WordPress alimentează o parte uriașă a webului, ceea ce îl face o țintă constantă. Vestea bună este că marea majoritate a compromiterilor WordPress exploatează un set mic și previzibil de slăbiciuni, iar aproape toate pot fi prevenite. Această listă de verificare pentru securizarea WordPress parcurge pașii care contează cu adevărat în 2026, aproximativ în ordinea priorității.

Pe scurt

  • Pluginurile și temele vulnerabile și învechite sunt de departe cel mai mare vector de atac pentru WordPress; actualizările disciplinate și eliminarea codului nefolosit contează mai mult decât orice altceva
  • Autentificarea puternică (nume de administrator unice, parole puternice, autentificare în doi factori, limitarea ratei de conectare) închide a doua ușă cea mai frecventă
  • Securizați wp-config.php, permisiunile fișierelor și suprafața REST API / XML-RPC și puneți un WAF în fața site-ului
  • Faceți copii de rezervă regulate și testați restaurările; o copie de rezervă bună transformă o breșă într-un inconvenient, nu într-un dezastru

1. Mențineți nucleul, pluginurile și temele actualizate

Pluginurile și temele învechite sunt principalul mod în care site-urile WordPress sunt sparte. Fiecare plugin este cod terț care rulează cu acces la site-ul dumneavoastră.

  • Activați actualizările automate pentru nucleul WordPress (cel puțin versiunile minore).
  • Actualizați pluginurile și temele prompt, ideal după un program, cu un test în mediul de staging.
  • Eliminați pluginurile și temele pe care nu le folosiți. Dezactivat nu este suficient; șters este sigur.
  • Instalați doar pluginuri din surse de încredere, cu un istoric de mentenanță activ.
  • Fiți atenți la pluginurile abandonate; codul nementinut este un risc chiar dacă încă funcționează.

2. Blocați autentificarea

Atacurile de tip brute-force și cu credențiale împotriva wp-login.php sunt necontenite.

  • Nu folosiți niciodată admin ca nume de utilizator. Folosiți un nume de administrator unic.
  • Impuneți parole puternice și unice pentru fiecare cont.
  • Activați autentificarea în doi factori (2FA) pentru toate conturile de administrator și editor.
  • Limitați încercările de conectare și adăugați limitarea ratei pentru a bloca încercările brute-force.
  • Luați în considerare schimbarea sau protejarea URL-ului de conectare și adăugarea unei provocări CAPTCHA.

3. Aplicați roluri de utilizator cu privilegii minime

  • Acordați fiecărui utilizator cel mai scăzut rol care îi permite să își facă treaba. Nu toată lumea trebuie să fie administrator.
  • Auditați regulat conturile de utilizator și eliminați foștii angajați și conturile nefolosite.
  • Revizuiți rolurile după instalarea pluginurilor care adaugă capabilități personalizate.

4. Securizați wp-config.php

wp-config.php conține credențialele bazei de date și cheile secrete, deci merită o atenție deosebită.

  • Setați chei de autentificare și salt-uri unice.
  • Dezactivați editorul de fișiere încorporat: define('DISALLOW_FILE_EDIT', true); astfel încât un atacator care obține acces de administrator să nu poată edita codul temelor și pluginurilor din panoul de control.
  • Mutați wp-config.php cu un nivel deasupra rădăcinii web acolo unde configurația de găzduire o permite și restricționați permisiunile sale de fișier.
  • Mențineți WP_DEBUG dezactivat în producție, astfel încât erorile să nu divulge informații.

5. Setați permisiuni corecte pentru fișiere și directoare

  • Directoare 755, fișiere 644 ca bază standard; nu folosiți niciodată 777.
  • Asigurați-vă că utilizatorul serverului web deține fișierele, dar nu poate scrie acolo unde nu este necesar.
  • Protejați fișierele sensibile și dezactivați navigarea în directoare.

6. Reduceți suprafața de atac: XML-RPC și REST API

  • Dezactivați XML-RPC dacă nu îl folosiți; este un vector frecvent de brute-force și amplificare DDoS.
  • Restricționați sau autentificați REST API acolo unde expune date pe care nu doriți să le faceți publice.
  • Eliminați numărul versiunii WordPress și orice altă divulgare inutilă de informații din ieșirea paginilor.

7. Puneți un WAF și HTTPS în față

  • Serviți întregul site prin HTTPS și redirecționați tot traficul HTTP.
  • Adăugați antete de securitate (HSTS, X-Content-Type-Options, X-Frame-Options sau o Content-Security-Policy frame-ancestors și un CSP acolo unde este practic).
  • Folosiți un Web Application Firewall. Un WAF la nivel de CDN precum Cloudflare filtrează traficul rău intenționat înainte să ajungă la WordPress și absoarbe presiunea boților și a atacurilor DDoS.

8. Securizarea bazei de date și a găzduirii

  • Folosiți un prefix de tabel al bazei de date nestandard la instalările noi.
  • Folosiți un utilizator dedicat al bazei de date, cu doar privilegiile de care WordPress are nevoie.
  • Mențineți PHP pe o versiune susținută și actuală; PHP-ul la sfârșitul ciclului de viață este un risc tăcut.
  • Alegeți o găzduire care izolează site-urile și aplică patch-uri stivei serverului.

9. Monitorizare, copii de rezervă și recuperare

  • Rulați scanări de malware și de integritate a fișierelor pentru ca schimbările neașteptate să fie detectate rapid.
  • Activați jurnalizarea de securitate ca să puteți vedea încercările de conectare și modificările.
  • Faceți copii de rezervă regulate, automate, stocate în afara serverului, și testați restaurarea lor. O copie de rezervă netestată este o speranță, nu un plan.

Concluzii cheie

  • Cele mai mari câștiguri sunt neglamouroase: actualizați tot, eliminați pluginurile și temele nefolosite și impuneți autentificare puternică cu 2FA.
  • Securizați wp-config.php, permisiunile fișierelor și suprafața XML-RPC / REST API pentru a micșora suprafața de atac.
  • Puneți HTTPS, antete de securitate și un WAF în fața site-ului.
  • Faceți copii de rezervă regulate și testați restaurările, astfel încât o breșă să fie recuperabilă.

Securizare profesională WordPress

O listă de verificare vă duce cea mai mare parte a drumului, dar securizarea WordPress beneficiază totuși de un ochi expert. Un audit de securitate WordPress analizează fiecare plugin și temă, testează autentificarea și accesul și verifică wp-config.php, baza de date, precum și suprafața REST API și XML-RPC, producând un plan de securizare prioritizat. Pentru imaginea de ansamblu asupra întregului site și a întregii stive, consultați ghidul de audit de securitate al site-ului web pentru companiile din Regatul Unit . Dacă site-ul dumneavoastră are nevoie de dezvoltare și mentenanță continue pe lângă securizare, un dezvoltator WordPress de angajat îl poate menține în siguranță în timp.

Întrebări frecvente (FAQ)

Care este cea mai comună modalitate prin care site-urile WordPress sunt sparte? Pluginurile și temele vulnerabile și învechite. Codul pluginurilor terțe este de departe cel mai mare vector de atac, motiv pentru care actualizările prompte și eliminarea pluginurilor nefolosite contează mai mult decât aproape orice altceva.

Chiar am nevoie de un plugin de securitate? Un plugin de securitate de încredere ajută la scanarea malware, limitarea conectărilor și monitorizare, dar nu înlocuiește fundamentele: actualizări, autentificare puternică, roluri cu privilegii minime și un WAF. Adăugați-l peste o bună igienă, nu în locul ei.

Ar trebui să dezactivez XML-RPC? Dacă nu îl folosiți (de exemplu pentru aplicația mobilă sau anumite integrări), da. XML-RPC este frecvent abuzat pentru brute-force și amplificare DDoS, așa că dezactivarea lui elimină o suprafață de atac comună.

Cât de des ar trebui să fac copii de rezervă ale site-ului meu WordPress? Suficient de des încât să nu puteți pierde date semnificative, de obicei zilnic pentru site-urile active, stocate în afara serverului. Esențial: testați restaurările; o copie de rezervă pe care nu ați restaurat-o niciodată este nedovedită.

Este Cloudflare suficient pentru a securiza WordPress? Un WAF la nivel de CDN precum Cloudflare filtrează mult trafic rău intenționat și absoarbe presiunea boților și a atacurilor DDoS, dar nu remediază pluginurile vulnerabile, parolele slabe sau configurările greșite. Folosiți-l ca un strat alături de securizarea la nivel de site.