网站被黑怎么办?完整排查修复流程(2026版)

王尘宇 问题解答 2

网站被黑怎么办?完整排查修复流程(2026版)-第1张图片-王尘宇

上个月帮朋友处理了一个WordPress被挂马的站,首页被篡改成赌博页面,数据库里多了三个隐藏管理员账号。走完整个修复流程用了四个小时。把步骤整理出来,下次你自己碰到了可以照着来。

第一步:先把站下线

很多人发现被黑后不敢关站,怕影响SEO。错了——被黑的站开着每多一分钟,Google和百度的安全标记就更深。先关站,用一条简单的维护页面顶上去。

Nginx配置:

把所有请求重定向到一个静态HTML,返回503状态码。搜"nginx maintenance mode 503"能找到模板。重点是返回503而不是200,搜索引擎看到503会暂时不解索引,而不是把你标记为恶意站。

第二步:改所有密码

不是改一个,是全部:服务器SSH密码、数据库密码、网站后台管理员密码、FTP密码、邮箱密码。用密码管理器生成随机密码,不要手打。上个月那次排查,黑客就是通过一个弱密码的FTP账号进来的——密码是"admin123",用了三年没换过。

第三步:找后门

黑客入侵后通常会留后门,方便下次直接进来。常见藏身点:

WordPress:检查wp-content/uploads目录下的.php文件(正常情况这个目录不应该有php文件),检查主题目录的functions.php有没有base64_decode、eval、str_rot13、gzinflate这些敏感函数。

通用:用命令行扫一遍最近修改的文件。find /网站目录 -name "*.php" -mtime -7 能列出7天内改过的所有PHP文件。重点关注不认识的、文件名看起来随机的文件,比如a37df2.php、cache_tmp.php这种。

数据库:检查wp_users表(或你系统的用户表),有没有你不认识的管理员。我那朋友站里多了三个用户:admin_helper、wp_support、system_update,看着像系统用户,其实全是黑客加的。

第四步:清理恶意代码

恶意代码通常有三种:挂链接(在页面底部或隐藏div里加赌场/色情外链)、重定向(判断来源是搜索引擎就跳转到恶意站)、挖矿脚本(在页面里注入JS挖矿代码)。

最快的方法不是手动找,是对比文件。如果网站每天有备份(应该有吧?),把被黑前的文件diff一下。备份的重要性就在这里——没有备份的话,你只能手动把所有文件过一遍。

用Wordfence或者Sucuri的免费扫描也能找出大部分常见恶意代码。但注意,扫描器找不全——尤其那种把恶意代码藏在合法插件文件里的。最终还是得diff。

第五步:修复漏洞防止再被黑

修复完了不是结束。得搞清楚怎么被黑的,不然过两天又来一遍。常见原因排行:

1. 弱密码(占60%以上的入侵)
2. 没更新的插件/主题有已知漏洞
3. 文件权限设置不对(uploads目录777等于开门揖盗)
4. 服务器软件漏洞(旧版OpenSSL、PHP等)

我处理的那个站,原因就两个:FTP密码太弱 + WordPress和三个插件三年没更新过。

第六步:恢复上线和SEO补救

清理干净、改完密码、更新完所有软件版本之后,再开站。开站后第一时间:

去Google Search Console提交"安全问题已解决"申请。去百度站长平台的安全中心提交复审。Sitemap重新提交一遍。被黑期间搜索引擎可能把你的页面标记了安全警告,不主动申请解除的话,警告可能会挂好几周。

如果你没备份怎么办

那就真的麻烦了。最好的情况是,你的主机商有自动快照。宝塔面板默认开启了7天快照,阿里云ECS也有磁盘快照功能。先去主机商那里找。找不到的话,做好手动清理加重建的心理准备。

最后说一句:做好日常备份比什么都重要。每天自动备份到远程存储,花十分钟配置一下,能省下被黑后一整天的折腾。我的习惯是:数据库每天备一份,文件每周全量备一份,都存到阿里云OSS上。一年多花不到一百块。

标签: 网站安全 网站被黑 WordPress安全 木马清理 故障排查

发布评论 0条评论)

  • Refresh code

还木有评论哦,快来抢沙发吧~