Securitatea site-ului WordPress: 20 de măsuri esențiale pentru 2026

WordPress alimentează peste 43% din site-urile web globale, ceea ce îl face cea mai atacată platformă CMS. Vectorii de atac sunt multiplii: vulnerabilități în plugin-uri și teme, parole slabe, configurări implicite nesigure și injecții în baza de date. Un site WordPress compromis nu doar că pierde date și reputație, ci poate fi deindexat de Google dacă este folosit pentru distribuirea de malware sau spam.

Securizarea unui site WordPress nu necesită cunoștințe avansate de securitate cibernetică, ci aplicarea consecventă a unui set de măsuri fundamentale. Majoritatea atacurilor reușesc nu datorită sofisticării tehnice, ci din cauza neglijenței în aplicarea practicilor de bază.

Acest ghid prezintă 20 de măsuri concrete de securitate WordPress, organizate de la cele mai urgente la cele avansate.

Securitate WordPress: 20 de măsuri concrete pentru un site protejat

Măsurile fundamentale: primele 7 acțiuni

1. Actualizați WordPress, temele și plugin-urile

Cel puțin 50% din atacuri exploatează vulnerabilități cunoscute cu patch-uri disponibile. Activați actualizările automate pentru minor releases sau verificați și actualizați manual săptămânal.

2. Folosiți parole puternice și unice

Parola administratorului trebuie să aibă minimum 16 caractere, combinând litere, cifre și simboluri. Folosiți un manager de parole (Bitwarden, 1Password) pentru a genera și stoca parole unice.

3. Schimbați username-ul admin implicit

WordPress implicita „admin” ca username, primul lucru pe care atacatorii îl încearcă. Creați un cont de administrator cu un username unic și ștergeți contul „admin”.

4. Activați autentificarea în doi factori (2FA)

Chiar dacă parola este compromisă, 2FA blochează accesul neautorizat. Plugin-urile Wordfence sau WP 2FA implementează 2FA prin aplicații TOTP (Google Authenticator, Authy).

5. Limitați încercările de autentificare

Blocați automat IP-urile care încearcă multiple combinații de parole (brute force). Loginizer, WP Cerber sau Wordfence oferă această funcționalitate.

6. Schimbați URL-ul de autentificare

Boti automatizați atacă permanent /wp-admin și /wp-login.php. Schimbați URL-ul implicit cu WPS Hide Login sau Perfmatters.

7. Instalați un plugin de securitate

Wordfence sau Sucuri Security oferă firewall, scanare malware și monitorizare în timp real. Configurați alertele email pentru activități suspecte.

Securizarea bazei de date și a fișierelor

8. Schimbați prefixul tabelelor WordPress

Prefixul implicit wp_ este țintat de injecții SQL automate. Schimbați-l la instalare sau ulterior cu plugin-ul Better WP Security.

9. Restricționați permisiunile fișierelor

# Permisiuni recomandate:
find /var/www/html -type d -exec chmod 755 {} \;
find /var/www/html -type f -exec chmod 644 {} \;
chmod 600 wp-config.php

10. Protejați wp-config.php

Adăugați în .htaccess pentru a bloca accesul direct la fișierul de configurare:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. Dezactivați editarea fișierelor din WordPress admin

Adăugați în wp-config.php: define('DISALLOW_FILE_EDIT', true);

Securizarea serverului și a conexiunilor

12. Forțați HTTPS pe întreg site-ul

Certificatul SSL este obligatoriu. Redirecționați automat HTTP spre HTTPS prin .htaccess sau configurația Nginx/Apache.

13. Implementați headere de securitate HTTP

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

14. Dezactivați XML-RPC dacă nu este necesar

XML-RPC este frecvent abuzat pentru atacuri brute force. Dezactivați-l dacă nu folosiți aplicații mobile WordPress sau Jetpack.

15. Configurați un Web Application Firewall (WAF)

Cloudflare (gratuit) sau Sucuri (plătit) oferă WAF care blochează atacurile comune înainte de a ajunge la server.

Backup, monitorizare și recuperare

16. Backup-uri automate zilnice în locație externă

UpdraftPlus sau BackWPup salvează automat în Google Drive, Dropbox sau Amazon S3. Testați restaurarea periodic.

17. Monitorizați integritatea fișierelor

Wordfence sau Sucuri compară periodic fișierele cu versiunile oficiale WordPress pentru a detecta modificări neautorizate.

18. Dezactivați PHP în directoarele de upload

# In .htaccess din /wp-content/uploads/
<Files *.php>
deny from all
</Files>

19. Limitați accesul la wp-admin după IP

Dacă administrați site-ul dintr-o locație fixă sau cu IP static, restricționați accesul la wp-admin prin .htaccess sau Cloudflare Access.

20. Auditați și eliminați plugin-urile și temele neutilizate

Fiecare plugin instalat (chiar dezactivat) este un potențial vector de atac. Ștergeți complet (nu doar dezactivați) tot ce nu folosiți activ.

Securizarea WordPress este un proces continuu, nu o configurare unică. Alocați 30 de minute lunar pentru verificarea actualizărilor, rapoartelor de securitate și a log-urilor de autentificare. Costul remedierii unui site compromis este cu mult mai mare decât investiția în prevenție.