Min WordPress-side er blevet hacket – hvad gør du nu?

En psykologpraksis i Aarhus opdagede en dag at deres hjemmeside serverede pornografisk indhold til deres klienter. Ikke i stedet for den normale side – ved siden af den. 125.000 skjulte links injiceret direkte ind i siden af en automatiseret bot, der udnyttede et utidssvarende plugin.

De vidste det ikke. Ingen havde fortalt dem det. Klienter så det. Google indexerede det.

Det er ikke en usædvanlig historie.

Hvorfor WordPress-sider bliver hacket

WordPress driver 43% af internettet. Det gør det til det mest attraktive mål for automatiserede angreb. Bots scanner kontinuerligt nettet for kendte sårbarheder i plugins, temaer og ældre PHP-versioner.

De tre mest almindelige angrebsvektorer:

1. Forældede plugins
Et plugin med en uoprettet sårbarhed fra 2019 er stadig et åbent vindue i 2026. De fleste WordPress-site-ejere opdaterer sjældent – og mange plugins bliver aldrig opdateret af deres udviklere overhovedet.

2. wp-admin brute force
Alle WordPress-sider har en login-side på /wp-admin. Bots tester systematisk brugernavn/adgangskode kombinationer tusindvis af gange i minuttet. Hvis du bruger "admin" som brugernavn og en simpel adgangskode, er det et spørgsmål om hvornår, ikke om.

3. SQL injection via formularer
WordPress-sider er bygget ovenpå en MySQL-database. Formularer der ikke er korrekt sikret giver angribere direkte adgang til at manipulere databasen – og dermed alt indholdet på siden.

Hvad du skal gøre nu

Hvis din side allerede er hacket:

1. Tag siden offline midlertidigt – stop den videre spredning
2. Kontakt dit hostingfirma – de har ofte backup-løsninger og kan hjælpe med at identificere angrebet
3. Scan med Wordfence eller Sucuri – to plugins der kan hjælpe med at identificere ondsindet kode
4. Skift alle adgangskoder – WordPress-admin, FTP, database, hosting-panel
5. Opdater alt – WordPress core, alle plugins, alle temaer
6. Geninstaller fra backup – hvis du har en ren backup, er det den hurtigste vej frem

Det tager typisk et par dage og koster penge. Og det løser ikke det grundlæggende problem: at WordPress i sin natur har en stor angrebsflade.

Det egentlige problem: kompleksitet er sårbarhed

Hver gang du installerer et plugin, tilføjer du kode skrevet af en fremmed, der kører på din server med adgang til din database. Hvert plugin er et potentielt indgangspunkt. En gennemsnitlig WordPress-side har 20-30 aktive plugins.

Det er ikke en kritik af WordPress specifikt – det er en konsekvens af, hvad WordPress forsøger at gøre. Det er et fleksibelt system der kan alt. Men de fleste lokale virksomheder har brug for 5 sider med tekst og et telefonnummer. Det kræver ikke et system der kan alt.

Alternativet: ingen angrebsflade

Hos skipwordpress.com bygger vi hjemmesider uden database, uden plugins, uden PHP-runtime og uden login-side. Der er simpelthen ikke de indgange som WordPress-sider har.

Det er ikke et sikkerhedssystem vi har tilføjet. Det er en naturlig konsekvens af at bruge en simpel løsning til et simpelt problem.

Selv i et worst case scenarie – hvis nogen på en eller anden måde fik adgang til serveren – er løsningen git push, og siden er gendannet inden for minutter. Ingen data er kompromitteret, for der er ingen data at kompromittere.

Ofte stillede spørgsmål

Kan min WordPress-side sikres ordentligt?
Ja, men det kræver aktiv vedligeholdelse: regelmæssige opdateringer, stærke adgangskoder, en WAF (web application firewall), begrænset login-forsøg, SFTP i stedet for FTP og løbende scanning. Det er muligt, men det er arbejde – og de fleste site-ejere har ikke ressourcerne til at gøre det korrekt.

Hvad koster det at rense en hacket WordPress-side?
Typisk 1.500–5.000 kr hos en professionel, afhængigt af skadesomfanget. Og der er ingen garanti for at alt ondsindet kode er fundet og fjernet.

Hvad er det billigste alternativ til WordPress for en lokal virksomhed?
En simpel server-renderet hjemmeside uden CMS, database eller plugins. Fra 500 kr/måned hos skipwordpress.com, inklusiv hosting og alle ændringer samme dag.