גיליתם שהאתר פרוץ: הפניות מוזרות, אזהרת אבטחה בגוגל, דפים שלא אתם יצרתם, או הודעה מחברת האחסון. השעות הראשונות חשובות, אבל הבהלה היא האויב. כאן תמצאו רצף פעולות מסודר שמגביל את הנזק, מאתר את מקור הפריצה ומנקה אותה, וגם הסבר ברור על הנקודה שבה כדאי להפסיק לנסות לבד ולמסור את הטיפול למי שעושה את זה כל יום.

שורה אחת להרגעה: כמעט כל אתר וורדפרס שנפרץ ניתן לשחזור. גם אם כרגע הוא מציג דפי ספאם או מסך לבן, הנתונים בדרך כלל קיימים. המטרה עכשיו היא לעצור את ההתפשטות לפני שמתקנים.

צעד 1: אל תמחקו כלום עדיין, תעדו

הדחף הראשון הוא למחוק את מה שנראה זדוני. אל תעשו את זה בשנייה הראשונה. לפני כל פעולה, צלמו מסך של מה שאתם רואים: ההפניה, הדף הזר, הודעת השגיאה, המייל מחברת האחסון. התיעוד הזה עוזר לאבחן את סוג הפריצה ולוודא אחר כך שהיא נוקתה במלואה.

אם מחקתם קובץ חשוד אחד אבל השארתם את הדלת האחורית (backdoor) שדרכה נכנסו, התוקף יחזור תוך שעות. לכן הסדר חשוב: קודם בולמים, אחר כך מאבחנים, ורק בסוף מנקים.

צעד 2: הורידו את האתר זמנית או הפעילו מצב תחזוקה

אם האתר מפיץ malware, מפנה מבקרים לאתר אחר או חושף נתוני לקוחות, עדיף שלא יהיה זמין לציבור בזמן הטיפול. שתי דרכים:

  1. מצב תחזוקה / דף "בבנייה" ברמת השרת, שמונע מהמבקרים לראות תוכן פרוץ.
  2. השבתה זמנית דרך לוח הבקרה של האחסון, אם הפריצה חמורה.

זה גם מגן על המוניטין שלכם בגוגל. ככל שהאתר הפרוץ זמין יותר זמן, כך גדל הסיכוי שגוגל יסמן אותו באזהרת This site may be hacked והסרת האזהרה שלוקח זמן להסיר אחר כך.

צעד 3: החליפו את כל הסיסמאות

הניחו שכל סיסמה שקשורה לאתר דלפה. החליפו, לפי סדר:

  • משתמשי המנהל (admin) בוורדפרס. בדקו אם נוסף משתמש מנהל שאתם לא מכירים, ומחקו אותו.
  • סיסמת ה-FTP / SFTP.
  • סיסמת מסד הנתונים (ועדכון בקובץ wp-config.php בהתאם).
  • הגישה ללוח הבקרה של האחסון.

אם אתם לא בטוחים מי נכנס, החלפת הסיסמאות חוסמת גישה חוזרת בזמן שאתם מנקים. זה לא תחליף לניקוי, אבל זה עוצר את הדימום.

צעד 4: גבו את המצב הנוכחי (כן, גם פרוץ)

לפני שנוגעים בקבצים, צרו עותק מלא של האתר במצבו הנוכחי: קבצים + מסד נתונים. עותק של אתר פרוץ עדיין שווה זהב: אם משהו ישתבש בניקוי, יש לאן לחזור. שמרו אותו מחוץ לשרת.

אם יש לכם גיבוי אוטומטי תקין מלפני הפריצה, זו הנקודה שבה הוא הופך לקלף המנצח: שחזור מנקודה נקייה הוא לרוב הדרך המהירה והבטוחה ביותר. השאלה היחידה היא לדעת מתי בדיוק הפריצה התרחשה, כדי לא לשחזר גיבוי שכבר נגוע.

צעד 5: אתרו את מקור הפריצה

זה השלב המקצועי, וגם זה שבו רוב הניסיונות העצמאיים נכשלים. פריצה היא לא רק התסמין, אלא הדרך שבה נכנסו. נקודות חשד נפוצות:

  • תוסף או תבנית עם חולשת אבטחה ידועה, בעיקר כאלה שלא עודכנו זמן רב או מגרסאות nulled (פיראטיות).
  • קבצים שהשתנו לאחרונה בתיקיות הליבה של וורדפרס, שאמורות להישאר קבועות.
  • קוד זדוני מוזרק בקבצי PHP, לרוב מוסווה (base64, eval) בראש הקובץ.
  • משימות cron או משתמשים חבויים שנוצרו על ידי התוקף לשם חזרה.

כלי סריקה כמו Wordfence או Sucuri עוזרים לאתר קבצים שהשתנו, אך הם לא תמיד מזהים backdoor מתוחכם. אם אתם לא יודעים לקרוא קוד PHP ולהבחין בין קובץ ליבה תקין לקובץ נגוע, זו נקודה טובה לעצור ולשקול עזרה. הרחבנו על הסיבות ועל ההגנה במדריך למה אתרי וורדפרס נפרצים.

צעד 6: נקו, אל תסתפקו בתסמין

ניקוי אמיתי משלב כמה פעולות:

  1. החלפת קבצי הליבה של וורדפרס בקבצים מקוריים ונקיים מאותה גרסה.
  2. בדיקה והחלפה של תוספים ותבניות נגועים בגרסאות מקוריות, או מחיקה של מה שלא בשימוש.
  3. ניקוי הזרקות מתוך מסד הנתונים (דפים, משתמשים וסקריפטים שהוזרקו).
  4. חיפוש וסילוק כל ה-backdoors, גם אלה שמחוץ לתיקיות הצפויות.
  5. סריקה חוזרת לאימות שהאתר נקי לחלוטין.

אם דילגתם על אחד מהשלבים, הפריצה נוטה לחזור. במיוחד כשמדובר בהזרקת אלפי דפי ספאם יפניים או בקוד שמייצר הפניות, ניקוי חלקי פשוט יחזור לפעולה תוך ימים.

צעד 7: שחזרו אמון מול גוגל וחברת האחסון

אחרי הניקוי, הפריצה לא בהכרח נגמרה מבחינת העולם החיצון:

  • אם גוגל סימן את האתר, צריך להגיש בקשה לבדיקה מחדש דרך Google Search Console.
  • אם חברת האחסון השביתה את החשבון, צריך להוכיח שהאתר נקי כדי לקבל אותו חזרה. כתבנו על כך בנפרד בחברת האחסון השביתה את האתר בגלל וירוס.
  • ולבסוף, סגרו את הפרצה שדרכה נכנסו, אחרת כל המאמץ לשווא.

מתי לעצור ולקרוא למומחה

ניסיון עצמאי הגיוני כשהפריצה קלה ואתם נוחים עם הקוד. כדאי למסור לאיש מקצוע כש:

  • מדובר באתר עסקי פעיל, חנות, או אתר עם נתוני לקוחות, שכל שעת השבתה עולה כסף.
  • ניקיתם והפריצה חזרה (סימן כמעט ודאי ל-backdoor שפספסתם).
  • אין לכם גיבוי נקי, וצריך לחלץ את האתר "חי".
  • חברת האחסון לוחצת בזמן, או גוגל כבר סימן את האתר.

מומחה שמטפל בפריצות וורדפרס יום-יום מזהה את ה-backdoor שאתם תפספסו, ומשחזר בלי לשבור פונקציונליות. אם אתם מתלבטים בין שחזור לבנייה מחדש, יש לנו מדריך נפרד על אתר שבור - לשקם או לבנות מחדש.

ב-OCW אנחנו מחלצים אתרי וורדפרס פרוצים: בולמים, מאתרים את מקור הפריצה, מנקים לעומק ומחזירים לאוויר. אפשר למסור לנו את החילוץ דרך עמוד יצירת הקשר, ולקבל אבחון של מצב האתר לפני שמחליטים על המשך.

למנוע את הפעם הבאה: אחריות 360

אתר שנפרץ פעם אחת ינסו לפרוץ שוב, כי הוא כבר מסומן כמטרה. החבילה אחריות 360 של OCW בנויה בדיוק לזה, סביב ארבעה עמודים: אבטחה (עדכונים שוטפים, ניטור ו-firewall), נגישות, פרטיות, ותחזוקה טכנית שוטפת כולל גיבויים אוטומטיים. במקום לכבות שריפות, האתר נשמר נקי ומגובה לאורך זמן. לפרטים ולבדיקת מצב האתר, דברו איתנו דרך עמוד יצירת הקשר.

שאלות נפוצות

האתר שלי פרוץ, האם אאבד את כל התוכן? ברוב המקרים לא. גם באתר פרוץ הנתונים בדרך כלל קיימים במסד הנתונים ובקבצים. המטרה בחילוץ היא לנקות את הזדוני ולשמר את התוכן והעיצוב.

ניקיתי את האתר אבל הפריצה חזרה, למה? כמעט תמיד הסיבה היא דלת אחורית (backdoor) שנשארה, או הפרצה המקורית שלא נסגרה. ניקוי תסמין בלי סילוק מלא של נקודות הכניסה מחזיר את הבעיה תוך ימים.

כמה זמן לוקח לחלץ אתר פרוץ? תלוי בהיקף הפריצה ובקיומו של גיבוי נקי. פריצה פשוטה עם גיבוי תקין יכולה להיפתר תוך שעות, ומקרים מורכבים לוקחים יותר. למה שמשפיע על העלות ראו כמה עולה לתקן אתר שנפרץ.

האם תוסף אבטחה מספיק כדי למנוע פריצה? תוסף אבטחה הוא שכבה חשובה אך לא ערובה. הוא חייב לבוא יחד עם עדכונים שוטפים, גיבוי אוטומטי וסיסמאות חזקות. ניטור וטיפול שוטף הם שמונעים את הפריצה הבאה, לא ה-widget לבדו.