Hoppa till innehåll
denna.se logotyp

Sidan kan innehålla affiliatelänkar. Betyg och rekommendationer påverkas inte. Läs mer om vår oberoende metodik.

Senast uppdaterad:

Säkerhet2 min läsning

Tvåfaktorsautentisering på hosting-kontot — det viktigaste säkerhetssteget 2026

Dela:XLinkedInFacebook

Lösenordsläckor är i dag så vanliga att frågan inte är om ett av dina lösenord finns i en läckt databas, utan när. CERT-SE lyfter återkommande stulna inloggningsuppgifter som en av de vanligaste vägarna in vid intrång mot svenska organisationer [1]. För en webbplatsägare är hosting-kontot den enskilt känsligaste inloggningen — den som kontrollerar kontrollpanelen kan läsa databaser, plantera skadlig kod, peka om domänen och läsa e-post. Tvåfaktorsautentisering (2FA) är det enklaste och mest effektiva skyddet, och i den här artikeln går vi igenom var och hur du bör slå på det.

Varför hosting-kontot är värre att förlora än WordPress-admin

Ett kapat WordPress-admin-konto är illa nog — angriparen kan publicera skräpsidor, installera bakdörrar via plugin-editorn och stjäla kunddata. Men ett kapat hosting-konto är en nivå värre: därifrån styrs filsystemet, databaserna, e-postkontona, DNS-pekningen och ofta även domänförnyelsen. Den som kontrollerar kontrollpanelen kan återställa WordPress-lösenordet på vägen, så allt skydd du byggt i WordPress blir verkningslöst om webbhotellskontot är oskyddat.

Angreppen är sällan riktade. Automatiserade verktyg testar läckta e-post- och lösenordskombinationer mot kontrollpaneler och webbmail i stor skala, så kallad credential stuffing. Återanvänder du samma lösenord på flera tjänster räcker det att en av dem läcker [1]. Tvåfaktorsautentisering bryter kedjan: även med rätt lösenord stoppas inloggningen utan den andra faktorn. Har du redan drabbats — följ vår guide Min sida är hackad steg för steg.

Så aktiverar du 2FA — webbhotell, WordPress och domän

Börja med webbhotellets kontrollpanel. De flesta seriösa leverantörer har stöd för tidsbaserade engångskoder (TOTP) via appar som Aegis, Google Authenticator eller 1Password — inställningen ligger normalt under kontosäkerhet eller inloggningsinställningar. Aktivera samtidigt inloggningsavisering om leverantören erbjuder det, så att du får mejl vid inloggning från ny enhet. När du jämför webbhotell är 2FA-stöd på kontrollpanelen ett krav du inte bör kompromissa om.

I WordPress aktiverar du 2FA enklast med ett etablerat plugin som Two-Factor (öppen källkod, underhålls inom WordPress-projektet) eller en säkerhetssvit som redan ingår i din installation [2]. Kräv 2FA för alla konton med administratörs- eller redaktörsroll, inte bara ditt eget. Glöm slutligen inte domänregistraren: den som kan logga in där kan peka om din domän till en annan server. Samma princip gäller — aktivera 2FA och kontrollera att kontaktuppgifterna är aktuella. Internetstiftelsen rekommenderar dessutom registerlås för .se-domäner där registraren stödjer det [3].

App, SMS eller passkey — vad ska du välja?

Alla andra faktorer är inte likvärdiga. SMS-koder är bättre än ingenting men sårbara för SIM-kapning och nätfiske i realtid, där angriparen lurar dig att ange koden på en falsk inloggningssida. Tidsbaserade koder från en autentiseringsapp är klart säkrare och fungerar utan mobiltäckning. Säkrast är passkeys och hårdvarunycklar (FIDO2/WebAuthn) som är bundna till den äkta webbplatsens adress och därmed i praktiken omöjliga att nätfiska [4].

Praktiskt råd: använd passkey eller hårdvarunyckel där tjänsten stödjer det, autentiseringsapp i övriga fall, och spara återställningskoderna på ett säkert ställe — till exempel i en lösenordshanterare eller utskrivna i ett kassaskåp. Utan återställningskoder kan en tappad telefon låsa dig ute från ditt eget konto, och supportflöden för att återfå åtkomst är precis den svaga punkt angripare försöker utnyttja med social ingenjörskonst.

Alla webbhotell vi rekommenderar stödjer tvåfaktorsautentisering på kontrollpanelen.

Jämför säkra webbhotell

Källor

  1. 1.CERT-SE — Rekommendationer om lösenord och autentisering
  2. 2.WordPress.org — Two-Factor plugin
  3. 3.Internetstiftelsen — Säkra din domän
  4. 4.FIDO Alliance — Passkeys

Vanliga frågor

Nej. Den som kommer in i webbhotellets kontrollpanel kan återställa WordPress-lösenord, läsa databasen och redigera filer direkt. Skyddet måste finnas på hosting-kontot i första hand — WordPress-2FA är ett komplement, inte en ersättning.

Se det som en varningssignal om leverantörens säkerhetsarbete i stort. Använd ett unikt, långt lösenord från en lösenordshanterare som tillfällig åtgärd, och väg in 2FA-stöd nästa gång du väljer leverantör — de flesta etablerade svenska webbhotell stödjer det i dag.

SMS är bättre än enbart lösenord men den svagaste 2FA-formen — koderna kan fångas upp via SIM-kapning eller realtidsnätfiske. Välj autentiseringsapp eller passkey när tjänsten erbjuder alternativen.

Relaterade artiklar

Person som arbetar med dataskydd och GDPR-compliance vid dator
Säkerhet

GDPR-checklista för din webbplats — 4 saker att kontrollera

Dataskyddsförordningen (GDPR) har gällt sedan 2018, men IMY fortsätter att utfärda sanktionsavgifter mot organisationer som brister i sitt dataskydd [1]. Den här checklistan tar dig igenom fyra centrala områden som säkerställer att din webbplats uppfyller GDPR:s krav i praktiken.

IT-säkerhetsspecialist som analyserar DDoS-attackmönster
Säkerhet

DDoS-attacker ökar kraftigt 2026 — så skyddar du din webbplats

Under 2025 slog DDoS-attackerna nya rekord i både omfattning och frekvens. Cloudflares årsrapport visar att antalet DDoS-attacker globalt ökade med över 50 procent jämfört med föregående år, och den största enskilda attacken nådde en häpnadsväckande kapacitet på 5,6 Tbps [1]. Det som oroar mest är inte bara volymerna utan att attackerna nu riktas mot allt mindre mål. Små webbplatser, lokala e-handlare och föreningssajter hamnar alltmer i skottlinjen. CERT-SE bekräftar trenden i sin senaste rapport och pekar på att svenska organisationer drabbas i ökande omfattning [2]. Den här artikeln går igenom hur moderna DDoS-attacker fungerar, vilka skydd som finns tillgängliga och vad du konkret kan göra för att skydda din webbplats mot denna växande hotbild.

Säkerhet

Falska domänfakturor lurar svenska företag — så känner du igen bluffen

Bluffakturor är ett ständigt problem för svenska företag, och domäner är ett tacksamt byte för bedragare: alla företag har dem, förnyelser är rutinärenden som ofta hanteras av någon annan än den som registrerade domänen, och delar av innehavaruppgifterna går att slå upp publikt. Svensk Handel och Polisen varnar löpande för fakturabedrägerier av det här slaget [1][2]. Den här artikeln går igenom de vanligaste domänbluffarna och hur du bygger rutiner som gör att de fastnar i filtret.

Nyhetsbrev · 1 mejl/månad

Få månadens bästa hosting-erbjudanden

Ett kort mejl per månad med uppdaterade priser, nya recensioner och tidsbegränsade kampanjer. Inga spam, säg upp när som helst.