网站被黑不是会不会的问题,是什么时候的问题。2026年我们帮客户处理了大概20起入侵事件,以下是从发现到修复的标准流程。
怎么发现网站被黑了
最常见的信号:第一,Google Search Console发邮件说检测到安全问题(被注入了恶意代码或钓鱼页面);第二,用户反馈打开你的网站跳转到别的页面;第三,服务器CPU突然100%,流量异常增加。
2026年Google的恶意软件检测已经很快了,通常被注入后24小时内就会发警告。但别等Google通知——建议在Google Search Console的安全问题页面每周看一眼。
第一步:立刻下线但不删数据
确认被黑后,最安全的做法是先把网站设为维护模式。WordPress可以用.maintenance文件或者wp-maintenance-mode插件。Nginx/Apache可以临时返回503。
关键:不要删任何文件。被黑的文件本身就是证据。需要保留完整现场以便分析入侵路径。
第二步:找到入侵入口
按这个优先级排查:
1. 检查最近修改的文件:find /网站目录 -type f -mtime -7 -ls,看最近7天哪些文件被改过。通常webshell会被放在uploads目录或者主题目录下。
2. 检查cron任务:crontab -l和ls /var/spool/cron/,看有没有可疑的定时任务。攻击者经常用cron来维持访问。
3. 检查可疑进程:ps auxf,看有没有奇怪的进程,特别是名字像系统进程但CPU占用高的。挖矿木马在2026年很常见。
4. 查Web日志:grep POST /var/log/nginx/access.log,注意异常的POST请求——特别是直接发到PHP文件而不是正常API端点的。
2026年最常见的入侵途径:过期的WordPress插件(尤其是备份插件和表单插件)、弱密码SSH(root密码是123456这种)、XML-RPC暴力破解。
第三步:清理
知道入侵点之后:
1. 备份整站(有问题的也要备份,防意外)
2. 删除webshell文件和恶意代码注入。如果是WordPress,最快的方法是:从官网重新下载WordPress核心文件覆盖(不会影响内容和主题)、逐个检查插件目录、删掉所有不认识的php文件
3. 修改所有密码:数据库密码、FTP/SSH密码、WordPress管理员密码、所有用户密码
第四步:加固
清理之后不做加固等于白干:
1. Wordfence(WordPress)或宝塔面板的防火墙功能开启
2. SSH改密钥登录,禁用密码登录
3. 限制xmlrpc.php访问(WordPress站点90%的暴力破解走这个文件)
4. 所有插件和主题更新到最新版
5. 设置文件权限:目录755、文件644、wp-config.php设440
6. 2026年必做:在Cloudflare上开启WAF规则,自动拦截SQL注入和XSS
第五步:通知Google
清理完成后,去Google Search Console提交安全审查请求。Google会在72小时内重新扫描你的站点,确认没问题后解除安全警告。这一步很重要——不清除警告的话,Chrome访问你的网站会显示红色警告页,流量直接归零。
能自己做吗
如果你看得懂上面的命令,自己处理问题不大,整个流程大概2-4小时。如果完全看不懂,找专业的安全服务——几百到几千块不等,比自己折腾三天划算。被黑后的每一分钟流量损失都是钱。
标签: 问题解答 网站安全 网站被黑 WordPress安全 入侵修复
还木有评论哦,快来抢沙发吧~