Cum Să-ți Protejezi Site-ul WordPress de Hackeri în 2026
WordPress alimentează peste 60% din website-urile de pe internet. Această popularitate enormă îl face și cea mai mare țintă pentru hackeri: în 2025 au fost descoperite 11.334 de vulnerabilități în ecosistemul WordPress — o creștere de 42% față de anul precedent. Peste 500 de site-uri WordPress sunt sparte în fiecare zi, iar 97% din atacuri sunt automatizate — nu e un hacker care te vizează personal, ci un bot care scanează milioane de site-uri simultan.
Vestea bună: cele mai multe atacuri exploatează greșeli simple de securitate pe care le poți preveni. Acest ghid îți arată exact ce trebuie să faci pentru a-ți proteja site-ul WordPress, pas cu pas, cu acțiuni concrete pe care le poți implementa chiar azi.
Starea securității WordPress în 2026 — ce arată datele
Înainte de a trece la soluții, e important să înțelegi amenințările reale:
- 11.334 vulnerabilități noi descoperite în 2025 (+42% față de 2024)
- 90% din vulnerabilități provin din plugin-uri, 6% din teme, doar 4% din WordPress core
- 53,3% din vulnerabilități sunt de tip XSS (Cross-Site Scripting)
- 46% din vulnerabilități nu au primit patch de la dezvoltator la momentul dezvăluirii publice
- Timpul median până la primul exploit: doar 5 ore de la dezvăluirea publică a vulnerabilității
- 20% din vulnerabilități sunt exploatate în mai puțin de 6 ore, 45% în primele 24 de ore
Concluzia este clară: dacă nu acționezi proactiv, e o chestiune de când, nu dacă site-ul tău va fi compromis.
1. Actualizează tot — WordPress, plugin-uri și teme
Cea mai simplă și cea mai eficientă măsură de securitate. Majoritatea atacurilor exploatează vulnerabilități deja cunoscute și deja patch-uite — doar că proprietarul site-ului nu a aplicat actualizarea.
Ce trebuie actualizat
- WordPress core — activează actualizările automate pentru versiuni minore (securitate); actualizările majore verifică-le manual
- Plugin-uri — activează auto-update pe toate plugin-urile; verifică săptămânal dacă funcționează corect după update
- Teme — inclusiv temele inactive (un atacator le poate exploata chiar dacă nu sunt active)
- PHP — folosește versiunea PHP curentă suportată (PHP 8.2+ în 2026); versiunile vechi au vulnerabilități cunoscute
Ce faci cu plugin-urile abandonate
46% din vulnerabilități nu primesc patch la timp. Dacă un plugin nu a fost actualizat în ultimele 6 luni:
- Verifică dacă dezvoltatorul încă îl menține (changelog, suport forum)
- Caută o alternativă activă și populară
- Dacă nu există alternativă, dezinstalează-l — un plugin abandonat este o ușă deschisă
2. Securizează autentificarea — Prima linie de apărare
Atacurile brute force (încercarea automată a miilor de combinații de user/parolă) sunt cel mai frecvent tip de atac asupra WordPress.
Parole puternice
- Minim 16 caractere — litere mari, mici, cifre, caractere speciale
- Unice per cont — nu reutiliza parola de WordPress pe alte servicii
- Manager de parole — Bitwarden, 1Password sau KeePass pentru generare și stocare
- Nu folosi username-ul „admin" — este primul pe care îl încearcă atacatorii; creează un cont nou cu alt username și șterge-l pe cel vechi
Autentificare în doi pași (2FA)
Chiar dacă un atacator ghicește parola, 2FA îl oprește. Este cea mai importantă măsură de securitate pe care o poți activa:
- Instalează un plugin de 2FA — WP 2FA, Two-Factor, sau miniOrange
- Activează 2FA obligatoriu pentru toți administratorii și editorii
- Folosește aplicație de autentificare (Google Authenticator, Authy) — nu SMS (vulnerabil la SIM swap)
Limitarea încercărilor de login
- Instalează Limit Login Attempts Reloaded sau Loginizer
- Blochează IP-ul după 3-5 încercări eșuate
- Adaugă CAPTCHA / Cloudflare Turnstile pe formularul de login
Schimbarea URL-ului de admin
Majoritatea boților atacă direct /wp-login.php și /wp-admin. Schimbarea URL-ului reduce drastic volumul de atacuri automate:
- Folosește plugin-ul WPS Hide Login — simplu, ușor, fără modificări în fișiere
- Alege un URL imprevizibil:
/contul-meu-xyznu/login2 - Atenție: aceasta nu este o măsură de securitate în sine (security through obscurity), ci reduce zgomotul; combină-o întotdeauna cu 2FA și rate limiting
3. Instalează un plugin de securitate
Un plugin de securitate acționează ca un gardian permanent al site-ului tău.
Ce ar trebui să facă
- Firewall (WAF) — blochează traficul malițios înainte să ajungă la WordPress
- Scanare malware — detectează cod malițios în fișiere și baza de date
- Monitorizare integritate fișiere — alertă când un fișier WordPress core este modificat
- Protecție brute force — limitează automat încercările de login
- Notificări de securitate — alertă la activități suspecte
Plugin-uri recomandate
| Plugin | Tip | Gratuit | Ideal pentru |
|---|---|---|---|
| Wordfence | WAF + Scanner | Da (+ Pro) | Protecție completă, cel mai popular |
| Sucuri Security | WAF + CDN + Scanner | Parțial | WAF la nivel de edge (cloud), curățare malware |
| Solid Security (iThemes) | Hardening + 2FA | Da (+ Pro) | Hardening ușor, fără configurare complexă |
| Patchstack | Virtual patching | Da (+ Pro) | Protecție automată la vulnerabilități noi (vPatch-uri) |
| All-In-One WP Security | Hardening + Firewall | Da | Începători, interfață intuitivă cu scoring |
Sfat: Nu instala mai mult de un plugin de securitate — se pot conflicta și cauza probleme de performanță.
4. Configurează backup-uri automate
Niciun sistem de securitate nu este 100% infailibil. Backup-urile sunt ultima ta linie de apărare — dacă site-ul este compromis, poți restaura o versiune curată în minute, nu zile.
Reguli pentru backup-uri eficiente
- Automate — nu te baza pe backup-uri manuale; uiți, și fix atunci ai nevoie
- Zilnice — pentru magazine online și site-uri cu conținut dinamic
- Săptămânale — minim pentru bloguri și site-uri statice
- Stocate extern — nu pe același server cu site-ul; folosește Google Drive, Dropbox, Amazon S3 sau un alt server
- Testate — un backup pe care nu l-ai restaurat niciodată poate fi corupt; testează restaurarea cel puțin o dată
- Includ totul — fișiere WordPress + baza de date MySQL
Plugin-uri de backup
- UpdraftPlus — cel mai popular, backup automat în cloud, restaurare cu un click
- BlogVault — backup incremental (mai rapid), restaurare din interfața proprie
- Duplicator — backup + migrare site
5. Securizează serverul și fișierele
WordPress rulează pe un server web — securitatea serverului contează la fel de mult ca cea a aplicației.
Permisiuni fișiere
- Directoare: 755 — proprietarul poate citi/scrie/executa, restul doar citire
- Fișiere: 644 — proprietarul citește/scrie, restul doar citire
- wp-config.php: 400 sau 440 — nimeni altcineva în afara serverului nu trebuie să-l citească
- Nu folosi niciodată 777 — oferă acces total tuturor; este cea mai frecventă greșeală
Protejează fișiere critice
Adaugă în .htaccess (Apache) sau configurarea Nginx:
- Blochează accesul la wp-config.php din browser
- Blochează accesul la .htaccess
- Dezactivează listarea directoarelor —
Options -Indexes - Blochează execuția PHP în /wp-content/uploads/ — hackerii urcă shell-uri PHP deghizate ca imagini
Dezactivează funcționalități neutilizate
- XML-RPC — dacă nu folosești aplicația mobilă WordPress sau Jetpack, dezactivează-l; este un vector frecvent de atac brute force
- Editarea fișierelor din admin — adaugă
define('DISALLOW_FILE_EDIT', true);în wp-config.php; dacă un atacator obține acces admin, nu va putea modifica direct fișierele temei/plugin-urilor - REST API — restricționează la utilizatorii autentificați dacă nu ai nevoie publică de ea
Headere de securitate
Configurează headere HTTP care protejează vizitatorii:
- Content-Security-Policy — previne XSS (53,3% din vulnerabilități WordPress)
- X-Frame-Options: DENY — previne clickjacking
- X-Content-Type-Options: nosniff
- Strict-Transport-Security — forțează HTTPS
- Referrer-Policy — controlează ce date trimite browser-ul la site-urile terțe
6. Folosește HTTPS și un CDN cu WAF
HTTPS nu mai este opțional — Google îl folosește ca factor de ranking, iar browserele afișează „Not Secure" pe site-urile HTTP.
SSL/TLS
- Certificat SSL valid pe tot site-ul — Let's Encrypt (gratuit) sau certificat comercial
- TLS 1.2 minim (ideal 1.3) — dezactivează TLS 1.0 și 1.1
- Redirect forțat HTTP → HTTPS
- Verifică mixed content — toate resursele (imagini, scripturi, CSS) trebuie servite prin HTTPS
CDN cu WAF integrat
Un CDN cu firewall la nivel de edge blochează traficul malițios înainte să ajungă la serverul tău:
- Cloudflare — plan gratuit cu WAF de bază, protecție DDoS, CDN global
- Sucuri — WAF specializat WordPress, curățare malware inclusă
- Akamai, Fastly — pentru site-uri enterprise
Un WAF la nivel de edge este mai eficient decât un WAF la nivel de plugin, deoarece traficul malițios este blocat înainte să consume resursele serverului.
7. Monitorizare și detectare
Nu este suficient să configurezi securitatea o dată — trebuie să monitorizezi continuu.
Ce trebuie monitorizat
- Modificări de fișiere — orice fișier WordPress core modificat este suspect; plugin-urile de securitate pot alerta automat
- Utilizatori noi — un cont admin nou pe care nu l-ai creat tu este un semn clar de compromitere
- Activitate de login — încercări eșuate repetate, login-uri din locații neobișnuite
- Trafic anormal — spike-uri de trafic pot indica un atac DDoS sau o scanare automată
- Google Search Console — Google te avertizează dacă detectează malware pe site-ul tău
Scanări regulate
- Scanare malware săptămânală — cu Wordfence, Sucuri sau Patchstack
- Verificare integritate fișiere — compară fișierele WordPress cu versiunile originale
- Audit de vulnerabilități — verifică dacă plugin-urile și temele au vulnerabilități cunoscute
8. Ce faci dacă site-ul a fost deja spart
Dacă site-ul tău a fost compromis, acționează rapid — fiecare oră contează:
Pași imediați (primele 24 de ore)
- Pune site-ul în mentenanță — oprește accesul public pentru a proteja vizitatorii
- Creează un backup al stării curente — înainte de orice cleanup, păstrează o copie „forensic" pentru analiză
- Schimbă TOATE parolele — WordPress admin, FTP, baza de date, cPanel, email-ul asociat
- Regenerează cheile de securitate — în wp-config.php, schimbă toate salt-urile (generează noi pe api.wordpress.org/secret-key)
- Scanează și curăță — folosește Wordfence sau Sucuri pentru a identifica fișierele infectate
- Verifică utilizatorii — șterge orice cont admin pe care nu l-ai creat tu
- Actualizează tot — WordPress, plugin-uri, teme, PHP
După curățare
- Trimite o cerere de reexaminare în Google Search Console dacă site-ul a fost marcat ca periculos
- Monitorizează zilnic timp de 2 săptămâni — verifică dacă apar fișiere noi suspecte sau utilizatori necunoscuți
- Recuperarea ranking-ului SEO poate dura 2-6 luni — cu cât acționezi mai repede, cu atât recuperarea e mai scurtă
Checklist securitate WordPress
| Categorie | Acțiune | Prioritate |
|---|---|---|
| Actualizări | WordPress core actualizat la ultima versiune | Critică |
| Actualizări | Toate plugin-urile actualizate | Critică |
| Actualizări | Tema actualizată + teme inactive șterse | Critică |
| Actualizări | PHP 8.2+ pe server | Ridicată |
| Autentificare | 2FA activat pe toate conturile admin | Critică |
| Autentificare | Username „admin" eliminat | Critică |
| Autentificare | Parole puternice (16+ caractere) | Critică |
| Autentificare | Limit login attempts activat | Ridicată |
| Autentificare | URL de login schimbat | Medie |
| Securitate | Plugin de securitate instalat (Wordfence / Sucuri) | Critică |
| Securitate | SSL/HTTPS pe tot site-ul | Critică |
| Securitate | Headere de securitate configurate | Ridicată |
| Securitate | XML-RPC dezactivat | Ridicată |
| Securitate | Editarea fișierelor din admin dezactivată | Ridicată |
| Server | Permisiuni fișiere corecte (644/755) | Critică |
| Server | wp-config.php protejat (400/440) | Critică |
| Server | Execuție PHP blocată în /uploads/ | Ridicată |
| Server | CDN / WAF activ (Cloudflare, Sucuri) | Ridicată |
| Backup | Backup automat zilnic/săptămânal | Critică |
| Backup | Stocare externă (nu pe același server) | Critică |
| Monitorizare | Scanare malware săptămânală | Ridicată |
| Monitorizare | Alertă la fișiere modificate | Ridicată |
Concluzie
Securitatea WordPress nu este o acțiune unică — este un proces continuu. Cu 11.334 vulnerabilități noi descoperite doar în 2025 și un timp median de exploatare de doar 5 ore, nu-ți poți permite să ignori securitatea. Dar vestea bună este că 95% din atacuri pot fi prevenite cu măsuri simple: actualizări la zi, 2FA, un plugin de securitate, backup-uri și permisiuni corecte.
Începe cu cele marcate „Critică" din checklist-ul de mai sus. Fiecare pas te face mai greu de atacat, iar hackerii caută întotdeauna ținte ușoare.
Vrei să verifici cât de securizat este site-ul tău WordPress chiar acum?
Rulează un audit gratuit pe SoftAudit.ro — verificăm SSL, headere de securitate, porturi deschise, WAF, reputația domeniului, configurarea email-ului și multe altele, în câteva secunde.
Articole recomandate
Cum Să Îmbunătățești Viteza Site-ului — 20 de Metode Testate (2026)
20 de metode testate și ordonate după impact real pentru a accelera site-ul tău. De la optimizări simple fără cod până la tehnici avansate — cu statistici, exemple și checklist practic.
CiteșteCe Este Certificatul SSL și Cum Îl Verifici Corect
Află ce este un certificat SSL, cum funcționează, de ce e obligatoriu în 2026 și cum verifici dacă site-ul tău îl are configurat corect. Ghid complet, fără jargon.
CiteșteCum Să Alegi Hosting-ul Potrivit pentru Viteza și Securitatea Site-ului
Ghid complet pentru alegerea hosting-ului potrivit: ce tipuri există, ce contează pentru viteză și securitate, la ce să te uiți și ce să eviți. Explicat simplu.
CiteșteVerifică-ți website-ul gratuit
Rulează un audit complet — securitate, SEO, performanță, GDPR și accesibilitate — într-un singur click.
Auditează acum