O verificare tehnică de rutină poate scoate la iveală o practică tot mai răspândită, dar rar observată. Domenii legitime, aparținând unor instituții publice, organizații culturale, jurnaliști sau afaceri locale, ajung să fie folosite ca suport tehnic pentru promovarea globală a platformelor de gambling și a conținutului adult, fără acordul și fără știința administratorilor.
Nu este vorba despre bannere vizibile, reclame afișate utilizatorilor sau redirecționări agresive. Din exterior, site-urile funcționează normal. Problema apare la nivelul codului sursă și al modului în care motoarele de căutare „văd” aceste pagini.
Mecanismul din spate
În cazurile analizate apare același tipar. Fragmente de cod HTML sunt injectate direct în pagini sau în baza de date. Conținutul este ascuns prin CSS sau structuri care nu sunt afișate utilizatorului obișnuit. În schimb, el rămâne perfect lizibil pentru roboții motoarelor de căutare.
Textele introduse includ liste de cuvinte cheie, descrieri comerciale, ghiduri de înregistrare și linkuri către platforme de jocuri de noroc sau servicii pentru adulți. Din punct de vedere SEO, paginile compromise devin relevante pentru interogări complet străine de scopul inițial al site-ului.
Un site românesc poate ajunge astfel să fie indexat pentru termeni precum casino, slot, bonus fără depunere sau diverse servicii live, fără să afișeze nimic din toate acestea publicului local.
Cazuri concrete. Cum arată compromiterea în practică
Petreanu.ro este un exemplu relevant tocmai pentru că, la o primă vedere, nu ridică suspiciuni. Site-ul poate fi accesat normal, conținutul este lizibil, experiența utilizatorului pare neschimbată. Problema apare la o verificare atentă. Pe pagina „Despre”, conținutul original al temei este înlocuit complet cu texte fără legătură cu scopul site-ului. Este o formă clasică de injectare de conținut ascuns, care nu afectează vizibilitatea pentru cititor, dar este integral procesată de motoarele de căutare. O simplă căutare după dork-ul „IDN SLOT” site:.ro indică amploarea fenomenului, sute de domenii românești apar compromise și ignorate de proprietari.
isjbihor.ro, site-ul unui inspectorat școlar județean, ridică probleme suplimentare prin statutul instituțional. Deși ar fi de așteptat să existe un minim control tehnic, site-ul este practic abandonat. Footer-ul nu a mai fost actualizat din 2016, secțiunea de comentarii este deschisă complet, cu peste 260.000 de comentarii de tip scam publicate la un singur articol, iar zona de autor conține text de tip lorem ipsum. Site-ul a găzduit o perioadă îndelungată cod malițios, iar o parte din acest conținut a rămas indexată în Google, fără intervenție.
Pe site-ul Operei din Craiova, problema apare într-o zonă critică, secțiunea de achiziție bilete. Aici este vizibil un exemplu tipic de black hat SEO, cu conținut injectat și optimizat pentru motoarele de căutare, dar ascuns utilizatorilor. Aceeași abordare se regăsește și pe restaurantbulevard.ro, unde domeniul este folosit ca suport pentru transfer de autoritate SEO către site-uri externe fără legătură cu activitatea localului.
Aceste cazuri nu sunt excepții. Ele reprezintă doar câteva exemple din sute de site-uri infectate, aparținând unor școli, magazine online, restaurante sau organizații diverse, care continuă să funcționeze aparent normal, în timp ce sunt folosite ca infrastructură pentru promovare ilegală.
Contextul face situația și mai problematică. La începutul anului 2025, România avea aproximativ 17,8 milioane de utilizatori de internet, o rată de penetrare de 94% din populație. Aproape 89% dintre gospodării aveau acces la internet, iar numărul utilizatorilor activi de rețele sociale depășea 13 milioane. Infrastructura digitală există, utilizarea este extinsă, însă nivelul de igienă cibernetică rămâne scăzut.
Platformele online sunt lansate, dar întreținerea lor este tratată superficial. Proprietarii nu își asumă responsabilitatea pentru conținutul tehnic al site-urilor, iar lipsa de interes sau de competență permite ca aceste compromiteri să persiste ani întregi, fără reacție.
De ce contează limbile folosite
Conținutul injectat nu este ales la întâmplare. Apar frecvent limbi precum urdu, portugheză sau tagalog. Acestea corespund unor piețe mari pentru jocuri de noroc online, în special Pakistan, India, Brazilia și Filipine.
Scopul nu este atragerea utilizatorilor români, ci creșterea vizibilității platformelor promovate în alte regiuni ale lumii, folosind autoritatea unor domenii europene cu reputație bună.
O tehnică cunoscută, dar ignorată
Practic, vorbim despre SEO poisoning prin injectare de conținut ascuns, o tehnică de tip black hat SEO combinată cu compromiterea clasică a aplicațiilor web. Atacatorii nu urmăresc distrugerea site-ului și nici perturbarea activității acestuia. Din contră, interesul lor este ca site-ul să rămână funcțional și credibil.
Această abordare face atacul greu de detectat. Administratorii nu primesc alerte. Utilizatorii nu reclamă probleme. Totul pare în regulă la suprafață.
Cum ajung site-urile în această situație
Cauzele sunt bine cunoscute în zona de securitate web. Platforme neactualizate, pluginuri vechi, teme descărcate din surse nesigure, parole slabe sau conturi de administrare uitate. De multe ori lipsește complet monitorizarea integrității fișierelor și a modificărilor din baza de date.
Odată obținut accesul, atacatorii fac modificări minime, greu de observat, apoi părăsesc sistemul.
Domeniile .ro sunt asociate cu o țară din Uniunea Europeană, au adesea istoric vechi și un nivel bun de încredere în motoarele de căutare. Multe dintre ele aparțin unor instituții sau organizații care nu au echipe IT dedicate și nu efectuează audituri de securitate regulate.
Această combinație le transformă în ținte eficiente pentru transfer de autoritate SEO.
Care sunt consecințele reale
Pentru proprietarii site-urilor, riscurile sunt concrete. Penalizări SEO, scăderea vizibilității în Google, asocierea indirectă cu jocuri de noroc sau conținut adult și pierderea încrederii publicului. În unele cazuri, compromiterea inițială poate deschide calea către atacuri mai serioase.
Pentru utilizatori, impactul este mai puțin vizibil, dar existent. Motoarele de căutare pot folosi reputația unor site-uri legitime pentru a promova platforme ilegale sau riscante în alte regiuni.
Problema rămâne nerezolvată pentru că este greu de observat fără verificări tehnice specifice. Atacul nu produce erori, nu generează trafic suspect local și nu declanșează alarme evidente. Fără audituri periodice, compromiterea poate rămâne activă luni sau ani.
Curățarea reală nu înseamnă ștergerea unui fragment de cod. Este nevoie de analiză completă a fișierelor și bazei de date, resetarea tuturor credențialelor, actualizarea platformei și a extensiilor, verificarea subdomeniilor și notificarea motoarelor de căutare pentru reindexare corectă.
Fără aceste măsuri, reinfectarea este doar o chestiune de timp.
Problema nu este una izolată și nici accidentală. Este un model repetabil, folosit la scară largă, care transformă site-uri legitime în instrumente de promovare pentru industrii opace. Faptul că acest lucru se întâmplă fără ca proprietarii să își dea seama ar trebui să fie un semnal clar că securitatea web nu mai poate fi tratată ca un detaliu tehnic minor.