En WordPress-webb blir inte hackad för att angriparen är smart. Den blir hackad för att någon publicerat en säkerhetsbrist, en patch har släppts, och ägaren har missat att installera uppdateringen. När vi under april 2026 testade 17 053 svenska WordPress-webbplatser mot åtta sådana brister fick vi en tydlig bild av hur långt patch-missarna har gått.
832 webbplatser (ungefär 1 av 20) kör en plugin-version med en känd säkerhetsbrist. 107 av dem (1 av 8 av de sårbara) kör en version där det räcker att angriparen hittar webbplatsen för att kunna ta över den. Ingen gissad admin. Ingen luring av en inloggad användare. Bara en öppen dörr.
Hela datamaterialet, metoden och plugin-för-plugin-genomgången finns i WordPress-säkerhet Sverige våren 2026. Det här är den kortare versionen.
Ett stickprov, inte en kartläggning
Innan vi går in på siffrorna vill vi vara ärliga om vad rapporten är och inte är. Vi testade åtta specifika plugins där den senaste patchade sårbarheten är klassad som kritisk (CVSS 9.0 eller högre) och där exploit fungerar utan inloggning. Gravity Forms, WooCommerce, The Events Calendar, CleanTalk Anti-Spam, Everest Forms, Kubio, LearnPress och LatePoint.
WordPress har över 50 000 plugins. Vi vet ingenting om sårbarheter i de andra 49 992. Den faktiska siffran svenska webbplatser med öppen sårbarhet är med stor sannolikhet högre än 832. Det här är stickprov, inte folkräkning.
Vi tjänar också pengar på att problemen i rapporten existerar. Vi säljer WordPress-underhåll. Det är värt att hålla i minne.
Patcharna finns. Uppdateringarna når bara inte fram
Den kritiska sårbarheten i Gravity Forms (CVE-2025-13407) patchades i december 2025. När vi mätte fyra månader senare körde 59 svenska webbplatser fortfarande en version med det öppna hålet. Den äldsta öppna patchen i vårt material släpptes redan september 2024. Ingen av de drabbade webbplatserna hade uppdaterat under 19 månader.
Det är inte teknik som saknas. Uppdateringen ligger ett klick bort i wp-admin. Det handlar om att ingen följer med i vad som släpps, och ingen har byggt rutinen för att göra något åt det.
Volymen sitter hos WooCommerce, men de kritiska fallen sitter någon annanstans
E-handel dominerar volymen med 251 sårbara webbplatser. Men de allra flesta av dem kör en äldre WooCommerce-version med medium-severity CSRF eller XSS (CVSS 6.1). Brister som kräver att en inloggad admin luras att klicka på något fel. Obehagligt, men inte en öppen bakdörr.
De verkligt kritiska fallen ligger i andra änden. Av de 107 webbplatser som kör en plugin med pre-auth-exploit är 56 småföretag, 14 tekniska bolag, 10 föreningar och 6 e-handelswebbplatser. Platser där hela infrastrukturen står och faller med en enda plugin som ingen ser över.
Vad du kan göra
Vi har ett gratistest på /testa-din-hemsida som kollar din egen webbplats mot samma CVE-databas. Det läser publika versionsnummer, tar ungefär 20 sekunder, kräver ingen inloggning. Om testet flaggar något är det oftast en plugin som behöver uppdateras i wp-admin.
Viktigaste insikten från rapporten är inte "många svenska webbplatser är sårbara". Det är att bristen nästan alltid sitter i att ingen följer upp. Auto-uppdateringar för både WordPress core och plugins är gratis, har funnits sedan version 5.5, och stänger den här typen av hål automatiskt. Att slå på det för sina plugins tar 30 sekunder.
För den som faktiskt vill gräva i siffrorna: hela rapporten med plugin-genomgång, tidslinje och branschfördelning finns här.
