Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Den ultimata säkerhetsguiden för WordPress – Step-by-Step (2024)

Editorial Note: We earn a commission from partner links on WPBeginner. Commissions do not affect our editors' opinions or evaluations. Learn more about Editorial Process.

WordPress Säkerhet är ett ämne som är mycket viktigt för alla som äger en website.

Om du är seriös med din website måste du vara uppmärksam på WordPress bästa praxis för säkerhet. Annars kan du bli en av de 10 000+ websites som Google svartlistar varje dag för skadlig kod och nätfiske.

I den här guiden delar vi med oss av våra bästa säkerhetstips för WordPress som hjälper dig att skydda din website mot hackare och skadlig kod.

The Ultimate WordPress Security Guide - Step by Step

Även om WordPress core är mycket säker och granskas regelbundet av hundratals utvecklare, finns det fortfarande mycket som måste göras för att hålla din site säker.

På WPBeginner tror vi att säkerhet inte ej bara handlar om att eliminera risker. Det handlar också om riskreducering. Som ägare av en website finns det mycket du kan göra för att förbättra din WordPress säkerhet, även om du ej är tekniskt kunnig.

I den här artikeln har vi sammanställt en lista med action-steg som du kan vidta för att skydda din website mot säkerhetsproblem.

För att göra det enkelt har vi skapat en innehållsförteckning som hjälper dig att enkelt navigera genom vår ultimata WordPress säkerhetsguide.

Innehållsförteckning

Grunderna i WordPress säkerhet

WordPress Säkerhet i enkla steg (ingen kodning)

WordPress Säkerhet för DIY-användare

Är du redo? Låt oss komma igång.

Varför det är viktigt med en säker website

En hackad website i WordPress kan orsaka allvarliga skador på ditt företags intäkter och rykte. Hackare kan stjäla användarinformation och password, installera skadlig programvara och till och med distribuera skadlig kod till dina användare.

I värsta fall kan du få betala utpressningstrojaner till hackare bara för att få tillgång till din website igen.

Ransomware Attack

Varje dag varnar Google 12-14 miljoner användare för att en website som de försöker besöka kan innehålla skadlig kod eller stjäla information.

Dessutom svartlistar Google varje dag mer än 10 000 websites för skadlig kod eller nätfiske.

Precis som företagare med en fysisk location har ansvar för att skydda sin egendom, måste onlineföretagare ägna extra uppmärksamhet åt säkerheten på WordPress.

[Tillbaka till toppen ↑]

Håll WordPress Updated

Easily update WordPress

WordPress är en programvara med öppen källkod och underhålls och uppdateras regelbundet. Som standard installerar WordPress automatiskt mindre updates.

För större utgåvor måste du manuellt initiera updating.

WordPress kommer också med tusentals tillägg och teman som du kan installera på din website. Dessa tillägg och teman underhålls av utvecklare från tredje part, som också regelbundet släpper updates.

Dessa WordPress updates är avgörande för säkerheten och stabiliteten på din WordPress site. Du måste se till att din WordPress core, dina tillägg och ditt theme är uppdaterade.

[Tillbaka till toppen ↑]

Använd starka password och behörigheter för användare

Manage strong passwords

De vanligaste hackningsförsöken i WordPress använder stulna password. Du kan göra det svårare genom att använda starkare lösenord som är unika för din website.

Vi pratar ej bara om admin area i WordPress. Kom ihåg att skapa starka lösenord för dina FTP-konton, databaser, WordPress-värdkonton och custom email addresses som använder webbplatsens domain name.

Många Beginnare gillar inte att använda starka lösenord eftersom de är svåra att komma ihåg. Det som är bra är att du inte behöver komma ihåg lösenord längre eftersom du bara kan använda en lösenordshanterare.

Mer information finns i vår guide om hur du hanterar WordPress-lösenord.

Ett annat sätt att minska risken är att ej ge någon tillgång till ditt WordPress admin account om du inte absolut måste.

Om du har ett stort team eller gästförfattare, se till att du förstår användarnas roller och capability i WordPress innan du lägger till nya användarkonton och auktoriseringar på din site.

[Tillbaka till toppen ↑]

Förstå rollen som webbhotell för WordPress

WP Engine WordPress Hosting Homepage

Din WordPress webbhotell tjänst spelar den viktigaste rollen i säkerheten för din WordPress site. En bra hosting provider som gillar delning, som Hostinger, Bluehost eller SiteGround, vidtar extra åtgärder för att skydda sina servrar mot vanliga hot.

Här är bara några exempel på hur bra webbhotell arbetar i bakgrunden för att skydda dina websites och data:

  • De övervakar kontinuerligt sitt nätverk för misstänkt aktivitet.
  • Alla bra webbhotell har tools på plats för att förhindra storskaliga DDoS-attacker.
  • De håller programvaran på sina servrar, PHP-versioner och hårdvara uppdaterade för att förhindra att hackare utnyttjar en känd säkerhetslucka i en gammal version.
  • They have ready-to-deploy disaster recovery and accident plans that allow them to protect your data in case of a major accident.

På ett plan för delat webbhotell delar du serverns resurser med många andra customers. Det finns en risk för cross-site contamination där en hackare kan använda en närliggande site för att attackera your website.

Att använda en hanterad WordPress webbhotell tjänst ger däremot en säkrare plattform för din website. Hanterade WordPress webbhotell erbjuder automatiska backups, automatiska WordPress updates, och mer avancerade säkerhetskonfigurationer för att skydda din website

Vi rekommenderar WP Engine som vår föredragna hanterade WordPress hosting provider. De är också den mest populära providern i branschen.

Se till att du får det bästa erbjudandet genom att använda vår speciella WP Engine coupon.

[Tillbaka till toppen ↑]

WordPress Säkerhet i några enkla steg (ingen kodning)

Vi vet att förbättrad WordPress säkerhet kan vara en skrämmande tanke för Beginnare, särskilt om du inte är tekniskt intresserad. Gissa vad – du är inte ensam.

Vi har hjälpt tusentals användare av WordPress att stärka sin WordPress-säkerhet.

Vi visar dig hur du kan förbättra din WordPress säkerhet med bara några klick (ingen kodning obligatorisk).

Om du kan peka och clicka, kan du göra det här!

1. Installera en lösning för backup av WordPress

WordPress Backup

Backups är ditt första försvar mot alla WordPress attacker. Kom ihåg att ingenting är 100% säkert. Om statliga websites kan hackas, så kan din också.

Backups allow you to quickly återställ your WordPress site in case something bad skulle hända.

Det finns många gratis och betalda tillägg för backup av WordPress som du kan använda. Det viktigaste du behöver veta när det gäller backup är att du regelbundet måste save full-site backups till en avlägsen location (eller ej till ditt webbhotell account).

Vi rekommenderar att du lagrar den på en molntjänst som Amazon, Dropbox eller privata moln som Stash.

Baserat på hur ofta du uppdaterar din website kan den perfekta inställningen vara antingen en gång om dagen eller backup i realtid.

Tack och lov kan detta enkelt göras genom att använda tillägg som Duplicator, UpdraftPlus eller BlogVault. De är både tillförlitliga och viktigast av allt användarvänliga (ingen kodning behövs).

För mer detaljer, se vår guide om hur du säkerhetskopierar din website i WordPress.

[Tillbaka till toppen ↑]

Installera ett välrenommerat tillägg för säkerhet i WordPress

Efter backups är nästa sak vi behöver göra att sätta upp ett revisions- och övervakningssystem som håller track på allt som händer på your website.

Detta inkluderar övervakning av filintegritet, Misslyckade försök till login, skanning av skadlig kod och mycket mer.

Tack och lov kan du enkelt ta hand om detta genom att installera ett av de bästa WordPress säkerhetstilläggen, till exempel Sucuri.

Du måste installera och aktivera det gratis pluginet Sucuri Security. För mer detaljer, vänligen se vår Step-by-Step guide om hur man installerar ett plugin för WordPress.

Nu kan du heada över till Sucuri Security ” Dashboard för att se om tillägget hittade några omedelbara issues med din WordPress-kod.

Setting up the Sucuri WordPress security plugin

Nästa sak du behöver göra är att navigera till Sucuri Security ” Settings page och klicka på Hardening” tabs.

Standardinställningarna fungerar bra för de flesta websites, så du kan fortsätta och aktivera dem genom att clicka på knappen ”Tillämpa härdning” för varje alternativ.

Hardening your WordPress blog or website

Detta hjälper dig att låsa de viktigaste area som hackare ofta använder i sina attacker.

Tips: Vi kommer att täcka ytterligare sätt att härda din website senare i den här artikeln, till exempel att ändra databasprefixet och användarnamnet för administratören. Dessa är dock mer tekniska och kan vara obligatoriska för kodningskunskaper.

Efter härdningsdelen är pluginets andra standardinställningar tillräckligt bra för de flesta webbplatser och behöver inte ändras.

Det enda vi rekommenderar att customize är email alerts, som du hittar på tabben ”Alerts” på settings page.

Customizing your website's security alerts

Som standard kommer du att få många Email alerts som kan överbelasta din inbox.

Vi rekommenderar att du aktiverar alerts endast för viktiga actions som du vill bli underrättad om, t.ex. ändringar av plugins och registreringar av nya användare.

Customizing your WordPress security notifications

Detta säkerhetsplugin för WordPress är mycket kraftfullt, så browsing genom alla tabbar och Settings för att se allt det gör, t.ex. skanning av skadlig kod, audit logging, tracking av misslyckade försök till login och mycket mer.

För mer information kan du se vår detaljerade Sucuri review.

Aktivera en brandvägg för webbapplikationer (WAF)

Det enklaste sättet att skydda din site och känna dig trygg med din WordPress säkerhet är att använda en WAF (Web Application Firewall).

En website firewall blockerar all skadlig trafik innan den ens når your website.

  • En website firewall på DNS-nivå dirigerar din website-trafik genom sina proxyservrar i molnet. This allows it to send only genuine traffic to your web server.
  • En firewall på applikationsnivå granskar trafiken när den når din server, men innan de flesta WordPress-skript hämtar. Den här metoden är inte lika effektiv som firewall på DNS-nivå när det gäller att minska hämtar på servern.

För att lära dig mer, se vår lista över de bästa tilläggen för firewall i WordPress.

How website firewall blocks attacks

Vi använde Sucuri på WPBeginner under många år och rekommenderar det fortfarande som en av de bästa firewalls för webbapplikationer för WordPress. Vi bytte senaste från Sucuri till Cloudflare eftersom vi behövde ett större CDN-nätverk med funktioner som fokuserade mer på företagskunder.

Du kan läsa om hur Sucuri hjälpte oss att blockera 450 000 WordPress-attacker på en månad.

Attacks blocked by Sucuri

Det bästa med Sucuris firewall är att den också kommer med en garanti för rensning av skadlig kod och borttagning av svartlistor. Det betyder att om du skulle bli hackad under deras övervakning, garanterar de att fixa din website, oavsett hur många pages du har.

Detta är en ganska stark garanti eftersom det är dyrt att reparera hackade webbplatser. Säkerhetsexperter tar normalt ut mer än $ 250 per timme, medan du kan få hela Sucuri säkerhetsstack för $ 199 för ett helt år.

Med detta sagt är Sucuri inte den enda providern av firewall på DNS-nivå där ute. Den andra populära konkurrenten är Cloudflare. Se vår jämförelse av Sucuri vs. Cloudflare (Pro och Cons).

[Tillbaka till toppen ↑]

Flytta din WordPress site till SSL/HTTPS

SSL (Secure Sockets Layer) är ett protokoll som krypterar dataöverföringen mellan din website och användarens webbläsare. Denna Encryption gör det svårare för någon att snoka runt och stjäla information.

How SSL Works

När du har aktiverat SSL kommer din website att använda HTTPS istället för HTTP. Du kommer också att se ett hänglås eller en liknande icon bredvid adressen till din website i webbläsaren.

SSL-certifikat auktoriseras vanligtvis av certifikatutfärdare, och deras priser börjar från 80 dollar till hundratals dollar per år. På grund av add to kostnaden har de flesta ägare av websites tidigare valt att fortsätta använda det osäkra protokollet.

För att fixa detta bestämde sig den ideella organisationen Let’s Encryption för att erbjuda gratis SSL-certifikat till ägare av websites. Deras projekt stöds av Google Chrome, Facebook, Mozilla och många fler företag.

Det är enklare än någonsin att börja använda SSL för all din WordPress website. Många webbhotell erbjuder nu ett gratis SSL-certifikat för din WordPress website.

Om ditt webbhotell ej erbjuder ett SSL-certifikat kan du köpa ett SSL-certifikat från Domain.com. De har de bästa och mest tillförlitliga SSL-erbjudandena på marknaden. Certifikatet levereras med en säkerhetsgaranti på 10 000 USD och en TrustLogo-säkerhetsstämpel.

Om du gör allt som vi har nämnt hittills, då är du i ganska bra form.

Men som alltid finns det mer du kan göra för att stärka din WordPress säkerhet.

Tänk på att vissa av dessa steg kan vara obligatoriska för kodningskunskap.

Ändra standard användarnamn för administratör

Förr i tiden var standardanvändarnamnet för WordPress ”admin”. Eftersom användarnamn utgör hälften av credentials för login, gjorde detta det lättare för hackare att göra brute-force-attacker.

Tack och lov har WordPress sedan dess ändrat detta och kräver nu att du väljer ett custom användarnamn när du installerar WordPress.

Vissa installatörer av WordPress med 1 click ställer dock fortfarande in standardanvändarnamnet för admin till ”admin”. If you notice that to be the case, then it’s probably a good idea to switch your web webbhotell.

Eftersom WordPress inte tillåter dig att ändra användarnamn som standard finns det tre metoder som du kan använda för att ändra användarnamnet.

  1. Skapa ett nytt användarnamn för administratören och ta bort det gamla.
  2. Använd plugin-programmet Username Changer
  3. Update användarnamn från phpMyAdmin

Vi har täckt alla dessa tre i vår detaljerade guide om hur du ändrar ditt användarnamn på WordPress på rätt sätt.

Note: Bara för att vara clear, vi pratar om att ändra användarnamnet som heter ”admin”, inte rollen som administratör, som ibland också kallas ”admin”.

[Tillbaka till toppen ↑]

Inaktivera edit av filer

WordPress levereras med en built-in code editor som allow you att edit your theme and plugin files right from your WordPress admin area.

I fel händer kan den här funktionen utgöra en säkerhetsrisk, och därför rekommenderar vi att du stänger av den.

Adding custom CSS in a child theme's stylesheet in the theme file editor

Du kan enkelt göra detta genom att lägga till följande kod i din wp-config.php-fil eller med ett code snippet plugin som WPCode (rekommenderas):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Vi visar dig hur du gör detta steg för steg i vår guide om hur du inaktiverar theme och plugin editors från WordPress adminpanel.

Alternativt kan du göra detta med 1 click med hjälp av Hardening-funktionen i det gratis Sucuri-plugin som nämns ovan.

[Tillbaka till toppen ↑]

Inaktivera PHP-filkörning i vissa WordPress Directories

Ett annat sätt att stärka din WordPress-säkerhet är att inaktivera PHP-filkörning i kataloger där det inte behövs, t.ex. /wp-content/uploads/.

Du kan göra detta genom att öppna en textredigerare som Notepad och klistra in den här koden:

<Files *.php>
deny from all
</Files>

Därefter måste du save den här filen som .htaccess och uploada den till /wp-content/uploads/ foldern på din website med hjälp av en FTP-klient.

För en mer detaljerad förklaring, se vår guide om hur du inaktiverar körning av PHP i vissa WordPress directories.

Alternativt kan du göra detta med 1 click med hjälp av Hardening-funktionen i det gratis Sucuri-tillägget som vi nämnde ovan.

[Tillbaka till toppen ↑]

Limit Försök till login

Som standard tillåter WordPress användare att försöka logga in så många gånger de vill. Detta gör din WordPress site sårbar för brute-force-attacker. Det är när hackare försöker knäcka lösenord genom att försöka logga in med olika kombinationer.

Detta kan enkelt fixas genom att limitera antalet Misslyckade försök till login som en användare kan göra. Om du använder den firewall för webbapplikationer som nämndes tidigare tas detta automatiskt om hand.

Men om du inte har konfigurerat firewall kan du gå vidare med stegen under.

Först måste du installera och aktivera det gratis plugin-programmet Limit Login Attempts Reloaded. För mer detaljer, se vår Step-by-Step guide om hur du installerar ett WordPress plugin.

Vid aktivering kommer pluginet att börja limit antalet login-försök som användare kan göra.

Standardinställningarna fungerar för de flesta webbplatser, men du kan customize dem genom att besöka Settings ” Limit Login Attempts page och click the ’Settings’ tab at the top. Om du till exempel vill följa GDPR-lagarna kan du klicka på checkboxen ”GDPR compliance”.

Limit Login Attempts

Detaljerade instruktioner finns i vår guide om hur och varför du bör limit login-försök i WordPress.

[Tillbaka till toppen ↑]

Add till tvåfaktors-autentisering (2FA)

Metoden för tvåfaktors-autentisering kräver två olika steg för att användare ska kunna logga in:

  1. Det första steget är användarnamn och password.
  2. Det andra steget kräver att du använder en kod från en device eller app som du har och som hackare inte kan komma åt, till exempel din smartphone.

De flesta högst upp online-webbplatser som Google, Facebook och Twitter, allow you att aktivera det för dina konton. Du kan också add to samma funktionalitet till din WordPress site.

Först måste du installera och aktivera pluginet WP 2FA – Tvåfaktors-autentisering. För mer detaljer, se vår Step-by-Step guide om hur du installerar ett WordPress plugin.

En användarvänlig Wizard hjälper dig att konfigurera tillägget och sedan får du en QR-kod.

Use Your Authenticator App to Scan the QR Code

You will need to scan the QR code using an authenticator app on your phone, such as Google Authenticator, Authy, and LastPass Authenticator.

Vi rekommenderar att du använder LastPass Autentisering eller Authy eftersom de tillåter dig att säkerhetskopiera dina konton till molnet. Detta är mycket användbart om din telefon går förlorad, återställs eller om du köper en new telefon. Alla dina login till konton kommer enkelt att kunna återställas.

De flesta av dessa appar fungerar på liknande sätt, och om du använder Authy klickar du helt enkelt på knappen ”+” eller ”Add account” i autentiseringsappen.

Click the + Button to Add an Account

Detta gör att du kan skanna QR-koden på din dator med hjälp av telefonens kamera. Du kan först behöva ge appen behörighet att komma åt kameran.

När du har gett kontot ett namn kan du save det.

Nästa gång du loggar in på din website kommer du att bli ombedd att ange koden för tvåfaktors-autentisering efter att du har enter ditt password.

Users Must Enter an Authentication Code Before Logging In

Öppna bara appen för autentisering på din telefon, så ser du en engångskod.

You can then enter the code on your website to finish logging in.

Find Your 2FA Token

[Tillbaka till toppen ↑]

Ändra prefixet för WordPress Database

Som standard använder WordPress wp_ som prefix för alla tabeller i din WordPress database.

Om din WordPress site använder standard databasprefixet, gör det det lättare för hackare att gissa vad ditt tabellnamn är. Det är därför vi rekommenderar att du ändrar det.

Du kan ändra ditt databasprefix genom att följa vår Step-by-Step tutorial om hur du ändrar WordPress databasprefix för att förbättra säkerheten.

Note: Att ändra prefixet för databasen kan förstöra din site om det inte görs på rätt sätt. Gör detta endast om du känner dig bekväm med dina kodningskunskaper.

[Tillbaka till toppen ↑]

Lösenordsskydda WordPress Admin och Login Page

Password protect WordPress admin example

Normalt kan hackare requesta din wp-admin folder och login page utan några begränsningar. Detta allow dem att prova sina hackingtrick eller run DDoS-attacker.

You can add to additional password protection on a server-side level, which will effectively block those requests.

Följ bara våra steg-för-steg-anvisningar om hur du skyddar din WordPress admin (wp-admin) directory med password.

[Tillbaka till toppen ↑]

Inaktivera indexering och browsing av directory

Directory Browsing

När du skriver in adressen till en av din websites foldrar i en web browser, kommer du att få se en page som heter index.html om den finns befintlig. Om den inte finns visas i stället en lista över filerna i den aktuella foldern. Detta kallas för ”directory browsing”.

Directory browsing kan användas av hackare för att ta reda på om du har några filer med kända sårbarheter, så att de kan dra nytta av dessa filer för att få åtkomst.

Directory browsing kan också användas av andra personer för att titta i dina filer, kopiera images, ta reda på din katalogstruktur och annan information. Det är därför vi rekommenderar att du stänger av indexering och browsing av kataloger.

Du måste ansluta till din website med FTP eller med hosting providerns filhanterare. Leta sedan upp .htaccess-filen i din websites root directory. Om du inte kan se den där, läs vår guide om varför du inte kan se .htaccess-filen i WordPress.

Följaktligen måste du add to följande rad i slutet av .htaccess-filen:

Alternativ -Index

Glöm inte att save och uploada .htaccess-filen tillbaka till din site.

Mer information om ämnet finns i vår artikel om hur du inaktiverar browsing av directory i WordPress.

[Tillbaka till toppen ↑]

Inaktivera XML-RPC i WordPress

XML-RPC är en core WordPress API som hjälper till att ansluta din WordPress site med webb- och mobilappar. Det har aktiverats som standard sedan WordPress 3.5.

Men på grund av sin kraftfulla natur kan XML-RPC avsevärt förstärka brute-force-attacker.

Till exempel, om en hacker traditionellt ville prova 500 olika lösenord på din website, skulle de behöva göra 500 separata försök till login. Detta kan fångas upp och blockeras av plugin-programmet Limit Login Attempts Reloaded.

Men med XML-RPC kan en hackare använda funktionen system.multicall för att prova tusentals password med 20 eller 50 requests.

Det är därför vi rekommenderar att du inaktiverar XML-RPC om du ej använder det.

Det finns 3 sätt att inaktivera XML-RPC i WordPress, och vi har täckt dem alla i vår Step-by-Step tutorial om hur man inaktiverar XML-RPC i WordPress.

Tips:.htaccess-metoden är den bästa eftersom den kräver minst resurser. De andra metoderna är enklare för Beginnare.

Alternativt sköts detta automatiskt om du använder en WAF (Web Application Firewall) som vi nämnde tidigare.

[Tillbaka till toppen ↑]

Automatiskt utloggad användare i WordPress

Inloggade användare kan ibland vandra iväg från vyn, och det utgör en säkerhetsrisk. Någon kan kapa deras session, ändra lösenord eller göra ändringar i deras account.

Det är därför många bank- och finanswebbplatser automatiskt loggar ut en inaktiverad användare. Du kan skapa en liknande funktion även på din WordPress site.

Du måste installera och aktivera pluginet Inactive Logout. Efter aktivering, besök Settings ” Inactive Log out page för att customize inställningarna för utloggning.

Logout idle users

Ställ bara in tidslängden och add to ett meddelande om att logga ut. Glöm sedan inte att klicka på knappen ”Save Changes” längst ner på sidan för att spara dina inställningar.

För Step-by-Step instruktioner, vänligen se vår guide om hur du automatiskt loggar ut användare som inte är aktiva i WordPress.

[Tillbaka till toppen ↑]

Add säkerhetsfrågor till vyn för login i WordPress

Om du lägger till en säkerhetsfråga på din WordPress vy för login blir det ännu svårare för någon att få obehörig åtkomst.

Du kan add to säkerhetsfrågor genom att installera pluginet Tvåfaktors-autentisering. Vid autentisering måste du besöka sidan Multi-factor Authentication ” Two Factor för att konfigurera plugin-inställningarna.

This will allow you to add various types of twofaktors-autentisering to your site, including security questions.

Adding Security Questions to WordPress Login

För mer detaljerade instruktioner, se vår tutorial om hur du lägger till säkerhetsfrågor på vyn för login i WordPress.

[Tillbaka till toppen ↑]

Skanna WordPress efter skadlig kod och sårbarheter

Malware Scan

Om du har installerat ett plugin för säkerhet i WordPress kommer det att rutinmässigt kontrollera om det finns skadlig kod och tecken på säkerhetsöverträdelser.

Men om du ser ett plötsligt insticksprogram i trafiken på din website eller i rankingen på search, kanske du vill söka efter skadlig kod manuellt. Du kan göra detta med din WordPress säkerhet plugin eller en av de bästa malware och säkerhet scanners.

Att run dessa onlineskanningar är ganska enkelt. You just enter your website URL, and their crawlers go through your website to look for known malware and malicious code.

Kom ihåg att de flesta WordPress säkerhets scanners bara kan varna dig om din site innehåller skadlig kod. De kan inte ta bort den skadliga programvaran eller rengöra en hackad WordPress webbplats.

Detta leder oss till nästa section, rensning av skadlig kod och hackade WordPress webbplatser.

[Tillbaka till toppen ↑]

Fixa en hackad WordPress site

Många användare av WordPress inser inte importen av backup och webbplatsens säkerhet förrän deras website blir hackad.

Hackare installerar bakdörrar på drabbade webbplatser, och om dessa bakdörrar inte fixas ordentligt kommer din website sannolikt att bli hackad igen.

För de äventyrliga och DIY-användarna har vi sammanställt en Step-by-Step guide om hur man fixar en hackad WordPress site.

Det kan dock vara mycket svårt och tidskrävande att städa upp en site i WordPress. Vårt råd är att låta ett proffs ta hand om det.

Om du betalar för att använda Sucuri säkerhet plugin vi nämnde ovan, då hackad site reparation är inbyggd i priset.

Du kan också använda WPBeginner Pro Services reparationstjänst för hackad site. Detta kräver en engångsbetalning på $ 249 och inkluderar premium filbestämning, borttagning av skadlig kod, programvaru- och säkerhetsuppdateringar och en rengjord backup av webbplatsen.

WPBeginner Pro Services Hacked Site Repair

Vi garanterar att vi fixar din site eller ger dig pengarna tillbaka. Vi täcker också din website i 30 dagar efter reparationen, så om du blir hackad igen under den tiden kommer vi att vara där för att fixa det.

Vi har rengjort och säkrat webbplatser i WordPress i mer än 10 år, så du kan känna dig trygg när du använder vår tjänst Hacked Site Repair.

[Tillbaka till toppen ↑]

Bonustips: Anlita en tjänst för underhåll av WordPress

Som en upptagen småföretagare kanske du ej har tid att övervaka säkerheten på din website och skydda den från sårbarheter. Så för att underlätta för your mind och lätta på din arbetsbörda kan du anlita en WordPress underhållstjänst för säkerhetsövervakning 24/7.

WPBeginner Pro Services erbjuder omfattande underhåll av WordPress website till ett överkomligt pris. Det inkluderar säkerhetsövervakning, rutinmässiga molnbackups, WordPress updates, övervakning av drifttid och mycket mer.

WPBeginner WordPress website maintenance service

Välj helt enkelt en månatlig tjänst som passar dina behov, så får du en säkrare WordPress site och mer gratis tid att arbeta med andra aspekter av ditt företag.

Om du gillar andra rekommendationer kan du se våra val av de bästa tjänsterna för underhåll av webbplatser för WordPress.

[Tillbaka till toppen ↑]

Vi hoppas att den här artikeln hjälpte dig att lära dig de bästa metoderna för WordPress-säkerhet och upptäcka de bästa WordPress-säkerhetstilläggen för din website. Du kanske också vill se vår ultimata WordPress SEO guide för att förbättra din sökmotorsoptimering, och våra experttips om hur du snabbar upp WordPress.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

The Ultimate WordPress Toolkit

Get FREE access to our toolkit - a collection of WordPress related products and resources that every professional should have!

Disclosure: Our content is reader-supported. This means if you click on some of our links, then we may earn a commission. See how WPBeginner is funded, why it matters, and how you can support us. Here's our editorial process.

169 kommentarerLeave a Reply

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Oyatogun Oluwaseun Samuel says

    This is very insightful. I would also add that protecting access to your workstation or computer laboratory is also very important because these days, as part of security, we use strong password to gain access to our wordpress sites which is not easily remembered thereby forcing us to store it on web browser use to access our wordpress sites. Anyone that has access to your computer and these browsers could easily used the store username and password to login to your wordpress site and cause havoc. Secondly, I think it is really better to guard ransomware as regaining access to your wordpress site is not guarantee even after paying the ransom. Please can I ask how can someone know if google blacklist any website as result of malware and phishin?

  3. uzoma ichetaonye says

    Wow.. this is quite a very loaded article on ways to protect your website from hackers.

    BUT LET ME GIVE THIS TIP: While browsing on the internet, do NOT, i repeat, do NOT click on any random link that looks very suspicious and spammy or download any files that pops up unexpectedly on your screen or anywhere without request. Always go for genuine software rather than a null one.

    It is through this means that hackers get access to your login details and use these details to gain access to your website.

    I made a mistake of clicking on a particular link randomly to download a particular link and my website got hacked but i have finally regained control again.

    So, just stay away from accessing unauthorized and suspicious links that promises to offer special offers to lure you.

    JUST BE CAREFUL AND SAFE.

    • Dayo Olobayo says

      Thanks Uzoma for sharing your experience. This is a great reminder that hackers can be sneaky. You’re absolutely right about avoiding suspicious links and downloads. It is a super important step to website security. Glad you got your site back!

  4. Mrteesurez says

    No serious business will underestimate the power of security concerning websites specifically WordPress. It’s popularity make it a center of focus for hackers.
    I advise newly installed WordPress sites to firstly implement most of these security measures before launching or begin operation.

  5. Kushal Phalak says

    Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.

    • Moinuddin Waheed says

      I have been in the similar sitution where I was working for a reputed institue website.
      After making everything final, the director asked me date so that he can schedule a press release.
      I confidently suggested him a particualr date and before the schedule date,
      my website got corrupted and unfortunately I didn’t have any backup plan ready.
      I was completely screwed up and worked the whole day trying to restore to the previous working
      like condition.
      I think it is necessary that we give heed to each detail related to security.

  6. Ayanda Temitayo says

    Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login

    I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.

    What’s your opinion about changing the default login route?

  7. al amin Sheikh says

    Two important things in a website – Performance and Security.
    Nicely explained how we can protect our site from hackers. Thanks, WPB.

    • Moinuddin Waheed says

      Rightly said about the two most important thing of any website.
      security and performance.
      I think in case of wordpress, these two to a great extent can be achieved through good hosting provider and with the use of good themes and plugins.
      Most of the time, a wrong plugin can cause security loophole without you even noticing it.
      of course, other aspects are equally important to consider.

  8. mohadese esmaeeli says

    Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.

    • WPBeginner Support says

      Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer :)

      Admin

  9. Fajri says

    Whoa, the method to Disable XML-RPC in WordPress is totally new for me.

    I am gonna try to applicate it to add more security for my websites. Thanks for this information team!

  10. Murad Prodhan says

    WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.

  11. Jiří Vaněk says

    This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.

  12. Etop Udoekene says

    Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
    I am really grateful.

    • WPBeginner Support says

      You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.

      Admin

  13. Mark Ellsworth says

    Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.

  14. Ifakayode Femi says

    I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way

    Thanks for taking your time to compose this
    Thanks a million times

  15. Marko Kozlica says

    Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!

  16. Bob De Maria says

    Hi,
    I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.

    I can’t thank you enough for a very well written and much appreciated tutorial.

    Best Regards,

    Bob De Maria

  17. Kimberly says

    FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.

    • WPBeginner Support says

      Thank you for letting us know, we will be sure to look for an alternative we would recommend :)

      Admin

  18. MS says

    Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???

  19. tim jackz says

    Hello team,

    If i install two security plugin in my wordpress website, is there any disadvantages for my website?

    • WPBeginner Support says

      You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.

      Admin

  20. Diego says

    My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.

    I don’t quite understands all these different branches of WP.
    Should I still need to upgrade?

  21. Julia says

    So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.

  22. Trisha says

    Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?

    • WPBeginner Support says

      That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.

      Admin

    • WPBeginner Support says

      You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.

      Admin

    • WPBeginner Support says

      If your version of WordPress is up to date it should be active on your site normally.

      Admin

  23. Julie Taylor says

    Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?

    • WPBeginner Support says

      No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow :)

      Admin

  24. Leanne says

    This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!

  25. Daniel says

    You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!

  26. Mydas says

    This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD

  27. Splendor Edesiri says

    Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.

    • uzoma ichetaonye says

      I don’t think you need any VPN to access your website via its backend.

      VPN are used to disguise or help your identity or access a site that has been blocked from your location.

  28. Kam says

    Thank you for this article. It is essential reading!

    If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?

    • WPBeginner Support says

      While some hosts offer backups, we still recommend creating your own backups for safety

      Admin

  29. kalmoa says

    just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ’Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)

    • WPBeginner Support says

      Thank you for sharing this for the users who specifically are using Nginx for their site.

      Admin

  30. Tom says

    What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?

  31. Kartik Satija says

    Amazing article, very well articulated and documented.
    Thank you all so much for this.
    More power to you guys, keep up the good work.

    Cheers,
    Kartik.

  32. Liz says

    Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!

    • WPBeginner Support says

      It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue

      Admin

  33. Gary Starling says

    Very helpful suggestions and well explained from the basic to the complex
    Thank you four your explanations

  34. Andrei says

    Hi guys,

    After the first user enumeration, brute force a security plugin will block that IP address.

    If you password protect the wp-admin directory the plugin can no longer block that IP.

    Is that a correct assessment?

    • WPBeginner Support says

      Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin

      Admin

      • Andrei says

        Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.

  35. Peter says

    Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.

  36. Aqib khan says

    i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.

  37. mahmoud says

    I love this site. you’re offering precious information.
    I’m a beginner and this is helpful.
    but can I only have a strong password and disable indexing to do the matter?
    what about all these plugins I think they will affect the site speed or this not installed on the site?

  38. Krishna says

    Hi WP Beginner Team,

    Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.

    THANKS AGAIN…

Leave A Reply

Thanks for choosing to leave a comment. Please keep in mind that all comments are moderated according to our comment policy, and your email address will NOT be published. Please Do NOT use keywords in the name field. Let's have a personal and meaningful conversation.