אבטחה 29 באפר׳ 2026 1 דקות קריאה

כיצד לבדוק את אבטחת האתר שלך בעצמך — בלי לשכור מומחה

לא צריך יועץ אבטחה כדי לדעת היכן עומד האתר שלך. ביקורת עצמית מעשית זו מובילה אותך דרך הבדיקות המרכזיות שכל בעל אתר צריך לבצע כדי לחשוף פרצות אמיתיות לפני שתוקפים יעשו זאת.

רוב בעלי האתרים מניחים שהאתר שלהם מאובטח — עד שמסתבר שלא. פריצה, הזרקת תוכנה זדונית, או חסימה פתאומית על ידי Google משנים את התפיסה הזו במהירות. הבשורה הטובה היא שלא צריך יועץ אבטחה כדי לדעת היכן עומדות ההגנות שלך. ביקורת עצמית מסודרת לוקחת כמה שעות ויכולה לחשוף פרצות אמיתיות לפני שתוקפים ימצאו אותן.

זה לא עניין של פרנויה. זה עניין של לדעת מה יש לך ומה חסר. בואו נעבור על זה בצורה שיטתית.

מתחילים מהבסיס: HTTPS ו-SSL

פתח את האתר בדפדפן ובדוק את שורת הכתובת. האם יש סמל מנעול? האם הכתובת מתחילה ב-https://? אם לא — זה התיקון הראשון והדחוף ביותר שלך.

HTTPS מצפין את המידע בין המבקרים לשרת שלך. בלעדיו, סיסמאות, טפסים ופרטי תשלום עלולים להיחשף בדרך. Google גם מורידה בדירוג אתרים שאינם משתמשים ב-HTTPS, כך שיש לכך השלכות עסקיות ממשיות.

גם אם אתה רואה מנעול, לחץ עליו ובדוק מתי התעודה פגה. תעודות SSL שפג תוקפן שוברות את המנעול ומציגות למבקרים דף אזהרה מפחיד. רוב סביבות האירוח המנוהלות מטפלות בחידוש התעודה באופן אוטומטי — אך אם שלך לא, הגדר תזכורת ביומן לפחות 30 יום לפני תפוגת התוקף. לפרטים נוספים על אופן פעולת תעודות SSL, ראה את סקירת ה-SSL שלנו.

בדוק את אבטחת הכניסה

פרטי כניסה חלשים הם עדיין אחת מנקודות הכניסה הנפוצות ביותר לתוקפים. ענה על השאלות הבאות בכנות:

  • האם אתה משתמש בסיסמה ייחודית שאינה בשימוש בשום מקום אחר?
  • האם הסיסמה שלך מכילה לפחות 16 תווים, או שנוצרה על ידי מנהל סיסמאות?
  • האם הפעלת אימות דו-שלבי (2FA) ב-CMS, בלוח הניהול של האירוח ואצל רשם הדומיין?
  • האם יש חשבונות מנהל ישנים שכבר שכחת — כניסות של מפתחים ישנים, חשבונות סוכנות קודמת?

הנקודה האחרונה מפתיעה הרבה אנשים. היכנס לרשימת המשתמשים ב-CMS שלך ומחק כל חשבון שאינך מזהה או שאינך צריך עוד. כל חשבון נוסף הוא דלת נוספת לתוך האתר שלך.

בדוק גרסאות תוכנה ותוספים

תוכנה ישנה היא הגורם הנפוץ ביותר לפריצות אתרים. זה נכון במיוחד לאתרי WordPress, שבהם פרצות אבטחה ידועות בגרסאות ישנות של תוספים מנוצלות באופן פעיל תוך ימים מרגע חשיפתן.

ודא שה-CMS, הערכות והתוספים שלך פועלים בגרסאות העדכניות ביותר. אם אתה רואה פריטים שלא עודכנו מזה חודשים — או גרוע מכך, תוספים שאינם מתוחזקים עוד — התייחס אליהם כאל סיכוני אבטחה. מצא חלופה מתוחזקת או הסר אותם לחלוטין.

אל תסתכל רק על תוספים פעילים. תוספים שבוטלו אך עדיין מותקנים עלולים עדיין להכיל קוד שניתן לנצלו. אם אינך משתמש בו — מחק אותו.

הרץ סריקת תוכנות זדוניות

ייתכן שכבר יש תוכנה זדונית באתר שלך מבלי שידעת. חלק מהזיהומים מתוכננים להיות בלתי נראים לבעל האתר — הם מפנים מבקרים ממובייל לדפי ספאם, מזריקים קישורים נסתרים לתוכן שלך, או אוספים בשקט נתוני מבקרים.

כמה כלים חינמיים יכולים לעזור לך לבדוק:

  • Sucuri SiteCheck — סורק את הדפים הגלויים שלך לאיתור חתימות תוכנה זדונית ומצב חסימה.
  • Google Safe Browsing — בקר ב-transparencyreport.google.com/safe-browsing/search והזן את הדומיין שלך.
  • VirusTotal — הרץ את ה-URL שלך דרך עשרות מנועי אבטחה בבת אחת.

כלים אלה סורקים רק את מה שגלוי לציבור. אם ברצונך לסרוק את קבצי השרת עצמם, תזדקק לגישה ברמת השרת או לכלי שספק האירוח שלך תומך בו. כתבנו עוד על הגנה על האתר מפני איומים מודרניים אם רוצה להעמיק בנושא.

בדוק מה עומד מול האתר שלך

אבטחת אתרים טובה לא מגיעה רק מהאפליקציה עצמה — היא מגיעה גם ממה שעומד מולה. שאל את עצמך:

  • האם סביבת האירוח שלך כוללת חומת אש שמסננת תעבורה זדונית ברמת השרת?
  • האם יש WAF שבודק בקשות לפני שהן מגיעות לקוד האפליקציה שלך?
  • האם יש הגנה כלשהי מפני התקפות שיכולות להפיל את האתר שלך?

אם אינך בטוח, שאל את ספק האירוח ישירות. WAF, למשל, חוסם דפוסי תקיפה נפוצים כמו SQL injection וסקריפטים חוצי-אתרים לפני שהם מגיעים לבסיס הנתונים שלך. אם ספק האירוח שלך לא כולל כזה, תוכל להוסיף שירות צד שלישי כמו רמת ה-WAF של Cloudflare. להבנה מעמיקה יותר של כלים אלה, המדריך שלנו לחומות אש לאפליקציות ווב הוא נקודת התחלה טובה.

בדוק את מצב הגיבויים שלך

גיבויים אינם אמצעי אבטחה במובן המסורתי, אך הם תוכנית ההתאוששות שלך כשכל השאר נכשל. ביקורת אינה שלמה בלי לענות על השאלות הבאות:

  • האם הגיבויים פועלים באופן אוטומטי, ובאיזו תדירות?
  • היכן הם מאוחסנים — באותו שרת כמו האתר שלך, או במקום נפרד?
  • מתי לאחרונה בדקת בפועל שהשחזור עובד?

גיבויים המאוחסנים באותו שרת כמו האתר שלך אינם שימושיים אם השרת נפרץ. אתה רוצה עותקים במיקום נפרד. אנו מריצים גיבויים יומיים לתשתית נפרדת כך שגם בתרחיש הגרוע ביותר תישאר לך נקודת שחזור נקייה תוך 24 שעות — אך בכל הגדרה שיש לך, ודא שהגיבויים קיימים ושתוכל אכן להשתמש בהם. לפרטים נוספים, ראה את סקירת הגיבוי וההתאוששות שלנו.

בדוק כותרות HTTP של אבטחה

כותרות אבטחה הן הוראות שהשרת שלך שולח לדפדפנים, ומנחה אותם כיצד לטפל בתוכן שלך. קל לבדוק אותן והן לעיתים קרובות מוגדרות בצורה שגויה.

בקר ב-securityheaders.com והזן את הדומיין שלך. תקבל ציון ופירוט של אילו כותרות קיימות ואילו חסרות. כותרות מרכזיות לחפש:

  • Content-Security-Policy (CSP) — מגביל מהיכן ניתן לטעון סקריפטים ומשאבים, ומפחית סיכון XSS.
  • X-Frame-Options — מונע הטמעת האתר שלך ב-iframes בדומיינים אחרים (הגנה מפני clickjacking).
  • Strict-Transport-Security (HSTS) — מאלץ דפדפנים להשתמש תמיד ב-HTTPS עבור הדומיין שלך.
  • X-Content-Type-Options — מונע מדפדפנים לנחש סוגי קבצים, דבר שניתן לנצלו.

הוספת או תיקון כותרות אלה בדרך כלל דורשת שינוי קטן בהגדרות השרת שלך או בקובץ .htaccess. ספק האירוח שלך אמור לעזור, או שיש תוספים לפלטפורמות CMS נפוצות שמטפלים בכך באופן אוטומטי.

בדוק הרשאות משתמשים

חשוב על כל מי שיש לו גישה לאתר או לשרת שלך: מפתחים, קבלנים, חברי צוות, עובדים לשעבר. האם הם עדיין צריכים את הגישה הזו? האם יש להם גישה רחבה יותר ממה שתפקידם מצריך?

עיקרון ההרשאה המינימלית פשוט: תן לאנשים את הגישה המינימלית שהם צריכים כדי לעשות את עבודתם, ולא יותר. עורך לא צריך הרשאות מנהל. קבלן שסיים פרויקט לפני שישה חודשים לא צריך גישה כלל.

עבור על משתמשי ה-CMS שלך, משתמשי לוח הניהול, חשבונות FTP ומפתחות SSH. הסר כל דבר שאינו פעיל עוד. זהו אחד ההיבטים המוזנחים ביותר של אבטחת אתרים, ואינו עולה כלום לתיקון.

מה לעשות עם הממצאים שלך

לאחר שתעבור על הביקורת הזו, סביר שתהיה לך רשימה קצרה של בעיות. סדר אותן לפי סיכון:

  1. קריטי — תקן מיד: HTTPS חסר, תוכנה זדונית פעילה, אין גיבויים, חשבונות מנהל לא מוכרים.
  2. גבוה — תקן תוך שבוע: תוכנה ישנה, סיסמאות חלשות, אין 2FA.
  3. בינוני — תקן תוך חודש: כותרות אבטחה חסרות, חשבונות משתמש לא פעילים, אין WAF.

לא צריך לפתור הכל בבת אחת. מטרת הביקורת היא לראות בבירור, ואז לעבור על הרשימה. רוב התיקונים הללו לוקחים דקות. אלה שלא — כדאי לדעת עליהם מוקדם, לפני שתוקף ימצא אותם ראשון.

ביקורות אבטחה כאלה שוות לחזור עליהן כל כמה חודשים. האתר שלך משתנה, התוספים שלך משתנים, הצוות שלך משתנה. מה שהיה מאובטח לפני שישה חודשים אולי כבר אינו כזה. עסקנו בדיוק ברעיון הזה בפוסט שלנו על למה אבטחת אתרים היא תהליך מתמשך ולא הגדרה חד-פעמית — כדאי לקרוא אותו לאחר שתסיים את הביקורת הראשונה הזו.

המומחים של Proginter
המומחים של Proginter מומחים בניהול שרתים, אבטחת אתרים וביצועים. אנחנו מנהלים שרתים כדי שאתם לא תצטרכו.

מאמרים קשורים

למה אבטחת אתרים בשכבות מנצחת כל כלי בודד בכל פעם
אבטחה

למה אבטחת אתרים בשכבות מנצחת כל כלי בודד בכל פעם

אף כלי אבטחה בודד לא יכול להגן על האתר שלכם לבדו. הנה למה אבטחת אתרים בשכבות — על פני רשת, אפליקציה, גישה ושחזור — היא הגישה היחידה שעומדת במבחן המציא...

22 באפר׳ 2026
רשימת בדיקה לאבטחת אתרים לעסקים שלא יכולים להרשות לעצמם השבתה
אבטחה

רשימת בדיקה לאבטחת אתרים לעסקים שלא יכולים להרשות לעצמם השבתה

רשימת בדיקה מעשית ומסודרת לפי עדיפויות לאבטחת אתרים לעסקים שהשבתה היא לא אופציה — כוללת SSL, WAF, הגנת DDoS, גיבויים, בקרת גישה ועוד.

15 באפר׳ 2026
איך תוקפים סורקים את האתר שלך לפני המתקפה, ומה אבטחת אתרים טובה עושה עם זה
אבטחה

איך תוקפים סורקים את האתר שלך לפני המתקפה, ומה אבטחת אתרים טובה עושה עם זה

רוב המתקפות מתחילות בסיור שקט — סריקת פורטים, גילוי נתיבים וזיהוי תוכנות — הרבה לפני שנגרם נזק ממשי. כך תוקפים בוחנים את האתר שלכם, ומה אבטחת אתרים אפ...

8 באפר׳ 2026