Hvordan ved jeg, om min hjemmeside allerede er blevet hacket?

Tegn på kompromittering kan være: ukendte administratorbrugere, indhold du ikke selv har skrevet, omdirigeringer til fremmede hjemmesider, eller advarsler fra Google om skadeligt indhold. Din webhost kan hjælpe med at gennemgå serverlogfiler for mistænkelig aktivitet.

Bruger jeg nødvendigvis Time Capsule-pluginnet?

Ikke nødvendigvis. Log ind på dit WordPress-admin og gå til ‘Plugins’ → ‘Installerede plugins’. Søg efter ‘Time Capsule’ i listen. Hvis det ikke er der, er du ikke sårbar over for netop denne fejl.

Kan jeg bare deaktivere pluginnet i stedet for at opdatere?

Ja, deaktivering stopper sårbarheden midlertidigt, fordi koden ikke længere kører. Du mister dog backup-funktionaliteten i mellemtiden. Sørg for at have en alternativ backupløsning klar, inden du deaktiverer.

Hvad er en autentificeringsomgåelse?

Autentificering er det tekniske ord for ‘at bevise hvem du er’ — typisk via brugernavn og kodeord. En omgåelse betyder, at en angriber kan narre systemet til at tro, at de er en legitim bruger, uden at kende de korrekte login-oplysninger.

Vil min antivirus eller firewall beskytte mig?

Ikke nødvendigvis. En almindelig antivirus på din computer beskytter ikke din hjemmeside, der kører på en ekstern server. En webapplikationsfirewall (WAF) kan potentielt blokere angrebet, men den sikreste løsning er at opdatere eller fjerne det sårbare plugin.

CVE-2020-37255

Alvorlig

CVE-2020-37255: WordPress Time Capsule login-bypass

Kritisk fejl i WordPress-plugin giver hackere adgang til dit admin-panel uden kodeord.

CVSS Score

7.5

Offentliggjort

20/06/2026

Patch-status

available

Exploit

poc_public

Tidsfrist

Opdatér inden for 24-48 timer

Hvad er det?

WordPress-pluginnet ‘Time Capsule’ i version 1.21.16 har en alvorlig sikkerhedsfejl, der gør det muligt for hackere at omgå login-siden (autentificeringsomgåelse) helt uden at kende dit brugernavn eller kodeord. Fejlen udnyttes ved at sende en særligt udformet forespørgsel med en specifik header kaldet IWP_JSON_PREFIX. Når angrebet lykkes, får hackeren gyldige administrator-cookies (små tekstfiler der beviser, at du er logget ind) og kan dermed tilgå dit WordPress-kontrolpanel som om de var dig.

Hvem rammer det?

Sårbarheden rammer alle WordPress-hjemmesider og webshops, der kører pluginnet ‘Time Capsule’ i version 1.21.16 eller tidligere. Det er typisk SMV’er, foreninger og enkeltmandsvirksomheder, der bruger pluginnet til at lave sikkerhedskopier (backup) af deres WordPress-side. Hvis du ikke ved, om du har pluginnet installeret, kan du tjekke det under ‘Plugins’ i dit WordPress-admin.

Hvad kan ske?

En angriber der udnytter fejlen, opnår fuld administratoradgang til din WordPress-side. Det betyder at vedkommende kan:

Installere skadelig software (malware) eller bagdøre på din hjemmeside
Stjæle persondata om dine kunder og medarbejdere
Ændre eller slette alt indhold på siden
Omdirigere dine besøgende til svindelsider
Sende spam-e-mails fra din side, som kan skade dit omdømme

Alt dette kan ske uden at du opdager det med det samme.

Hvor alvorligt er det?

Sikkerhedseksperter har vurderet denne sårbarhed til 7,5 ud af 10 (Alvorlig) på den internationale CVSS-skala. Vurderingen er høj fordi:

Angrebet kan udføres over internettet af hvem som helst
Det kræver ingen teknisk snilde eller forberedelse (lav kompleksitet)
Angriberen behøver hverken kodeord eller særlige rettigheder
Det er fuldt automatiserbart — hackere kan scanne tusindvis af sites på én gang

Den primære risiko er fortrolighedsbrud, altså at uvedkommende får adgang til data og systemer, de ikke burde se.

Hvad gør jeg nu?

Gør følgende hurtigst muligt for at beskytte din hjemmeside:

Tjek om du er ramt: Log ind på dit WordPress-admin, gå til ‘Plugins’ og søg efter ‘Time Capsule’. Notér versionsnummeret.
Opdatér pluginnet straks: Hvis du kører version 1.21.16 eller derunder, skal du opdatere til den seneste tilgængelige version med det samme via WordPress-dashboardet.
Deaktivér pluginnet midlertidigt: Hvis en opdatering ikke er tilgængelig, eller du er i tvivl, så deaktivér pluginnet indtil du har afklaret situationen.
Gennemgå din administratorliste: Gå til ‘Brugere’ i WordPress og slet eller deaktivér alle administratorkonti, du ikke genkender.
Skift alle administrator-adgangskoder: Udsted nye, stærke adgangskoder til alle WordPress-administratorer.
Kontakt din webhost eller IT-rådgiver: Bed dem tjekke serverlogfiler for mistænkelig aktivitet, særligt ukendte POST-forespørgsler med IWP_JSON_PREFIX.

Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du opdaterer eller deaktiverer Time Capsule-pluginnet i dag. Denne type sårbarhed — hvor ingen kodeord er nødvendigt — er meget attraktiv for automatiserede angreb, og din side kan være kompromitteret, før du opdager det. Tjek også dine WordPress-logs og brugerkonti for tegn på uautoriseret adgang. Har du brug for hjælp til at gennemgå din WordPress-sikkerhed, er du velkommen til at kontakte os.

Tidslinje

20/06/2026

CVE offentliggjort i NVD

Sårbarheden i WordPress Time Capsule Plugin 1.21.16 blev officielt registreret og offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 7,5.

20/06/2026

Teknisk detalje offentliggjort

Den specifikke angrebsmetode med IWP_JSON_PREFIX-headeren blev beskrevet offentligt, hvilket gør det muligt for angribere at konstruere udnyttelseskode.

21/06/2026

Automatiserede scans forventes igangsat

Erfaringsmæssigt begynder automatiserede scans efter sårbare WordPress-sites inden for 24-48 timer efter offentliggørelse af denne type fejl.

20/06/2026

Opdatering anbefales straks

Brugere af Time Capsule-pluginnet opfordres til øjeblikkeligt at opdatere til en patchet version eller deaktivere pluginnet for at undgå uautoriseret adgang.

Konkrete eksempler

Automatiseret masseangreb mod WordPress-sites

En hacker kører et automatiseret script, der scanner tusindvis af WordPress-hjemmesider for at finde dem, der bruger Time Capsule-pluginnet. Når et sårbart site identificeres, sender scriptet automatisk en POST-forespørgsel med den specielle header og modtager en gyldig administrator-cookie tilbage. Hele processen tager sekunder per hjemmeside og kræver ingen manuel indsats fra hackeren.

Ransomware-installation via admin-adgang

En angriber udnytter fejlen til at logge ind som administrator på en dansk webshops WordPress-side. Derfra installerer de et skadeligt plugin, der krypterer alle filer på serveren og kræver løsepenge for at gendanne adgangen. Webshoppens ejer opdager det først, da kunderne klager over, at siden er nede.

Datatyveri og GDPR-brud

En hacker opnår administratoradgang til en virksomheds WordPress-side, der indeholder kundeoplysninger som navne, adresser og e-mails. Dataene eksporteres stille og roligt. Virksomheden opdager bruddet måneder senere under en revision og er forpligtet til at indberette det til Datatilsynet inden for 72 timer — med potentielle bøder til følge.

Ofte stillede spørgsmål

Hvordan ved jeg, om min hjemmeside allerede er blevet hacket?
Tegn på kompromittering kan være: ukendte administratorbrugere, indhold du ikke selv har skrevet, omdirigeringer til fremmede hjemmesider, eller advarsler fra Google om skadeligt indhold. Din webhost kan hjælpe med at gennemgå serverlogfiler for mistænkelig aktivitet.
Bruger jeg nødvendigvis Time Capsule-pluginnet?
Ikke nødvendigvis. Log ind på dit WordPress-admin og gå til ‘Plugins’ → ‘Installerede plugins’. Søg efter ‘Time Capsule’ i listen. Hvis det ikke er der, er du ikke sårbar over for netop denne fejl.
Kan jeg bare deaktivere pluginnet i stedet for at opdatere?
Ja, deaktivering stopper sårbarheden midlertidigt, fordi koden ikke længere kører. Du mister dog backup-funktionaliteten i mellemtiden. Sørg for at have en alternativ backupløsning klar, inden du deaktiverer.
Hvad er en autentificeringsomgåelse?
Autentificering er det tekniske ord for ‘at bevise hvem du er’ — typisk via brugernavn og kodeord. En omgåelse betyder, at en angriber kan narre systemet til at tro, at de er en legitim bruger, uden at kende de korrekte login-oplysninger.
Vil min antivirus eller firewall beskytte mig?
Ikke nødvendigvis. En almindelig antivirus på din computer beskytter ikke din hjemmeside, der kører på en ekstern server. En webapplikationsfirewall (WAF) kan potentielt blokere angrebet, men den sikreste løsning er at opdatere eller fjerne det sårbare plugin.

Ramte produkter

CVSS-detaljer

Attack Vector

NETWORK

Attack Complexity

LOW

Privileges Required

NONE

User Interaction

NONE

Scope

UNCHANGED

Confidentiality

HIGH

Integrity

NONE

Availability

NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CWE-svaghedstyper

CWE-288

Original NVD-beskrivelse (engelsk)

WordPress Time Capsule Plugin 1.21.16 contains an authentication bypass vulnerability that allows unauthenticated attackers to gain administrative access by sending a crafted POST request with the IWP_JSON_PREFIX header. Attackers can exploit this flaw to obtain valid administrator session cookies and access the WordPress dashboard without providing credentials.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.

Book en samtale Se vores ydelser