כאשר אתר וורדפרס חדש עולה לאוויר, רוב בעלי האתרים מתמקדים בעיצוב, במהירות ובקידום בגוגל – אבל נושא אחד נשכח לעיתים קרובות: אבטחת האתר.
כחברת בניית אתרים שמנהלת עשרות אתרי WordPress עבור עסקים בישראל, אנחנו ב־YMDigital רואים שוב ושוב את אותה טעות — אתר חדש, מושקע ומעוצב, אך ללא שכבת הגנה בסיסית.
במאמר זה נפרט את חמשת הצעדים הקריטיים שכל בעל אתר צריך לבצע מיד לאחר העלאת האתר לאוויר, כדי למנוע פריצות, מחיקות ותקלות שעלולות לעלות ביוקר.
1️⃣ התקנת תוסף אבטחה אמין
הצעד הראשון והבסיסי הוא התקנת תוסף אבטחה מקצועי.
היום קיימים תוספים מעולים שמעניקים שכבת הגנה מתקדמת: Wordfence, Sucuri או iThemes Security.
תוספים אלה מבצעים פעולות כמו:
- חסימת ניסיונות כניסה מרובים
- סריקה אוטומטית של קבצים חשודים
- התרעות בזמן אמת על שינויי קוד
- בלוק אוטומטי ל־IPים זדוניים
אנחנו ממליצים לבחור תוסף אחד חזק, להפעיל את ההגנות הראשיות ולוודא שמתקבלות התראות במייל של בעל האתר.
2️⃣ גיבוי קבוע של האתר – לא רק פעם אחת
גם האתר המאובטח ביותר עלול להיפגע.
לכן גיבוי קבוע הוא אחד הכלים החשובים ביותר להגנה על הנכס הדיגיטלי שלכם.
אנחנו ממליצים לשמור לפחות שלוש גרסאות אחרונות של האתר:
- אחת בענן (Google Drive / Dropbox)
- אחת באחסון עצמו
- ואחת מקומית (למחשב האישי או שרת נוסף)
תוספים כמו UpdraftPlus, All-in-One WP Migration או BackupBuddy מאפשרים גיבוי אוטומטי מדי שבוע או חודש – תלוי בתדירות השינויים באתר.
כך, במקרה של פריצה או תקלה, ניתן לשחזר את האתר בלחיצת כפתור.
3️⃣ עדכונים שוטפים של וורדפרס, תוספים ותבניות
אחת הסיבות המרכזיות לפריצות לאתרי וורדפרס היא שימוש בגרסאות ישנות.
האקרים מנצלים פרצות שהתגלו בתוספים או בתבניות ישנות – לכן חשוב לעדכן את הכל באופן קבוע.
אנחנו ממליצים:
- לבדוק פעם בשבוע אם קיימים עדכונים
- לבצע גיבוי לפני כל עדכון
- לעדכן ידנית (לא אוטומטית) אם האתר עסקי ופעיל
- למחוק תוספים או תבניות שאינם בשימוש
עדכון שוטף הוא לא רק עניין של נוחות – זהו אחד מאבני היסוד של תחזוקת וורדפרס בטוחה.
4️⃣ הגדרת הרשאות משתמשים נכונה
בכל אתר יש בעלי תפקידים שונים – מנהל, עורך, כותב או מנוי.
מתן הרשאות לא נכונות עלול לפתוח דלתות לאנשים הלא נכונים.
כך אנחנו נוהגים להגדיר:
- מנהל (Administrator): רק לבעל האתר או למפתח הראשי
- עורך (Editor): לתוכן בלבד, ללא גישה לקבצים או הגדרות
- כותב (Author): לפרסום פוסטים בלבד
- מנוי (Subscriber): למשתמשים רשומים בלבד
בנוסף, מומלץ לשנות את שם המשתמש הראשי (admin) לשם אחר ולבחור סיסמה חזקה במיוחד הכוללת אותיות, מספרים ותווים מיוחדים.
5️⃣ אבטחת הגישה לאתר ולשרת
גם אם האתר עצמו מאובטח, שרת האחסון הוא חלק מהמערכת.
לכן חשוב לוודא שהאחסון כולל:
- Firewall פעיל (WAF)
- תעודת SSL תקינה
- חסימת גישה לפי כתובות IP במידת הצורך
- גישה ל־cPanel או DirectAdmin רק דרך HTTPS
נוסף לכך, מומלץ להשתמש בתוסף כמו Limit Login Attempts Reloaded שמגביל ניסיונות התחברות שגויים.
במקרים מתקדמים אפשר גם להוסיף אימות דו־שלבי (2FA) לכל משתמש מנהל.
בונוס: בדיקות אבטחה תקופתיות
לפחות אחת לרבעון כדאי להריץ סריקה חיצונית דרך כלים כמו Sucuri SiteCheck או Google Safe Browsing.
בדיקות אלה מזהות קבצים חשודים, שינויים לא מאושרים, או בעיות בתעודת ה־SSL.
תחזוקה מונעת עדיפה תמיד על תיקון אחרי נזק.
סיכום
אבטחת אתר וורדפרס אינה פעולה חד־פעמית, אלא תהליך מתמשך.
חמשת הצעדים שציינו – תוסף אבטחה, גיבוי קבוע, עדכונים שוטפים, הרשאות נכונות ואבטחת שרת – יוצרים יחד שכבת הגנה יציבה וחזקה.
ב־YMDigital אנחנו מטפלים מדי חודש בתחזוקת אתרים, עדכוני אבטחה וגיבויים שוטפים, כדי להבטיח שהלקוחות שלנו יכולים לישון בשקט בלילה.
שאלות ותשובות על אבטחת אתר וורדפרס
האם חובה להתקין תוסף אבטחה אם האתר חדש לגמרי?
כן. גם אתר חדש חשוף לניסיונות פריצה אוטומטיים תוך שעות ספורות מהעלאתו לרשת.
כל כמה זמן צריך לגבות את האתר?
אם האתר מתעדכן לעיתים קרובות – אחת לשבוע. אם כמעט ולא משתנה – אחת לחודש לפחות.
מה עדיף – Wordfence או Sucuri?
שניהם מצוינים. Wordfence חזק במיוחד בסריקה בזמן אמת, בעוד Sucuri מציע הגנה צד־שרת וחומת אש יעילה מאוד.
איך יודעים אם האתר נפרץ?
סימנים נפוצים: איטיות חריגה, קישורים לא מוכרים, הודעות שגיאה, או שינויי קבצים חשודים.
האם עדכונים אוטומטיים מומלצים?
באתרים קטנים – כן. באתרים עסקיים עם תוספים רבים – עדיף לעדכן ידנית אחרי גיבוי.