NordVPN
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
De flesta intrång i WordPress utnyttjar sådant som redan är känt och åtgärdbart: en föråldrad version, ett delat adminkonto eller ett lösenord som återanvänts. Här är en rutin som täcker uppdateringar, behörigheter och backup, utan att kräva enterpriseverktyg.
Den här sidan hjälper dig som redan driver en WordPress-sajt att gå igenom en enkel återkommande rutin för att minska risken för intrång. Det handlar inte om att välja mellan WordPress och andra publiceringsverktyg, utan om vad som faktiskt bör göras varje månad på en sajt som redan finns. WordPress.org:s härdningsguide beskriver säkerhet som en löpande process snarare än ett engångsprojekt: uppdateringar, begränsade behörigheter, säkra lösenord och rensning av onödiga komponenter hör till samma rutin, och ett enskilt säkerhetstillägg ersätter ingen av delarna. Misstänker ni redan skadlig kod på sajten hör det till ett annat, mer akut spår än den förebyggande rutinen här; se malware-skanning: följ upp larm för hur ett skanningslarm ska tolkas och saneras.
Innan rutinen sätts på plats behöver tre saker vara tydliga: vem som är ansvarig, hur ofta rutinen körs och vad som händer om något avviker.
Tabellen sammanfattar de återkommande riskerna, åtgärden som hör till respektive risk och vad som kan sparas som bevis på att åtgärden faktiskt genomförts.
| Risk | Åtgärd | Kontrollbevis | Källa |
|---|---|---|---|
| Föråldrad kärna, tema eller tillägg | Installera säkerhetsuppdateringar skyndsamt, testa övriga uppdateringar innan de görs skarpt | Datum och versionsnummer i en uppdateringslogg | NCSC |
| Plugins och teman som inte längre används men finns kvar installerade | Avinstallera det som inte används aktivt, uppdatera det som blir kvar | Lista över installerade plugins och teman med senast granskade datum | WordPress.org |
| Lösa filrättigheter på filer och mappar | Lås filrättigheter så att endast de mappar som faktiskt behöver vara skrivbara för webbservern är det, och neka läsåtkomst till konfigurationsfilen för andra än kontots ägare | Dokumenterad genomgång av filrättigheter | WordPress.org |
| Delade eller överprivilegierade adminkonton | Ett konto per person med endast den behörighet som behövs för rollen | Lista över aktiva konton, roller och senaste genomgång | IMY |
| Svaga eller återanvända lösenord, saknad tvåfaktor | Stark autentisering på samtliga adminkonton | Datum då tvåfaktor aktiverades per konto | NCSC |
| Otestad eller saknad säkerhetskopia | Regelbunden säkerhetskopia som återställs i en testmiljö, inte bara tas | Datum för senast testade återställning | WordPress.org |
Låt en person äga rutinen och sätt en fast dag i månaden för behörighetsgenomgång: gå igenom vilka konton som finns, vilken behörighet respektive konto behöver, och ta bort eller nedgradera konton för personer som slutat eller bytt roll. IMY:s vägledning om behörighetsstyrning pekar på att behörigheter ska följas upp när roller ändras, inte bara sättas en gång vid uppstart.
Säkerhetsuppdateringar hanteras separat eftersom de inte bör vänta på nästa schemalagda genomgång. NCSC lyfter fram snabb installation av säkerhetsuppdateringar som en av de mest centrala åtgärderna mot kända sårbarheter, samtidigt som IMY påpekar att en uppdateringsrutin behöver väga snabb patchning mot test, säkerhetskopia och möjlighet att återställa om något går sönder. En backup som aldrig testats är i praktiken en okänd storlek: boka in en testkörning av återställningen, inte bara av att kopian skapas.
Ett extra lager utöver uppdateringar, behörigheter och backup är en brandvägg riktad mot webbtrafik, en så kallad WAF. Den kan köras som ett säkerhetstillägg i WordPress eller som ett filter hos webbhotellet innan trafiken ens når sajten, och fångar en del automatiserade angreppsförsök som annars skulle nå adminpanelen eller kända sårbara filer. WordPress.org:s härdningsguide beskriver en sådan brandvägg som ett komplement till resten av rutinen, inte en ersättning för uppdateringar och behörighetskontroll. Vilket skydd som ingår varierar mellan webbhotell, så kontrollera vad som faktiskt erbjuds på er nivå: se webbhotell för WordPress för vad som ofta ingår på värdnivå.
En intern rutin löser inte allt. Om ni saknar kompetens för att bedöma en sårbarhetsrapport, om ett larm inte går att tolka, eller om ni misstänker att sajten redan är komprometterad, ta hjälp av webbhotellet eller en säkerhetskonsult istället för att gissa er fram. Ett pågående intrång kräver ett annat tempo än den löpande rutinen: se Hackad hemsida: steg för steg de första timmarna för vad som bör göras först om ni redan ser tecken på intrång.
Ett säkerhetstillägg är ett komplement, inte en ersättning för rutinen. Uppdateringar, begränsade behörigheter och en testad säkerhetskopia behöver skötas oavsett vilka verktyg som körs på sajten, och om ni redan misstänker intrång är nästa steg att agera direkt, inte att vänta på nästa schemalagda kontroll.
Nej. Ett säkerhetstillägg kan larma om vissa avvikelser, men det ersätter inte rutiner för uppdateringar, behörigheter och testad återställning. WordPress.org:s egen härdningsguide beskriver säkerhet som en löpande process, inte något ett enskilt tillägg löser en gång för alla.
Säkerhetsuppdateringar bör installeras skyndsamt, det är en av de åtgärder NCSC lyfter som mest central mot kända sårbarheter. Övriga uppdateringar kan testas i en kopia av sajten först, men bör inte skjutas upp obestämt.
IMY skriver att delade konton gör det svårare att veta vem som gjort en viss ändring, vilket försvårar utredningen om något ändå går fel. Ge varje person ett eget konto med den behörighet som faktiskt behövs, och ta bort konton när roller eller anställningar upphör.
Agera direkt istället för att vänta på nästa schemalagda uppdatering: begränsa åtkomsten, dokumentera vad ni ser och kontakta leverantören eller en säkerhetsexpert för sanering. Se den separata guiden för hackad hemsida för stegen i det akuta läget.
Rangordningen bygger på vad våra besökare oftast väljer när de går vidare till ett verktyg. Jämför alltid pris och funktioner innan du bestämmer dig. Länkarna nedan är annonslänkar.
Krypterar internetuppkopplingen för anställda som jobbar på distans eller öppet wifi, så att inloggningar och kunddata inte exponeras i onödan.
Passar: Företag där någon loggar in på adminpaneler, e-post eller FTP utanför kontoret.
Lösenordshanterare för team med säker delning av inloggningar och bevakning av läckta uppgifter, utan att lösenord mejlas eller återanvänds.
Passar: Fler än en person som behöver dela inloggningar till samma tjänster.
Rankningen speglar besökarnas vanligaste val och redaktionell bedömning, inte ett oberoende test. Vi kan få provision när du tecknar avtal via våra annonslänkar – det påverkar inte vilka fakta eller reservationer vi lyfter.
Säkerhetsverktyg 2026För lösenord, nätverk & dataskydd
Se listan