De ce 73% din site-urile WordPress sunt vulnerabile? Adevăr și soluții 2026

WordPress este cea mai populară platformă de creare a site-urilor web din lume. Conform datelor W3Techs (2026), WordPress alimentează aproximativ 43,4% din toate website-urile existente. De la bloguri personale și magazine online până la site-uri de prezentare și publicații internaționale, milioane de proprietari de afaceri aleg WordPress datorită flexibilității și costurilor reduse.

Totuși, atunci când vine vorba despre securitate, apare frecvent o statistică îngrijorătoare: aproximativ 73% dintre site-urile WordPress prezintă vulnerabilități sau folosesc componente vulnerabile.

La prima vedere, cifra pare alarmantă. În realitate însă, lucrurile sunt mult mai nuanțate decât par.

În cele 11 ani de când găzduim site-uri WordPress la Web365 — peste 19.000 de site-uri în portofoliul nostru — am văzut sute de cazuri de site-uri compromise. Aproape niciodată WordPress nu a fost de vină. Aproape mereu cauza a fost una dintre următoarele 6 probleme pe care le vom analiza în detaliu.

În acest articol vom explica de unde vine această statistică (cu surse oficiale), care sunt adevăratele riscuri, ce greșeli fac administratorii de site-uri și, mai important, cum îți poți proteja site-ul WordPress fără să fii expert în securitate cibernetică.

WordPress este vulnerabil sau utilizatorii îl fac vulnerabil?

Aceasta este probabil cea mai importantă întrebare.

Mulți oameni aud despre atacuri asupra site-urilor WordPress și trag concluzia că platforma în sine este nesigură.

Realitatea este diferită.

Nucleul WordPress este dezvoltat și întreținut de o echipă foarte mare de specialiști. Conform raportului Patchstack „State of WordPress Security 2025”, în 2024 au fost descoperite doar 7 vulnerabilități în WordPress Core dintr-un total de 7.966 vulnerabilități în întreg ecosistemul — adică sub 0,1%. În 2025, situația a fost și mai bună: doar 6 vulnerabilități în WordPress Core din 11.334 raportate.

📊 Date oficiale Patchstack 2025: Din toate vulnerabilitățile WordPress descoperite în 2025, doar 0,05% au fost în WordPress Core. Restul de 99,95% au fost în plugin-uri și teme third-party.

În majoritatea cazurilor, problemele apar din cauza:

Plugin-urilor neactualizate;
Temelor abandonate;
Parolelor slabe;
Configurărilor greșite ale serverului;
Utilizatorilor care ignoră actualizările de securitate.

Este asemănător cu situația unui automobil. Dacă nu schimbi uleiul, nu faci reviziile și circuli cu anvelope uzate, nu poți spune că mașina este defectă din fabrică.

De unde provine cifra de 73%?

Diverse companii specializate în securitate web au observat că un procent foarte mare dintre site-urile WordPress folosesc versiuni vechi ale plugin-urilor, temelor sau chiar ale platformei.

Conform raportului Sucuri „Hacked Website Report 2023”, WordPress reprezintă 95,5% din toate site-urile CMS infectate cu malware. În 2024, Sucuri a observat o creștere și mai accentuată: 96,2% din toate site-urile CMS infectate erau pe WordPress.

Dar atenție la nuanță — această cifră trebuie pusă în context. WordPress reprezintă 62-65% din piața CMS conform W3Techs, deci în mod natural va fi prezent în statistici la o rată ridicată.

Aceste componente vechi conțin adesea vulnerabilități deja cunoscute public.

Cu alte cuvinte, atunci când se afirmă că „73% dintre site-urile WordPress sunt vulnerabile”, nu înseamnă că 73% au fost sparte sau că WordPress este nesigur.

Înseamnă că există componente instalate care ar putea fi exploatate de un atacator. Diferența este importantă.

⚠️ Date îngrijorătoare 2025

Conform raportului Patchstack 2026, exploit-urile sunt lansate în mai puțin de 5 ore după dezvăluirea unei vulnerabilități. Asta înseamnă că dacă un plugin pe care îl folosești are o vulnerabilitate descoperită azi dimineață, până la prânz pot exista deja atacuri automate care încearcă să o exploateze.

1. Plugin-urile — principalul punct slab

Dacă ar trebui să alegem o singură cauză responsabilă pentru majoritatea problemelor de securitate, aceasta ar fi plugin-urile.

Conform Patchstack, în 2025 au fost descoperite 11.334 de vulnerabilități în ecosistemul WordPress, dintre care 91% (8.981) au fost în plugin-uri. Asta înseamnă o creștere de 42% față de anul anterior.

WordPress permite instalarea a zeci de mii de extensii care adaugă funcționalități suplimentare:

Formulare de contact;
Galerii foto;
Optimizare SEO;
Magazine online;
Sisteme de rezervări;
Integrare cu rețele sociale.

Problema este că nu toate plugin-urile sunt dezvoltate la aceleași standarde. Unele sunt întreținute activ și primesc actualizări regulate. Altele sunt abandonate de ani de zile.

Mai grav, conform raportului Patchstack 2026, 46% din vulnerabilitățile descoperite în 2025 nu aveau un patch disponibil de la dezvoltator în momentul dezvăluirii publice. Asta înseamnă că aproape jumătate din problemele de securitate rămân deschise pentru utilizatori, indiferent câte update-uri fac.

Imaginează-ți că instalezi un plugin gratuit pentru un slider de imagini. Pluginul funcționează perfect și uiți de el. După trei ani, dezvoltatorul renunță la proiect, iar o vulnerabilitate critică este descoperită. Site-ul tău continuă să utilizeze acel cod vulnerabil fără să știi.

Exact acesta este scenariul întâlnit cel mai frecvent în ticketele noastre de suport.

📋 Plugin-uri cu vulnerabilități recente (date Patchstack 2025)

OttoKit (SureTriggers) — 100K+ instalări, vulnerabilitate de privilege escalation
FunnelKit Automations — 20K+ utilizatori, instalare arbitrară de plugin-uri
Depicter Slider — SQL Injection neautentificat
WordPress Automatic — 40K+ instalări, execuție SQL arbitrară

Verifică în Plugins → Installed Plugins dacă ai vreuna din versiunile vechi ale acestor plugin-uri.

2. Temele WordPress pot deveni o problemă

Mulți administratori aleg teme premium descărcate de pe diverse site-uri.

Uneori acestea provin din surse neoficiale (site-uri tip „nulled themes”) sau conțin cod modificat. În alte situații, tema nu mai este actualizată de dezvoltator.

Conform Patchstack 2026, 9% din vulnerabilitățile WordPress sunt în teme. Mai îngrijorător: din vulnerabilitățile descoperite în componente premium (de obicei pentru care plătești), 76% sunt exploatabile în atacuri reale.

O temă veche poate conține vulnerabilități care permit:

Încărcarea de fișiere malițioase;
Acces neautorizat la panoul de administrare;
Executarea de cod pe server.

Din acest motiv, este recomandată utilizarea exclusivă a temelor provenite din surse oficiale (WordPress.org, ThemeForest, Elegant Themes, StudioPress) și actualizate constant. Niciodată „nulled themes” — acestea sunt principala cauză a site-urilor compromise pe care le primim spre curățare.

3. Parolele slabe — o problemă mai mare decât crezi

Poate părea surprinzător, dar multe atacuri reușesc fără exploatarea vreunei vulnerabilități tehnice.

Atacatorii încearcă pur și simplu combinații de parole prin atacuri „brute-force”. Există roboți automatizați care încearcă mii de combinații pe minut, atacând simultan zeci de mii de site-uri.

Parole tipice și timpul real necesar pentru a fi sparte:

admin123 — instant (sub 1 secundă)
parola123 — instant
qwerty — instant (este în top 5 cele mai testate parole de boți)
[numele firmei]2024 — 1-3 secunde (sunt în dicționare predefinite)
Password123! — câteva ore
X9k$mPq2#vL8nR — câteva milioane de ani

Conform datelor Sucuri, implementarea autentificării în doi pași (2FA) reduce încercările neautorizate de login cu aproximativ 73%. O parolă puternică combinată cu 2FA poate elimina instantaneu majoritatea riscurilor.

4. Hostingul contează enorm

Mulți proprietari de site-uri aleg cel mai ieftin pachet de hosting disponibil.

Este o greșeală care poate costa scump.

Un furnizor de hosting serios oferă:

Firewall la nivel de server;
Protecție împotriva atacurilor DDoS;
Scanare malware automată;
Backup automat zilnic;
Izolare a conturilor (CloudLinux);
Actualizări de securitate la nivelul serverului.

Un server configurat necorespunzător poate transforma chiar și un site bine întreținut într-o țintă ușoară.

💡 Insight din experiența Web365

Toate planurile noastre de hosting WordPress includ standard: Imunify360 pentru protecție malware, CloudLinux pentru izolarea conturilor, firewall la nivel de server și backup zilnic automat păstrat 7 zile. Asta înseamnă că majoritatea atacurilor sunt blocate înainte să ajungă la site-ul tău.

5. Actualizările ignorate

Una dintre cele mai frecvente situații pe care le întâlnim în ticketele de suport este următoarea:

Administratorul vede notificarea „Este disponibilă o actualizare.” Alege să o amâne. O zi devine o săptămână. O săptămână devine câteva luni.

Între timp, vulnerabilitatea este documentată public și începe să fie exploatată de atacatori. Din acel moment, site-ul devine o țintă.

Conform raportului Patchstack 2026, atacatorii continuă să exploateze vulnerabilități vechi de ani de zile. Doar 4 din top 10 vulnerabilități cele mai exploatate în 2025 au fost publicate în 2025 — restul erau din anii precedenți. Asta arată cât de multe site-uri rulează versiuni vechi de plugin-uri.

Actualizările nu sunt doar funcții noi sau îmbunătățiri vizuale. În multe cazuri, ele rezolvă probleme critice de securitate.

6. Codul AI-generat — noua problemă din 2025

O tendință îngrijorătoare apărută recent, semnalată în raportul comun Patchstack & Sucuri „State of WordPress Security 2025”: tot mai mulți dezvoltatori folosesc cod generat de inteligență artificială pentru a crea plugin-uri și teme WordPress, fără să-l verifice corespunzător.

Conform raportului, aproximativ 45% din codul produs de tool-urile AI actuale conține vulnerabilități de securitate. Problema e că acest cod ajunge frecvent în plugin-uri custom, plugin-uri agency-developed sau chiar pe WordPress.org repository, fără audit de securitate adecvat.

Asta deschide o nouă categorie de risc:

Plugin-uri custom dezvoltate pentru site-uri individuale
Pachete JavaScript și PHP integrate ca dependențe
Componente front-end generate de AI

Toate acestea introduc cod care nu are mecanism standard de update și nu e scanat de tool-urile de securitate clasice.

Ce se poate întâmpla dacă un site este compromis?

Consecințele diferă de la un caz la altul. Iată ce am văzut în 11 ani de hosting:

Infectarea cu malware

Atacatorii adaugă cod malițios care poate infecta vizitatorii. Cele mai comune campanii de malware care țintesc WordPress, conform Sucuri:

SocGholish („fake browser updates”) — 143.242 site-uri detectate doar în 2023
Balada Injector — redirecționează vizitatorii către scam-uri și tech support fake

Redirecționări către site-uri suspecte

Vizitatorii sunt trimiși automat către pagini de jocuri de noroc, produse contrafăcute sau tentative de fraudă. Site-ul tău devine un canal pentru criminali.

Spam SEO

Site-ul începe să afișeze pagini ascunse pentru motoarele de căutare — de obicei pentru viagra, casino sau alte conținuturi spam. Pierzi pozițiile în Google și brand-ul tău e asociat cu conținut dubios.

Furtul datelor

În cazul magazinelor online, informațiile clienților pot deveni ținta atacatorilor: nume, adrese, telefoane, parole, date de card.

Blocarea în Google

Google poate marca site-ul ca fiind periculos. În acel moment traficul scade dramatic — uneori cu 90-100% — și recuperarea poate dura săptămâni întregi.

Utilizare ca platformă de phishing

O tendință îngrijorătoare semnalată de specialiștii în securitate: atacatorii folosesc site-uri WordPress compromise ca infrastructură pentru campanii de phishing. În loc să creeze domenii noi (care pot fi marcate rapid ca suspecte), ei utilizează site-uri legitime, deja indexate, pentru a găzdui pagini false de login bancar, social media sau email.

Magazinul online este și mai expus

Magazinele WooCommerce gestionează:

Conturi de utilizatori;
Adrese de livrare;
Comenzi și istoricul lor;
Date comerciale sensibile;
Integrări cu servicii externe (procesatori plată, curieri, ERP).

Acest lucru le face mai atractive pentru atacatori. De aceea, magazinele online necesită măsuri suplimentare de protecție și hosting cu resurse dedicate.

Cum îți protejezi site-ul WordPress?

Vestea bună este că majoritatea riscurilor pot fi reduse semnificativ prin măsuri simple. Iată ordinea corectă în care să le implementezi:

1. Actualizează totul regulat (cel mai important)

WordPress, plugin-uri, teme — toate trebuie actualizate cât mai repede. Activează update-urile automate pentru cele de securitate.

Actualizările reprezintă prima și cea mai eficientă linie de apărare. Conform Patchstack, cu un exploit lansat în doar 5 ore după dezvăluirea unei vulnerabilități, viteza de update e critică.

2. Elimină plugin-urile nefolosite

Dacă nu utilizezi un plugin, dezinstalează-l complet. Un plugin dezactivat dar instalat poate reprezenta în continuare un risc — cod-ul lui e încă pe server și poate fi exploatat dacă există o vulnerabilitate.

Regula generală: cu cât mai puține plugin-uri, cu atât mai puține riscuri. Pentru un site WordPress mediu, sub 15-20 plugin-uri active e ideal. Sub 10 e excelent.

3. Folosește autentificare în doi pași (2FA)

Aceasta este una dintre cele mai eficiente măsuri disponibile. Implementare gratuită prin plugin-uri:

Two Factor Authentication (gratuit, oficial)
Wordfence Login Security (gratuit)
WP 2FA

După cum am menționat, 2FA reduce încercările de login neautorizate cu ~73% conform Sucuri.

4. Instalează un plugin de securitate

Recomandări din experiența noastră directă cu site-urile clienților:

Wordfence (free + paid) — cel mai folosit, scanare malware și firewall
Patchstack (commercial) — protecție automată împotriva vulnerabilităților cunoscute, recomandat pentru magazine WooCommerce
Solid Security (fost iThemes Security) — bun pentru blog-uri și site-uri mici
Sucuri Security — pentru site-uri cu trafic mare

5. Realizează backup automat

Dacă apare o problemă, restaurarea rapidă poate salva afacerea. Recomandăm două straturi de backup:

Backup la nivel de hosting — automat, inclus în plan
Backup extern — prin plugin gen UpdraftPlus, salvat în Google Drive sau Dropbox

Important: backup-ul trebuie testat. Un backup care nu se poate restaura e inutil.

6. Utilizează un hosting de calitate

Diferența dintre un hosting ieftin și unul administrat profesional poate fi uriașă din perspectiva securității. Asigură-te că hosterul tău oferă:

Imunify360 sau Patchstack la nivel de server
CloudLinux pentru izolare
Backup automat zilnic
SSL gratuit (Let’s Encrypt) cu reînnoire automată
Suport tehnic care răspunde rapid la incidente

Mituri despre securitatea WordPress

„WordPress este nesigur”

Fals. Conform Patchstack 2026, WordPress Core a avut doar 6 vulnerabilități în 2025 — sub 0,1% din total. Majoritatea problemelor provin din administrare defectuoasă, nu din platforma în sine.

„Site-ul meu este prea mic pentru a fi atacat”

Fals. Atacurile automate nu verifică dimensiunea afacerii. Boții scanează milioane de site-uri zilnic, indiferent de trafic sau valoare comercială. Un site mic compromis are aceeași valoare pentru atacatori — devine parte din rețeaua lor de spam/phishing.

„Am antivirus pe calculator, sunt protejat”

Fals. Securitatea calculatorului personal nu protejează serverul web. Site-ul tău rulează pe un server diferit, accesibil 24/7 din internet.

„Nu am magazin online, nu am ce pierde”

Fals. Atacatorii folosesc deseori site-urile compromise pentru spam SEO, phishing și distribuție de malware. Site-ul tău devine instrument în atacuri către alți utilizatori, iar tu pierzi reputația și pozițiile Google.

„Plugin-ul de securitate e suficient”

Fals. Conform Patchstack, WAF-urile tradiționale blochează doar 12% din atacurile specifice WordPress. Plugin-urile de securitate sunt un strat util, dar nu unicul. Trebuie combinate cu update-uri regulate, hosting bun, parole puternice și 2FA.

Întrebări frecvente

E WordPress sigur pentru magazine online?

Da, WordPress + WooCommerce e folosit de milioane de magazine online, inclusiv branduri mari internaționale. Securitatea depinde de configurarea corectă: hosting performant, plugin-uri minime și actualizate, certificat SSL, backup-uri regulate și plugin de securitate dedicat eCommerce.

Cum verific dacă site-ul meu WordPress e compromis?

Semne comune: încărcare lentă neobișnuită, pagini noi pe care nu le-ai creat, redirecționări către site-uri suspecte, alertă „Site Periculos” în Google, scădere bruscă de trafic, emailuri raportate ca spam. Verifică cu tool-uri gratuite ca Sucuri SiteCheck sau Quttera.

Câte plugin-uri ar trebui să am pe un site WordPress?

Cu cât mai puține, cu atât mai bine pentru securitate și performanță. Pentru un blog simplu: 5-10 plugin-uri. Pentru site de prezentare business: 10-15. Pentru magazin WooCommerce: 15-25. Peste 30 de plugin-uri active e semn de risc crescut.

Trebuie să fac update WordPress imediat când apare?

Update-urile de securitate (cele de tipul X.X.1) — da, imediat. Update-urile majore (de tipul X.0) — așteaptă 1-2 săptămâni să fie testate de comunitate. Pentru magazine cu vânzări active, recomandăm testare pe staging înainte de production.

Cât costă restaurarea unui site WordPress spart?

Depinde de gravitate. O curățare de bază (malware simplu, fără compromitere database): 200-500 lei. Curățare avansată cu refacere parțială: 500-1.500 lei. Site complet rescris după compromitere severă: 1.500-5.000 lei. La Web365, clienții noștri primesc curățare gratuită dacă site-ul e compromis prin atac la nivel de server.

Folosesc plugin de securitate sau hosting cu securitate inclusă?

Ideal — ambele. Hostingul cu securitate inclusă (Imunify360, CloudLinux) blochează atacurile la nivel de server, înainte să ajungă la WordPress. Plugin-ul de securitate adaugă un strat suplimentar la nivel de aplicație. Cele două se complementează, nu se exclud.

Cât de des trebuie să fac backup la site?

Backup zilnic automat e standardul minim. Pentru magazine cu vânzări active, recomandăm backup multiplu zilnic (la fiecare 6-12 ore) și păstrarea backup-urilor pentru cel puțin 30 de zile. Backup-urile trebuie stocate extern de server (Google Drive, Dropbox, Amazon S3) — nu doar pe același server cu site-ul.

Cum aleg un plugin sigur pentru WordPress?

Verifică în WordPress.org repository: data ultimei actualizări (sub 6 luni), numărul de instalări active (peste 10.000 e bun semn), rating-ul (peste 4 stele), compatibilitatea cu ultima versiune WordPress și activitatea pe forumul de suport. Evită plugin-urile nulled sau de pe site-uri necunoscute.

Ce faci dacă site-ul tău e deja compromis?

🚨 Pași imediați

Pune site-ul în modul de mentenanță — protejează vizitatorii
Schimbă toate parolele — WordPress admin, cPanel, FTP, baza de date
Identifică sursa atacului — verifică logurile, ultima activitate suspectă
Restaurează dintr-un backup curat — anterior infectării
Actualizează totul — WordPress, plugin-uri, teme
Notifică-ți utilizatorii — dacă magazin online, conform GDPR

Dacă nu te descurci singur — contactează imediat hosterul tău. La Web365, echipa tehnică intervine prompt pentru clienții afectați și putem oferi curățare malware pentru site-uri sparte.

Ce poți face acum pentru site-ul tău

🟢 Dacă ești client Web365

Site-ul tău e deja protejat cu Imunify360, CloudLinux și backup zilnic automat. Dar pentru protecție maximă, verifică:

Activează 2FA pe contul de admin WordPress
Activează update-urile automate pentru security patches
Verifică plugin-urile instalate — elimină ce nu folosești
Folosește parole puternice (minim 16 caractere, simboluri)

🔵 Dacă ești la alt hoster

Verifică ce oferă hosterul tău:

Are firewall la nivel de server (Imunify360, ModSecurity)?
Face backup automat zilnic?
Are izolare între conturi (CloudLinux)?
Răspunde rapid la incidente de securitate?

Dacă răspunsul e „nu” sau „nu știu” la oricare din astea, e momentul să te gândești la o schimbare. Hosting WordPress la Web365 include toate astea standard, plus migrare gratuită a site-ului tău.

Site-ul tău e compromis sau ai dubii?

Sună-ne la 0727.299.999 sau scrie-ne pe WhatsApp. Verificăm gratuit starea site-ului tău și îți spunem onest ce trebuie făcut. Pentru clienții noștri, curățarea malware e inclusă în multe cazuri.

📞 0727.299.999 💬 WhatsApp

Concluzie

Statisticile care arată că aproximativ 73% dintre site-urile WordPress sunt vulnerabile nu trebuie să provoace panică, ci să reprezinte un semnal de alarmă.

Problema nu este WordPress în sine. Conform Patchstack, doar 0,05% din vulnerabilități sunt în WordPress Core. Restul de 99,95% sunt în plugin-uri și teme — adică în lucruri pe care le poți controla.

În majoritatea cazurilor, vulnerabilitățile apar din:

superadminEditează profilul

Lipsa actualizărilor regulate
Utilizarea plugin-urilor și temelor abandonate
Parole slabe sau reutilizate
Configurări necorespunzătoare ale serverului
Lipsa unui hosting cu securitate inclusă

Partea bună este că majoritatea acestor probleme pot fi prevenite relativ ușor.

Un site actualizat, găzduit pe o infrastructură sigură, cu parole puternice și backup regulat, este mult mai greu de compromis decât cred mulți proprietari de afaceri.

Securitatea nu este un produs pe care îl instalezi o singură dată. Este un proces continuu. Iar câteva minute investite lunar în mentenanță pot preveni pierderi de timp, bani și reputație care altfel ar putea deveni foarte costisitoare.

Surse și referințe

Patchstack — „State of WordPress Security 2025 & 2026 Mid-Year Report”
Sucuri — „Hacked Website Report 2023 & 2024”
W3Techs — „Usage statistics of content management systems 2026”
WordFence — „WordPress Security Statistics 2025”
Date interne Web365 — analiza pe 19.000+ site-uri WordPress găzduite

Articol scris pe baza experienței directe cu peste 19.000 site-uri WordPress găzduite de Web365 din 2015. Pentru întrebări specifice despre securitatea site-ului tău, ne poți contacta la 0727.299.999 sau prin pagina de contact.