CHERNIAKSTUDIO
אבטחת מידע

אבטחת אתר עסקי — מה חובה שיהיה, ומה קורה כשאין

״למי אכפת מהאתר של מספרה?״ — לבוטים אכפת. רוב הפריצות לאתרים קטנים הן אוטומטיות לגמרי, והנזק אמיתי: אתר מושבת, לקוחות שמקבלים ספאם, ומאז תיקון 13 גם חשיפה משפטית. המדריך הזה מסביר מה חייב להיות בכל אתר עסקי, ואיך בודקים לבד שזה באמת שם.

דקות קריאהעודכן לאחרונה: יולי 2026מאת צוות CHERNIAK STUDIO

למה שיפרצו דווקא לאתר שלכם?

זו השאלה הכי נפוצה שאנחנו שומעים, והתשובה מפתיעה: אף אחד לא פורץ ״דווקא אליכם״. בוטים אוטומטיים סורקים את האינטרנט מסביב לשעון ומנסים חולשות מוכרות על כל אתר שהם פוגשים — בלי להבדיל בין בנק לבין אתר של סטודיו ליוגה. אם תסתכלו ביומני השרת של אתר עסקי רגיל בישראל, תמצאו מאות ניסיונות כאלה בשבוע. זה הרעש הרגיל של האינטרנט.

מה תוקף מרוויח מאתר קטן? הרבה: הוא שולח ממנו דואר ספאם (עד שהדומיין שלכם נכנס לרשימות חסימה), שותל בו קישורים נסתרים לאתרי הימורים, מפנה גולשים לאתרי הונאה, או פשוט משתמש בשרת שלכם ככוח מחשוב. המידע שלכם הוא לפעמים רק בונוס. לכן ״אין לי מה להסתיר״ הוא לא אסטרטגיית אבטחה.

ארבעת היסודות שחובה בכל אתר עסקי

1. HTTPS (תעודת SSL). ההצפנה בין הדפדפן לאתר. בלי זה הדפדפן מציג ״לא מאובטח״ ליד הכתובת, גוגל מוריד בדירוג, וטפסים עוברים ברשת גלויים לעין. אין שום תירוץ לוותר על זה — תעודות Let's Encrypt הן חינמיות וכלולות היום כמעט בכל חבילת אחסון. אם מישהו מנסה לגבות מכם מאות שקלים בשנה על ״תעודת אבטחה בסיסית״, שווה לשאול למה.

2. עדכונים שוטפים. רוב הפריצות מנצלות חולשה שכבר פורסמה ותוקנה — פשוט אף אחד לא התקין את התיקון. באתרי וורדפרס זה אומר עדכון של המערכת, התבנית והתוספים; באתרים בקוד מותאם — עדכון של השרת והספריות. חולשה חמורה בתוסף פופולרי מתחילה להיות מנוצלת תוך ימים מהפרסום שלה, ולכן ״נעדכן פעם בשנה״ זה כמו לא לעדכן בכלל.

3. גיבויים — כאלה שנשמרים במקום אחר. גיבוי הוא ההבדל בין תקלה של שעתיים לאסון של שבועות. שלושה תנאים לגיבוי אמיתי: הוא אוטומטי (לא ״כשנזכרים״), הוא נשמר מחוץ לשרת של האתר (גיבוי שיושב על אותו שרת נמחק יחד איתו), ומישהו בדק לפחות פעם אחת שאפשר לשחזר ממנו. גיבוי שאף פעם לא שוחזר הוא תקווה, לא גיבוי.

4. הגנה על טפסים. טופס יצירת קשר בלי הגנה יתחיל לקבל ספאם מבוטים — לפעמים עשרות פניות ביום. מעבר למטרד, זה מטביע לידים אמיתיים ועלול לגרום לשרת הדואר שלכם להיחסם. הפתרונות פשוטים: reCAPTCHA או Turnstile של Cloudflare, שדה מלכודת נסתר (honeypot), והגבלת קצב שליחה. שילוב של שניים מהם עוצר את רוב הספאם בלי להציק לגולשים.

למה דווקא אתרי וורדפרס נפרצים כל כך הרבה?

וורדפרס מריצה בערך 40% מהאתרים בעולם, ולכן היא המטרה המשתלמת ביותר לבוטים: חולשה אחת בתוסף פופולרי פותחת דלת למיליוני אתרים בבת אחת. חשוב לדייק — הבעיה כמעט אף פעם לא בליבה של וורדפרס עצמה, שמתוחזקת היטב. רוב מוחלט של הפריצות עובר דרך תוספים ותבניות: תוסף שהמפתח שלו נטש, תבנית פרוצה שהורדה ״בחינם״, או פשוט תוספים שלא עודכנו שנה.

המשמעות מעשית: אתר וורדפרס עם 30 תוספים הוא לא אתר עם 30 יכולות — הוא אתר עם 30 דלתות שמישהו צריך לוודא שנעולות, כל חודש, לתמיד. זה אחד השיקולים המרכזיים בבחירה בין וורדפרס לאתר בקוד מותאם: באתר מותאם אין תוספי צד־שלישי, ולכן שטח התקיפה קטן דרמטית. זה לא אומר שוורדפרס פסולה — אלפי אתרים מתוחזקים רצים עליה בשקט — אבל היא דורשת תחזוקה קבועה, לא ״להעלות ולשכוח״.

מה פריצה עולה בפועל לעסק קטן

נתחיל בישיר: ניקוי אתר וורדפרס פרוץ ושחזורו עולה בישראל בדרך כלל 1,500–8,000 ₪, תלוי בעומק הנזק ובקיום גיבוי תקין. אם אין גיבוי — לפעמים בונים מחדש. אבל העלות הישירה היא החלק הקטן:

חשוב לומר ביושר: אין דבר כזה אבטחה של 100%, וגם אתרים מתוחזקים היטב נפרצים לפעמים. המטרה היא לא חוסן מושלם — אלא לא להיות המטרה הקלה ברחוב, ולוודא שאם משהו קורה, יש גיבוי ותוך יום חוזרים לאוויר.

רשימת בדיקה — מה אתם יכולים לבדוק לבד, היום

לא צריך להיות מתכנתים בשביל לעבור על הרשימה הזו. חמש דקות, ותדעו איפה אתם עומדים:

מה בודקיםאיך בודקיםמה אמור להיות
HTTPSגלשו לאתר וגם לגרסה עם http://‎ בהתחלהמנעול בדפדפן, והכתובת עם http מפנה אוטומטית ל־https
עדכוניםשאלו את מי שמתחזק: ״מתי עודכנו התוספים לאחרונה?״תשובה מיידית עם תאריך מהחודש האחרון
גיבוייםשאלו: ״איפה נשמר הגיבוי, ומתי שוחזר ממנו בפעם האחרונה?״גיבוי אוטומטי מחוץ לשרת + שחזור שנבדק בפועל
טפסיםבדקו כמה ספאם מגיע מהטופס בחודשכמעט אפס; אם יש עשרות — אין הגנה
סיסמאות וגישותמי יודע את סיסמת הניהול? האם עובד שעזב עדיין עם גישה?משתמש נפרד לכל אדם, הסרת גישה בעזיבה, אימות דו־שלבי
מידע על לקוחותאילו פרטים אישיים האתר שומר ואיפהאתם יודעים לענות — זו נקודת הפתיחה של עמידה בתקנות
טיפ: את השאלות על גיבויים ועדכונים שווה לשאול לפני שסוגרים עם מי שבונה או מתחזק את האתר. מציע שמגמגם על ״איפה נשמר הגיבוי״ חוסך לכם את הצורך בשאלות נוספות.

שאלות נפוצות

האתר שלי קטן ואין בו כלום מעניין. למה שיפרצו אליו?

רוב הפריצות לא מכוונות אליכם אישית — בוטים סורקים מיליוני אתרים ומחפשים חולשות מוכרות. אתר פרוץ שווה כסף לתוקף גם בלי המידע שבו: שולחים ממנו ספאם, מזריקים קישורים, או מנצלים את השרת. הגודל של העסק לא מעניין את הבוט.

האם תעודת SSL (המנעול בדפדפן) מספיקה כדי שהאתר יהיה מאובטח?

לא. HTTPS מצפין את התקשורת בין הגולש לאתר, אבל לא מגן על האתר עצמו מפריצה. אתר יכול להציג מנעול ירוק ועדיין לרוץ על תוספים פרוצים בלי גיבוי. HTTPS הוא תנאי בסיס, לא פתרון אבטחה שלם.

מה חובה עליי לפי חוק הגנת הפרטיות אם אני שומר פרטי לקוחות?

אם האתר אוסף פרטים מזהים — שמות, טלפונים, מיילים — אתם מנהלים מאגר מידע וחלות עליכם תקנות אבטחת המידע: אמצעי הגנה סבירים, ניהול הרשאות ותיעוד אירועים. מאז תיקון 13 (בתוקף מאוגוסט 2025) לרשות להגנת הפרטיות יש סמכויות אכיפה ועיצומים כספיים גם על עסקים קטנים. כדאי להתייעץ עם גורם מקצועי לגבי המאגר הספציפי שלכם.

כמה עולה תחזוקת אבטחה שוטפת לאתר עסקי?

לאתר וורדפרס טיפוסי, חבילת תחזוקה חודשית שכוללת עדכונים, גיבויים וניטור עולה בישראל בדרך כלל 150–500 ₪ לחודש. באתר בקוד מותאם חלק גדול מהסיכונים לא קיים מלכתחילה, והתחזוקה מתמקדת בשרת ובגיבויים. בכל מקרה זה זול משמעותית מטיפול בפריצה אחת.

כבר יודעים מה אתם רוצים לבנות?

אם אתם צריכים אתר, אפליקציה או מערכת שמותאמת בדיוק לעסק שלכם — נשמח לעזור.