הגנה על תיקיות וקבצי ליבה בוורדפרס – המדריך המלא

יוסי מזרחי
אוקטובר 27, 2025
אבטחת אתרים

אחד הנושאים שפחות מדברים עליו אבל קריטי לאבטחת האתר הוא הגנה על קבצי הליבה והתיקיות של וורדפרס.
גם אם התקנתם תוסף אבטחה, גיבויים ותעודת SSL – ברגע שקובץ מערכת פתוח לגישה או להרשאה שגויה, ההאקר כבר בפנים.

ב־YMDigital אנחנו רואים לא פעם אתרים שנפגעו בגלל הרשאות לא נכונות או גישה חופשית לקבצים רגישים כמו wp-config.php או .htaccess.
במאמר הזה נלמד איך להגן על קבצי הליבה, למנוע גישה לא מורשית ולחזק את האבטחה ברמה שמרבית בעלי האתרים כלל לא מודעים אליה.

למה חשוב להגן על קבצי הליבה

קבצי הליבה של וורדפרס הם הבסיס לכל המערכת:
הם מכילים את ההגדרות של האתר, הקישורים למסד הנתונים, ההרשאות, והתצורה של השרת.

כאשר קובץ כזה נפרץ, האקר יכול:

להוסיף קוד זדוני או backdoor.
לשנות סיסמאות גישה ל־FTP או למסד הנתונים.
להפנות את האתר לכתובת אחרת.
להשתלט על חשבון הניהול.

במילים אחרות – זו הנקודה הכי רגישה באתר.

הקבצים והתיקיות הרגישים ביותר בוורדפרס

לפני שמתחילים, חשוב להבין אילו קבצים חשובים במיוחד להגן עליהם:

wp-config.php – מכיל את פרטי הגישה למסד הנתונים (DB Name, User, Password).
.htaccess – אחראי על הפניות, הרשאות וקישורי Rewrite.
/wp-admin/ – ממשק הניהול של האתר.
/wp-includes/ – קבצי מערכת פנימיים.
/wp-content/ – תוספים, תבניות והעלאות.

כל פגיעה באחד מהם עלולה לשבש את כל האתר.

הגנה על wp-config.php

זהו הקובץ הכי רגיש במערכת, משום שהוא מכיל את פרטי מסד הנתונים.
כדי להגן עליו, נוסיף כלל פשוט לקובץ .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

הכלל הזה חוסם גישה ישירה לקובץ מהדפדפן.
אפשר גם להזיז את הקובץ תיקייה אחת למעלה מהספרייה הראשית של האתר – וורדפרס תזהה אותו אוטומטית.

הגנה על .htaccess

קובץ .htaccess עצמו גם רגיש מאוד.
אפשר להגן עליו באותה שיטה:

<files .htaccess>
order allow,deny
deny from all
</files>

זה מונע מכל אחד לגשת אליו ישירות דרך ה־URL.

הרשאות קבצים ותיקיות נכונות

אחת השגיאות הנפוצות ביותר היא הגדרות הרשאה שגויות.
אם הקבצים פתוחים מדי, כל גורם חיצוני יכול לקרוא או לשנות אותם.

הכלל הפשוט הוא:

קבצים: 644
תיקיות: 755
wp-config.php: 600

ניתן לשנות הרשאות דרך FTP או מנהל הקבצים בלוח הבקרה של האחסון.
בכל שינוי – ודאו שהאתר ממשיך לפעול כרגיל.

הגנה על תיקיות wp-includes ו־wp-content

תיקיית /wp-includes/ מכילה קבצי מערכת שאינם אמורים להיטען ישירות מהדפדפן.
כדי למנוע גישה אליהם, הוסיפו ל־.htaccess בקובץ הראשי של האתר:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>

כך נחסום טעינה ישירה של קבצי PHP מהתיקייה הזו.

בנוסף, בתיקיית /wp-content/uploads/ מומלץ לשים קובץ .htaccess נוסף עם התוכן הבא:

זה מונע הרצת קבצי PHP זדוניים שהועלו בטעות.

חיזוק נוסף דרך wp-config.php

ניתן להוסיף כמה הגדרות שמחזקות את האבטחה:

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', false);
define('AUTOMATIC_UPDATER_DISABLED', false);

הפקודה הראשונה מונעת עריכת קבצים מתוך ממשק וורדפרס – כך שגם אם מישהו פרץ לחשבון ניהול, הוא לא יכול להכניס קוד דרך העורך הפנימי.

שימוש בתוספי אבטחה להקשחת קבצים

אם אתם מעדיפים פתרון אוטומטי, קיימים תוספים שמזהים הרשאות מסוכנות ומתקנים אותן בלחיצה:

Wordfence – סריקה מתמדת על שינויי קבצים.
iThemes Security – כולל לשונית File Permissions.
Sucuri Security – מספק התראות על כל שינוי בקובץ מערכת.

אנחנו ב־YMDigital בניית אתרים משלבים תוספים כאלה כחלק מהגנה רב־שכבתית, לא כתחליף אלא כתוספת.

סיכום

הגנה על קבצי הליבה היא אחד הצעדים החשובים ביותר באבטחת וורדפרס.
ברוב המקרים, פריצה מתחילה בקובץ קטן שניתן היה להגן עליו מראש.

בין אם אתם משתמשים בתוספים או מעדיפים הגדרות ידניות – העיקר שתוודאו שהגישה לקבצי המערכת מוגבלת ושכל הרשאה במקומה.
אנחנו ב־YMDigital מקפידים כחלק מתחזוקת אתרים על הגנה ועל תיקיות וקבצי ליבה בוורדפרס. וכמו כן להקשיח כל אתר עוד בשלב ההקמה, כדי למנוע מראש תקלות עתידיות.

שאלות ותשובות על הגנה על קבצי ליבה בוורדפרס

מהו הקובץ הכי חשוב להגן עליו בוורדפרס?

wp-config.php – הוא מכיל את כל פרטי הגישה למסד הנתונים והגדרות הקריטיות של האתר.

מה המשמעות של הרשאות 644 ו־755?

644 מאפשר לבעל הקובץ לקרוא ולכתוב, ולאחרים רק לקרוא. 755 מאפשר לבעל התיקייה לכתוב ולאחרים להריץ בלבד.

איך אפשר לבדוק אם יש קבצים פתוחים מדי?

אפשר להיכנס דרך FTP ולבדוק את עמודת ההרשאות, או להשתמש בתוסף iThemes Security לסריקה אוטומטית.

האם מותר לערוך קבצי מערכת דרך וורדפרס?

לא מומלץ. עדיף לערוך דרך FTP אחרי גיבוי, או לחסום את העריכה מתוך הלוח באמצעות הפקודה DISALLOW_FILE_EDIT.

מה עושים אם אחרי שינוי הרשאות האתר מפסיק לעבוד?

מחזירים את הערכים הקודמים (644 לקבצים ו־755 לתיקיות), ואם הבעיה נמשכת – פונים לתמיכת האחסון.

יוסי מזרחי

המאמרים בבלוג נכתבים ע"י יוסי מזרחי, מומחה וורדפרס בכיר עם ניסיון מעל 8 שנים (מאז 2017) בבניית נכסים דיגיטליים מבוססי אסטרטגיה.

המומחיות מתמקדת בשיפור ביצועי ליבה (Core Web Vitals) והשגת ציוני PageSpeed ירוקים באופן עקבי, תוך הבטחת אופטימיזציה מלאה לקידום אתרים אורגני (SEO).

יוסי מוודא שכל אתר מוכן לעמוד בתקני הדירוג העדכניים של גוגל ודרישות AI Overviews. בנוסף לפרויקטים השוטפים, יוסי מעביר קורסים ייעודיים לבניית אתרים המכשירים מפתחים ליצירת אתרים מהירים, בטוחים ורווחיים, המבוססים על ידע מעשי עדכני.

אודות יוסי ו - YMDigital