maca Sec – Användarguide

maca Sec samlar brandvägg, inloggningsskydd, 2FA, hårdning, skanning och loggning på ett ställe. Alla funktioner ingår utan premium-lås.

Den här guiden beskriver vad varje del gör och hur du använder dem i WordPress-admin under maca Sec i sidomenyn.


Kom igång

1. Installera och aktivera

  1. Ladda upp pluginet via Tillägg → Lägg till → Ladda upp eller placera mappen maca-sec i wp-content/plugins/.
  2. Aktivera maca Sec under Tillägg.
  3. Du omdirigeras till Villkor & policy — läs och godkänn användarvillkoren och integritetspolicyn med kryssrutorna.
  4. Klicka Godkänn och fortsätt. Säkerhetsskyddet aktiveras automatiskt.

Om villkoren uppdateras i en senare version måste du godkänna på nytt. Tills dess pausas skyddet och du ser en notis i wp-admin.

2. Rekommenderad ordning efter installation

  1. Öppna Instrumentpanel och notera säkerhetspoängen.
  2. Kör Skanner → Kör skanning nu och åtgärda kritiska problem.
  3. Lägg din IP i Brandvägg → IP-vitlista (knappen Min IP).
  4. Aktivera 2FA under Användare → Din profil.
  5. Ange e-post för larm under Hårdning.
  6. Granska brandväggsregler och aktivera captcha vid behov.
  7. Testa sajten i ett privat fönster efter ändringar.

Före produktion: ta backup, testa inloggning och kassa/betalning, kontrollera att du inte spärrar dig själv eller legitima besökare.


Översikt

ModulSyfteInställningar
Brandvägg (WAF)Stoppar attacker tidigtBrandvägg
Rate limitingBegränsar förfrågningar per IPBrandvägg
Attack shield503 vid extrem trafikBrandvägg
InloggningsskyddBrute force, captcha, lösenordInloggning
SessionshanteringInaktiv utloggning, aktiva sessionerInloggning
2FATvåfaktorsautentiseringAnvändare → Profil
HårdningStänger vanliga WordPress-hålHårdning
HTTP-headersSäkerhetsheaders i svarHårdning
SkannerKonfigurations- och filproblemSkanner
FilövervakningÄndringar i kritiska filerSkanner
CVE-skanningKända sårbarheter (WPScan)Skanner
SäkerhetsloggHändelser och spärrarLoggar
maca HubFjärrstyrning via appmaca Hub-app

Alla säkerhetshändelser loggas under Maca Sec → Loggar.


Sidomenyn i korthet

SidaVad du gör här
InstrumentpanelÖverblick: poäng, händelser, blockerade IP, modulstatus
BrandväggWAF, rate limiting, attack shield, landsblock, IP-listor
InloggningBrute force, captcha, e-postlarm, inaktiv utloggning, sessioner
HårdningWordPress-hårdning, HTTP-headers, e-postlarm, loggretention
SkannerSäkerhetsskanning, filövervakning, CVE/WPScan
LoggarFiltrera, söka, spärra IP, godkänna filändringar
maca Hub-appSlå av/på skydd, fjärråtgärder, Hub-vitlista
Villkor & policyLäs och godkänn juridiska dokument
GuideDen här guiden

Brandvägg

Maca Sec → Brandvägg

Brandväggen körs tidigt på varje sidförfrågan och analyserar inkommande trafik. Inloggade administratörer i wp-admin kringgår brandväggen så att inställningar kan sparas normalt.

WAF-regler

RegelSkyddar mot
SQL injectionVanliga SQL-injektionsmönster i URL och formulär
XSSScript-taggar och farlig indata
Path traversal../-mönster och kataloggenomgång
Farliga uppladdningar.php, .phtml, .phar m.fl.
Spoofade RefererFalska Referer-headers

User-Agent-blockering

  • Skannrar & exploit-verktyg — nikto, wpscan, sqlmap, masscan, nmap m.fl.
  • CLI-verktyg (valfritt) — curl, wget, python-requests. Kan påverka legitima API-klienter.
  • Tom User-Agent (valfritt) — förfrågningar utan User-Agent.
  • Egna strängar — en sträng per rad, matchas om User-Agent innehåller texten.

Rate limiting

Begränsar antal förfrågningar per IP och minut. Standardvärden:

OmrådeStandard
Hela webbplatsen100/min
wp-login.php20/min
wp-admin60/min
xmlrpc.php10/min
REST API100/min

Attack shield

Aktiverar underhållsläge (HTTP 503) vid extrem trafik — skydd mot DDoS-liknande flöden. Standard: tröskel 500 förfrågningar/minut, varaktighet 600 sekunder. Om shield är aktiv visas en röd varning på brandväggssidan.

Landskods-blacklist

Blockera besökare från valda länder med ISO-kod (t.ex. RU, CN). Vitlistade IP påverkas inte.

Landskod hämtas från Cloudflare/server-headers om möjligt, annars via ip-api.com (cachelagras 7 dagar). Om landskod inte kan avgöras blockeras besökaren inte av landskodsregeln.

Tips: Lägg alltid din egen IP i vitlistan innan du aktiverar landsblock.

IP-vitlista

Vitlistade IP/CIDR kringgår brandvägg, landsblockering och inloggningsspärrar. Använd knappen Min IP för att snabbt lägga till din adress. Stöd för CIDR, t.ex. 192.168.1.0/24.

Om maca Hub är kopplat kan du synka vitlistade IP till alla dina Hub-sajter.

Blockerade IP-adresser

Visa, avblockera eller vitlista IP som spärrats automatiskt eller manuellt. Spärrar kan vara tillfälliga eller permanenta.


Inloggningsskydd

Maca Sec → Inloggning

Brute force-skydd

  • Max inloggningsförsök — standard 5 misslyckade försök.
  • Spärrtid — standard 900 sekunder (15 minuter).
  • Dölj inloggningsfel — visar generiskt felmeddelande (motverkar användarnamnsenumeration).
  • Kräv starka lösenord — minst 12 tecken med stora/små bokstäver, siffror och specialtecken.

Vitlistade IP hoppar över brute force-spärr och captcha.

E-postlarm vid inloggning

Skickar e-post vid misstänkta inloggningsförsök (med landskod om tillgänglig). Använder samma e-postadress som under Hårdning → E-post för larm. Du anger efter hur många försök larmet ska skickas — en gång per IP och spärrperiod.

Inaktiv utloggning

Loggar ut inaktiva användare automatiskt — skyddar kvarlämnade admin-sessioner.

InställningStandard
Timeout60 minuter
Varning före utloggning5 minuter
OmfattningEndast wp-admin
Kom ihåg migGäller även dessa sessioner

En dialog visas innan utloggning så användaren kan förlänga sessionen.

Spamkontroll

  • Honeypot — alltid aktivt. Dolt fält på inloggningssidan som fångar bots.
  • Captcha — välj leverantör:
    • Matematisk (ingen API-nyckel)
    • Google reCAPTCHA v2 (kryssruta)
    • Google reCAPTCHA v3 (osynlig, tröskel 0.0–1.0)
    • Cloudflare Turnstile

Registrera site key och secret key för vald leverantör. Domänen måste matcha wp-login.php.

Aktiva sessioner

Visar dina inloggade enheter (enhet, IP, tid). Knappen Logga ut alla andra sessioner avslutar övriga sessioner.

Tvåfaktorsautentisering (2FA)

2FA aktiveras per användare under Användare → Profil:

  1. Aktivera 2FA och skanna QR-koden med Google Authenticator, Authy eller 1Password.
  2. Spara återställningskoderna på en säker plats.
  3. Vid inloggning anger du engångskod efter lösenordet.

Hårdning

Maca Sec → Hårdning

Grundläggande hårdning

InställningEffekt
Inaktivera filredigerareTar bort Utseende → Redigerare och plugin-redigeraren
Dölj WordPress-versionVisar inte version i HTML
Ta bort generator-metaTar bort <meta name="generator">
Inaktivera XML-RPCBlockerar xmlrpc.php (om inte redan av via inloggning)
Blockera författare-numreringStoppar ?author=1-enumeration
Dölj användare i REST APIAnonymiserar användarlistan i /wp-json/wp/v2/users
Inaktivera pingbacksStänger av pingbacks
Hotlink-skydd403 om extern sajt länkar direkt till dina bilder
Begränsa postrevisionerStandard 10 revisioner per inlägg

HTTP-säkerhetsheaders

HeaderBeskrivning
X-Frame-OptionsSAMEORIGIN eller DENY — motverkar clickjacking
X-Content-Type-Optionsnosniff
Referrer-PolicyStyr hur mycket referrer-info som skickas
Permissions-PolicyBegränsar kamera, mikrofon m.m.
Content-Security-PolicyValfri CSP — kan bryta vissa teman/plugins, testa noggrant
HSTSAktiveras automatiskt vid HTTPS

Aviseringar

  • E-post för larm — tom = WordPress admin-e-post. Får mail vid kritiska händelser och filändringar.
  • Loggretention — standard 30 dagar. Äldre loggar rensas automatiskt.

Skanner och filövervakning

Maca Sec → Skanner

Säkerhetsskanning

Klicka Kör skanning nu för en fullständig kontroll. Du får en säkerhetspoäng 0–100 och en lista med fynd sorterade efter allvarlighet:

  • Kritisk — åtgärda omedelbart
  • Varning — bör åtgärdas
  • Info — rekommendationer

Skannern kontrollerar bland annat filrättigheter, misstänkt kod, admin-konton, 2FA-status, PHP-version och konfiguration.

Åtgärda — vissa problem kan fixas med en knapp direkt i listan.

Godkänn — om du medvetet gjort en ändring (t.ex. egen kod i ett tema) kan du godkänna fyndet så det inte sänker poängen. Använd endast om du vet att ändringen är avsiktlig och säker.

Filövervakning

Hash-kontroll av kritiska filer. Vid ändring loggas händelsen och e-post skickas om du konfigurerat larm.

Fil/områdeStandard
wp-config.phpÖvervakas
.htaccessÖvervakas
Aktiva plugins (huvudfil)Av
Alla maca Sec-filerAv

Vid ändring utan godkänd baslinje visas varning i wp-admin. Du kan godkänna filändringen i Loggar eller Skanner för att uppdatera baslinjen.

CVE-skanning (WPScan)

Valfri funktion som söker installerade plugins (och valfritt teman) mot kända sårbarheter via WPScan API.

  1. Skapa ett gratis API-token på wpscan.com.
  2. Aktivera CVE-skanning och klistra in token under Skanner.
  3. Skanning körs i batch per dag (schemalagt).

Kända sårbarheter visas under skannern med CVE-nummer och plugin/tema-namn.


Loggar

Maca Sec → Loggar

Alla säkerhetshändelser samlas här med filter och paginering (50 per sida).

Filtrera

  • Typ — t.ex. firewall, login, file_monitor, legal_accepted
  • Allvarlighet — info, varning, kritisk
  • IP-adress — delvis matchning
  • Sök meddelande — fritext
  • Datumintervall — från/till

Åtgärder per rad

  • Kopiera — kopiera IP till urklipp
  • Spärra IP — permanent blockering (med bekräftelse; varning om det är din egen IP)
  • Godkänn — godkänn filändring direkt från loggen

Kritiska händelser

Om det finns kritiska händelser senaste 24 timmarna visas en röd admin-notis. Stäng med × för att dölja tills antalet ökar. Du kan återställa notisen från loggsidan.


maca Hub-app

Maca Sec → maca Hub-app

Kräver maca Hub Connector och koppling till maca Hub-appen.

Säkerhetsskydd

Huvudbrytare för maca Sec. När avstängt körs inga skyddsmoduler på webbplatsen. maca Hub kan fortfarande slå på eller av via API om det är konfigurerat.

Skydd kan inte aktiveras utan godkända villkor och integritetspolicy.

Fjärråtgärder

  • Tillåt från appen — tillåt säkerhetsskanning och wp-admin-inloggning från maca Hub-appen.
  • Hub-vitlista — ta emot och skicka vitlistade IP till alla kopplade Hub-sajter.

Villkor & policy

Maca Sec → Villkor & policy

Här läser och godkänner du:

  • Användarvillkor — ansvar, garantier och begränsningar
  • Integritetspolicy — hur data hanteras lokalt och via tredjepartstjänster

Godkännandet sparas med dokumentversion, tidpunkt och administratör. Vid uppdaterade dokument måste du godkänna igen — tills dess pausas säkerhetsskyddet.


Vad blockade besökare ser

Enkel felsida med HTTP 403:

OrsakRubrikMeddelande
Landskods-blacklistÅtkomst nekadÅtkomst nekad från ditt land.
IP-blacklistÅtkomst nekadIP blockerad
WAF-regelÅtkomst nekadFörfrågan blockerad / Åtkomst nekad
Rate limitingFör många förfrågningar
Attack shieldHTTP 503 (underhållsläge)

Vid inloggning från spärrad IP: För många misslyckade försök. Försök igen senare.


Säkerhetspoäng – vad betyder den?

PoängBetydelse
80–100Bra — sajten är väl skyddad
50–79OK — det finns förbättringar att göra
0–49Varning — åtgärda kritiska problem omedelbart

Poängen baseras på senaste skanningen och påverkas inte av godkända fynd.


Tips och felsökning

Kan inte spara inställningar eller får 503

Uppdatera till senaste versionen. Brandväggen ska inte blockera admin-sparning. Kontrollera att din IP inte är spärrad.

Blockerar mig själv

  1. Inaktivera pluginet via hosting/FTP (byt namn på mappen maca-sec).
  2. Ta bort din IP från databastabellen wp_maca_sec_blocked_ips.
  3. Eller vitlista din IP först via databas/hosting och aktivera igen.

Landsblock fungerar inte

Kräver landskods-header från Cloudflare/server, eller utgående HTTP från servern till ip-api.com.

reCAPTCHA/Turnstile visas inte

Kontrollera site key och secret key. Domänen i leverantörens panel måste matcha din webbplats och wp-login.php.

Captcha eller brandvägg blockerar legitima användare

Vitlista betrodda IP. Sänk rate limiting-trösklar. Inaktivera CLI-blockering om API-klienter påverkas.

Varning från annat säkerhetsplugin

maca Sec känns inte alltid igen av andra plugins — det betyder inte att det är inaktivt.

Ett säkerhetsplugin i taget

Kör inte maca Sec tillsammans med Wordfence, iThemes Security eller liknande — risk för konflikter och dubbel blockering.

Filövervakning larmar efter pluginuppdatering

Godkänn filändringarna i Skanner eller Loggar om uppdateringen var avsiktlig, så uppdateras baslinjen.

maca Hub kan inte aktivera skydd

Godkänn villkor och policy under Villkor & policy i wp-admin först.

Avinstallation

Vid borttagning via WordPress admin körs rensning automatiskt: inställningar, loggar, IP-listor, 2FA-metadata och schemalagda jobb tas bort.


Systemkrav

KravVersion
WordPress6.0 eller senare
PHP7.4+ (8.1+ rekommenderas)
DatabasMySQL eller MariaDB

Relaterade dokument