסיסמה הראשית שלך חזקה, יש לך גם 2FA על המנהל עצמו, אתה מוגן.

האם בסיסי נתונים MySQL גם צריכים אבטחה?
כן, אבל בעיקר ברמת האחסון — שהסיסמה שונה, שהמשתמש לא "root", שאין remote access ל-MySQL מבחוץ. חברת אחסון רצינית עושה את זה כברירת מחדל. אצל ספקי אחסון זולים — שווה לבדוק.

איך אני יודע אם תוסף שאני שוקל הוא בטוח?
בדוק ב-WordPress.org: כמה משתמשים פעילים, מתי עודכן לאחרונה (בשנה האחרונה – טוב), כמה כוכבים, ואיזה פגיעויות פורסמו (אתר wpvulndb.com או patchstack.com). אם תוסף לא עודכן יותר משנה, עזוב גם אם הוא חינמי. אם פורסמו עליו פגיעויות לא מתוקנות — בוודאי לא.

רוצה אבחון אבטחה מקיף?

חמש הטעויות במדריך הן הרצפה. אבטחה רצינית כוללת מדיניות גיבויים, ניטור פעיל, חיזוק שרת, סקירת קוד תבנית, ועוד. השירות "תקן לי את הוורדפרס" כולל אבחון אבטחה מלא — מצב נוכחי, פערים מסוכנים, ותוכנית פעולה. הזמן בדיקת אבטחה או צור קשר.

אני גרי, מומחה וורדפרס עצמאי עם 10 שנות ניסיון. אני מתמחה באבחון תקלות, אבטחה, ושיפור ביצועים של אתרי וורדפרס לעסקים קטנים ובינוניים בישראל. בעת הצורך נעזר במומחים מהימנים (עיצוב, שיווק, אנליטיקה). פרטים על השירותים.

תפריט נגישות