WordPress 9 min lesning

WordPress hacket? Slik fjerner du hacket og forebygger nye angrep

Steg-for-steg guide hvis WordPress er hacket: hvordan du oppdager angrepet, fjerner skadelig kode, gjenoppretter siden og hindrer at det skjer igjen.

Kort svar

Er WordPress hacket må siden settes i vedlikeholdsmodus, alle passord byttes, skadelig kode fjernes via clean install eller backup, og deretter må alle plugins, temaer og kjernen oppdateres. Bruk Wordfence eller MalCare til skanning, og koble inn ekspert ved alvorlig infeksjon.

Er WordPress hacket?

WordPress er hacket når uautoriserte personer har fått tilgang til nettsiden, plantet skadelig kode eller fått ut data de ikke skulle hatt tilgang til. I praksis betyr det at noen kan vise reklame i ditt navn, omdirigere besøkende til svindelsider, stjele kundedata eller bruke serveren din til videre angrep.

Kort oppsummert: Sett siden i vedlikeholdsmodus, bytt alle passord, fjern skadelig kode, gjeninstaller rene filer og oppdater alt. Har du ikke gjort dette før, hent inn ekspert. Reinfeksjon er svært vanlig hvis bakdører overses.

For den løpende sikkerhetshygienen, se vår WordPress vedlikehold-pillarguide og oversikten over WordPress nettside.

Hvordan oppdager du at WordPress er hacket?

Mange hack går ubemerket i dager eller uker fordi angriperen ikke vil bli oppdaget. Her er de typiske varslene:

  • Google viser advarsel i søkeresultatene (“This site may harm your computer”)
  • Nettsiden omdirigerer til ukjente domener, særlig på mobil
  • Ukjente admin-brukere har dukket opp i wp-admin
  • Hostingleverandøren varsler om mistenkelig aktivitet eller suspenderer kontoen
  • Sterk økning i serverbelastning uten økt trafikk
  • Spam-innlegg eller spam-kommentarer dukker opp av seg selv
  • Filer i wp-content har endringsdato uten at du har oppdatert noe
  • Antivirus blokkerer siden hos besøkende

Skann med Wordfence, MalCare eller Sucuri SiteCheck for å bekrefte mistanken før du gjør store endringer.

Steg 1: Begrens skaden umiddelbart

Reager raskt, men ikke i panikk. Det første målet er å hindre at hacket sprer seg videre.

  1. Sett siden i vedlikeholdsmodus eller ta den midlertidig offline
  2. Bytt alle passord umiddelbart: wp-admin, FTP eller SFTP, hostingpanel, database og e-post tilknyttet domenet
  3. Logg ut alle brukere ved å bytte SECRET_KEYS i wp-config.php
  4. Varsle hostingleverandøren så de kan hjelpe med isolering og logger
  5. Skru av alle ukjente admin-brukere og fjern dem helt
  6. Stopp planlagte e-postutsendelser så du ikke spammer kundene dine

Ikke slett filer på dette stadiet. Du trenger sporene for å forstå hva som har skjedd.

Steg 2: Ta full backup av den infiserte siden

Det høres bakvendt ut, men du må ha en kopi av den infiserte tilstanden før du rydder. Den brukes til etterforskning og som siste utvei hvis oppryddingen sletter noe viktig.

Ta backup av filer og database separat, og lagre eksternt. Marker filen tydelig som “infisert backup, IKKE gjenopprett”. Se vår backup-guide for detaljer.

Steg 3: Identifiser angrepsflaten

Før du fjerner skadelig kode må du forstå hvordan angriperen kom inn. De vanligste angrepsflatene:

  • Utdatert plugin med kjent sårbarhet
  • Utdatert tema, særlig nulled premium-temaer fra ulovlige kilder
  • Svakt admin-passord som er gjettet eller knekt med brute force
  • Lekket FTP-passord fra en kompromittert lokal maskin
  • Hosting-naboer på dårlig isolerte delte servere
  • Eldre WordPress-kjerne med upatchet sårbarhet

Sjekk hvilke plugins som er utdatert, hvilke temaer som er aktive, og når siste oppdatering ble gjort. Ofte ser du at angrepet fant sted kort tid etter at en sårbarhet ble offentlig kjent og kunden ikke hadde oppdatert.

Steg 4: Fjern skadelig kode

Det finnes to hovedstrategier.

Alternativ A: Clean install (anbefalt)

Den tryggeste metoden er å erstatte all kode med rene filer:

  1. Last ned siste WordPress-kjerne fra wordpress.org
  2. Slett alle filer i WordPress-mappen unntatt wp-content/uploads og wp-config.php
  3. Last opp den friske kjernen
  4. Slett wp-content/plugins helt og installer alle plugins på nytt fra offisielle kilder
  5. Slett wp-content/themes og last opp ren versjon av temaet
  6. Skann wp-content/uploads for fremmede PHP-filer (det skal ikke ligge .php der i det hele tatt)
  7. Eksportér databasen, søk gjennom for kjente injection-mønstre og rensk

Alternativ B: Gjenopprett fra ren backup

Hvis du har en fersk backup tatt før hacket skjedde:

  1. Verifiser at backupen er fra før infeksjonen ved å sjekke datoer
  2. Slett hele installasjonen
  3. Gjenopprett filer og database fra backup
  4. Oppdater alt umiddelbart etter gjenoppretting

Dette er raskt, men forutsetter at du vet sikkert når hacket skjedde. Hvis du gjenoppretter en backup som allerede inneholder bakdøren, er du tilbake til start.

Steg 5: Oppdater alt og styrk sikkerheten

Når siden er ren må du sørge for at angriperen ikke kommer inn samme vei igjen.

  • Oppdater WordPress-kjernen til siste versjon
  • Oppdater alle plugins og fjern dem du ikke aktivt bruker
  • Oppdater temaet og slett alle inaktive temaer
  • Bytt SECRET_KEYS i wp-config.php (api.wordpress.org/secret-key/1.1/salt/)
  • Aktiver tofaktor-autentisering på alle admin-brukere
  • Installer en sikkerhetsplugin som Wordfence, Solid Security eller MalCare
  • Begrens innloggingsforsøk og blokker brute force-IP-er
  • Aktiver en Web Application Firewall på hosting eller via Cloudflare

Les mer i hvorfor regelmessig oppdatering er kritisk og hva som skjer hvis WordPress ikke oppdateres.

Steg 6: Verifiser at siden er ren

Etter opprydding skanner du på nytt for å bekrefte at alt er rent.

  • Kjør Wordfence-skann eller MalCare-skann og vent til resultatet er grønt
  • Send siden til Google Search Console og be om ny gjennomgang hvis Google har flagget den
  • Sjekk Sucuri SiteCheck og VirusTotal for ekstern verifikasjon
  • Overvåk serverloggene i minst 14 dager etter opprydding

Mange hack legger sovende bakdører som aktiveres dager eller uker senere. Tett overvåking i de første ukene fanger reinfeksjoner tidlig.

Hva koster det å få fjernet et WordPress-hack?

Prisen avhenger av omfanget. En enkel oppjustering med backup-gjenoppretting og oppdatering kan koste fra noen tusen kroner. Et komplekst hack med flere injiserte filer, kompromittert database og Google-blokkering kan ende på et vesentlig høyere beløp.

Til sammenligning ligger en månedlig vedlikeholdsavtale i et helt annet kostnadssegment, og inkluderer typisk hack-fjerning hvis ulykken først er ute. Forebygging er nesten alltid mye billigere enn reaksjon. Se WordPress vedlikehold-pris for hva en helhetlig avtale typisk koster.

Hvordan unngår du at det skjer igjen?

Sikkerhet er ikke et engangsprosjekt. De som ikke blir hacket gjør dette kontinuerlig:

  • Oppdaterer WordPress, plugins og temaer minst hver 14. dag
  • Tar daglig backup som lagres eksternt (se backup-guiden)
  • Bruker sterke, unike passord og tofaktor-autentisering
  • Begrenser admin-brukere til de som faktisk trenger det
  • Fjerner inaktive plugins og temaer
  • Velger seriøs hosting med isolerte miljøer (se hosting vs vedlikehold)
  • Følger en månedlig vedlikeholds-sjekkliste

Trenger du hjelp nå?

HjemmesideHelten har ryddet opp i hundrevis av WordPress-hack siden 2015. Vi gjør hurtig diagnose, full opprydding, oppdatering og overvåking i ettertid. Jobber du med en nettbutikk er rask responstid kritisk for å unngå tapte bestillinger og varig SEO-skade.

Ta kontakt for akutthjelp eller les mer om hva en vedlikeholdsavtale inkluderer for å forebygge.

Spørsmål om dette

Ofte stilte spørsmål

Hvordan vet jeg om WordPress er hacket?
Vanlige tegn er at Google viser advarsel i søkeresultatene, at siden omdirigerer til ukjente nettsteder, at ukjente admin-brukere dukker opp, eller at hostingleverandøren varsler om mistenkelig aktivitet. Sjekk også at filer i wp-content ikke er endret nylig uten at du har oppdatert noe selv. Skann med Wordfence eller MalCare for å bekrefte.

Hva er det første jeg skal gjøre når WordPress er hacket?
Sett siden i vedlikeholdsmodus eller ta den midlertidig offline for å hindre videre skade. Bytt deretter alle passord, både wp-admin, FTP, hosting-konto og database. Varsle hostingleverandøren slik at de kan hjelpe med isolering. Ikke begynn å slette filer før du har en fersk backup og en plan, ellers kan du gjøre vondt verre.

Kan jeg fjerne hacket selv?
Ja, hvis infeksjonen er begrenset og du har teknisk kompetanse. Du erstatter WordPress-kjernen, alle plugins og temaer med rene versjoner, sjekker wp-content/uploads for skadelige PHP-filer og rensker databasen for injisert kode. Er du usikker eller siden er en nettbutikk, anbefales det å koble inn en ekspert for å unngå reinfeksjon.

Hvor lang tid tar det å rydde opp et WordPress-hack?
En enkel infeksjon kan ryddes på 2 til 4 timer hvis du har god backup. Komplekse hack med backdoors spredt i flere filer og databasen kan ta 1 til 3 dager. Etter opprydding må siden overvåkes i minst 14 dager for å fange opp ny aktivitet, fordi mange angrep planter sovende kode som aktiveres senere.

Hvorfor blir WordPress hacket?
De vanligste årsakene er utdaterte plugins, svake passord, mangel på tofaktor-autentisering og infiserte nulled premium-temaer. WordPress-kjernen i seg selv er godt vedlikeholdt. Det store flertallet av hack utnytter sårbarheter i tredjeparts plugins eller dårlige rutiner rundt brukerkontoer og hosting. Regelmessige oppdateringer eliminerer flertallet av angrepsflatene.

Bør jeg gjeninstallere WordPress fra bunnen?
Ofte er det det tryggeste valget hvis du ikke vet nøyaktig hva som er infisert. Du installerer ren WordPress, importerer kun innhold du stoler på fra en backup tatt før hacket, og rebygger oppsettet med oppdaterte plugins. Tar litt mer tid, men gir trygghet for at alle bakdører er fjernet for godt.

Hva koster det å få fjernet et WordPress-hack?
Profesjonell oppryddingstjeneste ligger typisk i området fra noen tusen kroner for enkle saker til femsifret beløp for kompliserte hack med stort dataomfang. Mange vedlikeholdsavtaler inkluderer hack-fjerning som en del av abonnementet, noe som gjør forebygging billigere enn reaksjon når noe først skjer.

Hvordan hindrer jeg at WordPress blir hacket igjen?
Oppdater kjerne, plugins og temaer minst hver 14. dag. Bruk sterke passord og tofaktor-autentisering på alle admin-brukere. Installer en sikkerhetsplugin som Wordfence eller Solid Security. Begrens innloggingsforsøk og bruk en Web Application Firewall. Ta automatisk daglig backup og fjern alle plugins og temaer du ikke aktivt bruker.
Nohman Janjua
Skrevet av
Nohman Janjua
Founder & Head of Company

Grunnla HjemmesideHelten i 2015. 10+ år med WordPress og WooCommerce, fra teknisk arkitektur til kundedialog. Skriver om SEO, AEO og hva som faktisk fungerer for norske nettbutikker.

LinkedIn-profil

Klar for en nettside som rangerer?

Få et fast tilbud innen 24 timer. Ingen forpliktelser.

Få gratis tilbud Book 30 min med oss Se priser