Skip to main content
WordPress står bak 90 % av alle hackede CMS-er

WordPress-sikkerhet

Passordet er «Sommer2024», og pluginene ble sist oppdatert i fjor sommer. Slik ser de fleste hackede WordPress-sider ut før det smeller. WordPress-sikkerhet ligger i infrastrukturen — der bygger vi den inn.

WordPress hacket?
Du er langt fra alene

WordPress dominerer statistikken over hackede CMS-er, men plattformen selv fortjener sjelden skylden. Synderen er nesten alltid den samme: plugins ingen har oppdatert, passord som har lekket før og en brannmur som aldri ble satt opp. WordPress-sikkerhet er et vedlikeholdsproblem, ikke et plattformproblem.

Oppdragene vi rykker ut på, ligner på hverandre: byrået leverte nettsiden i 2024, og siden har ingen logget inn for å oppdatere noe som helst. Tre av pluginene har kjente CVE-er, og kontaktskjemaet leverer til en Gmail-konto ingen lenger sjekker. Og innloggingen står rett ut mot internett uten tofaktor. Resten kan du tenke deg.

Innbruddet merkes sjelden med en gang. Ofte kommer varselet fra Google, i form av en rød advarsel i søkeresultatene, og da har angriperen gjerne hatt tilgangen sin i ukevis allerede.

90%

Andel WordPress blant hackede CMS-er

847

Angrep blokkert av WAF-en siste 30 dager

<30min

Garantert respons ved kritiske hendelser

24/7

Overvåkning, året rundt

WordPress-sikkerhet i alle lag

En sikkerhets-plugin dekker jo bare applikasjonen den kjører inni. Vi legger heller beskyttelsen i lagene rundt, fra containeren nettsiden kjører i og helt ut til nettverkskanten der trafikken treffer først. Innebygd fra første deploy.
01 / 04

Web Application Firewall

WAF-en står foran serveren som et eget infrastrukturlag. SQL injection og XSS stoppes der, lenge før WordPress ser forespørselen.
02 / 04

Tofaktorautentisering

Alle med admin-tilgang må bruke 2FA. Ingen unntak, heller ikke daglig leder. Passord alene taper mot roboter som har all verdens tid.
03 / 04

Isolerte containere

Nettsiden din får sin egen container og sin egen IP, uten delt server i bunnen. Innbrudd hos andre kunder kan dermed ikke smitte over.
04 / 04

Automatiserte sikkerhetsoppdateringer

Både WordPress selv og pluginene oppdateres automatisk via WP-CLI. Hver oppdatering innom staging før den slipper til i produksjon. Ingen huskelapper, ingen glemte vedlikeholdsvinduer.

Oppdateringer testes
før de slippes løs

Fremdeles er en glemt plugin den vanligste grunnen til at WordPress-sider blir hacket. Nummer to på lista er mer ironisk: oppdateringer som installeres i god tro og river ned noe helt annet på siden.

Pipelinen vår tar begge deler. Hver oppdatering kjøres først i staging, der kontaktskjemaer og betalingsflyt verifiseres automatisk og visuell regresjonstesting fanger layoutfeil før noen kunde rekker å se dem. Først når alt er grønt, deployes det til produksjon. Ingen overraskelser fredag ettermiddag.

Angrepene WAF-en stopper hver dag

Loggene våre viser lite kreativitet fra angripersiden. Det samme repertoaret går igjen, dag etter dag:

  • SQL injection gjennom søkefelt, kommentarfelt og åpne URL-parametere
  • Brute force mot wp-login.php og xmlrpc.php, ofte fra botnett
  • XSS-forsøk via skjemafelt som mangler validering
  • File inclusion-forsøk som henter skadelig kode fra eksterne servere
  • Direkteoppslag mot wp-config.php og andre filer som aldri skulle vært offentlige
  • Trafikkflom (DDoS) med mål om å legge nettsiden flat

Backup
du tør å stole på

«Daglig backup» står i alle hostingavtaler. Knapt noen har sett sin egen gjenoppretting i praksis. Den dagen databasen ligger kryptert av løsepengevirus, hjelper det lite med en backup ingen noensinne har prøvd å hente tilbake.

Vi snapshotter derfor hele infrastrukturen hver natt — serveroppsett og filer like mye som databasen. Alt AES-256-kryptert. Kopiene lagres geografisk redundant innenfor EU, og vi kjører gjenopprettingsøvelser med jevne mellomrom slik at rutinen sitter den dagen det faktisk haster.

Å rulle tilbake tar under ti minutter. Ikke et døgn med support-ping-pong.

Dette overvåker vi døgnet rundt

01 / 06

WordPress-kjerne

Hver installasjon sjekkes mot siste offisielle utgivelse. Kritiske sikkerhetspatcher utløser varsel innen timer.
02 / 06

Plugin-sårbarheter

Pluginlisten sjekkes mot WPScan-databasen hver eneste dag. Kjente CVE-er flagges og patches med en gang.
03 / 06

Filintegritet

Kjernefilene hashverifiseres løpende. Endres en fil uten at noen har deployet, går alarmen av seg selv.
04 / 06

SSL og sikkerhetsheadere

Sertifikatgyldighet, HSTS, CSP og X-Frame-Options sjekkes løpende. Et utløpt sertifikat skal aldri rekke å bli synlig for besøkende.
05 / 06

Brukerkontoer

Inaktive kontoer flagges, svake passord avvises. Hver eneste admin-pålogging loggføres med IP og tidspunkt.
06 / 06

Malware-skanning

Alle filer skannes mot kjente malware-signaturer. Treff isoleres umiddelbart, før koden rekker å spre seg.

Hacket likevel?
Vi reagerer i løpet av minutter

Ved et innbrudd jobber klokka mot deg. Google svartelister gjerne domener i løpet av timer, og hvert minutt med skadelig kode på siden koster både kunder og tillit.

Derfor varsles vaktteamet vårt automatisk ved mistenkelig aktivitet, og ved kritiske hendelser er typisk responstid under 30 minutter. Trusselen isoleres først. Deretter gjenoppretter vi fra siste rene backup og sporer oss frem til hullet som ble brukt, slik at det kan tettes for godt.

Bransjestandarden? 24 timers responstid hos de fleste hostingleverandører. Noen lover ikke noe som helst — ikke engang på papiret.

Sikkerhets-plugin mot infrastruktur

Gratis plugin
Plassering av brannmur
Applikasjonsnivå
Håndtering av oppdateringer
Manuelle
Aktiv overvåkning
Begrenset
Backup
Plugin-avhengig
DDoS-håndtering
Nei
Responstid ved hendelse
Ingen SLA
Isolasjon per nettside
Nei (delt server)
Tofaktor (2FA)
Valgfritt
PXL sikkerhet
Anbefalt for bedrifter
Plassering av brannmur
Infrastrukturnivå (WAF)
Håndtering av oppdateringer
Automatisert med testing
Aktiv overvåkning
24/7 proaktiv
Backup
Infrastruktur-snapshot
DDoS-håndtering
Nettverksnivå
Responstid ved hendelse
<30 min garantert
Isolasjon per nettside
Ja (dedikert)
Tofaktor (2FA)
Påkrevd for admin

Norske sikkerhetskrav og GDPR

01 / 04

Datalagring i EU

Alle data blir liggende i europeiske datasentre, og ingenting flyttes til tredjeland uten databehandleravtale i bunnen.
02 / 04

Logging og sporbarhet

Hver admin-handling loggføres med bruker og IP, stemplet med tidspunkt. Akkurat sporene du trenger den dagen Datatilsynet ringer.
03 / 04

Kryptert kommunikasjon

HTTPS over hele linja, med sertifikater som fornyer seg selv via Let's Encrypt. HTTP/2 og HTTP/3 står på fra start.
04 / 04

Tilgangsstyring

Rollebasert tilgang etter minste privilegium. En redaktør kan publisere, men aldri installere plugins.

Tegnene på at nettsiden er sårbar

Tell etter — og vær ærlig:

  • Pluginlisten har ikke blitt rørt på over tre måneder
  • Admin-kontoene har aldri hatt tofaktorautentisering
  • Ingen vet lenger hvem som faktisk har tilgang til wp-admin
  • Hostingleverandøren nevner verken WAF eller DDoS-beskyttelse i avtalen
  • Backupen har aldri vært gjenopprettet på ordentlig
  • Forrige sikkerhetshendelse ble oppdaget av Google før dere merket noe selv

Tre eller flere treff? Da bør noen kvalifiserte ta en titt, helst denne uka. Vedlikeholdsavtalen vår dekker hele listen.

WordPress-sikkerhet på egen hånd

  1. 01

    Installer sikkerhetsoppdateringer for WordPress selv, temaer og plugins samme dag som de slippes

  2. 02

    Skru på tofaktorautentisering for alle med admin-tilgang

  3. 03

    Slett plugins og temaer som ikke er i bruk — deaktivert kode er fortsatt angrepsflate

  4. 04

    Beskytt wp-login.php mot brute force, for eksempel med rate limiting

  5. 05

    Deaktiver XML-RPC med mindre noe faktisk bruker det — det gjør sjelden noe

  6. 06

    Sett en WAF foran serveren i stedet for å stole på en plugin alene

  7. 07

    Gjenopprett en backup på ordentlig minst én gang, så du vet at rutinen holder

  8. 08

    Overvåk filintegritet, slik at endringer ingen har bestilt fanges opp automatisk

Ofte stilte spørsmål

Hvordan står det egentlig til med WordPress-sikkerheten?

Send oss adressen, så går vi gjennom nettsiden og gir dere en konkret liste over hva som bør tettes. Uforpliktende.