למה בכלל לשנות את הודעת ההתחברות?
כאשר מישהו מנסה להיכנס לאתר שלכם ומקבל הודעה כמו “שם המשתמש שגוי” או “הסיסמה לא נכונה”,
הוא בעצם מקבל מידע קריטי — שם המשתמש שלכם קיים או לא.
האקרים משתמשים במידע הזה כדי להריץ מתקפות מסוג Brute Force,
שבהן הם מנחשים סיסמאות שוב ושוב עד שמצליחים להתחבר.
שאלו את עצמכם: למה שמישהו זר יקבל רמז כזה על האתר שלכם?
עדיף תמיד להחזיר הודעה כללית —
כזו שלא מגלה אם השם או הסיסמה נכונים.
הפתרון – פילטר פשוט שמסתיר מידע מיותר
וורדפרס מאפשרת לשנות כמעט כל הודעה או פעולה במערכת בעזרת פילטרים.
במקרה הזה, נשתמש בפילטר login_errors כדי להחליף את ההודעה הרגילה בהודעה כללית.
מה הקוד הזה עושה?
במקום להחזיר הודעה מדויקת (“שם המשתמש לא קיים” או “הסיסמה שגויה”),
הוא מציג הודעה אחידה לכולם:
“פרטי ההתחברות שגויים. נסה שוב.”
כך התוקף לא יודע מה בדיוק שגוי –
והאתר שלכם נהיה בטוח יותר בלי לפגוע במשתמשים אמיתיים.
סיפור מהשטח
לפני כמה חודשים לקוח הגיע אליי ל־משולבים בדיגיטל אחרי שהאתר שלו נחסם זמנית ע"י חברת האחסון.
הסיבה? מאות ניסיונות התחברות ביום.
בדיקה קצרה גילתה שהאקרים השתמשו בשמות משתמש אמיתיים מתוך הודעות השגיאה של וורדפרס.
ברגע ששמנו את הקוד הקטן הזה, יחד עם הגבלת ניסיונות התחברות –
הניסיונות ירדו כמעט לאפס.
לפעמים שורת קוד אחת שווה כמו תוסף אבטחה שלם.
שאלות שכדאי לשאול את עצמכם
האם דף ההתחברות שלכם עדיין מציג הודעות מדויקות?
כמה ניסיונות התחברות יש ביום באתר שלכם?
האם התקנתם תוסף שמגביל ניסיונות?
אם לא – כנראה שהגיע הזמן לבדוק את זה.
איך להוסיף את הקוד בבטחה
היכנסו ללוח הניהול של וורדפרס.
התקינו תוסף כמו Code Snippets, או הוסיפו את הקוד ל־
functions.phpשל התבנית.שמרו ובדקו ניסיון התחברות כושל.
ודאו שההודעה הכללית מופיעה.
טיפ: אם יש לכם צוות של כמה משתמשים, כדאי לעדכן אותם מראש שהודעת השגיאה השתנתה כדי למנוע בלבול.
סיכום
האבטחה של אתר וורדפרס לא תמיד תלויה בתוספים כבדים.
לפעמים מספיק צעד אחד פשוט — כמו הסתרת הודעות שגיאה מדויקות — כדי למנוע פריצה.
אל תתנו לאתר שלכם להיות קל מדי לפריצה רק כי המערכת "נדיבה מדי במידע".
