Kontakt
Blog

/

, ,

WordPress sikkerhed: Opsætning af backups, 2FA og firewall rigtigt

Blog

/

, ,
  • Læsetid: 7 minutter

I denne artikel

WordPress sikkerhed opsætning

Når jeres hjemmeside er en central del af markedsføringen, er sikkerhed ikke et IT-projekt, der kan stå i kø. Den handler om drift, troværdighed og ro i hverdagen. Et kompromitteret site giver ikke kun tekniske problemer. Det giver også usikkerhed internt, brudte kampagnelinks, mistet tracking og et brand, der pludselig skal forklare sig.

Jeg ser ofte, at marketingansvarlige ender som koordinator på sikkerhed, selv om det egentlig ikke er deres fagområde. Derfor giver det mening at gøre opsætningen enkel og struktureret: backups, 2FA og firewall, sat rigtigt op og dokumenteret, så I kan stole på det.

En sikker hjemmeside handler ikke om paranoia — det handler om at beskytte den investering, I allerede har lavet i jeres digitale tilstedeværelse.

Før du går i gang: få styr på fundamentet

Sikkerhed bliver hurtigt uoverskueligt, hvis man starter med “endnu et plugin”. Begynd i stedet med at afklare, hvordan jeres hjemmeside drives i dag: hvem har adgang, hvor hostes den, og hvem kan gendanne den, hvis noget går galt.

Det handler også om at skabe sammenhæng med jeres brand. En stabil og tryg oplevelse for brugerne kræver, at siden virker, at den er hurtig, og at den ikke pludselig viser advarsler eller spam. Sikkerhed er en del af den oplevelse, også selv om besøgende ikke kan se arbejdet.

Som et hurtigt tjek kan du sikre, at I har styr på de mest grundlæggende ting:

  • Opdateret WordPress, tema og plugins
  • Unikke admin-brugere (ingen delte logins)
  • Adgang via sikre passwords og helst password manager
  • SSL på hele sitet (HTTPS)
  • Kendt kontaktvej til hosting eller support ved nedbrud

Når fundamentet er på plads, giver resten bedre mening.

Backups: jeres sikkerhedsnet, ikke en formalitet

En backup er ikke “nice to have”. Det er jeres mulighed for at komme tilbage til normal drift uden panik, hvis et plugin går i stykker, en opdatering fejler, eller der sker et angreb.

Der er to typiske fejl, jeg møder: enten tages der ingen backups, eller også tages der backups, som ingen har prøvet at gendanne. Begge dele giver samme resultat, når det gælder.

Trin 1: Aftal jeres backup-krav

Start med at koble backup-frekvens til jeres virkelighed. Spørg: Hvor ofte ændrer indholdet sig, og hvor meget kan I tåle at miste?

  • En ret statisk B2B-hjemmeside kan ofte klare sig med daglige eller ugentlige backups.
  • Har I jobopslag, formularer, kampagner, nyheder eller integrationer, bør I tænke dagligt som minimum.

Læg også en simpel retention-plan. Det kan være: daglige backups i 7 dage, ugentlige i 4 uger, månedlige i 6 til 12 måneder. Det giver mulighed for at rulle tilbage, hvis en fejl først opdages senere.

Trin 2: Brug 3-2-1-princippet

En god tommelfingerregel er 3-2-1: tre kopier, på to forskellige steder, hvoraf én ligger uden for serveren. Det kan lyde avanceret, men i praksis kan det være:

  • én kopi på hosting (automatiske snapshots)
  • én kopi i cloud-lagring (fx S3, Google Drive eller tilsvarende)
  • én kopi som ekstra sikkerhed, hvis I har en intern procedure

Det vigtige er, at I ikke kun har backups på samme server, som kan gå ned eller blive kompromitteret.

Trin 3: Vælg metode og værktøj, der passer til jer

Der findes både manuelle og automatiske backups. Manuelle backups kan give kontrol, men kræver tid og teknisk overblik. For de fleste B2B-teams giver automatiske backups den nødvendige driftssikkerhed, især når de gemmes eksternt og kan gendannes uden lange tekniske processer.

Her er en praktisk sammenligning, der kan hjælpe jer med at vælge retning:

Løsningstype Eksempler Styrke Typisk faldgrube Godt match til
Hosting-backup Hostens daglige snapshots Let at have med at gøre Kan ligge samme sted som sitet Baseline for alle
Backup-plugin UpdraftPlus, BackWPup, Duplicator Fleksibel lagring og plan Kræver vedligehold og test Mindre teams, der vil styre det selv
Managed backup-service Jetpack Backup, BlogVault Offsite og ofte nem restore Betalt løsning, afhængighed af leverandør Når oppetid og ro vægter højt

Jeg har ikke noget imod plugins, hvis de holdes opdaterede, og hvis der er klare rutiner. Det handler mere om disciplin end om værktøjet.

Trin 4: Opsæt backup korrekt (kort og konkret)

Når du har valgt løsning, så opsæt den efter en fast lille opskrift. Gem den gerne som en intern “runbook”, så I ikke skal genopfinde den senere.

  • Hyppighed: Sæt daglig backup som standard, og øg ved perioder med mange ændringer
  • Indhold: Tag både database og filer, især med uploads og plugin-data
  • Placering: Gem mindst én backup uden for serveren, med begrænset adgang
  • Kryptering: Behandl backups som følsomme data, og brug kryptering hvor muligt
  • Gendannelsestest: Planlæg en fast test, fx månedligt eller efter større ændringer

Læg mærke til sidste punkt. Det er ofte her, sikkerheden reelt vinder eller taber.

Trin 5: Træn gendannelse, før I får brug for den

En gendannelsestest behøver ikke være tung. En god og rolig måde er at gendanne til et staging-miljø, eller en kopi på et lukket domæne. Tjek derefter:

  • kan I logge ind?
  • virker forsiden og centrale landingssider?
  • virker formularer og tracking?
  • er billeder og downloads intakte?

Det er en halv time, der kan spare jer mange timers uro senere.

2FA: stop de fleste login-angreb uden at gøre det besværligt

2FA (to-faktor-login) er et af de tiltag, der giver mest sikkerhed for mindst arbejde, når det gøres rigtigt. I B2B er det typisk admin-adgange, der er mest attraktive, og det er også her, I får størst effekt.

Det vigtigste er at beslutte, hvem der skal omfattes, og hvordan I undgår at låse jer selv ude. Sæt 2FA på alle brugere med rettigheder til at ændre siden, og hold det enklere for roller, der kun skal redigere indhold.

De mest brugte metoder er TOTP-koder i en authenticator-app og passkeys/hardware-nøgler. SMS findes stadig, men sikkerhedsniveauet er lavere, og det er sjældent det rigtige valg, hvis I vil have ro.

Når I ruller 2FA ud, så tænk i praktisk implementering:

  • Giv en kort “grace period”, så folk kan nå at aktivere uden at blive blokeret
  • Kræv 2FA for administratorer fra dag ét
  • Sørg for backup-koder og en intern procedure for recovery
  • Hav mindst to admin-brugere, så der altid er en vej ind, hvis en telefon bliver væk

Det er ofte den sidste del, der gør forskellen på tryghed og frustration.

Firewall: filtrér støj og angreb, før WordPress skal arbejde

En firewall er ikke kun “beskyttelse mod hackere”. Det er også en måde at reducere unødig trafik, brute-force logins og scanninger, som ellers kan påvirke hastighed og stabilitet.

Her giver det god mening at tænke i lag:

  1. Hosting eller server har typisk en grundlæggende firewall.
  2. En DNS- eller cloud-baseret løsning kan stoppe meget, før det rammer serveren.
  3. En WordPress-firewall i form af et plugin kan tage det, der er specifikt for WordPress.

I praksis kan en kombination give en rolig og stabil drift, hvis den er sat op med omtanke. For mange regler eller for aggressive blokeringer kan give falske positiver, hvor rigtige brugere bliver blokeret.

Når du sætter firewall op, så gør det trin for trin og test undervejs:

Først: aktivér en firewall i et velkendt og vedligeholdt plugin, og slå “advanced/extended protection” til, hvis løsningen tilbyder det. Det betyder ofte, at firewall-regler aktiveres tidligt i requesten.

Derefter: begræns login-forsøg og sæt en fornuftig rate limit. Det stopper en stor del af støjen uden at genere normale brugere.

Til sidst: luk de døre, I ikke bruger. Mange B2B-hjemmesider bruger ikke XML-RPC. Hvis I ikke bruger det til integrationer eller mobil-app, kan det typisk begrænses eller slås fra. Og slå filredigering fra i admin, så I ikke kan redigere tema- og plugin-filer direkte via kontrolpanelet.

Det er også værd at sikre, at upload-mappen ikke kan eksekvere PHP. Det er et klassisk sted, hvor ondsindede filer kan gemme sig, hvis noget andet går galt.

Drift og rutiner: sikkerhed, der passer ind i jeres kalender

Sikkerhed skal kunne holdes ved lige uden at stresse jer. Ellers bliver det en kamp, og så glider det.

Jeg anbefaler at gøre det til en fast, gentagelig rytme, hvor I ved, hvad der bliver gjort, og hvornår. Det er også her, samarbejdet mellem marketing og teknisk ansvarlig bliver nemmere, fordi alle kan se planen.

En enkel driftsrytme kan se sådan ud:

  • Ugentligt: opdateringer af plugins og tema, hurtig visuel kontrol af centrale sider
  • Månedligt: gendannelsestest af backup til staging og gennemgang af brugeradgange
  • Kvartalsvist: gennemgang af formularer, tracking, og om sikkerhedsopsætningen stadig matcher jeres behov

Hos EistrupWeb arbejder jeg ofte med den type faste rutiner i serviceaftaler, netop fordi de skaber stabilitet. Det er ikke et spørgsmål om at skrue alt op på maksimum. Det er et spørgsmål om at vælge et fornuftigt niveau, dokumentere det, og holde det.

Hvis du vil gøre det ekstra nemt internt, så læg én side i jeres interne dokumentation med tre ting: hvor backups ligger, hvordan 2FA håndteres ved mistet telefon, og hvem der kan tage beslutningen om en gendannelse. Det giver overraskende meget ro, også selv om I aldrig får brug for det.

Picture of Peter Eistrup

Peter Eistrup

Jeg er stifter af EistrupWeb og hjælper B2B-virksomheder med stabile WordPress-hjemmesider bygget i Elementor på mit tekniske fundament, WP Fundament. Jeg har mere end 20 års erfaring og arbejder med en fast, gennemsigtig proces, der gør det trygt og overskueligt at få en ny hjemmeside. Mit fokus er driftssikkerhed, struktur og klare budskaber, så jeres hjemmeside opleves troværdig – både af jer og jeres kunder.