אבטחת אתר עסקי — מה חובה שיהיה, ומה קורה כשאין
״למי אכפת מהאתר של מספרה?״ — לבוטים אכפת. רוב הפריצות לאתרים קטנים הן אוטומטיות לגמרי, והנזק אמיתי: אתר מושבת, לקוחות שמקבלים ספאם, ומאז תיקון 13 גם חשיפה משפטית. המדריך הזה מסביר מה חייב להיות בכל אתר עסקי, ואיך בודקים לבד שזה באמת שם.
למה שיפרצו דווקא לאתר שלכם?
זו השאלה הכי נפוצה שאנחנו שומעים, והתשובה מפתיעה: אף אחד לא פורץ ״דווקא אליכם״. בוטים אוטומטיים סורקים את האינטרנט מסביב לשעון ומנסים חולשות מוכרות על כל אתר שהם פוגשים — בלי להבדיל בין בנק לבין אתר של סטודיו ליוגה. אם תסתכלו ביומני השרת של אתר עסקי רגיל בישראל, תמצאו מאות ניסיונות כאלה בשבוע. זה הרעש הרגיל של האינטרנט.
מה תוקף מרוויח מאתר קטן? הרבה: הוא שולח ממנו דואר ספאם (עד שהדומיין שלכם נכנס לרשימות חסימה), שותל בו קישורים נסתרים לאתרי הימורים, מפנה גולשים לאתרי הונאה, או פשוט משתמש בשרת שלכם ככוח מחשוב. המידע שלכם הוא לפעמים רק בונוס. לכן ״אין לי מה להסתיר״ הוא לא אסטרטגיית אבטחה.
ארבעת היסודות שחובה בכל אתר עסקי
1. HTTPS (תעודת SSL). ההצפנה בין הדפדפן לאתר. בלי זה הדפדפן מציג ״לא מאובטח״ ליד הכתובת, גוגל מוריד בדירוג, וטפסים עוברים ברשת גלויים לעין. אין שום תירוץ לוותר על זה — תעודות Let's Encrypt הן חינמיות וכלולות היום כמעט בכל חבילת אחסון. אם מישהו מנסה לגבות מכם מאות שקלים בשנה על ״תעודת אבטחה בסיסית״, שווה לשאול למה.
2. עדכונים שוטפים. רוב הפריצות מנצלות חולשה שכבר פורסמה ותוקנה — פשוט אף אחד לא התקין את התיקון. באתרי וורדפרס זה אומר עדכון של המערכת, התבנית והתוספים; באתרים בקוד מותאם — עדכון של השרת והספריות. חולשה חמורה בתוסף פופולרי מתחילה להיות מנוצלת תוך ימים מהפרסום שלה, ולכן ״נעדכן פעם בשנה״ זה כמו לא לעדכן בכלל.
3. גיבויים — כאלה שנשמרים במקום אחר. גיבוי הוא ההבדל בין תקלה של שעתיים לאסון של שבועות. שלושה תנאים לגיבוי אמיתי: הוא אוטומטי (לא ״כשנזכרים״), הוא נשמר מחוץ לשרת של האתר (גיבוי שיושב על אותו שרת נמחק יחד איתו), ומישהו בדק לפחות פעם אחת שאפשר לשחזר ממנו. גיבוי שאף פעם לא שוחזר הוא תקווה, לא גיבוי.
4. הגנה על טפסים. טופס יצירת קשר בלי הגנה יתחיל לקבל ספאם מבוטים — לפעמים עשרות פניות ביום. מעבר למטרד, זה מטביע לידים אמיתיים ועלול לגרום לשרת הדואר שלכם להיחסם. הפתרונות פשוטים: reCAPTCHA או Turnstile של Cloudflare, שדה מלכודת נסתר (honeypot), והגבלת קצב שליחה. שילוב של שניים מהם עוצר את רוב הספאם בלי להציק לגולשים.
למה דווקא אתרי וורדפרס נפרצים כל כך הרבה?
וורדפרס מריצה בערך 40% מהאתרים בעולם, ולכן היא המטרה המשתלמת ביותר לבוטים: חולשה אחת בתוסף פופולרי פותחת דלת למיליוני אתרים בבת אחת. חשוב לדייק — הבעיה כמעט אף פעם לא בליבה של וורדפרס עצמה, שמתוחזקת היטב. רוב מוחלט של הפריצות עובר דרך תוספים ותבניות: תוסף שהמפתח שלו נטש, תבנית פרוצה שהורדה ״בחינם״, או פשוט תוספים שלא עודכנו שנה.
המשמעות מעשית: אתר וורדפרס עם 30 תוספים הוא לא אתר עם 30 יכולות — הוא אתר עם 30 דלתות שמישהו צריך לוודא שנעולות, כל חודש, לתמיד. זה אחד השיקולים המרכזיים בבחירה בין וורדפרס לאתר בקוד מותאם: באתר מותאם אין תוספי צד־שלישי, ולכן שטח התקיפה קטן דרמטית. זה לא אומר שוורדפרס פסולה — אלפי אתרים מתוחזקים רצים עליה בשקט — אבל היא דורשת תחזוקה קבועה, לא ״להעלות ולשכוח״.
מה פריצה עולה בפועל לעסק קטן
נתחיל בישיר: ניקוי אתר וורדפרס פרוץ ושחזורו עולה בישראל בדרך כלל 1,500–8,000 ₪, תלוי בעומק הנזק ובקיום גיבוי תקין. אם אין גיבוי — לפעמים בונים מחדש. אבל העלות הישירה היא החלק הקטן:
- השבתה. אתר שמושבת שבוע לא מייצר לידים שבוע. לעסק שמקבל דרך האתר 20 פניות בחודש, גם שבוע השבתה אחד מורגש בהכנסות של החודשיים הבאים.
- רשימות חסימה. גוגל מסמן אתרים פרוצים באזהרת ״האתר הזה עלול להזיק למחשב שלך״ — והסרה מהרשימה לוקחת ימים גם אחרי הניקוי. בינתיים הדירוג נפגע.
- מוניטין. לקוח שקיבל מייל ספאם ״מכם״ או ראה אזהרת דפדפן על האתר שלכם לא תמיד חוזר לבדוק אם תיקנתם.
- חשיפה משפטית. אם דלפו פרטי לקוחות, נכנסים לתמונה חוק הגנת הפרטיות ותקנות אבטחת המידע. תיקון 13, שנכנס לתוקף באוגוסט 2025, נתן לרשות להגנת הפרטיות שיניים אמיתיות: סמכויות פיקוח מורחבות ועיצומים כספיים שנקבעים לפי היקף המאגר וחומרת ההפרה — גם לעסקים קטנים. אירועי אבטחה חמורים במאגרים מסוימים מחייבים דיווח לרשות. כלומר, ״לא ידעתי״ כבר לא עובד כהגנה.
רשימת בדיקה — מה אתם יכולים לבדוק לבד, היום
לא צריך להיות מתכנתים בשביל לעבור על הרשימה הזו. חמש דקות, ותדעו איפה אתם עומדים:
| מה בודקים | איך בודקים | מה אמור להיות |
|---|---|---|
| HTTPS | גלשו לאתר וגם לגרסה עם http:// בהתחלה | מנעול בדפדפן, והכתובת עם http מפנה אוטומטית ל־https |
| עדכונים | שאלו את מי שמתחזק: ״מתי עודכנו התוספים לאחרונה?״ | תשובה מיידית עם תאריך מהחודש האחרון |
| גיבויים | שאלו: ״איפה נשמר הגיבוי, ומתי שוחזר ממנו בפעם האחרונה?״ | גיבוי אוטומטי מחוץ לשרת + שחזור שנבדק בפועל |
| טפסים | בדקו כמה ספאם מגיע מהטופס בחודש | כמעט אפס; אם יש עשרות — אין הגנה |
| סיסמאות וגישות | מי יודע את סיסמת הניהול? האם עובד שעזב עדיין עם גישה? | משתמש נפרד לכל אדם, הסרת גישה בעזיבה, אימות דו־שלבי |
| מידע על לקוחות | אילו פרטים אישיים האתר שומר ואיפה | אתם יודעים לענות — זו נקודת הפתיחה של עמידה בתקנות |
שאלות נפוצות
האתר שלי קטן ואין בו כלום מעניין. למה שיפרצו אליו?
רוב הפריצות לא מכוונות אליכם אישית — בוטים סורקים מיליוני אתרים ומחפשים חולשות מוכרות. אתר פרוץ שווה כסף לתוקף גם בלי המידע שבו: שולחים ממנו ספאם, מזריקים קישורים, או מנצלים את השרת. הגודל של העסק לא מעניין את הבוט.
האם תעודת SSL (המנעול בדפדפן) מספיקה כדי שהאתר יהיה מאובטח?
לא. HTTPS מצפין את התקשורת בין הגולש לאתר, אבל לא מגן על האתר עצמו מפריצה. אתר יכול להציג מנעול ירוק ועדיין לרוץ על תוספים פרוצים בלי גיבוי. HTTPS הוא תנאי בסיס, לא פתרון אבטחה שלם.
מה חובה עליי לפי חוק הגנת הפרטיות אם אני שומר פרטי לקוחות?
אם האתר אוסף פרטים מזהים — שמות, טלפונים, מיילים — אתם מנהלים מאגר מידע וחלות עליכם תקנות אבטחת המידע: אמצעי הגנה סבירים, ניהול הרשאות ותיעוד אירועים. מאז תיקון 13 (בתוקף מאוגוסט 2025) לרשות להגנת הפרטיות יש סמכויות אכיפה ועיצומים כספיים גם על עסקים קטנים. כדאי להתייעץ עם גורם מקצועי לגבי המאגר הספציפי שלכם.
כמה עולה תחזוקת אבטחה שוטפת לאתר עסקי?
לאתר וורדפרס טיפוסי, חבילת תחזוקה חודשית שכוללת עדכונים, גיבויים וניטור עולה בישראל בדרך כלל 150–500 ₪ לחודש. באתר בקוד מותאם חלק גדול מהסיכונים לא קיים מלכתחילה, והתחזוקה מתמקדת בשרת ובגיבויים. בכל מקרה זה זול משמעותית מטיפול בפריצה אחת.