Peste 181 termeni tehnici explicați pe înțelesul tuturor. Fiecare concept din raportul de audit, explicat simplu.
A8 termeni
A / AAAA Records
DNS
Inregistrarile care leaga domeniul de adresa IP a serverului
Inregistrarea A leaga un domeniu de o adresa IPv4 (ex: 93.184.216.34), iar AAAA de o adresa IPv6 (ex: 2606:2800:220:1:248:...). Sunt cele mai importante inregistrari DNS — fara ele, browserul nu stie unde sa gaseasca serverul tau.
Atribute HTML care fac elementele interactive accesibile
ARIA este un set de atribute HTML care adauga informatii suplimentare pentru tehnologiile asistive (cititoare de ecran). De exemplu, un buton de meniu poate avea aria-expanded="true" pentru a indica ca meniul este deschis. ARIA nu modifica aspectul vizual, dar face interfata inteligibila pentru persoanele cu dizabilitati vizuale.
Descrierea textuala a unei imagini pentru cititoarele de ecran
Alt text este o descriere textuala atribuita imaginilor din pagina. Este citita de cititoarele de ecran pentru persoanele cu dizabilitati vizuale si afisata cand imaginea nu se poate incarca. Un alt text bun descrie ce contine imaginea, nu doar "imagine" sau "foto". Este important si pentru SEO — Google il foloseste pentru a intelege imaginile.
💡
Slab: alt="imagine" | Bun: alt="Laptop Dell pe birou de lemn, deschis la pagina principala"
Autoritatea Nationala pentru Protectia Consumatorilor din Romania
ANPC (Autoritatea Nationala pentru Protectia Consumatorilor) este institutia romana care supravegheaza respectarea drepturilor consumatorilor. Site-urile de comert electronic din Romania sunt obligate prin lege sa afiseze un link catre ANPC (anpc.ro) si catre platforma europeana de solutionare a litigiilor online (ODR).
"Above the fold" se refera la continutul vizibil imediat dupa incarcarea paginii, fara a face scroll. Termenul vine din presa tiparita (deasupra pliului ziarului). Informatiile cele mai importante, CTA-ul principal si propunerea de valoare ar trebui sa fie above the fold. Pe mobil, above the fold este semnificativ mai mic decat pe desktop.
Continut video sau audio care porneste automat fara interactiunea utilizatorului
Autoplay media se refera la continut video sau audio care porneste automat cand se incarca pagina, fara ca utilizatorul sa apese play. Este problematic pentru accesibilitate (sperie utilizatorii cu cititoare de ecran), UX (consuma date mobile) si poate fi intruziv. WCAG recomanda ca media sa nu porneasca automat sau sa aiba mecanism de oprire vizibil.
Date structurate pentru articole care permit afisarea in Google News si rich results
Article si BlogPosting sunt tipuri Schema.org pentru marcarea articolelor. Includ: autor, data publicarii, imaginea principala, editorul. Permit eligibilitatea pentru Google News, Top Stories si rich results cu imagine. Fara ele, articolele tale sunt "invizibile" pentru formatele speciale Google.
ANSPDCP (Autoritatea Nationala de Protectie a Datelor)
Conformitate
Autoritatea romana care aplica GDPR si protejeaza datele personale
ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal) este echivalentul romanesc al autoritatilor de protectia datelor din UE. Aplica GDPR in Romania si poate emite amenzi de pana la 20 milioane EUR sau 4% din cifra de afaceri. Asigura-te ca site-ul tau este conform GDPR si are o politica de confidentialitate completa.
Blacklistele sunt baze de date mentinute de companii de securitate (Google Safe Browsing, Spamhaus, PhishTank etc.) care contin site-uri marcate ca periculoase: malware, phishing, spam. Daca site-ul tau ajunge pe o blacklist, browserele vor avertiza vizitatorii, iar motoarele de cautare te pot penaliza sau elimina din rezultate.
Afiseaza logo-ul brandului in inbox-ul destinatarilor
BIMI (Brand Indicators for Message Identification) permite afisarea logo-ului companiei tale langa emailuri in inbox-ul destinatarilor (Gmail, Yahoo). Necesita DMARC cu politica "quarantine" sau "reject" si, optional, un certificat VMC (Verified Mark Certificate). Creste increderea si rata de deschidere a emailurilor.
Linkuri care duc catre pagini inexistente (erori 404)
Linkurile rupte sunt hyperlink-uri care duc catre pagini care nu mai exista (eroare 404) sau nu raspund. Afecteaza negativ experienta utilizatorului (ajunge la o pagina de eroare) si SEO-ul (Google interpreteaza linkurile rupte ca un semn de neglijenta). Verificarea periodica si repararea lor este esentiala.
Navigatia secundara care arata pozitia utilizatorului in structura site-ului
Breadcrumbs (pesmetii) sunt o navigatie secundara care arata calea de la pagina principala la pagina curenta: Acasa > Categoria > Subcategoria > Produs. Ajuta utilizatorul sa inteleaga unde se afla in structura site-ului si sa navigheze inapoi. Google le poate afisa si in rezultatele cautarii.
Mecanisme care detecteaza si blocheaza traficul automat malitios
Bot Protection se refera la mecanismele care detecteaza si blocheaza traficul automat nedorit: scrapere, brute-force pe formulare de login, spam in comentarii etc. Include CAPTCHA, rate limiting (limitarea numarului de cereri), JavaScript challenges si analiza comportamentala. WAF-urile moderne includ protectie anti-bot.
Algoritm modern de compresie dezvoltat de Google, mai eficient decat Gzip
Brotli este un algoritm de compresie dezvoltat de Google, suportat de toate browserele moderne. Comprima fisierele (HTML, CSS, JS) cu 15-25% mai bine decat Gzip, ceea ce inseamna transfer mai rapid si pagini mai usoare. Se activeaza pe server (Apache, Nginx, LiteSpeed). Auditul verifica daca serverul ofera Brotli si recomanda upgrade-ul de la Gzip.
Procentul vizitatorilor care parasesc site-ul dupa vizualizarea unei singure pagini
Bounce rate masoara cati vizitatori ajung pe site si pleaca fara sa faca nicio actiune: nu dau click, nu navigheaza, nu interactioneaza. Un bounce rate ridicat (peste 70%) semnaleaza probleme: continut irelevant, design neatractiv, viteza de incarcare slaba sau lipsa unui CTA clar. Google interpreta bounce rate-ul ca semnal de calitate.
Date structurate care afiseaza calea de navigare in rezultatele Google
BreadcrumbList schema marcheaza ierarhia de navigare a paginii (Acasa > Categorie > Produs). Google afiseaza aceasta ierarhie direct in rezultatele cautarii, inlocuind URL-ul simplu cu breadcrumbs vizuale. Ajuta utilizatorii sa inteleaga structura site-ului inainte de a face click si imbunatateste CTR-ul.
Reguli care controleaza ce resurse poate incarca pagina
CSP este un antet de securitate care spune browserului exact ce resurse (scripturi, imagini, fonturi) sunt permise pe pagina. Daca un atacator incearca sa injecteze cod malitios, browserul il blocheaza automat pentru ca nu este in lista de surse aprobate. Este una dintre cele mai eficiente protectii impotriva atacurilor XSS.
💡
CSP functioneaza ca un bodyguard la intrarea unui club — lasa sa intre doar persoanele de pe lista.
Reguli care permit sau blocheaza cereri intre site-uri diferite
CORS (Cross-Origin Resource Sharing) este un mecanism de securitate care controleaza ce alte site-uri pot accesa resursele tale. De exemplu, daca ai un API la api.exemplu.ro, CORS decide daca site-ul altcineva.ro poate face cereri catre el. Fara CORS configurat corect, datele pot fi accesate de site-uri neautorizate.
💡
E ca regulile de acces intr-o cladire: doar angajatii cu badge au acces, nu oricine de pe strada.
Lantul de incredere de la certificatul site-ului pana la autoritatea de certificare
Un certificat SSL nu functioneaza singur — face parte dintr-un lant de incredere. Certificatul site-ului tau este semnat de un certificat intermediar, care la randul lui este semnat de un certificat root (autoritate de certificare). Daca lantul este incomplet sau incorect, browserele vor afisa avertismente de securitate.
💡
E ca un arbore genealogic: site-ul tau e copilul, intermediarul e parintele, iar root-ul e strabunicul recunoscut de toti.
Combinatia de algoritmi de criptare folositi pentru o conexiune securizata
O cipher suite este un set de algoritmi care definesc cum se cripteaza comunicarea: cum se face schimbul de chei, ce algoritm de criptare se foloseste si cum se verifica integritatea datelor. Serverul si browserul negociaza automat cea mai puternica cipher suite pe care ambele o suporta.
Certificat SSL creat si semnat de proprietarul site-ului, nu de o autoritate
Un certificat self-signed este creat si semnat de proprietarul site-ului, nu de o autoritate de certificare recunoscuta. Browserele nu au incredere in aceste certificate si vor afisa avertismente. Sunt acceptabile doar pentru medii de dezvoltare/testare, niciodata pentru site-uri publice.
Sistem public de monitorizare a certificatelor SSL emise
Certificate Transparency este un sistem care inregistreaza public toate certificatele SSL emise. Permite proprietarilor de domenii sa detecteze certificate frauduloase emise in numele lor. Browserele moderne (Chrome) cer ca certificatele sa fie inregistrate in logurile CT pentru a fi acceptate.
Inregistrare DNS care specifica cine poate emite certificate SSL
O inregistrare CAA in DNS-ul domeniului specifica exact ce autoritati de certificare (Let's Encrypt, DigiCert etc.) au voie sa emita certificate SSL pentru acel domeniu. Previne emiterea de certificate neautorizate si ofera un nivel suplimentar de protectie.
Indica motoarelor de cautare versiunea preferata a unei pagini
Tag-ul canonical (rel="canonical") spune motoarelor de cautare care este versiunea "oficiala" a unei pagini. Este necesar cand acelasi continut este accesibil la mai multe URL-uri (cu/fara www, cu parametri de sortare etc.). Fara canonical, Google poate vedea continut duplicat si te poate penaliza.
💡
Daca ai aceeasi pagina la /produse?sort=pret si /produse?sort=data, canonical spune Google: "Versiunea principala este /produse".
Cele 3 metrici Google pentru experienta utilizatorului pe web
Core Web Vitals sunt 3 metrici definite de Google care masoara experienta utilizatorului: LCP (cat de repede se incarca continutul principal), CLS (cat de stabil este layout-ul vizual) si INP/FID (cat de repede raspunde pagina la interactiuni). Google le foloseste ca factor de clasare in rezultatele cautarii.
Cat de mult se misca elementele paginii in timpul incarcarii
CLS masoara stabilitatea vizuala a paginii — cat de mult se misca elementele pe ecran in timpul incarcarii. Ai patit vreodata sa dai click pe un buton si, fix in acel moment, pagina sa se miste si sa apesi altceva? Asta e CLS slab. Un CLS bun este sub 0.1. Se imbunatateste prin setarea dimensiunilor la imagini si fonturi.
Compresia fisierelor transmise de server pentru incarcare mai rapida
Compresia reduce dimensiunea fisierelor (HTML, CSS, JavaScript) transmise de server. Gzip este standardul de baza, iar Brotli (dezvoltat de Google) ofera compresie cu 15-25% mai buna. Activarea compresiei poate reduce dimensiunea paginii cu 60-80%, accelerand semnificativ incarcarea.
Amprenta de carbon a unui site web masoara emisiile de CO2 generate de fiecare vizita: energie pentru servere, transmisie date, dispozitivul utilizatorului. Un site mediu produce ~0.5g CO2 per vizita. Site-urile optimizate (cod curat, imagini comprimate, hosting verde) au o amprenta mai mica. La milioane de vizite, diferenta conteaza.
Contrastul de culori masoara diferenta de luminozitate intre textul si fundalul pe care apare. WCAG cere un raport minim de 4.5:1 pentru text normal si 3:1 pentru text mare. Un contrast slab (text gri pe fundal alb) face textul greu de citit, mai ales pentru persoanele cu vederea slaba sau in conditii de lumina puternica.
Numarul unic de identificare fiscala al unei firme din Romania
CUI-ul (Cod Unic de Inregistrare) este numarul unic atribuit fiecarei firme inregistrate in Romania la Registrul Comertului. Afisarea CUI-ului pe site este obligatorie pentru firmele care fac comert online (conform Legii 365/2002 privind comertul electronic) si ajuta consumatorii sa verifice legitimitatea firmei.
Mici fisiere de date stocate de site-uri web pe dispozitivul utilizatorului
Cookie-urile sunt mici fisiere text pe care site-urile le stocheaza pe dispozitivul tau. Pot fi necesare (pastreaza sesiunea de login), functionale (pastreaza preferintele) sau de marketing (urmaresc comportamentul pentru reclame). GDPR si Directiva ePrivacy cer consimtamantul utilizatorului inainte de setarea cookie-urilor non-esentiale.
Bannerul care cere permisiunea utilizatorului pentru cookies
Cookie consent banner este elementul vizibil (de obicei un banner in partea de jos sau un popup) care informeaza vizitatorul despre cookie-urile folosite si cere consimtamantul. Conform GDPR, trebuie sa ofere optiuni reale: accepta, refuza sau personalizeaza. Cookie-urile non-esentiale NU pot fi setate inainte de acceptare.
Elementul vizibil care indeamna utilizatorul sa faca o actiune
CTA (Call to Action) este un buton, link sau element vizibil care indeamna utilizatorul sa faca o actiune: "Cumpara acum", "Incearca gratuit", "Aboneaza-te". Un CTA eficient este vizibil, clar ca text si plasat strategic. Fiecare pagina importanta ar trebui sa aiba un CTA principal care ghideaza utilizatorul spre urmatorul pas.
Retea globala de servere care livreaza continut rapid de aproape de utilizator
Un CDN (Content Delivery Network) este o retea de servere distribuite geografic care stocheaza copii ale site-ului tau. Cand un utilizator din Bucuresti acceseaza site-ul, primeste datele de la serverul CDN cel mai apropiat, nu de la serverul original care poate fi in alta tara. Reduce latenta si accelereaza incarcarea.
💡
CDN-ul este ca o retea de magazine — in loc sa comanzi totul din depozitul central, cumperi de la magazinul din cartier.
Platforma care permite gestionarea continutului site-ului fara a scrie cod
Un CMS (Content Management System) este o platforma care permite crearea si gestionarea continutului web fara cunostinte de programare. Exemple populare: WordPress, Joomla, Shopify, PrestaShop. Auditul verifica versiunea CMS-ului (daca e actualizat), vulnerabilitatile cunoscute si configuratia de securitate.
Inregistrare DNS care creaza un alias de la un domeniu la altul
O inregistrare CNAME creaza un alias: leaga un subdomeniu de un alt domeniu. De exemplu, "blog.exemplu.ro" CNAME "exemplu.wordpress.com" inseamna ca blog.exemplu.ro afiseaza continutul de pe WordPress. CNAME nu poate fi setat pe domeniul principal (root domain), doar pe subdomenii.
Atac care forteaza un utilizator autentificat sa execute actiuni nedorite
CSRF este un atac in care un site malitios trimite cereri in numele unui utilizator autentificat pe alt site, fara stirea lui. De exemplu, daca esti logat in banca online si vizitezi un site malitios, acesta ar putea initia un transfer bancar. Protectia: token-uri CSRF, SameSite cookies, verificarea headerului Origin.
URL-uri scurte, descriptive si fara parametri criptici
Clean URLs sunt URL-uri scurte, descriptive si usor de citit: /produse/lampa-led vs /index.php?cat=3&id=127. Sunt importante pentru SEO (Google intelege mai bine continutul), pentru utilizatori (pot ghici ce gasesc la acel URL) si pentru partajare pe retele sociale (arata mai profesionist).
Sistem standard de identificare a vulnerabilitatilor de securitate cunoscute
CVE este un sistem de catalogare a vulnerabilitatilor de securitate cunoscute, fiecare cu un ID unic (ex: CVE-2024-1234). Cand auditul detecteaza versiunea unui CMS sau framework, verifica daca exista CVE-uri publicate pentru acea versiune. CVE-urile nerezolvate (neactualizate) sunt un risc major de securitate.
Atac automat in care parolele furate de pe un site sunt testate pe alte site-uri
Credential stuffing este un atac in care atacatorii folosesc liste de emailuri si parole furate dintr-o scurgere de date (data breach) si le testeaza automat pe alte site-uri. Functioneaza pentru ca multi oameni folosesc aceeasi parola pe mai multe conturi. Protectia: parole unice pe fiecare site, MFA activat, si monitorizarea breaches.
Tehnica de impartire a codului JavaScript in bucati mai mici incarcate la cerere
Code splitting imparte codul JavaScript al site-ului in mai multe fisiere mici, fiecare incarcat doar cand este necesar. In loc sa descarci tot codul site-ului pe prima pagina (un singur bundle mare), descarci doar ce e nevoie acum. Reduce TBT si imbunatateste INP. Unelte ca webpack si Vite suporta code splitting automat.
Headerul HTTP care spune browserului cat timp sa pastreze fisierele in cache
Cache-Control este un header HTTP care indica browserului daca si cat timp sa pastreze o copie locala a fisierelor (CSS, JS, imagini). Cu cache activat, la a doua vizita browserul nu mai descarca fisierele, ci le ia din cache — pagina se incarca instant. Valori comune: max-age=31536000 (1 an) pentru fisiere statice, no-cache pentru HTML.
Date reale de performanta colectate de la utilizatorii Chrome
CrUX (Chrome User Experience Report) este o baza de date publica Google cu metrici reale de performanta colectate anonim de la utilizatorii Chrome pe parcursul a 28 de zile. Include LCP, CLS, INP, FCP si TTFB. Valorile CrUX reflecta experienta REALA a vizitatorilor, nu teste de laborator. Google le foloseste ca factor de clasare.
Numarul de pagini pe care Google le scaneaza pe site-ul tau intr-o perioada de timp
Crawl budget este numarul limitat de pagini pe care Googlebot le viziteaza pe site-ul tau intr-o zi. Pe site-urile mari (peste 10.000 pagini), acest buget conteaza: daca Google isi consuma bugetul pe pagini irelevante (404, duplicate, parametri URL), paginile importante pot ramane neindexate. Solutia: robots.txt corect, sitemap actualizat, URL-uri curate.
Document separat care detaliaza ce cookie-uri foloseste site-ul si de ce
Cookie Policy este un document distinct de Privacy Policy care explica in detaliu: ce cookie-uri seteaza site-ul, scopul fiecaruia, durata de viata, daca sunt first-party sau third-party si cum le poate dezactiva utilizatorul. Conform GDPR si Directivei ePrivacy, aceasta informatie trebuie sa fie disponibila inainte de acceptarea cookie-urilor.
Legea de confidentialitate din California, similara cu GDPR
CCPA este legea de confidentialitate a statului California (SUA) care ofera consumatorilor drepturi similare cu GDPR: dreptul de a sti ce date se colecteaza, de a le sterge si de a refuza vanzarea lor. Se aplica firmelor care au clienti din California, indiferent de locatia firmei. Daca ai trafic din SUA, CCPA te poate viza.
Registre publice ale tuturor certificatelor SSL emise, folosite pentru descoperirea subdomeniilor
CT Logs sunt registre publice in care sunt inregistrate toate certificatele SSL emise. Auditul le foloseste (prin crt.sh) pentru a descoperi subdomeniile site-ului tau. Fiecare certificat SSL contine domeniile acoperite, deci CT logs dezvaluie subdomeniile existente — inclusiv cele pe care ai prefera sa le tii private.
Set de headere de securitate care izoleaza site-ul de alte origini
Cross-Origin Isolation include 3 headere HTTP: COEP (Cross-Origin-Embedder-Policy) controleaza ce resurse externe pot fi incarcate, COOP (Cross-Origin-Opener-Policy) izoleaza fereastra browserului de alte ferestre, CORP (Cross-Origin-Resource-Policy) controleaza cine poate incarca resursele tale. Impreuna, protejeaza impotriva atacurilor de tip Spectre.
Prefixe speciale pentru cookie-uri care impun cerinte stricte de securitate
__Secure- si __Host- sunt prefixe pentru numele cookie-urilor care impun reguli de securitate obligatorii. __Secure- cere flagul Secure (doar HTTPS). __Host- cere Secure, nu accepta Domain si trebuie setat cu Path=/. Browserele refuza automat cookie-urile cu aceste prefixe daca nu respecta regulile, oferind protectie suplimentara.
Sistemul care traduce numele de domenii in adrese IP
DNS-ul este "cartea de telefon" a internetului. Cand tastezi "exemplu.ro" in browser, DNS-ul traduce acest nume intr-o adresa IP (de exemplu 93.184.216.34) pe care computerul o poate folosi pentru a gasi serverul. Fara DNS, ai trebui sa memorezi adrese IP numerice pentru fiecare site.
💡
DNS-ul functioneaza ca agenda din telefonul tau: in loc sa memorezi numere, cauti dupa nume.
Semnaturi digitale care protejeaza raspunsurile DNS de falsificare
DNSSEC (DNS Security Extensions) adauga semnaturi digitale raspunsurilor DNS, garantand ca informatia primita este autentica si nu a fost modificata. Fara DNSSEC, un atacator ar putea redirectiona traficul tau catre un server fals (atac DNS spoofing) fara ca tu sa stii.
DANE (DNS-based Authentication of Named Entities) permite asocierea directa a certificatelor SSL cu domeniul prin intermediul DNS-ului. Functioneaza cu DNSSEC si elimina nevoia de a avea incredere in sute de autoritati de certificare. Este folosit mai ales pentru securizarea serverelor de email.
Semnatura digitala care demonstreaza ca emailul nu a fost modificat
DKIM adauga o semnatura digitala fiecarui email trimis de domeniul tau. Serverul de email al destinatarului verifica aceasta semnatura folosind o cheie publica din DNS-ul tau. Daca semnatura e valida, inseamna ca emailul chiar vine de la tine si nu a fost modificat pe drum.
💡
DKIM este ca un sigiliu de ceara pe o scrisoare — dovedeste ca scrisoarea vine de la cine pretinde si ca nu a fost deschisa.
Politica care spune ce sa se intample cu emailurile care esueaza SPF/DKIM
DMARC (Domain-based Message Authentication, Reporting & Conformance) combina SPF si DKIM si adauga o politica: ce sa se intample cu emailurile care esueaza verificarile? Optiunile sunt: none (doar monitorizeaza), quarantine (trimite in spam) sau reject (refuza complet). DMARC trimite si rapoarte despre incercarile de falsificare.
Continutul duplicat apare cand acelasi text (sau foarte similar) exista la mai multe URL-uri, fie pe acelasi site, fie pe site-uri diferite. Google nu "pedepseste" direct, dar isi alege singur versiunea pe care o indexeaza, ceea ce poate insemna ca versiunea ta preferata nu apare in rezultate. Solutia: tag canonical.
Incident in care date confidentiale sunt expuse neautorizat
Un data breach (scurgere de date) este un incident de securitate in care date confidentiale (emailuri, parole, informatii personale) sunt accesate sau expuse fara autorizare. Auditul verifica daca domeniul apare in baze de date cu breaches cunoscute. Daca da, parolele utilizatorilor ar trebui resetate si securitatea imbunatatita.
Numarul de elemente HTML din pagina — prea multe incetinesc site-ul
DOM-ul (Document Object Model) este structura arborescenta a tuturor elementelor HTML din pagina. Cu cat are mai multe elemente (peste 1500), cu atat browserul consuma mai multa memorie si procesarea este mai lenta. Paginile cu DOM excesiv au scroll lent, animatii sacadate si timpi de raspuns mari la interactiuni (INP slab).
Directiva europeana care reglementeaza cookie-urile si comunicatiile electronice
Directiva ePrivacy (2002/58/EC, actualizata in 2009) este legea europeana care reglementeaza cookie-urile, email marketingul si confidentialitatea comunicatiilor electronice. Impune obtinerea consimtamantului inainte de setarea cookie-urilor non-esentiale. Functioneaza impreuna cu GDPR — ePrivacy pentru cookie-uri si comunicatii, GDPR pentru date personale.
Liste negre bazate pe DNS care blocheaza serverele de email marcate ca spam
DNSBL este un sistem de blacklist-uri bazat pe DNS folosit de serverele de email pentru a bloca surse de spam. Cand trimiti un email, serverul destinatar verifica daca IP-ul tau apare in DNSBL-uri (Spamhaus, Barracuda, SpamCop etc.). Daca da, emailul este respins sau trimis in spam. Auditul verifica IP-ul si MX-urile tale in peste 50 de DNSBL-uri.
Cat timp a trecut de la inregistrarea initiala a domeniului
Domain age este timpul scurs de la prima inregistrare a domeniului. Domeniile mai vechi au in general mai multa incredere din partea motoarelor de cautare si a furnizorilor de email. Un domeniu inregistrat de mai putin de 1 an poate avea scoruri de incredere mai mici. Nu inseamna ca e penalizat, dar e un factor pe care Google il ia in considerare.
Verificarea ca toate nameserverele returneaza aceleasi inregistrari
DNS consistency verifica daca toate nameserverele unui domeniu returneaza aceleasi raspunsuri. Daca un nameserver returneaza IP 1.2.3.4 si altul 5.6.7.8, unii vizitatori ajung pe un server, altii pe altul. Aceasta inconsistenta poate cauza probleme de disponibilitate, certificate SSL invalide si experienta incoerenta pentru utilizatori.
Setul complet de verificari care autentifica emailurile unui domeniu
Email Authentication se refera la ansamblul de protocoale (SPF, DKIM, DMARC) care verifica identitatea expeditorului unui email. Fara aceste verificari, oricine poate trimite emailuri pretinzand ca sunt de la domeniul tau (email spoofing), ceea ce poate duce la atacuri de phishing si pierderea reputatiei.
Experience, Expertise, Authoritativeness, Trustworthiness — criterii Google de calitate
E-E-A-T (Experience, Expertise, Authoritativeness, Trustworthiness) sunt criteriile pe care Google le foloseste pentru a evalua calitatea unui site. Experience = experienta directa a autorului, Expertise = cunostinte de specialitate, Authoritativeness = recunoasterea ca autoritate in domeniu, Trustworthiness = cat de de incredere este site-ul. Site-urile YMYL (Your Money, Your Life — sanatate, finante) sunt evaluate mai strict.
Sistem care filtreaza traficul de retea pe baza unor reguli
Un firewall este un sistem de securitate care monitorizeaza si filtreaza traficul de retea. Functioneaza pe baza unor reguli: ce porturi sunt deschise, ce IP-uri au acces, ce tipuri de conexiuni sunt permise. Pentru un server web, porturile 80 (HTTP) si 443 (HTTPS) sunt de obicei deschise, restul inchise.
Protejeaza sesiunile trecute chiar daca cheia privata e compromisa
Forward Secrecy (sau Perfect Forward Secrecy) este o proprietate a criptarii care genereaza chei unice pentru fiecare sesiune. Daca un atacator obtine cheia privata a serverului, NU poate decripta conversatiile trecute, deoarece fiecare sesiune a folosit o cheie diferita, deja stearsa.
Etichetele asociate campurilor din formulare, esentiale pentru accesibilitate
Fiecare camp dintr-un formular (input, select, textarea) trebuie sa aiba o eticheta (label) asociata corect prin atributul "for". Etichetele permit utilizatorilor de cititoare de ecran sa inteleaga ce date trebuie introduse si, pe mobile, apasarea etichetei activeaza campul. Placeholder-ul NU este un substitut pentru label.
Mica imagine afisata in tab-ul browserului langa titlul paginii
Favicon-ul este mica imagine (de obicei 16x16 sau 32x32 pixeli) afisata in tab-ul browserului, bara de bookmark-uri si in rezultatele cautarilor pe mobil. Un site fara favicon pare neprofesional. Formatul recomandat este SVG (scalabil) sau PNG, cu variante pentru diferite dimensiuni si dispozitive.
Timpul pana la afisarea primului element vizibil pe pagina
FCP masoara cat de repede apare primul element vizibil (text, imagine, canvas) dupa ce utilizatorul acceseaza pagina. Un FCP bun este sub 1.8 secunde. Este diferit de LCP: FCP masoara ORICE prim element, pe cand LCP masoara cel mai MARE element. Un FCP lent inseamna ca utilizatorul vede o pagina alba prea mult timp.
Protocol de transfer fisiere — FTP este necriptat, SFTP este securizat
FTP (File Transfer Protocol) este un protocol vechi pentru transferul fisierelor pe un server. Problema: transmite parole si date in clar (necriptat). SFTP (SSH File Transfer Protocol) este varianta securizata care cripteaza tot traficul. Daca portul FTP (21) este deschis pe server, atacatorii pot intercepta parolele. Auditul semnaleaza aceasta ca problema critica.
Proprietatea CSS care controleaza cum se afiseaza textul inainte de incarcarea fontului
font-display controleaza ce se intampla cu textul pana cand fontul custom se incarca. Cu font-display: swap, browserul afiseaza textul imediat cu un font de sistem si il inlocuieste cand fontul custom e gata. Fara aceasta setare, textul poate fi invizibil (FOIT — Flash of Invisible Text) secunde intregi, ceea ce afecteaza LCP.
Date structurate care permit afisarea intrebarilor frecvente direct in Google
FAQPage schema este un tip de date structurate Schema.org care marcheaza intrebarile frecvente de pe pagina ta. Google le poate afisa direct in rezultatele cautarii ca expandable boxes (intrebari cu raspunsuri), ocupand mai mult spatiu vizual si crescand rata de click cu pana la 30%. Se implementeaza cu JSON-LD.
Indicator vizual care arata ce element este selectat la navigarea cu tastatura
Focus visible (sau focus outline) este indicatorul vizual (de obicei un contur albastru) care arata utilizatorilor de tastatura ce element este selectat curent. Eliminarea focus outline-ului (outline: none) este un anti-pattern de accesibilitate grav: persoanele care navigheaza cu tastatura nu mai pot vedea unde sunt pe pagina. Solutia: :focus-visible in loc de :focus.
Regulamentul european privind protectia datelor personale
GDPR (General Data Protection Regulation / Regulamentul General privind Protectia Datelor) este legea europeana care protejeaza datele personale ale cetatenilor UE. Obliga site-urile sa obtina consimtamantul explicit pentru colectarea datelor, sa explice cum le folosesc (politica de confidentialitate) si sa permita utilizatorilor stergerea datelor.
Serviciu de hosting alimentat partial sau total cu energie regenerabila
Green hosting se refera la servicii de gazduire web care folosesc energie regenerabila (solara, eoliana) sau compenseaza emisiile de carbon. Un site pe green hosting are o amprenta de carbon cu pana la 40% mai mica. Auditul verifica daca IP-ul serverului tau este inregistrat in baza de date a The Green Web Foundation.
Serviciul Google care avertizeaza utilizatorii despre site-urile periculoase
Google Safe Browsing este un serviciu Google care protejeaza miliarde de dispozitive prin avertizarea utilizatorilor cand incearca sa viziteze site-uri periculoase (malware, phishing) sau sa descarce fisiere periculoase. Daca site-ul tau este marcat, Chrome afiseaza o pagina rosie de avertizare TUTUROR vizitatorilor. Traficul poate scadea cu 95% instant.
Latitudinea si longitudinea afacerii tale, importante pentru afisarea pe harta
Coordonatele GPS (latitudine si longitudine) incluse in schema LocalBusiness ajuta Google sa pozitioneze precis afacerea ta pe harta. Fara ele, Google estimeaza locatia din adresa, ceea ce poate fi imprecis. Coordonatele exacte imbunatatesc sansele de aparitie in rezultatele locale si in Google Maps.
HTTPS (HyperText Transfer Protocol Secure) este versiunea securizata a HTTP, protocolul prin care browserul comunica cu site-urile web. Adauga un strat de criptare SSL/TLS, protejand datele impotriva interceptarii. Google considera HTTPS un factor de clasare in rezultatele cautarii.
💡
Un site cu http:// este ca o carte postala — oricine o poate citi. Unul cu https:// este ca un plic securizat.
HSTS (HTTP Strict Transport Security) este un antet de securitate care spune browserului: "De acum inainte, conecteaza-te la acest site DOAR prin HTTPS". Odata activat, browserul refuza automat orice conexiune necriptata (HTTP), chiar daca utilizatorul tasteaza adresa fara "https://".
💡
E ca si cum ai spune postasului: "Toate scrisorile mele trebuie trimise doar prin curier securizat, niciodata prin posta normala."
Indica motoarelor de cautare versiunile in alte limbi ale paginii
Atributul hreflang indica motoarelor de cautare ca o pagina exista in mai multe limbi sau pentru mai multe tari. De exemplu, daca ai site-ul in romana si engleza, hreflang ajuta Google sa afiseze versiunea corecta in functie de limba utilizatorului. Valoarea x-default indica versiunea implicita.
Versiuni moderne ale protocolului web, mai rapide decat HTTP/1.1
HTTP/2 si HTTP/3 sunt versiuni moderne ale protocolului de comunicare web. HTTP/2 permite incarcarea simultana a mai multor resurse pe o singura conexiune (multiplexing). HTTP/3 foloseste QUIC (bazat pe UDP) pentru conexiuni si mai rapide, mai ales pe retele mobile. Ambele sunt semnificativ mai rapide decat HTTP/1.1.
Structura logica a titlurilor (H1, H2, H3...) pe pagina
Ierarhia titlurilor se refera la ordinea logica a etichetelor H1-H6 pe pagina. H1 este titlul principal (unul singur pe pagina), H2 sunt sectiunile principale, H3 subsectiunile etc. O ierarhie corecta ajuta utilizatorii cu cititoare de ecran sa navigheze rapid si ajuta Google sa inteleaga structura continutului.
Sectiunea principala vizibila imediat cand se incarca pagina
Hero section este prima sectiune mare vizibila cand se incarca pagina (above the fold). De obicei contine titlul principal, o descriere scurta, un CTA si o imagine sau video de fundal. Este prima impresie a vizitatorului si trebuie sa comunice clar ce ofera site-ul si ce actiune trebuie facuta.
Atributul care impiedica accesul JavaScript la un cookie
HttpOnly este un atribut de securitate al cookie-urilor care impiedica accesul din JavaScript (document.cookie). Cookie-urile cu HttpOnly pot fi trimise doar in cereri HTTP catre server. Este esential pentru cookie-urile de sesiune — fara el, un atac XSS ar putea fura sesiunea utilizatorului.
Server-capcana care simuleaza vulnerabilitati pentru a studia atacatorii
Un honeypot este un sistem informatic configurat intentionat sa para vulnerabil, pentru a atrage si studia atacatorii. Daca IP-ul serverului tau este identificat ca honeypot de servicii precum Shodan, poate insemna ca serverul are configuratii suspecte sau ca a fost compromis si folosit ca punct de monitorizare.
Informatii tehnice expuse public care ajuta atacatorii
Information Disclosure (dezvaluirea informatiilor) se refera la situatiile in care un site expune accidental detalii tehnice: versiunea serverului, tehnologiile folosite, caile fisierelor, mesaje de eroare detaliate. Aceste informatii ajuta atacatorii sa gaseasca vulnerabilitati specifice. Un site bine configurat ascunde aceste detalii.
Cat de repede raspunde pagina la interactiunile utilizatorului
INP (Interaction to Next Paint) masoara latenta raspunsului paginii la interactiunile utilizatorului (click, tap, apasare tasta). Un INP bun este sub 200ms. A inlocuit FID (First Input Delay) ca metrica Core Web Vitals in 2024. Un INP slab inseamna ca pagina "ingheata" sau raspunde cu intarziere la click-uri.
Formatul recomandat de Google pentru date structurate
JSON-LD (JavaScript Object Notation for Linked Data) este formatul preferat de Google pentru includerea datelor structurate (Schema.org) in pagini. Se adauga ca un bloc <script type="application/ld+json"> in codul HTML, fara a modifica continutul vizibil al paginii. Este mai usor de implementat si intretinut decat alternativele (Microdata, RDFa).
Frecventa cu care apare un cuvant cheie intr-o pagina
Densitatea cuvintelor cheie masoara cat de des apare un termen specific in continutul unei pagini, raportat la numarul total de cuvinte. O densitate prea mare (keyword stuffing) este penalizata de Google. O densitate naturala (1-3%) cu variatii semantice este ideala.
Supraincarcarea intentionata a textului cu cuvinte cheie — penalizata de Google
Keyword stuffing inseamna repetarea excesiva a unui cuvant cheie in text cu scopul de a manipula clasamentul Google. Exemplu: "Cumpara pantofi ieftini. Pantofii nostri ieftini sunt cei mai ieftini pantofi." Google detecteaza aceasta practica si penalizeaza pagina. Densitatea naturala a cuvintelor cheie ar trebui sa fie 1-3%, nu mai mult.
Timpul pana la afisarea celui mai mare element vizibil
LCP masoara cat de repede se incarca cel mai mare element vizibil din viewport (de obicei o imagine hero sau un bloc de text mare). Un LCP bun este sub 2.5 secunde. LCP slab inseamna ca utilizatorul asteapta prea mult sa vada continutul principal al paginii.
Tehnica prin care imaginile se incarca doar cand devin vizibile pe ecran
Lazy loading amana incarcarea imaginilor, video-urilor si altor resurse pana cand utilizatorul deruleaza pagina si acestea devin vizibile. Reduce dramatic timpul initial de incarcare si economiseste date mobile. Se implementeaza cu atributul loading="lazy" pe imagini. Fara lazy loading, TOATE imaginile se incarca simultan, chiar daca utilizatorul nu le vede.
Date structurate care spun Google informatii detaliate despre afacerea ta locala
LocalBusiness schema este un tip de date structurate Schema.org care furnizeaza Google informatii despre afacerea ta: nume, adresa, telefon, program, coordonate GPS, recenzii. Fara LocalBusiness schema, Google nu poate afisa afacerea ta in "local pack" (cele 3 rezultate cu harta din cautarile locale). Este esential pentru SEO local.
Mixed Content apare cand o pagina incarcata prin HTTPS (securizat) contine resurse (imagini, scripturi, fonturi) incarcate prin HTTP (nesecurizat). Acest lucru slabeste securitatea paginii si browserele moderne pot bloca aceste resurse sau afisa avertismente. Toate resursele trebuie incarcate prin HTTPS.
Inregistrarile care specifica serverele de email ale domeniului
MX (Mail Exchange) Records indica serverele care primesc emailuri pentru domeniu. Cand cineva trimite un email la tine@exemplu.ro, serverul expeditorului cauta MX records pentru a sti unde sa livreze mesajul. Fara MX records corecte, nu poti primi emailuri pe domeniu.
MTA-STS (Mail Transfer Agent Strict Transport Security) asigura ca emailurile trimise catre domeniul tau sunt obligatoriu criptate cu TLS. Fara MTA-STS, un atacator ar putea intercepta emailurile in tranzit printr-un atac man-in-the-middle, fortand o conexiune necriptata.
Instructiuni pentru motoarele de cautare: indexeaza sau nu pagina
Meta robots este un tag HTML care spune motoarelor de cautare ce sa faca cu pagina: sa o indexeze (index) sau nu (noindex), sa urmeze linkurile (follow) sau nu (nofollow). Este util pentru paginile pe care nu vrei sa apara in Google: pagini de admin, rezultate de cautare interna, pagini duplicate.
Descrierea scurta afisata sub titlu in rezultatele Google
Meta description este o descriere de 150-160 caractere care apare sub titlu in rezultatele cautarii. Nu influenteaza direct clasarea, dar o descriere buna creste rata de click (CTR). Trebuie sa fie unica, relevanta si sa contina un apel la actiune. Google o poate inlocui cu text din pagina daca o considera nerelevanta.
Regulile CSS care adapteaza layout-ul la dimensiunea ecranului
Media queries sunt reguli CSS care aplica stiluri diferite in functie de dimensiunea ecranului, orientare sau alte caracteristici ale dispozitivului. Sunt baza design-ului responsiv: pe desktop afisezi 3 coloane, pe tableta 2, pe mobil 1. Fara media queries, un site va fi greu de folosit pe dispozitive mobile.
Mobile menu (meniul hamburger, dupa iconita cu 3 linii orizontale) este meniul de navigare adaptat pentru dispozitive mobile. Pe ecrane mici, meniul complet nu incape, asa ca este ascuns in spatele unei iconite. Trebuie sa fie usor de deschis, navigat si inchis, cu elemente suficient de mari pentru atingere.
Securitate suplimentara care cere doua sau mai multe dovezi de identitate
MFA (Multi-Factor Authentication) sau 2FA (Two-Factor Authentication) adauga un al doilea pas de verificare dupa parola: un cod pe telefon, o aplicatie de autentificare (TOTP) sau o cheie fizica. Blocheaza 99.9% din atacurile automate. Chiar daca cineva iti afla parola, nu se poate conecta fara al doilea factor.
Serverele responsabile cu raspunsurile DNS pentru un domeniu
Nameserverele sunt serverele care raspund la intrebarile DNS pentru domeniul tau: "Care e IP-ul pentru exemplu.ro?" De obicei sunt furnizate de registrar (unde ai cumparat domeniul) sau de providerul de hosting. Nameserverele corecte sunt esentiale — daca sunt gresite, site-ul nu va fi accesibil.
Directiva europeana privind securitatea cibernetica a infrastructurilor esentiale
NIS2 (Network and Information Security Directive 2) este directiva europeana actualizata privind securitatea cibernetica. Extinde obligatiile de securitate la mai multe sectoare (energie, transport, sanatate, digital) si impune masuri mai stricte: raportarea incidentelor in 24h, managementul riscurilor, audituri de securitate.
Atribute ale linkurilor care controleaza cum le trateaza Google si browserul
Nofollow spune Google sa nu transmita "valoare SEO" prin acel link. Noopener previne ca pagina deschisa sa poata controla fereastra parinte (securitate). Noreferrer impiedica trimiterea URL-ului sursa catre pagina de destinatie. Linkurile externe ar trebui sa aiba cel putin rel="noopener" pentru securitate.
Directiva care spune motoarelor de cautare sa NU indexeze o pagina
Noindex este o directiva (meta tag sau header HTTP) care spune motoarelor de cautare sa nu includa pagina in index, deci nu va aparea in rezultatele cautarii. Se foloseste pentru pagini de admin, rezultate de cautare interna, pagini de multumire etc. Atentie: daca e setat din greseala pe pagini importante, acestea dispar din Google.
Numarul de inregistrare la Registrul Comertului, obligatoriu pe site
Nr. Reg. Com. (ex: J2017000135294) este numarul de inregistrare al firmei la Registrul Comertului. Conform Legii 26/1990 si Legii 365/2002 privind comertul electronic, toate site-urile comerciale din Romania sunt obligate sa afiseze acest numar alaturi de CUI, denumirea firmei si adresa sediului social.
Implementare CSP securizata bazata pe token-uri unice generate la fiecare cerere
Nonce-based CSP este cea mai securizata implementare a Content Security Policy. Serverul genereaza un token unic (nonce) la fiecare cerere si il adauga atat in headerul CSP (script-src 'nonce-abc123') cat si in fiecare tag <script nonce="abc123">. Doar scripturile cu nonce-ul corect se executa. Blocheaza eficient orice script injectat de atacatori.
Protocol care verifica daca un certificat SSL a fost revocat
OCSP este un protocol care permite browserului sa verifice in timp real daca un certificat SSL este inca valid sau a fost revocat. OCSP Stapling este o optimizare prin care serverul web include direct dovada validitatii certificatului, fara ca browserul sa contacteze autoritatea de certificare separat.
Taguri care controleaza cum apare pagina cand e partajata pe retele sociale
Open Graph sunt meta taguri (og:title, og:description, og:image) care controleaza cum apare previzualizarea paginii tale cand cineva o partajeaza pe Facebook, LinkedIn, WhatsApp etc. Fara OG tags, retelele sociale aleg automat un titlu si o imagine, adesea neinspirat.
Platforma europeana pentru solutionarea disputelor online
ODR este platforma europeana (ec.europa.eu/odr) pentru solutionarea online a disputelor dintre consumatori si comercianti. Toate magazinele online din UE sunt obligate sa afiseze un link catre aceasta platforma si sa mentioneze adresa de email pentru rezolvarea reclamatiilor.
Server de email configurat gresit care permite oricui sa trimita mesaje prin el
Un open relay este un server de email care accepta si transmite emailuri de la oricine, nu doar de la utilizatorii autorizati. Atacatorii il folosesc pentru a trimite spam in masa. Daca serverul tau este un open relay, IP-ul va ajunge pe blacklist-uri si emailurile legitime nu vor mai fi livrate. Verifica configuratia serverului de email periodic.
Controleaza accesul la camera, microfon si alte functii ale browserului
Permissions-Policy (fost Feature-Policy) este un antet care permite site-ului sa controleze ce functii ale browserului pot fi folosite: camera, microfonul, geolocalizarea, accelerometrul etc. Dezactivarea functiilor neutilizate reduce suprafata de atac si protejeaza intimitatea vizitatorilor.
Un port scan este procesul de verificare a porturilor deschise pe un server. Fiecare serviciu (web, email, baza de date) foloseste un port specific. Porturile deschise inutil reprezinta un risc de securitate, deoarece ofera atacatorilor puncte de intrare. Un server web ar trebui sa aiba deschise doar porturile strict necesare.
💡
Porturile sunt ca usile unei cladiri. Cu cat ai mai multe usi deschise, cu atat e mai greu sa le securizezi pe toate.
PTR este inversul inregistrarii A: traduce o adresa IP inapoi la un domeniu. Este folosit in verificarea serverelor de email (reverse DNS lookup). Daca serverul tau de email nu are PTR corect, emailurile tale au sanse mari sa fie marcate ca spam.
Volumul total de date descarcat pentru afisarea unei pagini
Page size este volumul total de date (HTML, CSS, JavaScript, imagini, fonturi) pe care browserul trebuie sa-l descarce pentru a afisa o pagina. O pagina tipica are 2-3 MB. Peste 5 MB devine problematic, mai ales pe mobile. Reducerea dimensiunii imbunatateste viteza de incarcare si reduce consumul de date al vizitatorilor.
Site web care se comporta ca o aplicatie nativa instalabila
Un PWA este un site web care poate fi instalat pe telefon sau computer si functioneaza similar unei aplicatii native: poate trimite notificari, functiona offline, aparea pe ecranul de start. Nu necesita publicare in App Store. Necesita HTTPS, un Service Worker si un Web Manifest.
Documentul care explica cum sunt colectate si folosite datele personale
Politica de confidentialitate este un document legal obligatoriu care explica: ce date personale colectezi, de ce le colectezi, cum le procesezi, cu cine le imparti si ce drepturi au utilizatorii. Trebuie sa fie accesibila din orice pagina a site-ului (de obicei link in footer) si scrisa intr-un limbaj inteligibil.
Instrumentul Google care masoara viteza si performanta paginilor web
PageSpeed Insights (PSI) este instrumentul gratuit Google care analizeaza performanta unui site web atat pe mobil, cat si pe desktop. Ofera un scor de la 0 la 100 si recomandari concrete de imbunatatire. Scorul se bazeaza pe metrici reale de utilizatori (Core Web Vitals) si teste de laborator.
Scripturi de urmarire care se incarca inainte de acceptarea cookie-urilor
Pre-consent tracking se refera la scripturile de analiza sau marketing care se incarca inainte ca utilizatorul sa accepte cookie-urile. Acest lucru incalca GDPR si Directiva ePrivacy. Auditul detecteaza daca Google Analytics, Facebook Pixel sau alte scripturi se incarca inainte de consimtamant.
Metoda moderna de autentificare fara parola, bazata pe criptografie
Passkeys sunt o alternativa moderna la parole, bazata pe criptografie cu cheie publica. In loc de parola, te autentifici cu amprenta, Face ID sau PIN-ul dispozitivului. Sunt rezistente la phishing (nu pot fi furate prin site-uri false), nu pot fi ghicite si nu exista pe server (deci nu pot fi scurse intr-un breach).
Controleaza ce informatii se trimit cand navighezi intre pagini
Cand faci click pe un link, browserul trimite site-ului de destinatie adresa paginii de pe care vii (referrer). Referrer-Policy controleaza cat de multa informatie se trimite. O politica stricta protejeaza intimitatea vizitatorilor si previne scurgerea de date sensibile din URL-uri.
Algoritmii de criptare folositi in certificatele SSL
RSA si ECDSA sunt algoritmi criptografici folositi in certificatele SSL. RSA este mai vechi si foloseste chei de 2048 sau 4096 biti. ECDSA este mai modern, ofera aceeasi securitate cu chei mai mici (256 biti), ceea ce inseamna conexiuni mai rapide. Majoritatea certificatelor moderne folosesc unul sau ambele.
Fisier care indica motoarelor de cautare ce pagini pot sau nu explora
Robots.txt este un fisier text plasat la radacina site-ului (exemplu.ro/robots.txt) care ghideaza crawlerele motoarelor de cautare. Specifica ce pagini sau directoare pot fi accesate si care nu. Atentie: robots.txt este o sugestie, nu o bariera de securitate — un crawler malitios il poate ignora.
Trimiterea automata a utilizatorului de la un URL la altul
O redirectionare trimite automat vizitatorul (si motoarele de cautare) de la un URL la altul. Redirect 301 = permanent ("pagina s-a mutat definitiv"), redirect 302 = temporar. Lanturile de redirectionari (A → B → C) incetinesc incarcarea si pot confuza motoarele de cautare. Ideal: fiecare redirectionare sa duca direct la destinatia finala.
Cat de usor de citit si inteles este continutul paginii
Lizibilitatea masoara cat de usor este de citit si inteles textul unei pagini. Include: lungimea propozitiilor, complexitatea cuvintelor, structurarea in paragrafe scurte, folosirea subtitlurilor si listelor. Un text lizibil este accesibil unui public larg, nu doar specialistilor. Scorul Flesch-Kincaid este o metrica populara.
Limitarea numarului de cereri pe care un utilizator le poate face intr-un interval
Rate limiting limiteaza numarul de cereri pe care un client (IP, utilizator) le poate face intr-un interval de timp. Previne atacurile brute-force, DDoS si abuzul API-urilor. De exemplu: maxim 100 cereri pe minut de la acelasi IP. Cererile in exces primesc eroare 429 (Too Many Requests).
Rezultate Google cu elemente vizuale suplimentare: stele, preturi, FAQ
Rich Results sunt rezultate de cautare Google imbogatite cu informatii suplimentare: rating cu stele, pret, disponibilitate, FAQ, imagini, breadcrumbs. Sunt generate din datele structurate (Schema.org/JSON-LD) ale paginii. Cresc vizibilitatea si rata de click (CTR) cu pana la 30% fata de rezultatele standard.
Protocol de acces la distanta la un computer — poarta #1 pentru ransomware
RDP (Remote Desktop Protocol) permite conectarea la un computer de la distanta, ca si cum ai fi in fata lui. Portul 3389 deschis pe internet este principala poarta de intrare pentru atacurile ransomware. Atacatorii scaneaza automat internetul pentru RDP deschis si incearca parole. Solutia: VPN obligatoriu, MFA activat, sau port non-standard.
Fisiere CSS si JavaScript care blocheaza afisarea paginii pana se incarca complet
Render-blocking resources sunt fisiere CSS si JavaScript care impiedica browserul sa afiseze pagina pana cand nu sunt descarcate si procesate complet. Utilizatorul vede un ecran alb in acest timp. Solutia: marcarea scripturilor cu async/defer, inlinarea CSS-ului critic si incarcarea restului amanat. Fiecare resursă render-blocking adauga milisecunde la FCP si LCP.
Indicatii pentru browser sa pregateasca din timp conexiunile la servere externe
Resource hints sunt tag-uri HTML care spun browserului sa se pregateasca din timp: preconnect deschide conexiunea (DNS + TCP + TLS) catre un server extern inainte de a fi nevoie. dns-prefetch rezolva doar DNS-ul. prefetch descarca resurse care vor fi necesare pe pagina urmatoare. Reduc timpul de incarcare cu 100-300ms per conexiune.
Protocolul care cripteaza conexiunea dintre browser si site
SSL (Secure Sockets Layer) si succesorul sau TLS (Transport Layer Security) sunt protocoale care cripteaza datele transmise intre computerul tau si un website. Cand vezi lacatul verde in bara de adrese si "https://", inseamna ca site-ul foloseste SSL/TLS. Fara acest protocol, oricine din aceeasi retea ar putea vedea ce trimiti (parole, date personale, numere de card).
💡
Imagineaza-ti SSL ca un plic sigilat — chiar daca cineva intercepteaza scrisoarea, nu poate citi continutul.
Verifica integritatea fisierelor incarcate de pe alte servere
SRI permite browserului sa verifice ca un fisier incarcat de pe un CDN sau server extern nu a fost modificat. Functioneaza prin adaugarea unui hash criptografic in codul HTML. Daca fisierul a fost alterat (de un atacator sau CDN compromis), browserul il refuza automat.
Antetul care dezvaluie tipul si versiunea serverului web
Server Header este un antet HTTP care indica software-ul serverului web (Apache, Nginx, LiteSpeed) si uneori versiunea. Expunerea acestor informatii ajuta atacatorii sa caute vulnerabilitati specifice acelei versiuni. Buna practica este sa ascunzi sau sa minimizezi aceasta informatie.
Domenii multiple protejate de acelasi certificat SSL
SANs (Subject Alternative Names) sunt domeniile suplimentare acoperite de un singur certificat SSL. De exemplu, un certificat poate proteja simultan "exemplu.ro", "www.exemplu.ro" si "mail.exemplu.ro". Fara SANs corect configurate, vizitatorii vor primi erori de certificat pe subdomeniile neacoperite.
Inregistrarea principala cu informatii administrative despre zona DNS
SOA este prima inregistrare din zona DNS si contine informatii administrative: serverul principal, emailul administratorului, numarul de serie (versiune) si intervalele de actualizare. Este mai mult un detaliu tehnic, dar o configurare gresita poate cauza probleme de sincronizare DNS.
Inregistrare DNS care specifica ce servere pot trimite email in numele domeniului
SPF este o inregistrare in DNS-ul domeniului care listeaza IP-urile si serverele autorizate sa trimita emailuri in numele tau. Cand un server de email primeste un mesaj "de la" domeniul tau, verifica SPF-ul pentru a confirma ca mesajul vine de la un server autorizat. Fara SPF, oricine poate trimite emailuri pretinzand ca e de la domeniul tau.
💡
SPF este ca o lista cu persoanele autorizate sa semneze documente in numele firmei tale.
Comanda care upgradeaza o conexiune email necriptata la una criptata
STARTTLS este o comanda prin care un server de email cere trecerea de la o conexiune necriptata la una criptata cu TLS. Este importanta pentru protejarea confidentialitatii emailurilor in tranzit. Totusi, STARTTLS este optional — de aceea exista MTA-STS, care il face obligatoriu.
Harta site-ului care ajuta motoarele de cautare sa gaseasca toate paginile
Sitemap-ul este un fisier XML care listeaza toate paginile importante ale site-ului tau, impreuna cu informatii despre cand au fost modificate ultima data. Ajuta motoarele de cautare sa descopere si sa indexeze eficient continutul, mai ales pe site-uri mari sau cu structura complexa.
Date structurate care ajuta Google sa inteleaga continutul paginii
Schema.org este un vocabular standardizat de date structurate pe care il adaugi in codul paginii. Ajuta motoarele de cautare sa inteleaga exact ce contine pagina: este un produs? un articol? o reteta? o companie? Pe baza acestor date, Google poate afisa rezultate imbogatite (rich snippets) cu preturi, rating-uri, FAQ-uri etc.
Link ascuns care permite sarirea meniului si navigarea directa la continut
Skip Navigation este un link ascuns vizual (dar accesibil cu tastatura si cititoare de ecran) plasat la inceputul paginii. Permite utilizatorilor sa sara direct la continutul principal fara sa navigheze prin meniu si header la fiecare pagina. Este o cerinta WCAG si un standard de accesibilitate.
Script care ruleaza in fundal si permite functionarea offline
Un Service Worker este un fisier JavaScript care ruleaza in fundal, separat de pagina web. Poate intercepta cereri de retea, gestiona cache-ul si permite functionarea site-ului offline. Este componenta centrala a unui PWA si permite si notificarile push si sincronizarea in fundal.
Fisier standard care indica cum sa raportezi vulnerabilitati
security.txt (RFC 9116) este un fisier plasat la /.well-known/security.txt care indica cercetatorilor de securitate cum sa raporteze vulnerabilitati gasite pe site-ul tau: email de contact, cheie PGP, politica de divulgare. Fara el, cercetatorii nu stiu pe cine sa contacteze, iar vulnerabilitatile pot ramane neraportate.
Optimizarea vizibilitatii in cautarile locale (Google Maps, "aproape de mine")
SEO Local se refera la optimizarea prezentei online pentru cautarile cu intentie locala: "restaurant italian Bucuresti", "dentist aproape de mine". Include Google Business Profile, consistenta NAP (Name, Address, Phone), recenzii, date structurate LocalBusiness si optimizarea pentru Google Maps.
Cat de repede devine vizibil continutul paginii in timpul incarcarii
Speed Index masoara cat de repede este afisat vizual continutul paginii in timpul incarcarii. Un scor mic inseamna ca pagina se afiseaza rapid. Diferenta fata de LCP: Speed Index ia in calcul intreaga experienta vizuala de incarcare, nu doar un singur element. Un SI bun este sub 3.4 secunde.
Atributul care controleaza daca un cookie este trimis in cereri cross-site
SameSite este un atribut al cookie-urilor care controleaza cand sunt trimise: Strict (doar pe acelasi site), Lax (si la navigare directa de pe alt site) sau None (trimis intotdeauna, necesita Secure). Previne atacurile CSRF (Cross-Site Request Forgery). Browserele moderne seteaza implicit Lax daca nu e specificat.
Atributul care forteaza transmiterea cookie-ului doar prin HTTPS
Flagul Secure pe un cookie garanteaza ca acesta este transmis doar prin conexiuni HTTPS criptate, niciodata prin HTTP necriptat. Este obligatoriu pentru cookie-urile cu SameSite=None si recomandat pentru toate cookie-urile sensibile. Fara el, datele din cookie ar putea fi interceptate pe retele nesecurizate.
Mai multe site-uri pe acelasi server, impartind resursele
Shared hosting inseamna ca site-ul tau imparte un server fizic cu alte zeci sau sute de site-uri. Este solutia cea mai ieftina, dar performanta poate fi afectata de "vecinii" tai. Auditul detecteaza shared hosting prin verificarea numarului de site-uri pe acelasi IP. Alternativele sunt VPS, cloud hosting sau server dedicat.
Fisiere care expun codul sursa original al site-ului web
Source maps sunt fisiere (.map) generate in procesul de build care permit reconstituirea codului sursa original din codul minimizat. Sunt utile pentru debugging, dar daca sunt accesibile public, oricine poate vedea codul sursa complet al aplicatiei, inclusiv logica de business, endpoint-uri API ascunse si potentiale vulnerabilitati.
Mecanism de rezolvare a disputelor fara a merge in instanta
SAL (Solutionarea Alternativa a Litigiilor) este un mecanism prin care consumatorii pot rezolva disputele cu comerciantii fara a merge in instanta. Conform OG 38/2015, magazinele online din Romania sunt obligate sa informeze consumatorii despre entitatea SAL competenta si sa furnizeze un link catre platforma europeana ODR.
Tehnica de optimizare care reduce numarul de cautari DNS din inregistrarea SPF
SPF permite maxim 10 cautari DNS (include:, a:, mx:, etc.). Cand depasesti limita, SPF esueaza si emailurile pot fi respinse. SPF flattening inlocuieste mecanismele include: cu adresele IP rezolvate direct, reducand numarul de cautari. Atentie: IP-urile se pot schimba, deci necesita monitorizare continua.
Atac prin care un atacator preia controlul unui subdomeniu abandonat
Subdomain takeover se intampla cand un subdomeniu (ex: blog.exemplu.ro) are o inregistrare CNAME catre un serviciu extern (GitHub Pages, Heroku, AWS) care nu mai este activ. Un atacator poate revendica acel serviciu si publica continut pe subdomeniul tau. Poate fi folosit pentru phishing, furt de cookie-uri sau daune de reputatie.
Folosirea elementelor HTML cu sens (main, nav, article) in loc de div-uri generice
Semantic HTML inseamna folosirea elementelor HTML cu semnificatie clara: <main> pentru continutul principal, <nav> pentru navigare, <article> pentru articole, <aside> pentru continut lateral, <header> si <footer> pentru antet si subsol. Cititoarele de ecran folosesc aceste elemente ca repere de navigare. Div-urile generice nu transmit nicio semnificatie.
Elemente care demonstreaza ca altii au avut incredere in produsul/serviciul tau
Social proof include: testimoniale, recenzii, studii de caz, logo-uri de clienti, numar de utilizatori, rating-uri cu stele, mentiuni in presa. Oamenii tind sa urmeze comportamentul altora — daca vad ca 500 de clienti sunt multumiti, increderea creste. Plasarea social proof-ului langa CTA creste rata de conversie cu 15-30%.
Cat timp este memorata o inregistrare DNS in cache
TTL indica cat timp (in secunde) o inregistrare DNS poate fi memorata (cached) de rezolvere si browsere inainte de a fi reinterogata. Un TTL scurt (300 = 5 minute) permite schimbari rapide dar genereaza mai mult trafic DNS. Un TTL lung (86400 = 24 ore) reduce traficul dar schimbarile se propaga mai lent.
Titlul paginii afisat in rezultatele Google si in tab-ul browserului
Title tag este elementul HTML care defineste titlul paginii. Apare in: tab-ul browserului, rezultatele Google, preview-urile pe retele sociale. Este unul dintre cei mai importanti factori SEO on-page. Un titlu bun are 50-60 de caractere, include cuvintele cheie relevante si este unic pentru fiecare pagina.
Taguri similare cu Open Graph, specifice pentru Twitter/X
Twitter Cards sunt meta taguri (twitter:card, twitter:title, twitter:image) care controleaza cum apare pagina ta cand e partajata pe Twitter (X). Tipuri populare: summary (card mic cu imagine), summary_large_image (card mare cu imagine). Fara ele, tweet-urile cu linkuri spre site-ul tau vor fi text simplu.
Timpul pana la primirea primului byte de la server
TTFB masoara cat de repede raspunde serverul la o cerere: de la momentul cererii pana la primirea primului byte de date. Include timpul de DNS lookup, conectare TCP/TLS si procesare pe server. Un TTFB bun este sub 200ms. Un TTFB slab indica probleme de server: hosting lent, baza de date neoptimizata sau lipsa caching-ului.
Timpul total in care pagina a fost blocata si nu raspundea la interactiuni
TBT masoara timpul total in care thread-ul principal al browserului a fost blocat de task-uri lungi (peste 50ms) intre FCP si TTI. In acest timp, pagina nu raspunde la click-uri sau scroll. Un TBT bun este sub 200ms. Se reduce prin spargerea codului JavaScript in bucati mai mici si incarcarea amanata a scripturilor.
Cookie-uri setate de alte domenii decat site-ul vizitat
Cookie-urile terte (third-party) sunt setate de domenii diferite de site-ul pe care il vizitezi: Google Analytics, Facebook Pixel, retele publicitare etc. Sunt folosite pentru urmarirea utilizatorilor intre site-uri (tracking). Browserele le blocheaza progresiv (Safari deja, Chrome din 2024). Necesita consimtamant GDPR explicit.
Raportarea problemelor de criptare TLS in livrarea emailurilor
TLS-RPT (SMTP TLS Reporting) este o inregistrare DNS care specifica unde sa fie trimise rapoartele despre problemele de criptare TLS in livrarea emailurilor. Lucreaza impreuna cu MTA-STS pentru a te notifica cand emailurile nu pot fi livrate criptat. Te ajuta sa detectezi si sa rezolvi probleme de configurare.
Inregistrare DNS care asociaza un certificat SSL cu domeniul prin DNSSEC
TLSA este tipul de inregistrare DNS folosit de protocolul DANE pentru a asocia certificate SSL/TLS cu domenii. Permite serverelor de email sa verifice certificatul partenerului direct prin DNS (securizat cu DNSSEC), fara a depinde de autoritatile de certificare traditionale.
Prezenta sau absenta caracterului / la sfarsitul URL-ului
Trailing slash se refera la caracterul "/" de la sfarsitul unui URL: exemplu.ro/pagina/ vs exemplu.ro/pagina. Google le trateaza ca URL-uri diferite, ceea ce poate crea continut duplicat. Important este sa fii consistent: alege una din variante si redirectioneaza cealalta cu 301.
Atributul HTML care controleaza ordinea navigarii cu tasta Tab
Tabindex este un atribut HTML care controleaza daca si in ce ordine un element primeste focus la navigarea cu tastatura (tasta Tab). tabindex="0" = ordine naturala, tabindex="-1" = exclus din navigare Tab dar focusabil programatic, tabindex pozitiv = ordine custom (nerecomandat, creeaza confuzie). Valorile pozitive mari sunt un anti-pattern.
Dimensiunea minima a butoanelor si linkurilor pe dispozitive tactile
Touch targets sunt zonele de pe ecran pe care utilizatorul le atinge pentru a interactiona (butoane, linkuri, checkboxuri). Google recomanda minim 48x48 pixeli cu spatiere de cel putin 8 pixeli intre ele. Butoanele prea mici sau prea apropiate duc la atingeri gresite, frustrare si abandon pe mobil.
Cod de autentificare temporar generat de o aplicatie pe telefon
TOTP genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde. Sunt folosite de aplicatii ca Google Authenticator, Authy sau Microsoft Authenticator. Fiecare cod este valid doar o data si doar pentru scurt timp, ceea ce face atacurile mult mai dificile decat cu parola simpla.
Pagini cu prea putin text sau continut superficial — penalizate de Google
Thin content se refera la pagini cu continut foarte putin (sub 300 cuvinte), copiat, generat automat sau fara valoare reala pentru utilizator. Google considera thin content ca semnal de calitate scazuta si poate dezindexa aceste pagini sau clasifica site-ul mai jos. Solutia: continut original, detaliat si util, de minimum 300-500 cuvinte per pagina.
Documentul legal obligatoriu care stabileste regulile de utilizare a site-ului
Termenii si conditiile sunt un document legal obligatoriu (conform OUG 34/2014 pentru Romania) care stabileste drepturile si obligatiile ambelor parti: proprietarul site-ului si utilizatorul. Include: conditii de plata, livrare, returnare, garantii, limitarea raspunderii. Trebuie sa fie accesibil din orice pagina (de obicei in footer).
Protectie care impiedica transferul neautorizat al domeniului la alt registrar
Transfer lock (sau domain lock) este o masura de securitate care impiedica transferul domeniului tau la un alt registrar fara autorizare explicita. Fara transfer lock activ, un atacator care obtine acces la emailul tau ar putea initia un transfer si prelua complet domeniul. Activeaza-l din panoul de control al registrarului.
Meta tag care personalizeaza culoarea barei de adrese pe mobil
Theme-color este un meta tag HTML (<meta name="theme-color" content="#1E3A8A">) care personalizeaza culoarea barei de adrese si a interfetei browserului pe dispozitive mobile. Ofera o experienta mai imersiva si profesionala. Se poate seta diferit pentru modul deschis si inchis (prefers-color-scheme). Nu afecteaza desktop-ul.
Directiva CSP care cere browserului sa transforme automat cererile HTTP in HTTPS
upgrade-insecure-requests este o directiva CSP care spune browserului sa transforme automat toate cererile HTTP (nesecurizate) in HTTPS. Este utila in tranzitia de la HTTP la HTTPS: chiar daca unele resurse sunt referentiate cu http://, browserul le incarca prin https:// automat. Previne problemele de mixed content fara a modifica codul.
Directiva CSP care permite executarea scripturilor inline — slabeste protectia
unsafe-inline in CSP permite executarea oricarui script inline (cod JavaScript scris direct in HTML). Aceasta anuleaza in mare masura protectia CSP impotriva XSS, deoarece un atacator care reuseste sa injecteze cod HTML obtine si executie JavaScript. Solutia: inlocuirea cu nonce-based CSP (script-src 'nonce-{random}') sau hash-based CSP.
Tag-ul care controleaza cum se afiseaza pagina pe ecranele mobile
Meta viewport controleaza comportamentul paginii pe dispozitive mobile: dimensiunea initiala, nivelul de zoom, daca utilizatorul poate face zoom. Setarea corecta (width=device-width, initial-scale=1) asigura afisarea responsiva. Important: dezactivarea zoom-ului (maximum-scale=1) este un anti-pattern de accesibilitate.
Protocol de control la distanta al unui computer — mai putin securizat decat RDP
VNC este un protocol care permite vizualizarea si controlul unui computer de la distanta. Similar cu RDP, dar cu securitate mai slaba. Portul 5900 deschis pe internet este un risc major. VNC nu are criptare puternica nativa si nu suporta autentificare avansata. Trebuie folosit doar prin VPN sau SSH tunnel.
Mesajul principal care explica de ce un vizitator ar trebui sa aleaga produsul/serviciul tau
Value proposition este mesajul clar si concis care comunica beneficiul principal al produsului sau serviciului tau. Trebuie sa fie vizibil imediat (above the fold) si sa raspunda la intrebarea: "De ce sa te aleg pe tine si nu pe concurenta?" Fara o propunere de valoare clara, vizitatorii parasesc site-ul in cateva secunde.
Firewall specializat care protejeaza site-ul de atacuri web
WAF-ul este un scut de protectie plasat intre internet si site-ul tau. Analizeaza fiecare cerere care vine spre site si blocheaza automat cele malitioase: injectii SQL, atacuri XSS, boti agresivi etc. Furnizori populari: Cloudflare, Sucuri, AWS WAF. Un WAF poate bloca mii de atacuri pe zi fara ca tu sa stii.
💡
WAF-ul este ca un agent de securitate care verifica fiecare persoana la intrare si le opreste pe cele suspecte.
Standardul international pentru accesibilitate web
WCAG (Web Content Accessibility Guidelines) este standardul international care defineste cum sa faci un site web accesibil persoanelor cu dizabilitati. Are 3 nivele: A (minim), AA (recomandat), AAA (optimal). Include reguli despre text alternativ la imagini, contrast suficient, navigare cu tastatura si multe altele. In UE, conformitatea WCAG va deveni obligatorie.
Fisier JSON care descrie aplicatia web pentru instalare
Web Manifest (manifest.json) este un fisier JSON care contine informatii despre aplicatia web: nume, descriere, culori, icon-uri, mod de afisare (fullscreen, standalone). Este necesar pentru ca browserul sa ofere optiunea de instalare a PWA-ului pe dispozitivul utilizatorului.
Baza de date publica cu informatii despre proprietarul unui domeniu
WHOIS este un protocol si o baza de date care stocheaza informatii despre proprietarul unui domeniu: cine l-a inregistrat, cand expira, la ce registrar. Dupa GDPR, multe informatii personale sunt ascunse, dar datele tehnice (nameservere, data expirarii) raman vizibile. Un domeniu aproape de expirare este un risc.
Previne incadrarea site-ului in iframe-uri straine
X-Frame-Options este un antet de securitate care controleaza daca site-ul tau poate fi afisat in interiorul altui site (intr-un iframe). Fara el, un atacator ar putea incadra site-ul tau in pagina sa si pacali utilizatorii sa faca click pe butoane fara sa stie (atac numit "clickjacking").
Acest antet de securitate (cu valoarea "nosniff") spune browserului sa nu incerce sa ghiceasca tipul unui fisier. Fara el, browserul ar putea interpreta un fisier text ca JavaScript si sa-l execute, ceea ce deschide usa atacurilor. Cu "nosniff" activat, fiecare fisier este tratat exact ca ce este declarat.
Atac in care codul malitios este injectat in paginile web
XSS (Cross-Site Scripting) este un atac in care un atacator reuseste sa injecteze cod JavaScript malitios intr-o pagina web. Cand alt utilizator viziteaza pagina, codul se executa in browserul lui, putand fura sesiuni, date personale sau redirectiona catre site-uri false. Protectia: CSP, sanitizarea inputului, HttpOnly cookies.
Antet HTTP care dezvaluie tehnologia din spatele site-ului
X-Powered-By este un antet HTTP care dezvaluie tehnologia folosita de server: PHP, ASP.NET, Express etc. Similar cu Server Header, expunerea acestei informatii ajuta atacatorii sa identifice vulnerabilitati specifice. Buna practica este sa-l dezactivezi complet din configuratia serverului.