WhatsApp
חדשות-עדכונים וורדפרס יוני 15, 2026

ה-AI החדש של WordPress: מה הוא באמת יכול לעשות עם התוכן שלך

האם ה-AI של WordPress 7.0 קורא וכותב את התוכן שלך?...

ה-AI החדש של WordPress: מה הוא באמת יכול לעשות עם התוכן שלך
תגיות: ACF Connectors WordPress 7.0 אבטחה

השאלה ששואל כל בעל אתר ברגע שהוא שומע על שכבת ה-AI החדשה של WordPress 7.0 היא פשוטה: האם ה-AI הזה יכול לקרוא ולכתוב את התוכן באתר שלי? התשובה הכנה דורשת להבין שלושה רכיבים נפרדים, כי רוב הכתבות מערבבות ביניהם, ומשם נולד הבלבול. אם אתה רוצה קודם את התמונה הרחבה של מה יצא בגרסה, יש לי פוסט סקירה כללי. כאן נצלול לעומק. בוא נפרק את זה.

שלושה רכיבים, לא אחד

אין שום פיצ'ר אחד בשם "Connectors AI" שקורא ומשכתב את האתר שלך. WordPress 7.0 מביא שלושה דברים שונים, וזו הנקודה החשובה ביותר בכל הפוסט הזה:

  1. Connectors API והמסך Settings > Connectors: כספת מפתחות ומנהל חיבורים לספקים. שומר ומסתיר מפתחות API. הוא לא קורא ולא כותב תוכן. בכלל.
  2. WP AI Client, הפונקציה wp_ai_client_prompt(): צינור אל המודל. תוסף שולח דרכו בקשה (prompt) ומקבל בחזרה טקסט, תמונה, דיבור או וידאו. הוא לא מחליט בעצמו לקרוא את הפוסטים שלך.
  3. Abilities API: הפעולות המובנות, כמו create_post או generate_excerpt, שתוספים או הליבה רושמים כדי ש-AI יוכל לבצע פעולה אמיתית באתר. זו השכבה היחידה שיכולה באמת לגעת בנתוני האתר, ורק עבור פעולות שמישהו רשם במפורש.

המסקנה אחת ופשוטה: משטח היכולות שווה בדיוק לסט הפעולות שנרשמו, ולא יותר מזה. אין בליבת המערכת מתג של "ה-AI קורא את כל התוכן שלי". הוא פשוט לא קיים.

אז מה ה-AI יכול לקרוא ולכתוב בפועל?

בלי שום פעולה רשומה, כלומר רק עם הכספת והצינור, ה-AI לא נוגע במסד הנתונים שלך. הוא רק מעביר למודל החיצוני את מה שהתוסף נתן לו. דרך ה-Abilities API, לעומת זאת, נפתחות אפשרויות: פוסטים, עמודים, סוגי תוכן מותאמים, בלוקים, טקסונומיות, שדות, מדיה והגדרות, כולם בני-השגה בעיקרון. אבל רק אם נרשמה פעולה לאותו דבר. אם אף תוסף לא רשם פעולה שנוגעת בשדות ACF, ה-AI פשוט לא יכול לגעת בהם. כל פעולה גם נושאת שער הרשאה משלה, ה-permission_callback, שהוא הגבול האמיתי.

נקודה שנוגעת ישירות למי שעובד עם ACF: החל מ-ACF 6.8, ACF משתלב ב-Abilities API. עם ה-ACF Datastore מופעל, שדות ACF הופכים לאזרחים מן השורה בשכבת הנתונים, ומערכות AI תואמות יכולות לבחון קבוצות שדות ולעבוד עם סוגי תוכן מותאמים. חשוב לסייג: זו אמירה של היצרן עצמו, צופה פני עתיד. מילוי אוטומטי של שדות וקבוצות עדיין מתואר כהזדמנות קרובה, לא כפיצ'ר גמור שעובד מהקופסה.

לאן הולך התוכן שלך

זו השאלה החשובה לפרטיות, והתשובה ברורה. מעצם התכנון, ברגע שנשלחת בקשה, התוכן עוזב את האתר שלך ויוצא אל הספק החיצוני שמחזיק את המפתח. אין בליבה מודל מקומי שרץ על השרת שלך. המשמעות: הפרטיות שלך חזקה בדיוק כמו התוסף החלש ביותר שמותקן אצלך. מה שתוסף בוחר לשלוח החוצה נשען, בסופו של דבר, על היושר של מי שכתב אותו. זו אותה היגיינת אבטחה בסיסית שכבר נכונה לכל אתר וורדפרס, גם בלי AI, ופירטתי אותה בחמש הטעויות המסוכנות ביותר באבטחת וורדפרס.

אחסון מפתחות ומצב האבטחה כיום

כאן צריך לדבר בכנות. מפתחות API נשמרים לפי סדר עדיפות: משתנה סביבה, ואז קבוע PHP, ואז מסד הנתונים. מפתח שנשמר במסד הנתונים אינו מוצפן כיום, אלא רק מוסתר בממשק. ההצפנה נדחתה לטיקט עתידי (Trac #64789). דיווחי אבטחה מיום ההשקה גם הצביעו על שדה מפתח שאיפשר חשיפה בטקסט גלוי דרך מילוי-אוטומטי של הדפדפן. שני הדברים האלה מגיעים מעיתונות אבטחה, לא מהודעה רשמית, אז כדאי לוודא מול גרסת 7.0.x עדכנית לפני שמסתמכים עליהם. בנוסף, מודל ההרשאות של הפעולות הוא כיום הכול-או-כלום: אין ממשק שמאפשר לבעל אתר לאשר לסוכן רק חלק מהפעולות הרשומות. וגם אין עדיין תקרת חיוב מובנית או לוח מעקב עלויות בליבה.

אז בטוח להדליק את זה?

נתחיל מהדבר המרגיע: כברירת מחדל, שום דבר לא קורה. בלי תוסף ספק ובלי מפתח, שכבת ה-AI כבויה לחלוטין, ובטוח להשאיר אותה ככה. אם אתה שוקל להדליק, ההבחנה החשובה היא בין האתר שלך לבין אתר של לקוח. עבור האתר שלך, זו החלטה נשלטת כל עוד אתה מבין מה אתה מפעיל ומשתמש במפתח ייעודי. עבור אתרי לקוחות, ההמלצה שלי כרגע היא לא להפעיל ספקי AI בלי בדיקת אבטחה מסודרת. השילוב של מפתחות לא מוצפנים, הרשאות הכול-או-כלום, והיעדר תקרות חיוב פשוט מצדיק זהירות. אם מה שאתה מחפש זה פשוט לעבוד עם AI סביב וורדפרס, ולא בתוך הליבה, יש דרכים בשלות יותר היום, וריכזתי אותן בשבעה כלי AI לוורדפרס שכדאי להכיר.

לפני שאתה מפעיל AI באתר: צ׳קליסט

  • אל תפעיל אלא אם יש סיבה ברורה. בלי ספק AI מותקן, ממילא שום דבר לא קורה.
  • אם אתה כן מפעיל, השתמש במפתח ייעודי עם הרשאות מינימליות, והגדר תקרת חיוב אצל הספק עצמו, כי בליבה אין כזו.
  • העדף לאחסן את המפתח דרך משתנה סביבה או קבוע PHP, ולא במסד הנתונים, כל עוד מפתחות במסד אינם מוצפנים.
  • בדוק אילו תוספים רושמים אילו פעולות. זו היגיינת אבטחה חדשה שכדאי לאמץ, לצד הסימנים הרגילים של אתר וורדפרס פרוץ שכדאי להכיר ממילא.
  • באתרי לקוחות: אל תפעיל ספקי AI ללא בדיקת אבטחה מסודרת.

השורה התחתונה: ה-AI של WordPress 7.0 הוא תשתית מסודרת ומכובדת, לא כפתור קסם ולא איום קיומי. הוא עושה בדיוק את מה שתרשה לו, ולא מילימטר מעבר.


רוצה בדיקת אבטחה לפני שמדליקים AI?

אם אתה שוקל להפעיל ספקי AI על אתר וורדפרס, בעיקר אתר של לקוח, אני יכול לעבור על מצב האבטחה לפני שמדליקים: איך מאוחסנים המפתחות, אילו תוספים רושמים אילו פעולות, ואיפה הסיכון האמיתי. השירות "תיקון בעיות אבטחה בוורדפרס" כולל אבחון מלא, הקשחה, ובדיקה תקופתית. בקש בדיקת אבטחה או צור קשר ב-WhatsApp.


אני גרי חלימסקי, מומחה וורדפרס עצמאי עם 10 שנות ניסיון. אני מתמחה באבחון תקלות, אבטחה, ושיפור ביצועים של אתרי וורדפרס לעסקים קטנים ובינוניים בישראל. בעת הצורך נעזר במומחים מהימנים (עיצוב, שיווק, אנליטיקה). פרטים על השירותים.

תפריט נגישות