Verificare Securitate Website
Analizăm SSL, headere de securitate, porturi deschise, firewall, blacklist și scurgeri de informații. Rezultate instant cu recomandări concrete.
Ce verificăm
Certificat SSL / HTTPS
Verificăm certificatul SSL: validitate, dată de expirare, protocolul TLS (1.2/1.3), puterea cheii de criptare și dacă forward secrecy este activat.
Headere de Securitate
Analizăm headerele HTTP de securitate: HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy și Permissions-Policy.
Porturi Deschise
Scanăm porturile serverului pentru a identifica servicii expuse inutil. Doar porturile 80 și 443 ar trebui să fie publice pe un server web.
Firewall (WAF) și CDN
Detectăm prezența unui Web Application Firewall (Cloudflare, Sucuri, AWS WAF) și a unui CDN care protejează împotriva atacurilor DDoS.
Reputație și Blacklist
Verificăm dacă domeniul sau IP-ul serverului apare în liste negre (Spamhaus, SURBL, UCEPROTECT) care pot afecta reputația și deliverability-ul email.
Scurgeri de Informații
Identificăm scurgeri de informații sensibile: versiuni de software în headere (Server, X-Powered-By), comentarii HTML, fișiere de configurare expuse.
De ce contează securitatea website-ului
Un website nesecurizat pune în pericol datele vizitatorilor, reputația brandului și poziționarea în Google.
Protecția datelor vizitatorilor
Orice website care colectează date personale — formulare de contact, autentificare, plăți online — trebuie să asigure confidențialitatea și integritatea acestor date. Fără HTTPS, datele sunt transmise în text clar și pot fi interceptate de oricine se află în aceeași rețea (atac man-in-the-middle). Headerele de securitate adaugă un strat suplimentar de protecție împotriva atacurilor XSS, clickjacking și injection.
Impactul asupra SEO
Google folosește securitatea ca factor de ranking din 2014. Site-urile fără HTTPS sunt penalizate în rezultatele de căutare, iar Chrome afișează avertismentul „Conexiune nesigură" care descurajează vizitatorii. Dacă site-ul este compromis și apare în blacklist-uri, Google afișează avertismente de malware care pot elimina complet site-ul din rezultate.
Conformitate legală și GDPR
Regulamentul GDPR impune măsuri tehnice adecvate pentru protecția datelor personale (Art. 32). Un website fără SSL, fără headere de securitate sau cu vulnerabilități cunoscute nu respectă aceste cerințe. Amenzile GDPR pot ajunge la 20 milioane EUR sau 4% din cifra de afaceri globală. Directiva NIS2 (transpusă în România prin OUG 155/2024) impune standarde de securitate și mai stricte pentru entitățile din sectoare critice.
Costul unui incident de securitate
Un website compromis poate cauza pierderi directe (furt de date, defacement) și indirecte (pierderea încrederii clienților, costuri de remediere, penalizări SEO). Pentru un magazin online, câteva ore de downtime pot însemna pierderi semnificative de venituri. Prevenția prin verificări periodice este întotdeauna mai ieftină decât remedierea.
Cele mai frecvente probleme de securitate
Pe baza auditurilor efectuate, acestea sunt vulnerabilitățile pe care le întâlnim cel mai des pe website-urile românești.
Headere de securitate lipsă
Peste 70% din website-uri nu au configurate headerele Content-Security-Policy, HSTS sau X-Frame-Options. Sunt ușor de implementat și oferă protecție semnificativă.
Certificat SSL expirat sau slab configurat
Certificate expirate, protocoale TLS vechi (1.0/1.1), cifruri slabe sau forward secrecy dezactivat. Toate se rezolvă prin actualizarea configurării serverului.
Versiuni de software expuse
Headerele Server și X-Powered-By dezvăluie versiunea PHP, Apache, nginx sau a CMS-ului. Atacatorii folosesc aceste informații pentru a căuta vulnerabilități cunoscute.
Porturi non-standard deschise
Porturi precum 3306 (MySQL), 6379 (Redis), 27017 (MongoDB) sau 8080 (admin panel) expuse public. Trebuie restricționate prin firewall.
Lipsa WAF-ului (Web Application Firewall)
Website-urile fără WAF sunt expuse direct la atacuri automatizate: SQL injection, XSS, brute force. Cloudflare oferă WAF gratuit pe planul Free.
HSTS lipsă sau incorect configurat
Fără HSTS (HTTP Strict Transport Security), browserele pot fi păcălite să acceseze versiunea HTTP nesecurizată a site-ului, permițând atacuri de tip SSL stripping.
Cum să interpretezi rezultatele
Ghid rapid pentru înțelegerea raportului de securitate generat de SoftAudit.
Pass (Verde)
Verificarea a trecut cu succes. Configurarea respectă best practices-urile actuale de securitate. Exemplu: SSL valid cu TLS 1.3, toate headerele de securitate prezente, niciun port non-standard deschis.
Warning (Galben)
Configurarea funcționează dar poate fi îmbunătățită. Nu este o vulnerabilitate critică, dar reprezintă o oportunitate de a crește securitatea. Exemplu: lipsă header Permissions-Policy, TLS 1.2 fără TLS 1.3, HSTS fără preload.
Fail (Roșu)
Problemă critică de securitate care trebuie remediată urgent. Exemplu: SSL expirat sau lipsă, headere de securitate critice lipsă (HSTS, CSP), porturi sensibile expuse (MySQL, Redis), domeniu în blacklist. Fiecare problemă include recomandări concrete de remediere.
SoftAudit vs scanner-e de securitate
Majoritatea tool-urilor internaționale sunt în engleză și verifică doar un singur aspect. SoftAudit oferă verificare completă în română.
Scanner-e clasice
- Doar în limba engleză
- Fiecare verifică un singur aspect
- Fără context românesc (GDPR, NIS2)
- Unele foarte specializate
SoftAudit.ro
- Complet în limba română
- 6 module de securitate într-un singur test
- Recomandări concrete de remediere
- Parte dintr-un audit complet (28 module)
Verificări complementare
Securitatea este doar un aspect al sănătății website-ului. Verifică și celelalte aspecte critice:
Întrebări frecvente
Ce verifică testul de securitate?+
Testul analizează 6 aspecte critice: certificatul SSL (HTTPS, protocol TLS, expirare), headerele de securitate (HSTS, CSP, X-Frame-Options), porturile deschise pe server, prezența unui firewall (WAF), reputația domeniului în liste negre (blacklist), și eventualele scurgeri de informații tehnice (versiuni software expuse).
Este gratuit testul de securitate?+
Da, testul de securitate este complet gratuit și nu necesită crearea unui cont. Poți verifica oricâte domenii dorești.
Cât durează verificarea?+
Verificarea durează de obicei între 10 și 30 de secunde, în funcție de configurația serverului verificat.
Ce sunt headerele de securitate?+
Headerele de securitate sunt instrucțiuni trimise de server către browser pentru a preveni atacuri comune: HSTS forțează conexiunea HTTPS, CSP previne injectarea de cod malițios, X-Frame-Options protejează împotriva clickjacking. Configurarea lor corectă este esențială pentru protecția vizitatorilor.
De ce contează porturile deschise?+
Porturile deschise sunt puncte de acces pe server. Porturile 80 (HTTP) și 443 (HTTPS) sunt normale, dar alte porturi deschise (ex: 3306 pentru MySQL, 22 pentru SSH) pot fi exploatate de atacatori. Un server securizat expune doar porturile strict necesare.
Ce este un WAF (Web Application Firewall)?+
Un WAF este un firewall specializat pentru aplicații web care filtrează traficul malițios (SQL injection, XSS, DDoS). Servicii precum Cloudflare, Sucuri sau AWS WAF oferă protecție suplimentară. Nu este obligatoriu, dar este foarte recomandat.
Ce este HTTPS și de ce este important?+
HTTPS (HyperText Transfer Protocol Secure) criptează toate datele transmise între browser și server. Fără HTTPS, parolele, datele de card și informațiile personale sunt transmise în text clar și pot fi interceptate. Din 2018, Google Chrome marchează site-urile HTTP ca nesigure și Google penalizează site-urile fără HTTPS în rezultatele de căutare.
Cum securizez un website WordPress?+
Pași esențiali: (1) Actualizează WordPress, tema și plugin-urile la ultima versiune, (2) Folosește un certificat SSL valid, (3) Instalează un plugin de securitate (Wordfence, Sucuri), (4) Schimbă URL-ul de login implicit (/wp-admin), (5) Activează autentificarea în doi pași (2FA), (6) Dezactivează listarea directoarelor și editarea fișierelor din admin, (7) Configurează headerele de securitate, (8) Fă backup-uri automate regulate.
Ce este Content Security Policy (CSP)?+
Content Security Policy este un header HTTP care controlează ce resurse poate încărca pagina: scripturi, stiluri, imagini, fonturi, iframe-uri. CSP previne atacurile XSS (Cross-Site Scripting) prin specificarea exactă a surselor permise. Exemplu: dacă CSP permite scripturi doar de pe domeniul tău, un script malițios injectat va fi blocat automat de browser.
Ce este un atac DDoS și cum mă protejez?+
Un atac DDoS (Distributed Denial of Service) inundă serverul cu milioane de cereri simultane pentru a-l face indisponibil. Protecția include: (1) Folosirea unui CDN cu WAF (Cloudflare, Sucuri), (2) Rate limiting la nivel de server, (3) Filtrarea traficului suspect, (4) Servere redundante. Cloudflare oferă protecție DDoS gratuită pe planul Free.
Ce înseamnă dacă site-ul meu apare în blacklist?+
Dacă domeniul sau IP-ul serverului apare în liste negre (Spamhaus, SURBL, UCEPROTECT), email-urile tale vor ajunge în spam sau vor fi respinse, iar Google poate afișa un avertisment de malware. Cauzele frecvente: malware pe server, script-uri de spam, IP partajat compromis. Remedierea necesită curățarea serverului și solicitarea de delist.
Articole relevante
Cum Să Verifici Securitatea Unui Website — Ghid Complet 2026
Ghid pas cu pas cu 20 de puncte de verificat pentru securitatea oricărui website.
Citește articolul →Checklist Securitate Website 2026 — 50 de Puncte
Lista completă de verificări de securitate pentru website-uri, de la SSL la WAF.
Citește articolul →Top 10 Probleme de Securitate ale Website-urilor Românești
Cele mai frecvente vulnerabilități identificate în auditurile website-urilor din România.
Citește articolul →Vrei o analiză completă?
Auditul complet verifică 28 de aspecte ale website-ului tău: securitate, SEO, performanță, conformitate legală, email, accesibilitate și multe altele. Primul audit este gratuit.
Audit Complet Gratuit