
Avsnittet: 332 – WordPress säkerhetsresa
Inspelat: 2026-07-02 (publicerat 2026-07-06)
Deltagare: Erik Zalitis, Mattias Jadesköld och Emil Olofsson.
Medan du lyssnar – WordPress
Frågan är om den är säker nog att använda och svaret är: ja det är den, Men problemen finns dock och kan vara relativt stora. I detta avsnitt pratar vi om världens mest kända CMS (Content management system) och dess historia. Det startade som en så kallad fork av en tidigare, men övergiven produkt. Men när det blev populärt fick hackarna upp ögonen för produkten.
Vi ger dig allt du behöver veta om de största lyckade attackerna mot WordPress och servrarna som kör produkten. Den har följande huvudsakliga problem:
- Många inser inte hur de gör för att slå på den automatiska uppdateringen av kärnan.
- Tilläggen uppdateras inte automatiskt utan att detta ställs in, vilket kräver ett tillägg i sig (Easy Updates).
- Tillägg som läggs ner, kommer inte få uppdateringar men finns kvar i systemen i åratal efter att installerats.
Så historien jag berättar: jag hade en kund som anlitade mig för ett pentest och hade ett till uppdrag vid sidan till mig. Det handlade om kundens hemsida, som körde WordPress. Serverns skadligkod-skydd (EDR) stoppade konstant en hackare som försökte ta sig in i servern via WordPress. Men detta var också det enda skyddet som hindrade attackeraren från att ta över systemet. Jag fick veta att de patchade sidan regelbundet och detta gällde öven tilläggen, Så vad var felet? Jo, jag insåg snabbt att ett övergivet tillägg hade en allvarlig säkerhetsbrist som inte någonsin hade fixats, eftersom tillägget inte längre utvecklades. När jag tog bort det, kunde attackeraren inte längre komma någonstans med sidan.
Länkar – WordPress
Felaktigheter
Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om hittar fel i något vi sagt.
1 comment