Top 10 Probleme de Securitate ale Website-urilor Românești în 2026
Am analizat sute de website-uri românești cu cele 27 de module de audit ale SoftAudit.ro și am identificat probleme recurente de securitate pe care le întâlnim în mod constant. Acest articol prezintă cele mai frecvente 10 vulnerabilități, de ce sunt periculoase și cum le poți remedia.
Dacă deții un website românesc — fie el magazin online, site corporativ, blog sau portofoliu — sunt șanse mari să ai cel puțin 3-4 dintre aceste probleme. Vestea bună: toate sunt remediabile.
1. Headere de securitate lipsă sau incomplete
Frecvența: ~85% din website-urile auditate
Aceasta este, cu distanță, cea mai frecventă problemă. Majoritatea site-urilor românești nu au configurat niciun header de securitate sau le au doar parțial.
Ce lipsește cel mai des:
- Content-Security-Policy (CSP) — lipsește pe ~95% din site-uri. Este cel mai puternic mecanism de protecție împotriva XSS, dar și cel mai complex de configurat.
- Strict-Transport-Security (HSTS) — lipsește pe ~70% din site-uri. Fără el, un atacator poate forța o conexiune HTTP nesecurizată (downgrade attack).
- Permissions-Policy — lipsește pe ~90% din site-uri. Permite controlul accesului la API-urile browserului (cameră, microfon, geolocalizare).
Soluția:
Adaugă headerele în configurarea serverului. Pentru Apache (.htaccess):
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Pentru Nginx, adaugă în blocul server:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
Verifică configurarea cu instrumentul nostru de verificare securitate.
2. SPF, DKIM și DMARC neconfigurat
Frecvența: ~75% au configurare incompletă
Majoritatea site-urilor au SPF (mulțumită configurării automate din cPanel), dar DKIM și DMARC sunt adesea absente. Fără DMARC, nu există nicio politică care să spună serverelor destinatarilor ce să facă cu email-urile neautentificate.
Consecințe:
- Email-urile comerciale ajung în spam
- Atacatorii pot trimite email-uri false de pe domeniul tău (phishing)
- Deliverability scăzut pentru newsletter-uri și confirmări de comandă
Soluția:
Adaugă cel puțin aceste 3 record-uri DNS de tip TXT:
# SPF (exemplu pentru Google Workspace)
v=spf1 include:_spf.google.com ~all
# DMARC (începe cu monitorizare)
_dmarc.domeniu.ro TXT "v=DMARC1; p=none; rua=mailto:dmarc@domeniu.ro"
# DKIM — activează din panoul de control al furnizorului de email
Verifică configurarea cu instrumentul nostru de verificare email.
3. Scurgeri de informații în headere HTTP
Frecvența: ~70% din website-uri
Headerele Server și X-Powered-By expun versiunea exactă a software-ului: „Apache/2.4.57", „PHP/8.1.28", „nginx/1.24.0". Un atacator folosește aceste informații pentru a căuta vulnerabilități specifice acelei versiuni.
Soluția:
În .htaccess (Apache): ServerSignature Off și Header unset X-Powered-By
În php.ini: expose_php = Off
În Nginx: server_tokens off;
4. Certificat SSL configurat suboptimal
Frecvența: ~40% au configurare suboptimală
Majoritatea site-urilor au SSL activ (mulțumită Let's Encrypt), dar configurarea nu este optimă:
- TLS 1.0/1.1 încă activ — protocoale depreciate, vulnerabile la atacuri POODLE și BEAST
- Cifruri slabe permise — RC4, 3DES, cifruri export-grade
- Forward secrecy absent — sesiunile anterioare pot fi decriptate dacă cheia privată e compromisă
- HSTS neactivat — permite downgrade de la HTTPS la HTTP
Soluția:
Dezactivează TLS 1.0 și 1.1, permite doar cifruri moderne. În LiteSpeed/Apache:
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM
Verifică în detaliu cu instrumentul nostru de verificare SSL.
5. Lipsa unui WAF (Web Application Firewall)
Frecvența: ~60% fără WAF
Fără un WAF, serverul primește direct tot traficul — inclusiv tentativele de SQL injection, XSS, brute-force pe admin, și scanări automate de vulnerabilități care rulează constant pe internet.
Soluția:
Opțiunea cea mai simplă și gratuită: Cloudflare. Activarea durează 15 minute și oferă: WAF, CDN, protecție DDoS, SSL suplimentar, și cache. Planul gratuit este suficient pentru majoritatea site-urilor.
6. Cookie consent absent sau nefuncțional
Frecvența: ~55% au probleme
Multe site-uri fie nu au deloc un banner de cookies, fie au unul care nu oferă opțiunea de refuzare (doar „Accept"), fie încarcă cookies de tracking înainte de obținerea consimțământului.
Obligații legale:
- Banner cu opțiuni de acceptare, refuzare și personalizare
- Cookie-urile non-esențiale trebuie blocate până la consimțământ
- Consimțământul trebuie să poată fi retras oricând
Verifică conformitatea cu instrumentul nostru de verificare GDPR.
7. Date firmă incomplete sau absente
Frecvența: ~45% nu afișează toate datele obligatorii
Legea 365/2002 privind comerțul electronic obligă afișarea: denumire, CUI, nr. registru comerț, adresă sediu social, date de contact. Sancțiunile: amenzi de la 5.000 la 100.000 lei.
8. Porturi de baze de date deschise public
Frecvența: ~15% (dar critic când există)
Am găsit servere cu portul 3306 (MySQL) sau 5432 (PostgreSQL) deschis pe internet. Aceasta este o vulnerabilitate critică — un atacator poate încerca brute-force pe credențialele bazei de date și obține acces complet la toate datele.
Soluția:
Configurează firewall-ul (iptables/firewalld) să permită acces la porturile de baze de date doar de pe localhost sau de pe IP-urile specifice.
9. Redirect HTTP → HTTPS incomplet
Frecvența: ~30% au redirect-uri incomplete
Site-ul este accesibil și pe HTTP (fără lacăt), ceea ce permite: interceptarea traficului, cookie theft, și confuzie Google (indexare pe ambele versiuni = conținut duplicat).
Soluția:
# .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
10. Plugin-uri și CMS neactualizate
Frecvența: ~50% pentru site-urile WordPress
WordPress cu plugin-uri vechi este cea mai frecventă sursă de compromise. Un singur plugin vulnerabil poate oferi acces complet la site.
Soluția:
- Activează actualizările automate pentru WordPress core și plugin-uri
- Dezinstalează plugin-urile nefolosite (nu doar dezactivare — dezinstalare)
- Folosește un WAF (Cloudflare, Wordfence, Sucuri) ca strat suplimentar
Cum verifici rapid toate aceste probleme
Nu trebuie să verifici manual fiecare punct. Auditul complet SoftAudit verifică automat 27 de module — inclusiv toate cele 10 probleme de mai sus — și generează un raport PDF cu probleme identificate și recomandări concrete de remediere. Primul audit este gratuit.
Alternativ, dacă vrei să verifici doar o categorie specifică, folosește instrumentele noastre dedicate:
- Verificare Securitate — SSL, headere, porturi, WAF, blacklist
- Verificare SSL — certificat, TLS, forward secrecy, cifruri
- Verificare Email — SPF, DKIM, DMARC, MTA-STS
- Verificare GDPR — cookies, date firmă, ANPC, accesibilitate
- Test Performanță — Core Web Vitals, TTFB, compresie
Articole recomandate
Cum Să Îmbunătățești Viteza Site-ului — 20 de Metode Testate (2026)
20 de metode testate și ordonate după impact real pentru a accelera site-ul tău. De la optimizări simple fără cod până la tehnici avansate — cu statistici, exemple și checklist practic.
CiteșteCe Este Certificatul SSL și Cum Îl Verifici Corect
Află ce este un certificat SSL, cum funcționează, de ce e obligatoriu în 2026 și cum verifici dacă site-ul tău îl are configurat corect. Ghid complet, fără jargon.
CiteșteCum Să Alegi Hosting-ul Potrivit pentru Viteza și Securitatea Site-ului
Ghid complet pentru alegerea hosting-ului potrivit: ce tipuri există, ce contează pentru viteză și securitate, la ce să te uiți și ce să eviți. Explicat simplu.
CiteșteVerifică-ți website-ul gratuit
Rulează un audit complet — securitate, SEO, performanță, GDPR și accesibilitate — într-un singur click.
Auditează acum