·
25. marts 2026
Dette indhold indeholder affiliate- eller reklamelinks. Hvis du klikker på et link og gennemfører et køb, kan vi modtage en kommission. Det påvirker ikke den pris, du betaler. Bemærk, at vi ikke viser alle udbydere på markedet.
En sikker hjemmeside er ikke et luksusfænomen forbeholdt store virksomheder med dedikerede IT-afdelinger. Uanset om du driver en lille blog, en webshop eller en virksomhedshjemmeside, er sikkerhed en grundlæggende forudsætning for, at din side fungerer, bevarer brugernes tillid og overholder gældende lovgivning. Angreb, datalæk og nedbrud kan ramme alle – og konsekvenserne er ofte langt større end de fleste forventer.
Hvad vil det sige, at en hjemmeside er sikker?
En sikker hjemmeside beskytter tre ting: dine egne data, dine brugeres data og selve hjemmesidens tilgængelighed. Det handler ikke kun om at undgå hacking. Det handler også om korrekt kryptering, opdateret software, stærk adgangskontrol og overholdelse af lovkrav som GDPR.
Sikkerhed er desuden et SEO-parameter. Google nedprioriterer hjemmesider uden HTTPS i søgeresultaterne, og browsere som Chrome advarer aktivt brugere, når de besøger sider uden gyldig kryptering. En usikker hjemmeside mister altså ikke kun data – den mister også synlighed og troværdighed.
HTTPS og SSL-certifikater: Fundamentet for kryptering
Det første og mest grundlæggende lag af sikkerhed er et SSL certifikat, som aktiverer HTTPS-protokollen på din hjemmeside. SSL krypterer al kommunikation mellem brugerens browser og din server, så følsomme oplysninger som adgangskoder, betalingsdata og personlige informationer ikke kan opsnappes undervejs.
I dag tilbyder de fleste hostingudbydere gratis SSL-certifikater via Let’s Encrypt. Det er ikke længere en ekstraudgift – det er standard. Hvis din hjemmeside stadig kører på HTTP, bør du skifte til HTTPS øjeblikkeligt.
Sådan tjekker du om din hjemmeside har SSL
Kig i adresselinjen i din browser. Ser du et hængelåsikon og “https://” foran domænenavnet, er certifikatet aktivt. Ser du “Ikke sikker” eller et rødt advarselsskilt, mangler certifikatet eller er udløbet.
Opdateringer: Den mest undervurderede sikkerhedsforanstaltning
Langt de fleste vellykkede angreb på hjemmesider sker ikke via avancerede metoder – de udnytter kendte sikkerhedshuller i forældet software. Bruger du WordPress, skal du holde både kernesystemet, temaer og plugins opdateret løbende. Det samme gælder andre CMS-platforme.
Plugins er særligt sårbare, fordi de udvikles af tredjeparter og ikke altid vedligeholdes aktivt. Deaktiver og slet plugins, du ikke bruger. Hvert aktivt plugin er en potentiel indgang for angribere.
Automatiske opdateringer
WordPress tilbyder automatiske opdateringer for mindre sikkerhedsrettelser. Det anbefales at aktivere disse. For større opdateringer bør du tage en sikkerhedskopi først og teste i et staging-miljø, hvis din hjemmeside er forretningskritisk.
Stærke adgangskoder og to-faktor-autentificering
En af de hyppigste angrebsmetoder er brute force, hvor automatiserede programmer systematisk afprøver tusindvis af adgangskodekombinationer. Svage adgangskoder som “admin123” eller “password” knækkes på sekunder.
Brug altid adgangskoder på minimum 16 tegn med en kombination af store og små bogstaver, tal og specialtegn. Endnu bedre: brug en adgangskodemanager som Bitwarden eller 1Password til at generere og opbevare komplekse koder.
To-faktor-autentificering (2FA)
To-faktor-autentificering tilføjer et ekstra lag ved login. Selv hvis en angriber kender din adgangskode, kræves der stadig en engangskode fra din telefon eller en autentificeringsapp. På WordPress kan du aktivere 2FA via plugins som WP 2FA eller Google Authenticator. Det er en af de mest effektive sikkerhedsforanstaltninger, du kan implementere.
Begræns loginadgang og beskyt admin-siden
Standard-login-URL’en på WordPress er /wp-admin eller /wp-login.php – det ved angriberne godt. Du kan reducere angrebsfladen markant ved at ændre denne URL til noget unikt, begrænse antallet af loginforsøg og blokere IP-adresser, der gentagne gange forsøger at logge ind.
Plugins som Limit Login Attempts Reloaded og WPS Hide Login er enkle at installere og giver stor effekt. Du kan også begrænse adgangen til admin-siden til specifikke IP-adresser, hvis du altid arbejder fra de samme lokationer.
Brugerniveauer og rettigheder
Giv aldrig alle brugere administratorrettigheder. WordPress har fem brugerroller: abonnent, bidragyder, forfatter, redaktør og administrator. Tildel kun de rettigheder, der er nødvendige for den pågældendes opgave. Princippet hedder “least privilege” og er en grundsten i it-sikkerhed.
Sikkerhedskopier: Din livline ved angreb eller nedbrud
Ingen sikkerhedsforanstaltning er 100 procent garanteret. Derfor er regelmæssige sikkerhedskopier afgørende. En backup giver dig mulighed for at gendanne din hjemmeside til en fungerende tilstand, selv hvis den bliver hacket, ødelagt af en fejlslået opdatering eller ramt af servernedbrud.
Backups bør gemmes på en ekstern lokation – ikke kun på den samme server som hjemmesiden. Brug tjenester som Amazon S3, Google Drive eller Dropbox som backup-destination. Plugins som UpdraftPlus eller BackupBuddy til WordPress automatiserer processen.
Hvor ofte skal du tage backup?
| Type hjemmeside | Anbefalet backup-frekvens |
|---|---|
| Statisk informationsside (sjældent opdateret) | Ugentlig |
| Blog med jævnlige indlæg | Daglig |
| Webshop med daglige transaktioner | Flere gange dagligt |
| Nyhedssite eller forum | Realtid eller time-baseret |
Web Application Firewall (WAF)
En Web Application Firewall filtrerer ondsindet trafik, før den når din hjemmeside. Den blokerer kendte angrebsmønstre som SQL-injektioner, cross-site scripting (XSS) og DDoS-angreb. Tjenester som Cloudflare tilbyder WAF som en del af deres gratis og betalte planer og er nemme at sætte op, selv for ikke-tekniske brugere.
Cloudflare fungerer som et mellemled mellem besøgende og din server. Al trafik passerer igennem Cloudflares netværk, som analyserer og filtrerer anmodningerne. Det reducerer serverbelastningen og forbedrer samtidig hjemmesidehastighed via caching og CDN-funktionalitet.
GDPR og databeskyttelse
En sikker hjemmeside er også en lovlydig hjemmeside. GDPR stiller klare krav til, hvordan du indsamler, opbevarer og behandler persondata. Overtræder du reglerne, risikerer du bøder fra Datatilsynet – og det kan ske, selv om du aldrig har haft intentioner om misbrug.
Konkret betyder det, at du skal have en privatlivspolitik, at du kun må indsamle de data, du har et legitimt grundlag for, og at brugere skal kunne anmode om at få deres data slettet. Formularer, nyhedsbrevsopsamling og analysesoftware er alle områder, der kræver opmærksomhed.
Cookie-samtykke
Bruger din hjemmeside cookies til tracking, annoncering eller analyse, skal du indhente aktivt samtykke fra brugerne, inden disse cookies sættes. Et korrekt implementeret cookie banner er ikke blot et juridisk krav – det er også et signal til dine besøgende om, at du tager deres privatliv alvorligt.
Sikker hosting: Vælg din udbyder med omhu
Din hostingudbyder er fundamentet for din hjemmesides sikkerhed. En dårlig hostingudbyder kan have forældet serversoftware, manglende firewalls og utilstrækkelig overvågning. Vælg en udbyder, der aktivt vedligeholder sin infrastruktur, tilbyder automatiske sikkerhedskopier, DDoS-beskyttelse og SSL-certifikater som standard.
Tjek om udbyderen tilbyder isolerede hostingmiljøer. På delt hosting kan én kompromitteret hjemmeside i teorien påvirke andre på samme server, hvis isoleringen er mangelfuld. Managed hosting eller VPS-løsninger giver typisk bedre kontrol og sikkerhed end billigste delte hosting.
Scanning og overvågning
Du kan ikke beskytte det, du ikke overvåger. Regelmæssig scanning af din hjemmeside for malware, ændrede filer og mistænkelig aktivitet er en vigtig del af en samlet sikkerhedsstrategi.
| Værktøj | Funktion | Pris |
|---|---|---|
| Wordfence (WordPress) | Firewall, malware-scanning, login-beskyttelse | Gratis / Premium fra ca. 99 USD/år |
| Sucuri SiteCheck | Ekstern scanning for malware og blacklisting | Gratis scanning / Betalt overvågning |
| Cloudflare | WAF, DDoS-beskyttelse, CDN | Gratis basisplan / Pro fra 20 USD/mdr |
| MalCare | Automatisk malware-fjernelse, firewall | Fra ca. 99 USD/år |
| iThemes Security (WordPress) | Filændringsdetektion, brute force-beskyttelse | Gratis / Pro fra 99 USD/år |
Filrettigheder og serverkonfiguration
Forkerte filrettigheder på din server er en klassisk sikkerhedsbrist. Filer bør som udgangspunkt have rettigheden 644 og mapper 755 på en Linux-server. Konfigurationsfiler som wp-config.php i WordPress bør have endnu mere restriktive rettigheder (400 eller 440), da de indeholder databaseoplysninger og sikkerhedsnøgler.
Sørg desuden for, at directory browsing er deaktiveret på din server. Ellers kan besøgende – og angribere – se en liste over alle filer i en mappe, hvis der ikke er en index-fil til stede. Dette konfigureres i din .htaccess-fil eller via serverindstillinger.
Beskyttelse mod de mest almindelige angrebstyper
SQL-injektion
SQL-injektion sker, når en angriber indsætter ondsindet kode i et inputfelt (f.eks. en søgefunktion eller formular), som derefter udføres direkte i databasen. Beskyttelsen ligger i korrekt validering og sanitering af al brugerinput samt brug af forberedte SQL-forespørgsler (prepared statements). Moderne CMS-platforme håndterer dette i vid udstrækning automatisk, men tredjeparts-plugins kan introducere sårbarheder.
Cross-Site Scripting (XSS)
XSS-angreb indsprøjter ondsindet JavaScript i din hjemmeside, som derefter afvikles i besøgendes browsere. Det kan bruges til at stjæle sessionsdata eller omdirigere brugere til falske sider. En Content Security Policy (CSP) i dine HTTP-headers er en effektiv modforanstaltning og kan konfigureres via din server eller Cloudflare.
DDoS-angreb
Et Distributed Denial of Service-angreb overbelaster din server med kunstig trafik, så den går ned for reelle besøgende. Cloudflare og lignende tjenester absorberer og filtrerer denne trafik, inden den rammer din server. De fleste hostingudbydere har også basisbeskyttelse mod DDoS, men omfanget varierer.
Sikkerhed på tværs af platforme
Sikkerhedsbehovene varierer afhængigt af, hvilken platform du bruger. En webshop håndterer betalingsdata og kræver PCI DSS-overholdelse, mens en simpel blog primært skal beskyttes mod malware og uautoriseret adgang. Fælles for alle platforme er dog de grundlæggende principper: opdateret software, stærke adgangskoder, HTTPS og regelmæssige backups.
| Platform | Primære sikkerhedsansvar | Bemærkning |
|---|---|---|
| WordPress (selvhostet) | Bruger selv | Størst fleksibilitet, størst ansvar |
| Wix | Wix håndterer infrastruktur | Begrænset adgang til serverkonfiguration |
| Shopify | Shopify håndterer PCI DSS og SSL | Stærk sikkerhed out-of-the-box |
| Squarespace | Squarespace håndterer infrastruktur | Automatisk SSL, begrænset plugin-risiko |
| Webflow | Webflow håndterer hosting og SSL | God sikkerhed, ingen plugin-sårbarhed |
Sikkerhedsaudit: Gennemgå din hjemmeside systematisk
En sikkerhedsaudit er en struktureret gennemgang af din hjemmesides sårbarhedspunkter. Det behøver ikke være en dyr konsulentopgave – du kan selv gennemføre en grundlæggende audit ved at følge en tjekliste.
Grundlæggende sikkerhedstjekliste
- Er SSL-certifikatet aktivt og ikke udløbet?
- Kører alle plugins, temaer og CMS-kernen på seneste version?
- Er der aktiveret to-faktor-autentificering på admin-kontoen?
- Er standard-admin-brugernavnet ændret fra “admin”?
- Er der sat en grænse for loginforsøg?
- Tages der automatiske backups til en ekstern lokation?
- Er der en aktiv firewall eller WAF?
- Er ubrugte plugins og temaer slettet?
- Er filrettigheder korrekt konfigureret?
- Er cookie-samtykke og privatlivspolitik på plads?
Gennemfør denne tjekliste minimum én gang i kvartalet. Sikkerhed er ikke en engangsopgave – det er en løbende proces, der kræver opmærksomhed i takt med, at trusselsbilledet ændrer sig og ny software introduceres på din hjemmeside.