Afrikaans
Azərbaycan
Bosanski
Čeština
Dansk
Deutsch
English
Español
Filipino
Français
Hrvatski
Indonesia
Italiano
Magyar
Melayu
Nederlands
Norsk
Oʻzbek
Polski
Português
Română
Slovenčina
Slovenščina
Suomi
Svenska
Tiếng Việt
Türkçe
Ελληνικά
Беларуская
Български
Русский
Српски
Українська
עברית
اردو
العربية
پښتو
فارسی
አማርኛ
मराठी
বাংলা
தமிழ்
ไทย
မြန်မာ
한국어
中文
日本語
אמצעי אבטחת WordPress הם כל הצעדים הטכניים והמבצעיים שננקטים כדי להגן על אתר WordPress מפני פריצות, תוכנות זדוניות, אובדן נתונים וגישה לא מורשית. ההגנה היעילה ביותר מושגת באמצעות שילוב של גרסת WordPress עדכנית, תבניות ותוספים מהימנים, אבטחת כניסה חזקה, גיבוי רגיל, SSL, חומת אש לאפליקציות אינטרנט, אירוח מאובטח ומעקב מתמשך. במדריך זה תמצאו צעדים פרקטיים ומסודרים שניתן ליישם היום כבעלי או מנהלי אתרים.
WordPress, בזכות המבנה הגמיש שלו והאקוסיסטם הרחב של התוספים, הוא אחד ממערכות ניהול התוכן הנפוצות ביותר בעולם. פופולריות זו מגבירה גם את העניין של תוקפים. רבים מההתקפות מתרחשות לא בגלל תוכנת WordPress עצמה, אלא בשל סיסמאות חלשות, תוספים לא מעודכנים, קבצי תבניות לא בטוחים, הרשאות קובץ שגויות או אבטחת אירוח לקויה. לכן, לא נכון להשאיר את האבטחה בתוסף יחיד; יש צורך בגישה רב-שכבתית.
ההמלצות להלן יכולות להתבצע במגוון פרויקטי WordPress, החל בבלוגים קטנים ועד אתרי תאגידים, מחנויות WooCommerce ועד מערכות חברויות. המטרה אינה רק למנוע התקפות, אלא גם לגלות בעיות במהירות, לשחזר את האתר בצורה נקייה ולשמור על נתוני המשתמשים. במיוחד באתרים המייצרים הכנסות, אבטחה היא לא פרטי טכני אלא חלק בסיסי מקיום העסק.
מדוע אתרי WordPress הם מטרה?
הסיבה הבסיסית לכך שאתרי WordPress נבחרים כמטרות היא השימוש הנרחב בהם. תוקפים סורקים אלפי דומיינים באמצעות בוטים אוטומטיים במקום לבחור אתרים ספציפיים. כאשר נמצא גרסה ישנה של תוסף, שם משתמש ברירת מחדל, סיסמה חלשה או לוח בקרה פתוח, התוקפים מתחילים בניסיון פריצה. תהליך זה מתקדם לרוב אוטומטית תוך דקות ספורות.
בין תסריטי התקפה נפוצים ניתן למצוא ניסי כניסה בכוח גס, העלאת קבצים זדוניים, הזרקת SQL, XSS, שימוש בתבניות נטולות רישוי, הפניות ספאם והתקפות ספאם SEO שמניפולצות על תוצאות החיפוש. לדוגמה, תוסף טופס לא מעודכן יכול לאפשר לתוקף להעלות קבצים לשרת. באופן דומה, אם סיסמת המנהל היא משהו כמו 123456, בוטים יכולים לבדוק זאת במהירות.
ההשפעה של התקפה אינה מוגבלת לסגירת האתר בלבד. Google יכולה להציג אזהרת אבטחה, חשבונות פרסום עשויים להיות מושעים, נתוני לקוחות עשויים להיות בסיכון ואמון המותג עלול להיפגע. לכן, אבטחת WordPress צריכה להיות מתוכננת לא בשלב ההשקה אלא כבר בתחילת הפרויקט.
טבלת עדיפות מהירה: איזה אמצעי הוא קריטי?
הטבלה הבאה מסכמת אילו אמצעי אבטחה יש להתרכז בהם קודם אם הזמן שלכם מוגבל. כדי להשיג את התוצאות הטובות ביותר, יש ליישם את כל הפריטים יחד.
| אמצעי אבטחה | הפחתת סיכון | קושי יישום | תדירות מומלצת |
|---|---|---|---|
| עדכוני WordPress, תבניות ותוספים | מאוד גבוה | קל | בדיקה שבועית |
| סיסמאות חזקות ואימות דו-שלבי | מאוד גבוה | קל | מיידי ומתמשך |
| גיבוי רגיל | מאוד גבוה | בינוני | יומי או שבועי |
| שימוש ב-SSL ו-HTTPS | גבוה | קל | מתמשך |
| חומת אש וסריקות תוכנה זדונית | גבוה | בינוני | סריקות יומיות |
| הרשאות קבצים ואבטחת wp-config | בינוני-גבוה | בינוני | בדיקה חודשית |
| תשתית אירוח מאובטחת | מאוד גבוה | קל | בעת הקמת האתר |
1. שמרו על גרעין WordPress, תבניות ותוספים מעודכנים
הצעד הקריטי ביותר באבטחת WordPress הוא העדכון. רוב הפגיעויות מתגלות ומתקנות במהירות על ידי המפתחים לאחר שנחשפות. אולם אם בעל האתר לא מבצע את העדכונים, התוקפים יכולים לנצל את הפגיעויות הידועות. כלומר, השימוש בגרסה ישנה דומה לבית שבו תיקנו את הדלת, אבל אתם עדיין משתמשים במנעול הישן.
שיטות בטוחות לעדכון
- קחו קודם גיבוי מלא של האתר: יש לגבות את הקבצים ואת מסד הנתונים יחד.
- אם אפשר, בדקו את העדכונים בסביבת staging.
- עדכנו קודם את גרעין WordPress, ואז את התבניות והתוספים.
- לאחר העדכון, בדקו את הדף הראשי, טפסים, דף תשלום ולוח הבקרה.
- אל תשאירו תוספים לא בשימוש פאסיביים, אלא מחקו אותם לחלוטין.
דוגמה מעשית: בחנות WooCommerce יש ליצור הזמנת בדיקה לפני עדכון תוסף התשלום. אם לאחר העדכון העגלה, התשלום, הודעות האימייל והמלאי פועלים כמו שצריך, הסיכון באתר חיוני נמוך יותר. אם הידע הטכני שלכם מוגבל, לבחור באירוח שמספק תשתית ניהולית ועדכנית יכול להקל על התהליך. אירוח WordPress
2. השתמשו בסיסמאות חזקות, שם משתמש ייחודי ו-2FA
התקפות בכוח גס שולחות ניסי כניסה אוטומטיים עם שם משתמש וסיסמה למסך הכניסה של WordPress. שם המשתמש admin וסיסמאות חלשות עדיין מהווים אחד הסיכונים הנפוצים ביותר. עליכם להשתמש בסיסמה ייחודית באורך מינימלי של 14 תווים, הכוללת אותיות גדולות וקטנות, מספרים וסימנים.
שימוש במנהל סיסמאות מקל על יצירת סיסמאות חזקות וייחודיות לכל חשבון. שימוש באותה סיסמה בדוא"ל, בלוח הבקרה של האירוח, ב-WordPress ובחשבונות FTP הוא טעות גדולה. אם חשבון אחד דולף, כל המערכות האחרות יהיו בסיכון.
צעדים ליישום אבטחת כניסה
- אל תשתמשו בשם המשתמש admin; צרו שם מנהל קשה לניחוש.
- הפעילו אימות דו-שלבי.
- הגבילו ניסי כניסה כושלים.
- מחקו חשבונות מנהל שלא נעשה בהם שימוש במשך זמן רב.
- הקצו הרשאות לפי הצורך לתפקידי כותב, עורך ומנהל.
לדוגמה, מתנדב שכותב פוסטים בבלוג אינו זקוק להרשאות מנהל. לאנשי צוות חשבונאות שרק צריכים לראות הזמנות, לא צריכות להיות הרשאות להתקנה של תבניות ותוספים. שמירה על מינימום ההרשאות מגבילה את הנזק במקרה של פריצה אפשרית.
3. הקימו תוכנית גיבוי רגילה וניתנת לשחזור
גיבוי לא מונע התקפות, אך הוא מאפשר לשחזר את האתר לאחר התקפה. לכן, הוא ביטוח עבור האסטרטגיה האבטחתית. כדי שגיבוי יהיה בעל ערך, הוא לא רק צריך להתבצע, אלא גם להיות ניתן לשחזור. רבים מבעלי האתרים חושבים שיש להם גיבוי, אבל ברגע האמת יכולים לגלות שמסד הנתונים חסר, הקבצים פגומים או שהגיבוי מאוד ישן.
תוכנית הגיבוי האידיאלית משתנה לפי סוג האתר. אתר חדשות עם תוכן נכנס יומי או חנות מקוונת צריכה לגבות באופן יומי, ואפילו לעיתים תכופות יותר בתקופות של הזמנות מרובות. באתר תדמית סטטי, גיבוי שבועי עשוי להיות מספק. לשמור גיבויים רק באותו השרת זה לא נכון; אם השרת נפגע, גם הגיבויים יאבדו.
גישת גיבוי 3-2-1
- 3 עותקים: אתר חי, גיבוי מקומי וגיבוי מרוחק.
- 2 סביבות שונות: שרת ואחסון בענן, לדוגמה.
- 1 מיקום מרוחק: עותק המאוחסן במיקום אחר.
זהו מנהג טוב לבצע לפחות בדיקת שחזור אחת בכל חודש. כך תדעו כמה זמן ייקח לכם לשוב לאוויר במקרה חירום. כאשר אתם מעריכים את אפשרויות הגיבוי בתשתית Hostragons, מומלץ לקחת בחשבון את תדירות החלפת הנתונים של הפרויקט שלכם. פתרונות גיבוי לאירוח
4. SSL ו-HTTPS צריכים להיות חובה
SSL מצפין את הנתונים בין המבקר לשרת. מידע כניסה, טפסי יצירת קשר, דפי תשלום ולוחות בקרה של חברים אינם נחשבים לבטוחים ללא HTTPS. דפדפנים מודרניים עשויים לסמן את האתרים שאינם משתמשים ב-SSL כלא בטוחים. זה גם משפיע לרעה על האמון של המשתמשים ועל שיעורי ההמרה.
SSL אינו נדרש רק לאתרי מסחר אלקטרוני. גם בבלוג פשוט, כניסת המנהל, טופס התגובה וטופס יצירת הקשר מעבירים נתונים. לכן, בכל אתר WordPress יש להפעיל SSL ולוודא שכל הבקשות HTTP מופנות לכתובת HTTPS. כמו כן, יש לבדוק שגיאות תוכן מעורבות; כלומר, אפילו אם הדף הוא HTTPS, חלק מהתמונות או הסקריפטים לא צריכים להיטען דרך HTTP.
לאחר התקנת ה-SSL, ודאו שהכתובות באתר בהגדרות הכלליות של WordPress מתחילות ב-HTTPS. לאחר מכן, נקו את המטמון ובדקו בדפדפנים שונים. על מנת לבחור ולהתקין תעודת SSL ניתן להסתכל בעמוד תעודת SSL.
5. בחרו תבנית ותוסף מהימנים
חלק גדול מהפגיעויות באתרי WordPress נובעות מתבניות ותוספים של צד שלישי. במיוחד תבניות ותוספים המופצים בחינם, עשויים להיות מסוכנים מאוד. קבצים ללא רישוי יכולים להכיל "דלתות אחוריות", קישורי ספאם, קוד כריית מטבעות או סקריפטים לדליפת נתונים.
רשימת בדיקה לפני התקנת תוסף
- האם תאריך העדכון האחרון קרוב?
- האם מספר ההתקנות הפעילות והביקורות של המשתמשים נותנים אמון?
- האם המפתחים הם צוות מוכר המספק תמיכה?
- האם התוסף עושה את העבודה שאתם צריכים?
- האם ישנם תוספים רבים עם אותה פונקציה מותקנים?
פחות תוספים לא תמיד אומר אוטומטית יותר אבטחה; מה שחשוב הוא להשתמש בתוספים איכותיים, מעודכנים ונדרשים. עם זאת, כל תוסף מוסיף שכבת קוד חדשה ומגדיל את שטח ההתקפה. לדוגמה, התקנת בונה עמודים רחב היקף רק כדי לשנות את צבע הכותרת עשויה להיות מיותרת מבחינת ביצועים ואבטחה.
6. השתמשו בחומת אש לאפליקציות אינטרנט ובסריקות תוכנה זדונית
חומת אש לאפליקציות אינטרנט מנתחת את התנועה לאתר שלכם ומונעת בקשות חשודות. ניסי הזרקת SQL, ניסי העלאת קבצים זדוניים, תנועת בוטים וחלק מהתקפות בכוח גס ניתן לסנן בשכבה זו. WAF משמש כחומת ההגנה הראשונה באבטחת WordPress.
סריקות תוכנה זדונית בודקות שינויים בקבצים, קטעי קוד חשודים וחתימות של תוכנות זדוניות ידועות. סריקה אוטומטית יומית היא הרבה יותר אפקטיבית מאשר סריקה ידנית שבועית. במיוחד קיום קבצים ניתנים להרצה בתיקיית wp-content/uploads הוא סימן סיכון. בדרך כלל, לא אמור להיות קובץ PHP בתיקיית העלאת תמונות.
כאשר בוחרים תוסף אבטחה, יש להקפיד לא רק שיהיה רב תכליתי, אלא גם לא להאט את האתר ולהתעדכן באופן קבוע. פתרון העובד יחד עם אמצעי אבטחה בצד השרת נותן תוצאה מאוזנת יותר. אבטחת אירוח
7. בדקו את הרשאות הקבצים, wp-config.php וגישה לתיקיות
הרשאות קבצים שגויות עלולות להקל על תוקפים לשנות קבצים או להוסיף קבצים חדשים. בפרקטיקה הכללית, ההרשאות המקובלות עבור תיקיות הן 755 ועבור קבצים 644. קבצים רגישים כמו wp-config.php צריכים להיות מוגנים בצורה קפדנית יותר. קובץ זה מכיל מידע קריטי כמו שם משתמש למסד הנתונים, סיסמה ומפתחות אבטחה.
סגירת אפשרות עריכת קבצים בלוח הבקרה של WordPress היא גם צעד אבטחה טוב. כך, גם אם חשבון מנהל ייפרץ, התוקף לא יוכל להוסיף קוד זדוני ישירות ממערכת עריכת התבניות. כמו כן, יש לסגור את רשימת התיקיות; מבקרים לא צריכים לראות את תוכן התיקיות.
נקודות שצריך לבדוק
- קובץ wp-config.php לא צריך להיות נגיש לכל.
- יש לבדוק אם יש קבצים ניתנים להרצה בתיקיית uploads.
- גיבויים ישנים, קבצי zip ו-sql לא צריכים להישאר בתיקיית השורש של האתר.
- יש לשנות את הקידומת של טבלאות מסד הנתונים בשלב ההתקנה.
- מצב debug צריך להיות סגור באתר החי.
בעיקר לאחר הגירה, השארת גיבויים ישנים בתוך public_html היא טעות נפוצה. תוקפים יכולים לסרוק אוטומטית שמות קבצים כמו backup.zip, old.sql או site-backup.tar.
8. בחירת אירוח מאובטח היא בסיס אבטחת WordPress
אבטחת WordPress לא נפתרת רק בשכבת היישום. עדכוני שרת, גרסת PHP, בידוד, הגנה מפני תוכנות זדוניות, תשתית גיבוי, הגנה מפני DDoS ואיכות התמיכה נופלים תחת אחריות ספק האירוח. אפילו התוסף האבטחה הטוב ביותר לא יספק הגנה מספקת על שרת לא מאורגן כראוי.
שימוש בגרסת PHP עדכנית הוא חשוב הן מבחינת ביצועים והן מבחינת אבטחה. גרסאות PHP ישנות עשויות לא לקבל עדכוני אבטחה. בנוסף, כל חשבון אירוח צריך לפעול בצורה מבודדת; אם אתר אחר על אותו השרת נפרץ, זה לא אמור להשפיע על האתר שלכם.
בעת בחירת אירוח, שאלו את השאלות הבאות: האם יש גיבוי אוטומטי? האם קל להתקין SSL? האם יש חומת אש בצד השרת? האם צוות התמיכה נותן הכוונה במקרה של תוכנה זדונית? האם גרסאות PHP מעודכנות? האם אפשר לשדרג את המשאבים במקרה של עלייה בתנועה? על מנת לבחון תשתית חזקה בנושאים אלה, ניתן לבדוק את חבילות האירוח של Hostragons. אם אתם מתחילים פרויקט חדש, תוכלו גם להשתמש בעמוד בדיקת דומיינים ורישום כדי לשמור על ניהול הדומיין שלכם בצורה מאובטחת.
9. אבטחת לוח הבקרה, XML-RPC וכתובת ה-URL של הכניסה
לוח הבקרה של WordPress הוא אחד האזורים שהתוקפים מנסים לפרוץ אליהם הכי הרבה. הגבלת ניסי הכניסה ושימוש באימות דו-שלבי הם צעדים בסיסיים. בנוסף, אם לא נדרשת האפשרות XML-RPC בכמה אתרים, ניתן לכבות אותה. XML-RPC עשויה להיות מנוצלת בעבר עבור התקפות pingback וניסי כוח גס.
שינוי כתובת ה-URL של הכניסה לא מהווה שיטה אבטחה חזקה בפני עצמה, אך הוא יכול להפחית את תנועת הבוטים. יש לחשוב על כך כצעד תומך ולא כצעד הסוואה. האבטחה האמיתית מגיעה מסיסמה חזקה, אימות דו-שלבי, הגבלת ניסי כניסה וחומת אש לאפליקציות אינטרנט.
מתן גישה ללוח הבקרה רק מכתובות IP מסוימות עשוי להיות מועיל באתרים עסקיים. עם זאת, יש לתכנן בזהירות צוותים העובדים עם IP דינמיים; אחרת, משתמשים מורשים עשויים לא להיות מסוגלים לגשת ללוח הבקרה. לכן, לפני כל הגבלה, יש להכין תוכנית גיבוי.
10. הפכו את תהליכי הניהול והמשתמשים לבטוחים
בבלוגים עם מספר כותבים, אתרים מנוהלים על ידי סוכנויות וצוותי מסחר אלקטרוני, ניהול תפקידי משתמשים הוא קריטי. לכל משתמש יש להקצות רק את ההרשאות הנדרשות עבור תפקידם. עיקרון זה ידוע כעיקרון המינימום של הרשאות.
לדוגמה, מומחה SEO שצריך לערוך תוכן אינו זקוק לתפקיד מנהל. אם צוות החשבונאות צריך לראות הזמנות, אין צורך בהרשאות התקנה עבור תבניות ותוספים. יש לסגור חשבונות של עובדים שהוקצו להם תפקידים מיד, ולא להשתמש בחשבון מנהל משותף. חשבונות משותפים מקשים לדעת מי ביצע פעולה.
כמו כן, יש להטיל מגבלות על סוגי הקבצים של משתמשים שיש להם הרשאות להעלות מדיה. סוגי קבצים מסוימים כמו SVG עשויים להכיל קוד זדוני אם הם לא מוגדרים נכון. ביצוע בדיקות אבטחה בתהליך התוכן מפחית גם אי-סדרים אנושיים כמו התקפות טכניות.
11. איך תדעו שהאתר שלכם נקי?
לא תמיד קל להבין ש-WordPress נפרץ. לפעמים הדף הראשי נראה כרגיל, בעוד שמנועי החיפוש מציגים תוכן שונה. לפעמים רק משתמשי מובייל מועברים לדפי הימורים או קמפיינים מזויפים. לכן, בדיקות סדירות הן הכרחיות.
סימנים חשודים
- הופעת כותרות לא רלוונטיות בתוצאות החיפוש של Google.
- יצירת חשבונות משתמש לא מוכרים בלוח הבקרה.
- קבצים לא רגילים ב-PHP או תיקיות עם שמות אקראיים בשרת.
- הפניות בלתי צפויות בעת פתיחת האתר.
- עלייה פתאומית בשימוש במשאבי האירוח.
- ירידת המוניטין של שליחת דוא"ל או תלונות על ספאם.
אם אחד מהסימנים הללו מופיע, אל תמהרו למחוק את האתר. קחו גיבוי של המצב הנוכחי, בדקו את יומני הגישה, שנו את כל הסיסמאות, עדכנו את התוכנה ונקו קבצים זדוניים. לאחר הניקוי, יש לבדוק את בעיות האבטחה באמצעות Google Search Console ולבקש הערכה מחדש במידת הצורך.
12. רשימת בדיקה חודשית לאבטחת WordPress
אבטחה היא לא תהליך חד פעמי, אלא תהליך תחזוקה קבוע. יישום הרשימה הבאה אחת לחודש יכול לעזור לכם לתפוס סיכונים רבים לפני שהם מתפתחים.
- האם גרעין WordPress, תבניות ותוספים מעודכנים?
- האם תוספים, תבניות וחשבונות משתמש שלא בשימוש נמחקו?
- האם הגיבויים מתבצעים במועד והאם בוצע בדיקת שחזור?
- האם תעודת ה-SSL בתוקף והאם ההפניות ל-HTTPS פועלות חלק?
- האם יש עלייה בלתי רגילה בניסי כניסה כושלים?
- האם סריקות האבטחה דיווחו על קבצים חשודים?
- האם הרשאות הקבצים ואבטחת wp-config נכונות?
- האם דוחות האבטחה והעיבוד הידני ב-Search Console נקיים?
ניתן לחלק את הרשימה הזו בין חברי הצוות. לדוגמה, טכנאי יוכל להיות אחראי על העדכונים, מנהל התוכן על חשבונות המשתמשים, ובעל העסק על גיבויים וחוזי האירוח. חלוקת אחריות ברורה מונעת שכחה של אבטחה.
שגיאות שיש להימנע מהן באבטחת WordPress
חלק מהשגיאות עשויות להיראות קטנות, אך הן עלולות להוביל לבעיות אבטחה גדולות. הטעות הנפוצה ביותר היא לחשוב שאבטחה נפתרת רק על ידי התקנת תוסף אחד. תוסף אבטחה יכול להיות מועיל, אבל הוא לא מספיק לבד ללא עדכונים, גיבויים, אירוח, סיסמאות וניהול משתמשים.
- שימוש בתבנית או תוסף ללא רישוי.
- שימוש באותה סיסמה בכמה חשבונות.
- אי בדיקת גיבויים.
- שארית מצב debug באתר החי.
- המשך עבודה בגרסת PHP ישנה.
- מתן הרשאות מנהל לכל חבר צוות.
- השארת גיבויים ישנים בתיקיית public.
הימנעות מהטעויות הללו יכולה להפחית בצורה משמעותית את הסיכוי להצלחות של התקפות אוטומטיות. המטרה באבטחה אינה להבטיח שלא יהיו התקפות, אלא להפחית סיכון ולהגיב בצורה מבוקרת במקרה של אירוע.
שאלות נפוצות
האם ניתן להפוך אתר WordPress לבלתי ניתן לפריצה?
לא ניתן להבטיח של אתר אינטרנט כלשהו יהיה בלתי ניתן לפריצה ב-100%. אך באמצעות עדכונים, סיסמאות חזקות, 2FA, WAF, SSL, גיבויים רגילים ואירוח מאובטח, הסיכון מצטמצם משמעותית. החשוב הוא להקים הגנה רב-שכבתית ולבצע בדיקות סדירות.
האם שימוש בתוסף אבטחה מספיק?
לא. תוסף אבטחה הוא כלי מועיל, אך הוא לא מספיק בפני עצמו. יש ליישם בנוסף תוכנה מעודכנת, אירוח מאובטח, הרשאות קבצים נכונות, סיסמאות חזקות, גיבויים וניהול תפקידי משתמשים.
באיזו תדירות יש לבצע גיבויים של WordPress?
באינטרנט עם תוכן משתנה תדיר, מומלץ לגבות באופן יומי. באתרי הזמנות כמו WooCommerce ייתכן שתצטרכו לגבות בתדירות גבוהה יותר. עבור אתרים תאגידיים פחות מעודכנים, גיבוי שבועי עשוי להיות מספק. החשוב ביותר הוא לגבות את הגיבויים באופן קבוע ולבצע בדיקות שחזור.
מדוע תעודת SSL חשובה לאבטחת WordPress?
SSL מצפין את הנתונים בין המבקר לשרת. נתוני כניסה, טפסים ונתוני תשלום בסיכון ללא HTTPS. כמו כן, הוא מונע אזהרות אבטחה בדפדפן ותומך באמון המשתמשים באתר.
מה עלי לעשות אם אתר WordPress שלי נפרץ?
קודם כל, קחו גיבוי של המצב הנוכחי, ואז שנו את כל הסיסמאות והכניסו את האתר למצב תחזוקה. בצעו סריקות לקבצים זדוניים, השלימו את העדכונים, מחקו משתמשים לא מוכרים וחשבו על אפשרות לשחזור מגיבוי נקי. לאחר הניקוי, יש לבדוק את דוחות האבטחה ב-Search Console.
סיכום: צעדים קטנים לאבטחת WordPress יכולים ליצור הבדל גדול
אמצעי אבטחת WordPress אינם פעולה חד פעמית, אלא הרגל תחזוקה רגילה. מעקב אחר עדכונים, הקמת אבטחת כניסה חזקה, בדיקת גיבויים, שימוש ב-SSL, בחירת תוספים מהימנים ובחירת תשתית אירוח אמינה יכולים להגדיל משמעותית את עמידות האתר שלכם. אפילו אם תשפרו רק את הסיסמאות ואת תוכנית הגיבוי שלכם היום, זה יכול להפחית את הסיכון שלכם.
אם אתם רוצים לארח את אתר WordPress שלכם בתשתית בטוחה, מהירה וברת קיימא, אתם מוזמנים לבדוק את הפתרונות של Hostragons; עם אפשרויות אירוח, דומיינים ו-SSL המתאימים לפרויקט שלכם תוכלו לחזק את בסיס האבטחה שלכם. אירוח WordPress של Hostragons תעודת SSL רישום דומיינים
