WordPress alimentează peste 43% din site-urile web globale, ceea ce îl face ținta principală a atacatorilor automatizați. Conform raportului Patchstack pe 2025, 97% din vulnerabilitățile WordPress provin din plugin-uri și teme, nu din core. Aceasta este vestea bună: core-ul WordPress este relativ sigur. Vestea proastă: ecosistemul de extensii rămâne o suprafață de atac vastă și greu de controlat dacă nu ai o strategie clară.
Hardening-ul WordPress nu se reduce la instalarea unui plugin de securitate. Implică modificări de configurare la nivel de server, WordPress și autentificare care elimină întregi categorii de atacuri înainte ca acestea să ajungă la aplicație.
Securitatea WordPress în 2026: ghid complet de hardening
Abordarea corectă a securității este în straturi (defense in depth): dacă un strat cedează, celelalte îl compensează. Ordinea de implementare contează: fundația tehnica (actualizări, autentificare, permisiuni) are prioritate absolută față de plugin-urile de securitate.
Stratul 1: actualizările, baza oricărei securități
Actualizările la zi previn peste 50% din breșele de securitate. Fereastra de exploatare a vulnerabilităților publicate a scăzut la sub 48 de ore în 2026: de la momentul publicării patch-ului, atacatorii automatizați pot exploata versiunile nepatificate în mai puțin de două zile.
Practica recomandată: activează actualizările automate pentru minor releases WordPress (versiunile de securitate), revizuiește și aplică actualizările de plugin-uri săptămânal. Pe site-urile critice, testează actualizările pe staging înainte de producție. Plugin-urile inactive dar instalate rămân o suprafață de atac chiar dacă sunt dezactivate. Șterge orice plugin sau temă pe care nu o folosești activ.
Stratul 2: autentificarea robustă
Atacurile brute force reprezintă 40% din tentativele de breach, conform Wordfence. Protecția completă a login-ului combină mai multe măsuri:
- Eliminarea username-ului admin. Dacă contul de administrator are username-ul admin, atacatorii au deja jumătate din credențiale. Creează un cont nou cu username unic, acordă-i rolul Administrator, autentifică-te cu el și șterge contul admin.
- Autentificare în doi factori (2FA). Plugin-uri precum WP 2FA sau Two Factor implementează TOTP (coduri de 6 cifre care se schimbă la 30 de secunde). Chiar dacă parola este compromisă, atacatorul nu poate accesa contul fără codul curent.
- Limitarea tentativelor de login. Blochează IP-urile după un număr configurat de eșecuri. Wordfence, Solid Security sau plugin-ul WPS Limit Login Attempts implementează această funcționalitate.
- Schimbarea URL-ului de login. Mutarea paginii de login de la /wp-login.php la o adresă personalizată reduce semnificativ traficul de atac automatizat. Plugin: WPS Hide Login.
Stratul 3: permisiunile corecte ale fișierelor
Permisiunile incorecte permit unui atacator care câștigă acces la un fișier să escaladeze controlul asupra altor zone ale serverului. Setările corecte pentru WordPress:
- Directoare: 755 (rwxr-xr-x)
- Fișiere: 644 (rw-r–r–)
- wp-config.php: 440 sau 400 (citire doar pentru proprietar)
- Niciodată 777 pe niciun fișier sau director în producție.
# Setarea permisiunilor corecte via SSH
find /cale/wordpress -type d -exec chmod 755 {} \;
find /cale/wordpress -type f -exec chmod 644 {} \;
chmod 440 /cale/wordpress/wp-config.phpStratul 4: configurarea wp-config.php
Câteva modificări în wp-config.php dezactivează funcționalități care reprezintă suprafețe de atac:
// Dezactiveaza editorul de fisiere din admin
define('DISALLOW_FILE_EDIT', true);
// Dezactiveaza instalarea de plugin-uri/teme
// (util pe site-uri de productie cu acces SSH)
define('DISALLOW_FILE_MODS', true);
// Limiteaza reviziile de posturi
define('WP_POST_REVISIONS', 5);
// Forteza HTTPS pentru admin
define('FORCE_SSL_ADMIN', true);
// Cheile secrete - regenereaza la https://api.wordpress.org/secret-key/1.1/salt/
define('AUTH_KEY', '...');
define('SECURE_AUTH_KEY', '...');
// ... etcStratul 5: dezactivarea XML-RPC
XML-RPC este o interfață care permite publicarea remote în WordPress, folosită acum rar în practică dar exploatată frecvent pentru atacuri brute force amplificat (o singură cerere XML-RPC poate testa sute de credențiale simultan). Dezactivarea se face simplu din .htaccess:
# Dezactivare XML-RPC
Require all denied
Stratul 6: WAF (Web Application Firewall)
Un WAF filtrează traficul malițios înainte ca acesta să ajungă la WordPress. Există două abordări complementare: WAF la nivel de rețea (Cloudflare, chiar și pe planul gratuit include protecție de bază) și WAF la nivel de aplicație (Wordfence, care analizează cererile după ce ajung la server).
Cele două nu se exclud reciproc: Cloudflare blochează amenințările la edge, Wordfence monitorizează modificările fișierelor și oferă reguli specifice pentru vulnerabilități WordPress recent descoperite.
Stratul 7: backup-urile ca ultimă linie de apărare
Nicio strategie de securitate nu este completă fără backup-uri testate. Chiar dacă toate celelalte straturi cedează, un backup recent valid permite restaurarea rapidă. Backup-urile trebuie stocate off-site (Google Drive, Amazon S3, Dropbox), nu pe același server cu site-ul. Un backup stocat pe serverul compromis nu este util.
Frecvența: zilnic pentru site-urile cu conținut activ sau WooCommerce, săptămânal pentru bloguri cu actualizări rare. Testează restaurarea periodic pe un mediu de staging.
Monitorizarea continuă
Securitatea nu este un proiect cu punct final, ci un proces continuu. Instrumente de monitorizare recomandate: Wordfence sau Sucuri pentru scanare de malware și alerte de integritate a fișierelor, Google Search Console pentru alerte de securitate (Google notifică rapid dacă detectează malware sau conținut compromis), și Patchstack pentru notificări în timp real despre vulnerabilități noi în plugin-urile instalate.
Concluzie
Hardening-ul WordPress în 2026 se reduce la disciplină și consecvență: actualizări prompte, autentificare robustă, permisiuni corecte și monitorizare continuă previn cea mai mare parte a atacurilor. Plugin-urile de securitate ajută, dar nu înlocuiesc configurarea corectă a fundației. Un site WordPress bine configurat și actualizat este la fel de sigur ca orice altă platformă web matură.
