Salt la conținut
Înapoi la blog

Cum Să-ți Protejezi Site-ul WordPress de Hackeri în 2026

Echipa SoftAudit25 februarie 202610 min de citit
Distribuie

WordPress alimentează peste 60% din website-urile de pe internet. Această popularitate enormă îl face și cea mai mare țintă pentru hackeri: în 2025 au fost descoperite 11.334 de vulnerabilități în ecosistemul WordPress — o creștere de 42% față de anul precedent. Peste 500 de site-uri WordPress sunt sparte în fiecare zi, iar 97% din atacuri sunt automatizate — nu e un hacker care te vizează personal, ci un bot care scanează milioane de site-uri simultan.

Vestea bună: cele mai multe atacuri exploatează greșeli simple de securitate pe care le poți preveni. Acest ghid îți arată exact ce trebuie să faci pentru a-ți proteja site-ul WordPress, pas cu pas, cu acțiuni concrete pe care le poți implementa chiar azi.

Starea securității WordPress în 2026 — ce arată datele

Înainte de a trece la soluții, e important să înțelegi amenințările reale:

  • 11.334 vulnerabilități noi descoperite în 2025 (+42% față de 2024)
  • 90% din vulnerabilități provin din plugin-uri, 6% din teme, doar 4% din WordPress core
  • 53,3% din vulnerabilități sunt de tip XSS (Cross-Site Scripting)
  • 46% din vulnerabilități nu au primit patch de la dezvoltator la momentul dezvăluirii publice
  • Timpul median până la primul exploit: doar 5 ore de la dezvăluirea publică a vulnerabilității
  • 20% din vulnerabilități sunt exploatate în mai puțin de 6 ore, 45% în primele 24 de ore

Concluzia este clară: dacă nu acționezi proactiv, e o chestiune de când, nu dacă site-ul tău va fi compromis.

1. Actualizează tot — WordPress, plugin-uri și teme

Cea mai simplă și cea mai eficientă măsură de securitate. Majoritatea atacurilor exploatează vulnerabilități deja cunoscute și deja patch-uite — doar că proprietarul site-ului nu a aplicat actualizarea.

Ce trebuie actualizat

  • WordPress core — activează actualizările automate pentru versiuni minore (securitate); actualizările majore verifică-le manual
  • Plugin-uri — activează auto-update pe toate plugin-urile; verifică săptămânal dacă funcționează corect după update
  • Teme — inclusiv temele inactive (un atacator le poate exploata chiar dacă nu sunt active)
  • PHP — folosește versiunea PHP curentă suportată (PHP 8.2+ în 2026); versiunile vechi au vulnerabilități cunoscute

Ce faci cu plugin-urile abandonate

46% din vulnerabilități nu primesc patch la timp. Dacă un plugin nu a fost actualizat în ultimele 6 luni:

  • Verifică dacă dezvoltatorul încă îl menține (changelog, suport forum)
  • Caută o alternativă activă și populară
  • Dacă nu există alternativă, dezinstalează-l — un plugin abandonat este o ușă deschisă

2. Securizează autentificarea — Prima linie de apărare

Atacurile brute force (încercarea automată a miilor de combinații de user/parolă) sunt cel mai frecvent tip de atac asupra WordPress.

Parole puternice

  • Minim 16 caractere — litere mari, mici, cifre, caractere speciale
  • Unice per cont — nu reutiliza parola de WordPress pe alte servicii
  • Manager de parole — Bitwarden, 1Password sau KeePass pentru generare și stocare
  • Nu folosi username-ul „admin" — este primul pe care îl încearcă atacatorii; creează un cont nou cu alt username și șterge-l pe cel vechi

Autentificare în doi pași (2FA)

Chiar dacă un atacator ghicește parola, 2FA îl oprește. Este cea mai importantă măsură de securitate pe care o poți activa:

  • Instalează un plugin de 2FA — WP 2FA, Two-Factor, sau miniOrange
  • Activează 2FA obligatoriu pentru toți administratorii și editorii
  • Folosește aplicație de autentificare (Google Authenticator, Authy) — nu SMS (vulnerabil la SIM swap)

Limitarea încercărilor de login

  • Instalează Limit Login Attempts Reloaded sau Loginizer
  • Blochează IP-ul după 3-5 încercări eșuate
  • Adaugă CAPTCHA / Cloudflare Turnstile pe formularul de login

Schimbarea URL-ului de admin

Majoritatea boților atacă direct /wp-login.php și /wp-admin. Schimbarea URL-ului reduce drastic volumul de atacuri automate:

  • Folosește plugin-ul WPS Hide Login — simplu, ușor, fără modificări în fișiere
  • Alege un URL imprevizibil: /contul-meu-xyz nu /login2
  • Atenție: aceasta nu este o măsură de securitate în sine (security through obscurity), ci reduce zgomotul; combină-o întotdeauna cu 2FA și rate limiting

3. Instalează un plugin de securitate

Un plugin de securitate acționează ca un gardian permanent al site-ului tău.

Ce ar trebui să facă

  • Firewall (WAF) — blochează traficul malițios înainte să ajungă la WordPress
  • Scanare malware — detectează cod malițios în fișiere și baza de date
  • Monitorizare integritate fișiere — alertă când un fișier WordPress core este modificat
  • Protecție brute force — limitează automat încercările de login
  • Notificări de securitate — alertă la activități suspecte

Plugin-uri recomandate

PluginTipGratuitIdeal pentru
WordfenceWAF + ScannerDa (+ Pro)Protecție completă, cel mai popular
Sucuri SecurityWAF + CDN + ScannerParțialWAF la nivel de edge (cloud), curățare malware
Solid Security (iThemes)Hardening + 2FADa (+ Pro)Hardening ușor, fără configurare complexă
PatchstackVirtual patchingDa (+ Pro)Protecție automată la vulnerabilități noi (vPatch-uri)
All-In-One WP SecurityHardening + FirewallDaÎncepători, interfață intuitivă cu scoring

Sfat: Nu instala mai mult de un plugin de securitate — se pot conflicta și cauza probleme de performanță.

4. Configurează backup-uri automate

Niciun sistem de securitate nu este 100% infailibil. Backup-urile sunt ultima ta linie de apărare — dacă site-ul este compromis, poți restaura o versiune curată în minute, nu zile.

Reguli pentru backup-uri eficiente

  • Automate — nu te baza pe backup-uri manuale; uiți, și fix atunci ai nevoie
  • Zilnice — pentru magazine online și site-uri cu conținut dinamic
  • Săptămânale — minim pentru bloguri și site-uri statice
  • Stocate extern — nu pe același server cu site-ul; folosește Google Drive, Dropbox, Amazon S3 sau un alt server
  • Testate — un backup pe care nu l-ai restaurat niciodată poate fi corupt; testează restaurarea cel puțin o dată
  • Includ totul — fișiere WordPress + baza de date MySQL

Plugin-uri de backup

  • UpdraftPlus — cel mai popular, backup automat în cloud, restaurare cu un click
  • BlogVault — backup incremental (mai rapid), restaurare din interfața proprie
  • Duplicator — backup + migrare site

5. Securizează serverul și fișierele

WordPress rulează pe un server web — securitatea serverului contează la fel de mult ca cea a aplicației.

Permisiuni fișiere

  • Directoare: 755 — proprietarul poate citi/scrie/executa, restul doar citire
  • Fișiere: 644 — proprietarul citește/scrie, restul doar citire
  • wp-config.php: 400 sau 440 — nimeni altcineva în afara serverului nu trebuie să-l citească
  • Nu folosi niciodată 777 — oferă acces total tuturor; este cea mai frecventă greșeală

Protejează fișiere critice

Adaugă în .htaccess (Apache) sau configurarea Nginx:

  • Blochează accesul la wp-config.php din browser
  • Blochează accesul la .htaccess
  • Dezactivează listarea directoarelorOptions -Indexes
  • Blochează execuția PHP în /wp-content/uploads/ — hackerii urcă shell-uri PHP deghizate ca imagini

Dezactivează funcționalități neutilizate

  • XML-RPC — dacă nu folosești aplicația mobilă WordPress sau Jetpack, dezactivează-l; este un vector frecvent de atac brute force
  • Editarea fișierelor din admin — adaugă define('DISALLOW_FILE_EDIT', true); în wp-config.php; dacă un atacator obține acces admin, nu va putea modifica direct fișierele temei/plugin-urilor
  • REST API — restricționează la utilizatorii autentificați dacă nu ai nevoie publică de ea

Headere de securitate

Configurează headere HTTP care protejează vizitatorii:

  • Content-Security-Policy — previne XSS (53,3% din vulnerabilități WordPress)
  • X-Frame-Options: DENY — previne clickjacking
  • X-Content-Type-Options: nosniff
  • Strict-Transport-Security — forțează HTTPS
  • Referrer-Policy — controlează ce date trimite browser-ul la site-urile terțe

6. Folosește HTTPS și un CDN cu WAF

HTTPS nu mai este opțional — Google îl folosește ca factor de ranking, iar browserele afișează „Not Secure" pe site-urile HTTP.

SSL/TLS

  • Certificat SSL valid pe tot site-ul — Let's Encrypt (gratuit) sau certificat comercial
  • TLS 1.2 minim (ideal 1.3) — dezactivează TLS 1.0 și 1.1
  • Redirect forțat HTTP → HTTPS
  • Verifică mixed content — toate resursele (imagini, scripturi, CSS) trebuie servite prin HTTPS

CDN cu WAF integrat

Un CDN cu firewall la nivel de edge blochează traficul malițios înainte să ajungă la serverul tău:

  • Cloudflare — plan gratuit cu WAF de bază, protecție DDoS, CDN global
  • Sucuri — WAF specializat WordPress, curățare malware inclusă
  • Akamai, Fastly — pentru site-uri enterprise

Un WAF la nivel de edge este mai eficient decât un WAF la nivel de plugin, deoarece traficul malițios este blocat înainte să consume resursele serverului.

7. Monitorizare și detectare

Nu este suficient să configurezi securitatea o dată — trebuie să monitorizezi continuu.

Ce trebuie monitorizat

  • Modificări de fișiere — orice fișier WordPress core modificat este suspect; plugin-urile de securitate pot alerta automat
  • Utilizatori noi — un cont admin nou pe care nu l-ai creat tu este un semn clar de compromitere
  • Activitate de login — încercări eșuate repetate, login-uri din locații neobișnuite
  • Trafic anormal — spike-uri de trafic pot indica un atac DDoS sau o scanare automată
  • Google Search Console — Google te avertizează dacă detectează malware pe site-ul tău

Scanări regulate

  • Scanare malware săptămânală — cu Wordfence, Sucuri sau Patchstack
  • Verificare integritate fișiere — compară fișierele WordPress cu versiunile originale
  • Audit de vulnerabilități — verifică dacă plugin-urile și temele au vulnerabilități cunoscute

8. Ce faci dacă site-ul a fost deja spart

Dacă site-ul tău a fost compromis, acționează rapid — fiecare oră contează:

Pași imediați (primele 24 de ore)

  1. Pune site-ul în mentenanță — oprește accesul public pentru a proteja vizitatorii
  2. Creează un backup al stării curente — înainte de orice cleanup, păstrează o copie „forensic" pentru analiză
  3. Schimbă TOATE parolele — WordPress admin, FTP, baza de date, cPanel, email-ul asociat
  4. Regenerează cheile de securitate — în wp-config.php, schimbă toate salt-urile (generează noi pe api.wordpress.org/secret-key)
  5. Scanează și curăță — folosește Wordfence sau Sucuri pentru a identifica fișierele infectate
  6. Verifică utilizatorii — șterge orice cont admin pe care nu l-ai creat tu
  7. Actualizează tot — WordPress, plugin-uri, teme, PHP

După curățare

  • Trimite o cerere de reexaminare în Google Search Console dacă site-ul a fost marcat ca periculos
  • Monitorizează zilnic timp de 2 săptămâni — verifică dacă apar fișiere noi suspecte sau utilizatori necunoscuți
  • Recuperarea ranking-ului SEO poate dura 2-6 luni — cu cât acționezi mai repede, cu atât recuperarea e mai scurtă

Checklist securitate WordPress

CategorieAcțiunePrioritate
ActualizăriWordPress core actualizat la ultima versiuneCritică
ActualizăriToate plugin-urile actualizateCritică
ActualizăriTema actualizată + teme inactive șterseCritică
ActualizăriPHP 8.2+ pe serverRidicată
Autentificare2FA activat pe toate conturile adminCritică
AutentificareUsername „admin" eliminatCritică
AutentificareParole puternice (16+ caractere)Critică
AutentificareLimit login attempts activatRidicată
AutentificareURL de login schimbatMedie
SecuritatePlugin de securitate instalat (Wordfence / Sucuri)Critică
SecuritateSSL/HTTPS pe tot site-ulCritică
SecuritateHeadere de securitate configurateRidicată
SecuritateXML-RPC dezactivatRidicată
SecuritateEditarea fișierelor din admin dezactivatăRidicată
ServerPermisiuni fișiere corecte (644/755)Critică
Serverwp-config.php protejat (400/440)Critică
ServerExecuție PHP blocată în /uploads/Ridicată
ServerCDN / WAF activ (Cloudflare, Sucuri)Ridicată
BackupBackup automat zilnic/săptămânalCritică
BackupStocare externă (nu pe același server)Critică
MonitorizareScanare malware săptămânalăRidicată
MonitorizareAlertă la fișiere modificateRidicată

Concluzie

Securitatea WordPress nu este o acțiune unică — este un proces continuu. Cu 11.334 vulnerabilități noi descoperite doar în 2025 și un timp median de exploatare de doar 5 ore, nu-ți poți permite să ignori securitatea. Dar vestea bună este că 95% din atacuri pot fi prevenite cu măsuri simple: actualizări la zi, 2FA, un plugin de securitate, backup-uri și permisiuni corecte.

Începe cu cele marcate „Critică" din checklist-ul de mai sus. Fiecare pas te face mai greu de atacat, iar hackerii caută întotdeauna ținte ușoare.

Vrei să verifici cât de securizat este site-ul tău WordPress chiar acum?

Rulează un audit gratuit pe SoftAudit.ro — verificăm SSL, headere de securitate, porturi deschise, WAF, reputația domeniului, configurarea email-ului și multe altele, în câteva secunde.

Ți-a fost util acest articol? Distribuie-l și altora:

Distribuie

Articole recomandate

Verifică-ți website-ul gratuit

Rulează un audit complet — securitate, SEO, performanță, GDPR și accesibilitate — într-un singur click.

Auditează acum