האם Let's Encrypt בטוח כמו תעודה בתשלום?

ברמת ההצפנה — בדיוק אותו דבר. תעודות בתשלום מציעות ביטוח נזק ותמיכה אנושית. ל-99% מהאתרים, Let's Encrypt מספיק.

מה לעשות עם ERR_TOO_MANY_REDIRECTS?

לולאת הפניה — סיבה נפוצה: כפל אכיפת HTTPS גם דרך .htaccess וגם דרך לוח האחסון. בחר רק מקור אחד.

האם CloudFlare חובה?

לא חובה. Let's Encrypt או SSL של חברת האחסון מספקים אבטחה מלאה. CloudFlare משלים עם DDoS protection ו-CDN.

הגדרת SSL בוורדפרס + תיקון Mixed Content

ב-2026 כבר אין שאלה — אם האתר שלך לא רץ על HTTPS, גוגל מסמנת אותו כ"לא בטוח", דפדפנים מציגים אזהרות, וקצת כל ספק תשלום ידחה את הבקשות שלך. אבל ההגדרה הנכונה לא תמיד פשוטה — בעיקר אם אתה מעביר אתר ישן מ-HTTP, או אם תוסף הוסיף URL hard-coded בתוך תוכן או הגדרות. אני גרי, מומחה וורדפרס עצמאי, ובמדריך הזה אני עובר על כל הצעדים — מהתקנת תעודת SSL ועד תיקון מיקסי קונטנט בעמוד checkout — בלי להשאיר שלב פתוח.

התשובה המהירה: הגדרת SSL מלאה בוורדפרס דורשת חמישה צעדים: התקנת תעודת SSL בשרת (Let's Encrypt חינמי דרך לוח האחסון), עדכון siteurl ו-home ב-Settings ל-HTTPS, אכיפת redirect מ-HTTP ל-HTTPS דרך .htaccess, החלפה של כל ה-URL הישנים בבסיס הנתונים (Search & Replace), ובדיקה שאין Mixed Content בקוד מקור או ב-Console. בעיות Mixed Content נובעות בדרך כלל מתמונות, סקריפטים, או קישורים שהוקבצו ל-HTTP בעבר ולא עודכנו אוטומטית.

תוכן עניינים

מה זה SSL ולמה הוא חובה ב-2026
שלב 1: התקנת תעודת SSL
שלב 2: עדכון URL בוורדפרס
שלב 3: אכיפת Redirect מ-HTTP ל-HTTPS
שלב 4: זיהוי Mixed Content
שלב 5: תיקון Mixed Content
HSTS — שכבת הבטחון הנוספת
בעיות SSL נפוצות והפתרונות
שאלות נפוצות

מה זה SSL ולמה הוא חובה ב-2026

SSL (Secure Sockets Layer) — או יותר נכון התקן המודרני שלו, TLS — הוא פרוטוקול שמצפין את התעבורה בין הדפדפן לשרת. במקום שמישהו ברשת בינייכם (ספק אינטרנט, Wi-Fi ציבורי, רשת ארגונית) יוכל לראות מה אתה גולש, הוא יראה רק טקסט מוצפן.

למה זה חשוב גם לאתר תדמיתי?

גוגל. מאז 2018 גוגל מסמן אתרי HTTP כ"Not Secure" בכרום. דרגוג נמוך יותר ב-SERP.
דפדפנים. Chrome ו-Firefox מציגים אזהרות שמורידות את שיעור ההמרה.
תאימות. API חיצוניים (Google Fonts, AdSense, ספקי תשלום, Stripe) דורשים HTTPS — ראה WooCommerce לא מעבד תשלומים שבו Mixed Content הוא סיבה נפוצה לכשל checkout.
אבטחה. טפסי יצירת קשר, התחברות ל-Admin, נתוני לקוחות — כולם זקוקים להצפנה.
Core Web Vitals. HTTP/2 ו-HTTP/3 (שמשתפרים) דורשים HTTPS — אז זה משפיע על מהירות.

ב-2026 אין דיון. SSL הוא חובה, וגם חינמי.

שלב 1: התקנת תעודת SSL

אופציה 1: Let's Encrypt חינמי (מומלץ לרוב המקרים)

רוב חברות האחסון משולבות עם Let's Encrypt. בלוח הבקרה (cPanel / Plesk / DirectAdmin / לוח של ספק managed):

חפש את הסעיף "SSL/TLS" או "Let's Encrypt".
בחר את הדומיין שלך.
לחץ "Issue" / "התקן".

תוך כמה דקות התעודה פעילה. היא מתחדשת אוטומטית כל 90 ימים.

אם אתה מעביר אתר לאחסון חדש בעת ההתקנה — ראה מעבר אתר וורדפרס לשרת חדש למתודולוגיה המלאה של מעבר עם SSL מסודר.

ספקים נפוצים בישראל:

SPD — תומכים, אוטומטי דרך הדאשבורד.
Hostinger — אוטומטי, חינמי בכל החבילות.
Cloudways — Let's Encrypt בלחיצת כפתור.
WP Engine / Kinsta — תעודה כלולה בשירות.

אופציה 2: תעודה בתשלום

מתאים אם אתה זקוק לתעודת EV (Extended Validation, שם הארגון מופיע בדפדפן) או Wildcard (לכל subdomains).

ספקים: Sectigo, DigiCert, GoDaddy. מחיר: 50-300$ לשנה. לרוב האתרים — לא נדרש.

אופציה 3: CloudFlare

אם אתה משתמש ב-CloudFlare כ-DNS, אתה מקבל SSL חינמי דרכם — גם אם הספק שלך לא תומך ב-Let's Encrypt. הגדרה דרך CloudFlare → SSL/TLS → "Full (Strict)".

שלב 2: עדכון URL בוורדפרס

אחרי שתעודה מותקנת בשרת, צריך להגיד לוורדפרס שיש לעבוד דרך HTTPS.

Settings → General:

WordPress Address (URL) → https://yoursite.com
Site Address (URL) → https://yoursite.com

לחץ Save Changes. אם אין לך עוד גישה לדאשבורד (כי כבר עברת ל-HTTPS באופן חלקי), עדכן ידנית בבסיס הנתונים:

UPDATE wp_options SET option_value = 'https://yoursite.com' WHERE option_name = 'siteurl';
UPDATE wp_options SET option_value = 'https://yoursite.com' WHERE option_name = 'home';

או דרך wp-config.php:

define( 'WP_HOME', 'https://yoursite.com' );
define( 'WP_SITEURL', 'https://yoursite.com' );

שלב 3: אכיפת Redirect מ-HTTP ל-HTTPS

עכשיו, אם משתמש מקליק על קישור ישן ל-HTTP, צריך להפנות אוטומטית ל-HTTPS.

ב-.htaccess (בשורש האתר), הוסף בראש:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

ב-NGINX (אם השרת שלך משתמש בו, חברות managed כמו Cloudways/Kinsta):

server {
    listen 80;
    server_name yoursite.com www.yoursite.com;
    return 301 https://$host$request_uri;
}

אופציה חלופית: רוב חברות האחסון מציעות "Force HTTPS" כפתור בלוח הבקרה. בדוק. אם יש — אל תוסיף ל-.htaccess ידנית, זה כפול וגורם ללולאות הפניה.

שלב 4: זיהוי Mixed Content

Mixed Content הוא המצב שבו עמוד נטען דרך HTTPS אבל בתוכו יש משאבים שנטענים דרך HTTP. דפדפנים מודרניים חוסמים את המשאבים האלה (תמונות נשברות, סקריפטים לא רצים, סטיילים נעדרים), והמנעול הירוק לא מופיע.

איך לזהות:

פתח את האתר.
F12 (Developer Tools) → Console.
חפש הודעות: Mixed Content: The page at 'https://...' was loaded over HTTPS, but requested an insecure resource 'http://...'

לפעמים ההודעות מופיעות רק על עמודים ספציפיים. בדוק עמודי checkout, blog posts, ועמודים מותאמים — אלה הכי נפוצים.

או בדוק אונליין:

https://www.whynopadlock.com/ — סורק את האתר ומציג את כל המקרים.
https://www.ssllabs.com/ssltest/ — בודק תקפות תעודה ומציין בעיות תצורה.

שלב 5: תיקון Mixed Content

צעד 1: Search & Replace בבסיס הנתונים

הרבה מקרי Mixed Content נובעים מ-URL הישן (http://yoursite.com) שנשמר ידנית בתוכן.

הכלים:

Better Search Replace — תוסף וורדפרס. הקפד לסמן "Run as dry run?" בפעם הראשונה.
WP Migrate Pro — אם אתה מנהל מספר אתרים.
interconnectit/Search-Replace-DB — סקריפט PHP חיצוני, מטפל ב-serialized data נכון. עדיף לאתרים גדולים.

החלפות:

http://yoursite.com → https://yoursite.com
http://www.yoursite.com → https://www.yoursite.com

גבה את בסיס הנתונים לפני שאתה מריץ. טעות ב-Search & Replace יכולה לשבור הרבה.

צעד 2: עדכון תוספים שטוענים משאבים חיצוניים

לפעמים תוסף טוען Google Fonts, סקריפט אנליטיקס, או iframe חיצוני דרך HTTP. בדוק:

הגדרות התוסף — האם יש שדה URL? ודא שמתחיל ב-https://.
קוד התוסף ב-PHP — אם יש hard-coded URL, עדכן ב-functions.php של התבנית, או חפש בקבצי התוסף.

צעד 3: עדכון תוכן ב-HTML

תמונות בתוך פוסטים שכתבת לפני שעברת ל-HTTPS — הקישור שלהן עוד ב-HTTP. ה-Search & Replace בשלב 1 אמור לטפל ברוב, אבל לפעמים נשארים מקרים מעטים. בדוק עמודי בלוג ידנית.

צעד 4: תוסף "Really Simple SSL"

תוסף Really Simple SSL (חינמי) פועל כ-fallback — הוא מנסה להחליף http:// ל-https:// בזמן ריצה דרך filter על המצב של HTML. שווה להשאיר מותקן בתור safety net, גם אחרי שעשית את כל הניקוי הידני.

אזהרה: התוסף לא פותר בעיות hard-coded ב-DB. הוא דוחק. עדיף לתקן בשורש.

HSTS — שכבת הבטחון הנוספת

HSTS (HTTP Strict Transport Security) — header שאומר לדפדפן: "מהיום והלאה, אל תיגש לאתר הזה דרך HTTP אפילו אם תקבל קישור HTTP — תמיד דרך HTTPS." זה מונע MITM attacks שמסוימים.

איך:

ב-.htaccess:

<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>

או דרך תוסף "Really Simple SSL Pro" שמציע HSTS.

אזהרה: הפעל HSTS רק אחרי שאתה 100% בטוח שהאתר עובד דרך HTTPS בלי תקלות. אם תפעיל ותהיה בעיה, דפדפנים יזכרו שהאתר חייב HTTPS — ולא תוכל לחזור זמנית ל-HTTP אפילו לבדיקה.

מומלץ להגדיר max-age=300 (5 דקות) בתחילה, ולהעלות הדרגתית.

בעיות SSL נפוצות והפתרונות

"ERR_TOO_MANY_REDIRECTS"

לולאת הפניה. סיבה נפוצה: גם וורדפרס וגם שרת מנסים להפנות מ-HTTP ל-HTTPS. בדוק:

ב-wp-config.php אין הגדרות סותרות.
רק מקור אחד של אכיפת HTTPS — או .htaccess או הלוח של חברת האחסון, לא שניהם.
אם השרת מאחורי CloudFlare, ודא ש-SSL/TLS מוגדר ל-"Full (Strict)" ולא "Flexible".

"NET::ERR_CERT_COMMON_NAME_INVALID"

התעודה מונפקת ל-domain אחר ממה שהדפדפן רואה. בדוק שהתעודה כוללת:

yoursite.com
www.yoursite.com

לא כללה? התקן מחדש דרך Let's Encrypt וודא שלא דילגת על ה-www במהלך ההגדרה.

"תעודת SSL פגה תוקף"

Let's Encrypt מתחדש אוטומטית כל 60-89 ימים. אם התעודה פגה — האוטו-renewal נכשל. סיבה נפוצה: שינוי ב-DNS, חסימת port 80, או רישום אצל ספק .htaccess שחוסם validation. בדוק את לוג האוטו-renewal של חברת האחסון.

Mixed Content לא נעלם אחרי Search & Replace

בדוק:

האם יש localStorage או הגדרות ב-database אחר ש-WordPress לא יודע עליהן (תוסף שמאחסן ב-table משלו)?
האם יש shortcode עם URL hard-coded?
האם CDN מהדהד גרסה ישנה? נקה cache של CDN (CloudFlare → "Purge Everything").

שאלות נפוצות

מה ההבדל בין SSL ל-TLS?
SSL הוא הפרוטוקול הישן (1.0, 2.0, 3.0). TLS הוא הממשיך המודרני (1.2, 1.3). כשאומרים "SSL" כיום, מתכוונים בדרך כלל ל-TLS. גרסאות ישנות (SSL 3.0, TLS 1.0/1.1) פגומות אבטחתית — ודא שהשרת שלך תומך רק ב-TLS 1.2 ומעלה.

Let's Encrypt באמת בטוח כמו תעודה בתשלום?
ברמת ההצפנה — בדיוק אותו דבר. ההבדל: תעודה בתשלום מציעה ביטוח נזק (אם מישהו תוקף, התעודה משלמת), תעודות EV מציגות שם חברה בדפדפן (כבר פחות נפוצה ב-2026), ותמיכה אנושית. ל-99% מהאתרים — Let's Encrypt מספיק לחלוטין.

האם להעביר ל-HTTPS אתר ישן יפגע ב-SEO?
לא, אם עושים את זה נכון. בעצם, עדיף ל-SEO — גוגל מעדיפה HTTPS. עם זאת: צריך להבטיח 301 redirects מ-HTTP ל-HTTPS לכל URL, ולעדכן את Search Console (להוסיף את גרסת HTTPS כ-property חדש).

האם CloudFlare נדרש או SSL מהאחסון מספיק?
Cloudfare לא נדרש לאבטחה. הוא משלים — מוסיף DDoS protection, CDN, ושכבת קאשינג. אם אתה לא משתמש ב-CloudFlare, SSL מהאחסון או Let's Encrypt מספקים את כל מה שצריך.

עברתי ל-HTTPS וטופס יצירת הקשר הפסיק לעבוד.
בדוק את ה-action URL של הטופס — עוד מצביע ל-HTTP? עדכן ל-HTTPS. בדוק גם את ה-API endpoint של ספק האימייל (SendGrid, Mailgun) — שגם הוא בשימוש HTTPS.

SSL לא מסונכרן או Mixed Content מטריד?

הגדרת SSL נכונה ושלמה היא בסיס לכל אתר עסקי. השירות "תקן לי את הוורדפרס" כולל בדיקת SSL מלאה — מהתקנה ועד אכיפה ועד ניקוי Mixed Content. פנה לבדיקת SSL או וואטסאפ.

אני גרי, מומחה וורדפרס עצמאי עם 10 שנות ניסיון. אני מתמחה באבחון תקלות, אבטחה, ושיפור ביצועים של אתרי וורדפרס לעסקים קטנים ובינוניים בישראל. בעת הצורך נעזר במומחים מהימנים (עיצוב, שיווק, אנליטיקה). פרטים על השירותים.