← כל המדריכים

אבטחה

• Directory Listing על תיקיית uploads – חשיפה לא מכוונת אם /wp-content/uploads/ מציג רשימת קבצים, חשפת גיבויים, מסמכים וקבצים שלא נועדו להיות ציבוריים.
• HSTS: כפיית HTTPS ברמת הדפדפן באתר WordPress HSTS אומר לדפדפן לעולם לא לבקש את האתר ב-HTTP. שכבת הגנה חיונית מעל ה-redirect הסטנדרטי.
• Mixed Content באתר HTTPS: זיהוי וטיפול בקישורים לא מוצפנים דף HTTPS שטוען משאב HTTP מסומן כ'לא מאובטח' ופוגע בחוויית המשתמש וב-SEO. מדריך לאיתור ותיקון.
• WP_DEBUG בסביבת ייצור: למה זה מסוכן ומה במקום מצב debug בייצור חושף נתיבי קבצים, גרסאות ותכני קוד לכל מבקר. מדריך לכיבוי בטוח עם שמירה על לוגים פנימיים.
• XML-RPC ב-WordPress – ממשק ישן שכמעט אף אחד לא צריך XML-RPC חושף את האתר ל-brute-force ומסיבי, ל-pingback DDoS וניצול CVE. ככה מבטלים בלי לשבור את Jetpack.
• xmlrpc.php עדיין מגיב – חסימה ברמת השרת היא חובה ביטול XML-RPC ב-WordPress לא מספיק כל עוד הקובץ עדיין מגיב. רק חסימה ברמת השרת באמת סוגרת.
• אתר ללא HTTPS – למה זה כשל גם אם "אין מה להגן" אתר על HTTP מסומן כלא מאובטח, יורד בגוגל, וחושף סשנים. ככה עוברים ל-HTTPS בלי לשבור את התוכן.
• דגלי עוגיות סשן – Secure, HttpOnly, SameSite בלי שלושת הדגלים האלה, סשן מנהל יכול להיגנב דרך XSS, ציתות HTTP או CSRF. ככה מגדירים נכון.
• הגנה מפני התקפות brute-force ב-WordPress: שלוש שכבות חיוניות ללא הגנת brute-force, אתר WordPress פתוח לאלפי נסיונות התחברות בדקה. מדריך לבניית הגנה רב-שכבתית.
• הסתרת גרסת WordPress – למה זה עוזר ולמה לא מספיק גרסת WP מופצת בכמה מקומות בו זמנית. הסתרה מקטינה רעש מבוטים, אבל לא מחליפה עדכון.
• הסתרת כתובת ההתחברות של WordPress: מתי זה עוזר ומתי לא החלפת /wp-login.php ל-slug אקראי מורידה 99% מהרעש בלוגים. שכבת הגנה משלימה לסיסמאות חזקות ול-2FA.
• הרשאות wp-config.php: למה 600 או 640 ולא יותר הקובץ wp-config.php מכיל את סיסמת בסיס הנתונים ואת מפתחות הסודות. הרשאות פתוחות מדי הופכות אותו לחומר תקיפה.
• חסימת /wp-admin/install.php באתר WordPress פעיל install.php משמש פעם אחת בהתקנה ראשונית. השארתו פתוח חושף את האתר לפגיעויות עתידיות.
• חשיפת משתמשים דרך REST API – ניחוש שמות התחברות נקודת הקצה /wp-json/wp/v2/users חושפת שמות משתמש לאנונימיים. ככה חוסמים אותה בלי לשבור את המערכת.
• כותרות אבטחה ב-HTTP – שכבה זולה שעוצרת המון התקפות X-Frame-Options, X-Content-Type-Options, Referrer-Policy, CSP – ארבע כותרות שמונעות שורה ארוכה של התקפות לקוח.
• כמה משתמשי מנהל באמת צריך אתר WordPress כל חשבון מנהל הוא וקטור פריצה. מדריך מלא לצמצום מספר האדמינים מבלי לפגוע בעבודה השוטפת.
• כפיית HTTPS על כל האתר: מעבר מתעודה מותקנת לכפייה מלאה תעודה מותקנת לבדה לא מספיקה. מדריך לכפיית HTTPS עם redirect 301, החלפת קישורים ב-DB ובדיקת mixed content.
• מדיניות סיסמאות ב-WordPress: למה מד החוזק לא מספיק WordPress מציג מד חוזק אבל לא אוכף - משתמש יכול לסמן 'אישור סיסמה חלשה' ולהמשיך. מדריך לאכיפה אמיתית.
• מניית משתמשים דרך ?author=N – חשיפת שמות התחברות גלישה ל-/?author=1 מובילה ל-redirect שחושף את שם ההתחברות. ככה חוסמים בלי לפגוע ב-author archives.
• מפתחות salts ב-WordPress – למה לסובב ומתי salts מצפינים את עוגיות הסשן. החלפתם מנתקת את כל המשתמשים ומסירה גישה של תוקף שנפרץ.
• משתמש 'admin' באתר WordPress: למה הוא בעיה ואיך מחליפים אותו שם המשתמש 'admin' הוא חצי מהדרך לפריצה. כך מחליפים אותו במשתמש מנהל בטוח בלי לאבד פוסטים.
• משתמשי מנהל חדשים – חשד פריצה ופעולות מיידיות אדמין חדש שלא יצרת בעצמך הוא דגל אדום. ככה לאמת, להסיר ולסגור את ההזדמנות לתוקף.
• עדכון ליבת WordPress – למה לא לדחות אפילו יום אחד עדכוני minor הם תיקוני אבטחה. עדכוני major דורשים תכנון. ככה מבצעים את שניהם בלי שבירה.
• עדכונים אוטומטיים ב-WordPress: מה להפעיל ומה להשאיר ידני עדכוני אבטחה אוטומטיים סוגרים פגיעויות בלי תלות בכם. מדריך להגדרה נכונה של כל הליבה, התוספים והתבניות.
• עורך הקבצים של WordPress: למה לכבות לפני שיהיה מאוחר עורך התבניות והתוספים בלוח הבקרה הופך כל פריצת אדמין להזרקת קוד מלאה. כיבוי בשתי שורות.
• קבצי PHP בתיקיית uploads – סימן לפריצה והדרך לטיפול מצאת קובץ PHP ב-wp-content/uploads? זה כמעט תמיד web-shell של תוקף. ככה מאתרים, מסירים ומונעים בעתיד.
• קבצים רגישים חשופים בשורש WordPress: .git, .env, wp-config.bak תיקיית .git, קבצי .env וגיבויי wp-config שנגישים בדפדפן חושפים את כל סודות האתר. כיצד לזהות ולחסום.
• קידומת בסיס נתונים ב-WordPress: למה לשנות מ-wp_ ואיך לעשות זאת בבטחה קידומת ברירת המחדל wp_ הופכת ניצול SQL Injection לקל יותר. מדריך לשינוי הקידומת בלי לשבור את האתר.
• שלמות קבצי הליבה של WordPress: זיהוי שינויים זדוניים קובץ ליבה ששונה מהמקור הוא חשד פריצה מובהק. מדריך לבדיקה, השוואה ושחזור בטוח.
• תוספים פגיעים – זיהוי, עדכון והחלפה תוסף עם פגיעות ידועה הוא דלת פתוחה לפריצה. ככה לזהות, לעדכן ולמצוא חלופה כשאין תיקון.
• תעודת SSL לפני תפוגה – איך לחדש בלי השבתה תעודה שפגה תחסום את האתר לחלוטין. מתחילים לטפל לפחות 7 ימים לפני, לא ביום האחרון.