רוב בעלי האתרים לא חושבים על זה, אבל ברירת המחדל של כל אתר וורדפרס היא זהה:
כל אחד בעולם יכול לנסות להיכנס לכתובת domain.co.il/wp-admin או domain.co.il/wp-login.php.
זה אולי נראה תמים, אבל עבור האקרים ובוטים — זו דלת פתוחה לניסיונות פריצה.
ב־YMDigital פיתוח אתרים אנחנו רואים את זה שוב ושוב: אלפי ניסיונות התחברות בשבוע לאתרים רגילים לגמרי, רק כי הכתובת ידועה.
במאמר הזה נענה על השאלה: האם באמת כדאי לשנות את כתובת הכניסה לוורדפרס, ואיך עושים את זה נכון בלי לשבור את האתר.
למה בכלל לשנות את כתובת הכניסה?
ברגע שההאקר יודע את הכתובת /wp-admin, הוא יכול להריץ עליה בוטים אוטומטיים (Bots) שמנסים סיסמאות שונות – אלפי פעמים ביום.
המהלך הזה לא תמיד גורם לפריצה בפועל, אבל הוא מעמיס על השרת, פוגע בביצועים, ומגדיל את הסיכון.
לכן שינוי כתובת ההתחברות נחשב לאחד הצעדים הראשונים באבטחת אתרי וורדפרס.
הוא לא מונע פריצה לחלוטין, אבל מקטין את הסיכוי ב־90% לפחות כי רוב הבוטים פשוט ייכשלו למצוא את העמוד.
מתי כן לשנות ומתי לא
- ✅ כן לשנות: אם מדובר באתר עסקי, חנות, או אתר שיש בו משתמשים מנהליים.
- ⚠️ לא חובה לשנות: אם זה בלוג אישי קטן או אתר סגור שאינו נגיש לציבור.
- ❌ לא לשנות ידנית בקבצי הליבה! שינוי לא נכון של כתובת הכניסה עלול לחסום גם אתכם עצמכם.
איך לשנות את כתובת הכניסה בצורה בטוחה
יש שתי דרכים עיקריות לעשות את זה:
1️⃣ באמצעות תוסף ייעודי
2️⃣ באמצעות קוד מותאם בקובץ functions.php
דרך 1 – שימוש בתוסף WPS Hide Login
הפתרון הפשוט והבטוח ביותר.
תוסף זה משנה את כתובת הכניסה ללא מגע בקבצי הליבה, וללא סיכון לנעילה.
איך עושים את זה:
- נכנסים אל לוח הבקרה של וורדפרס.
- עוברים אל ← תוספים ← הוסף חדש.
- מחפשים ← “WPS Hide Login”.
- מתקינים ומפעילים את התוסף.
- לאחר ההפעלה, נכנסים אל ← הגדרות ← כלליות.
- למטה תופיע שורה חדשה: Login URL.
- משנים את הכתובת למשל ל־/secure-login או /my-admin.
- שומרים שינויים.
מהרגע הזה, כתובת /wp-admin הישנה כבר לא תעבוד – רק החדשה תאפשר כניסה.
💡 טיפ שלנו: שמרו את הכתובת החדשה בפייבוריטים או במסמך מאובטח.
דרך 2 – שינוי ידני בעזרת קוד
למי שמעדיף פתרון טכני ללא תוסף, אפשר להשתמש בפונקציה פשוטה ב־functions.php.
לדוגמה:
add_action('login_init', 'ymdigital_secure_login');
function ymdigital_secure_login() {
$login_page = 'secure-login';
$request_uri = basename($_SERVER['REQUEST_URI']);
if ($request_uri == 'wp-login.php' && $_SERVER['REQUEST_METHOD'] == 'GET') {
wp_redirect(home_url('/' . $login_page . '/'));
exit;
}
}
הקוד הזה מנתב את הכניסה לכתובת חדשה.
עם זאת, חשוב להיזהר — שינוי לא מדויק עלול ליצור לולאת הפניות או לנעול אתכם מחוץ למערכת.
💡 מומלץ רק למפתחים או אחרי גיבוי מלא של האתר.
למה זה לא מספיק בפני עצמו?
שינוי כתובת ההתחברות הוא אמצעי הסוואה, לא מנגנון אבטחה.
אם מישהו ממש רוצה לפרוץ, הוא עדיין יכול לגלות את הכתובת דרך קבצי לוג, קישורים חיצוניים או תוספים מסוימים.
לכן תמיד כדאי לשלב עוד שכבות הגנה:
- התקנת תוסף אבטחה כמו Wordfence או Sucuri.
- הפעלת Limit Login Attempts להגבלת ניסיונות כניסה.
- שימוש ב־אימות דו־שלבי (2FA) לכל משתמש מנהל.
- גיבוי קבוע של האתר לפני כל שינוי.
בונוס: איך לבחור כתובת כניסה חכמה
בחרו כתובת שקל לזכור אבל קשה לנחש.
לדוגמה:
- ❌ לא טוב: /admin או /secure
- ✅ כן טוב: /ymdigital-panel או /mylogin-area
אל תשתמשו במילים גנריות – זה מגדיל את ההגנה פי כמה.
סיכום
שינוי כתובת הכניסה לוורדפרס הוא לא קסם שמונע פריצות, אבל הוא בהחלט צעד חשוב בהקטנת הסיכוי להתקפה.
בשילוב עם תוספי אבטחה, גיבוי קבוע והרשאות נכונות – מדובר במהלך חכם שכל בעל אתר צריך לבצע.
אנחנו ב־YMDigital מבצעים את זה כחלק מתהליך ההקשחה הבסיסי של כל אתר שאנו מקימים ומעניקים לו תחזוקת אתר קבועה.
הגנה חכמה מתחילה בפרטים הקטנים.
שאלות ותשובות על שינוי כתובת הכניסה לוורדפרס
האם שינוי כתובת /wp-admin מונע פריצה?
לא לחלוטין, אבל זה מצמצם מאוד את ניסיונות ההתחברות האוטומטיים של בוטים.
אפשר לשנות את הכתובת בלי תוסף?
כן, בעזרת קוד מותאם ב־functions.php, אך זה מתאים רק למפתחים מנוסים.
מה קורה אם שכחתי את הכתובת החדשה?
אפשר להחזיר את הכתובת המקורית דרך FTP או מסד הנתונים. עדיף לרשום ולשמור במקום בטוח.
האם זה משפיע על עדכונים או התחברות משתמשים אחרים?
לא, רק על כתובת ההתחברות למנהלים. האתר עצמו ימשיך לפעול כרגיל.
איזו כתובת כדאי לבחור במקום /wp-admin?
עדיף לבחור כתובת ייחודית כמו /ymdigital-login או /myaccesspanel – קלה לזכירה, קשה לניחוש.