האם תוסף סריקה יכול לנקות אתר פרוץ?

חלקית. סריקות תופסות חלק מהקבצים הזדוניים אך לא תמיד backdoors מתוחכמים, לא תמיד מנקות את בסיס הנתונים, ולא יחזקו את האתר. הן משלימות שחזור, לא מחליפות אותו.

איך בדרך כלל תוקפים נכנסים?

ב-90% מהמקרים דרך תוסף או תבנית עם פגיעות מוכרת ולא מעודכנת. כ-7% סיסמה חלשה ל-Admin. השאר: פגיעות באחסון, פישינג, או מפתחות API שדלפו.

איך לשחזר אתר וורדפרס פרוץ — מדריך פעולה מסודר

Q: כמה זמן לוקח לשחזר אתר פרוץ?

אתר עסקי בינוני לוקח 4-8 שעות לאיש מקצוע. אתר גדול עם חנות פעילה ואיטגרציות יכול להגיע ליום-יומיים.

לקוח התקשר אליי בערב פנימה, גוגל סימנה את האתר שלו כ"מסוכן לגלישה", ועכשיו פוטנציאליים שהקליקו על המודעה רואים אזהרה אדומה במקום עמוד הנחיתה. הוא לא ידע אם להתקשר לחברת האחסון או לנשום עמוק. במצב כזה הסדר חשוב יותר מהמהירות — מי שעושה תיקונים אקראיים סביר שייכשל ויאבד עוד יום. אני גרי, מומחה וורדפרס עצמאי, ובמדריך הזה אני נותן את שבעת השלבים שעובדים, בסדר שהוכיח את עצמו במאות שחזורים שעבדתי עליהם בעצמי או דרך עמיתים.

התשובה המהירה: שחזור אתר וורדפרס פרוץ דורש שבעה שלבים בסדר מדויק: לקחת את האתר אופליין, ליצור גיבוי פורנזי לפני שנוגעים, לדרוס את ליבת וורדפרס מקובץ זיפ נקי מהאתר הרשמי, לסרוק ולנקות את תיקיות wp-content (תבנית, תוספים, uploads), לבדוק את בסיס הנתונים, להחליף את כל הסיסמאות והמפתחות, ולחזק לפני שהאתר חוזר לאוויר. אסור לדלג שלבים ואסור לסמוך רק על "תוסף סריקה" — תוקפים מתוחכמים מסתירים backdoors שתוספי סריקה לא תמיד מזהים.

תוכן עניינים

איך מזהים שאתר וורדפרס פרוץ?
15 הדקות הראשונות — מה לעשות מיד
שלב 1: לקחת את האתר אופליין
שלב 2: גיבוי פורנזי לפני שנוגעים
שלב 3: דריסת ליבת וורדפרס
שלב 4: ניקוי wp-content
שלב 5: בדיקת בסיס הנתונים
שלב 6: החלפת כל הסיסמאות והמפתחות
שלב 7: חיזוק והחזרה לאוויר
מה אסור לעשות
מתי כדאי להעביר למומחה
שאלות נפוצות

איך מזהים שאתר וורדפרס פרוץ?

לא תמיד הסימנים ברורים. לפעמים האתר נראה תקין למשתמש רגיל אבל בפנים יש פעילות זדונית. הסימנים הנפוצים:

אתר מפנה לאתר חיצוני שלא מוכר לך, רק ממנועי חיפוש (cloaking)
גוגל סימנה את האתר כ"deceptive site" או "harmful content"
מתפרסמים פוסטים, עמודים, או קישורים שאתה לא יצרת
משתמשי-על חדשים שלא הוספת בטבלת wp_users
שינויים בקבצים בתאריכים שלא תואמים את העבודה שלך
פעילות לא מוסברת בלוגים — בקשות POST ל-wp-login.php בכמויות אדירות, שגיאות מ-xmlrpc.php
האתר נחסם על ידי חברת האחסון על "פעילות זדונית"

הקפד להתחבר ל-Search Console ולבדוק את "בעיות אבטחה" — שם גוגל פולטת אזהרות מפורטות יותר.

15 הדקות הראשונות — מה לעשות מיד

לפני כל שחזור:

אל תיכנס לדאשבורד דרך משתמש קיים. אם הסיסמה שלך כבר נחשפה, חיבור נוסף רק עוזר לתוקף. במקום, צור משתמש Admin חדש דרך FTP / phpMyAdmin עם שם לא צפוי וסיסמה חדשה.
שנה את הסיסמה של חברת האחסון. לא של וורדפרס. של חשבון האחסון. אם התוקף נכנס לקבצים דרך FTP, זה לא יעזור לתקן את הוורדפרס בלבד.
שנה את הסיסמה של בסיס הנתונים (דרך הלוח של חברת האחסון), ועדכן את wp-config.php בהתאם.
התקן Sucuri SiteCheck (חינמי, לא מצריך התקנה) — סריקה מהירה שמראה אם יש redirects זדוניים או JavaScript מוזרק. זה לא מספיק לאבחון מלא, אבל נותן בסיס.

עכשיו אתה מוכן לעבוד מסודר.

שלב 1: לקחת את האתר אופליין

לא משאירים אתר פרוץ באוויר. כל דקה שבה הוא חי, התוקף יכול להמשיך לזרוק קוד, גוגל ממשיכה להוריד אותך בדירוג, ומבקרים נדבקים בפישינג.

איך:

הוסף לראש קובץ .htaccess (בשורש האתר):

order deny,allow
deny from all
allow from XXX.XXX.XXX.XXX

החלף XXX.XXX.XXX.XXX בכתובת ה-IP שלך (גוגל "what is my ip"). זה חוסם את כולם חוץ ממך. אופציה אחרת: תוסף WP Maintenance Mode (אם הדאשבורד עוד נגיש), או דריסה של index.php בקובץ סטטי שאומר "האתר בתחזוקה — חזרו בקרוב".

שלב 2: גיבוי פורנזי לפני שנוגעים

לפני שאתה משנה משהו, צור גיבוי של המצב הפרוץ. אני יודע שזה נשמע מוזר, אבל זה קריטי משתי סיבות: (א) אם יקרה משהו בזמן השחזור, אתה לא רוצה לאבד את העדויות. (ב) אנליזה של הגיבוי תעזור לזהות איך התוקף נכנס — מה שמונע חזרה.

איך:

דרך SFTP, הורד את כל התיקייה של האתר (כולל wp-content, wp-includes, wp-admin, wp-config.php).
דרך phpMyAdmin, ייצא את כל בסיס הנתונים כ-.sql.
שמור את שני הקבצים בתיקייה נפרדת בסיומת _HACKED_2026-04-26.

עכשיו יש לך עותק. אתה יכול לעבוד.

שלב 3: דריסת ליבת וורדפרס

הליבה של וורדפרס היא הדבר הכי קל לוודא שהוא נקי — כי יש מקור רשמי. הורד את הגרסה המדויקת שלך מ-wordpress.org/download/release-archive/. פתח את הזיפ.

העלה דרך SFTP, עם דריסה מלאה:

wp-admin/ — דריסה
wp-includes/ — דריסה
כל קובץ .php בשורש (חוץ מ-wp-config.php!) — דריסה

אל תיגע ב-wp-content/ ו-אל תיגע ב-wp-config.php. הראשון מכיל את הקוד הייחודי שלך, השני מכיל הגדרות (סיסמאות בסיס נתונים, מפתחות).

אחרי הדריסה, אתה יודע שהליבה נקייה. נשאר לטפל ב-wp-content ובבסיס הנתונים.

שלב 4: ניקוי `wp-content`

זה השלב הכי עדין. בתוך wp-content יש שלוש תיקיות עיקריות:

תוספים (`/wp-content/plugins/`)

מחק את כל התיקייה.
התקן מחדש כל תוסף רק מהמקור הרשמי (WordPress.org או אתר המפתח).
אל תשחזר תוספים מגיבוי — אם הפריצה היתה דרך תוסף, אתה משחזר את החור.

תבנית (`/wp-content/themes/`)

אם אתה משתמש בתבנית של ספק (Astra, GeneratePress, וכו') — מחק והורד מחדש מהמקור.
אם זו תבנית מותאמת שכתבתי לך (custom theme) — תצטרך לסרוק קובץ-קובץ. תוסף WordFence עם הסריקה המקיפה (Premium) או Sucuri יעזור. ואני ממליץ בכל מקרה להשוות עם גרסה ב-Git, אם יש.

העלאות (`/wp-content/uploads/`)

זו התיקייה הכי קשה — כי אסור לאבד אותה (כל המדיה שלך שם), אבל לפעמים מסתתרים שם קבצי PHP זדוניים.

הפתרון:

# מצא קבצי PHP בתיקיית uploads (אסור שיהיו שם)
find /wp-content/uploads/ -type f -name "*.php"

(אם אין לך SSH, אפשר לרוץ סקריפט מתוך mu-plugins שמדפיס רשימה.)

כל קובץ PHP בתיקיית uploads הוא חשוד. מחק. אחר כך הוסף ל-.htaccess של תיקייה זו:

<FilesMatch ".(php|phtml|php5|phar)$">
  Order Deny,Allow
  Deny from all
</FilesMatch>

זה יחסום הרצה של PHP מ-uploads/ בעתיד.

שלב 5: בדיקת בסיס הנתונים

תוקפים אוהבים להזריק קוד JavaScript לעמודות post_content או להוסיף משתמשים. דברים לחפש:

-- משתמשי Admin שלא יצרת
SELECT * FROM wp_users
JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
  AND wp_usermeta.meta_value LIKE '%administrator%';

-- תכנים שמכילים סקריפט מסוף
SELECT ID, post_title FROM tmp3ab07f_posts
WHERE post_content LIKE '%<script%' AND post_status = 'publish';

-- iframe חשודים
SELECT ID, post_title FROM tmp3ab07f_posts
WHERE post_content LIKE '%<iframe%';

-- אופציות מוזרקות
SELECT * FROM wp_options
WHERE option_value LIKE '%eval(%' OR option_value LIKE '%base64_decode%';

מצאת משתמש זדוני? מחק. מצאת <script> שלא יצרת? נקה את העמודה (חזק להעתיק תוכן נקי מגיבוי ישן). מצאת אופציה מוזרקת? בדוק לאיזה תוסף היא שייכת ושקול לאתחל אותו.

לפני שאתה מוחק — וודא שיש לך גיבוי של בסיס הנתונים. תמיד.

שלב 6: החלפת כל הסיסמאות והמפתחות

זה לא אופציונלי. כל הסיסמאות והמפתחות חשודים מהרגע שהאתר נפרץ.

כל סיסמאות המשתמשים בוורדפרס (אכוף עדכון: Settings → Privacy → Force password reset).
סיסמת ה-FTP / SFTP / SSH של האחסון.
סיסמת בסיס הנתונים.
API keys לכל שירות חיצוני (Stripe, MailChimp, וכו').
מפתחות AUTH_KEY ב-wp-config.php. צור חדשים מ-api.wordpress.org/secret-key/1.1/salt/.

החלפת מפתחות AUTH_KEY תכריח התנתקות של כל המשתמשים — כולל התוקף.

שלב 7: חיזוק והחזרה לאוויר

לפני שאתה מסיר את חסימת ה-.htaccess ומחזיר את האתר:

התקן Wordfence Free (לפחות) או Sucuri — Firewall ברמת אפליקציה.
2FA על כל המשתמשי-Admin (תוסף Two Factor חינמי, או דרך WordFence).
הגבל ניסיונות התחברות — תוסף Limit Login Attempts Reloaded.
הסתר את xmlrpc.php אם לא בשימוש (Disable XML-RPC plugin).
שנה את כתובת הדאשבורד מ-/wp-admin ל-משהו לא צפוי (WPS Hide Login).
הקפד שגרסת PHP, וורדפרס, וכל התוספים יהיו עדכניים. ראה עדכון וורדפרס בבטחה.
בקש מגוגל סקירה מחודשת ב-Search Console — Security Issues → Request Review.

עכשיו, רק עכשיו, הסר את חסימת .htaccess. עקוב אחרי ה-logs במשך 48 שעות.

מה אסור לעשות

אל תסתפק ב"תוסף סריקה ניקה את הכל". הרבה backdoors מתוחכמים מתחפשים לקבצי תוספים לגיטימיים. סריקה אוטומטית לבדה לא מספיקה.
אל תפסיק באמצע אם זה עובד "בערך". פריצה לא מטופלת חוזרת תוך שבועיים, לפעמים חמורה יותר.
אל תעדכן ישר את כל הגרסאות בלי גיבוי תקין — עדכון על אתר פרוץ עלול ליצור בלגן נוסף.
אל תניח שהבעיה היתה רק בגרסה ישנה של תוסף אחד. ייתכן שהיו כמה.
אל תשתמש בסיסמה שכבר השתמשת בה במקום אחר. Password manager זה לא מותרות בעולם של 2026.

ראה גם 5 הטעויות המסוכנות ביותר באבטחת וורדפרס — הרבה מהשחזורים שאני עושה היו נמנעים בקלות.

מתי כדאי להעביר למומחה

שחזור עצמי הוא ריאלי אם:

האתר קטן (מתחת ל-50 עמודים)
אתה נוח עם FTP/SFTP, phpMyAdmin, ושינוי קוד
הפריצה לא משפיעה על חנות פעילה עם הזמנות
אתה יכול להשקיע 4-6 שעות רצופות

אבל יש מצבים שבהם זה לא מומלץ:

אתר עם הזמנות פעילות (WooCommerce עם Stripe/PayPal)
חברה עם דרישות רגולציה (GDPR, מוסד פיננסי)
פריצה חוזרת — סימן שהבעיה השורש לא טופלה
חוסר ניסיון עם עבודה ב-shell ובבסיסי נתונים

לקוחות בחבילת תחזוקה אצלי מקבלים שחזור מלא ללא תוספת עלות עד 3 פעמים בשנה. ראה איך לבחור חבילת תחזוקה לאתר וורדפרס.

שאלות נפוצות

כמה זמן לוקח לשחזר אתר פרוץ?
תלוי בגודל ובמורכבות. אתר עסקי בינוני (10-50 עמודים, 5-10 תוספים, חנות בסיסית) לוקח 4-8 שעות לאיש מקצוע. אתר עם 200+ עמודים, חנות פעילה, ואיטגרציות — יכול להגיע ליום-יומיים.

גוגל סימנה את האתר כמסוכן. כמה זמן לוקח לבטל את הסימון?
אחרי שהאתר נקי, פנייה דרך Search Console ל-"Request a review". התשובה מגוגל מגיעה בדרך כלל תוך 1-3 ימים. בינתיים, האתר עדיין מסומן ועדיף שיהיה אופליין או עם הודעת תחזוקה.

האם תוסף Wordfence או Sucuri יכול לנקות אתר פרוץ?
חלקית. שניהם מבצעים סריקה ובחלק מהמקרים מנקים אוטומטית קבצים זדוניים. אבל הם לא תופסים backdoors מתוחכמים, לא תמיד מנקים את בסיס הנתונים, ולא יחזקו את האתר. הם משלימים שחזור — לא מחליפים אותו.

איך בעצם התוקפים נכנסו?
ב-90% מהמקרים: תוסף או תבנית עם פגיעות מוכרת ולא מעודכנת. בערך 7%: סיסמה חלשה ל-Admin (כולל "admin/admin123"). שאר ה-3%: פגיעות באחסון, פישינג של בעלי האתר, או מפתח API שדלף.

האם להגיש תלונה למשטרה?
תלוי בנזק. פריצה כללית של אתר תדמיתי — בדרך כלל לא שווה את הזמן. פריצה שגנבה נתוני לקוחות (חנות) או גרמה הונאת חיוב — כן, גם בגלל חובת דיווח GDPR בחלק מהמדינות. דבר עם עורך דין לפני שאתה מחליט.

האתר שלך פרוץ עכשיו?

זה לא הזמן ללמוד דרך ניסוי וטעייה. יום אחד של אתר פרוץ זה אובדן מבקרים, אובדן דירוג בגוגל, ופוטנציאל של נזק מתמשך. השירות "תקן לי את הוורדפרס" כולל שחזור מלא תוך 24-48 שעות, כולל חיזוק וביטול סימון בגוגל. בקש שחזור דחוף או צור קשר ב-WhatsApp.

אני גרי, מומחה וורדפרס עצמאי עם 10 שנות ניסיון. אני מתמחה באבחון תקלות, אבטחה, ושיפור ביצועים של אתרי וורדפרס לעסקים קטנים ובינוניים בישראל. בעת הצורך נעזר במומחים מהימנים (עיצוב, שיווק, אנליטיקה). פרטים על השירותים.