Studiu: Am Auditat 100 de Site-uri din România — Rezultatele
De Echipa SoftAudit — 2026-02-28T10:00:00.000Z
Am rulat audituri complete pe 100 de website-uri românești — de la magazine online și site-uri corporative, la cabinete medicale, restaurante, agenții și bloguri. Am analizat fiecare site pe 6 categorii: securitate, SEO tehnic, performanță, accesibilitate, GDPR și configurarea email-ului. Rezultatele sunt îngrijorătoare: scorul mediu este de doar 54 din 100, iar cele mai grave probleme sunt aceleași peste tot.
Acest articol prezintă cele mai importante constatări, cu procente concrete pentru fiecare tip de problemă și recomandări de remediere. Dacă ai un website românesc, sunt șanse mari să te regăsești în aceste date.
Metodologie
Am selectat 100 de website-uri cu domeniu .ro din 10 industrii diferite: e-commerce (20), servicii profesionale (15), HoReCa (12), sănătate (10), educație (8), imobiliare (8), IT și tech (8), turism (7), construcții (7), ONG-uri (5). Fiecare site a trecut prin auditorul SoftAudit.ro care verifică peste 100 de puncte tehnice în 6 categorii.
Rezultate generale
| Metrică | Rezultat |
|---|---|
| Scor mediu general | 54 / 100 |
| Cel mai mare scor | 89 / 100 (e-commerce mare) |
| Cel mai mic scor | 18 / 100 (restaurant local) |
| Site-uri cu scor peste 70 | Doar 22% |
| Site-uri cu scor sub 40 | 31% |
Distribuția pe categorii arată diferențe mari: industria IT și e-commerce-ul mare au scoruri peste medie (65-75), în timp ce HoReCa, sănătatea și construcțiile sunt constant sub 45.
1. Securitate — Scor mediu: 48/100
Securitatea este cea mai slabă categorie din audit. Majoritatea site-urilor au SSL activ (în 2026, hosting-urile îl oferă implicit), dar aproape totul ce vine după certificat lipsește.
Constatări principale
| Problemă | % din site-uri afectate |
|---|---|
| Lipsă Content-Security-Policy (CSP) | 87% |
| Lipsă X-Content-Type-Options | 72% |
| Lipsă Permissions-Policy | 91% |
| HSTS absent sau configurat incorect | 58% |
| X-Frame-Options lipsă | 64% |
| Versiunea serverului expusă (Server header) | 69% |
| Directory listing activat | 23% |
| Porturi non-standard deschise | 34% |
| Fără WAF detectabil | 76% |
Ce înseamnă asta
87% din site-uri nu au Content-Security-Policy — cel mai important header care previne atacurile XSS (Cross-Site Scripting). Studiile globale confirmă problema: 43% din aplicațiile web nu au niciun CSP definit, iar la site-urile românești procentul este și mai mare din cauza lipsei de conștientizare.
76% nu au WAF (Web Application Firewall) — nici Cloudflare, nici Sucuri, nici altă protecție la nivel de edge. Traficul malițios ajunge direct la server fără nicio filtrare.
69% expun versiunea serverului — Apache 2.4.x, Nginx 1.x, PHP 7.x — informații pe care un atacator le folosește pentru a identifica vulnerabilități cunoscute.
Cum se remediază
- Configurează headerele de securitate în
.htaccess(Apache) saunginx.conf— durează 15 minute - Activează Cloudflare (plan gratuit) pentru WAF de bază și protecție DDoS
- Ascunde versiunea serverului:
ServerTokens Prod(Apache) sauserver_tokens off(Nginx)
2. SEO Tehnic — Scor mediu: 57/100
SEO-ul tehnic este zona cu cele mai multe „probleme ascunse" — lucruri pe care proprietarii nu le văd, dar Google le vede și le penalizează.
Constatări principale
| Problemă | % din site-uri afectate |
|---|---|
| Meta description lipsă sau duplicată | 63% |
| H1 lipsă sau multiple H1 pe pagină | 44% |
| Lipsă Schema markup (structured data) | 71% |
| Imagini fără atribut alt | 68% |
| Sitemap XML absent sau incomplet | 39% |
| Canonical tag lipsă sau incorect | 47% |
| robots.txt lipsă sau problematic | 28% |
| Linkuri interne nefuncționale (404) | 52% |
| Open Graph tags lipsă | 55% |
Ce înseamnă asta
71% nu au niciun Schema markup — zero structured data. Asta înseamnă că în rezultatele Google, aceste site-uri apar ca simple titluri text, fără stelele de recenzii, prețuri, FAQ sau breadcrumbs pe care le afișează concurența. Diferența de click-through rate: 20-30% mai puține click-uri.
63% au meta description-uri lipsă sau duplicate — Google generează automat o descriere din conținutul paginii, dar aceasta este rareori mai bună decât una scrisă manual cu un call-to-action.
52% au linkuri interne nefuncționale — pagini care duc la erori 404. Fiecare link nefuncțional este o pierdere de crawl budget și un semnal negativ de calitate.
Cum se remediază
- Adaugă meta description unice pe fiecare pagină importantă (150-160 caractere)
- Implementează minim Organization + BreadcrumbList Schema în format JSON-LD
- Folosește un crawler (Screaming Frog, Sitebulb) pentru a identifica linkurile nefuncționale
- Adaugă alt text descriptiv pe imagini — nu doar pentru SEO, ci și pentru accesibilitate
3. Performanță — Scor mediu: 52/100
Performanța este al doilea cel mai slab punct. Core Web Vitals sunt factor de ranking în Google, dar majoritatea site-urilor românești nu ating pragurile recomandate.
Constatări principale
| Problemă | % din site-uri afectate |
|---|---|
| LCP > 2.5 secunde | 61% |
| LCP > 4 secunde (slab) | 28% |
| CLS > 0.1 | 43% |
| Imagini neoptimizate (JPEG/PNG în loc de WebP) | 74% |
| Fără compresie Gzip/Brotli | 19% |
| CSS/JS neminificat | 37% |
| Fără CDN | 68% |
| JavaScript render-blocking | 56% |
| Fonturi fără font-display: swap | 48% |
Ce înseamnă asta
61% au LCP peste 2.5 secunde — elementul principal al paginii se încarcă prea lent. Studiile arată că fiecare secundă suplimentară de încărcare reduce rata de conversie cu 4,42%. Global, doar 48% din paginile mobile ating toate trei pragurile Core Web Vitals.
74% folosesc încă JPEG/PNG în loc de formate moderne (WebP, AVIF) care sunt cu 25-50% mai mici la aceeași calitate. Un magazin online cu 5.000 de imagini de produs poate economisi sute de MB de transfer doar prin schimbarea formatului.
68% nu folosesc CDN — toate resursele statice (imagini, CSS, JavaScript) sunt servite de la un singur server, adesea din România sau Germania. Un CDN (Cloudflare, Bunny CDN) le servește de la cel mai apropiat punct de prezență, reducând latența semnificativ.
Cum se remediază
- Convertește imaginile în WebP (ShortPixel, Imagify, Squoosh)
- Activează Cloudflare (gratuit) — CDN + compresie automată
- Adaugă
loading="lazy"pe imaginile sub fold (dar NU pe imaginea principală) - Mută JavaScript-ul la final de pagină cu
defer
4. GDPR și conformitate legală — Scor mediu: 46/100
GDPR este a doua cea mai slabă categorie. Studiile la nivel european confirmă: doar 15% din website-uri îndeplinesc cerințele minime de conformitate GDPR.
Constatări principale
| Problemă | % din site-uri afectate |
|---|---|
| Cookie consent lipsă complet | 34% |
| Cookie consent fără opțiune de refuz vizibilă | 41% |
| Scripturi de tracking încărcate fără consimțământ | 67% |
| Politică de confidențialitate lipsă sau incompletă | 38% |
| Date firmă incomplete (CUI, Reg. Com. lipsă) | 52% |
| Lipsă link ANPC (magazine online) | 45% din e-commerce |
| Lipsă link ODR (magazine online) | 70% din e-commerce |
| Prețuri fără TVA vizibil | 15% din e-commerce |
Ce înseamnă asta
67% încarcă scripturi de tracking fără consimțământ — Google Analytics, Facebook Pixel, TikTok Pixel se activează la încărcarea paginii, fără ca vizitatorul să fi apăsat „Accept". Aceasta este cea mai frecventă și cea mai riscantă încălcare GDPR. Amenzile ANSPDCP în primele 4 luni ale lui 2025 au depășit 230.000 EUR pentru website-uri din România.
41% au banner de cookie-uri fără opțiune vizibilă de refuz — butonul „Refuză" lipsește, este ascuns sau este mult mai puțin vizibil decât „Acceptă tot". Regulamentul GDPR cere ca refuzul să fie la fel de ușor ca acceptarea.
52% nu afișează toate datele firmei — CUI, Nr. Reg. Com., adresa sediului social — obligatorii conform legii române pentru orice activitate comercială online.
Cum se remediază
- Instalează un cookie consent care blochează efectiv scripturile third-party înainte de consimțământ (nu doar afișează un banner)
- Adaugă opțiune clară de „Refuză" la fel de vizibilă ca „Acceptă"
- Completează politica de confidențialitate cu toate elementele cerute de GDPR
- Adaugă datele firmei în footer: denumire, CUI, Nr. Reg. Com., adresă, contact
5. Accesibilitate — Scor mediu: 58/100
Accesibilitatea web este adesea complet ignorată, deși 70% din procesele privind accesibilitatea digitală vizează website-uri comerciale.
Constatări principale
| Problemă | % din site-uri afectate |
|---|---|
| Imagini fără alt text | 68% |
| Contrast insuficient text/fundal | 57% |
| Formulare fără label-uri asociate | 49% |
| Heading-uri fără ierarhie logică (H1→H3 fără H2) | 44% |
| Linkuri fără text descriptiv (click aici) | 38% |
| Lipsă atribut lang pe HTML | 31% |
| Focusul tastaturii invizibil sau blocat | 42% |
Ce înseamnă asta
68% au imagini fără alt text — aceasta este atât o problemă de accesibilitate (utilizatorii cu deficiențe de vedere nu pot interpreta imaginile), cât și o problemă SEO (Google nu „vede" imaginile fără alt text). Aceeași imagine neoptimizată afectează două categorii simultan.
57% au contrast insuficient — text gri deschis pe fundal alb, butoane pastel cu text alb — arată „modern" dar sunt ilizibile pentru mulți utilizatori. Standardul WCAG 2.1 AA cere un raport de contrast minim de 4.5:1.
Cum se remediază
- Adaugă alt text descriptiv pe toate imaginile care transmit informație
- Verifică contrastul cu instrumentul WebAIM Contrast Checker
- Asociază fiecare câmp de formular cu un
<label> - Testează navigarea prin tastatură (Tab) — fiecare element interactiv trebuie accesibil
6. Email — Scor mediu: 61/100
Configurarea email-ului (SPF, DKIM, DMARC) este surprinzător de bună comparativ cu celelalte categorii — probabil pentru că furnizorii de hosting configurează SPF automat.
Constatări principale
| Problemă | % din site-uri afectate |
|---|---|
| SPF lipsă sau invalid | 22% |
| DKIM neconfigurat | 38% |
| DMARC absent | 64% |
| DMARC cu politică p=none (doar monitorizare) | 21% |
| DMARC cu p=reject (protecție completă) | Doar 8% |
Ce înseamnă asta
64% nu au DMARC deloc — ceea ce corespunde datelor globale (71% din domenii nu au protecție DMARC efectivă). Fără DMARC, oricine poate trimite email-uri false „de la" domeniul tău — phishing care poate compromite clienții și reputația brandului.
Doar 8% au protecție completă (p=reject) — adică doar 8 din 100 de site-uri sunt protejate complet împotriva spoofing-ului de email. De la mai 2025, Microsoft (Outlook/Hotmail) respinge email-urile de la domenii fără SPF+DKIM+DMARC.
Cum se remediază
- Configurează SPF dacă lipsește — un record TXT în DNS
- Activează DKIM din panoul furnizorului de email
- Adaugă DMARC începând cu
p=nonepentru monitorizare, apoi treci lap=quarantineșip=reject - (Ghid complet configurare SPF, DKIM, DMARC)
Top 10 probleme — Clasament general
Dacă ar fi să repari doar 10 lucruri, acestea sunt cele cu cel mai mare impact:
| # | Problemă | % afectat | Categorie |
|---|---|---|---|
| 1 | Permissions-Policy lipsă | 91% | Securitate |
| 2 | Content-Security-Policy lipsă | 87% | Securitate |
| 3 | Fără WAF | 76% | Securitate |
| 4 | Imagini neoptimizate (JPEG/PNG) | 74% | Performanță |
| 5 | Versiunea serverului expusă | 72% | Securitate |
| 6 | Lipsă Schema markup | 71% | SEO |
| 7 | Fără CDN | 68% | Performanță |
| 8 | Imagini fără alt text | 68% | Accesibilitate + SEO |
| 9 | Tracking fără consimțământ GDPR | 67% | GDPR |
| 10 | DMARC absent | 64% |
Diferențe pe industrii
| Industrie | Scor mediu | Cel mai bun la | Cel mai slab la |
|---|---|---|---|
| IT și tech | 72 | Securitate, Performanță | GDPR (ironic) |
| E-commerce mare | 68 | SEO, Performanță | Accesibilitate |
| E-commerce mic | 51 | Securitate, GDPR | |
| Servicii profesionale | 56 | GDPR | Performanță |
| Sănătate | 43 | — | Securitate, Accesibilitate |
| HoReCa | 38 | — | Toate categoriile |
| Educație | 49 | Accesibilitate | Securitate |
| Imobiliare | 47 | SEO | Performanță |
| Turism | 52 | SEO | Securitate |
| Construcții | 41 | Performanță, Accesibilitate |
Observații cheie:
- HoReCa (38/100) are cel mai mic scor — site-uri vechi, neactualizate, adesea template-uri gratuite fără nicio optimizare
- IT și tech (72/100) conduce detașat — dar surprinzător, multe firme IT nu au cookie consent GDPR corect configurat
- E-commerce mare vs. mic — diferența de 17 puncte (68 vs. 51) arată că magazinele mici nu investesc în securitate și conformitate
- Sănătatea (43/100) este alarmant de jos, mai ales că aceste site-uri colectează date sensibile (programări, istoric medical)
Platformele folosite
| Platformă | % din site-uri | Scor mediu |
|---|---|---|
| WordPress | 64% | 52 |
| Custom (PHP, Node.js, etc.) | 14% | 61 |
| Shopify / WooCommerce | 11% | 58 |
| Website builders (Wix, Squarespace) | 7% | 55 |
| PrestaShop / Magento | 4% | 49 |
WordPress domină cu 64% — confirmat de statisticile globale (WordPress = ~63% cotă de piață). Dar scorul mediu de 52/100 indică o problemă sistemică: WordPress „out of the box" nu vine cu headere de securitate, Schema markup, sau optimizare de performanță. Totul depinde de configurarea și plugin-urile alese.
Concluzii și recomandări
Cele 5 acțiuni cu cel mai mare impact
Dacă ai un website românesc și nu știi de unde să începi, aceste 5 acțiuni acoperă cele mai frecvente probleme din studiul nostru:
- Activează Cloudflare (gratuit) — rezolvă simultan: WAF, CDN, compresie, headere de securitate parțiale, protecție DDoS
- Configurează headerele de securitate — CSP, HSTS, X-Frame-Options, X-Content-Type-Options — 15 minute de muncă, impact masiv
- Adaugă Schema markup JSON-LD — minim Organization + BreadcrumbList; pentru e-commerce: Product; pentru blog: Article
- Repară cookie consent-ul — blochează efectiv scripturile third-party înainte de consimțământ; adaugă buton vizibil de refuz
- Convertește imaginile în WebP și adaugă alt text descriptiv pe fiecare — îmbunătățești simultan performanța, SEO-ul și accesibilitatea
Mesajul principal
Cele mai grave probleme nu sunt complexe sau costisitoare de rezolvat. Headerele de securitate se configurează în 15 minute. Schema markup se adaugă în câteva ore. Cookie consent-ul se poate implementa corect într-o zi. Diferența dintre un scor de 40 și unul de 70 nu este un buget mare — este conștientizarea că aceste probleme există.
De aceea am creat SoftAudit.ro — pentru ca orice proprietar de website să poată vedea, în câteva secunde, exact ce probleme are și cum le poate repara.
Vrei să vezi unde se încadrează website-ul tău în acest studiu?
Rulează un audit gratuit pe SoftAudit.ro — primești un raport complet cu scor pe fiecare categorie, probleme identificate și recomandări concrete de remediere.