diff --git a/dokumenter/TODO.md b/dokumenter/TODO.md
index eeef4dc..96d8285 100644
--- a/dokumenter/TODO.md
+++ b/dokumenter/TODO.md
@@ -15,6 +15,31 @@
 - `light.spejl1/spejl2` mangler — strøm slukket på kontakt, OK
 
 
+## Sikring af port forwards via NPM + subdomæner
+**Baggrund:** Diverse tjenester er direkte eksponeret via port-forwards på routeren uden kryptering. Disse bør flyttes bag NPM med HTTPS og subdomæner under `anneclaus.dk`.
+
+**Tjenester fra routeren (per 17. maj 2026):**
+| Tjeneste | WAN-port | Intern port | Forslag til subdomain |
+|---|---|---|---|
+| Mealie | 9925 | 9925 | `mealie.anneclaus.dk` |
+| Plex | 32400 | 32400 | `plex.anneclaus.dk` (Plex har egen HTTPS — lavere prioritet) |
+| Synology DSM | 5000/5001 | 5000/5001 | `nas.anneclaus.dk` |
+| Unifi | 8443 | 8443 | (Unifi har egen HTTPS — lavere prioritet) |
+| FTP | 21 | 21 | FTP er usikkert — overvej om den skal lukkes |
+
+**For hver tjeneste der flyttes:**
+1. Tilføj CNAME-record hos One.com: `<subdomain>` → `anneclaus.duckdns.org`
+2. Opret proxy host i NPM med SSL-cert og Force HTTPS
+3. Luk den direkte port-forward på routeren
+
+- [ ] **Mealie** — flyt til `mealie.anneclaus.dk` via NPM, luk port 9925 på routeren
+- [ ] **Synology DSM** — flyt til `nas.anneclaus.dk` via NPM, luk port 5000/5001 på routeren
+- [ ] **FTP port 21** — vurder om den skal lukkes (FTP sender kodeord i klartekst)
+- [ ] **Plex** — lavere prioritet, Plex har allerede kryptering internt
+- [ ] **Unifi** — lavere prioritet, Unifi har allerede HTTPS
+
+---
+
 ## Gitea External HTTPS Access
 **Status:** Partial - content accessible but SSL certificate warning