אבטחה 7 במאי 2026

הסתרת כתובת ההתחברות של WordPress: מתי זה עוזר ומתי לא

החלפת /wp-login.php ל-slug אקראי מורידה 99% מהרעש בלוגים. שכבת הגנה משלימה לסיסמאות חזקות ול-2FA.

כתובת ההתחברות הסטנדרטית של WordPress היא /wp-login.php (וה-redirect /wp-admin). זוהי הראשונה שכל בוט בודק. שינוי הכתובת ל-slug אקראי הוא 'security through obscurity' - לא תחליף לסיסמאות חזקות ול-2FA, אבל מסיר 99% מהרעש בלוגים ומקטין את העומס על השרת.

למה זה משנה

נסה לחשוב על אתר WordPress טיפוסי על shared hosting - הוא מקבל בין 5,000 ל-50,000 בקשות התחברות אוטומטיות בחודש מבוטים שיורים סיסמאות על /wp-login.php. כל אחת מהבקשות הללו טוענת PHP ו-WordPress, מה שצורך זיכרון ו-CPU. במקרים קיצוניים, ספק האחסון משעה את החשבון בגלל 'high resource usage'. שינוי הכתובת ל-/portal-7q3k גורם לכך שהבוטים פוגעים בעמוד 404 סטטי, שכמעט לא צורך משאבים. בנוסף, הלוגים שלך הופכים לקריאים: במקום אלפי שורות 'failed login from' שמסתירות את ה-IP האחד החשוב, אתה רואה רק נסיונות אמיתיים. זה גם מסיר את שלב הראשון של תקיפה ממוקדת - בוט שלא מוצא את כתובת ההתחברות לא יכול אפילו להתחיל בניחוש סיסמה. שילוב עם 2FA ו-rate limiting הופך את הסיכוי לפריצה לקטן באופן דרמטי.

איך לזהות

הבדיקה מבצעת בקשת GET ל-https://example.com/wp-login.php - אם התשובה היא 200 עם טופס התחברות, הכתובת חשופה. ידנית: גש לכתובת בדפדפן במצב גלישה פרטית. אם רואה את עמוד ההתחברות הסטנדרטי - הוא חשוף. בנוסף, /wp-admin צריך להחזיר redirect לכתובת ההתחברות החדשה (אם משנים) או 404.

איך לתקן

  1. בעמוד אופטימיזציית הסריקה של RankPlus, הפעל 'כתובת התחברות מותאמת' או התקן 'WPS Hide Login' (חינמי, פופולרי).
  2. בחר slug לא ניתן לניחוש: אל תבחר 'login', 'admin', 'wp', 'signin', שם החברה, או שם הדומיין. בחר מילה אקראית או שילוב כמו 'portal-7q3k', 'access-x9m2', 'enter-h3p7'.
  3. שמור את ה-URL החדש ב-password manager לצד פרטי ההתחברות. זה קריטי - אין דרך מובנית להחלים אם תשכח.
  4. התנתק והיכנס מחדש בכתובת החדשה כדי לאמת.
  5. גש ל-/wp-login.php ול-/wp-admin/ כשאתה לא מחובר - אמורים לחזור 404 (או redirect לדף הבית). אם לא - התוסף לא תופס את הנתיב.
  6. שלב עם הגנת brute-force (Wordfence) ו-2FA למנהלים. הסתרת ה-URL היא שכבה ראשונה, לא היחידה.
  7. אם יש לך REST API endpoints שתוספים משתמשים בהם, ודא שהם לא נחסמו (התוסף בדרך כלל מטפל בזה).

טעויות נפוצות

אל תשכח את הכתובת! זוהי הטעות החמורה ביותר - אדמין שלא שומר את ה-URL החדש ב-password manager עלול להגיע למצב שבו הוא חסום מהאתר שלו. אם זה קורה, הפתרון: גש דרך FTP ל-wp-content/plugins/, שנה את שם תיקיית התוסף שמסתיר את ה-URL ל-'wps-hide-login_disabled', והכתובת המקורית /wp-login.php תחזור לעבוד. אל תבחר slug צפוי - 'admin2' לא יותר טוב מ-'admin'. אל תסתמך על הסתרת URL לבד - תוקף ש-Google Dorking שלו מצא את ה-URL החדש (מקרי שאתר שלך מקושר ל-URL החדש מאתר אחר) עוקף את ההגנה. אל תשכח שאת ה-URL החדש צריך להוסיף לכל אוטומציה - תוסף backup שמתחבר לאתר, monitoring service, וכו'.

בדיקה לאחר תיקון

גש ל-https://example.com/wp-login.php במצב גלישה פרטית - אמור להחזיר 404. גם /wp-admin/. גש לכתובת החדשה - אמור להוצג טופס ההתחברות. בלוגי השרת אחרי שבוע, השווה: לפני השינוי היו 1000+ נסיונות התחברות ביום, אחרי - יחידות בודדות.

טיפ: אל תשכח את הכתובת! שמור אותה בשני מקומות לפחות (password manager + מסמך מוצפן). אם תשכח, תצטרך להיכנס דרך FTP ולכבות את התוסף שמשנה את הכתובת.
עוד בקטגוריה זו ← חזרה לכל המדריכים