Salt la conținut
Înapoi la blog

Top 10 Probleme de Securitate ale Website-urilor Românești în 2026

Echipa SoftAudit18 ianuarie 20265 min de citit
Distribuie

Am analizat sute de website-uri românești cu cele 27 de module de audit ale SoftAudit.ro și am identificat probleme recurente de securitate pe care le întâlnim în mod constant. Acest articol prezintă cele mai frecvente 10 vulnerabilități, de ce sunt periculoase și cum le poți remedia.

Dacă deții un website românesc — fie el magazin online, site corporativ, blog sau portofoliu — sunt șanse mari să ai cel puțin 3-4 dintre aceste probleme. Vestea bună: toate sunt remediabile.

1. Headere de securitate lipsă sau incomplete

Frecvența: ~85% din website-urile auditate

Aceasta este, cu distanță, cea mai frecventă problemă. Majoritatea site-urilor românești nu au configurat niciun header de securitate sau le au doar parțial.

Ce lipsește cel mai des:

  • Content-Security-Policy (CSP) — lipsește pe ~95% din site-uri. Este cel mai puternic mecanism de protecție împotriva XSS, dar și cel mai complex de configurat.
  • Strict-Transport-Security (HSTS) — lipsește pe ~70% din site-uri. Fără el, un atacator poate forța o conexiune HTTP nesecurizată (downgrade attack).
  • Permissions-Policy — lipsește pe ~90% din site-uri. Permite controlul accesului la API-urile browserului (cameră, microfon, geolocalizare).

Soluția:

Adaugă headerele în configurarea serverului. Pentru Apache (.htaccess):

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"

Pentru Nginx, adaugă în blocul server:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Verifică configurarea cu instrumentul nostru de verificare securitate.

2. SPF, DKIM și DMARC neconfigurat

Frecvența: ~75% au configurare incompletă

Majoritatea site-urilor au SPF (mulțumită configurării automate din cPanel), dar DKIM și DMARC sunt adesea absente. Fără DMARC, nu există nicio politică care să spună serverelor destinatarilor ce să facă cu email-urile neautentificate.

Consecințe:

  • Email-urile comerciale ajung în spam
  • Atacatorii pot trimite email-uri false de pe domeniul tău (phishing)
  • Deliverability scăzut pentru newsletter-uri și confirmări de comandă

Soluția:

Adaugă cel puțin aceste 3 record-uri DNS de tip TXT:

# SPF (exemplu pentru Google Workspace)
v=spf1 include:_spf.google.com ~all

# DMARC (începe cu monitorizare)
_dmarc.domeniu.ro  TXT  "v=DMARC1; p=none; rua=mailto:dmarc@domeniu.ro"

# DKIM — activează din panoul de control al furnizorului de email

Verifică configurarea cu instrumentul nostru de verificare email.

3. Scurgeri de informații în headere HTTP

Frecvența: ~70% din website-uri

Headerele Server și X-Powered-By expun versiunea exactă a software-ului: „Apache/2.4.57", „PHP/8.1.28", „nginx/1.24.0". Un atacator folosește aceste informații pentru a căuta vulnerabilități specifice acelei versiuni.

Soluția:

În .htaccess (Apache): ServerSignature Off și Header unset X-Powered-By

În php.ini: expose_php = Off

În Nginx: server_tokens off;

4. Certificat SSL configurat suboptimal

Frecvența: ~40% au configurare suboptimală

Majoritatea site-urilor au SSL activ (mulțumită Let's Encrypt), dar configurarea nu este optimă:

  • TLS 1.0/1.1 încă activ — protocoale depreciate, vulnerabile la atacuri POODLE și BEAST
  • Cifruri slabe permise — RC4, 3DES, cifruri export-grade
  • Forward secrecy absent — sesiunile anterioare pot fi decriptate dacă cheia privată e compromisă
  • HSTS neactivat — permite downgrade de la HTTPS la HTTP

Soluția:

Dezactivează TLS 1.0 și 1.1, permite doar cifruri moderne. În LiteSpeed/Apache:

SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM

Verifică în detaliu cu instrumentul nostru de verificare SSL.

5. Lipsa unui WAF (Web Application Firewall)

Frecvența: ~60% fără WAF

Fără un WAF, serverul primește direct tot traficul — inclusiv tentativele de SQL injection, XSS, brute-force pe admin, și scanări automate de vulnerabilități care rulează constant pe internet.

Soluția:

Opțiunea cea mai simplă și gratuită: Cloudflare. Activarea durează 15 minute și oferă: WAF, CDN, protecție DDoS, SSL suplimentar, și cache. Planul gratuit este suficient pentru majoritatea site-urilor.

Frecvența: ~55% au probleme

Multe site-uri fie nu au deloc un banner de cookies, fie au unul care nu oferă opțiunea de refuzare (doar „Accept"), fie încarcă cookies de tracking înainte de obținerea consimțământului.

Obligații legale:

  • Banner cu opțiuni de acceptare, refuzare și personalizare
  • Cookie-urile non-esențiale trebuie blocate până la consimțământ
  • Consimțământul trebuie să poată fi retras oricând

Verifică conformitatea cu instrumentul nostru de verificare GDPR.

7. Date firmă incomplete sau absente

Frecvența: ~45% nu afișează toate datele obligatorii

Legea 365/2002 privind comerțul electronic obligă afișarea: denumire, CUI, nr. registru comerț, adresă sediu social, date de contact. Sancțiunile: amenzi de la 5.000 la 100.000 lei.

8. Porturi de baze de date deschise public

Frecvența: ~15% (dar critic când există)

Am găsit servere cu portul 3306 (MySQL) sau 5432 (PostgreSQL) deschis pe internet. Aceasta este o vulnerabilitate critică — un atacator poate încerca brute-force pe credențialele bazei de date și obține acces complet la toate datele.

Soluția:

Configurează firewall-ul (iptables/firewalld) să permită acces la porturile de baze de date doar de pe localhost sau de pe IP-urile specifice.

9. Redirect HTTP → HTTPS incomplet

Frecvența: ~30% au redirect-uri incomplete

Site-ul este accesibil și pe HTTP (fără lacăt), ceea ce permite: interceptarea traficului, cookie theft, și confuzie Google (indexare pe ambele versiuni = conținut duplicat).

Soluția:

# .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

10. Plugin-uri și CMS neactualizate

Frecvența: ~50% pentru site-urile WordPress

WordPress cu plugin-uri vechi este cea mai frecventă sursă de compromise. Un singur plugin vulnerabil poate oferi acces complet la site.

Soluția:

  • Activează actualizările automate pentru WordPress core și plugin-uri
  • Dezinstalează plugin-urile nefolosite (nu doar dezactivare — dezinstalare)
  • Folosește un WAF (Cloudflare, Wordfence, Sucuri) ca strat suplimentar

Cum verifici rapid toate aceste probleme

Nu trebuie să verifici manual fiecare punct. Auditul complet SoftAudit verifică automat 27 de module — inclusiv toate cele 10 probleme de mai sus — și generează un raport PDF cu probleme identificate și recomandări concrete de remediere. Primul audit este gratuit.

Alternativ, dacă vrei să verifici doar o categorie specifică, folosește instrumentele noastre dedicate:

Ți-a fost util acest articol? Distribuie-l și altora:

Distribuie

Articole recomandate

Verifică-ți website-ul gratuit

Rulează un audit complet — securitate, SEO, performanță, GDPR și accesibilitate — într-un singur click.

Auditează acum