Hjemmeside sikkerhed 2026 – Beskyt din side mod hackere
Hvert år bliver tusindvis af danske hjemmesider hacket — oftest fordi grundlæggende sikkerhedsforanstaltninger ikke er på plads. Denne guide giver dig en komplet tjekliste til at beskytte din side, uanset om du kører WordPress, Joomla eller andet CMS.
Hurtig sikkerhedstjek — gør dette NU
Disse fem ting tager under 30 minutter og lukker de mest kritiske huller:
- Aktiver SSL/HTTPS (gratis via Let's Encrypt hos din hosting)
- Opdater dit CMS, alle plugins og themes til nyeste version
- Skift admin-password til min. 16 tegn (brug password manager)
- Aktiver to-faktor-autentificering (2FA) på alle admin-konti
- Tjek at automatisk backup kører dagligt hos din hosting
1. SSL/HTTPS — grundlaget for sikkerhed
SSL (Secure Sockets Layer) krypterer al trafik mellem besøgendes browser og din server. Uden SSL sendes data — inkl. passwords og kreditkortoplysninger — i klartekst, som alle på netværket kan aflæse.
❌ Uden SSL (HTTP)
- • "Ikke sikker" advarsel i browseren
- • Data sendes ukrypteret
- • Google straffer i søgeresultater
- • Brugere forlader sitet
Med SSL (HTTPS)
- • Hængelås-ikon i browseren
- • Al data krypteres (TLS 1.3)
- • SEO-fordel i Google
- • Tillid fra besøgende
Sådan aktiverer du SSL: De fleste hosting-udbydere (Simply.com, one.com, Curanet) tilbyder gratis Let's Encrypt SSL med ét klik. Gå til dit hosting-panel, find SSL/TLS, og aktiver. Herefter skal du redirect HTTP til HTTPS — enten via .htaccess eller dit CMS. Læs mere i vores SSL-guide.
2. Stærke passwords og login-sikkerhed
Svage passwords er den hyppigste årsag til hackede hjemmesider. Bots tester automatisk tusindvis af passwords pr. sekund mod din login-side (brute force).
Brug en password manager
Bitwarden (gratis), 1Password eller LastPass genererer og gemmer unikke passwords. Hvert login skal have sit eget password på min. 16 tegn med tal, tegn og bogstaver.
Aktiver to-faktor-autentificering (2FA)
2FA kræver en kode fra din telefon ud over dit password. Brug Google Authenticator, Authy eller en hardware-nøgle (YubiKey). WordPress: installer "Two Factor" eller "WP 2FA" plugin. Joomla: indbygget fra Joomla 4.
Begræns login-forsøg
Installér en plugin der blokerer IP-adresser efter 3-5 fejlede login-forsøg. WordPress: "Limit Login Attempts Reloaded" (gratis). Det stopper brute force-angreb effektivt.
Flyt eller skjul login-URL
Standard WordPress login er /wp-admin — bots ved det. Brug "WPS Hide Login" til at ændre URL til noget unikt (fx /mit-hemmelige-login). Det reducerer brute force-forsøg med 99%.
Undgå "admin" som brugernavn
Opret en ny admin-bruger med et unikt navn og slet standardbrugeren "admin". Bots prøver altid "admin" først.
3. Hold alt opdateret
Forældede CMS-versioner, plugins og themes er den primære angrebsvektor for hackere. Når en sårbarhed opdages og patches, offentliggøres detaljerne — og hackere begynder straks at scanne efter sites der ikke har opdateret.
| Komponent | Opdatér | Automatisk? |
|---|---|---|
| CMS (WordPress/Joomla) | Inden 48 timer efter release | Ja (minor releases i WP) |
| Plugins/extensions | Inden 24 timer for security patches | Kan aktiveres i WP |
| Themes/templates | Ved hver opdatering | Kan aktiveres i WP |
| PHP-version | Ved major releases (tjek kompatibilitet) | Via hosting-panel |
| Server-software | Håndteres af hosting-udbyder | Ja (managed hosting) |
Pro-tip: Fjern plugins og themes du ikke bruger — ikke bare deaktiver dem. Inaktive plugins kan stadig udnyttes, fordi filerne stadig er tilgængelige på serveren.
4. Backup — din livsforsikring
Backup redder dig, når alt andet fejler. Uden backup er en hacket eller nedstyrtet side potentielt tabt for altid. Her er hvad du skal sikre:
✅ God backup-praksis
- • Daglig automatisk backup
- • Backup af BÅDE filer og database
- • Opbevaring OFF-SITE (ikke kun på hosting)
- • Minimum 30 dages historik
- • Test restore mindst kvartalsvist
- • Backup FØR opdateringer
❌ Utilstrækkelig backup
- • Kun hosting-udbyderens backup (kan fejle)
- • Kun filer, ikke database
- • Kun 7 dages historik
- • Aldrig testet restore
- • Manuel backup "når jeg husker det"
- • Backup på samme server som sitet
Læs vores komplette backup-strategi guide for detaljeret opsætning.
5. Firewall og malware-beskyttelse
En web application firewall (WAF) filtrerer ondsindet trafik før den når din server. Det stopper SQL injection, XSS-angreb og kendte exploit-forsøg automatisk.
🏆 Cloudflare (gratis WAF)
Cloudflare tilbyder gratis DDoS-beskyttelse og basis-WAF. Proxied DNS (orange sky) aktiverer automatisk deres firewall. Pro-planen ($20/md) giver avancerede WAF-regler og bot management.
🔒 Sucuri (betalt WAF + malware cleanup)
Sucuri tilbyder WAF, malware-scanning og garanteret malware-fjernelse ved hack. Priser fra ca. $200/år. Ideel til forretningskritiske sites. Inkluderer CDN og performance-optimering.
🛡️ Wordfence (WordPress-specifik)
Wordfence er det mest populære WordPress-sikkerhedsplugin med firewall, malware-scanner og login-sikkerhed. Gratis version er god; Premium ($119/år) giver real-time firewall-regler og premium malware-signaturer.
6. Vælg sikker hosting
Din hosting-udbyder spiller en stor rolle i din sikkerhed. En god udbyder håndterer server-opdateringer, netværkssikkerhed og DDoS-beskyttelse. Her er hvad du skal kigge efter:
- Automatiske server-opdateringer (OS, webserver, PHP)
- Daglig backup med nem one-click restore
- Gratis SSL (Let's Encrypt) med automatisk fornyelse
- DDoS-beskyttelse på netværksniveau
- Isolation mellem kunder (mod cross-site contamination)
- Malware-scanning og -fjernelse
- Proaktiv overvågning og notifikation
Sammenlign hosting-udbydere og se hvilke der scorer bedst på sikkerhed.
Komplet sikkerhedstjekliste
Brug denne tjekliste til at gennemgå din sides sikkerhed. Prioritér fra top til bund:
| Handling | Prioritet | Tid |
|---|---|---|
| Aktiver SSL/HTTPS | 🔴 Kritisk | 5 min |
| Opdater CMS + plugins | 🔴 Kritisk | 15 min |
| Stærke passwords + 2FA | 🔴 Kritisk | 10 min |
| Daglig automatisk backup | 🟠 Høj | 10 min |
| Begræns login-forsøg | 🟠 Høj | 5 min |
| Fjern ubrugte plugins/themes | 🟠 Høj | 10 min |
| Aktiver Cloudflare WAF | 🟡 Medium | 20 min |
| Skjul login-URL | 🟡 Medium | 5 min |
| Opsæt uptime-monitoring | 🟡 Medium | 5 min |
| Scan for malware (Sucuri/Wordfence) | 🟡 Medium | 10 min |
| Deaktiver fil-redigering i WP | 🟢 Nice-to-have | 2 min |
| Opsæt security headers (CSP, HSTS) | 🟢 Nice-to-have | 15 min |
Ofte stillede spørgsmål om hjemmeside-sikkerhed
Hvor ofte bliver hjemmesider hacket?
Ifølge Sucuri bliver over 30.000 websites hacket dagligt globalt. Små hjemmesider er ofte de mest sårbare, fordi ejerne tror "det sker ikke for mig". Automatiserede bots scanner konstant efter kendte sårbarheder — din side behøver ikke være et specifikt mål for at blive kompromitteret.
Er gratis SSL (Let's Encrypt) lige så sikkert som betalt SSL?
Ja, krypteringen er identisk. Let's Encrypt bruger samme TLS-protokol og krypteringsstyrke som betalte certifikater. Forskellen er primært i certifikattypen: Let's Encrypt tilbyder Domain Validation (DV), mens betalte certifikater også kan være Organization Validation (OV) eller Extended Validation (EV) med virksomhedsverifikation. For 99% af websites er Let's Encrypt perfekt.
Hvad gør jeg, hvis min hjemmeside er blevet hacket?
Tag straks sitet offline (sæt maintenance mode). Gendan fra din seneste rene backup. Skift ALLE passwords (admin, FTP, database, hosting-panel). Opdater CMS og alle plugins/extensions. Scan for malware med Sucuri SiteCheck eller Wordfence. Kontakt din hosting-udbyder for hjælp. Anmeld evt. til CERT.dk hvis der er tale om datatab.
Hvor ofte skal jeg opdatere mine plugins?
Så hurtigt som muligt efter en sikkerhedsopdatering udkommer — helst inden for 24-48 timer. Sikkerhedsopdateringer lukker kendte huller, og hackere begynder at udnytte dem, så snart de offentliggøres. Aktiver automatiske opdateringer for sikkerhedspatches i WordPress, Joomla eller dit CMS.
Er to-faktor-autentificering virkelig nødvendigt?
Ja, 2FA er den enkeltstående mest effektive sikkerhedsforanstaltning. Google rapporterer at 2FA blokerer 100% af automatiserede bots, 96% af phishing-angreb og 76% af målrettede angreb. Det tager 2 minutter at sætte op og beskytter dig selv med et svagt password.
Find sikker hosting
Sammenlign udbydere med fokus på sikkerhed, backup og SSL.