Salt la conținut
Securitate WordPress

Audit Securitate pentru WordPress

Verificare de securitate completa pentru site-ul tau WordPress — de la vulnerabilitati in plugin-uri la expunerea wp-config si protectia login-ului.

Audit adaptat pentru tipul selectat

Primul audit per domeniu este gratuit. Nu necesită card sau telefon. Vezi exemple de rapoarte

De ce ai nevoie de un audit de securitate specific pentru WordPress?

WordPress este tinta #1 pentru atacuri cibernetice datorita popularitatii sale masive. In fiecare minut au loc aproximativ 90.000 de atacuri brute force asupra site-urilor WordPress la nivel global. Auditul de securitate WordPress de la SoftAudit scaneaza vectorii de atac specifici platformei: de la wp-config.php expus la vulnerabilitati CVE in plugin-uri si teme.

Peste 70% din atacurile cibernetice asupra CMS-urilor vizeaza WordPress. Motivul: ecosystem imens de plugin-uri (60.000+ in repository) din care un procent semnificativ au vulnerabilitati cunoscute. In Romania, majoritatea site-urilor WordPress nu au un plugin de securitate instalat si nu au actualizat plugin-urile in ultimele 6 luni.

Ai nevoie de acest audit daca site-ul tau WordPress a fost compromis anterior, daca nu ai un plugin de securitate instalat, daca nu ai actualizat WordPress si plugin-urile recent, daca observi activitate suspecta (utilizatori noi, pagini modificate), sau pur si simplu daca vrei sa te asiguri ca site-ul e securizat conform best practices.

Ce verificam in auditul de securitate WordPress

Auditul acopera 22 de verificari de securitate specifice ecosistemului WordPress: de la fisiere sensibile la plugin-uri cu vulnerabilitati cunoscute.

wp-config.php si Fisiere Sensibile

Verificam daca wp-config.php, .htaccess, wp-includes/version.php si debug.log sunt accesibile public. Expunerea acestor fisiere ofera atacatorilor informatii critice despre configuratie si credentiale.

XML-RPC si Brute Force

XML-RPC (xmlrpc.php) permite atacuri brute force multiplexate — un singur request poate testa sute de parole. Verificam daca e activat si daca exista protectie (Wordfence, Sucuri, sau blocare in .htaccess).

REST API User Enumeration

WordPress REST API (/wp-json/wp/v2/users) poate expune lista de utilizatori si username-uri. Atacatorii folosesc aceasta informatie pentru atacuri brute force tintite.

Versiuni WordPress si Plugin-uri

Detectam versiunea WordPress, a temei si a plugin-urilor vizibile. Comparam cu bazele de date de vulnerabilitati (WPScan, Wordfence) pentru a identifica versiuni cu CVE-uri cunoscute.

File Permissions si Directory Listing

Verificam daca directoarele wp-content/uploads, wp-content/plugins si wp-includes au directory listing activat. Verificam daca permisiunile sunt conforme (755 directoare, 644 fisiere).

Login Page Protection

Analizam protectia paginii de login (/wp-login.php si /wp-admin/): exista rate limiting, CAPTCHA, two-factor authentication, sau custom URL pentru login?

Vulnerabilitati frecvente pe site-urile WordPress

Acestea sunt cele mai periculoase vulnerabilitati pe care le gasim pe site-urile WordPress:

WordPress si plugin-uri neactualizate

Versiuni vechi de WordPress si plugin-uri contin vulnerabilitati cunoscute public (CVE). Atacatorii scaneaza automat internetul pentru aceste versiuni.

Solutie: Actualizeaza WordPress, tema si toate plugin-urile la ultima versiune. Activeaza auto-update pentru minor releases. Sterge plugin-urile si temele inactive — chiar dezactivate, pot fi exploatate.

XML-RPC activat fara protectie

xmlrpc.php permite atacuri brute force multiplexate (system.multicall) — un singur request HTTP poate testa 500+ combinatii de username/parola.

Solutie: Daca nu folosesti aplicatii mobile sau Jetpack, dezactiveaza XML-RPC complet. Adauga in .htaccess: <Files xmlrpc.php> Require all denied </Files>. Sau instaleaza Wordfence care il blocheaza automat.

REST API expune utilizatorii

Endpoint-ul /wp-json/wp/v2/users returneaza lista de utilizatori cu username-urile reale. Atacatorii le folosesc direct in atacuri brute force.

Solutie: Instaleaza un plugin de securitate (Wordfence, iThemes Security) care restrictioneaza REST API. Sau adauga un filtru in functions.php: rest_authentication_errors care returneaza eroare pentru useri neautentificati.

wp-config.php accesibil public

Daca serverul e configurat gresit, wp-config.php (care contine credentialele bazei de date) poate fi descarcat direct.

Solutie: Asigura-te ca .htaccess contine regula: <Files wp-config.php> Require all denied </Files>. Muta wp-config.php un nivel deasupra document root-ului daca hosting-ul permite.

Debug mode activat pe productie

WP_DEBUG setat pe true in wp-config.php afiseaza erori PHP care pot dezvalui cai de fisiere, versiuni si structura bazei de date.

Solutie: Seteaza WP_DEBUG pe false in wp-config.php pentru productie. Daca ai nevoie de debugging, foloseste WP_DEBUG_LOG = true si WP_DEBUG_DISPLAY = false pentru a salva erorile in wp-content/debug.log.

Directory listing activat

Directoarele wp-content/uploads si wp-content/plugins afiseaza lista completa de fisiere cand sunt accesate direct in browser.

Solutie: Adauga Options -Indexes in .htaccess in directorul root WordPress. Sau adauga un fisier index.php gol in fiecare director sensibil.

Critic Atentie Minor

Ghid de securizare WordPress in 5 pasi

Urmand acesti 5 pasi, securizezi site-ul tau WordPress impotriva majoritatii atacurilor:

1

Instaleaza un plugin de securitate

Wordfence (gratuit) sau Sucuri Security ofera: firewall, scanner de malware, protectie brute force, si monitorizare in timp real. Configureaza rate limiting la 3 incercari de login pe minut.

2

Actualizeaza tot si sterge ce nu folosesti

Actualizeaza WordPress, tema si toate plugin-urile. Sterge temele si plugin-urile inactive (nu doar dezactiva). Activeaza auto-update: add_filter('auto_update_plugin', '__return_true').

3

Securizeaza login-ul

Schimba URL-ul de login cu un plugin (WPS Hide Login). Activeaza 2FA (Two Factor Authentication plugin). Seteaza rate limiting si CAPTCHA pe formularul de login.

4

Configureaza security headers

Adauga in .htaccess: X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Strict-Transport-Security, Content-Security-Policy. Sau instaleaza plugin-ul Headers Security Advanced.

5

Monitorizeaza si auditeaza periodic

Seteaza alerte email in Wordfence pentru login-uri suspecte si modificari de fisiere. Ruleaza un audit de securitate SoftAudit lunar pentru a verifica ca nu au aparut vulnerabilitati noi.

Cum sa interpretezi scorul de securitate

80-100

Bine

Site-ul tau WordPress e bine securizat. Plugin-urile sunt actualizate, login-ul e protejat, fisierele sensibile nu sunt expuse. Continua cu monitorizare periodica.

50-79

Atentie

Exista vulnerabilitati care trebuie adresate: plugin-uri neactualizate, XML-RPC activ, sau lipsa unor security headers. Rezolvarea acestora reduce semnificativ riscul de compromitere.

0-49

Critic

Site-ul are vulnerabilitati critice de securitate: wp-config expus, versiuni cu CVE-uri cunoscute, REST API deschis, login neprotejat. Necesita actiune imediata.

Securitate WordPress in cifre

Statistici despre amenintarile de securitate pe WordPress:

90.000

Atacuri brute force pe minut asupra WordPress

70%+

Din atacurile pe CMS-uri vizeaza WordPress

97%

Din atacurile reusesc prin plugin-uri neactualizate

22

Verificari de securitate specifice WordPress

Rezultate reale dupa securizare WordPress

Exemple de imbunatatiri dupa rezolvarea vulnerabilitatilor identificate:

Site de stiri cu 50.000 vizitatori/luna

Inainte: 28Dupa: 91

WordPress 5.4 neactualizat, 8 plugin-uri cu CVE-uri, XML-RPC deschis, debug mode activ. Dupa actualizare, securizare login si instalare Wordfence, site-ul a trecut de la 28 la 91 puncte securitate.

Landing page firma de avocatura

Inainte: 45Dupa: 95

REST API expunea lista de utilizatori, wp-config accesibil, fara HTTPS. Dupa securizare completa + SSL, site-ul a obtinut scor 95 si nu a mai fost tinta atacurilor brute force.

Audit adaptat per tip de site:

Intrebari frecvente — Audit Securitate WordPress

Cat de vulnerabil e site-ul meu WordPress?+
Depinde de: versiunea WordPress si a plugin-urilor, daca ai un plugin de securitate, configuratia serverului si obiceiurile de administrare. Auditul nostru verifica toti acesti factori si ofera un scor clar.
Wordfence sau Sucuri — ce recomandati?+
Wordfence e excelent pentru protectie la nivel de server (firewall + scanner local). Sucuri ofera in plus CDN si firewall cloud. Pentru majoritatea site-urilor, Wordfence gratuit e suficient.
Cum aflu daca site-ul a fost compromis?+
Semne: pagini sau utilizatori necunoscuti, redirect-uri catre alte site-uri, Google Search Console raporteaza malware, fisiere .php necunoscute in wp-content/uploads. Auditul nostru detecteaza indicii vizibile ale compromiterii.
Trebuie sa dezactivez XML-RPC?+
Daca nu folosesti aplicatia mobila WordPress, Jetpack sau servicii care necesita XML-RPC — da, dezactiveaza-l. E cel mai frecvent vector de atac brute force pe WordPress.
Cat de des trebuie sa fac audit de securitate?+
Recomandam lunar. Vulnerabilitati noi sunt descoperite saptamanal in plugin-uri populare. Un audit rapid lunar te ajuta sa detectezi probleme inainte sa fie exploatate.
E suficient sa am hosting cu firewall?+
Nu. Firewall-ul hosting-ului protejeaza la nivel de server, dar vulnerabilitatile din plugin-uri si configuratia WordPress sunt la nivel de aplicatie. Ai nevoie si de un plugin de securitate si de configurare corecta.

Verifica securitatea site-ului tau WordPress

Introdu URL-ul si afla instant daca site-ul tau WordPress are vulnerabilitati. Gratuit, fara inregistrare.

Incepe auditul gratuit