WordPress hacket?
Du er langt fra alene
WordPress dominerer statistikken over hackede CMS-er, men plattformen selv fortjener sjelden skylden. Synderen er nesten alltid den samme: plugins ingen har oppdatert, passord som har lekket før og en brannmur som aldri ble satt opp. WordPress-sikkerhet er et vedlikeholdsproblem, ikke et plattformproblem.
Oppdragene vi rykker ut på, ligner på hverandre: byrået leverte nettsiden i 2024, og siden har ingen logget inn for å oppdatere noe som helst. Tre av pluginene har kjente CVE-er, og kontaktskjemaet leverer til en Gmail-konto ingen lenger sjekker. Og innloggingen står rett ut mot internett uten tofaktor. Resten kan du tenke deg.
Innbruddet merkes sjelden med en gang. Ofte kommer varselet fra Google, i form av en rød advarsel i søkeresultatene, og da har angriperen gjerne hatt tilgangen sin i ukevis allerede.
Andel WordPress blant hackede CMS-er
Angrep blokkert av WAF-en siste 30 dager
Garantert respons ved kritiske hendelser
Overvåkning, året rundt
WordPress-sikkerhet i alle lag
Web Application Firewall
Tofaktorautentisering
Isolerte containere
Automatiserte sikkerhetsoppdateringer
Oppdateringer testes
før de slippes løs
Fremdeles er en glemt plugin den vanligste grunnen til at WordPress-sider blir hacket. Nummer to på lista er mer ironisk: oppdateringer som installeres i god tro og river ned noe helt annet på siden.
Pipelinen vår tar begge deler. Hver oppdatering kjøres først i staging, der kontaktskjemaer og betalingsflyt verifiseres automatisk og visuell regresjonstesting fanger layoutfeil før noen kunde rekker å se dem. Først når alt er grønt, deployes det til produksjon. Ingen overraskelser fredag ettermiddag.
Angrepene WAF-en stopper hver dag
Loggene våre viser lite kreativitet fra angripersiden. Det samme repertoaret går igjen, dag etter dag:
- SQL injection gjennom søkefelt, kommentarfelt og åpne URL-parametere
- Brute force mot wp-login.php og xmlrpc.php, ofte fra botnett
- XSS-forsøk via skjemafelt som mangler validering
- File inclusion-forsøk som henter skadelig kode fra eksterne servere
- Direkteoppslag mot wp-config.php og andre filer som aldri skulle vært offentlige
- Trafikkflom (DDoS) med mål om å legge nettsiden flat
Backup
du tør å stole på
«Daglig backup» står i alle hostingavtaler. Knapt noen har sett sin egen gjenoppretting i praksis. Den dagen databasen ligger kryptert av løsepengevirus, hjelper det lite med en backup ingen noensinne har prøvd å hente tilbake.
Vi snapshotter derfor hele infrastrukturen hver natt — serveroppsett og filer like mye som databasen. Alt AES-256-kryptert. Kopiene lagres geografisk redundant innenfor EU, og vi kjører gjenopprettingsøvelser med jevne mellomrom slik at rutinen sitter den dagen det faktisk haster.
Å rulle tilbake tar under ti minutter. Ikke et døgn med support-ping-pong.
Dette overvåker vi døgnet rundt
WordPress-kjerne
Plugin-sårbarheter
Filintegritet
SSL og sikkerhetsheadere
Brukerkontoer
Malware-skanning
Hacket likevel?
Vi reagerer i løpet av minutter
Ved et innbrudd jobber klokka mot deg. Google svartelister gjerne domener i løpet av timer, og hvert minutt med skadelig kode på siden koster både kunder og tillit.
Derfor varsles vaktteamet vårt automatisk ved mistenkelig aktivitet, og ved kritiske hendelser er typisk responstid under 30 minutter. Trusselen isoleres først. Deretter gjenoppretter vi fra siste rene backup og sporer oss frem til hullet som ble brukt, slik at det kan tettes for godt.
Bransjestandarden? 24 timers responstid hos de fleste hostingleverandører. Noen lover ikke noe som helst — ikke engang på papiret.
Sikkerhets-plugin mot infrastruktur
Norske sikkerhetskrav og GDPR
Datalagring i EU
Logging og sporbarhet
Kryptert kommunikasjon
Tilgangsstyring
Tegnene på at nettsiden er sårbar
Tell etter — og vær ærlig:
- Pluginlisten har ikke blitt rørt på over tre måneder
- Admin-kontoene har aldri hatt tofaktorautentisering
- Ingen vet lenger hvem som faktisk har tilgang til wp-admin
- Hostingleverandøren nevner verken WAF eller DDoS-beskyttelse i avtalen
- Backupen har aldri vært gjenopprettet på ordentlig
- Forrige sikkerhetshendelse ble oppdaget av Google før dere merket noe selv
Tre eller flere treff? Da bør noen kvalifiserte ta en titt, helst denne uka. Vedlikeholdsavtalen vår dekker hele listen.
WordPress-sikkerhet på egen hånd
- 01
Installer sikkerhetsoppdateringer for WordPress selv, temaer og plugins samme dag som de slippes
- 02
Skru på tofaktorautentisering for alle med admin-tilgang
- 03
Slett plugins og temaer som ikke er i bruk — deaktivert kode er fortsatt angrepsflate
- 04
Beskytt wp-login.php mot brute force, for eksempel med rate limiting
- 05
Deaktiver XML-RPC med mindre noe faktisk bruker det — det gjør sjelden noe
- 06
Sett en WAF foran serveren i stedet for å stole på en plugin alene
- 07
Gjenopprett en backup på ordentlig minst én gang, så du vet at rutinen holder
- 08
Overvåk filintegritet, slik at endringer ingen har bestilt fanges opp automatisk