DRAG
SCROLL
00%
Înapoi la blog
§ Securitate

Securitatea unui site: cele opt măsuri care previn 95% din atacuri

10 martie 2026Echipa Freevox5 min de citit

Majoritatea site-urilor românești care cad nu sunt ținte specifice. Sunt victime ale unor scanări automate care caută configurări slabe. Opt măsuri de bază îți scad riscul cu un ordin de mărime.

1. HTTPS peste tot, forțat

Un certificat SSL gratuit (Let's Encrypt via Nginx Proxy Manager, Caddy sau Cloudflare) + redirect 301 de la HTTP la HTTPS + antet HSTS. Fără asta, orice date care trec prin site pot fi interceptate.

2. Update-uri automate pentru CMS și plugin-uri

Peste 80% din site-urile WordPress compromise au un plugin nepatch-uit. Activează update-uri automate pentru security patches; update-urile majore rămân controlate manual, dar cele minore nu merită amânate nici o zi.

3. Parole puternice + 2FA pe admin

Nu „admin123". Folosește un password manager pentru conturile de admin și activează 2FA (autentificator, nu SMS). Include aici și cont-ul la hosting și registrar-ul de domeniu — care e de obicei uitat.

4. Backup-uri automate zilnice, testate

Backup care nu a fost restaurat niciodată nu e backup, e o speranță. Configurează backup zilnic al DB-ului și al fișierelor, păstrează 30 de zile în rotație, și rulează un test de restore o dată la trimestru. La un incident, asta e diferența dintre 2 ore și 2 zile de downtime.

5. WAF (Web Application Firewall)

Cloudflare (chiar și planul gratuit) blochează majoritatea bot-urilor și atacurilor comune. Rate-limiting pe endpoint-urile publice (login, formular contact) previne abuzul fără să afecteze utilizatorii reali.

6. Separă produție de dev

Staging cu credențiale diferite, baze de date diferite, cu acces restricționat (VPN sau IP whitelist). Nu lucra direct pe prod, nu lăsa endpoint-uri de debug accesibile public.

7. Loguri la care se uită cineva

Colectează loguri de acces (Nginx) și loguri de aplicație într-un loc central (chiar și un server simplu cu logrotate merge). Un alert pe „peste 50 de 404-uri în 5 minute" prinde scanările automate devreme.

8. Plan de incident scris pe o pagină

Cine e anunțat, cum se oprește site-ul dacă e necesar, unde sunt backup-urile, ce spui clienților. Când se întâmplă, nu e timpul să ne gândim — e timpul să executăm. Un Google Doc de o pagină merită.

Concluzie

Securitatea nu e un produs pe care îl cumperi, e o rutină pe care o ții. Cele opt măsuri de mai sus se pot implementa într-o săptămână de un dev experimentat și îți reduc suprafața de atac dramatic. Dacă site-ul tău procesează plăți sau date personale, adaugă un audit anual făcut de cineva din afara echipei.

Ai un proiect similar în minte? Hai să discutăm.

Începe un proiect