KabyNode — Găzduire Web NVMe, VPS și Servere Dedicate România

Magic Host Tech SRL

doi:https://kabynode.ro

Cum să îți securizezi site-ul WordPress în 2026 — 15 pași esențiali

15 pași concreți pentru securizarea WordPress: de la hosting cu Imunify360 și parole 2FA, până la dezactivarea XML-RPC, permisiuni corecte și audit periodic.

Cum să îți securizezi site-ul WordPress în 2026 — 15 pași esențiali

WordPress rulează peste 43% din toate site-urile din lume, ceea ce îl face și cea mai vizată platformă de atacatori. Vestea bună? Cu măsurile corecte de securitate, poți bloca 99% din atacuri. În acest ghid îți arătăm 15 pași concreți pentru a-ți proteja site-ul WordPress în 2026.

De ce este WordPress vizat de hackeri?

Popularitate — un singur exploit poate afecta milioane de site-uri
Plugin-uri vulnerabile — 52% din vulnerabilitățile WordPress vin de la plugin-uri
Hosting slab — servere fără firewall, fără izolație între conturi
Parole slabe — brute-force funcționează surprinzător de des
Site-uri neactualizate — versiuni vechi cu vulnerabilități cunoscute public

1. Alege un hosting securizat

Securitatea WordPress începe de la server. Un hosting WordPress optimizat ar trebui să includă:

Imunify360 — protecție proactivă anti-malware, WAF (Web Application Firewall)
Izolație CageFS — contul tău este izolat de celelalte conturi de pe server
ModSecurity — filtrează requesturile HTTP malițioase
Backup zilnic automat — restaurare rapidă în caz de compromitere
SSL gratuit — criptare HTTPS pe tot site-ul

KabyNode include toate aceste funcții pe toate planurile de hosting WordPress.

2. Actualizează WordPress, teme și plugin-uri

Cea mai simplă și cea mai importantă regulă de securitate:

Activează actualizările automate pentru WordPress core (minor releases)
Actualizează manual tema și plugin-urile săptămânal
Șterge plugin-urile și temele nefolosite — ele rămân vectori de atac chiar dacă sunt dezactivate
Verifică changelog-ul înainte de actualizare pentru breaking changes

3. Folosește parole puternice + 2FA

Parolele sunt prima linie de apărare:

Minimum 16 caractere cu litere mari, mici, cifre și simboluri
Folosește un manager de parole (Bitwarden, 1Password)
Activează Two-Factor Authentication (2FA) cu aplicație mobilă (Google Authenticator, Authy)
Nu folosi „admin” ca username — creează un utilizator cu nume unic

4. Schimbă URL-ul de login WordPress

URL-ul implicit /wp-admin este primul loc unde atacatorii verifică:

Folosește un plugin precum WPS Hide Login pentru a schimba URL-ul la ceva unic (ex: /acces-securizat)
Blochează accesul la /wp-login.php și /xmlrpc.php din .htaccess

5. Limitează încercările de login

Atacurile brute-force testează mii de combinații de parole pe minut:

Instalează Limit Login Attempts Reloaded sau Wordfence
Setează maxim 3-5 încercări înainte de blocare temporară
Blochează IP-urile care depășesc limita pentru 24 de ore

6. Instalează un plugin de securitate

Un plugin dedicat securității monitorizează și blochează amenințările:

Wordfence Security — firewall + scanner malware + blocking
Sucuri Security — audit activitate + hardening + monitoring
iThemes Security — 30+ măsuri de protecție cu interfață simplă

Alege unul singur — două plugin-uri de securitate simultane pot intra în conflict.

7. Configurează SSL/HTTPS obligatoriu

Fără HTTPS, datele circulă necriptat între vizitator și server:

Activează SSL gratuit din cPanel (Let's Encrypt)
Forțează HTTPS în WordPress: Settings → General → WordPress Address URL — schimbă http:// cu https://
Adaugă redirect 301 în .htaccess pentru a forța HTTPS pe toate paginile

Pe hosting-ul KabyNode, SSL-ul Let's Encrypt se activează automat și se reînnoiește fără intervenție.

8. Dezactivează editarea fișierelor din dashboard

WordPress permite editarea codului PHP direct din panoul de administrare — un risc major:

Adaugă în wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Acum, chiar dacă cineva obține acces admin, nu poate modifica fișierele temei sau plugin-urilor.

9. Protejează wp-config.php

Fișierul wp-config.php conține credențialele bazei de date. Protejează-l:

Adaugă în .htaccess (la rădăcina site-ului):

<Files wp-config.php>
order allow,deny
deny from all
</Files>

10. Dezactivează XML-RPC

XML-RPC este folosit rar de utilizatori legitimi, dar este exploatat masiv pentru atacuri DDoS și brute-force:

Adaugă în .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

11. Setează permisiunile corecte pe fișiere

Permisiunile incorecte pot permite atacatorilor să modifice fișierele site-ului:

Element	Permisiune corectă	Observație
Foldere	755	Owner: read/write/execute, Group/Public: read/execute
Fișiere	644	Owner: read/write, Group/Public: read only
wp-config.php	400 sau 440	Doar owner poate citi
.htaccess	644	Apache trebuie să poată citi

12. Backup automat — ultima linie de apărare

Chiar și cu toate măsurile de securitate, un backup recent te salvează dacă ceva merge greșit:

Backup zilnic automat — nu te baza pe backup manual
Stochează backup-urile offsite (nu doar pe același server)
Testează restaurarea periodic — un backup care nu funcționează e inutil

KabyNode oferă backup zilnic automat gratuit cu retenție 30 zile, restaurare instant din cPanel.

13. Monitorizează activitatea site-ului

Detectarea timpurie a unui atac face diferența:

Activează Activity Log din plugin-ul de securitate
Monitorizează login-urile nereușite și modificările de fișiere
Configurează alerte pe email pentru evenimente suspecte
Verifică periodic Google Search Console pentru alerte de securitate

14. Folosește CDN pentru protecție DDoS

Un CDN (Content Delivery Network) adaugă un strat suplimentar de protecție:

Cloudflare (plan gratuit) — filtrează traficul malițios înainte să ajungă la server
Blochează boții automatizați și atacurile DDoS L3/L4/L7
Rate limiting — limitează numărul de requesturi per IP
Challenge pages — verifică vizitatorii suspiciși

15. Audit periodic de securitate

Securitatea nu este un eveniment, ci un proces continuu:

Lunar: verifică actualizări WordPress, teme, plugin-uri
Trimestrial: schimbă parolele admin și FTP
Semestrial: verifică permisiunile utilizatorilor — șterge conturile nefolosite
Anual: revizuiește plugin-urile instalate — elimină-le pe cele neactualizate de >6 luni

Checklist securitate WordPress 2026

Măsură	Prioritate	Dificultate
Hosting securizat (Imunify360, WAF)	🔴 Critică	Ușor
Actualizări regulate	🔴 Critică	Ușor
Parole puternice + 2FA	🔴 Critică	Ușor
Plugin securitate (Wordfence)	🟠 Mare	Mediu
SSL/HTTPS forțat	🟠 Mare	Ușor
Limita login + URL schimbat	🟠 Mare	Ușor
Backup zilnic automat	🟠 Mare	Ușor
Dezactivat editare fișiere	🟡 Medie	Ușor
Permisiuni corecte fișiere	🟡 Medie	Mediu
Dezactivat XML-RPC	🟡 Medie	Ușor

Concluzie

Securitatea WordPress nu trebuie să fie complicată. Cu un hosting securizat care include Imunify360, WAF și backup zilnic, ai deja 50% din protecție rezolvată la nivel de server. Restul de 50% vine din actualizări regulate, parole puternice și plugin-uri de securitate.

Găzduire WordPress securizată de la 19 RON/lună →

Citește mai multe pe blogul KabyNode despre găzduire web și servere VPS Romania.