Amenințări
„Sunt prea mic ca să fiu atacat": de ce atacurile automate nu te ocolesc
Atacatorii nu te aleg pe tine. Boții scanează automat tot internetul după vulnerabilități și exploatează tot ce găsesc, indiferent de mărimea afacerii. Iată de ce un site mic e o țintă și ce poți face fără buget mare.
Nimeni nu stă noaptea să aleagă manual ce firmă mică din România să atace. Și totuși, site-ul tău este scanat chiar acum, în timp ce citești asta. Diferența dintre cele două propoziții este motivul pentru care cel mai periculos lucru pe care îl poți crede despre afacerea ta este „sunt prea mic ca să fiu atacat".
Mitul sună logic. De ce s-ar obosi cineva cu un magazin online cu zece produse sau cu site-ul de prezentare al unei firme de instalații? Răspunsul scurt: nu se obosește nimeni. Toată treaba o fac niște programe care nu au nicio idee cine ești și care nu țin cont de cifra ta de afaceri.
Atacatorul nu te alege. Un bot te găsește
Imaginează-ți un hoț care nu sparge o casă anume, ci umblă pe stradă și încearcă, una după alta, toate clanțele. Acolo unde o ușă e descuiată, intră. Restul nu îl interesează. Cam asta fac atacurile automate pe internet, doar că „strada" are sute de milioane de adrese, iar „hoțul" verifică mii de uși pe secundă.
Aceste programe, numite boți, scanează adresele de pe internet și caută semne cunoscute de slăbiciune: o versiune veche de WordPress, un plugin cu o gaură publicată, un panou cPanel lăsat la vedere, o pagină de login fără protecție. Lista vulnerabilităților este publică. Boții o au, practic, ca pe un set de chei deja făcute. Tu nu trebuie decât să ai o ușă care se potrivește.
Asta nu mai e o opinie
Asta schimbă complet discuția. Întrebarea nu este „sunt eu destul de important ca să mă atace cineva?". Întrebarea este „am eu vreo ușă descuiată pe care un program o va găsi oricum?".
De ce e tocmai un site mic o pradă atât de bună
Aici vine partea care îi surprinde pe cei mai mulți. Un site mic nu este atacat în ciuda faptului că e mic. Este atacat, de multe ori, tocmai pentru că e mic. Și sunt câteva motive foarte concrete.
În primul rând, e mai prost păzit. O firmă mică rareori are om de IT, rareori ține pluginurile la zi și aproape niciodată nu are un filtru în fața site-ului. Pentru un bot, asta înseamnă o rată de reușită mult mai mare cu mult mai puțin efort.
În al doilea rând, valoarea nu stă în datele tale, ci în site-ul tău ca resursă. Odată intrat, atacatorul îl poate folosi în feluri din care tu nu vezi nimic la prima vedere:
- Trimite spam de pe domeniul tău, până când ajungi pe liste negre și nici e-mailurile tale legitime nu mai ajung la clienți.
- Găzduiește pagini de phishing care imită bănci sau servicii cunoscute, ascunse într-un colț al site-ului tău, ca să pară de încredere.
- Injectează linkuri și pagini pentru SEO, folosind reputația domeniului tău ca să promoveze cazinouri, medicamente sau alte scheme.
- Redirectează vizitatorii spre site-uri dubioase, mai ales pe cei veniți din Google sau de pe mobil.
- Minează criptomonede pe serverul tău, consumând resurse pentru care plătești tu.
- Te folosește ca treaptă spre alte ținte, astfel încât urma să ducă la tine, nu la atacatorul real.
Observă că în niciunul dintre cazuri nu contează cât vinzi sau cât de cunoscut ești. Contează doar că ai un server care merge și un nume de domeniu cu o reputație pe care cineva o poate cheltui în locul tău.
Cum arată asta în cifre, în România
Nu sunt povești de speriat copiii. Directoratul Național de Securitate Cibernetică a constatat, în raportul pe 2024 prezentat în 2025, o creștere a fraudelor informatice raportate de 40,2% față de anul anterior. La capitolul malware, creșterea a fost de 286,8%, iar tentativele de tip brute-force, adică încercările automate de a ghici parole, au crescut cu 30,3%. Brute-force este, prin definiție, un atac automat: exact genul de lucru pe care un bot îl face la scară, fără să-i pese pe cine nimerește.
Și nu e doar o tendință de pe hârtie. Recent, specialiștii de la cyber_Folks România au avertizat că, într-o singură lună, vulnerabilități descoperite în platforme folosite la scară globală au expus peste 1,5 milioane de servere și site-uri la atacuri automate, iar mii de site-uri fuseseră deja compromise. Tehnologiile vizate? Tocmai cele pe care le folosește toată lumea: WordPress, cPanel, Apache, Microsoft SharePoint.
Citește printre rânduri
Ce pierzi de fapt, dincolo de „mi-au spart site-ul"
Mulți proprietari de firme mici tratează spargerea ca pe o pană de internet: enervantă, dar trecătoare. În realitate, costul real vine pe mai multe planuri deodată, și rareori se vede tot din prima zi.
Pierzi timp de funcționare, pentru că un site căzut sau pus în mentenanță nu vinde și nu primește clienți. Pierzi bani pe curățare, care aproape mereu costă mai mult decât ar fi costat prevenția. Pierzi poziții în Google, fiindcă motorul de căutare detectează des compromiterea înaintea ta și îți marchează site-ul ca periculos, ceea ce sperie vizitatorii ani de zile după ce ai rezolvat problema.
Pierzi reputație, care e cel mai greu de recâștigat. Un client care a primit un e-mail ciudat „de la tine" sau care a fost redirectat spre o pagină dubioasă nu uită ușor. Iar dacă printre datele scurse sunt informații despre clienți, intri și în zona amenzilor, pentru că GDPR nu te iartă pe motiv că ești o firmă mică.
Multe dintre aceste atacuri încep cu o simplă încercare automată. Dacă vrei să recunoști din timp că ceva nu e în regulă, am adunat indiciile în articolul despre semne că site-ul a fost spart, iar dacă te interesează cum arată un atac care încearcă să te dărâme prin volum, citește ce este un atac DDoS.
Ce faci practic, fără buget de corporație
Vestea bună e că majoritatea atacurilor automate caută ținte ușoare. Nu trebuie să devii de necucerit. E suficient să nu mai fii ușa descuiată de pe stradă. Iată straturile care contează cel mai mult, în ordinea efortului față de impact.
Actualizări la zi
Sistemul, temele și pluginurile actualizate închid exact găurile pe care le caută boții. Aproape gratuit și cel mai mare câștig pentru cel mai mic efort.
Parole unice și autentificare în doi pași
O parolă lungă, diferită pentru fiecare cont, plus un al doilea pas la login. Oprește brute-force-ul și logările cu parole scurse.
Backup automat
Copii regulate, păstrate separat de site. Nu previn atacul, dar transformă un dezastru într-o simplă restaurare de câteva ore.
Un filtru (WAF) în față
Un scut de rețea care oprește tentativele automate înainte să ajungă la site. Marea majoritate a boților sunt blocați aici, fără să atingă serverul tău.
Monitorizare
Cineva sau ceva care se uită constant și te anunță când apare o anomalie, ca să nu afli de la clienți sau din Google.
Primele trei le poți face singur, cu puțină disciplină. Ultimele două sunt cele care fac de obicei diferența între un site mic care e spart o dată pe an și unul care doarme liniștit, și tocmai ele cer puțin mai multă pricepere tehnică.
Când are sens protecția gestionată
Aici e nodul problemei pentru o firmă mică. Știi ce ar trebui făcut, dar nu ai om de IT, nu ai timp să urmărești fiecare vulnerabilitate nouă și nu vrei să devii tu administrator de servere pe lângă afacerea ta reală. E perfect normal. Nimeni nu pornește o cofetărie ca să configureze reguli de firewall.
Exact aici intervine protecția gestionată. În loc să cumperi unelte pe care apoi nu ai cine să le țină sub observație, lași pe altcineva să se ocupe de scutul din fața site-ului, de filtrare, de monitorizare și de reacția când ceva nu e în regulă. La UpTrust facem asta pe infrastructura Cloudflare, ca tentativele automate să fie oprite înainte să atingă site-ul tău, iar tu să primești un raport, nu un coșmar.
Pe scurt
Dacă te întrebi dacă investiția merită, am pus cifrele cap la cap în cât costă securitatea cibernetică, iar concluzia se rezumă la o singură propoziție: prevenția pe un an întreg costă, de regulă, mai puțin decât o singură curățare după ce te-a găsit un bot. Diferența e că pe prima o alegi tu, pe a doua o alege programul care îți încearcă acum clanța.
Întrebări frecvente
Chiar e atacată o firmă mică sau e doar marketing de frică?
Este reală, dar nu în sensul la care te gândești. Nimeni nu stă să aleagă firma ta anume. Boții scanează automat milioane de adrese și caută vulnerabilități cunoscute, iar dacă site-ul tău are una, intră, indiferent că ești un magazin cu zece produse sau o corporație.
De ce ar vrea cineva să spargă un site mic care nu are date valoroase?
Pentru că site-ul în sine e resursa. Un site compromis trimite spam, găzduiește pagini de phishing, redirectează vizitatorii spre scheme, injectează linkuri pentru SEO sau minează cripto pe serverul tău. Nu contează cât valorezi tu, contează că ai un server și o reputație de domeniu pe care le pot folosi.
Cât mă costă să mă protejez dacă nu am om de IT?
Mult mai puțin decât o curățare după spargere. Actualizările, parolele unice cu autentificare în doi pași și backupul automat sunt gratuite sau aproape. Un filtru de tip WAF în fața site-ului și monitorizarea sunt accesibile, mai ales ca serviciu gestionat, dacă nu ai pe cineva tehnic în firmă.
Am deja un site făcut de cineva acum câțiva ani. E un risc?
Probabil da, tocmai pentru că acum câțiva ani. Cele mai multe site-uri compromise rulează versiuni vechi de WordPress, pluginuri neactualizate sau panouri de administrare expuse. Dacă nimeni nu s-a mai atins de el de la lansare, e exact genul de țintă pe care boții o găsesc primul.
Citește și
Ce este un atac DDoS și cum îți protejezi site-ul
Cum arată un atac DDoS în practică, de ce un firewall obișnuit nu ajunge și ce înseamnă mitigarea la nivel de rețea.
7 semne că site-ul tău a fost spart (și ce să faci)
Cum recunoști un site spart înainte să te avertizeze Google sau clienții, și ce faci în primele ore ca să limitezi pagubele.
Cât costă securitatea cibernetică pentru un site în 2026
Comparăm costul protecției cu costul unui incident: ore de downtime, date pierdute, reputație. Spoiler: prevenția e mai ieftină.