Înapoi la lista articolelor

Cum securizezi un site WordPress: pași esențiali după instalare

O instalare WordPress nouă este rapid de pus online, dar nu ar trebui lăsată “default” prea mult timp. Chiar dacă site-ul este abia lansat, boții pot încerca autentificări, pot scana pluginuri vulnerabile sau pot căuta fișiere expuse.

Securizarea WordPress nu înseamnă o singură setare magică. Înseamnă mai multe straturi: update-uri, parole puternice, utilizatori corect configurați, 2FA, SSL, backup, pluginuri de încredere, permisiuni corecte și o găzduire care ajută la protecție.

În acest ghid începem exact cu pașii pe care ar trebui să îi faci după o instalare WordPress nouă, apoi explicăm de ce contează fiecare măsură și cum te ajută un mediu de găzduire bine configurat.

Pe scurt: ce faci imediat după instalarea WordPress?

Dacă tocmai ai instalat WordPress, începe cu acești pași:

  1. șterge utilizatorii, temele și pluginurile de care nu ai nevoie;
  2. schimbă numele utilizatorului implicit dacă ai folosit admin;
  3. setează parole lungi și unice pentru toți administratorii;
  4. activează autentificarea în doi pași pentru conturile importante;
  5. activează SSL și forțează HTTPS;
  6. actualizează WordPress, temele și pluginurile;
  7. instalează doar pluginuri necesare și de încredere;
  8. configurează backup automat, preferabil off-site;
  9. dezactivează editorul de fișiere din dashboard;
  10. verifică permisiunile fișierelor;
  11. limitează XML-RPC dacă nu ai nevoie de el;
  12. folosește o găzduire care oferă izolare, scanare malware, backup și protecție de rețea.

Nu toate aceste lucruri sunt complicate. Multe pot fi făcute direct din WordPress, cPanel sau panoul de găzduire. Important este să nu amâni securizarea până apare o problemă.

1. Curăță instalarea WordPress imediat după setup

După instalare, WordPress poate veni cu teme implicite, pluginuri preinstalate, pagini demo sau conținut de test. Nu este o problemă în sine, dar tot ce nu folosești ar trebui eliminat.

Cu cât ai mai puține componente instalate, cu atât ai mai puține lucruri de întreținut. Fiecare temă sau plugin adăugat înseamnă cod suplimentar, posibile update-uri și posibile vulnerabilități în timp.

Ce faci concret?

  • șterge temele pe care nu le folosești;
  • păstrează doar tema activă și, eventual, o temă default de rezervă;
  • șterge pluginurile inactive;
  • șterge paginile și articolele demo;
  • verifică dacă există utilizatori creați automat de care nu ai nevoie;
  • setează corect titlul site-ului și adresa de email administrativă.

Un site curat este mai ușor de administrat, mai ușor de securizat și mai ușor de verificat când apare o problemă.

2. Nu folosi contul “admin” și limitează administratorii

Unul dintre cele mai simple lucruri pe care le poți face este să eviți numele de utilizator admin. Nu este suficient pentru securitate, dar reduce o parte din atacurile automate care încearcă combinații comune.

Mai important este să ai cât mai puține conturi cu rol de Administrator. Un cont de administrator compromis poate modifica site-ul, instala pluginuri, schimba tema, adăuga utilizatori noi sau injecta cod malițios.

Recomandări pentru utilizatori

  • folosește un nume de utilizator unic pentru administrator;
  • nu folosi același cont pentru mai multe persoane;
  • creează conturi separate pentru fiecare utilizator;
  • oferă rol de Administrator doar persoanelor care chiar au nevoie;
  • șterge sau dezactivează conturile vechi;
  • revizuiește periodic lista de utilizatori.

Pentru autori, editori sau colaboratori, folosește rolurile potrivite. Nu toată lumea are nevoie de acces complet.

Rol WordPress Când îl folosești Recomandare
Administrator Proprietar site, administrator tehnic Folosește cât mai puține conturi de administrator.
Editor Persoane care gestionează conținutul Bun pentru echipe de conținut, fără acces critic la pluginuri și teme.
Author Persoane care publică propriile articole Potrivit pentru autori individuali.
Contributor Colaboratori care scriu, dar nu publică direct Util când vrei aprobare înainte de publicare.
Subscriber Utilizatori simpli Nu oferi roluri mai mari fără motiv.

3. Folosește parole puternice și activează 2FA

Parolele slabe sunt una dintre cele mai comune probleme. Dacă folosești parole scurte, parole refolosite sau date ușor de ghicit, riscul crește semnificativ.

Folosește un password manager și generează parole lungi, unice pentru fiecare cont. Pentru conturile de administrator, activează autentificarea în doi pași.

Recomandare minimă

  • parolă lungă, unică, generată automat;
  • 2FA pentru administratori;
  • conturi separate pentru fiecare persoană;
  • fără parole trimise prin chat sau email necriptat;
  • schimbarea parolelor după orice suspiciune de acces neautorizat.

2FA nu face site-ul invincibil, dar reduce riscul ca o parolă compromisă să ofere acces complet în dashboard.

4. Activează SSL și forțează HTTPS

HTTPS este obligatoriu pentru un site modern. Protejează comunicarea dintre browser și server, inspiră încredere și este esențial pentru formulare, login, conturi de client și checkout.

După instalare, verifică dacă site-ul se deschide corect pe https:// și dacă toate paginile redirecționează către varianta securizată.

Verificări importante

  • certificatul SSL este activ și valid;
  • site-ul se deschide pe https://;
  • varianta HTTP redirecționează către HTTPS;
  • zona /wp-admin folosește HTTPS;
  • nu există mixed content.

Mixed content apare când pagina este pe HTTPS, dar încarcă imagini, scripturi sau fișiere CSS prin HTTP. Acest lucru poate produce avertismente în browser și trebuie corectat.

5. Actualizează WordPress, temele și pluginurile

Update-urile sunt una dintre cele mai importante măsuri de securitate. Multe atacuri WordPress folosesc vulnerabilități deja cunoscute, pentru care există patch-uri, dar site-urile afectate nu au fost actualizate.

Nu amâna update-urile luni întregi. Dacă un plugin are o vulnerabilitate cunoscută și rămâne neactualizat, atacatorii pot scana automat internetul pentru site-uri vulnerabile.

Proces recomandat pentru update-uri

  1. fă backup înainte de update-uri importante;
  2. actualizează întâi pluginurile mai puțin critice;
  3. actualizează tema și WordPress core;
  4. verifică homepage-ul, formularele și paginile importante;
  5. dacă ai WooCommerce, testează coșul și checkout-ul;
  6. dacă apare o problemă, restaurează din backup sau investighează conflictul.

Pentru site-uri simple, update-urile pot fi făcute direct din dashboard. Pentru magazine WooCommerce sau site-uri importante, este mai sigur să folosești staging sau să faci update-urile într-o perioadă cu trafic mai mic.

6. Instalează doar pluginuri necesare și de încredere

Pluginurile sunt utile, dar trebuie alese cu atenție. Un plugin neactualizat, abandonat sau descărcat din surse neoficiale poate deveni o problemă reală de securitate.

Nu instala pluginuri doar pentru că “par utile”. Dacă o funcție este deja oferită de temă, de hosting sau de un plugin existent, poate nu ai nevoie de încă unul.

Ce verifici înainte să instalezi un plugin?

  • când a fost actualizat ultima dată;
  • dacă este compatibil cu versiunea ta de WordPress;
  • dacă are recenzii și instalări active;
  • dacă dezvoltatorul pare activ;
  • dacă pluginul este chiar necesar;
  • dacă există alternative mai simple.

Evită complet pluginurile nulled sau piratate. Chiar dacă par gratuite, pot conține cod malițios, backdoor-uri sau modificări ascunse.

7. Configurează backup înainte să apară problema

Backupul este una dintre cele mai importante părți ale securității. Nu te ajută să previi toate problemele, dar te ajută să revii rapid dacă ceva merge prost.

Un update poate eșua. Un plugin poate strica site-ul. Un utilizator poate șterge fișiere. Un site poate fi compromis. Fără backup, o problemă mică poate deveni o pierdere mare de timp și bani.

Ce trebuie să includă backupul?

  • fișierele WordPress;
  • baza de date;
  • fișierele încărcate în media library;
  • tema activă;
  • pluginurile;
  • configurațiile importante.

Backup local vs backup off-site

Un backup local, păstrat pe același server, este mai bun decât nimic, dar nu este suficient pentru scenarii serioase. Dacă serverul are o problemă majoră, poți pierde și site-ul, și backupul.

Backupul off-site înseamnă că o copie este păstrată separat de serverul principal. Pentru site-uri de business, magazine online sau proiecte importante, acest lucru este mult mai sigur.

8. Dezactivează editorul de fișiere din dashboard

WordPress permite, în mod implicit, editarea unor fișiere de temă sau plugin direct din dashboard. Dacă un cont de administrator este compromis, această funcție poate fi folosită pentru a introduce cod malițios.

Pentru multe site-uri, este mai sigur să dezactivezi editorul de fișiere. Poți face asta adăugând următoarea linie în wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Adaugă linia înainte de comentariul:

/* That's all, stop editing! Happy publishing. */

Atenție: editează wp-config.php cu grijă. O eroare de sintaxă poate afecta funcționarea site-ului. Fă backup înainte de modificare.

9. Verifică permisiunile fișierelor

Permisiunile fișierelor controlează cine poate citi, modifica sau executa fișierele de pe server. Permisiunile prea largi pot crea riscuri, mai ales în medii shared sau pe site-uri cu multe pluginuri.

Ca regulă generală, evită permisiunile 777. Sunt rareori necesare și pot permite modificarea fișierelor de către procese care nu ar trebui să aibă acest acces.

Recomandare generală

  • directoare: de obicei 755;
  • fișiere: de obicei 644;
  • wp-config.php: cât mai restrictiv posibil, în funcție de server;
  • evită 777, mai ales permanent.

Permisiunile pot varia în funcție de server, PHP handler și panoul de control. Dacă nu ești sigur, cere ajutor înainte să modifici permisiuni pe tot site-ul.

10. Limitează XML-RPC dacă nu ai nevoie de el

XML-RPC este o funcție WordPress folosită pentru unele integrări externe, aplicații mobile sau servicii precum Jetpack. În multe site-uri obișnuite, nu este folosit.

Dacă vezi trafic suspect către xmlrpc.php sau nu ai nevoie de această funcție, merită să o limitezi. Nu o dezactiva fără să verifici dacă site-ul tău depinde de ea.

Când merită limitat XML-RPC?

  • nu folosești aplicația mobilă WordPress;
  • nu folosești Jetpack sau integrări care depind de XML-RPC;
  • vezi multe cereri către xmlrpc.php;
  • site-ul primește încercări repetate de autentificare.

XML-RPC poate fi limitat prin pluginuri de securitate, reguli de server sau configurări la nivel de hosting.

11. Protejează zona de login

Pagina de login WordPress este una dintre cele mai atacate zone. Nu trebuie neapărat ascunsă complet, dar trebuie protejată corect.

Măsuri utile

  • activează 2FA pentru administratori;
  • limitează încercările repetate de login;
  • nu folosi utilizatorul admin;
  • folosește parole lungi și unice;
  • șterge conturile inactive;
  • monitorizează autentificările suspecte.

Schimbarea URL-ului de login poate reduce atacurile automate vizibile, dar nu trebuie tratată ca măsură principală. Mai importante sunt parolele puternice, 2FA și limitarea încercărilor de autentificare.

12. Folosește un plugin de securitate, dar nu te baza doar pe el

Un plugin de securitate poate ajuta la scanare, limitarea login-urilor, notificări, hardening sau blocarea unor cereri suspecte. Totuși, un plugin nu poate compensa un site neactualizat, parole slabe sau backup lipsă.

Pluginul de securitate trebuie privit ca un strat suplimentar, nu ca singura protecție.

Ce poate face un plugin de securitate?

  • limitează încercările de login;
  • trimite alerte la activitate suspectă;
  • scanează fișiere modificate;
  • ajută la configurări de hardening;
  • poate bloca unele cereri suspecte.

Nu instala mai multe pluginuri de securitate care fac același lucru. Pot apărea conflicte, consum inutil de resurse sau alerte greu de interpretat.

13. Securitate specială pentru WooCommerce

WooCommerce are nevoie de atenție suplimentară, pentru că gestionează produse, clienți, coșuri, comenzi, plăți și emailuri tranzacționale.

Un site WordPress simplu poate fi restaurat mai ușor dacă se strică ceva. La WooCommerce, trebuie să fii atent la comenzi, stocuri, conturi de client și date recente.

Recomandări pentru WooCommerce

  • fă backup înainte de update-uri importante;
  • testează checkout-ul după update-uri;
  • folosește HTTPS pe tot site-ul;
  • activează 2FA pentru administratori;
  • evită pluginurile de plată necunoscute;
  • monitorizează emailurile tranzacționale;
  • folosește cache configurat corect, fără să afecteze coșul și checkout-ul.

Pentru magazine active, contează mult și mediul de găzduire: resurse suficiente, Redis Cache, stocare NVMe, backup off-site și posibilitatea de restaurare rapidă.

14. Alege o găzduire care ajută la securitate

Securitatea WordPress nu depinde doar de site. Depinde și de mediul de găzduire: izolare între conturi, versiuni PHP actualizate, SSL, backup, scanare malware, protecție de rețea și posibilitatea de restaurare.

Un hosting bun nu îți garantează că site-ul nu poate fi atacat, dar îți oferă o bază mai solidă. Pentru WordPress și WooCommerce, contează mai ales stabilitatea, cache-ul, backupul și izolarea resurselor.

Ce merită să cauți la găzduire?

  • versiuni PHP actualizate;
  • SSL ușor de activat;
  • backup automat și restaurare clară;
  • backup off-site pentru siguranță suplimentară;
  • izolare de resurse între conturi;
  • web server performant;
  • stocare rapidă NVMe;
  • Redis Cache pentru site-uri dinamice;
  • scanare malware și protecție server-side;
  • protecție anti-DDoS la nivel de rețea.

La ZEROLAG, găzduirea WordPress folosește tehnologii precum LiteSpeed, CloudLinux, Imunify360, Redis Cache, stocare NVMe, Softaculous și JetBackup configurat cu backup off-site. Împreună, acestea ajută la performanță, izolare, scanare malware, administrare mai simplă și restaurare mai sigură atunci când apar probleme.

LiteSpeed ajută la performanță și cache, CloudLinux ajută la izolarea resurselor în medii shared hosting, Imunify360 adaugă protecție server-side și scanare malware, Redis Cache poate reduce încărcarea bazei de date, iar JetBackup off-site oferă o plasă de siguranță pentru restaurare.

În plus, protecția anti-DDoS la nivel de rețea ajută la reducerea impactului atacurilor volumetrice asupra serviciilor găzduite.

Important: niciun sistem de securitate nu garantează protecție absolută. Chiar și cu Imunify360, backup, CloudLinux și anti-DDoS, site-ul trebuie întreținut corect: update-uri, parole puternice, 2FA, pluginuri de încredere și administrare responsabilă.

15. Ce faci dacă site-ul WordPress a fost compromis?

Dacă observi redirecturi ciudate, utilizatori necunoscuți, fișiere suspecte, pagini injectate sau avertismente de malware, nu ignora problema. Cu cât reacționezi mai repede, cu atât reduci impactul.

Pași recomandați

  1. pune site-ul în mentenanță dacă afectează vizitatorii;
  2. schimbă parolele pentru WordPress, cPanel, FTP/SFTP și baza de date;
  3. verifică utilizatorii cu rol de Administrator;
  4. fă o copie a site-ului pentru analiză;
  5. scanează fișierele și baza de date;
  6. șterge pluginurile sau temele suspecte;
  7. restaurează dintr-un backup curat, dacă este posibil;
  8. actualizează WordPress, pluginurile și temele;
  9. verifică Google Search Console, dacă site-ul a fost marcat;
  10. identifică punctul de intrare, nu doar șterge fișierele infectate.

Dacă nu identifici cauza, site-ul poate fi compromis din nou. De aceea, restaurarea trebuie urmată de update-uri, verificarea utilizatorilor, schimbarea parolelor și scanare.

16. Checklist rapid pentru securizarea WordPress

Folosește lista de mai jos ca verificare rapidă pentru un site WordPress nou sau existent:

  • WordPress este actualizat;
  • pluginurile și temele sunt actualizate;
  • pluginurile nefolosite sunt șterse;
  • nu există pluginuri sau teme nulled;
  • administratorii folosesc parole puternice;
  • 2FA este activ pentru conturile importante;
  • rolurile utilizatorilor sunt corecte;
  • site-ul folosește HTTPS;
  • există backup automat;
  • backupul este păstrat off-site;
  • zona de login este protejată;
  • XML-RPC este limitat dacă nu este folosit;
  • editorul de fișiere este dezactivat;
  • permisiunile fișierelor sunt corecte;
  • hostingul include scanare malware sau protecție server-side;
  • există posibilitate clară de restaurare.

17. Recomandare finală

Securizarea unui site WordPress începe imediat după instalare. Curăță instalarea, configurează utilizatorii, activează SSL, folosește parole puternice, activează 2FA, configurează backup și instalează doar pluginuri de încredere.

După aceea, securitatea trebuie menținută: update-uri regulate, verificarea utilizatorilor, backup testat, scanare malware și atenție la pluginurile instalate.

Un hosting bine configurat poate ajuta mult, dar nu înlocuiește administrarea corectă. Cea mai bună protecție vine din combinația dintre un site întreținut, o găzduire stabilă, backup off-site, protecție server-side și obiceiuri bune de administrare.

Powered by WHMCompleteSolution