Object caching med Redis i WordPress – hvad, hvorfor og hvornår?For nørder: Incident response & hardening af et hacket WordPress-siteWordPress hacket – sådan reparerer du et kompromitteret website (og undgår det sker igen)Object caching med Redis i WordPress – hvad, hvorfor og hvornår?For nørder: Incident response & hardening af et hacket WordPress-siteWordPress hacket – sådan reparerer du et kompromitteret website (og undgår det sker igen)

+45 60 63 06 45

Beskyt dit WordPress Site

Sådan sikrer du din Online Forretning mod Hack og Datatyveri

Tjek Website

Sikkerhedstjek dit WordPress Site her.

Et sikkert WordPress site er fundamentet for din online succes. Vores avancerede sikkerhedstjekker identificerer de mest kritiske risici, så du kan handle proaktivt og beskytte både dine data og dine kunders tillid. Læs videre for at få indsigt i, hvad der tjekkes – og hvorfor du skal tage WordPress-sikkerhed alvorligt!




Hvad testen indeholder

Denne sikkerhedstest analyserer en WordPress-installations opsætning, headers, filadgang og konfiguration for at identificere svagheder, misconfigurations og forbedringsmuligheder. Nedenfor gennemgås alle testområder med forklaring.

WordPress-detektion

Testen analyserer HTML-output for at afgøre, om websitet kører WordPress, ved at lede efter karakteristiske elementer som wp-content, wp-includes og generator-meta-tags. Dette afgør, om de efterfølgende WordPress-specifikke tests er relevante.

WordPress versionskontrol

Hvis WordPress detekteres, forsøger testen at udtrække versionsnummeret. Versionen sammenholdes med den nyeste tilgængelige fra WordPress.org API. Uforældede installationer er en væsentlig risiko, fordi ældre versioner ofte indeholder kendte sikkerhedshuller.

SSL/HTTPS og certifikatkontrol

Analysen tjekker om websitet benytter HTTPS. Hvis ja, hentes certifikatets metadata direkte fra serveren: udsteder, gyldighedsperiode og eventuelle udløbsadvarsler. Manglende eller udløbende certifikater kan kompromittere data mellem bruger og server.

Caching og CDN

Testen analyserer HTTP-headere for tegn på edge- og page-caching samt brug af CDN-lag. Der kigges efter typiske headers som CF-Cache-Status (Cloudflare), X-Cache, X-LiteSpeed-Cache, X-Var­nish, Age m.fl. Hvis der registreres cache-HIT-responser, indikerer det, at websitet udnytter en effektiv cache- eller CDN-konfiguration, hvilket reducerer svartid og serverbelastning. Manglende cache-indikatorer betyder ikke nødvendigvis, at der slet ikke er caching, men at det ikke kan bekræftes via standard-headere udefra. Bemærk, at testen kun vurderer HTTP-baseret caching (edge/page cache) og ikke kan se server-interne mekanismer som Redis eller anden persistent object cache.

HSTS (Strict-Transport-Security)

Testen kontrollerer om HSTS-headeren er sat, og om den har en tilstrækkelig max-age, samt om includeSubDomains og eventuelt preload er aktiveret. HSTS tvinger browseren til kun at bruge HTTPS og forhindrer downgrade-angreb som SSL Stripping.

WP_DEBUG og synlige PHP-fejl

HTML-output scannes for synlige PHP-fejl (Notice, Warning, Deprecated), som indikerer fejlkonfiguration og læk af intern information. Testen tjekker også om debug.log er offentligt tilgængelig — en ofte overset risiko.

debug.log synlighed

Testen forsøger at indlæse wp-content/debug.log. Hvis den kan tilgås, kan følsomme oplysninger såsom databasefejl, stioplysninger og plugin-fejl være lækket.

Permissions-Policy header

Denne moderne header styrer adgangen til funktioner som kamera, mikrofon, geolocation og bevægelsessensorer. Mangler headeren, kan browseren potentielt give flere tilladelser end nødvendigt.

Content-Security-Policy (CSP)

Testen gennemgår websitets CSP og vurderer, om den er sat, samt om den indeholder svækkelser som 'unsafe-inline' eller 'unsafe-eval'. CSP beskytter mod XSS og clickjacking. Testen straffer dog ikke moderne WordPress-opbygninger med Elementor, som bruger 'unsafe-inline' og 'unsafe-eval'.

Primære sikkerhedsheadere

  • X-Content-Type-Options: Forhindrer MIME-sniffing.
  • Referrer-Policy: Kontrollerer hvor mange referrer-oplysninger browseren sender.
  • X-Frame-Options: Legacy clickjacking-beskyttelse.
  • X-XSS-Protection: Legacy header som moderne browsere ignorerer.

Moderne browserisolation (COOP, COEP, CORP)

Disse headere beskytter mod avancerede angreb som Spectre og styrer om websitet må dele browsing-kontekst med andre websites.

  • Cross-Origin-Opener-Policy (COOP)
  • Cross-Origin-Embedder-Policy (COEP)
  • Cross-Origin-Resource-Policy (CORP)

Cookies og sessionbeskyttelse

Session- og login-cookies analyseres for tre vigtige flags:

  • Secure – må kun sendes over HTTPS
  • HttpOnly – må ikke læses via JavaScript (forhindrer XSS misbrug)
  • SameSite – reducerer CSRF-angreb

XML-RPC adgang

XML-RPC har historisk været et mål for brute-force og DDoS-angreb. Testen vurderer, om filen er tilgængelig, blokeret eller delvist aktiveret (f.eks. pingbacks tilladt men fuld XML-RPC blokeret). Solid Security og andre plugins styrer ofte dette.

Følsomme filer

Testen forsøger at detektere om kritiske filer som wp-config.php, .htaccess, readme.txt og install.php utilsigtet returnerer HTTP 200 eller muligt indhold. Eksponerede filer kan afsløre credentials eller versionsinformation.

Directory browsing

Tjekker om der er åben mappelisting i wp-content/uploads. Det kan give angribere indsigt i filstrukturer og uforventede uploads.

REST API (generel adgang)

Testen undersøger om /wp-json/ er offentligt tilgængelig. Det er normalt for WordPress, men det giver indblik i plugins, endpoints og serverinformation.

REST API – brugerliste

Specifikt analyseres /wp-json/wp/v2/users. Hvis endpointet returnerer offentlige brugerlister, kan angribere bruge det til “username harvesting”. Hvis det returnerer 401/403 er det korrekt beskyttet.

security.txt

Tjekker om /.well-known/security.txt findes. Der angives kontaktinformation for sikkerhedsresearchere, og filen er et moderne “best practice” signal for ansvarlig sikkerhedshåndtering.

Bemærk: Denne automatiske test giver et stærkt indblik i de vigtigste sikkerhedsforhold, men nogle kontroller kan være begrænsede af serveropsætning eller beskyttelsesniveau. For et fuldstændigt og pålideligt sikkerhedsbillede anbefales det at supplere resultatet med manuel gennemgang – særligt på produktionsmiljøer.

Hvorfor sikre sit site?

Et kompromitteret website kan få alvorlige konsekvenser – lige fra datalæk og malwareangreb til økonomiske tab og mistet kundetillid. Derfor er det afgørende at sikre, at dit WordPress-site er beskyttet mod de mest almindelige trusler og sårbarheder.

Vores sikkerhedstjek analyserer en række centrale parametre, der tilsammen giver et solidt billede af din nuværende sikkerhedskonfiguration. Hvis disse elementer ikke er på plads, øges risikoen markant for både angreb, driftsforstyrrelser og utilsigtet eksponering af følsomme data.

Ved løbende at gennemgå og styrke sikkerheden på dit site kan du minimere risikoen og sikre en stabil, troværdig og sikker online tilstedeværelse — både for dig selv og dine brugere.

VIL DU VIDE MERE..?

Kontakt os for et uforpligtende eftersyn og tilbud på udbedring af sikkerheden på dit WordPress Site.

Bliv kontaktet