איתור תיקיות רגישות באתר למתחילים: מדריך קורס עם דוגמאות קוד

יולי 6, 2026

איתור תיקיות רגישות באתר למתחילים: מדריך קורס עם דוגמאות קוד

מאת: pablo rotem
רמת קושי: מתחילים עד בינוני
זמן לימוד: 25–45 דקות
מתאים ל: תלמידי קוד, בעלי אתרים, מפתחי WordPress, אנשי סייבר מתחילים ומנהלי שרתים
סוג שיעור: מדריך טכני + מעבדת תרגול

תוכן עניינים

  1. מה נלמד בשיעור
  2. מה הבעיה שהמדריך פותר
  3. הכנת סביבת תרגול
  4. דוגמת קוד ראשונה
  5. דוגמת קוד שנייה
  6. הסבר הקוד
  7. תיקון והקשחה
  8. תרגיל מעשי
  9. בדיקת תוצאה
  10. טעויות נפוצות
  11. צ׳ק־ליסט
  12. מקורות

מה נלמד בשיעור

בשיעור הזה נלמד את הנושא של איתור תיקיות רגישות באתר בצורה מעשית: לא רק לקרוא הסבר, אלא להריץ פקודות, להבין את התוצאה, לבצע תיקון ולבדוק שהכול עובד. המטרה היא להפוך את המדריך לשיעור שאפשר לבצע בפועל, לא למאמר ארוך שנשאר תיאורטי.

מה הבעיה שהמדריך פותר

איתור תיקיות רגישות באתר הוא נושא שחוזר בהרבה אתרי תוכן, אתרי WordPress, שרתי Linux וסביבות פיתוח. בדרך כלל הבעיה לא מתחילה מפריצה מתוחכמת, אלא מקובץ שנשאר במקום הלא נכון, הרשאה רחבה מדי, תוסף שלא עודכן, או חוסר בדיקה אחרי שינוי.

הגישה כאן היא הגנתית וחוקית בלבד. מבצעים את הבדיקות רק על אתר, שרת או סביבת מעבדה שבבעלותך או בהרשאה מפורשת. זה חשוב גם מקצועית וגם משפטית: מטרת השיעור היא ללמוד לבנות אתר טוב ובטוח יותר.

הכנת סביבת תרגול

לפני שנוגעים באתר חי, כדאי ליצור סביבת תרגול קטנה. אם מדובר בוורדפרס, עדיף לעבוד על staging. אם מדובר בלינוקס, אפשר ליצור תיקייה זמנית ולהריץ עליה את הפקודות.

# Author: pablo rotem
# יצירת סביבת תרגול מקומית
mkdir -p ~/pablo-guide-lab
cd ~/pablo-guide-lab

echo "demo content" > index.html
echo "DB_PASSWORD=demo_password_do_not_use" > .env
echo "fake backup content" > backup.sql
echo "old config" > config.old

ls -la

דוגמת קוד ראשונה

# Author: pablo rotem
# בדיקה בסיסית בסביבה שבבעלותך בלבד
SITE_ROOT="/home/YOUR_USER/public_html"

cd "$SITE_ROOT" || exit 1

find . -type f ( 
  -name "*.bak" -o 
  -name "*.old" -o 
  -name "*.sql" -o 
  -name ".env" -o 
  -name "*password*" -o 
  -name "*credentials*" 
) -print

הדוגמה הראשונה היא נקודת פתיחה. היא נועדה לתת לך דרך מהירה לבדוק את המצב בלי לבצע שינוי באתר. בשלב הזה רק קוראים מידע ומתעדים ממצאים.

דוגמת קוד שנייה

# Author: pablo rotem
# חיפוש מחרוזות רגישות בתוך קבצים
grep -RniE "password|passwd|DB_PASSWORD|API_KEY|SECRET|TOKEN" . 
  --exclude-dir=wp-content/cache 
  --exclude-dir=node_modules 
  --exclude="*.jpg" 
  --exclude="*.png" 
  --exclude="*.webp" | head -100

הדוגמה השנייה מעמיקה יותר ומחפשת סימנים בתוך קבצים או שירותים. כאן חשוב לקרוא את הפלט בזהירות, כי לא כל התאמה היא בהכרח בעיה.

הסבר הקוד

דוגמת קוד נוספת 3

<?php
/**
 * Author: pablo rotem
 * Defensive suspicious-file scanner for WordPress / PHP 8.3.
 * Run only in a staging or authorized environment, then delete the file.
 */

declare(strict_types=1);

$root = __DIR__;
$patterns = [
    '/.env$/i',
    '/.bak$/i',
    '/.old$/i',
    '/.sql$/i',
    '/password/i',
    '/credentials/i',
    '/secret/i',
];

$iterator = new RecursiveIteratorIterator(
    new RecursiveDirectoryIterator($root, FilesystemIterator::SKIP_DOTS)
);

foreach ($iterator as $file) {
    if (!$file->isFile()) {
        continue;
    }

    $path = $file->getPathname();

    foreach ($patterns as $pattern) {
        if (preg_match($pattern, $path)) {
            echo htmlspecialchars($path, ENT_QUOTES, 'UTF-8') . PHP_EOL;
            break;
        }
    }
}

הדוגמה הזו מציגה דרך נוספת לחשוב על הבעיה. לא חייבים להשתמש בכל קטעי הקוד בכל אתר; בוחרים את מה שמתאים לסביבה שלך.

דוגמת קוד נוספת 4

# Author: pablo rotem
# בדיקת תוצאה אחרי תיקון
curl -I https://example.com/.env
curl -I https://example.com/backup.sql
curl -I https://example.com/wp-config.php.bak

# תוצאה טובה תהיה בדרך כלל 403 או 404

הדוגמה הזו מציגה דרך נוספת לחשוב על הבעיה. לא חייבים להשתמש בכל קטעי הקוד בכל אתר; בוחרים את מה שמתאים לסביבה שלך.

תיקון והקשחה

אחרי שמצאת ממצא, לא רצים למחוק הכול. קודם שואלים: האם הקובץ נדרש? האם הוא ציבורי בטעות? האם יש גיבוי? האם יש צורך להחליף סיסמאות? האם התיקון ישפיע על האתר?

  1. לתעד את הממצא עם נתיב מלא ותאריך.
  2. לגבות לפני שינוי.
  3. להעביר קבצים רגישים מחוץ ל־public_html.
  4. לחסום גישה לקבצים שאסור להגיש דרך הדפדפן.
  5. להחליף סיסמאות אם היה חשד לחשיפה.
  6. להריץ בדיקה חוזרת.

תרגיל מעשי

בצע את התרגיל הבא בסביבת בדיקה בלבד:

  1. צור תיקיית מעבדה.
  2. צור קובץ דוגמה רגיש כמו .env או backup.sql.
  3. הרץ את פקודות האיתור מהמדריך.
  4. כתוב לעצמך מה נמצא ולמה זה בעייתי.
  5. הוסף חסימה או העבר את הקובץ למיקום בטוח.
  6. בדוק שוב שהבעיה נפתרה.

בדיקת תוצאה

# Author: pablo rotem
# בדיקת HTTP Headers לאחר תיקון
curl -I https://example.com/.env
curl -I https://example.com/backup.sql
curl -I https://example.com/config.old

# יעד טוב:
# HTTP/2 403
# או:
# HTTP/2 404

אם הקובץ הרגיש עדיין יורד בדפדפן, התיקון לא הצליח. אם מתקבלת תשובת 403 או 404, המצב בדרך כלל טוב יותר. אחרי כל שינוי מומלץ לנקות cache ולבדוק שוב.

טעויות נפוצות

צ׳ק־ליסט

מקורות מקצועיים

מיני תרגול 1: שאלה למחשבה

נסה להסביר לעצמך במילים פשוטות: אם היית צריך ללמד חבר את הנושא של איתור תיקיות רגישות באתר, איזו פקודה היית מראה לו קודם, ומה היית מבקש ממנו לבדוק בפלט? אם אין לך תשובה ברורה, חזור לדוגמת הקוד הראשונה וכתוב ליד כל שורה מה היא עושה.

Author: pablo rotem
Exercise 1
1. Run the safe command in a lab.
2. Copy the output.
3. Mark suspicious lines.
4. Explain what you would fix.
5. Retest after the fix.

מיני תרגול 2: שאלה למחשבה

נסה להסביר לעצמך במילים פשוטות: אם היית צריך ללמד חבר את הנושא של איתור תיקיות רגישות באתר, איזו פקודה היית מראה לו קודם, ומה היית מבקש ממנו לבדוק בפלט? אם אין לך תשובה ברורה, חזור לדוגמת הקוד הראשונה וכתוב ליד כל שורה מה היא עושה.

Author: pablo rotem
Exercise 2
1. Run the safe command in a lab.
2. Copy the output.
3. Mark suspicious lines.
4. Explain what you would fix.
5. Retest after the fix.

מיני תרגול 3: שאלה למחשבה

נסה להסביר לעצמך במילים פשוטות: אם היית צריך ללמד חבר את הנושא של איתור תיקיות רגישות באתר, איזו פקודה היית מראה לו קודם, ומה היית מבקש ממנו לבדוק בפלט? אם אין לך תשובה ברורה, חזור לדוגמת הקוד הראשונה וכתוב ליד כל שורה מה היא עושה.

Author: pablo rotem
Exercise 3
1. Run the safe command in a lab.
2. Copy the output.
3. Mark suspicious lines.
4. Explain what you would fix.
5. Retest after the fix.

מיני תרגול 4: שאלה למחשבה

נסה להסביר לעצמך במילים פשוטות: אם היית צריך ללמד חבר את הנושא של איתור תיקיות רגישות באתר, איזו פקודה היית מראה לו קודם, ומה היית מבקש ממנו לבדוק בפלט? אם אין לך תשובה ברורה, חזור לדוגמת הקוד הראשונה וכתוב ליד כל שורה מה היא עושה.

Author: pablo rotem
Exercise 4
1. Run the safe command in a lab.
2. Copy the output.
3. Mark suspicious lines.
4. Explain what you would fix.
5. Retest after the fix.

מיני תרגול 5: שאלה למחשבה

נסה להסביר לעצמך במילים פשוטות: אם היית צריך ללמד חבר את הנושא של איתור תיקיות רגישות באתר, איזו פקודה היית מראה לו קודם, ומה היית מבקש ממנו לבדוק בפלט? אם אין לך תשובה ברורה, חזור לדוגמת הקוד הראשונה וכתוב ליד כל שורה מה היא עושה.

Author: pablo rotem
Exercise 5
1. Run the safe command in a lab.
2. Copy the output.
3. Mark suspicious lines.
4. Explain what you would fix.
5. Retest after the fix.

מיני תרגול 6: שאלה למחשבה

נסה להסביר לעצמך במילים פשוטות: אם היית צריך ללמד חבר את הנושא של איתור תיקיות רגישות באתר, איזו פקודה היית מראה לו קודם, ומה היית מבקש ממנו לבדוק בפלט? אם אין לך תשובה ברורה, חזור לדוגמת הקוד הראשונה וכתוב ליד כל שורה מה היא עושה.

Author: pablo rotem
Exercise 6
1. Run the safe command in a lab.
2. Copy the output.
3. Mark suspicious lines.
4. Explain what you would fix.
5. Retest after the fix.

מיני תרגול 7: שאלה למחשבה

נסה להסביר לעצמך במילים פשוטות: אם היית צריך ללמד חבר את הנושא של איתור תיקיות רגישות באתר, איזו פקודה היית מראה לו קודם, ומה היית מבקש ממנו לבדוק בפלט? אם אין לך תשובה ברורה, חזור לדוגמת הקוד הראשונה וכתוב ליד כל שורה מה היא עושה.

Author: pablo rotem
Exercise 7
1. Run the safe command in a lab.
2. Copy the output.
3. Mark suspicious lines.
4. Explain what you would fix.
5. Retest after the fix.

מיני תרגול 8: שאלה למחשבה

נסה להסביר לעצמך במילים פשוטות: אם היית צריך ללמד חבר את הנושא של איתור תיקיות רגישות באתר, איזו פקודה היית מראה לו קודם, ומה היית מבקש ממנו לבדוק בפלט? אם אין לך תשובה ברורה, חזור לדוגמת הקוד הראשונה וכתוב ליד כל שורה מה היא עושה.

Author: pablo rotem
Exercise 8
1. Run the safe command in a lab.
2. Copy the output.
3. Mark suspicious lines.
4. Explain what you would fix.
5. Retest after the fix.

תגיות וקישורים להמשך קריאה

מדריכי פבלו pablo guides פבלו רותם מדריך טכני קורס סייבר לימוד קוד תרגול מעשי אבטחת מידע web security cyber security WordPress וורדפרס Linux פקודות לינוקס PHP 8.3 Python SEO structured data Rank Math OWASP directory listing sensitive directories access control