En sprucken metallsköld med en bokstav i ett mörkt serverrum, med rött nödljus som lyser ut genom sprickan, som symboliserar ett kritiskt säkerhetshål i WordPress-plugins.
Nyheter
Fredrik Eriksson

Kritiska WordPress-hål utnyttjas nu – uppdatera dina plugins

Uppdatera dina WordPress-plugins nu

Sedan början av juni 2026 utnyttjas ett kritiskt säkerhetshål i WordPress-pluginen Burst Statistics aktivt av angripare. Felet låter vem som helst ta över administratörskontot på din sajt utan att ha ett lösenord. Säkerhetsföretaget Wordfence rapporterade den 4 juni att man blockerat tusentals attackförsök per dygn, och exploateringen pågår fortfarande. Utöver Burst Statistics avslöjades under maj 2026 ytterligare kritiska hål i ett flertal av de mest installerade pluginsen på marknaden, alla med CVSS-poäng kring 9.8 av 10.

Om du kör WordPress och inte har uppdaterat dina plugins på ett tag bör du göra det direkt.

Vilka plugins berörs och vad du behöver göra

Det snabbaste sättet att kontrollera din status är att logga in i WordPress-adminpanelen och gå till Plugins → Installerade plugins. Där ser du direkt om det finns tillgängliga uppdateringar. Prioritera särskilt dessa:

  • Burst Statistics (CVE-2026-8181, CVSS 9.8): Berör version 3.4.0 till 3.4.1.1. Felet gör att en angripare som känner till ett admin-användarnamn kan utge sig för att vara den administratören via REST API, utan att ha rätt lösenord. Uppdatera till den senaste versionen (sårbarheten är åtgärdad i versionen efter 3.4.1.1). Pluginen används på över 200 000 sajter och är ett populärt integritetsvänligt alternativ till Google Analytics, vilket gör den vanlig bland svenska sajtägare som tänker på GDPR.
  • Kirki (CVE-2026-8206, CVSS 9.8): Berör version 6.0.0 till 6.0.6. Felet gör det möjligt att kapa ett administratörskonto via lösenordsåterställning till en angriparkontrollerad e-postadress. Uppdatera till version 6.0.7 eller senare. Drygt 500 000 sajter använder pluginen.
  • Avada Builder: SQL-injektion patchad i version 3.15.3. Används av ungefär en miljon sajter.
  • WPForms: Kritisk sårbarhet patchad under maj 2026. Används av ungefär sex miljoner sajter.
  • Elementor: Kritisk sårbarhet patchad under maj 2026. Används av ungefär tio miljoner sajter.

Kör du någon av dessa plugins, kontrollera versionen och uppdatera om du inte redan gjort det. Att uppdatera tar vanligtvis under en minut per plugin.

Slå på automatiska uppdateringar

När du ändå är inne i plugin-listan: aktivera automatiska uppdateringar för alla plugins du litar på. Det gör du via länken "Aktivera automatiska uppdateringar" bredvid varje plugin. Det är inte en perfekt lösning (enstaka uppdateringar kan skapa konflikter), men för de allra flesta sajter väger skyddet mot kända säkerhetshål tyngre än risken för ett tillfälligt utseendeproblem.

Ta också en backup nu om du inte har en färsk sådan. En backup är den enda garantin om något ändå går fel.

Har din sajt redan blivit drabbad?

Det är omöjligt att säga med säkerhet utan en undersökning, men det finns tydliga varningssignaler att leta efter. Logga in i WordPress och kontrollera dessa saker.

  • Okända administratörskonton under Användare → Alla användare. Konton du inte känner igen, kanske med generiska namn eller slumpmässiga e-postadresser, är ett klassiskt tecken på intrång.
  • Nya inlägg, sidor eller filer som du inte skapat. Angripare planterar ibland skadlig kod i temafiler eller lägger upp sidor för att sprida skräppost.
  • Konstiga omdirigeringar när du besöker din sajt, eller klagomål från besökare om att de skickas vidare till okänd sajt.
  • Ovanlig trafik i serverloggarna, till exempel massor av förfrågningar mot REST API-slutpunkter som /wp-json/.

Hittar du något av ovanstående ska du inte försöka rensa manuellt om du inte vet vad du gör. Återställ i stället från en ren backup, byt alla lösenord (WordPress-admin, FTP, databasen, e-post kopplad till kontot) och kontakta ditt webbhotell. De flesta svenska webbhotell har supportpersonal som kan hjälpa till att bedöma situationen och har ibland egna säkerhetsskanningar inkluderade i tjänsten.

Varför händer det här gång på gång?

WordPress-plugins är den absolut vanligaste attackytan mot WordPress-sajter. Det beror inte på att WordPress i sig är osäkert, utan på att ekosystemet är enormt: det finns tiotusentals plugins skrivna av tusentals olika utvecklare med varierande säkerhetskompetens. En enda miss i ett REST API-anrop, som i fallet med Burst Statistics, räcker för att öppna en bakdörr in till sajten.

Det praktiska svaret är att ha färre plugins, hålla dem uppdaterade och med jämna mellanrum gå igenom vad du faktiskt använder. Vi har skrivit en guide om hur du rensar bort plugins som saktar ner och riskerar din sajt. Det tar en timme och gör stor skillnad. Läs också vår genomgång av hur du skyddar din WordPress-sajt från hackning för fler konkreta åtgärder.