Akut hacket?Få hjælp nu· Svar inden for 4 timer ·+45 41 57 79 98
WP-Sikkerhed
Hærdning

WordPress sikkerhed: 12 ting du SKAL gøre for at undgå at blive hacket

·5 min læsning·Mads Holst Jensen

De fleste WordPress-hacks rammer ikke, fordi angriberen er genial — men fordi noget basalt manglede: en gammel pluginversion, et svagt kodeord, ingen backup. Den gode nyhed er, at god sikkerhed er overkommelig, når du tager det metodisk. Her er de 12 ting, jeg sætter op på hvert site jeg passer, i prioriteret rækkefølge.

Hvorfor WordPress er det mest angrebne CMS

WordPress driver over 40 % af alle websites, og den udbredelse gør det til et oplagt mål: en angriber kan automatisere ét angreb mod tusindvis af sites på én gang. Sårbarhederne ligger sjældent i WordPress-kernen selv, som er godt vedligeholdt — de ligger i plugins, temaer og svage adgangskoder. Det er gode nyheder, for det betyder, at du selv har kontrol over næsten alle de huller, der reelt bliver udnyttet.

1. Hold core, temaer og plugins opdateret (automatisk)

Forældet kode er den enkeltstørste årsag til hacks. Slå automatiske opdateringer til for både kerne, plugins og temaer:

wp plugin auto-updates enable --all
wp theme auto-updates enable --all

Test gerne større opdateringer på et staging-miljø først, men lad ikke sikkerhedsopdateringer ligge.

2. Stærke adgangskoder + tofaktor på admin

En firewall hjælper intet, hvis kodeordet er "sommer2024". Krav: lange, unikke adgangskoder til alle konti og tofaktor-godkendelse (2FA) på alle administratorer. 2FA alene stopper langt de fleste brute force- og credential stuffing-angreb, fordi et stjålet kodeord ikke længere er nok.

3. Begræns login-forsøg og skjul wp-login

Gør brute force upraktisk:

  • Begræns login-forsøg (indbygget i de fleste sikkerhedsplugins) — bloker en IP efter få fejlslag.
  • Flyt eller skjul wp-login.php til en hemmelig sti, så de automatiske bots ikke finder login-siden.
  • Overvej at blokere adgang til xmlrpc.php, hvis du ikke bruger det — det misbruges ofte til angreb.

4. Sikkerhedsplugin: Wordfence vs. Solid Security

Et godt sikkerhedsplugin samler firewall, scanning og login-beskyttelse ét sted.

  • Wordfence har en stærk endpoint-firewall (WAF) og en grundig malware-scanner. Tungt, men meget komplet.
  • Solid Security (tidl. iThemes Security) er lettere og fokuserer skarpt på adgangskontrol, 2FA og login-hærdning.

Vælg ét — ikke flere samtidig, da de kan komme i konflikt. Begge dækker de fleste behov for et typisk dansk site.

Usikker på hvilket plugin og hvilke indstillinger der passer til dit site? Jeg konfigurerer det rigtigt for dig — fast pris fra 2.500 kr.

5. Automatiske offsite-backups (UpdraftPlus)

En backup er din forsikring mod, at alt andet fejler. Reglerne er enkle:

  • Automatisk — manuelle backups bliver glemt.
  • Offsite — gem hos Google Drive, Dropbox eller S3, ikke kun på samme server, der kan blive ramt.
  • Testet — en backup, du aldrig har prøvet at gendanne, er kun et håb.

UpdraftPlus er et solidt og udbredt valg. Sæt en plan, der matcher, hvor ofte dit indhold ændrer sig.

6. Korrekte fil-tilladelser og deaktiver fil-redigering

Stram filsystemet:

find /sti/til/public_html -type d -exec chmod 755 {} \;
find /sti/til/public_html -type f -exec chmod 644 {} \;
chmod 640 wp-config.php

Slå desuden den indbyggede temaeditor fra, så en kompromitteret admin ikke kan redigere PHP direkte i browseren:

// wp-config.php
define('DISALLOW_FILE_EDIT', true);

7. SSL, sikkerhedsheaders og en WAF

  • SSL/HTTPS på hele sitet er et minimum — og gratis via Let's Encrypt.
  • Sikkerhedsheaders som Strict-Transport-Security, X-Content-Type-Options og Referrer-Policy lukker en række angrebsflader.
  • En WAF (Web Application Firewall) — enten via dit sikkerhedsplugin eller på netværksniveau (fx Cloudflare) — filtrerer ondsindet trafik, før den rammer WordPress.

8. Fjern ubrugte plugins og temaer

Hver eneste plugin og tema er potentiel angrebsflade — også de deaktiverede, for koden ligger stadig på serveren. Slet alt, du ikke aktivt bruger, inklusive standardtemaer du ikke har brug for. Mindre kode = færre huller.

9. Skift databasepræfiks og beskyt wp-config.php

Standardpræfikset wp_ gør automatiserede SQL-angreb nemmere. På nye installationer bør du vælge et tilfældigt præfiks. Beskyt desuden wp-config.php — filen med dine databaseoplysninger og nøgler — mod direkte adgang via serverkonfiguration, og hold dens tilladelser stramme.

10-12. Hosting, brugerroller og løbende monitorering

De sidste tre hænger sammen og handler om drift:

  • 10. Ordentlig hosting. Vælg en udbyder med isolerede konti, automatiske opdateringer på serverniveau og malware-scanning. Billig oversolgt hosting er en sikkerhedsrisiko i sig selv.
  • 11. Mindste privilegium på brugerroller. Giv kun folk den rolle, de har brug for. Ikke alle skal være administrator — en redaktør kan skrive indhold uden at kunne ændre kode.
  • 12. Løbende monitorering. Overvåg filer, uptime og login-forsøg, så du opdager et angreb, mens det sker, og ikke først når Google blokerer dig.

Skulle uheldet alligevel være ude, så følg oprydningsguiden til et hacket WordPress trin for trin.

Få det hele sat op professionelt på en gang

De 12 punkter er ikke svære hver for sig, men det tager tid at gøre dem rigtigt — og en halvfærdig opsætning giver falsk tryghed. Vil du have det sat op korrekt én gang, så det bare virker, klarer jeg hele hærdningen for dig: sikkerhedsplugin og WAF konfigureret, tofaktor og login-beskyttelse på plads, automatiske offsite-backups der er testet, og filsystem og roller strammet. Fast pris, aftalt på forhånd.

Læs også

Sikkerhedsplugins

Wordfence vs Solid Security vs MalCare: hvilket WordPress-sikkerhedsplugin er bedst i 2026?

Wordfence, Solid Security eller MalCare? En udviklers ærlige sammenligning af pris, scanning, firewall og dansk brugervenlighed — hvad de tre plugins gør godt, hvor de fejler, og hvilket du skal vælge til netop dit site.

Akut hjælp

Min WordPress-side er på Googles blokliste — sådan fjerner du advarslen

Viser Google en advarsel som 'Dette website kan skade din computer' eller 'Deceptive site ahead' foran dit WordPress? Sådan bekræfter du problemet i Search Console, fjerner malwaren først og sender en korrekt reconsideration request — så advarslen forsvinder og trafikken kommer tilbage.

Akut hjælp

WordPress hacket? Sådan rydder du op trin for trin (2026-guide)

Er dit WordPress hacket? Følg denne metodiske oprydningsguide: stop blødningen, tag backup, scan for malware, fjern bagdøre, rens databasen og få sitet rent og online igen — uden at gøre skaden værre.

Ring nuFå akut hjælp