Audit Securitate pentru WordPress
Verificare de securitate completa pentru site-ul tau WordPress — de la vulnerabilitati in plugin-uri la expunerea wp-config si protectia login-ului.
De ce ai nevoie de un audit de securitate specific pentru WordPress?
WordPress este tinta #1 pentru atacuri cibernetice datorita popularitatii sale masive. In fiecare minut au loc aproximativ 90.000 de atacuri brute force asupra site-urilor WordPress la nivel global. Auditul de securitate WordPress de la SoftAudit scaneaza vectorii de atac specifici platformei: de la wp-config.php expus la vulnerabilitati CVE in plugin-uri si teme.
Peste 70% din atacurile cibernetice asupra CMS-urilor vizeaza WordPress. Motivul: ecosystem imens de plugin-uri (60.000+ in repository) din care un procent semnificativ au vulnerabilitati cunoscute. In Romania, majoritatea site-urilor WordPress nu au un plugin de securitate instalat si nu au actualizat plugin-urile in ultimele 6 luni.
Ai nevoie de acest audit daca site-ul tau WordPress a fost compromis anterior, daca nu ai un plugin de securitate instalat, daca nu ai actualizat WordPress si plugin-urile recent, daca observi activitate suspecta (utilizatori noi, pagini modificate), sau pur si simplu daca vrei sa te asiguri ca site-ul e securizat conform best practices.
Ce verificam in auditul de securitate WordPress
Auditul acopera 22 de verificari de securitate specifice ecosistemului WordPress: de la fisiere sensibile la plugin-uri cu vulnerabilitati cunoscute.
wp-config.php si Fisiere Sensibile
Verificam daca wp-config.php, .htaccess, wp-includes/version.php si debug.log sunt accesibile public. Expunerea acestor fisiere ofera atacatorilor informatii critice despre configuratie si credentiale.
XML-RPC si Brute Force
XML-RPC (xmlrpc.php) permite atacuri brute force multiplexate — un singur request poate testa sute de parole. Verificam daca e activat si daca exista protectie (Wordfence, Sucuri, sau blocare in .htaccess).
REST API User Enumeration
WordPress REST API (/wp-json/wp/v2/users) poate expune lista de utilizatori si username-uri. Atacatorii folosesc aceasta informatie pentru atacuri brute force tintite.
Versiuni WordPress si Plugin-uri
Detectam versiunea WordPress, a temei si a plugin-urilor vizibile. Comparam cu bazele de date de vulnerabilitati (WPScan, Wordfence) pentru a identifica versiuni cu CVE-uri cunoscute.
File Permissions si Directory Listing
Verificam daca directoarele wp-content/uploads, wp-content/plugins si wp-includes au directory listing activat. Verificam daca permisiunile sunt conforme (755 directoare, 644 fisiere).
Login Page Protection
Analizam protectia paginii de login (/wp-login.php si /wp-admin/): exista rate limiting, CAPTCHA, two-factor authentication, sau custom URL pentru login?
Vulnerabilitati frecvente pe site-urile WordPress
Acestea sunt cele mai periculoase vulnerabilitati pe care le gasim pe site-urile WordPress:
WordPress si plugin-uri neactualizate
Versiuni vechi de WordPress si plugin-uri contin vulnerabilitati cunoscute public (CVE). Atacatorii scaneaza automat internetul pentru aceste versiuni.
Solutie: Actualizeaza WordPress, tema si toate plugin-urile la ultima versiune. Activeaza auto-update pentru minor releases. Sterge plugin-urile si temele inactive — chiar dezactivate, pot fi exploatate.
XML-RPC activat fara protectie
xmlrpc.php permite atacuri brute force multiplexate (system.multicall) — un singur request HTTP poate testa 500+ combinatii de username/parola.
Solutie: Daca nu folosesti aplicatii mobile sau Jetpack, dezactiveaza XML-RPC complet. Adauga in .htaccess: <Files xmlrpc.php> Require all denied </Files>. Sau instaleaza Wordfence care il blocheaza automat.
REST API expune utilizatorii
Endpoint-ul /wp-json/wp/v2/users returneaza lista de utilizatori cu username-urile reale. Atacatorii le folosesc direct in atacuri brute force.
Solutie: Instaleaza un plugin de securitate (Wordfence, iThemes Security) care restrictioneaza REST API. Sau adauga un filtru in functions.php: rest_authentication_errors care returneaza eroare pentru useri neautentificati.
wp-config.php accesibil public
Daca serverul e configurat gresit, wp-config.php (care contine credentialele bazei de date) poate fi descarcat direct.
Solutie: Asigura-te ca .htaccess contine regula: <Files wp-config.php> Require all denied </Files>. Muta wp-config.php un nivel deasupra document root-ului daca hosting-ul permite.
Debug mode activat pe productie
WP_DEBUG setat pe true in wp-config.php afiseaza erori PHP care pot dezvalui cai de fisiere, versiuni si structura bazei de date.
Solutie: Seteaza WP_DEBUG pe false in wp-config.php pentru productie. Daca ai nevoie de debugging, foloseste WP_DEBUG_LOG = true si WP_DEBUG_DISPLAY = false pentru a salva erorile in wp-content/debug.log.
Directory listing activat
Directoarele wp-content/uploads si wp-content/plugins afiseaza lista completa de fisiere cand sunt accesate direct in browser.
Solutie: Adauga Options -Indexes in .htaccess in directorul root WordPress. Sau adauga un fisier index.php gol in fiecare director sensibil.
Ghid de securizare WordPress in 5 pasi
Urmand acesti 5 pasi, securizezi site-ul tau WordPress impotriva majoritatii atacurilor:
Instaleaza un plugin de securitate
Wordfence (gratuit) sau Sucuri Security ofera: firewall, scanner de malware, protectie brute force, si monitorizare in timp real. Configureaza rate limiting la 3 incercari de login pe minut.
Actualizeaza tot si sterge ce nu folosesti
Actualizeaza WordPress, tema si toate plugin-urile. Sterge temele si plugin-urile inactive (nu doar dezactiva). Activeaza auto-update: add_filter('auto_update_plugin', '__return_true').
Securizeaza login-ul
Schimba URL-ul de login cu un plugin (WPS Hide Login). Activeaza 2FA (Two Factor Authentication plugin). Seteaza rate limiting si CAPTCHA pe formularul de login.
Configureaza security headers
Adauga in .htaccess: X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN, Strict-Transport-Security, Content-Security-Policy. Sau instaleaza plugin-ul Headers Security Advanced.
Monitorizeaza si auditeaza periodic
Seteaza alerte email in Wordfence pentru login-uri suspecte si modificari de fisiere. Ruleaza un audit de securitate SoftAudit lunar pentru a verifica ca nu au aparut vulnerabilitati noi.
Cum sa interpretezi scorul de securitate
Bine
Site-ul tau WordPress e bine securizat. Plugin-urile sunt actualizate, login-ul e protejat, fisierele sensibile nu sunt expuse. Continua cu monitorizare periodica.
Atentie
Exista vulnerabilitati care trebuie adresate: plugin-uri neactualizate, XML-RPC activ, sau lipsa unor security headers. Rezolvarea acestora reduce semnificativ riscul de compromitere.
Critic
Site-ul are vulnerabilitati critice de securitate: wp-config expus, versiuni cu CVE-uri cunoscute, REST API deschis, login neprotejat. Necesita actiune imediata.
Securitate WordPress in cifre
Statistici despre amenintarile de securitate pe WordPress:
Atacuri brute force pe minut asupra WordPress
Din atacurile pe CMS-uri vizeaza WordPress
Din atacurile reusesc prin plugin-uri neactualizate
Verificari de securitate specifice WordPress
Rezultate reale dupa securizare WordPress
Exemple de imbunatatiri dupa rezolvarea vulnerabilitatilor identificate:
Site de stiri cu 50.000 vizitatori/luna
WordPress 5.4 neactualizat, 8 plugin-uri cu CVE-uri, XML-RPC deschis, debug mode activ. Dupa actualizare, securizare login si instalare Wordfence, site-ul a trecut de la 28 la 91 puncte securitate.
Landing page firma de avocatura
REST API expunea lista de utilizatori, wp-config accesibil, fara HTTPS. Dupa securizare completa + SSL, site-ul a obtinut scor 95 si nu a mai fost tinta atacurilor brute force.
Verificari complementare
Completeaza auditul de securitate cu aceste verificari:
Audit Complet WordPress
Verificare completa: securitate, SEO, performanta si conformitate.
Verifica gratuitVerificare Securitate
Audit de securitate general pentru orice tip de website.
Verifica gratuitVerificare SSL
Analiza completa a certificatului SSL si configuratiei HTTPS.
Verifica gratuitAudit SEO WordPress
Verificare SEO specifica pentru site-urile WordPress.
Verifica gratuitAudit adaptat per tip de site:
Intrebari frecvente — Audit Securitate WordPress
Cat de vulnerabil e site-ul meu WordPress?+
Wordfence sau Sucuri — ce recomandati?+
Cum aflu daca site-ul a fost compromis?+
Trebuie sa dezactivez XML-RPC?+
Cat de des trebuie sa fac audit de securitate?+
E suficient sa am hosting cu firewall?+
Verifica securitatea site-ului tau WordPress
Introdu URL-ul si afla instant daca site-ul tau WordPress are vulnerabilitati. Gratuit, fara inregistrare.
Incepe auditul gratuit