How to Check a Website's Security — Complete Guide 2026

By Tibzi Team — 2026-03-03T14:39:23.785Z

Securitatea unui website nu este doar responsabilitatea dezvoltatorilor — este o necesitate de business. Un site compromis poate pierde date ale clienților, poate fi penalizat de Google și poate distruge încrederea construită în ani de zile. În acest ghid complet, îți arătăm exact cum să verifici securitatea oricărui website, pas cu pas, cu instrumente gratuite.

Acest ghid acoperă 20 de puncte critice de verificat, de la certificatul SSL până la configurarea email-ului. Indiferent dacă ești proprietar de site, developer sau specialist marketing, vei găsi informații utile și aplicabile imediat.

De ce contează securitatea unui website

Înainte de a intra în detalii tehnice, hai să înțelegem de ce securitatea web este esențială:

• Google penalizează site-urile nesigure — din 2018, Chrome marchează toate site-urile fără HTTPS ca „Nesigure". Din 2021, Core Web Vitals (care includ și securitatea) sunt factor de ranking.
• Costul unui atac este enorm — conform studiilor IBM, costul mediu al unui breach de date în 2025 a fost de 4.88 milioane USD la nivel global. Pentru IMM-uri românești, chiar și un atac minor poate însemna zile de downtime și pierderi de mii de euro.
• GDPR impune securitate — Articolul 32 al GDPR obligă operatorii de date să implementeze „măsuri tehnice și organizatorice adecvate". Lipsa securității poate atrage amenzi de până la 20 milioane EUR.
• Încrederea clienților — 85% din consumatori nu ar cumpăra de pe un site care nu are HTTPS. Lacătul verde din browser este un semn universal de încredere.

1. Verifică certificatul SSL/HTTPS

Certificatul SSL (Secure Sockets Layer) este primul și cel mai vizibil element de securitate. Criptează comunicarea dintre browserul vizitatorului și serverul tău.

Ce trebuie verificat:

• Certificatul este valid — emis de o autoritate de certificare recunoscută (Let's Encrypt, DigiCert, Sectigo)
• Nu este expirat — certificatele Let's Encrypt expiră la 90 de zile, cele comerciale la 1 an
• Protocolul TLS — trebuie să fie TLS 1.2 sau TLS 1.3. Versiunile TLS 1.0 și 1.1 sunt depreciate și vulnerabile
• Forward Secrecy — asigură că sesiunile anterioare rămân protejate chiar dacă cheia serverului este compromisă în viitor
• Puterea cheii — minim RSA 2048 biți sau ECDSA 256 biți
• Cifruri sigure — fără RC4, DES, 3DES sau alte cifruri depreciate

Cum verifici: Folosește instrumentul nostru gratuit de verificare SSL care analizează toate aceste aspecte și îți oferă recomandări în limba română. Alternativ, Qualys SSL Labs oferă o analiză tehnică detaliată, dar doar în engleză.

2. Verifică headerele de securitate HTTP

Headerele de securitate sunt instrucțiuni pe care serverul le trimite browserului pentru a preveni atacuri comune. Sunt invizibile pentru vizitatori, dar esențiale pentru securitate.

Headerele critice:

• Strict-Transport-Security (HSTS) — forțează browserul să folosească exclusiv HTTPS. Fără HSTS, un atacator poate forța o conexiune HTTP nesecurizată (downgrade attack). Valoare recomandată: max-age=31536000; includeSubDomains
• Content-Security-Policy (CSP) — cel mai puternic header de securitate. Specifică exact de unde poate browserul să încarce scripturi, stiluri, imagini și alte resurse. Previne atacurile XSS (Cross-Site Scripting).
• X-Frame-Options — previne clickjacking-ul (atacatorul îți încadrează site-ul într-un iframe invizibil). Valoare recomandată: DENY sau SAMEORIGIN
• X-Content-Type-Options — previne MIME type sniffing. Valoare: nosniff
• Referrer-Policy — controlează câte informații despre pagina sursă se trimit la navigare. Recomandare: strict-origin-when-cross-origin
• Permissions-Policy — controlează accesul la API-urile browserului (cameră, microfon, geolocalizare). Blochează funcționalitățile nefolosite.

Cum verifici: Verificarea de securitate Tibzi analizează toate headerele și îți spune exact ce lipsește și cum să configurezi fiecare header.

3. Scanează porturile deschise

Fiecare port deschis pe server este un potențial punct de intrare pentru atacatori. Un server web corect configurat ar trebui să expună doar porturile strict necesare.

Porturi normale vs. periculoase:

• Port 80 (HTTP) și 443 (HTTPS) — normale pentru un server web
• Port 22 (SSH) — necesar pentru administrare, dar ar trebui protejat cu autentificare prin chei, nu parole
• Port 3306 (MySQL) — periculos dacă e public. Baza de date nu ar trebui niciodată accesibilă din internet
• Port 21 (FTP) — protocol nesecurizat, ar trebui înlocuit cu SFTP (port 22)
• Port 8080, 8443 — pot indica aplicații de dezvoltare sau panouri de administrare expuse

Un scan de porturi nu înseamnă hacking — verifici doar ce servicii sunt vizibile public. Este ca și cum ai verifica dacă ușile și ferestrele casei sunt încuiate.

4. Detectează firewall-ul (WAF) și CDN-ul

Un Web Application Firewall (WAF) filtrează traficul malițios înainte să ajungă la serverul tău. Un CDN (Content Delivery Network) adaugă un strat suplimentar de protecție.

WAF-uri populare:

• Cloudflare — cel mai popular, oferă WAF + CDN + protecție DDoS în planul gratuit
• Sucuri — specializat pe securitate WordPress
• AWS WAF — pentru aplicații găzduite pe Amazon Web Services
• ModSecurity — WAF open-source, disponibil pe Apache și Nginx

De ce contează: fără WAF, serverul tău primește direct tot traficul — inclusiv tentativele de SQL injection, XSS și brute-force. Un WAF blochează automat cele mai comune atacuri.

5. Verifică reputația în listele negre (blacklist)

Dacă domeniul sau IP-ul serverului tău apare în liste negre, consecințele sunt serioase:

• Email-urile ajung în spam — serverele de email verifică blacklist-urile înainte de a accepta mesaje
• Google poate afișa avertismente — „Acest site poate fi periculos" apare în rezultatele de căutare
• Browserele pot bloca accesul — Chrome și Firefox folosesc Google Safe Browsing pentru a avertiza utilizatorii

Liste negre importante de verificat:

• Spamhaus (SBL, XBL, PBL)
• SURBL
• Barracuda Reputation
• UCEPROTECT
• Google Safe Browsing

Testul nostru de securitate verifică automat prezența domeniului în principalele liste negre.

6. Detectează scurgerile de informații

Multe website-uri expun involuntar informații care ajută atacatorii:

• Header-ul Server — afișează versiunea Apache/Nginx/LiteSpeed. Un atacator știe exact ce vulnerabilități să exploateze
• Header-ul X-Powered-By — expune versiunea PHP, ASP.NET sau framework-ului. Trebuie eliminat
• Pagini de eroare detaliate — stack traces, căi de fișiere, versiuni de biblioteci afișate pe paginile de eroare 500
• Fișiere expuse — .env, wp-config.php.bak, .git/, phpinfo.php
• Comentarii HTML — dezvoltatorii uneori lasă comentarii cu informații sensibile în codul sursă

Regula de aur: un atacator nu ar trebui să poată determina ce software rulezi, pe ce versiune și cu ce configurație. Cu cât știe mai puțin, cu atât ești mai în siguranță.

7. Verifică configurarea email-ului (SPF, DKIM, DMARC)

Securitatea email-ului este adesea neglijată, dar este crucială. Fără autentificare corectă, oricine poate trimite email-uri false în numele domeniului tău (email spoofing).

Cele 3 protocoale esențiale:

• SPF (Sender Policy Framework) — un record DNS care specifică exact ce servere au voie să trimită email-uri pentru domeniul tău. Fără SPF, email-urile tale vor ajunge frecvent în spam.
• DKIM (DomainKeys Identified Mail) — adaugă o semnătură criptografică pe fiecare email trimis. Destinatarul poate verifica că email-ul nu a fost modificat în tranzit.
• DMARC (Domain-based Message Authentication) — politica care instruiește serverele destinatarilor ce să facă cu email-urile care nu trec verificările SPF/DKIM: acceptare, carantină sau respingere.

Cum verifici: Folosește instrumentul nostru de verificare email care analizează SPF, DKIM, DMARC, MTA-STS, BIMI și MX records — totul gratuit și cu explicații în română.

8. Verifică conformitatea GDPR

Securitatea și protecția datelor sunt strâns legate. Un website care colectează date personale trebuie să respecte GDPR:

• Politica de confidențialitate — accesibilă din orice pagină, cu informații despre operator, scopuri, drepturi
• Cookie consent — banner cu opțiuni de acceptare, refuzare și personalizare
• Date firmă vizibile — CUI, nr. registru comerț, sediu social (obligatoriu conform Legii 365/2002)
• Link ANPC și ODR — obligatoriu pentru site-uri de e-commerce

Verifică automat toate aceste aspecte cu instrumentul nostru de verificare GDPR.

9. Testează performanța

Performanța website-ului este indirect legată de securitate:

• Un site lent poate indica un atac DDoS în desfășurare
• Resurse third-party nesigure pot încetini site-ul și introduce vulnerabilități
• Compresie lipsa poate indica configurare defectuoasă a serverului

Testează performanța website-ului cu instrumentul nostru gratuit — include Core Web Vitals, TTFB, compresie și amprenta de carbon.

10. Verifică accesibilitatea

Accesibilitatea web nu este doar o obligație legală (European Accessibility Act, din iunie 2025), ci și un indicator de calitate tehnică. Un site accesibil este de obicei și mai securizat, pentru că implică atenție la detalii tehnice.

Testează cu instrumentul nostru de verificare accesibilitate — conformitate WCAG 2.1 AA, heading-uri, alt text, ARIA landmarks, contrast.

Checklist rapid — 20 de puncte de verificat

Folosește această listă pentru o verificare rapidă a securității oricărui website:

1. Certificat SSL valid și neexpirat
2. Protocol TLS 1.2 sau 1.3
3. Forward secrecy activat
4. Header HSTS configurat
5. Content-Security-Policy prezent
6. X-Frame-Options setat
7. X-Content-Type-Options: nosniff
8. Referrer-Policy configurat
9. Doar porturile 80 și 443 publice
10. WAF sau CDN activ (Cloudflare, Sucuri etc.)
11. Domeniu curat în blacklist-uri
12. Fără versiuni software în headere (Server, X-Powered-By)
13. Fișiere sensibile inaccesibile (.env, .git, wp-config.php.bak)
14. SPF configurat corect
15. DKIM activ
16. DMARC cu politică cel puțin quarantine
17. Politica de confidențialitate accesibilă
18. Cookie consent funcțional
19. Date firmă vizibile (CUI, Reg. Com.)
20. Redirect HTTP → HTTPS funcțional

Instrumente gratuite de verificare

Pentru verificare rapidă și completă, recomandăm:

• Tibzi — Verificare Securitate — analizează SSL, headere, porturi, WAF, blacklist și scurgeri de informații, cu explicații în română
• Tibzi — Verificare SSL — analiză detaliată a certificatului SSL/TLS
• Tibzi — Verificare Email — verifică SPF, DKIM, DMARC, MTA-STS, BIMI
• Tibzi — Verificare GDPR — conformitate legală, cookies, accesibilitate
• Tibzi — Audit Complet — toate cele 27 de module într-o singură analiză, cu raport PDF gratuit

Ce faci dacă găsești probleme

După ce identifici vulnerabilitățile, iată pașii de remediere în ordinea priorității:

1. Urgente (rezolvă imediat) — certificat SSL expirat, porturi de baze de date deschise, fișiere sensibile expuse
2. Importante (rezolvă în 1-2 zile) — headere de securitate lipsă, SPF/DKIM/DMARC neconfigurate
3. Recomandate (rezolvă în 1-2 săptămâni) — WAF neactiv, versiuni software vizibile, politici DMARC permisive

Dacă ai nevoie de asistență pentru remedierea problemelor identificate, echipa noastră de specialiști te poate ajuta cu implementarea corectă a tuturor măsurilor de securitate.

Concluzie

Securitatea unui website nu este un proiect one-time — este un proces continuu. Tehnologiile evoluează, atacurile devin mai sofisticate, iar standardele se actualizează. Recomandăm să faci o verificare completă cel puțin o dată pe lună și de fiecare dată când faci modificări semnificative pe site.

Începe acum cu un audit complet gratuit — verificăm 27 de aspecte ale website-ului tău și îți trimitem un raport PDF detaliat cu probleme și recomandări concrete.