Akut hacket?Få hjælp nu· Svar inden for 4 timer ·+45 41 57 79 98
WP-Sikkerhed
Hærdning

WordPress firewall (WAF) forklaret: hvad det er, hvordan det virker, og om du har brug for det

·5 min læsning·Mads Holst Jensen

"Du skal have en firewall" er et af de råd, man oftest hører om WordPress-sikkerhed — men sjældent med en forklaring på, hvad det egentlig betyder, eller hvad firewallen rent faktisk gør. Her får du den jordnære version: hvad en WAF er, hvordan de forskellige typer virker, og hvornår den er pengene og besværet værd.

Bliver dit site allerede angrebet, eller er skaden sket? En firewall forebygger — den rydder ikke op efter et hack. Få akut hjælp — svar inden for 4 timer.

Hvad en WAF er, forklaret uden teknik-jargon

WAF står for Web Application Firewall. Tænk på den som en dørmand, der står foran dit website og tjekker hver eneste besøgende, før de slippes ind. En almindelig anmodning (en bruger, der vil læse en artikel) får lov at passere. En anmodning, der ligner et angreb (et forsøg på at indsætte ondsindet kode eller gætte kodeord), bliver stoppet ved døren.

Forskellen fra et almindeligt antivirus er vigtig: en WAF kigger på trafikken på vej ind, ikke på filer, der allerede ligger på serveren. Den forhindrer altså angrebet i at lykkes, frem for at rydde op bagefter.

Hvad en firewall faktisk stopper

En velkonfigureret WAF filtrerer de mest almindelige angreb mod WordPress:

  • SQL-injektion — forsøg på at narre databasen til at udlevere eller ændre data.
  • Cross-site scripting (XSS) — forsøg på at indsætte ondsindet JavaScript på dine sider.
  • Brute force — bots, der hamrer løs på login-siden med kodeord-gæt.
  • Kendte plugin-sårbarheder — angreb mod et hul i et bestemt plugin, ofte før du selv når at opdatere.
  • Dårlige bots og skrabere, der belaster serveren og leder efter svagheder.

Det sidste punkt er værd at fremhæve: en god WAF kan blokere et angreb mod en kendt sårbarhed, selv inden du har nået at installere opdateringen — det, der kaldes "virtual patching". Det køber dig dyrebar tid.

To typer: plugin-WAF vs. netværks-WAF

Der er grundlæggende to steder, en firewall kan sidde:

  • Plugin-WAF (på applikationsniveau). En WAF som den i Wordfence kører inde i WordPress selv. Den er nem at sætte op og forstår WordPress godt, men trafikken når helt frem til din server, før den filtreres — så den aflaster ikke serveren ved store angreb.
  • Netværks-WAF (på kant-niveau). En tjeneste som Cloudflare sidder foran din server. Ondsindet trafik bliver stoppet ude i nettet, før den overhovedet rammer din hosting. Det beskytter også mod overbelastningsangreb (DDoS) og aflaster serveren.

For et typisk dansk site er en god kombination: Cloudflare foran (gerne den gratis plan) plus et sikkerhedsplugins WAF som ekstra lag tæt på WordPress.

Sådan kommer du i gang med Cloudflare

En netværks-WAF lyder avanceret, men er overkommelig. Hovedtrinene:

  1. Opret en konto hos Cloudflare og tilføj dit domæne.
  2. Skift dit domænes navneservere til dem, Cloudflare oplyser (gøres hos din domæne-udbyder).
  3. Når trafikken går gennem Cloudflare, aktivér grundlæggende sikkerhed: SSL, bot-beskyttelse og firewall-regler.
  4. Overvej deres WordPress-specifikke regler, der kender de typiske angreb mod CMS'et.

Selv gratis-planen giver SSL, grundlæggende DDoS-beskyttelse og bedre ydeevne via caching. Det er et af de bedste gratis sikkerhedslag, du kan lægge på et site.

Usikker på opsætningen af firewall og Cloudflare? Jeg sætter en WAF op korrekt for dig — uden at blokere dine rigtige besøgende — fast pris fra 2.500 kr.

Hvad en WAF IKKE redder dig fra

Her er den ærlige del, marketing-siderne springer over. En firewall er ét lag — ikke hele beskyttelsen. Selv den bedste WAF stopper ikke:

  • Et svagt eller lækket kodeord, hvis angriberen logger korrekt ind — det ser jo ud som en almindelig bruger.
  • Nulled (piratkopierede) temaer og plugins med malware indbygget fra start — den kode er allerede inde.
  • En allerede eksisterende infektion — en WAF rydder ikke op efter et hack, den forhindrer det næste.
  • Dårlige rutiner som manglende opdateringer eller manglende backup.

Derfor giver en firewall mest mening sammen med de andre lag: opdateringer, tofaktor, backup og login-hærdning. Hele rækken står i WordPress sikkerhed: 12 ting du SKAL gøre.

Har du brug for en WAF?

Kort svar: ja, et eller andet niveau af firewall hører til på næsten alle sites. Spørgsmålet er hvor meget:

  • Lille blog eller virksomhedsside: Cloudflare gratis plus dit sikkerhedsplugins indbyggede firewall er rigeligt.
  • Webshop eller site med omsætning: invester i en ordentlig WAF — nedetid og databrud koster langt mere end firewallen.
  • Site med tidligere hacks: en WAF er en vigtig del af at bryde cyklussen, sammen med en grundig oprydning.

Er sitet allerede ramt, så start med at fjerne malwaren — følg oprydningsguiden til et hacket WordPress — og læg firewallen på bagefter, så det ikke sker igen.

Få firewallen sat rigtigt op

En firewall, der er sat forkert op, gør én af to ting galt: den blokerer dine rigtige besøgende, eller den lader angrebene slippe igennem. Vil du have en WAF, der rammer balancen — stopper angreb uden at genere kunder — så sætter jeg den op for dig, både Cloudflare foran og pluginnets firewall tæt på WordPress, og tester at alt fungerer. Fast pris, aftalt på forhånd.

Læs også

Hærdning

Beskyt wp-admin mod brute force: sådan gør du din login-side umulig at knække

wp-login.php er det mest angrebne sted på hele dit WordPress. Lær at stoppe brute force-angreb med begrænsede login-forsøg, skjult login-side, blokering af xmlrpc.php og stærke adgangskoder — så bottene render panden mod en mur.

Hærdning

Sikker WordPress-hosting: hvad du skal kigge efter (og undgå)

Din hosting er fundamentet under hele sitets sikkerhed — vælger du forkert, kan selv det bedste setup blive hacket. Lær hvad sikker WordPress-hosting kræver: kontoisolering, automatiske opdateringer, backups, malware-scanning og hvorfor billig oversolgt hosting er en risiko i sig selv.

Hærdning

Tofaktor-godkendelse på WordPress: sådan stopper du 99 % af login-angrebene

Et stjålet kodeord er nok til at overtage dit WordPress — medmindre du har tofaktor-godkendelse (2FA). Lær hvad 2FA er, hvilke metoder der findes, hvordan du slår det til på alle administratorer, og hvordan du undgår at låse dig selv ude.

Ring nuFå akut hjælp