Gratis webbtest

Webbanalys AI-synlighet Säkerhetskoll GDPR-koll
Boka gratis genomgång
Rapport · april 2026

sårbar är svensk WordPress våren 2026

Kritiska fynd

1 av 20 svenska webbplatser har en säkerhetslucka. 1 av 8 av dem kan tas över helt utan inloggning.

Vi testade 17 053 svenska WordPress-webbplatser mot åtta specifika kritiska sårbarheter. 832 av dem kör en plugin-version med en känd brist. För 107 av de 832 räcker det att en angripare hittar webbplatsen för att kunna ta över den.

Det här är ett stickprov, inte en fullständig kartläggning. Det finns över 50 000 plugins till WordPress, och vi vet inget om sårbarheter i de andra 49 992. Den faktiska siffran sårbara webbplatser är med stor sannolikhet högre.

17,053 svenska WP-webbplatser testade
8 kritiska brister

Om metoden, kort

Det här är ett stickprov, inte en kartläggning. Vi testade 17 053 svenska WordPress-webbplatser mot åtta specifika kritiska sårbarheter där Wordfence har klassat exploit som möjlig utan inloggning. WordPress har över 50 000 plugins, så den faktiska siffran sårbara webbplatser är med stor sannolikhet högre än vad vi rapporterar.

Versionsnummer lästes från publikt synliga readme.txt-filer, inga exploit-försök gjordes. Rapporten är publicerad av Sitesupport Sverige AB, som hjälper svenska företag att hålla sina WordPress-installationer uppdaterade. Vi tjänar pengar på att problemen i den här rapporten existerar, vilket är värt att veta när du läser.

Sammanfattning

Säkerhet i siffror

0
Svenska WP-webbplatser testade
0
Plugins testade
0
Sajter med någon av sårbarheterna
0
Kritiska fall (kan kapas utan login)

Vi testade 17 053 svenska WordPress-webbplatser mot åtta plugins där den senaste patchade sårbarheten är klassad som kritisk (CVSS 9.0+) och utnyttjbar utan inloggning. För 107 av dem har patchen inte installerats — angripare kan ta över webbplatsen utifrån utan att veta något lösenord.

Den äldsta öppna patchen i materialet släpptes september 2024. När vi mätte i april 2026 hade ingen av de fyra drabbade webbplatserna uppdaterat. Det är inte teknik som fattas. Det är att ingen sköter webbplatsen.

Jämförelsen är gjord mot Wordfence CVE-databas och bygger på publikt synliga versionsnummer från readme.txt.

Så fungerar det

Vad är det vi har hittat?

CVE

En känd säkerhetsbrist

Varje bekräftad sårbarhet får ett globalt id, t.ex. CVE-2025-13407. Vi jämför installerade versioner mot CVE-databasen från Wordfence — då vet vi exakt vilka webbplatser som kör en sårbar version.

CVSS

Hur farligt är det?

CVSS är en skala från 0 till 10. Över 9 betyder att en angripare kan ta över webbplatsen från internet utan inloggning. Över 7 är allvarligt men kräver oftast något steg till. Under 4 är mest kosmetiskt.

Patch

En färdig lösning

När en brist hittas släpper plugin-utvecklaren en uppdatering som fixar den. Patchen finns oftast inom dagar. Sajtägaren behöver installera den. Ingen patch = fortsatt sårbar.

Skalan

47,628 webbplatser

Vi har scannat 47,628 svenska domäner, varav 17,053 kör WordPress. Det är ett urval ur vårt pågående register över svensk webbinfrastruktur — inte en slumpmässig mätning, men representativt för mindre och medelstora svenska webbplatser.

Djupare analys

Hur ser 832 sårbara webbplatser ut på nära håll?

Vi bryter ner sårbarheterna på severity och tittar på var de koncentreras.

Severity-fördelning

Majoriteten är medelsvåra. Men kritiska finns.

Kritiska (kan kapas utan login)
107 · 13%
Allvarliga (kräver inloggad användare)
75 · 9%
Medelsvåra (CSRF, XSS, social-engineering)
650 · 78%
Kritiska brister är ovanliga men allvarliga. CVSS 9.0 och uppåt betyder i regel att vem som helst på internet kan utnyttja dem utan inloggning.
Vanligaste sårbara versionerna

Här koncentreras problemet

De tio versioner med flest installationer av sårbara webbplatser. Det finns fler sårbara versioner än dessa — men det här är de mest spridda.

Plugin Version Svenska webbplatser Max CVSS
WooCommerce 10.5.2 42 6.1
WooCommerce 10.4.4 39 6.1
WooCommerce 10.3.8 34 7.5
WooCommerce 10.2.4 25 7.5
Everest Forms 3.4.1 3 9.8
Gravity Forms 2.8.18 10 9.8
Gravity Forms 2.6.9 8 9.8
The Events Calendar 6.10.3 8 7.5
CleanTalk Anti-Spam 6.67 3 9.8
Plugin för plugin

Vad vi hittade

Scrolla genom de fyra pluginen — varje glider in från höger och stannar medan nästa tar plats.

Plugin 1 av 8
Formulär
Gravity Forms
Kritisk · CVSS 9.8
CVE-2025-13407

Obehörig filuppladdning från internet utan inloggning — full övertagning av webbplatsen.

Patch släppt: december 2025
Säker version: 2.9.23.1
0
sårbara svenska sajter av 246 med installationen
Sårbara 24%
Versionsfördelning
2.10.0
76
2.9.31
19
2.8.18
10
2.6.9
8
2.7.17
6
övriga
127
Plugin 2 av 8
Evenemang
The Events Calendar
Allvarlig · CVSS 7.5
CVE-2026-3585

Filinläsning via authenticated attack. Kombinerat med äldre unauthenticated SQL-injection kan hela databasen läckas.

Patch släppt: mars 2026
Säker version: 6.15.17.1
0
sårbara svenska sajter av 186 med installationen
Sårbara 31%
Versionsfördelning
6.15.20
94
6.15.17.1
11
6.10.3
8
6.15.11
7
6.15.15
5
övriga
61
Plugin 3 av 8
E-handel
WooCommerce
Medel · CVSS 6.1
Flera (CSRF, XSS)

CSRF och stored XSS i äldre versioner. Kräver oftast att en inloggad admin luras att utföra en aktion.

Patch släppt: mars 2026
Säker version: 10.5.3
0
sårbara svenska sajter av 1293 med installationen
Sårbara 50%
Versionsfördelning
10.6.2
427
10.6.0
72
10.5.2
42
10.4.4
39
10.3.8
34
övriga
679
Plugin 4 av 8
Anti-spam
CleanTalk Anti-Spam
Kritisk · CVSS 9.8
CVE-2026-1490

DNS-spoofing låter angripare installera godtyckliga plugins utan inloggning. Ett anti-spam-plugin som själv öppnar dörren.

Patch släppt: mars 2026
Säker version: 6.72
0
sårbara svenska sajter av 116 med installationen
Sårbara 25%
Versionsfördelning
6.77
63
6.75
6
6.76
5
6.67
3
6.48.2
3
övriga
36
Plugin 5 av 8
Formulär
Everest Forms
Kritisk · CVSS 9.8
CVE-2025-1128

Unauthenticated PHP Object Injection. Angripare kan injicera objekt och köra godtycklig kod på webbplatsen utan inloggning.

Patch släppt: januari 2026
Säker version: 3.4.4
0
sårbara svenska sajter av 29 med installationen
Sårbara 45%
Versionsfördelning
3.4.5
12
3.4.4
3
3.4.1
3
3.4.3
2
övriga
9
Plugin 6 av 8
Sidbyggare
Kubio AI Page Builder
Kritisk · CVSS 9.8
CVE-2024-8819

Unauthenticated Local File Inclusion. Vem som helst kan läsa systemfiler från servern, inklusive konfiguration med databaslösenord.

Patch släppt: september 2024
Säker version: 2.5.2
0
sårbara svenska sajter av 35 med installationen
Sårbara 11%
Versionsfördelning
2.7.3
20
2.7.0
4
2.7.1
2
2.3.3
2
övriga
7
Plugin 7 av 8
LMS
LearnPress
Kritisk · CVSS 9.1
CVE-2024-8522

Missing authorization. En icke-inloggad användare kan exekvera funktioner som ska kräva administratörsrättigheter.

Patch släppt: oktober 2024
Säker version: 4.3.3
0
sårbara svenska sajter av 11 med installationen
Sårbara 27%
Versionsfördelning
4.3.5
6
4.3.4
1
4.3.2.7
1
4.3.2.2
1
4.2.8.7.5
1
Plugin 8 av 8
Bokning
LatePoint
Kritisk · CVSS 9.8
CVE-2025-2536

Unauthenticated Local File Inclusion. Servern kan tvingas läsa godtyckliga filer, inklusive lösenord och nycklar.

Patch släppt: mars 2026
Säker version: 5.1.94
0
sårbara svenska sajter av 7 med installationen
Sårbara 43%
Versionsfördelning
5.4.1
1
5.3.2
1
5.2.5
1
5.0.4
1
4.9.91
1
Branschfördelning

Vem är de drabbade?

Klassificering baserad på domännamn, sidans titel och meta-beskrivning, där varje sårbar webbplats placerats i en av åtta kategorier. Småföretag och e-handel utgör tillsammans 70 procent av de sårbara.

Småföretag och övriga
40% av sårbara
0
Mindre företag, konsulter, hantverkare, tjänster.
E-handel
30% av sårbara
0
Webbutiker. Nästan alla kör en gammal WooCommerce-version med medium-severity CSRF eller XSS, inte kritisk RCE.
Föreningar och ideella
8% av sårbara
0
Idrottsklubbar, bostadsrättsföreningar, kyrkor, stiftelser.
Teknik och IT
7% av sårbara
0
Konsultbolag, utvecklare, SaaS, hostingföretag.
Restaurang och besöksnäring
5% av sårbara
0
Bygg och hantverk
5% av sårbara
0
Vård och hälsa
4% av sårbara
0
Kliniker, psykologer, tandläkare.
Utbildning
2% av sårbara
0

E-handel dominerar volymen med 251 webbplatser, men de flesta är inte i zonen där någon tar över webben. Nästan alla kör en äldre WooCommerce-version med medium-severity CSRF eller XSS (CVSS 6.1). Brister som kräver att en inloggad admin luras, inte en öppen bakdörr.

De verkligt kritiska fallen ligger i andra änden. Av de 107 webbplatser som kör en plugin med öppen pre-auth-sårbarhet är 56 småföretag, 14 tekniska bolag och 10 föreningar. Bara 6 är webbutiker. Det är platser där hela infrastrukturen står och faller med en enda plugin som ingen ser över.

Tidslinje

Så rullade sårbarheterna ut

Varje punkt är en publicerad CVE eller släppt patch. Kritiska sårbarheter markeras i rött.

15 sep 2024
Kubio
CVE-2024-8819
CVSS 9.8
20 okt 2024
LearnPress
CVE-2024-8522
CVSS 9.1
3 dec 2025
Gravity Forms
CVE-2025-13407
CVSS 9.8
4 dec 2025
Gravity Forms
patch 2.9.23.1
15 jan 2026
Everest Forms
CVE-2025-1128
CVSS 9.8
9 mar 2026
The Events Calendar
CVE-2026-3585
CVSS 7.5
15 mar 2026
CleanTalk Anti-Spam
CVE-2026-1490
CVSS 9.8
20 mar 2026
LatePoint
CVE-2025-2536
CVSS 9.8
0 plugins
testade — varje vald för att den senaste patchade bristen är CVSS 9.0+ och pre-auth.
0
svenska webbutiker kör WooCommerce med minst en oåtgärdad sårbarhet.
Vad vi får höra
„Det är väl ingen som vill hacka mig.” Men ingen letar efter dig. Allt är automatiserat.

Ett script tuggar igenom tiotusentals domäner och stannar vid dem som svarar med en sårbar version. Det spelar ingen roll hur liten webbplatsen är. Den enda frågan är om den syns på internet.

Erik Hårdén, Sitesupport Sverige AB
Patch-gapet

Patcharna finns. De når bara inte hela vägen fram.

1
CVE publiceras
En säkerhetsbrist dokumenteras och får ett officiellt CVE-id av Wordfence eller NVD.
2
Patch släpps
Plugin-utvecklaren släpper en ny version som åtgärdar bristen. Oftast samma vecka.
3
Uppdateringen når inte alla
Månader senare kör hundratals webbplatser fortfarande den sårbara versionen. Oftast för att det saknas rutiner för att se när nya versioner släppts.
Det handlar inte om ovilja. Oftast handlar det om att webbplatsen byggdes av en byrå som inte erbjuder löpande underhåll, och att ägaren inte visste att underhållet var ett eget arbete efter lanseringen.
Om du äger en WordPress-webbplats

Fyra saker att göra innan nästa CVE

01
Slå på automatiska uppdateringar
WordPress stödjer detta sedan version 5.5. För plugins kan det kräva licens, men för core och många gratis-plugins funkar det direkt.
02
Ta bort det du inte använder
Varje installerad plugin är en attackyta, även om den är avaktiverad. Avinstallera det du inte behöver aktivt.
03
Ha backup som faktiskt testas
Många webbplatser har backup men ingen vet om återställning fungerar. Testa minst en gång per kvartal.
Se våra supportavtal
04
Sätt upp ett varningssystem
Wordfence, Jetpack eller en tjänst som övervakar nya CVE:r mot dina installerade plugins. Du slipper hänga med manuellt.
Testa din webb gratis
Frågor och svar

Vanliga frågor om rapporten

Nej. Vi testade åtta specifika kritiska sårbarheter mot 17 053 svenska WordPress-webbplatser. Det finns över 50 000 WordPress-plugins, och vi vet ingenting om sårbarheter i de andra 49 992. Det här är ett stickprov, inte en komplett säkerhetsbedömning. Den faktiska siffran sårbara webbplatser är med stor sannolikhet högre än vad vi hittade.
Vi valde åtta plugins där den senaste patchade sårbarheten har CVSS-poäng på 9.0 eller högre och beskrivs som pre-authentication exploit i Wordfence databas. Det betyder att en angripare kan utnyttja bristen utan att vara inloggad — den absolut farligaste kategorin. Plugins valda: Gravity Forms, WooCommerce, The Events Calendar, CleanTalk Anti-Spam, Everest Forms, Kubio AI Page Builder, LearnPress och LatePoint.
107 svenska webbplatser kör en plugin-version med en publicerad kritisk sårbarhet (CVSS 9.0+) som tillåter övertagning utan inloggning. Totalt 832 webbplatser kör någon av de åtta plugins-versionerna med en känd brist, inräknat mindre allvarliga.
Vi läste publik HTML och publika readme.txt-filer från varje domäns startsida. Ingen autentisering, inga exploit-försök. Versionsnummer jämfördes med verifierade CVE-uppgifter från Wordfence Intelligence.
Sannolikt missar vi webbplatser på två sätt. (1) Sajter som döljer sin pluginversion i readme.txt — då kan vi inte avgöra om de är sårbara. (2) Sajter som har backportat patchen till en gammal version — då markeras de som sårbara även om de inte är det. Båda effekterna är troligen små, men felmarginalen är inte mätt.
Nej. Vi publicerar aldrig individuella domäner. Endast aggregerade siffror och anonymiserade versionsstatistik.
Ja, vi erbjuder ett gratistest på /testa-din-hemsida som kontrollerar om din webbplats kör de plugins som analyseras i denna rapport. Testet kräver ingen inloggning och lämnar inga spår efter sig.
Sitesupport Sverige AB, ett företag som säljer löpande WordPress-underhåll och säkerhetsuppdateringar. Vi har ett kommersiellt intresse av att problemet finns. Datan är dock öppen i sin metod, och vem som helst med samma scanverktyg kan reproducera resultaten.
Metod

Så tog vi fram siffrorna

  • Scannade 47,628 svenska domäner från vårt eget register.
  • Läste endast publik HTML och publika readme.txt-filer.
  • Jämförde versioner mot verifierade CVE-uppgifter från Wordfence.
  • Ingen autentisering, inga exploit-försök, inga DDoS-nivåer.
  • Respekterade robots.txt och opt-outs från webbplatsägare.
Mer om vår scanner
Om Sitesupport

Vi sköter tekniken

Sitesupport Sverige AB hjälper svenska företag att hålla sina WordPress-, Joomla- och Laravel-installationer säkra och uppdaterade. Vi tjänar pengar på att problemen i den här rapporten existerar. Datan är dock öppen i sin metod och går att reproducera med samma scanverktyg.

Supportavtal Testa din webb
Kontakt

Frågor om rapporten?

Undrar du över en siffra eller ett metodval? Maila oss. Vi svarar gärna, men pekar aldrig ut enskilda webbplatser.

support@sitesupport.co
Erik Hårdén
Borlänge

Vi återkommer inom en arbetsdag. Rapporten uppdateras kvartalsvis.