וורדפרס היא מערכת ניהול התוכן (CMS) הפופולרית ביותר בעולם – ולמרבה הצער, זה גם הופך אותה למטרה עבור האקרים. אמנם ישנם המון תוספי אבטחה בשוק, אך לא תמיד צריך תוסף כדי להגן על אתר האינטרנט שלכם.
למעשה, ניתן ליישם שיטות עבודה מומלצות רבות לאבטחה מבלי להתקין אף תוסף – מה שעוזר לשמור על האתר שלכם קל משקל, מהיר ופחות פגיע לסיכונים הקשורים לתוספים.
כך תוכלו לאבטח את אתר וורדפרס שלכם ללא תוספים, באמצעות הרגלים חכמים, תכונות מובנות וכלים ברמת השרת.
🔒 שמור על הכל מעודכן
זהו כלל מספר 1 באבטחת וורדפרס. תבניות, תוספים או קבצי ליבה מיושנים הם הדרך הקלה ביותר עבור האקרים לפרוץ.
מה לעשות:
- עדכנו באופן קבוע את ליבת וורדפרס, ערכות נושא ותוספים
- מחקו כל תוספים או ערכות נושא שאינכם משתמשים בהם באופן פעיל
טיפ: אם אתם מארחים אצלנו, הפאנל המותאם אישית שלנו מאפשר לכם לעדכן הכל מבלי להתחבר למנהל WP, מה שחוסך לכם זמן וקליקים.
👥 ניהול גישת משתמשים בזהירות
אחד מסיכוני האבטחה הנשכחים ביותר הוא מתן גישת מנהל ליותר מדי אנשים – או אי ידיעה למי יש גישה בכלל.
שיטות עבודה מומלצות:
- תן גישת מנהל רק לאנשים שבהחלט זקוקים לה
- השתמש בתפקידי עורך או תורם עבור יוצרי תוכן
- הסר משתמשים שאינם בשימוש או לא פעילים
אין צורך בכניסה ל-WP — תכונת מקצוענים: לוח המחוונים שלנו מאפשר לך לנהל משתמשים ישירות
📁 הגנו על קבצי wp-config.php ו-.htaccess
אלו הם חלק מהקבצים הרגישים ביותר באתר שלך. ניתן להגביל את הגישה באמצעות מספר שורות קוד בקובץ .htaccess.
דוגמה: הוסף את זה לקובץ .htaccess שלך כדי להגן על wp-config.php:
apacheCopyEdit<files wp-config.php>
order allow,deny
deny from all
</files>
ניתן לעשות את אותו הדבר עבור קובץ .htaccess עצמו:
apacheCopyEdit<files .htaccess>
order allow,deny
deny from all
</files>
זה עוזר למנוע מהאקרים גישה ישירה או הורדה ישירה של קבצים אלה.
🧠 השבת את XML-RPC (אם אינך משתמש בו)
XML-RPC היא תכונה מדור קודם המאפשרת גישה מרחוק לוורדפרס – אך לעתים קרובות היא מנוצלת להתקפות Brute-force.
כיצד להשבית אותו:
הוסף את זה לקובץ ה-.htaccess שלך:
apacheCopyEdit<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
אלא אם כן אתם משתמשים ספציפית בשירותים כמו Jetpack או כלי פרסום מרחוק, כנראה שאתם לא צריכים את זה.
🧱 הגבלת ניסיונות התחברות (צד השרת)
בעוד שרוב האנשים משתמשים בתוספים בשביל זה, אתה יכול להגדיר את שרת האינטרנט או חומת האש שלך כדי להגביל את ניסיונות ההתחברות. זה עוזר לעצור התקפות כוח גסות לפני שהן מגיעות לוורדפרס.
דוגמאות:
- ב-Apache: השתמש ב-mod_evasive
- ב-Nginx: הגבלת קצב של נקודת הקצה wp-login.php
- או השתמש בחומת אש כמו Cloudflare כדי לחסום התנהגות חשודה
🔐 השתמש בסיסמאות חזקות ובאימות דו-גורמי
ברור, אבל קריטי.
טיפים:
- השתמש במנהל סיסמאות כדי ליצור סיסמאות חזקות ואקראיות
- הימנע משימוש בשמות משתמש כמו "אדמין"
- הגדר 2FA (אימות דו-גורמי) באמצעות כלי אירוח או שרת במקום תוספים, אם אפשר
🧽 נקה והקשיח הרשאות קובץ
ודא שהקבצים והתיקיות שלך לא נותנים יותר ממה שהם צריכים.
הרשאות קובץ מומלצות:
- קבצים: 644
- תיקיות: 755
- wp-config.php: 600 או 640
הימנע משימוש ב-777 בכל קובץ או תיקיה – זה חור אבטחה גדול.
🚫 השבת את עריכת הקבצים מלוח המחוונים של WP
כברירת מחדל, וורדפרס מאפשרת למנהלי מערכת לערוך קבצי ערכות נושא ותוספים מלוח המחוונים. זה מסוכן אם מישהו מקבל גישה.
כדי להשבית אותו:
הוסף את זה לקובץ wp-config.php שלך:
phpCopyEditdefine('DISALLOW_FILE_EDIT', true);
⚙️ עקוב אחר האתר שלך לאיתור שינויים חשודים
אפילו ללא תוספים, אתה יכול לנטר באופן קבוע:
- שינויים בקבצים דרך פאנל האירוח שלך
- גישה ליומנים כדי לתפוס ניסיונות בכוח גס
- עליות משאבים שעלולות להצביע על קוד זדוני
לוח המחוונים לאירוח שלנו מקל על זה – בדוק את הסטטוס של אתר הוורדפרס שלך מבלי להתחבר.
🛡️ מחשבות אחרונות: אבטחה ללא נפיחות
תוספים יכולים להיות מועילים – אבל הם לא האפשרות היחידה שלך.
על ידי ביצוע השלבים שלמעלה, אתה יכול להקשיח משמעותית את אתר הוורדפרס שלך מבלי להוסיף משקל נוסף, תוספים או סיכון.
✅ אתר קל יותר
✅ פחות פגיעויות
✅ יותר שליטה
רוצה אפילו יותר ניהול ואבטחה של וורדפרס? ארח את האתר שלך איתנו ונצל את היתרונות של פאנל ה-WP המותאם אישית שלנו – אין צורך בכניסה, אין צורך בפלאגינים.
