Er du helt trygg på sikkerhetsrutinene til nettsiden din?

Sikkerheten til nettsiden hviler til syvende og sist på deg som bedriftseier. Webhotellet og byrået ditt tar seg av mye, men de kan ikke beskytte deg mot alt – spesielt ikke mot svake påloggingsrutiner og glemte oppdateringer. Den gode nyheten? Med noen få faste rutiner fjerner du de aller fleste angrepsflatene. Her er det som faktisk betyr noe i 2026.

Kort oppsummert:

• Bytt til passkeys der det er mulig, og slå på tofaktorautentisering overalt
• Bruk en passordbehandler – ikke gjenbruk passord, og ikke del hovedkontoen din
• Hold WordPress, temaer og plugins oppdatert, og slett alt du ikke bruker
• Ha backup som ligger et annet sted enn nettsiden – og test at den virker
• Bruk brannmur (WAF) og overvåking, så oppdager du problemer tidlig
• Ha en plan for hva du gjør hvis nettsiden blir kompromittert

Pålogging: passkeys og tofaktor er den nye standarden

For noen år siden handlet sikkerhetsråd mest om å lage lange, kompliserte passord. I 2026 er rådet enklere: La teknologien gjøre jobben for deg.

Passkeys – pålogging uten passord

Passkeys er en påloggingsmetode der du bekrefter identiteten din med fingeravtrykk, ansiktsgjenkjenning eller PIN-koden på din egen enhet – i stedet for å skrive inn et passord. Det finnes ikke noe passord å stjele, gjette eller fiske til seg, og passkeys fungerer kun på det ekte nettstedet. Phishing-sider får dermed ingenting å hente.

Stadig flere tjenester støtter passkeys, og WordPress kan settes opp med passkey-pålogging via utvidelser. Vårt råd: Aktiver passkeys på alle kontoer som tilbyr det – e-post, webhotell, domeneregistrar og selve nettsiden.

Tofaktorautentisering (2FA) på alt annet

Der du fortsatt må bruke passord, skal tofaktorautentisering være på. Det betyr at en angriper som har fått tak i passordet ditt, fortsatt ikke kommer inn uten den andre faktoren – typisk en kode fra en app på telefonen din.

Bruk en autentiseringsapp fremfor SMS-koder der du kan. SMS er bedre enn ingenting, men koder på SMS kan fanges opp eller lures ut av deg. Og husk: 2FA skal ikke bare på WordPress-innloggingen, men også på e-posten og webhotellkontoen. Den som kontrollerer e-posten din, kan tilbakestille alt annet.

Passordbehandler for resten

Du kommer ikke utenom passord helt ennå, og da er en passordbehandler det eneste fornuftige verktøyet. Den lager unike, sterke passord for hver tjeneste og husker dem for deg. Du trenger bare å huske ett hovedpassord – og det bør være en lang setning, ikke et ord med utropstegn bak.

Det viktigste passordbehandleren løser, er gjenbruk. Når samme passord brukes flere steder, er det nok at én tjeneste lekker før alle kontoene dine er i fare.

Hold kontroll på hvem som har tilgang

Når du jobber med utviklere, designere eller andre tredjeparter, skal de ha sin egen brukerkonto med riktig rolle – aldri din. Da kan du se hvem som har gjort hva, og du kan deaktivere tilgangen når samarbeidet er over. Gjør det til en rutine å gå gjennom brukerlisten i WordPress et par ganger i året og fjerne kontoer som ikke lenger trengs.

Hold WordPress, temaer og plugins oppdatert

De fleste vellykkede angrep mot WordPress-nettsider skjer ikke gjennom avanserte hackere, men gjennom kjente sårbarheter i utdaterte plugins og temaer. Når en sårbarhet blir offentlig kjent, begynner automatiserte verktøy å lete etter nettsider som ikke har oppdatert. Det er ikke et spørsmål om du blir forsøkt angrepet, men når.

Rutinen er enkel:

• Oppdater plugins og temaer fortløpende, helst ukentlig
• Hold selve WordPress-kjernen oppdatert – også de store versjonsoppgraderingene. Er du nysgjerrig på hva som er nytt, kan du lese om hvordan WordPress 7 kobler seg på AI
• Slå på automatiske oppdateringer for mindre sikkerhetsfikser
• Sjekk at nettsiden fungerer som den skal etter større oppdateringer

Har du verken tid eller lyst til å følge med på dette selv, er det nettopp denne jobben en driftsavtale for WordPress tar seg av: jevnlige oppdateringer, testing og overvåking, slik at nettsiden er sikret uten at du må tenke på det.

Rydd bort alt du ikke bruker

Hver plugin og hvert tema på nettsiden er en potensiell inngang. Deaktiverte utvidelser er ikke ufarlige – filene ligger fortsatt på serveren og kan utnyttes hvis de inneholder sårbarheter.

• Slett temaer og plugins du ikke bruker, ikke bare deaktiver dem
• Fjern gamle testinstallasjoner, kopier og glemte undermapper på webhotellet
• Velg plugins som vedlikeholdes aktivt – en plugin som ikke har fått oppdatering på lang tid, bør byttes ut

Færre bevegelige deler betyr færre ting som kan gå galt – og som bonus blir nettsiden ofte raskere også.

Backup: din viktigste forsikring

Uansett hvor godt du sikrer nettsiden, må du planlegge for at noe kan gå galt. En god backup er forskjellen mellom en irriterende ettermiddag og en katastrofe for bedriften.

Tre prinsipper for backup som faktisk redder deg:

• Automatisk og jevnlig: Daglig backup er et fornuftig minimum for de fleste bedriftsnettsider. Oppdaterer du innholdet ofte, eller driver du nettbutikk, bør det skje oftere.
• Lagret et annet sted: En backup som ligger på samme server som nettsiden, forsvinner sammen med nettsiden. Sørg for at minst én kopi lagres eksternt, for eksempel i en skytjeneste.
• Testet: En backup du aldri har prøvd å gjenopprette, er bare et håp. Test gjenoppretting med jevne mellomrom, så vet du at den virker den dagen du trenger den.

Sjekk også hvor lenge webhotellet ditt beholder sikkerhetskopier, og hvor langt tilbake du kan gå. Oppdager du et innbrudd først etter to uker, hjelper det lite med en backup som bare går tre dager tilbake.

Brannmur, overvåking og skjemabeskyttelse

Brannmur (WAF)

En webapplikasjonsbrannmur (WAF) filtrerer trafikken før den når nettsiden, og stopper kjente angrepsmønstre, innloggingsforsøk med stjålne passord og mye automatisert støy. Mange webhoteller og sikkerhetsplugins tilbyr dette, og en WAF på nettverksnivå hjelper også mot overbelastningsangrep – les mer i artikkelen vår om DDoS-angrep og hvordan du beskytter nettstedet ditt.

Overvåking

Det verste med et innbrudd er ofte ikke selve innbruddet, men at det går uker før noen oppdager det. Sett opp overvåking som varsler deg når noe er galt:

• Oppetidsovervåking som sier ifra hvis nettsiden går ned
• Skanning etter endrede filer og skadelig kode
• Varsling ved mislykkede innloggingsforsøk og nye administratorbrukere

Beskytt skjemaene dine

Kontaktskjemaer og kommentarfelt misbrukes av roboter til å sende spam – og sendes det nok søppel fra nettsiden din, risikerer du at e-posten din havner på svartelister. Bruk spambeskyttelse på alle skjemaer, gjerne en usynlig variant som ikke plager besøkende med bildegåter.

Hva gjør du hvis nettsiden blir kompromittert?

Selv med gode rutiner kan uhellet være ute. Da gjelder det å handle raskt og i riktig rekkefølge:

1. Begrens skaden: Sett nettsiden i vedlikeholdsmodus eller ta den midlertidig ned hvis den sprer skadelig innhold til besøkende.
2. Bytt alle passord og nøkler: WordPress-brukere, webhotell, FTP/SSH, database og e-post. Gå ut fra at alt kan være på avveie.
3. Gjenopprett fra en ren backup: Bruk en sikkerhetskopi fra før innbruddet. Derfor er det så viktig å ha kopier som går langt nok tilbake.
4. Finn og tett hullet: Gjenoppretter du uten å fikse årsaken – ofte en utdatert plugin eller en lekket konto – er du hacket igjen i løpet av kort tid. Oppdater alt, fjern ukjente brukere og skann filene.
5. Varsle dem det gjelder: Hvis personopplysninger kan være på avveie, har du etter personvernregelverket plikt til å vurdere varsling til Datatilsynet og eventuelt de berørte. Be om profesjonell hjelp hvis du er usikker.

Skriv gjerne ned denne rekkefølgen nå, mens alt er rolig. I en stressituasjon er det gull verdt å ha en plan å følge.

Gjør sikkerhet til en rutine, ikke et skippertak

Ingen nettside er 100 % sikker, og det svakeste leddet er som regel mennesker – ikke teknologi. Men forskjellen på en nettside som blir hacket og en som ikke blir det, handler sjelden om flaks. Det handler om rutiner som faktisk blir fulgt: passkeys og 2FA på alle kontoer, oppdateringer hver uke, testet backup og litt overvåking.

Sett av en time nå og gå gjennom listen øverst i artikkelen. Og hvis du heller vil bruke tiden på bedriften din enn på plugins og brannmurer, tar vi gjerne jobben gjennom en driftsavtale – hva det koster å drifte og vedlikeholde en nettside kan du forresten lese mer om i prisguiden vår for WordPress-nettsider i 2026.