Salt la conținut
Test gratuit — fără cont

Verificare Securitate Website

Analizăm SSL, headere de securitate, porturi deschise, firewall, blacklist și scurgeri de informații. Rezultate instant cu recomandări concrete.

Ce verificăm

Certificat SSL / HTTPS

Verificăm certificatul SSL: validitate, dată de expirare, protocolul TLS (1.2/1.3), puterea cheii de criptare și dacă forward secrecy este activat.

Headere de Securitate

Analizăm headerele HTTP de securitate: HSTS, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy și Permissions-Policy.

Porturi Deschise

Scanăm porturile serverului pentru a identifica servicii expuse inutil. Doar porturile 80 și 443 ar trebui să fie publice pe un server web.

Firewall (WAF) și CDN

Detectăm prezența unui Web Application Firewall (Cloudflare, Sucuri, AWS WAF) și a unui CDN care protejează împotriva atacurilor DDoS.

Reputație și Blacklist

Verificăm dacă domeniul sau IP-ul serverului apare în liste negre (Spamhaus, SURBL, UCEPROTECT) care pot afecta reputația și deliverability-ul email.

Scurgeri de Informații

Identificăm scurgeri de informații sensibile: versiuni de software în headere (Server, X-Powered-By), comentarii HTML, fișiere de configurare expuse.

De ce contează securitatea website-ului

Un website nesecurizat pune în pericol datele vizitatorilor, reputația brandului și poziționarea în Google.

Protecția datelor vizitatorilor

Orice website care colectează date personale — formulare de contact, autentificare, plăți online — trebuie să asigure confidențialitatea și integritatea acestor date. Fără HTTPS, datele sunt transmise în text clar și pot fi interceptate de oricine se află în aceeași rețea (atac man-in-the-middle). Headerele de securitate adaugă un strat suplimentar de protecție împotriva atacurilor XSS, clickjacking și injection.

Impactul asupra SEO

Google folosește securitatea ca factor de ranking din 2014. Site-urile fără HTTPS sunt penalizate în rezultatele de căutare, iar Chrome afișează avertismentul „Conexiune nesigură" care descurajează vizitatorii. Dacă site-ul este compromis și apare în blacklist-uri, Google afișează avertismente de malware care pot elimina complet site-ul din rezultate.

Conformitate legală și GDPR

Regulamentul GDPR impune măsuri tehnice adecvate pentru protecția datelor personale (Art. 32). Un website fără SSL, fără headere de securitate sau cu vulnerabilități cunoscute nu respectă aceste cerințe. Amenzile GDPR pot ajunge la 20 milioane EUR sau 4% din cifra de afaceri globală. Directiva NIS2 (transpusă în România prin OUG 155/2024) impune standarde de securitate și mai stricte pentru entitățile din sectoare critice.

Costul unui incident de securitate

Un website compromis poate cauza pierderi directe (furt de date, defacement) și indirecte (pierderea încrederii clienților, costuri de remediere, penalizări SEO). Pentru un magazin online, câteva ore de downtime pot însemna pierderi semnificative de venituri. Prevenția prin verificări periodice este întotdeauna mai ieftină decât remedierea.

Cele mai frecvente probleme de securitate

Pe baza auditurilor efectuate, acestea sunt vulnerabilitățile pe care le întâlnim cel mai des pe website-urile românești.

Headere de securitate lipsă

Peste 70% din website-uri nu au configurate headerele Content-Security-Policy, HSTS sau X-Frame-Options. Sunt ușor de implementat și oferă protecție semnificativă.

Certificat SSL expirat sau slab configurat

Certificate expirate, protocoale TLS vechi (1.0/1.1), cifruri slabe sau forward secrecy dezactivat. Toate se rezolvă prin actualizarea configurării serverului.

Versiuni de software expuse

Headerele Server și X-Powered-By dezvăluie versiunea PHP, Apache, nginx sau a CMS-ului. Atacatorii folosesc aceste informații pentru a căuta vulnerabilități cunoscute.

Porturi non-standard deschise

Porturi precum 3306 (MySQL), 6379 (Redis), 27017 (MongoDB) sau 8080 (admin panel) expuse public. Trebuie restricționate prin firewall.

Lipsa WAF-ului (Web Application Firewall)

Website-urile fără WAF sunt expuse direct la atacuri automatizate: SQL injection, XSS, brute force. Cloudflare oferă WAF gratuit pe planul Free.

HSTS lipsă sau incorect configurat

Fără HSTS (HTTP Strict Transport Security), browserele pot fi păcălite să acceseze versiunea HTTP nesecurizată a site-ului, permițând atacuri de tip SSL stripping.

Cum să interpretezi rezultatele

Ghid rapid pentru înțelegerea raportului de securitate generat de SoftAudit.

Pass (Verde)

Verificarea a trecut cu succes. Configurarea respectă best practices-urile actuale de securitate. Exemplu: SSL valid cu TLS 1.3, toate headerele de securitate prezente, niciun port non-standard deschis.

Warning (Galben)

Configurarea funcționează dar poate fi îmbunătățită. Nu este o vulnerabilitate critică, dar reprezintă o oportunitate de a crește securitatea. Exemplu: lipsă header Permissions-Policy, TLS 1.2 fără TLS 1.3, HSTS fără preload.

Fail (Roșu)

Problemă critică de securitate care trebuie remediată urgent. Exemplu: SSL expirat sau lipsă, headere de securitate critice lipsă (HSTS, CSP), porturi sensibile expuse (MySQL, Redis), domeniu în blacklist. Fiecare problemă include recomandări concrete de remediere.

SoftAudit vs scanner-e de securitate

Majoritatea tool-urilor internaționale sunt în engleză și verifică doar un singur aspect. SoftAudit oferă verificare completă în română.

Scanner-e clasice

  • Doar în limba engleză
  • Fiecare verifică un singur aspect
  • Fără context românesc (GDPR, NIS2)
  • Unele foarte specializate

SoftAudit.ro

  • Complet în limba română
  • 6 module de securitate într-un singur test
  • Recomandări concrete de remediere
  • Parte dintr-un audit complet (28 module)

Verificări complementare

Securitatea este doar un aspect al sănătății website-ului. Verifică și celelalte aspecte critice:

Întrebări frecvente

Ce verifică testul de securitate?+

Testul analizează 6 aspecte critice: certificatul SSL (HTTPS, protocol TLS, expirare), headerele de securitate (HSTS, CSP, X-Frame-Options), porturile deschise pe server, prezența unui firewall (WAF), reputația domeniului în liste negre (blacklist), și eventualele scurgeri de informații tehnice (versiuni software expuse).

Este gratuit testul de securitate?+

Da, testul de securitate este complet gratuit și nu necesită crearea unui cont. Poți verifica oricâte domenii dorești.

Cât durează verificarea?+

Verificarea durează de obicei între 10 și 30 de secunde, în funcție de configurația serverului verificat.

Ce sunt headerele de securitate?+

Headerele de securitate sunt instrucțiuni trimise de server către browser pentru a preveni atacuri comune: HSTS forțează conexiunea HTTPS, CSP previne injectarea de cod malițios, X-Frame-Options protejează împotriva clickjacking. Configurarea lor corectă este esențială pentru protecția vizitatorilor.

De ce contează porturile deschise?+

Porturile deschise sunt puncte de acces pe server. Porturile 80 (HTTP) și 443 (HTTPS) sunt normale, dar alte porturi deschise (ex: 3306 pentru MySQL, 22 pentru SSH) pot fi exploatate de atacatori. Un server securizat expune doar porturile strict necesare.

Ce este un WAF (Web Application Firewall)?+

Un WAF este un firewall specializat pentru aplicații web care filtrează traficul malițios (SQL injection, XSS, DDoS). Servicii precum Cloudflare, Sucuri sau AWS WAF oferă protecție suplimentară. Nu este obligatoriu, dar este foarte recomandat.

Ce este HTTPS și de ce este important?+

HTTPS (HyperText Transfer Protocol Secure) criptează toate datele transmise între browser și server. Fără HTTPS, parolele, datele de card și informațiile personale sunt transmise în text clar și pot fi interceptate. Din 2018, Google Chrome marchează site-urile HTTP ca nesigure și Google penalizează site-urile fără HTTPS în rezultatele de căutare.

Cum securizez un website WordPress?+

Pași esențiali: (1) Actualizează WordPress, tema și plugin-urile la ultima versiune, (2) Folosește un certificat SSL valid, (3) Instalează un plugin de securitate (Wordfence, Sucuri), (4) Schimbă URL-ul de login implicit (/wp-admin), (5) Activează autentificarea în doi pași (2FA), (6) Dezactivează listarea directoarelor și editarea fișierelor din admin, (7) Configurează headerele de securitate, (8) Fă backup-uri automate regulate.

Ce este Content Security Policy (CSP)?+

Content Security Policy este un header HTTP care controlează ce resurse poate încărca pagina: scripturi, stiluri, imagini, fonturi, iframe-uri. CSP previne atacurile XSS (Cross-Site Scripting) prin specificarea exactă a surselor permise. Exemplu: dacă CSP permite scripturi doar de pe domeniul tău, un script malițios injectat va fi blocat automat de browser.

Ce este un atac DDoS și cum mă protejez?+

Un atac DDoS (Distributed Denial of Service) inundă serverul cu milioane de cereri simultane pentru a-l face indisponibil. Protecția include: (1) Folosirea unui CDN cu WAF (Cloudflare, Sucuri), (2) Rate limiting la nivel de server, (3) Filtrarea traficului suspect, (4) Servere redundante. Cloudflare oferă protecție DDoS gratuită pe planul Free.

Ce înseamnă dacă site-ul meu apare în blacklist?+

Dacă domeniul sau IP-ul serverului apare în liste negre (Spamhaus, SURBL, UCEPROTECT), email-urile tale vor ajunge în spam sau vor fi respinse, iar Google poate afișa un avertisment de malware. Cauzele frecvente: malware pe server, script-uri de spam, IP partajat compromis. Remedierea necesită curățarea serverului și solicitarea de delist.

Vrei o analiză completă?

Auditul complet verifică 28 de aspecte ale website-ului tău: securitate, SEO, performanță, conformitate legală, email, accesibilitate și multe altele. Primul audit este gratuit.

Audit Complet Gratuit