WordPress-sikkerhed i 2026: De 10 angreb du skal kende
WordPress driver 43% af alle hjemmesider. Det gør det til verdens mest populære CMS — og verdens største mål for hackere.
Men angrebene i 2026 ser anderledes ud end for 2-3 år siden. Brute force mod wp-login er stadig en ting, men de virkelig farlige angreb er blevet mere sofistikerede. Supply chain attacks via kompromitterede plugins. AI-genererede phishing-mails der ligner officielle WordPress-notifikationer. Formjacking der stjæler kreditkort-data direkte fra din checkout.
Denne guide gennemgår de 10 mest relevante angrebstyper i 2026 — og hvad du konkret gør for at beskytte dig.
Dette er ikke en begynderguide
Denne guide forudsætter at du allerede har et sikkerhedsplugin installeret og holder WordPress opdateret. Hvis du mangler det basale, start med De 8 bedste sikkerhedsplugins til WordPress.
Angreb 1: Supply chain attacks via plugins
Hvad det er
I stedet for at angribe din side direkte, kompromitterer hackere et populært plugin. Når du (eller dit auto-update-system) opdaterer pluginet, installerer du selv malwaren.
I 2024-2025 så vi flere store tilfælde:
- Social Warfare (60.000+ installationer) — ondsindet kode injiceret i en opdatering
- AccessPress Themes (360.000+ sider) — backdoor i 40+ temaer og plugins
- Flere premium plugins solgt til nye ejere der tilføjede tracking og malware
Hvorfor det er farligt
Du gør alt rigtigt — holder opdateret, har stærke passwords, bruger 2FA — og bliver alligevel kompromitteret, fordi du stoler på en tredjepart.
Sådan beskytter du dig
- Begræns antal plugins — hvert plugin er en potentiel angrebsvektor. 20 plugins = 20 risici
- Tjek plugin-ejerskab — har pluginet skiftet ejer for nyligt? Vær skeptisk
- Brug Patchstack — overvåger kendte sårbarheder og blokerer angreb før du opdaterer
- Staged updates — test opdateringer på staging før produktion
- Aktivér WordPress auto-update kun for core — plugins bør opdateres manuelt efter tjek
Patchstack er gratis
Patchstack tilbyder en gratis plan der overvåger dine plugins og advarer om kendte sårbarheder. Det er den vigtigste gratis sikkerhedsforanstaltning du kan tage i 2026.
Angreb 2: AI-drevet credential stuffing
Hvad det er
Klassisk brute force prøver tilfældige passwords. AI-drevet credential stuffing er smartere: Det bruger lækkede passwords fra andre sites, kombinerer dem med AI der forudsiger password-variationer.
Eksempel: Hvis dit password var Sommerferie2024! på LinkedIn (som blev lækket), gætter AI'en automatisk Sommerferie2025!, Sommerferie2026!, S0mmerferie2024! osv.
Sådan beskytter du dig
- Unikt password per site — brug en password manager (Bitwarden, 1Password)
- 2FA er obligatorisk — ikke valgfrit, ikke bare for admin, men for alle brugerroller
- Begræns login-forsøg — max 5 forsøg, derefter lockout i 15+ minutter
- Skjul wp-login — flyt login-URL med WPS Hide Login eller lignende
- Passkeys — WordPress 6.8 understøtter passkeys nativt. Brug det
Angreb 3: Formjacking
Hvad det er
Ondsindet JavaScript injiceres i din checkout eller kontaktformular. Koden opfanger data (kreditkort, personlige oplysninger) og sender det til angriberens server — uden at brugeren eller du opdager det.
Hvorfor det er farligt
- Brugeren gennemfører sit køb normalt — ingen fejl, ingen advarsel
- Du opdager det typisk først når kunder klager over svindel
- GDPR-bøder for databrud kan være massive
Sådan beskytter du dig
- Content Security Policy (CSP) — begræns hvilke scripts der må køre på din side
- Subresource Integrity (SRI) — verificér at eksterne scripts ikke er ændret
- Overvåg filaændringer — Wordfence og Sucuri kan advare om ændrede filer
- Brug Stripe/hosted checkout — lad betalingsudbyderen håndtere kortdata, så de aldrig rører din server
# Eksempel CSP-header i nginxadd_header Content-Security-Policy "default-src 'self'; script-src 'self' https://js.stripe.com; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; connect-src 'self' https://api.stripe.com;" always;Angreb 4: XML-RPC-misbrug
Hvad det er
XML-RPC (xmlrpc.php) er en gammel API i WordPress der tillader remote publicering. Problemet: Den tillader også mass-authentication — en angriber kan teste hundredvis af passwords i ét enkelt request.
Sådan beskytter du dig
Deaktivér XML-RPC fuldstændigt, medmindre du specifikt bruger det:
// Deaktivér XML-RPCadd_filter('xmlrpc_enabled', '__return_false'); // Eller bloker på serverniveau (nginx)location = /xmlrpc.php { deny all; return 403;}Angreb 5: REST API information disclosure
Hvad det er
WordPress REST API afslører som standard brugernavne via /wp-json/wp/v2/users. En angriber kan hente alle brugernavne og derefter fokusere brute force på kendte konti.
Sådan beskytter du dig
// Begræns bruger-endpoint til autentificerede brugereadd_filter('rest_endpoints', function($endpoints) { if (!is_user_logged_in()) { unset($endpoints['/wp/v2/users']); unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']); } return $endpoints;});Angreb 6: Privilege escalation via plugin-sårbarheder
Hvad det er
En sårbarhed i et plugin lader en angriber opgradere en Subscriber-konto til Administrator. I 2025 havde flere store plugins denne type sårbarhed (Ultimate Member, User Role Editor).
Sådan beskytter du dig
- Fjern ubrugte brugerkonti — særligt gamle Subscriber/Contributor-konti
- Audit brugerroller regelmæssigt — har alle brugere den mindst nødvendige rolle?
- Brug capability-baseret adgangskontrol — ikke bare rollekontrol
- Hold plugins opdateret — og følg Patchstack/WPScan for advisories
Angreb 7: Malicious redirects via .htaccess
Hvad det er
Angribere modificerer .htaccess (Apache) eller injecter redirect-kode i wp-config.php for at sende dine besøgende til spam/phishing-sider. Ofte kun på mobile enheder eller fra specifikke referrers (Google) — så du som ejer ikke opdager det.
Sådan beskytter du dig
- Filintegritets-overvågning — Wordfence/Sucuri advarer om ændringer i .htaccess og wp-config.php
- Korrekte filrettigheder —
.htaccess: 644,wp-config.php: 440 eller 400 - Regelmæssig malware-scanning — mindst ugentligt
- Tjek selv fra mobil — besøg din side via Google på en mobiltelefon regelmæssigt
Angreb 8: Brute force mod wp-cron.php
Hvad det er
wp-cron.php er offentligt tilgængeligt og eksekveres ved hvert sidebesøg. Angribere kan overbelaste det med requests og forårsage DDoS-lignende effekter.
Sådan beskytter du dig
// Deaktivér wp-cron via browser (wp-config.php)define('DISABLE_WP_CRON', true);Og brug et rigtigt cron job i stedet:
# Server crontab — kør hvert 5. minut*/5 * * * * curl -s https://dinside.dk/wp-cron.php?doing_wp_cron > /dev/null 2>&1Angreb 9: SEO spam injection
Hvad det er
Hackere injecter skjulte links og sider i din WordPress-database — typisk til casino, pharma eller voksensider. Siderne er usynlige for dig men indekseres af Google, og din side straffes for spam.
Tegn du skal kigge efter
- Google Search Console viser ukendte sider i indekset
- Mærkelige japanske/kinesiske tegn i søgeresultater
- Pludseligt fald i organisk trafik
- Ukendte brugere i WordPress-admin
Sådan beskytter du dig
- Overvåg Google Search Console — tjek "Pages" og "Manual actions" ugentligt
- Database-scanning — Wordfence scanner for injiceret indhold i posts og options
- Begræns brugeroprettelse — deaktivér åben registrering: Settings → General → unchecked
Angreb 10: Dependency confusion i build-pipelines
Hvad det er
Hvis du bruger npm/Composer i dit WordPress-workflow, kan angribere publicere pakker med identiske navne til dit private registry. Build-systemet henter den ondsindede pakke i stedet for din egen.
Sådan beskytter du dig
- Lås dine dependencies — brug
composer.lockogpackage-lock.json - Brug scope/namespace —
@yourcompany/package-nameforhindrer confusion - Pin versioner — undgå
^og~i produktion - Audit regelmæssigt —
npm auditogcomposer audit
Den prioriterede sikkerhedstjekliste
Password manager + 2FA for alle brugere
Det absolut vigtigste. Et svagt password trumfer al anden sikkerhed. Brug Bitwarden (gratis) og aktivér 2FA for alle WordPress-brugere.
Installer Patchstack (gratis)
Overvåger alle dine plugins for kendte sårbarheder og advarer dig før det er for sent.
Deaktivér XML-RPC og begræns REST API
Fjern to angrebsflader med få linjer kode.
Content Security Policy
Begræns hvilke scripts der må køre. Forhindrer formjacking og XSS.
Filrettigheder og filovervågning
Korrekte permissions + alerts ved ændringer i kritiske filer.
Staged updates
Test alle opdateringer på staging. Hav en rollback-plan.
Backup 3-2-1 reglen
3 kopier, 2 medier, 1 offsite. Test restore regelmæssigt.
Konklusion
WordPress-sikkerhed i 2026 handler ikke om paranoia — det handler om at forstå at trusselsbilledet har ændret sig. Angriberne bruger AI, automatisering og supply chain-angreb der er fundamentalt anderledes end klassisk brute force.
Den gode nyhed: De fleste angreb kan forhindres med relativt simple foranstaltninger. 2FA, Patchstack, CSP og sund plugin-hygiejne dækker 95% af truslerne.
Den dårlige nyhed: De fleste WordPress-sites har stadig ingen af delene.
Brug for en sikkerhedsaudit?
Jeg gennemgår din WordPress-side for sårbarheder og implementerer de nødvendige sikkerhedsforanstaltninger. Book en gratis afklaring og lad os sikre din side.
