WhatsApp
מדריך אבטחה יוני 1, 2026

איך מזהים שאתר וורדפרס פרוץ

מדריך מעשי לזיהוי אתר וורדפרס פרוץ: 7 סימנים שאסור להתעלם מהם, סקריפט בדיקה ב-3 דקות, ומה לעשות ברגע שגיליתי....

איך מזהים שאתר וורדפרס פרוץ
תגיות: Wordfence WP-CLI אבטחה ניטור פריצה

הסכנה הגדולה בפריצה היא לא תמיד שכל האתר נשבר. לפעמים זה בדיוק להפך. תוקפים מתוחכמים רוצים להישאר חבויים כמה שיותר זמן, מנצלים את האתר שלך לשלוח spam או להפיץ קוד זדוני, ואתה לא יודע על זה עד שמישהו מבחוץ מתריע.

אני גרי חלימסקי, מומחה וורדפרס עצמאי, ובמדריך הזה אעבור על 7 הסימנים העיקריים שאתר וורדפרס פרוץ, על סקריפט בדיקה מהיר שאני מריץ אצל כל לקוח חדש, ומה לעשות ברגע שגיליתי משהו חשוד.

התשובה המהירה: הסימנים העיקריים: תעבורה חשודה (קוד JavaScript לא מוכר ב-source), משתמש admin שלא הוספת, פוסטים או דפים שלא יצרת, ספאם בתגובות גואה, שגיאות SEO מ-Google Search Console may בסגנון "your site may be hucked", קבצי PHP חשודים בתיקיית wp-content/uploads/, ושעות עומס מוזרות. סקריפט בדיקה: Wordfence Free ועוד סריקה ב-WP-CLI של קבצי PHP בנתיבים שלא צריכים להיות שם. אם אתה לא בטוח, אל תנסה לתקן לבד, כי פריצה לא מטופלת נכון חוזרת תוך ימים.

תוכן העניינים

  • למה אתרים נפרצים בכלל?
  • סימן 1: תעבורה חשודה ו-JavaScript זר
  • סימן 2: משתמש admin חדש
  • סימן 3: פוסטים שלא יצרת
  • סימן 4: ספאם בתגובות
  • סימן 5: אזהרות מ-Google Search Console
  • סימן 6: קבצי PHP חשודים ב-uploads
  • סימן 7: דפוסי תעבורה מוזרים
  • סקריפט בדיקה מהיר
  • מה לעשות אם גיליתי משהו
  • שאלות נפוצות

למה אתרים נפרצים בכלל?

ב-2026, אתרי וורדפרס נפרצים ב-3 מסלולים מרכזיים: (1) תוסף מיושן עם פגיעות ידועה. התוקף סורק רשתות של מאות אלפי אתרים, מוצא תוסף ספציפי בגרסה ישנה, ומנצל. (2) סיסמת admin חלשה. הצירוף admin/password123 עדיין עובד לצערנו. (3) wp-config.php עם הרשאות מופרות או חשוף דרך פגיעות אחרת. ברוב המקרים אין מטרה אישית, אתה רק "אתר זמין". זה אומר שגם אתר קטן לא פטור מהסיכון.

סימן 1: תעבורה חשודה ו-JavaScript זר

הכי קל לזהות: פתח את האתר שלך בדפדפן, לחץ Ctrl+U (View Source), וחפש סקריפטים שאינך מזהה:

  • ידוע: jQuery, GA, התוסף שלך, התבנית שלך.
  • חשוד: סקריפטים מ-*.tk*.ml*.ga, או דומיינים שאתה לא מזהה.
  • חשוד: פונקציות JavaScript עם שמות לא קריאים (eval(_0x...)).
  • חשוד: redirects אוטומטיים מ-mobile לאתר אחר.

טיפ: השתמש ב-VirusTotal URL scan. הזן את כתובת האתר, והוא יראה לך אם הוא מסומן כזדוני בגוגל או באנטי-וירוס.

סימן 2: משתמש admin חדש

זה אחד הסימנים הכי ברורים. גש ל-Users → All Users, ובדוק:

  • האם יש משתמשים שלא הוספת?
  • במיוחד עם Role = Administrator שאינו אתה?
  • שמות חשודים: admin1wpsupportgerry2system, או שמות בעברית מוזרים.

ב-WP-CLI:

wp user list --role=administrator --fields=ID,user_login,user_email,user_registered

תקבל רשימה של כל המנהלים ותאריך היצירה. כל אחד שאתה לא מזהה הוא חשוד.

טיפ: הגדר התראת מייל אוטומטית בכל יצירת משתמש Admin. תוסף "WP Activity Log" עושה זאת בחינם. ראה גם 5 הטעויות המסוכנות ביותר באבטחת וורדפרס, כי סיסמאות חלשות הן הצד השני של אותה בעיה.

סימן 3: פוסטים שלא יצרת

לעיתים פריצה מכניסה פוסטים או דפים, לרוב לקידום של תרופות, פיננסים, או פורנו. בדוק:

wp post list --post_type=any --post_status=any --orderby=date --order=DESC --fields=ID,post_title,post_status,post_date

תסרוק את 50 הפוסטים האחרונים. דברים חשודים: פוסטים באנגלית או בשפה אחרת באתר עברי, כותרות מוזרות, פוסטים ב-Status "publish" שלא אתה פרסמת.

סימן 4: ספאם בתגובות

אם פתאום יש לך מאות תגובות ספאם, לא בהכרח מדובר בפריצה, אלא אולי בבעיית הגנה לקויה. אבל זה סימן אזהרה. פעולות מיידיות:

  1. הפעל Akismet (חינמי לאתרים אישיים).
  2. הפעל reCAPTCHA או Cloudflare Turnstile בטופס התגובות.
  3. בדוק תגובות "Trash", כי לעיתים יש שם spam שמנסה להחדיר קוד.

סימן 5: אזהרות מ-Google Search Console

אם Search Console מותקן (ראה SEO לוורדפרס: המינימום שחייבים לעשות),
בדוק- Security & Manual Actions → Security Issues. אזהרות נפוצות:

  • "Hacked: malware": קוד זדוני באתר.
  • "Hacked: code injection": סקריפטים זרים.
  • "Hacked: SQL injection": תקלות בקוד.
  • "Hacked: content": דפים שאתה לא מכיר.

עזרה ב-2026: Google הוסיף בדיקת AI שמדגמת באוטומציה ומספקת המלצות. אבל אל תסמוך על האזהרות בלבד, כי האזהרה עולה רק אחרי שגוגל סרק מחדש וגילה. זה אחריות שלך לזהות לפני זה.

סימן 6: קבצי PHP חשודים ב-uploads

ה-wp-content/uploads/ אמור להכיל רק תמונות, PDF, MP4, וקבצי מדיה. קבצי .php בתיקיה הזאת הם תמיד חשודים. סקריפט מהיר לבדיקה ב-SSH:

find /path/to/wordpress/wp-content/uploads/ -type f -name "*.php"

אם יש תוצאות כלשהן, מצאת backdoor. אל תמחק מיד. העתק עותק של הקובץ למקום בטוח לבדיקת קוד, ורק אז מחק. בעל האתר עשוי להזדקק לראיה משפטית.

חלופה ללא SSH: דרך תוסף "WP File Manager", חפש בתיקיית uploads/ קבצי .php. רובם לא אמורים להופיע שם. אם אתה לא בטוח, קרא איך לשחזר אתר וורדפרס פרוץ.

סימן 7: דפוסי תעבורה מוזרים

תוסף ניטור (Wordfence, iThemes Security, Sucuri), או דוח מספק האחסון, יראה דפוסים חריגים:

  • ספייקים של תעבורה ב-3 בלילה.
  • אלפי בקשות מ-IP יחיד.
  • ניסיונות login חוזרים על /wp-login.php.
  • בקשות לקבצים כמו /xmlrpc.php או /wp-cron.php בעוצמה גבוהה.

טיפ: הפעל Wordfence Free → Live Traffic, ובדוק את הדפוסים בזמן אמת. הוא יזהה ניסיונות התקפה ויחסום אוטומטית.

סקריפט בדיקה מהיר

זה הסקריפט שאני מריץ אצל לקוח חדש בדקה הראשונה:

# 1. בדיקת קבצי PHP ב-uploads
find /path/to/wp-content/uploads/ -type f -name "*.php"

# 2. בדיקת admins חדשים
wp user list --role=administrator --fields=ID,user_login,user_registered

# 3. בדיקת פוסטים אחרונים
wp post list --orderby=date --order=DESC --fields=ID,post_title,post_status,post_date --posts_per_page=20

# 4. בדיקת תוספים פעילים (לבדוק שאין תוסף חשוד)
wp plugin list --status=active --fields=name,version,update

# 5. בדיקת versions wordpress core
wp core version

# 6. סריקת קבצים שונים מ-wordpress.org (תוסף Sucuri או Wordfence)
# רץ דרך הדאשבורד של התוסף

תוך 5 דקות יש לך תמונה ראשונית. אם משהו תפס את העין, תעבור ל-Wordfence Full Scan או פנה אליי.

מה לעשות אם גיליתי משהו

אל תלחץ – פאניקה לא עוזרת. אבל גם אל תזניח. ככל שתפעל מהר, כך הנזק קטן יותר. סדר פעולות בסיסי:

  1. כיבוי נגישות: שנה את סיסמת ה-admin שלך. נתק את כל המשתמשים (wp user session destroy --all).
  2. גיבוי: עשה גיבוי של המצב הנוכחי לפני כל שינוי (גם אם הוא פרוץ, לבדיקה משפטית).
  3. הסרת backdoor: מחק קבצי PHP חשודים ב-uploads.
  4. השוואת ליבה: ב-WP-CLI, wp core verify-checksums אומר אם קבצי הליבה הם המקוריים.
  5. ניקוי DB: בדוק את טבלת wp_options ל-entries חשודות (active_pluginshomesiteurl).
  6. החלפת secret keys ב-wp-config.phpdefine( 'AUTH_KEY', ... ), צור חדשים ב-api.wordpress.org/secret-key/1.1/salt/.

אם אתה לא בטוח, אל תנסה לבד. פריצה לא מטופלת נכון חוזרת תוך ימים. השירות שלי "תיקון בעיות אבטחה באתר וורדפרס" כולל אבחון מלא, ניקוי, חיזוק, וריצה תקופתית של בדיקות אבטחה. ראה גם גיבוי אתר וורדפרס: 3 שיטות ללא תוספים בתשלום, כי תמיד מתחילים מגיבוי לפני שמטפלים.

שאלות נפוצות

האם Wordfence Free מספיק כדי לזהות פריצה?
לרוב כן. הוא מזהה malware, סורק קבצים, וחוסם IPs חשודים. לא מספיק אם הפריצה כבר עמוקה (קבצי PHP מותאמים אישית, אינטגרציות קוד מתוחכמות). אז עוברים ל-Wordfence Premium או לסורק מקצועי (Sucuri).

האם פריצה משאירה עקבות גם לאחר ניקוי?
לפעמים. תוקפים מתוחכמים שותלים backdoors במספר מקומות. רק ניקוי שלם (ליבה, תוספים, תבנית, DB, secret keys) מבטיח. ולעיתים, הדרך הבטוחה היחידה היא לבנות מחדש מ-WP נקי ועם שחזור תוכן בדוק.

כמה זמן אחרי שהאתר נפרץ אגלה?
ממוצע בתעשייה: 6 שבועות. בעלי אתרים פעילים שמנתרים אקטיבית: שעות עד יום. בעלי אתרים פאסיביים: חודשים. הסימנים שצוינו כאן, חלקם נראים תוך שעות, חלקם תוך שבועות חלקם יכולים להישאר חבויים לאורך זמן ולגרום לאתר לדמם לאט ובשקט.

האם פריצה תופיע בלוגי האחסון?
תלוי. רוב ספקי האחסון שומרים access logs לימים בודדים בלבד (3 עד 7 ימים). אם הפריצה הייתה לפני שבועיים, הלוגים לא יעזרו. המלצה: הגדר מעקב log ארוך טווח דרך Wordfence או דרך מערכת ניהול אבטחה חיצונית.

מה ההבדל בין פריצה ל-DDoS?
פריצה היא כשמישהו השיג גישה לאתר ושינה תוכן או קוד. DDoS היא הצפת בקשות שמפילה את האתר זמנית בלי שינוי. שתי בעיות שונות לחלוטין. הסימנים שכאן רלוונטיים לפריצה, לא ל-DDoS.


חושד שהאתר שלך פרוץ?

אבחון מהיר ומסודר תוך 24 שעות. אני בודק את כל נקודות הסיכון, מציג דוח, ואם נדרש מבצע ניקוי וחיזוק. השירות מיועד למצב חירום. בקש אבחון אבטחה דחוף או צור קשר ב-WhatsApp.


אני גרי חלימסקי, מומחה וורדפרס עצמאי עם 10 שנות ניסיון. אני מתמחה באבחון תקלות, אבטחה, ושיפור ביצועים של אתרי וורדפרס לעסקים קטנים ובינוניים בישראל. בעת הצורך נעזר במומחים מהימנים (עיצוב, שיווק, אנליטיקה). פרטים על השירותים.


תפריט נגישות