אתרי וורדפרס רבים נפרצו והפנו משתמשים לאתרי הונאה

וורדפרס היא (עדיין) מערכת ניהול התוכן המובילה באינטרנט, וכ-40% מהאתרים מבוססים עליה - בין אם מדובר באתרים קטנים, אתרי מכירות או פורטלי תוכן גדולים. העובדה שהיא כה נפוצה, מובילה לכך שהיא מהווה מטרה פופולרית למתקפות סייבר ופריצות. ההאקרים מנצלים את העובדה שבעלי האתרים לא מקפידים על אבטחת אתרי וורדפרס בסיסית ולא בוחרים באחסון אתרים מאובטח ואיכותי. בימים האחרונים, נפרצו אתרי וורדפרס רבים בעולם. הפריצה המדוברת עשתה שימוש בהזרקת קוד ג'אווה סקריפט לאתרים, שהפנה את הגולשים לאתרי הונאה (scam) או אתרים המפיצים קוד זדוני, במטרה לייצר טראפיק מלאכותי וקידום אתרים מזויף. לקבצים כמו jquery.min.js  וגם jquery-migrate.min.js הוזרק קוד מוצפן שמופעל בכל טעינה של עמוד באתר, מה שאיפשר לתוקפים ליצור הפניות לאתרים הזדוניים. בחלק מהמקרים, הגולשים הופנו לדף נחיתה עם CAPTCHA, שהקלקה עליו הובילה להקפצת מודעות במחשב, שנראות כאילו הן מגיעות ממערכת ההפעלה - ולא מהדפדפן. התוקפים ניצלו חולשות בתוספים ותבניות לא מעודכנים של אתרי וורדפרס, והצליחו להדביק אלפי אתרים. על מנת לחזק את האבטחה של אתר הוורדפרס שלכם, הקפידו לעדכן את המערכת בכל פעם שיש עדכון, וגם לעדכן את התוספים והתבניות. אם יש לכם תוספים ישנים שלא עודכנו למעלה משנה, מומלץ להסיר אותם ולבחור תוסף חלופי (או לוותר על התוסף לגמרי). בנוסף, חשוב מאוד לבחור אחסון אתרים ששם דגש על אחסון, מכיוון שזה קו ההגנה הראשון שלכם. אחסון אתרים מאובטח מנטר את האתרים שיושבים על השרתים שלו באמצעות כלים מתקדמים שלא זמינים לבעלי אתרים רגילים, מונע מתקפות, מבצע גיבויים ומנקה וירוסים עוד לפני שהם מדביקים את אתר הוורדפרס שלכם.

אחרי אירוע כזה מומלץ לבצע סבב בדיקות מלא: החלפת סיסמאות ומפתחות, סריקת קבצים חשודים, בדיקת redirect-ים ב-.htaccess, עדכון תוספים ותבניות, והקשחת הרשאות כדי למנוע הדבקה חוזרת.

איך לזהות שאתר וורדפרס נפרץ

סימנים לפריצה: הפניות אוטומטיות לאתרים חיצוניים (במיוחד מסלולרי), קבצים חדשים בתיקיית wp-content/uploads שלא יצרת, משתמש Admin חדש שלא הקמת, או הודעות מ-Google Search Console על "Deceptive site ahead". בדיקה ראשונה: היכנס לחשבון FTP/SSH ובדוק את תאריכי השינוי של קבצי PHP בליבת וורדפרס — שינוי חריג מצביע על הזרקת קוד.

איך מתאוששים אחרי פריצה

1. שחזרו מגיבוי לפני מועד הפריצה (אם יש לכם גיבוי יומי כמו אצלנו, השחזור הוא מהיר).
2. שנו סיסמאות לכל: cPanel, FTP, מסד נתונים, וכל המשתמשים בוורדפרס.
3. עדכנו וורדפרס + תוספים + תבנית לגרסה החדשה ביותר.
4. הריצו סריקה מלאה ב-Wordfence או Imunify360 לזיהוי קוד שיורי.
5. בדקו לוגים של הוורדפרס + לוגי Apache/Nginx לזיהוי הווקטור.

מניעה: 5 צעדים שמונעים 90% מהפריצות

• הפעלת אימות דו-שלבי (2FA) על כל משתמש Admin.
• הסרת תוספים שלא בשימוש — תוסף לא מתעדכן הוא וקטור פריצה.
• חסימת xmlrpc.php אם אין שימוש ב-API.
• שימוש בחבילת אחסון עם Imunify360 או Wordfence Premium.
• גיבוי יומי אוטומטי עם שחזור פשוט.

אצלנו, חבילת אחסון מנוהל וורדפרס כוללת את כל הצעדים האלה כסטנדרט. כתבנו על כך מאמר נפרד בשירותי תחזוקת שרתים.