Kontakta oss
Kontakta oss

Våra kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige
Karriär hos Siteflow

Följ oss

Backup och säkerhet på hemsidan: guide 2026

Den vanligaste reaktionen efter ett intrång är inte ilska — det är förvåning. "Vem skulle vilja hacka oss?" Problemet är att de flesta attacker inte är personliga. De är automatiserade. Bottar scannar internet dygnet runt efter sajter med kända säkerhetshål och gör skada — inte för att de bryr sig om vem du är, utan för att det går.

Varför backup är kritisk — inte rekommenderat

Ungefär en av fem hemsidor utsätts för någon form av intrång eller datakatastrof per år. Det inkluderar allt från ren hackning till krypterad utpressningsmjukvara, databashaverier, administratörer som tar bort fel sak och pluginuppdateringar som går sönder. Det händer regelbundet.

Skillnaden mellan en sajt som klarar sig och en som inte gör det är nästan alltid en sak: fungerande backup. Inte "vi tror webbhotellet sköter det" — utan en backup du själv återställt minst en gång och vet fungerar.

Utan backup måste hela sajten byggas om från noll efter ett intrång. Det kostar tiotusentals kronor och flera veckors arbete. Med backup är konsekvensen några timmars driftstopp.

Automatiska backuper — daglig är minimum

Manuella backuper fungerar inte i längden. Det glöms bort, det skjuts upp, det blir inkonsekvent. Den enda backup som faktiskt hjälper dig är den som körs automatiskt utan att någon människa behöver komma ihåg.

Minimum för en seriös sajt 2026:

Daglig databasbackup. Allt innehåll, alla användare, alla inställningar. Om databasen försvinner är sajten i praktiken död.

Veckovis full filbackup. Mediabibliotek, teman, plugins, konfigurationsfiler. Det som inte ändras varje dag men som ändå måste finnas.

Offsite-lagring. Backupen får inte ligga på samma server som sajten. Om servern brinner, försvinner båda. Använd extern lagring — S3, Backblaze, Google Cloud Storage eller motsvarande.

Minst 30 dagars historik. Många intrång upptäcks inte direkt. Om angriparen suttit i systemet i två veckor och du bara har sju dagars backup, är även dina senaste backuper komprometterade.

Versionshantering — git eller snapshot

Backup är en sak. Versionshantering är något annat och bör finnas parallellt.

För kodbaserade ändringar — teman, plugins, anpassningar — använd git. Varje ändring blir en commit, är spårbar och går att rulla tillbaka. Det är hur professionell webbutveckling fungerar 2026.

För innehåll och konfiguration är snapshots det praktiska alternativet. En snapshot är en frusen bild av hela sajten vid en specifik tidpunkt. Skillnaden mot en backup är att en snapshot är optimerad för snabb återställning — inte för långtidsförvaring.

Bra rutin: en snapshot före varje större ändring. Innan du installerar en ny plugin, innan en uppdatering av kärnsystemet, innan en utvecklare gör manuella ingrepp. Om något går fel rullar du tillbaka och provar igen.

Katastrofplan — RTO och RPO

En katastrofplan är inte ett dokument du skriver för att se professionell ut. Det är ett tankeexperiment du gör innan något händer, så att du vet vad du ska göra när det väl smäller.

Två begrepp är centrala:

RTO — Recovery Time Objective. Hur lång driftstopp tål din verksamhet? För en e-handel som omsätter en miljon i veckan är RTO kanske två timmar. För en informationssajt kan det vara ett dygn. Beslutet styr hur mycket du behöver investera i redundans och beredskap.

RPO — Recovery Point Objective. Hur mycket data tål du att förlora? Om du har daglig backup är RPO 24 timmar — du förlorar i värsta fall ett dygns ändringar. Om det är oacceptabelt behöver du tätare backuper.

Skriv ner svaren. Dokumentera vem som ringer vem när det händer, vilka inloggningar som behövs, var backuperna ligger och hur återställningen går till. Testa rutinen en gång om året — en backup som aldrig återställts är inte en backup, det är en förhoppning.

SSL och säkerhetshuvuden

SSL — krypterad anslutning via HTTPS — är minimikrav 2026. Utan SSL varnar webbläsare besökarna, Google sänker dig i sökresultaten och formulär kan inte hantera känsliga uppgifter lagligt.

Men SSL är bara basen. Säkerhetshuvuden är de extra lager som gör skillnad mot moderna attacker:

HSTS (HTTP Strict Transport Security). Tvingar webbläsaren att alltid använda HTTPS, även om någon försöker omdirigera till en okrypterad version. Skyddar mot så kallade downgrade-attacker.

CSP (Content Security Policy). Definierar vilka källor som får ladda kod på din sajt. Stoppar de flesta XSS-attacker — där angriparen försöker injicera skadlig JavaScript via formulär eller URL-parametrar.

X-Frame-Options. Hindrar att din sajt visas i en iframe på en annan sajt, vilket annars kan användas för clickjacking — där användaren tror sig klicka på en sak men egentligen klickar på något helt annat.

Referrer-Policy och Permissions-Policy. Begränsar vilken information som läcker till tredjepartstjänster och vilka webbläsarfunktioner sidor får använda.

Du kan testa din sajt på securityheaders.com och få ett betyg från A+ till F. De flesta småföretagssajter ligger på D eller F. Att komma upp till A tar en eftermiddags arbete och kostar inget.

Tvåfaktorsautentisering — inte valbart

Lösenord blir stulna. Det är inte en fråga om utan när. Den enda effektiva motåtgärden är tvåfaktorsautentisering — 2FA — där inloggning kräver både lösenord och en engångskod från en app eller säkerhetsnyckel.

Aktivera 2FA på allt:

  • Administratörskontot på din hemsida
  • Webbhotellets kontrollpanel
  • E-postkontot kopplat till domänen
  • Domänregistrarens konto (om någon kapar domänen är allt annat värdelöst)
  • Eventuella betalningsleverantörer

Använd en authenticator-app som Authy eller 1Password, inte SMS. SMS-koder kan kapas via så kallad SIM-swapping — där angriparen lurar telefonoperatören att flytta numret till ett nytt SIM-kort.

Vanliga frågor

Räcker inte webbhotellets backup? Sällan. De flesta webbhotell tar någon form av backup men erbjuder ingen garanti, ingen återställningstid och ingen versionshistorik. Om webbhotellet kraschar försvinner ofta deras backuper också. Ha alltid egen, oberoende backup.

Hur ofta ska jag testa återställningen? Minst en gång per år. Ladda upp backupen i en testmiljö och kontrollera att sajten faktiskt fungerar. Många upptäcker först då att backuperna varit korrupta i månader.

Vad gör jag om sajten redan är hackad? Stäng av sajten omedelbart, byt alla lösenord, kontakta webbhotellet och återställ från en backup som ligger före intrånget. Försök inte städa upp en aktiv attack i drift — det är nästan alltid säkrare att rulla tillbaka och starta om från en ren kopia.

Hur vet jag om min sajt är säker? Kör en grundläggande genomgång. Är HTTPS aktivt på alla sidor? Har du säkerhetshuvuden? Är 2FA på admin-kontot? Tas backup automatiskt? Är allt mjukvara uppdaterat? Om svaret är ja på alla fem ligger du över genomsnittet — men säker är ingen sajt aldrig till hundra procent.

Relaterade artiklar

Fler artiklar

Hemsidepris 2026: vad kostar en hemsida i Sverige?

Allt från 100 kr i månaden till 80 000 kr som engångskostnad — så ser hemsidepriserna ut i Sverige 2026. Här är vad varje nivå faktiskt ger dig.

Read more

Lokala söktermer 2026: hitta orden du bör ranka på

Att gissa vilka ord kunderna googlar är dyrt. Här är metoden för att hitta de lokala söktermer ditt företag faktiskt har en chans att ranka på under 2026.

Read more

Berätta om ert projekt

Säg hej

Vårt kontor

  • Stockholm
    Varuvägen 9
    125 34 Älvsjö, Sverige