Søg efter “WordPress sikkerhedsplugin” og du får hundredvis af resultater. Alle lover at beskytte dit site fuldstændigt. Realiteten er at de fleste sider har for mange sikkerhedsplugins installeret — og det skaber faktisk nye problemer. Her er hvad der faktisk virker.
Grundreglen: Ét godt plugin er bedre end fem middelmådige
Mange WordPress-ejere installerer et plugin til login-beskyttelse, et til scanning, et til firewall og et til backup — og ender med fire plugins der overlapper, konflikter og bremser siden. Vælg én samlet løsning og supplement kun med det der mangler.
De bedste alt-i-én sikkerhedsplugins
1. Wordfence Security (gratis / betalt)
Det mest udbredte WordPress sikkerhedsplugin med over 5 millioner aktive installationer. Gratis versionen inkluderer:
- Firewall med regler opdateret af Wordfences trussels-feed
- Malware-scanner der sammenligner dine filer med kendte WordPress-versioner
- Login-sikkerhed med to-faktor og brute force-beskyttelse
- Live-trafik visning
Ulempe: Gratis versionen modtager firewall-regler 30 dage forsinket i forhold til betalte brugere. På et aktivt angrebet site kan det betyde noget.
Hvem er det til: De fleste WordPress-sites. Stærk til scanning og brute force-beskyttelse.
2. Sucuri Security (gratis / betalt)
Sucuri er primært kendt for deres betalte WAF (Web Application Firewall) der sidder foran dit site og filtrerer trafik inden den rammer din server. Gratis plugin-versionen giver:
- Filintegritetsovervågning
- Sikkerhedsaktivitetslog
- Post-hack sikkerhedsguide
Hvem er det til: Sites med høj trafik eller kritisk forretning der kan retfærdiggøre prisen på den betalte WAF.
3. iThemes Security (gratis / betalt)
Bred dækning med over 30 sikkerhedsfunktioner. Særligt stærk til at hærde WordPress-installationen — skjule login-URL, deaktivere XML-RPC, tvinge stærke adgangskoder og meget mere.
Ulempe: Kan være overvældende at konfigurere korrekt. Forkerte indstillinger kan låse dig ude af dit eget site.
Specialiserede plugins der er værd at kende
4. WPS Hide Login
Ét simpelt formål: skjuler din WordPress login-URL fra /wp-admin og /wp-login.php til en URL du selv vælger. Eliminerer størstedelen af automatiserede brute force-angreb øjeblikkeligt da bots scanner specifikt efter standard login-URL.
Letvægts, pålidelig og gør én ting godt. Anbefalet til alle WordPress-sites.
5. Limit Login Attempts Reloaded
Begrænser antallet af fejlede login-forsøg fra samme IP. Simpel men effektiv beskyttelse mod brute force-angreb.
6. Two Factor Authentication
To-faktor-godkendelse til WordPress-login via TOTP (Google Authenticator, Authy o.l.). Absolut mest effektive beskyttelse mod kompromitterede adgangskoder.
7. UpdraftPlus
Teknisk set et backup-plugin, men backup er sikkerhed. UpdraftPlus automatiserer daglige backups til ekstern storage (Google Drive, Dropbox, S3) og er den bedste gratis løsning på markedet.
Hvad du IKKE behøver
Flere scanningsplugins simultant — én god scanner er nok. To scannere kørende parallelt bremser dit site og giver ikke bedre dækning.
Captcha-plugins på alle formularer — moderne spam-filtre i kontaktform-plugins håndterer det meste. Captcha frustrerer rigtige brugere mere end bots.
Security through obscurity-plugins — plugins der fjerner WordPress-versionsnummeret fra kildekoden eller omdøber database-præfikset giver en falsk følelse af sikkerhed. En dedikeret angriber finder rundt om det.
Den minimale sikkerhedspakke jeg anbefaler
For de fleste mellemstore WordPress-sites er dette tilstrækkeligt:
- Wordfence (gratis) — firewall og scanning
- WPS Hide Login (gratis) — skjul login-URL
- UpdraftPlus (gratis) — daglig backup til ekstern storage
- To-faktor-godkendelse på alle admin-konti
Det er fire plugins der ikke overlapper, ikke konflikter og tilsammen dækker de vigtigste angrebsvektorer.
Vil du have en vurdering af din WordPress-sites sikkerhed? Kontakt mig for en gennemgang.