Începe gratuit
Securitate5 iunie 20265 min de citit

De ce site-ul tău WordPress e probabil deja spart

Nu vrem să te speriem — vrem să te uiți. Majoritatea site-urilor compromise din România nu afișează un craniu pe fundal negru. Funcționează aparent normal, în timp ce altcineva le folosește pentru spam, redirecturi și phishing. Iată cum verifici în zece minute dacă e și cazul tău.

Lacăt digital peste linii de cod pe un ecran întunecat, simbol al securității web

Nu e personal — e statistic

Nimeni nu s-a trezit dimineața hotărât să-ți spargă site-ul de pensiune din Bran. Atacurile moderne nu aleg ținte — scanează tot internetul, automat, non-stop, după versiuni vulnerabile cunoscute. Dacă site-ul tău rulează un plugin cu o gaură publicată acum opt luni, botul îl găsește. Nu pentru că ești tu, ci pentru că exiști.

Rețeta clasică a dezastrului are trei ingrediente, și aproape orice site WordPress mai vechi de doi ani le are pe toate:

  • Plugin-uri abandonate. Acel slider instalat în 2021 de „băiatul care s-a ocupat de site" nu a mai primit actualizări de trei ani. Autorul a trecut mai departe; vulnerabilitățile au rămas.
  • Versiuni vechi. WordPress, PHP, tema — fiecare componentă neactualizată e o ușă cu broasca ruginită. Iar update-urile se amână pentru că „dacă stric ceva?". Înțelegem teama. Boții, nu.
  • Parole refolosite. Aceeași parolă la admin, la email și la contul de pe un forum spart în 2019. Parola aia circulă de ani de zile în liste publice, împreună cu adresa ta de email.

Niciuna dintre acestea nu e o rușine. Sunt consecința firească a unui model în care site-ul e un software pe care tu trebuie să-l întreții — fără să ți-o fi dorit și fără să ți-o fi spus cineva clar la livrare.

Cum arată un site spart fără să știi

Aici e partea contraintuitivă: atacatorul modern nu vrea să afli. Un site compromis care arată normal e mult mai valoros decât unul defăcut — poate fi folosit luni întregi pentru spam SEO, redirecturi către farmacii dubioase sau găzduire de pagini de phishing. Tu vezi site-ul tău; Google vede altceva.

Semne pe care le poți verifica singur, acum:

  • Caută-te pe Google: site:domeniul-tau.ro. Dacă apar pagini pe care nu le-ai creat — titluri în chineză, „cazinouri online", produse farmaceutice — ai spam SEO injectat.
  • Intră pe site de pe telefon, din rețeaua mobilă. Multe infecții redirectează doar vizitatorii de pe mobil sau doar pe cei veniți din Google, ca proprietarul (care intră direct, de pe laptop) să nu observe nimic.
  • Verifică utilizatorii din admin. Un cont „admin2" sau „wp-support" pe care nu-l recunoști e un steag roșu cât casa.
  • Uită-te la Search Console (dacă o ai): avertismentele de securitate și căderile bruște de trafic organic sunt adesea primul simptom vizibil.
  • Fișiere modificate recent pe server, fără ca tu să fi schimbat ceva — mai ales fișiere PHP cu nume aparent banale apărute în foldere de upload.
Cel mai periculos site spart nu e cel care nu mai merge. E cel care merge perfect — pentru altcineva.

Ce poți face azi, gratuit

Sincer: pașii de mai jos nu necesită WEBANO, nu costă nimic și rezolvă cele mai frecvente probleme. Fă-i chiar dacă nu vii niciodată la noi.

  • Actualizează tot, acum. WordPress, teme, plugin-uri. Fă întâi un backup, apoi apasă pe toate butoanele de update. Da, există un risc mic să se strice ceva afișat. Riscul de a nu actualiza e mai mare și mai scump.
  • Activează autentificarea în doi pași (2FA) pe contul de admin. Un plugin gratuit de 2FA transformă o parolă scursă dintr-o catastrofă într-un incident minor.
  • Șterge plugin-urile pe care nu le folosești. Nu dezactivează — șterge. Un plugin dezactivat e tot cod pe server, tot o suprafață de atac. Dacă n-ai idee ce face, probabil nu-ți trebuie.
  • Schimbă parola de admin cu una lungă, unică, ținută într-un manager de parole. „Pensiunea2024!" nu se califică.
  • Configurează un backup automat extern — în afara serverului. Un backup pe același server cu site-ul spart e ca o copie a cheii lăsată sub același preș.

Zece minute pe săptămână pentru update-uri și un backup care chiar funcționează te pun deja înaintea majorității site-urilor românești. Problema nu e că pașii sunt grei — e că trebuie făcuți la nesfârșit, manual, de tine.

Cum tratează WEBANO problema

Noi am ales o cale mai radicală: am eliminat categoria de probleme, nu doar simptomele. Site-urile construite de asistentul nostru AI nu au plugin-uri — pentru că nu există nimic de extins, de actualizat sau de abandonat. Nu au panou de administrare expus pe internet, deci nu există parolă de admin de ghicit. Conținutul generat e sanitizat înainte de publicare, iar fiecare pagină e servită cu HTTPS și o politică strictă de securitate a conținutului (CSP), care blochează scripturile injectate din principiu, nu după ce le detectează cineva.

Asta face parte din Standardul WEBANO — securizat, optimizat, responsive și SEO-ready din prima zi, pe fiecare site livrat. Tu spui cum vrei să arate; mentenanța de securitate pur și simplu nu mai există ca temă de casă. Fără WordPress, fără plugin-uri, fără bătăi de cap.

Iar dacă vrei să vezi cum arată în practică, lucrările noastre sunt publice — fiecare cu același standard, de la cafenea la service auto.

Echipa WEBANO
Construim site-uri cu AI care respectă Standardul WEBANO: securizate, sub 1 secundă, fără mentenanță. 217 site-uri live și numărăm.