Checklist Securitate Website: 20 de Verificări Esențiale

De Ce Securitatea Website-ului Contează

În 2026, un website nesecurizat este o amenințare nu doar pentru afacerea ta, ci și pentru vizitatorii săi. Atacurile cibernetice au crescut cu 38% față de 2022, iar site-urile mici și medii sunt ținte preferate tocmai pentru că proprietarii lor neglijează adesea securitatea.

Consecințele unui website compromis includ: pierderea datelor clienților, penalizare Google (marcarea site-ului ca nesigur), daune reputaționale, costuri legale (GDPR) și timp pierdut pentru remediere.

Iată checklistul complet de securitate pe care îl recomandăm pentru orice website în 2026:

Checklistul Celor 20 de Verificări

Categoria 1: SSL/TLS și HTTPS

1. Certificat SSL valid și activ Verifică dacă site-ul tău servește conținut pe HTTPS și că certificatul nu este expirat. Un certificat expirat afișează o avertizare de securitate și alungă vizitatorii imediat. Folosește Let's Encrypt pentru certificate gratuite sau un furnizor comercial pentru validare extinsă (EV).

2. Redirecționare HTTP la HTTPS Toate cererile pe HTTP trebuie redirecționate automat la HTTPS (301 permanent). Verifică că atât http://domeniu.ro cât și http://www.domeniu.ro redirecționează corect.

3. Configurare TLS actualizată Site-ul trebuie să folosească cel puțin TLS 1.2, preferabil TLS 1.3. Protocoalele vechi SSL 3.0, TLS 1.0 și TLS 1.1 sunt vulnerabile și trebuie dezactivate.

4. Cipher suites puternice Configurează serverul să folosească exclusiv cipher suites moderne (ECDHE, AES-GCM, CHACHA20). Elimină MD5, RC4 și algoritmi deprecați.

Categoria 2: Headere HTTP de Securitate

5. HSTS (HTTP Strict Transport Security) Headerul HSTS instruiește browserul să acceseze site-ul doar pe HTTPS, chiar dacă utilizatorul tastează doar domeniu.ro.

Configurare recomandată:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

6. Content Security Policy (CSP) CSP restricționează sursele din care pot fi încărcate scripturi, stiluri și alte resurse, prevenind atacurile XSS (Cross-Site Scripting).

Exemplu basic:

Content-Security-Policy: default-src 'self'; script-src 'self' 'nonce-RANDOM'; style-src 'self' 'unsafe-inline';

7. X-Frame-Options Previne "clickjacking" — atacuri în care site-ul tău este încărcat într-un iframe pe un site malițios.

X-Frame-Options: SAMEORIGIN

8. X-Content-Type-Options Previne "MIME sniffing" — interpretarea greșită a tipurilor de fișiere de către browser.

X-Content-Type-Options: nosniff

9. Referrer Policy Controlează ce informații se trimit în headerul Referer când utilizatorii navighează de pe site-ul tău.

Referrer-Policy: strict-origin-when-cross-origin

10. Permissions Policy Restricționează accesul la funcționalitățile browserului (cameră, microfon, locație) dacă nu ai nevoie de ele.

Permissions-Policy: camera=(), microphone=(), geolocation=()

Categoria 3: Autentificare și Acces

11. Parole puternice și autentificare în două factori (2FA) Toți utilizatorii cu acces admin trebuie să folosească parole de minim 16 caractere și 2FA. Folosește un manager de parole (Bitwarden, 1Password) pentru a elimina parolele slabe.

12. Protecție împotriva atacurilor brute force Implementează rate limiting pe pagina de login — maxim 5 tentative greșite, apoi blocare temporară a IP-ului sau CAPTCHA.

13. Principiul privilegiului minim Fiecare utilizator trebuie să aibă doar permisiunile strict necesare. Un editor de blog nu are nevoie de acces la setările serverului.

14. Sesiuni securizate Cookie-urile de sesiune trebuie să aibă flagurile Secure, HttpOnly și SameSite=Strict sau Lax.

Categoria 4: Software și Infrastructură

15. Software actualizat CMS-ul (WordPress, Drupal etc.), tema și toate plugin-urile trebuie să fie la zi. 60% din vulnerabilitățile WordPress exploatate provin din plugin-uri neactualizate.

16. Eliminarea plugin-urilor și componentelor neutilizate Fiecare plugin instalat dar neutilizat este o suprafață de atac potențială. Șterge tot ce nu este necesar.

17. Firewall Aplicație Web (WAF) Un WAF filtrează traficul malițios înainte să ajungă la aplicație. Soluții populare: Cloudflare WAF (free tier disponibil), Sucuri, AWS WAF.

18. Scanare regulată pentru malware Folosește instrumente ca Sucuri SiteCheck, Malwarebytes sau plugin-uri de securitate (Wordfence pentru WordPress) pentru scanări săptămânale.

Categoria 5: Backup și Recuperare

19. Backup-uri automate și testate Backup-urile zilnice automate sunt esențiale. La fel de important: testează periodic restaurarea din backup — un backup netestabil nu există în practică.

20. Plan de răspuns la incidente Documentează pașii de urmat în cazul unui atac: cine este contactat, cum se izolează site-ul, cum se restaurează, cum se informează utilizatorii afectați.

Instrumente pentru Verificarea Securității

• SSL Labs (ssllabs.com/ssltest) — analiza completă a configurării SSL/TLS
• SecurityHeaders.com — verificarea headerelor HTTP de securitate
• Observatory by Mozilla (observatory.mozilla.org) — audit de securitate complet
• Sucuri SiteCheck — scanare malware online gratuită
• Have I Been Pwned — verificare dacă emailuri din domeniu au fost compromise

Scorul de Securitate: Cum Îți Evaluezi Site-ul

Folosind instrumentele de mai sus, poți obține un scor de securitate pentru site-ul tău. Un scor A+ pe SecurityHeaders.com și un scor A+ pe SSL Labs înseamnă că ai implementat corect configurările de bază. Scopul tău ar trebui să fie minim B+ pe ambele platforme.

Concluzie

Securitatea nu este o activitate unică, ci un proces continuu. Implementarea celor 20 de puncte din acest checklist este un punct de pornire excelent, dar securitatea trebuie monitorizată și actualizată pe măsură ce apar noi vulnerabilități și tehnici de atac.

Verifică-ți Website-ul Acum

Auditează gratuit site-ul tău pe fadiaudit.ro — rezultate în 60 de secunde.