Ny hjemmeside er ved at blive sat op, derfor vil flere sider ikke fungere. Sidst opdateret: 07-04-2026
Kontakt →

Hvert eneste WordPress-site med en standard installation bliver kontinuerligt angrebet. Bots scanner internettet 24/7 og forsøger tusindvis af brugernavn/adgangskode-kombinationer mod /wp-login.php. De fleste siteejere ved det ikke — fordi det normalt ikke virker. Men når det gør, er konsekvenserne alvorlige.

Hvad er et brute force-angreb?

Et brute force-angreb er simpelt: automatiserede scripts forsøger systematisk at logge ind på dit WordPress-site ved at prøve kendte brugernavne (typisk “admin”) kombineret med millioner af adgangskoder fra lækkede databaser.

Det er ikke sofistikeret — det er råstyrke. Men det virker mod svagt sikrede sites.

En typisk angrebssekvens ser sådan her ud i dine server-logs:

POST /wp-login.php 200 - 91.213.xx.xx
POST /wp-login.php 200 - 91.213.xx.xx
POST /wp-login.php 200 - 91.213.xx.xx
[...500 gange inden for 10 minutter...]

Ud over sikkerhedsrisikoen belaster det din server markant og kan forårsage nedetid.

De fem mest effektive beskyttelser

1. Skjul din login-URL

Det mest effektive enkelt-tiltag. Installer WPS Hide Login og flyt din login-side fra /wp-login.php til noget som /min-hemmelige-indgang. Bots der scanner for /wp-login.php finder ingenting og fortsætter videre.

Dette eliminerer 90%+ af automatiserede brute force-angreb øjeblikkeligt.

2. To-faktor-godkendelse

Selv hvis en angriber gætter din adgangskode kan de ikke logge ind uden den anden faktor. Installer WP 2FA eller tilsvarende og aktivér det på alle admin-konti.

Dette er den vigtigste beskyttelse mod credential stuffing — angreb hvor hackere bruger brugernavn/adgangskode-kombinationer fra andre lækkede databaser.

3. Begræns login-forsøg

Installer Limit Login Attempts Reloaded. Indstil maks 5 forsøg inden IP’en låses i 20 minutter. Simpelt og effektivt mod automatiserede angreb.

4. Bloker xmlrpc.php

XML-RPC er en WordPress-funktion der tillader eksternt API-adgang. Det bruges sjældent legitimt men er et yndet angrebsmål fordi det tillader tusindvis af login-forsøg i én enkelt forespørgsel.

Bloker det i din .htaccess:

# Bloker XML-RPC
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

Eller via Wordfence’s firewall-regler.

5. Stærke adgangskoder og korrekt brugernavn

Brug aldrig “admin” som brugernavn — det er det første bots prøver. Opret en ny administrator-konto med et unikt brugernavn og slet den gamle admin-konto.

Brug en adgangskode på minimum 16 tegn med tal og specialtegn. En password manager som Bitwarden gør det nemt.

Avanceret: IP-whitelist til wp-admin

Har du en fast IP-adresse (check med din internetudbyder) kan du begrænse adgang til /wp-admin til kun din IP:

# I .htaccess i wp-admin mappen
<Files "*.php">
  Order Deny,Allow
  Deny from all
  Allow from DIN.IP.ADRESSE.HER
</Files>

Det er den mest effektive beskyttelse men kræver at du altid logger ind fra samme IP. Ikke praktisk for alle.

Cloudflare som ekstra lag

Cloudflare’s gratis plan tilbyder grundlæggende bot-beskyttelse og rate limiting. Sæt en regel op der begrænser forespørgsler til /wp-login.php til maks 5 pr. minut pr. IP — alt over det blokeres automatisk.

Det aflaster også din server fordi angrebstrafikken stoppes af Cloudflare inden den rammer din hosting.

Tjekliste: Grundlæggende login-sikkerhed

  • ✓ Login-URL er ændret fra standard /wp-login.php
  • ✓ To-faktor-godkendelse aktiveret på alle admin-konti
  • ✓ Login-forsøg begrænset til maks 5 pr. IP
  • ✓ XML-RPC deaktiveret eller blokeret
  • ✓ Brugernavnet “admin” bruges ikke
  • ✓ Adgangskoder er unikke og minimum 16 tegn

Har du brug for hjælp til at implementere disse tiltag? Kontakt mig — det er en del af alle mine webmaster-aftaler.

// Brug for hjælp?

Lad os løse det

Har du brug for hjælp med WordPress, sikkerhed eller automatisering? Jeg svarer inden for 24 timer.

Kontakt mig →

Webmaster-aftaler

Fra 1.299 kr/md — opdateringer, backup, sikkerhed og support.

Se aftaler →

Flere indlæg

Se alle →