אבטחה 7 במאי 2026

משתמש 'admin' באתר WordPress: למה הוא בעיה ואיך מחליפים אותו

שם המשתמש 'admin' הוא חצי מהדרך לפריצה. כך מחליפים אותו במשתמש מנהל בטוח בלי לאבד פוסטים.

השם 'admin' הוא ברירת המחדל ההיסטורית של WordPress וגם הניחוש הראשון של כל בוט שמנסה לפרוץ אתרים. כשהוא קיים באתר עם הרשאות מנהל, התוקף חוסך לעצמו את כל שלב זיהוי שם המשתמש ועובר ישר לניחוש סיסמה. הבדיקה הזו מתריעה ברגע שהיא מזהה משתמש בשם הזה.

למה זה משנה

סטטיסטיקות מבוטים ברשת מראות שמעל 60% מנסיונות ה-brute force על אתרי WordPress מתחילים בשם המשתמש 'admin'. עוד 20% מתחלקים בין 'administrator', 'wp-admin', 'root' ושם הדומיין. כלומר: כל מי שמשאיר את 'admin' פעיל פותח דלת בפני 60% מהתעבורה הזדונית גם בלי שום פגיעות נוספת. אם הסיסמה חלשה או הודלפה במאגר אחר, הפריצה היא רק שאלת זמן. גם אם הסיסמה חזקה, הקיום של החשבון מעודד את התוקפים להמשיך לנסות, מה שמייצר עומס על השרת ומעמיס לוגים. אתר על אחסון משותף עם 'admin' פעיל יראה לעיתים מאות אלפי בקשות התחברות בחודש.

איך לזהות

הבדיקה סורקת את טבלת wp_users ומחפשת user_login בערך 'admin' (אותיות קטנות, התעלמות מ-Admin/ADMIN שגם הם מסוכנים אך פחות נפוצים). ידנית: לוח הבקרה > משתמשים, חפש 'admin' בתיבת החיפוש. כדאי לבדוק גם user_nicename - אם user_login הוא משהו אחר אבל ה-slug הציבורי הוא 'admin', גם זה יוצג בנקודות קצה כמו /author/admin/.

איך לתקן

  1. היכנס לאתר עם משתמש מנהל אחר. אם אין כזה, צור אחד תחילה: משתמשים > הוספת משתמש חדש, עם שם לא צפוי (לא 'manager', 'editor', שם החברה או שם פרטי שלך).
  2. הגדר סיסמה אקראית של 16 תווים לפחות, ושמור אותה ב-password manager.
  3. התנתק מ-'admin' והיכנס מחדש עם המשתמש החדש כדי לוודא שיש לך גישה.
  4. חזור לעמוד משתמשים, רחף על 'admin' ולחץ 'מחק'.
  5. במסך המחיקה תראה שאלה: 'מה לעשות עם התוכן של המשתמש?' - בחר 'ייחס את כל התוכן ל...' ובחר במשתמש החדש שלך. אל תבחר 'מחק את כל התוכן' - זה ימחק את כל הפוסטים שכתב.
  6. אשר. WordPress יעביר את כל הפוסטים, התגובות והמדיה למשתמש החדש בלי לאבד מילה.

טעויות נפוצות

אל תיצור את המשתמש החדש בשם 'admin1', 'admin2', 'administrator' או שם החברה - זה הניחוש השני של כל בוט. אל תסתמך על שינוי display_name לבד; הוא לא משפיע על user_login שמהווה את שם ההתחברות. אל תשנה רק את הסיסמה של 'admin' - הסיכון נשאר. אל תוריד את 'admin' לתפקיד subscriber בתקווה ש'זה מספיק' - תוסף עם פגיעות יכול להעלות אותו בחזרה.

בדיקה לאחר תיקון

הרץ שוב את האודיט. ידנית: נסה להיכנס עם 'admin' וסיסמה כלשהי - אמור לקבל הודעת 'Invalid username'. בדוק שהפוסטים של המשתמש הישן עכשיו מיוחסים למשתמש החדש (גש לפוסט אחד שלו וראה את שם הכותב). הסתכל בלוגים: בתוך כמה ימים תראה ירידה ניכרת בנסיונות התחברות שכוללים את שם המשתמש 'admin'.

טיפ: אם 'admin' אינו מנהל אלא רק subscriber או contributor, הסיכון נמוך יותר אבל לא אפסי - בוטים לא יודעים מה ההרשאות מראש, ולכן עדיין שווה להחליף.

שיקולים נוספים

במקרים מסוימים יש למשתמש 'admin' תוכן רב או הוא מקושר לתהליכי אוטומציה (API integrations, webhooks, scheduled jobs). לפני המחיקה, מפה את כל המקומות שבהם שם המשתמש 'admin' מופיע בקוד ובהגדרות חיצוניות. תוסף שמשתמש ב-WP REST API עם authentication header עלול להיכשל אם השם של החשבון השתנה. במקרה כזה, צור משתמש חדש עם אותן הרשאות, עדכן את ה-credentials באוטומציות, ורק אחר כך מחק את 'admin'. גם אם אתה לא מוצא קשרים חיצוניים, שמור את הסיסמה הישנה למשך שבועיים אחרי המחיקה כדי שתוכל לשחזר אם משהו ישבור.

קישורים לבדיקות קשורות

  • מספר האדמינים - בודק אם יש יותר מדי משתמשי מנהל באתר.
  • מדיניות סיסמאות - אוכף סיסמאות חזקות גם אחרי שהחלפת את שם המשתמש.
  • הגנת brute-force - מגביל ניסיונות התחברות גם אם הותקפת דרך שם משתמש אחר.
  • חסימת מניית משתמשים ב-REST API - מונע גילוי שמות משתמש חדשים שיצרת.
עוד בקטגוריה זו ← חזרה לכל המדריכים