Det er en av de mest stressende opplevelsene som kan ramme en nettstedseier: du åpner siden din og møter fremmedspråklig tekst, videresendes til en mistenkelig nettside, eller Google advarer brukerne om at siden er farlig. Nettstedet ditt er blitt kompromittert. Nå gjelder det å handle raskt og systematisk – ikke i panikk.

Steg 1: Ta nettstedet offline (isoler)

Det aller første du skal gjøre er å isolere det kompromitterte nettstedet slik at angriperen ikke kan gjøre ytterligere skade, og slik at besøkende ikke eksponeres for skadevare eller phishing.

Praktiske måter å gjøre dette på:

  • Aktiver vedlikeholdsmodus via CMS eller en midlertidig index.html med informasjonsmelding
  • Kontakt webhotell-leverandøren og be dem suspendere nettstedet midlertidig
  • Sett opp en DNS-omdirigering til en nøytral side mens du rydder opp

Ikke slett noe ennå. Du trenger bevisene for å forstå hva som skjedde.

Steg 2: Bytt alle passord umiddelbart

Anta at angriperen har tilgang til alle relevante kontoer. Bytt passord på:

  • Webhotell-kontrollpanelet (cPanel, Plesk el.l.)
  • FTP/SFTP-tilgang til serveren
  • Databasebrukere (MySQL/MariaDB)
  • CMS-administratorkontoer (WordPress, Joomla, Drupal m.fl.)
  • E-postkontoen knyttet til admin-brukeren
  • Domenekontoen hos Vymo – viktig for å hindre domenekaping

Bruk sterke, unike passord og lagre dem i en passordmanager . Aktiver to-faktor-autentisering på alle kontoer der det er mulig.

Steg 3: Ta en kopi av det kompromitterte nettstedet

Før du begynner å rydde, ta en full kopi av det infiserte nettstedet – inkludert alle filer og databasedump. Dette tjener to formål:

  1. Du har et «beviseksemplar» som kan analyseres for å forstå angrepsvektoren
  2. Dersom gjenopprettingen mislykkes, har du fortsatt tilgang til alt innhold

Lagre denne kopien et sted som er isolert fra rene miljøer.

Steg 4: Gjenopprett fra ren backup

Dette er det viktigste steget. Gjenopprett nettstedet fra en ren, verifisert backup som er fra et tidspunkt du vet var upåvirket. En backup fra dagen før angrepet er ikke nødvendigvis ren – mange angrep sitter i ro i dager eller uker før de aktiveres.

  • Velg en backup som er gammel nok til å være trygg, men ny nok til at innholdstapet er akseptabelt
  • Gjenopprett både filer og database
  • Verifiser at nettstedet fungerer korrekt i et testmiljø før du tar det online igjen

Har du ikke en brukbar backup? Les vår guide om 3-2-1-regelen for sikkerhetskopi – og sett opp en robust backup-rutine med én gang situasjonen er under kontroll. Vymo webhotell tilbyr automatisk backup; les mer under backup av nettsted .

Steg 5: Finn og tett sikkerhetshullet

En gjenoppretting uten patching er meningsløs – angriperen vil komme tilbake via det samme hullet. Vanlige inngangsporter:

  • Utdaterte plugins eller temaer (den vanligste årsaken til kompromitterte WordPress-sider)
  • Svake adminpassord eller passord som er lekket i andre datainnbrudd
  • Sårbare CMS-versjoner som ikke er oppdatert
  • Usikre filtillatelser på serveren (f.eks. skrivbar wp-config.php)
  • Kompromitterte tredjeparts-plugins fra useriøse kilder

Oppdater CMS, alle plugins og temaer til nyeste versjon. Fjern plugins og temaer som ikke er i bruk. Installer et sikkerhetsplugin som skanneR for kjente sårbarheter.

Steg 6: Skann nettstedet for gjenværende skadevare

Selv etter gjenoppretting bør du kjøre en grundig skanning for å sikre at ingen skadelig kode er igjen. Verktøy som kan hjelpe:

  • Sucuri SiteCheck – gratis online skanner
  • Wordfence (WordPress) – scanner filer mot kjente malware-signaturer
  • MalCare – automatisert skanning og rens

Les mer om skadevare på nettstedet og hvordan du fjerner det .

Steg 7: Varsle hvis personopplysninger er berørt

Dersom angrepet kan ha medført at personopplysninger er eksponert, kommet på avveie eller slettet, har du sannsynligvis en varslingsplikt. GDPR (artikkel 33) krever at brudd på personopplysningssikkerheten varsles til Datatilsynet innen 72 timer fra du ble klar over bruddet – med mindre bruddet er usannsynlig å medføre risiko for enkeltpersoner.

I mange tilfeller skal også de berørte personene varsles direkte (GDPR artikkel 34).

Krav til varsling avhenger av bruddets art og alvorlighet. Datatilsynet har veiledning på sine nettsider (datatilsynet.no). Søk juridisk råd dersom du er usikker.

Steg 8: Ta nettstedet online igjen og overvåk

Når du er rimelig trygg på at:

  • Nettstedet er rent
  • Sikkerhetshullet er tettet
  • Passord er byttet og MFA er aktivert

– kan du ta nettstedet online igjen. Sett opp overvåking (f.eks. UptimeRobot, Google Search Console) for å oppdage fremtidige angrep raskt. Google Search Console gir varsel dersom Google oppdager skadevare på siden.

Slik reduserer du risikoen neste gang

Det finnes ingen garanti mot angrep, men du kan redusere risikoen drastisk:

  • Hold alt programvare oppdatert
  • Bruk sterke, unike passord + passordmanager
  • Ha en testet backup-rutine (3-2-1)
  • Bruk HTTPS med gyldig SSL-sertifikat og HSTS
  • Aktiver DNSSEC for å beskytte DNS-oppføringene dine

Klar til å sikre domenet ditt?

Sjekk om navnet er ledig – live mot registeret, på .no, .com og flere.

Søk etter domene