אבטחה 7 במאי 2026

עדכונים אוטומטיים ב-WordPress: מה להפעיל ומה להשאיר ידני

עדכוני אבטחה אוטומטיים סוגרים פגיעויות בלי תלות בכם. מדריך להגדרה נכונה של כל הליבה, התוספים והתבניות.

עדכונים אוטומטיים הם ההגנה הזולה ביותר נגד פגיעויות ידועות. ברגע שפרצה מתפרסמת ב-CVE, יש לתוקפים פעמים שלוש: לסרוק את האינטרנט אחר אתרים פגיעים, לכתוב exploit, ולנצל את החלון לפני שאדמינים מעדכנים. עדכון אוטומטי סוגר את החלון הזה תוך שעות.

למה זה משנה

סטטיסטיקה ברורה: כ-60% מהאתרים שנפרצו ב-2024 הופעלו על תוסף או גרסת ליבה עם פגיעות שתוקנה לפחות חודש לפני הפריצה. במילים אחרות, אם הם היו מעדכנים אוטומטית, הם לא היו נפרצים. בנוסף, עדכונים אוטומטיים מורידים את העומס המנטלי - אין יותר 'תזכורת לי בשבוע הבא לעדכן' שנשכחת. הליבה של WordPress תומכת בעדכוני אבטחה (minor releases) אוטומטית מאז גרסה 3.7, ובעדכוני תוספים מאז 5.5. הסיכון התיאורטי הוא שעדכון אוטומטי ישבור את האתר - אך בפועל זה נדיר ביותר עבור עדכוני minor, ולעיתים קרובות יותר עבור עדכוני major של תוסף שמשנה API.

איך לזהות

הבדיקה בודקת שלוש שכבות: 1) ה-define WP_AUTO_UPDATE_CORE ב-wp-config.php או הפילטר auto_update_core, 2) רשימת התוספים עם auto_update פעיל בטבלת wp_options ('auto_update_plugins'), 3) רשימת התבניות עם auto_update פעיל. אם אף אחד מהמסלולים לא מופעל - הבדיקה אדומה. ידנית: לוח הבקרה > תוספים. בעמודה הימנית כל תוסף מציג 'Enable auto-updates' או 'Auto-updates enabled'. אם אתה רואה את הקישור הראשון - העדכון לא פעיל.

איך לתקן

  1. הליבה: ב-wp-config.php ודא שאין שורה define('WP_AUTO_UPDATE_CORE', false). אם תרצה גם עדכוני major אוטומטיים, הוסף define('WP_AUTO_UPDATE_CORE', true).
  2. תוספים: לוח הבקרה > תוספים. סמן את כל התוספים שמקורם ב-wordpress.org הרשמי, בחר 'Bulk actions' > 'Enable Auto-updates' > Apply.
  3. תוספים פרימיום (Yoast Premium, WP Rocket, Elementor Pro): ודא שמפתח הרישיון פעיל - בלי רישיון תקף, התוסף לא מקבל עדכונים אוטומטיים.
  4. תבניות: לוח הבקרה > תבניות > רחף על תבנית > 'Theme details' > 'Enable auto-updates'.
  5. עדכוני major של הליבה: עדיף ידני - לפני עדכון 6.x ל-7.x גבה ובדוק תאימות. עדכוני minor (6.5 ל-6.5.1) בטוחים אוטומטית.
  6. הגדר התראת מייל: WordPress שולח מייל אוטומטי אחרי כל עדכון אוטומטי. ודא שכתובת הניהול בהגדרות > כללי תקפה.

טעויות נפוצות

אל תפעיל auto-updates על תוסף שעבר fork או הורד מאתר לא רשמי - העדכון יבוא מ-wordpress.org עם הקוד המקורי וידרוס את ה-fork שלך. אל תפעיל auto-updates על תוסף קריטי לתשלומים (WooCommerce gateways) בלי בדיקה - שינויים ב-API של ספק התשלום יכולים להפיל checkout לכמה שעות. אל תכבה auto-updates 'כי קראתי שזה מסוכן' - הסיכון מאי-עדכון הרבה יותר גבוה מהסיכון מעדכון שובר. אל תשכח לחדש רישיונות פרימיום.

בדיקה לאחר תיקון

חכה כמה ימים ובדוק את לוג העדכונים: לוח הבקרה > עדכונים. אמור להופיע 'Last checked: לפני שעה'. אם תוסף קיבל עדכון אוטומטי, יופיע מייל מ-wordpress@yoursite. אם אף תוסף לא התעדכן בחודש - בדוק שהקרון של WordPress עובד, כי auto-updates מסתמכים על wp-cron שירוץ.

טיפ: לאתרים קריטיים, פתרון מאוזן הוא staging אוטומטי - תוסף כמו WP Stagecoach מעדכן קודם בעותק staging, מריץ smoke tests, ורק אחר כך מעדכן בייצור. RankPlus מציע מנגנון דומה לעדכונים מרכזיים.

שיקולים נוספים

אם אתה מנהל מספר אתרים, ניהול מרוכז של עדכונים אוטומטיים יעיל יותר מהפעלת auto-updates על כל אתר בנפרד. RankPlus, ManageWP ו-MainWP מאפשרים לבדוק עדכונים בעותק staging של כל האתר לפני שהם נדחפים לייצור. זה מונע מצב שבו עדכון של תוסף שובר 50 אתרים בו זמנית. עבור אתרי e-commerce, מומלץ לחסום עדכוני major של WooCommerce ושל gateways של תשלום מ-auto-updates - שינויים ב-API שלהם יכולים לפגוע ב-checkout. עדיף לעדכן ידנית בחלונות תחזוקה מתוזמנים אחרי בדיקה ב-staging.

קישורים לבדיקות קשורות

  • תוספים פגיעים - מתריע על תוספים עם פגיעויות ידועות שלא עודכנו.
  • שלמות קבצי הליבה - מזהה שינויים שלא הגיעו דרך עדכון רשמי.
  • תוספים לא פעילים - תוספים שלא בשימוש לא מקבלים עדכוני אבטחה.
עוד בקטגוריה זו ← חזרה לכל המדריכים