Lösenordsläckor är i dag så vanliga att frågan inte är om ett av dina lösenord finns i en läckt databas, utan när. CERT-SE lyfter återkommande stulna inloggningsuppgifter som en av de vanligaste vägarna in vid intrång mot svenska organisationer [1]. För en webbplatsägare är hosting-kontot den enskilt känsligaste inloggningen — den som kontrollerar kontrollpanelen kan läsa databaser, plantera skadlig kod, peka om domänen och läsa e-post. Tvåfaktorsautentisering (2FA) är det enklaste och mest effektiva skyddet, och i den här artikeln går vi igenom var och hur du bör slå på det.
Varför hosting-kontot är värre att förlora än WordPress-admin
Ett kapat WordPress-admin-konto är illa nog — angriparen kan publicera skräpsidor, installera bakdörrar via plugin-editorn och stjäla kunddata. Men ett kapat hosting-konto är en nivå värre: därifrån styrs filsystemet, databaserna, e-postkontona, DNS-pekningen och ofta även domänförnyelsen. Den som kontrollerar kontrollpanelen kan återställa WordPress-lösenordet på vägen, så allt skydd du byggt i WordPress blir verkningslöst om webbhotellskontot är oskyddat.
Angreppen är sällan riktade. Automatiserade verktyg testar läckta e-post- och lösenordskombinationer mot kontrollpaneler och webbmail i stor skala, så kallad credential stuffing. Återanvänder du samma lösenord på flera tjänster räcker det att en av dem läcker [1]. Tvåfaktorsautentisering bryter kedjan: även med rätt lösenord stoppas inloggningen utan den andra faktorn. Har du redan drabbats — följ vår guide Min sida är hackad steg för steg.
Så aktiverar du 2FA — webbhotell, WordPress och domän
Börja med webbhotellets kontrollpanel. De flesta seriösa leverantörer har stöd för tidsbaserade engångskoder (TOTP) via appar som Aegis, Google Authenticator eller 1Password — inställningen ligger normalt under kontosäkerhet eller inloggningsinställningar. Aktivera samtidigt inloggningsavisering om leverantören erbjuder det, så att du får mejl vid inloggning från ny enhet. När du jämför webbhotell är 2FA-stöd på kontrollpanelen ett krav du inte bör kompromissa om.
I WordPress aktiverar du 2FA enklast med ett etablerat plugin som Two-Factor (öppen källkod, underhålls inom WordPress-projektet) eller en säkerhetssvit som redan ingår i din installation [2]. Kräv 2FA för alla konton med administratörs- eller redaktörsroll, inte bara ditt eget. Glöm slutligen inte domänregistraren: den som kan logga in där kan peka om din domän till en annan server. Samma princip gäller — aktivera 2FA och kontrollera att kontaktuppgifterna är aktuella. Internetstiftelsen rekommenderar dessutom registerlås för .se-domäner där registraren stödjer det [3].
App, SMS eller passkey — vad ska du välja?
Alla andra faktorer är inte likvärdiga. SMS-koder är bättre än ingenting men sårbara för SIM-kapning och nätfiske i realtid, där angriparen lurar dig att ange koden på en falsk inloggningssida. Tidsbaserade koder från en autentiseringsapp är klart säkrare och fungerar utan mobiltäckning. Säkrast är passkeys och hårdvarunycklar (FIDO2/WebAuthn) som är bundna till den äkta webbplatsens adress och därmed i praktiken omöjliga att nätfiska [4].
Praktiskt råd: använd passkey eller hårdvarunyckel där tjänsten stödjer det, autentiseringsapp i övriga fall, och spara återställningskoderna på ett säkert ställe — till exempel i en lösenordshanterare eller utskrivna i ett kassaskåp. Utan återställningskoder kan en tappad telefon låsa dig ute från ditt eget konto, och supportflöden för att återfå åtkomst är precis den svaga punkt angripare försöker utnyttja med social ingenjörskonst.
