maca Sec samlar brandvägg, inloggningsskydd, 2FA, hårdning, skanning och loggning på ett ställe. Alla funktioner ingår utan premium-lås.
Den här guiden beskriver vad varje del gör och hur du använder dem i WordPress-admin under maca Sec i sidomenyn.
Kom igång
1. Installera och aktivera
- Ladda upp pluginet via Tillägg → Lägg till → Ladda upp eller placera mappen
maca-seciwp-content/plugins/. - Aktivera maca Sec under Tillägg.
- Du omdirigeras till Villkor & policy — läs och godkänn användarvillkoren och integritetspolicyn med kryssrutorna.
- Klicka Godkänn och fortsätt. Säkerhetsskyddet aktiveras automatiskt.
Om villkoren uppdateras i en senare version måste du godkänna på nytt. Tills dess pausas skyddet och du ser en notis i wp-admin.
2. Rekommenderad ordning efter installation
- Öppna Instrumentpanel och notera säkerhetspoängen.
- Kör Skanner → Kör skanning nu och åtgärda kritiska problem.
- Lägg din IP i Brandvägg → IP-vitlista (knappen Min IP).
- Aktivera 2FA under Användare → Din profil.
- Ange e-post för larm under Hårdning.
- Granska brandväggsregler och aktivera captcha vid behov.
- Testa sajten i ett privat fönster efter ändringar.
Före produktion: ta backup, testa inloggning och kassa/betalning, kontrollera att du inte spärrar dig själv eller legitima besökare.
Översikt
| Modul | Syfte | Inställningar |
|---|---|---|
| Brandvägg (WAF) | Stoppar attacker tidigt | Brandvägg |
| Rate limiting | Begränsar förfrågningar per IP | Brandvägg |
| Attack shield | 503 vid extrem trafik | Brandvägg |
| Inloggningsskydd | Brute force, captcha, lösenord | Inloggning |
| Sessionshantering | Inaktiv utloggning, aktiva sessioner | Inloggning |
| 2FA | Tvåfaktorsautentisering | Användare → Profil |
| Hårdning | Stänger vanliga WordPress-hål | Hårdning |
| HTTP-headers | Säkerhetsheaders i svar | Hårdning |
| Skanner | Konfigurations- och filproblem | Skanner |
| Filövervakning | Ändringar i kritiska filer | Skanner |
| CVE-skanning | Kända sårbarheter (WPScan) | Skanner |
| Säkerhetslogg | Händelser och spärrar | Loggar |
| maca Hub | Fjärrstyrning via app | maca Hub-app |
Alla säkerhetshändelser loggas under Maca Sec → Loggar.
Sidomenyn i korthet
| Sida | Vad du gör här |
|---|---|
| Instrumentpanel | Överblick: poäng, händelser, blockerade IP, modulstatus |
| Brandvägg | WAF, rate limiting, attack shield, landsblock, IP-listor |
| Inloggning | Brute force, captcha, e-postlarm, inaktiv utloggning, sessioner |
| Hårdning | WordPress-hårdning, HTTP-headers, e-postlarm, loggretention |
| Skanner | Säkerhetsskanning, filövervakning, CVE/WPScan |
| Loggar | Filtrera, söka, spärra IP, godkänna filändringar |
| maca Hub-app | Slå av/på skydd, fjärråtgärder, Hub-vitlista |
| Villkor & policy | Läs och godkänn juridiska dokument |
| Guide | Den här guiden |
Brandvägg
Maca Sec → Brandvägg
Brandväggen körs tidigt på varje sidförfrågan och analyserar inkommande trafik. Inloggade administratörer i wp-admin kringgår brandväggen så att inställningar kan sparas normalt.
WAF-regler
| Regel | Skyddar mot |
|---|---|
| SQL injection | Vanliga SQL-injektionsmönster i URL och formulär |
| XSS | Script-taggar och farlig indata |
| Path traversal | ../-mönster och kataloggenomgång |
| Farliga uppladdningar | .php, .phtml, .phar m.fl. |
| Spoofade Referer | Falska Referer-headers |
User-Agent-blockering
- Skannrar & exploit-verktyg — nikto, wpscan, sqlmap, masscan, nmap m.fl.
- CLI-verktyg (valfritt) — curl, wget, python-requests. Kan påverka legitima API-klienter.
- Tom User-Agent (valfritt) — förfrågningar utan User-Agent.
- Egna strängar — en sträng per rad, matchas om User-Agent innehåller texten.
Rate limiting
Begränsar antal förfrågningar per IP och minut. Standardvärden:
| Område | Standard |
|---|---|
| Hela webbplatsen | 100/min |
| wp-login.php | 20/min |
| wp-admin | 60/min |
| xmlrpc.php | 10/min |
| REST API | 100/min |
Attack shield
Aktiverar underhållsläge (HTTP 503) vid extrem trafik — skydd mot DDoS-liknande flöden. Standard: tröskel 500 förfrågningar/minut, varaktighet 600 sekunder. Om shield är aktiv visas en röd varning på brandväggssidan.
Landskods-blacklist
Blockera besökare från valda länder med ISO-kod (t.ex. RU, CN). Vitlistade IP påverkas inte.
Landskod hämtas från Cloudflare/server-headers om möjligt, annars via ip-api.com (cachelagras 7 dagar). Om landskod inte kan avgöras blockeras besökaren inte av landskodsregeln.
Tips: Lägg alltid din egen IP i vitlistan innan du aktiverar landsblock.
IP-vitlista
Vitlistade IP/CIDR kringgår brandvägg, landsblockering och inloggningsspärrar. Använd knappen Min IP för att snabbt lägga till din adress. Stöd för CIDR, t.ex. 192.168.1.0/24.
Om maca Hub är kopplat kan du synka vitlistade IP till alla dina Hub-sajter.
Blockerade IP-adresser
Visa, avblockera eller vitlista IP som spärrats automatiskt eller manuellt. Spärrar kan vara tillfälliga eller permanenta.
Inloggningsskydd
Maca Sec → Inloggning
Brute force-skydd
- Max inloggningsförsök — standard 5 misslyckade försök.
- Spärrtid — standard 900 sekunder (15 minuter).
- Dölj inloggningsfel — visar generiskt felmeddelande (motverkar användarnamnsenumeration).
- Kräv starka lösenord — minst 12 tecken med stora/små bokstäver, siffror och specialtecken.
Vitlistade IP hoppar över brute force-spärr och captcha.
E-postlarm vid inloggning
Skickar e-post vid misstänkta inloggningsförsök (med landskod om tillgänglig). Använder samma e-postadress som under Hårdning → E-post för larm. Du anger efter hur många försök larmet ska skickas — en gång per IP och spärrperiod.
Inaktiv utloggning
Loggar ut inaktiva användare automatiskt — skyddar kvarlämnade admin-sessioner.
| Inställning | Standard |
|---|---|
| Timeout | 60 minuter |
| Varning före utloggning | 5 minuter |
| Omfattning | Endast wp-admin |
| Kom ihåg mig | Gäller även dessa sessioner |
En dialog visas innan utloggning så användaren kan förlänga sessionen.
Spamkontroll
- Honeypot — alltid aktivt. Dolt fält på inloggningssidan som fångar bots.
- Captcha — välj leverantör:
- Matematisk (ingen API-nyckel)
- Google reCAPTCHA v2 (kryssruta)
- Google reCAPTCHA v3 (osynlig, tröskel 0.0–1.0)
- Cloudflare Turnstile
Registrera site key och secret key för vald leverantör. Domänen måste matcha wp-login.php.
Aktiva sessioner
Visar dina inloggade enheter (enhet, IP, tid). Knappen Logga ut alla andra sessioner avslutar övriga sessioner.
Tvåfaktorsautentisering (2FA)
2FA aktiveras per användare under Användare → Profil:
- Aktivera 2FA och skanna QR-koden med Google Authenticator, Authy eller 1Password.
- Spara återställningskoderna på en säker plats.
- Vid inloggning anger du engångskod efter lösenordet.
Hårdning
Maca Sec → Hårdning
Grundläggande hårdning
| Inställning | Effekt |
|---|---|
| Inaktivera filredigerare | Tar bort Utseende → Redigerare och plugin-redigeraren |
| Dölj WordPress-version | Visar inte version i HTML |
| Ta bort generator-meta | Tar bort <meta name="generator"> |
| Inaktivera XML-RPC | Blockerar xmlrpc.php (om inte redan av via inloggning) |
| Blockera författare-numrering | Stoppar ?author=1-enumeration |
| Dölj användare i REST API | Anonymiserar användarlistan i /wp-json/wp/v2/users |
| Inaktivera pingbacks | Stänger av pingbacks |
| Hotlink-skydd | 403 om extern sajt länkar direkt till dina bilder |
| Begränsa postrevisioner | Standard 10 revisioner per inlägg |
HTTP-säkerhetsheaders
| Header | Beskrivning |
|---|---|
| X-Frame-Options | SAMEORIGIN eller DENY — motverkar clickjacking |
| X-Content-Type-Options | nosniff |
| Referrer-Policy | Styr hur mycket referrer-info som skickas |
| Permissions-Policy | Begränsar kamera, mikrofon m.m. |
| Content-Security-Policy | Valfri CSP — kan bryta vissa teman/plugins, testa noggrant |
| HSTS | Aktiveras automatiskt vid HTTPS |
Aviseringar
- E-post för larm — tom = WordPress admin-e-post. Får mail vid kritiska händelser och filändringar.
- Loggretention — standard 30 dagar. Äldre loggar rensas automatiskt.
Skanner och filövervakning
Maca Sec → Skanner
Säkerhetsskanning
Klicka Kör skanning nu för en fullständig kontroll. Du får en säkerhetspoäng 0–100 och en lista med fynd sorterade efter allvarlighet:
- Kritisk — åtgärda omedelbart
- Varning — bör åtgärdas
- Info — rekommendationer
Skannern kontrollerar bland annat filrättigheter, misstänkt kod, admin-konton, 2FA-status, PHP-version och konfiguration.
Åtgärda — vissa problem kan fixas med en knapp direkt i listan.
Godkänn — om du medvetet gjort en ändring (t.ex. egen kod i ett tema) kan du godkänna fyndet så det inte sänker poängen. Använd endast om du vet att ändringen är avsiktlig och säker.
Filövervakning
Hash-kontroll av kritiska filer. Vid ändring loggas händelsen och e-post skickas om du konfigurerat larm.
| Fil/område | Standard |
|---|---|
| wp-config.php | Övervakas |
| .htaccess | Övervakas |
| Aktiva plugins (huvudfil) | Av |
| Alla maca Sec-filer | Av |
Vid ändring utan godkänd baslinje visas varning i wp-admin. Du kan godkänna filändringen i Loggar eller Skanner för att uppdatera baslinjen.
CVE-skanning (WPScan)
Valfri funktion som söker installerade plugins (och valfritt teman) mot kända sårbarheter via WPScan API.
- Skapa ett gratis API-token på wpscan.com.
- Aktivera CVE-skanning och klistra in token under Skanner.
- Skanning körs i batch per dag (schemalagt).
Kända sårbarheter visas under skannern med CVE-nummer och plugin/tema-namn.
Loggar
Maca Sec → Loggar
Alla säkerhetshändelser samlas här med filter och paginering (50 per sida).
Filtrera
- Typ — t.ex. firewall, login, file_monitor, legal_accepted
- Allvarlighet — info, varning, kritisk
- IP-adress — delvis matchning
- Sök meddelande — fritext
- Datumintervall — från/till
Åtgärder per rad
- Kopiera — kopiera IP till urklipp
- Spärra IP — permanent blockering (med bekräftelse; varning om det är din egen IP)
- Godkänn — godkänn filändring direkt från loggen
Kritiska händelser
Om det finns kritiska händelser senaste 24 timmarna visas en röd admin-notis. Stäng med × för att dölja tills antalet ökar. Du kan återställa notisen från loggsidan.
maca Hub-app
Maca Sec → maca Hub-app
Kräver maca Hub Connector och koppling till maca Hub-appen.
Säkerhetsskydd
Huvudbrytare för maca Sec. När avstängt körs inga skyddsmoduler på webbplatsen. maca Hub kan fortfarande slå på eller av via API om det är konfigurerat.
Skydd kan inte aktiveras utan godkända villkor och integritetspolicy.
Fjärråtgärder
- Tillåt från appen — tillåt säkerhetsskanning och wp-admin-inloggning från maca Hub-appen.
- Hub-vitlista — ta emot och skicka vitlistade IP till alla kopplade Hub-sajter.
Villkor & policy
Maca Sec → Villkor & policy
Här läser och godkänner du:
- Användarvillkor — ansvar, garantier och begränsningar
- Integritetspolicy — hur data hanteras lokalt och via tredjepartstjänster
Godkännandet sparas med dokumentversion, tidpunkt och administratör. Vid uppdaterade dokument måste du godkänna igen — tills dess pausas säkerhetsskyddet.
Vad blockade besökare ser
Enkel felsida med HTTP 403:
| Orsak | Rubrik | Meddelande |
|---|---|---|
| Landskods-blacklist | Åtkomst nekad | Åtkomst nekad från ditt land. |
| IP-blacklist | Åtkomst nekad | IP blockerad |
| WAF-regel | Åtkomst nekad | Förfrågan blockerad / Åtkomst nekad |
| Rate limiting | — | För många förfrågningar |
| Attack shield | — | HTTP 503 (underhållsläge) |
Vid inloggning från spärrad IP: För många misslyckade försök. Försök igen senare.
Säkerhetspoäng – vad betyder den?
| Poäng | Betydelse |
|---|---|
| 80–100 | Bra — sajten är väl skyddad |
| 50–79 | OK — det finns förbättringar att göra |
| 0–49 | Varning — åtgärda kritiska problem omedelbart |
Poängen baseras på senaste skanningen och påverkas inte av godkända fynd.
Tips och felsökning
Kan inte spara inställningar eller får 503
Uppdatera till senaste versionen. Brandväggen ska inte blockera admin-sparning. Kontrollera att din IP inte är spärrad.
Blockerar mig själv
- Inaktivera pluginet via hosting/FTP (byt namn på mappen
maca-sec). - Ta bort din IP från databastabellen
wp_maca_sec_blocked_ips. - Eller vitlista din IP först via databas/hosting och aktivera igen.
Landsblock fungerar inte
Kräver landskods-header från Cloudflare/server, eller utgående HTTP från servern till ip-api.com.
reCAPTCHA/Turnstile visas inte
Kontrollera site key och secret key. Domänen i leverantörens panel måste matcha din webbplats och wp-login.php.
Captcha eller brandvägg blockerar legitima användare
Vitlista betrodda IP. Sänk rate limiting-trösklar. Inaktivera CLI-blockering om API-klienter påverkas.
Varning från annat säkerhetsplugin
maca Sec känns inte alltid igen av andra plugins — det betyder inte att det är inaktivt.
Ett säkerhetsplugin i taget
Kör inte maca Sec tillsammans med Wordfence, iThemes Security eller liknande — risk för konflikter och dubbel blockering.
Filövervakning larmar efter pluginuppdatering
Godkänn filändringarna i Skanner eller Loggar om uppdateringen var avsiktlig, så uppdateras baslinjen.
maca Hub kan inte aktivera skydd
Godkänn villkor och policy under Villkor & policy i wp-admin först.
Avinstallation
Vid borttagning via WordPress admin körs rensning automatiskt: inställningar, loggar, IP-listor, 2FA-metadata och schemalagda jobb tas bort.
Systemkrav
| Krav | Version |
|---|---|
| WordPress | 6.0 eller senare |
| PHP | 7.4+ (8.1+ rekommenderas) |
| Databas | MySQL eller MariaDB |
Relaterade dokument
- Villkor & policy — i wp-admin under maca Sec
- maca.se — https://maca.se/