Så väljer du säkert webbhotell - Vad du bör kräva
Guider
Fredrik Eriksson ·

Så väljer du säkert webbhotell - Vad du bör kräva

Din sajt har hackats. Dina besökare omdirigeras till en skadlig sida och Google har svartlistat din domän. Hur hanterar ditt webbhotell situationen? Ringer du supporten och väntar, eller kan du återställa från gårdagens backup med ett par klick? Det är den frågan som skiljer ett säkert webbhotell från ett som bara ser ut att vara det.

Den här guiden ger dig ett ramverk i tre nivåer som du kan ta med rakt in i ett köpbeslut. Minimum är vad du ska kräva av alla leverantörer oavsett budget. Bra att ha är funktioner som gör skillnad i praktiken. Premium är det avancerade skiktet som e-handelssajter, myndigheter och sajter med känslig data bör prioritera.

SSL och HTTPS - grunden alla måste ha

SSL-certifikatet krypterar trafiken mellan din sajt och besökaren. År 2026 är gratis SSL via Let's Encrypt en självklarhet hos alla seriösa leverantörer. Certifikatet i sig är inte säkerheten, det är vad som händer runt det som avgör. Saknas automatisk förnyelse riskerar du ett utgånget certifikat som visar "Ej säker" för dina besökare, utan att du får någon förvarning. Det är ett problem som är lätt att förebygga.

  • Minimum: Gratis SSL ingår utan extra kostnad, med automatisk förnyelse.
  • Bra att ha: HTTPS-tvång ingår som inställning i kontrollpanelen. HSTS-stöd (HTTP Strict Transport Security) hindrar webbläsaren från att ens försöka nå sajten via okrypterat HTTP.
  • Premium: Wildcard SSL för subdomäner eller Extended Validation-certifikat, relevant för e-handel och varumärken med höga tillitskrav.

Tekniken bakom SSL och TLS förklaras mer ingående i vår FAQ om SSL-certifikat. Let's Encrypt-certifikat är tekniskt likvärdiga med betalda certifikat för de allra flesta användningsfall, och det är viktigt att känna till när du utvärderar leverantörers prislistor.

Backup - din livlina när allt annat misslyckas

Backup är det säkerhetsnät som träder in när SSL, WAF och DDoS-skydd inte räcker. En hackning, ett misslyckat plugin-uppdatering eller ett av dina egna misstag kan utplåna sajten på minuter. Ändå behandlar alltför många leverantörer backup som ett betalt tillval.

Kontrollera alltid hur återställning fungerar, inte bara om backup tas. Det är en avgörande skillnad. En konkret fråga att ställa: "Om jag behöver återställa till igår kl. 14:00, kostar det extra?" Svaret avslöjar hållningen till backup bättre än någon marknadsföringssida.

  • Minimum: Daglig automatisk backup ingår, med minst 7 dagars historik och självbetjäning vid återställning.
  • Bra att ha: 14 till 30 dagars historik. Backuperna lagras på separat infrastruktur (off-site), inte bara på samma server som webbplatsen. Möjlighet att ta manuell backup på begäran.
  • Premium: Timbaserad backup för sajter med hög förändringshastighet. Verifierade återställningstester som bekräftar att backupen faktiskt fungerar.

Svenska leverantörer som inkluderar daglig backup med generös historik: Oderland erbjuder daglig backup som standard, och Templ (managed WordPress) inkluderar automatiska backuper som del av sitt hanterade upplägg. Vill du sätta upp en komplett backupstrategi utöver vad webbhotellet erbjuder, läs vår guide om backupstrategi för din webbplats.

Brandvägg (WAF) - filtret framför din sajt

En WAF (Web Application Firewall) analyserar inkommande trafik och blockerar kända attackmönster, som SQL-injektioner och cross-site scripting, innan de ens når din webbplats. Det är ett av de mest effektiva skydden mot automatiserade attacker, och de flesta attacker mot webbplatser är just automatiserade. Mer om hur WAF fungerar tekniskt finns i vår FAQ om brandväggar.

Nivå Vad det innebär
Minimum Grundläggande WAF på servernivå ingår och är aktivt underhållen (reglerna uppdateras löpande).
Bra att ha Loggning och rapportering av blockerade attacker. Möjlighet att anpassa regler för din plattform.
Premium CDN-integrerat WAF, till exempel via Cloudflare. Maskininlärningsbaserad hotdetektering. Plattformsspecifika regler för WordPress.

Oderland och Inleed inkluderar WAF som standard i sina webbhotellspaket. Värt att notera är att HostUp har ett ovanligt upplägg med Cloudflare-baserat WAF direkt integrerat i cPanel, vilket är sällsynt på den svenska marknaden.

En WAF på servernivå och ett säkerhetsplugin i WordPress kompletterar varandra. Server-WAF:en blockerar trafik innan den når applikationen, medan pluginscanningen sker inuti WordPress. Båda behövs. Läs mer om att skydda din WordPress-sajt.

Serverisolering - det skikt de flesta glömmer fråga om

På ett delat webbhotell delar du server med hundratals eller tusentals andra sajter. Det är den affärsmodell som gör låga priser möjliga. Men det innebär också att du är exponerad för vad som kallas "bad neighbor"-effekten. Om en annan sajt på samma server sprider skadlig kod, skickar spam eller utnyttjas i en attack, riskerar du att din server drabbas av konsekvenserna, trots att du själv inte gjort något fel.

Lösningen är isolering på servernivå. Tekniker som CloudLinux med CageFS innesluter varje kundkonto i sin egen filsystemsmiljö. Det betyder att en komprometterad sajt inte kan läsa dina filer, se din databas eller sprida sig till dina kataloger. Utan isolering är gränserna mellan kundkontona betydligt mer porösa.

  • Minimum: Fråga leverantören aktivt om de använder CloudLinux, CageFS eller containerbaserad isolering. Det är en konkret fråga med ett konkret svar.
  • Bra att ha: Processisolering som hindrar en sajt från att konsumera hela serverns resurser och påverka din prestanda.
  • Premium: Fullständig containerisering per kund, likt VPS-liknande isolering i ett delat upplägg.

De flesta webbhotellsleverantörer kommunicerar inte sin isoleringsmodell proaktivt. Det är en fråga du behöver ställa direkt.

DDoS-skydd - när trafiken i sig är vapnet

En DDoS-attack innebär att din sajt drabbas av sådan mängd konstgjord trafik att den slås ut för riktiga besökare. Det är ett angrepp du inte kan hantera på applikationsnivå. Skyddet måste finnas i nätverksinfrastrukturen hos leverantören. Automatiserade attacker drabbar slumpmässigt, inte bara stora sajter, och grundläggande skydd ska ingå utan extra kostnad.

  • Minimum: Automatisk detektering och mitigering av DDoS ingår i nätverksinfrastrukturen. Du ska informeras om din sajt drabbas, inte behöva fråga.
  • Bra att ha: Skydd mot Layer 3/4-attacker (volymbaserade) och Layer 7-attacker på applikationsnivå. De senare är mer sofistikerade och svårare att filtrera.
  • Premium: Anycast-nätverksarkitektur eller CDN-baserat skydd med global kapacitet. Garanterade svarstider i SLA för återhämtning efter attack.

Märk att DDoS-skydd och WAF löser fundamentalt olika problem. WAF filtrerar skadliga förfrågningar på applikationsnivå. DDoS-skydd hanterar trafikvolymer på nätverksnivå. Båda behövs, och de kompletterar varandra. Mer om detta finns i vår FAQ om DDoS-skydd.

Malware-scanning - den tysta övervakaren

Malware på en webbplats kan vara osynligt under lång tid. Skadlig kod omdirigerar trafik, infekterar besökarnas webbläsare eller utnyttjar din server som spamkanal, allt utan att det syns på sajten. Det är just därför automatisk scanning är ett krav, inte en bonus.

  • Minimum: Automatisk daglig scanning med omedelbar varning via e-post om något upptäcks.
  • Bra att ha: Server-side scanning som genomsöker allt webbhotellet kan nå. Svartlistövervakning som varnar dig om Google eller andra aktörer flaggat din sajt.
  • Premium: Automatisk rensning av infektioner. Filintegritetsövervakning som jämför dina filer mot ett känt rent tillstånd och larmar vid avvikelser.

Fråga leverantören: "Inkluderar er malware-scanning automatisk rensning, eller är det en manuell process?" Svaret ger dig en bild av hur proaktiv leverantören faktiskt är. Mer om hur malware-scanning fungerar finns i vår FAQ om malware-scanning.

PHP-version och mjukvaruuppdateringar

Det här är en säkerhetsdimension som sällan lyfts i köpguider, men som är lika viktig som WAF och backup. PHP 7.4 och PHP 8.0 har nått end-of-life, vilket innebär att de inte längre får säkerhetsuppdateringar. En sajt som kör en gammal PHP-version är exponerad för kända säkerhetshål som aldrig kommer att täppas till. Det är en fast öppen dörr.

Kontrollera att webbhotellet stöder aktuell PHP (8.2 eller nyare) och låter dig byta version utan krångel. Lika viktigt är att de uppdaterar servermjukvara proaktivt. En leverantör som kör inaktuella systembibliotek tar inte säkerhet på allvar, oavsett hur imponerande deras marknadsföring ser ut.

Managed WordPress-tjänster som Templ hanterar det här åt dig. De tillämpar automatiska uppdateringar av WordPress-kärnan och håller PHP-versionen aktuell. Föredrar du ett traditionellt webbhotell är det en fråga att ställa aktivt: "Vilken PHP-version kör era servrar som standard och hur länge stöder ni aktuella versioner?" Läs mer om WordPress-optimering och PHP-prestanda i vår artikel om att optimera WordPress-laddtid.

Kontosäkerhet och åtkomsthantering

Den säkerhetsdimension som oftast förbises handlar inte om vad webbhotellet skyddar mot utifrån, utan om vem som har tillgång till kontrollpanelen inifrån. Ditt konto hos webbhotellet är nyckeln till hela webbplatsen, och det är där du måste börja.

SFTP istället för FTP är en konkret åtgärd som förtjänar mer än en fotnot. FTP skickar inloggningsuppgifter i klartext, vilket gör dem möjliga att avlyssna på nätverksnivå. SFTP krypterar hela sessionen. De flesta moderna webbhotell stöder SFTP, men kontrollera att det är aktiverat och att supporten inte rekommenderar vanlig FTP som standard.

  • Minimum: 2FA (tvåfaktorsautentisering) stöds för inloggning till kontrollpanelen. SFTP tillgängligt som standard. Inloggningslogg som visar tidigare sessioner.
  • Bra att ha: IP-begränsning för adminåtkomst. E-postaviseringar vid inloggningar från okända enheter eller platser.
  • Premium: Rollbaserad åtkomst som låter dig ge medarbetare begränsad tillgång utan att dela huvudkontots uppgifter. SSO-integration för företag med centraliserad identitetshantering.

En viktig distinktion: 2FA på webbhotellets kontrollpanel är inte samma sak som 2FA på din WordPress-inloggning. Det är två separata konton med separata åtkomstnivåer och båda behöver skyddas. Mer om varför 2FA är viktigt finns i vår FAQ om tvåfaktorsautentisering.

Driftsäkerhet och certifieringar

Bakom en stabil webbplats finns ett skikt av infrastruktur som är svårt att utvärdera från utsidan. Datacentrets fysiska säkerhet, nätverksredundansen och säkerhetsövervakningen dygnet runt syns inte i ett prispaket. Men ett par konkreta frågor ger vägledning.

Certifieringar är ett av de mer konkreta bevisen på seriöst säkerhetsarbete. ISO 27001 är den internationella standarden för informationssäkerhetshantering och kräver regelbunden extern revision. GleSYS är ett av de svenska webbhotell som är ISO 27001-certifierade och driver egna datacenter i Sverige. Det är ett upplägg som ger kontroll och transparens som är svår att matcha med utländska hyperscalers. För e-handel tillkommer PCI DSS om du hanterar kortbetalningar direkt.

  • Minimum: Skriftlig upptime-garanti på minst 99,9 %. Proaktiv kommunikation vid planerat underhåll och driftstörningar.
  • Bra att ha: Redundant infrastruktur och nätverksredundans. Säkerhetsövervakning dygnet runt. Datacenter i EU (krav för GDPR-efterlevnad).
  • Premium: 99,99 % upptime-SLA med ekonomisk kompensation. ISO 27001-certifiering. Penetrationstestning av infrastruktur.

En varning om upptime-siffror: kräv ett SLA som anger maximal nedtid per enskild incident, inte bara ett årsgenomsnitt. Det är skillnaden mellan en rejäl incident och utspridd störning under ett år. Datacentrets geografiska placering spelar roll utöver prestanda. Vill du filtrera webbhotell på GDPR-stöd, se vår jämförelse av GDPR-säkra webbhotell, och för hela GDPR-bilden finns vår GDPR-checklista för din hemsida.

Svenska leverantörer med stark säkerhetsprofil

Säkerhetsnivån varierar kraftigt på den svenska marknaden och det finns leverantörer som förtjänar att lyftas fram.

Oderland inkluderar WAF, daglig backup och LiteSpeed med egna datacenter i Sverige. Inleed är ett annat alternativ med LiteSpeed och stark säkerhetsprofil. GleSYS är det tydligaste valet för den som prioriterar certifierad infrastruktur, ISO 27001 och full kontroll över driftmiljön. De vänder sig primärt till tekniska användare och företag. Templ är det starkaste alternativet för managed WordPress, med automatiska uppdateringar och ett upplägg som tar bort merparten av den manuella säkerhetsbördan. Loopia är den stora etablerade aktören med bred kundtjänst och ett acceptabelt grundskydd, men utan de mest avancerade funktionerna som standard.

Jämför fler alternativ och filtrera på säkerhetsfunktioner på vår jämförelsesida för webbhotell.

Sammanfattning - hela kravspecen samlad

Här är ramverket i sin helhet. Ha tabellen öppen bredvid när du utvärderar leverantörer.

Funktion Minimum Bra att ha Premium
SSL Gratis, automatisk förnyelse HTTPS-tvång, HSTS Wildcard, EV-certifikat
Backup Daglig, 7 dagar, self-service 30 dagar, off-site Timbaserad, verifierad
WAF Grundläggande, aktivt underhållen Loggning, regelanpassning CDN-integrerad, ML-baserad
Serverisolering CloudLinux/CageFS eller motsvarande Processisolering Fullständig containerisering
DDoS-skydd Automatisk mitigering ingår Layer 3/4 + Layer 7 Anycast, SLA för återhämtning
Malware Daglig scanning, varning Server-side, svartlistövervakning Auto-rensning, filintegritet
PHP-version PHP 8.2+ tillgängligt Proaktiva uppdateringar Managed uppdateringar ingår
Kontosäkerhet 2FA, SFTP, inloggningslogg IP-begränsning, aviseringar Rollbaserad åtkomst, SSO
Driftsäkerhet 99,9 % SLA, proaktiv kommunikation Redundans, 24/7 övervakning, EU-datacenter 99,99 %, ISO 27001

En leverantör som uppfyller samtliga premiumkrav är inte automatiskt rätt val. Säkerhet är ett lager i en bredare bedömning av prestanda, pris, support och dina faktiska behov. Men en leverantör som inte klarar miniminivån är inte ett seriöst alternativ, oavsett hur lågt priset är.

Vill du gå djupare i plugin-hanteringen för WordPress som komplement till webbhotellssäkerheten, läs vår artikel om WordPress plugin-audit.

Säkerhet är inte en funktion du kan bocka av en gång. Det är en löpande hållning hos leverantören, och du kan bedöma den redan i hur de svarar på direkta frågor.