WordPress plugin-sårbarheder – den største sikkerhedsrisiko du ikke tænker på

WPScan – databasen der tracker WordPress-sårbarheder – indeholder i 2026 over 50.000 registrerede sårbarheder. Størstedelen af dem er i plugins.

Det er ikke et uheld. Det er en strukturel konsekvens af, hvad WordPress er: et system der er designet til at udvides med kode skrevet af tredjeparter. Hvert plugin er potentielt kode skrevet af en fremmed, der kører med adgang til din database og din server.

Hvad er en plugin-sårbarhed?

En sårbarhed er en fejl i koden der kan udnyttes af en angriber. I WordPress-plugin kontekst er de mest almindelige:

SQL Injection: Et input-felt (f.eks. en søgefunktion eller kontaktformular) der ikke validerer brugerinput korrekt. En angriber kan sende specialtegn der fortolkes som SQL-kommandoer og dermed få direkte adgang til databasen – og alt indholdet i den.

Cross-Site Scripting (XSS): Et plugin der viser brugerinput på siden uden at sanitere det. En angriber kan injectere JavaScript der kører i besøgendes browsere – bruges til at stjæle sessioner eller omdirigere brugere.

Remote Code Execution: Den alvorligste type. En fejl der tillader en angriber at køre vilkårlig kode på serveren. Fuldt serveradgang.

Broken Access Control: Et plugin der ikke tjekker om en bruger har rettigheder til at gøre hvad de forsøger. Resulterer i at uautoriserede brugere kan tilgå admin-funktioner.

De mest angrebne WordPress-plugins

Ifølge WPScan-data er disse plugin-kategorier konsekvent overrepræsenterede i angreb:

• Formular-plugins (Contact Form 7, Gravity Forms, WPForms) – håndterer brugerinput, højt angrebspotentiale
• Side-builder plugins (Elementor, WPBakery, Divi) – kompleks kode, stor angrebsflade
• SEO-plugins (Yoast, RankMath) – udbredte og med adgang til hele databasen
• Webshop-plugins (WooCommerce) – håndterer betalingsdata, ekstremt attraktivt mål
• Fil-upload plugins – direkte sti til at uploade ondsindet kode til serveren

Det er præcis de plugins de fleste WordPress-sider bruger.

Tidsvinduet efter en sårbarhed offentliggøres

Når en ny sårbarhed opdages og offentliggøres i f.eks. WPScan eller CVE-databasen, sker følgende:

1. Sikkerhedsforskere eller angribere opdager fejlen
2. Sårbarhedsdetaljer offentliggøres (sommetider med proof-of-concept kode)
3. Plugin-udvikleren udgiver en patch – typisk inden for dage til uger
4. Site-ejere opdaterer – typisk inden for uger til måneder (hvis overhovedet)

I det tidsvindue er alle sider med det sårbare plugin åbne for automatiserede angreb. Bots scanner kontinuerligt nettet og udnytter kendte sårbarheder. Det er ikke et spørgsmål om din side er interessant nok til at blive angrebet – det er automatiseret og skalerer til millioner af sider.

Hvorfor plugin-opdateringer ikke er tilstrækkeligt

Det åbenlyse svar er: "Opdater bare dine plugins." Det er rigtigt råd, men løser ikke problemet fundamentalt:

1. Du kan ikke opdatere øjeblikkeligt. Opdateringer kan bryde eksisterende funktionalitet og kræver test før deployment på en live side.

2. Abandoned plugins opdateres ikke. Plugins der ikke vedligeholdes aktivt af deres udviklere modtager ingen patches, uanset hvor alvorlige sårbarhederne er. Mange populære plugins er reelt abandonware.

3. Zero-day sårbarheder eksisterer. Angreb der udnytter ukendte (og derfor urettede) sårbarheder. Ingen mængde opdatering beskytter mod dem.

4. Hvert nyt plugin øger risikoen. Du kan ikke reducere angrebsfladen ved at tilføje mere kode. Du kan kun tilføje mere kode.

Løsningen: fjern plugins helt

Hos skipwordpress.com bygger vi hjemmesider uden plugins. Overhovedet. Der er ingen plugin-kode at have sårbarheder i. Der er ingen database at injectere i. Der er ingen fil-upload endpoint at udnytte.

Det er ikke et sikkerhedssystem vi har tilføjet – det er fraværet af de ting der forårsager problemer.

En request kommer ind. Serveren læser en HTML-fil og sender den tilbage. Det er den komplette transaktion. Ekstern input rører aldrig noget der har betydning.

Selv hvis en angriber på en eller anden måde fik adgang til serveren, er der intet at stjæle. Indholdet er allerede offentligt synligt i browseren. Der er ingen brugerdatabase, ingen gemte kreditkortnumre, ingen kundedata.

Hvad koster en plugin-kompromittering?

For en typisk lokal virksomhedsside:

• Oprydning og rensning: 2.000–8.000 kr hos en sikkerhedsspecialist (ingen garanti for komplet oprydning)
• Omdømmeskade: Svær at kvantificere, men klienter der opdager at din side serverede malware til dem er ikke glade
• Google blacklist: Google kan markere din side som farlig. Fjernelse fra listen tager uger
• Datatab: Hvis angribere krypterede din database (ransomware), er løsesummen typisk 5.000–50.000 kr

For en psykologpraksis der arbejder med fortrolige klientoplysninger er konsekvenserne potentielt endnu alvorligere.

Hvornår er WordPress det rigtige valg?

WordPress er fortsat det rigtige valg for:

• Komplekse websites med mange brugertyper og avanceret indholdsflow
• E-handelsplatforme med hundreder af produkter (WooCommerce med professionel drift)
• Nyhedssider og medier der publicerer mange artikler dagligt og har brug for redaktørrettigheder

For en psykolog, tandlæge, advokat, revisor eller håndværker med 5 sider og et telefonnummer er svaret anderledes.

Ofte stillede spørgsmål

Er Wix og Squarespace sikrere end WordPress?
Ja, i praksis. De er lukkede platforme – du kan ikke installere vilkårlige plugins, og platformen håndterer sikkerhedsopdateringer. Angrebsfladen er væsentligt mindre. Men du er til gengæld helt afhængig af platformens sikkerhed og forretningsmodel.

Hvad med WordPress.com (ikke .org)?
WordPress.com (den hostede version) er sikrere end self-hosted WordPress, da Automattic håndterer kernesystemets sikkerhed. Men du er stadig potentielt sårbar via plugins, og du har langt mindre kontrol og fleksibilitet.

Kan man drifte WordPress sikkert?
Ja, men det kræver en professionel opsætning: managed hosting, WAF, automatiske opdateringer, regelmæssig scanning og kompetente folk bag. Det koster og kræver opmærksomhed. For en lokal virksomhed der bare vil have en hjemmeside er det unødvendig kompleksitet.