昨天老张的个人博客突然跳转到赌博广告页,后台登录不了,FTP 密码也失效了——他第一反应是“完了,全白干了”。其实网站被黑没那么可怕,关键在反应快、动作准。下面这些步骤,都是我在帮几十个中小站点救急时反复验证过的。
第一步:立刻断开,别乱点
发现异常(比如首页变黄网、后台无法登录、大量垃圾文章、流量暴增但全是境外IP),先别急着重装或删文件。马上做三件事:
① 暂停网站(通过主机控制面板关站,或改名 index.php 为 index.bak);
② 暂停数据库连接(修改 wp-config.php 中的数据库密码,或进 phpMyAdmin 临时禁用用户);
③ 不要继续用原账号登录后台或 FTP,防止二次泄露。
第二步:找后门,别只看表面
黑客很少只改首页,常会藏一个几KB的小文件,名字像 wp-cache.php、123456789.php 或伪装成图片:logo.jpg.php。用 FTP 进入根目录和 /wp-content/(WordPress)、/upload/(织梦、帝国)等上传目录,按“修改时间”倒序排列,重点查近3天新增的 PHP 文件。
打开可疑文件,如果看到类似这样的代码,基本就是后门:
<?php @eval($_POST["cmd"]); ?>或者带 base64_decode、gzinflate、file_get_contents 的混淆脚本——直接删掉,别犹豫。
第三步:换密、清插件、查日志
确认清理完后门后,再动手:
• 后台管理员密码全部重置(别用“123456”或生日);
• FTP、数据库、主机控制面板密码全部更换,且不同平台不复用;
• WordPress 用户就去 wp_users 表里删掉不认识的管理员账号;
• 禁用所有非必要插件,尤其来源不明的“SEO优化”“一键加速”类;
• 查 /var/log/apache2/access.log 或主机后台的访问日志,找异常 POST 请求或高频 IP(比如同一IP在1分钟内提交200次评论)。
第四步:更新+加固,防再被捅
别以为删完就安全了。常见漏洞源:
• 主程序老旧(如 WordPress 5.2 升级到 6.5);
• 插件长期不更新(某款下载量50万的“图库管理”插件去年曝过任意文件上传);
• 主机开了 directory listing(目录可遍历),让黑客一眼看清你有 /backup/ 和 /old/ 目录。
加固建议:
• 在 .htaccess 里加两行,禁止访问敏感文件:
<Files "wp-config.php">
Order Allow,Deny
Deny from all
</Files>• 给后台路径改名(WordPress 可用插件 WPS Hide Login 把 /wp-admin 变成 /my-login-2024);
• 开启主机自带的 Web 应用防火墙(WAF),哪怕只是基础版,也能拦掉 70% 的扫描攻击。
最后提醒一句
很多站长被黑后第一反应是“我啥都没干,怎么就被盯上了?”——其实不是你特别,而是你的网站用了别人早挖好的洞。定期更新、少装杂牌插件、密码分层管理,比事后抢救轻松十倍。上周我帮一个外贸小站恢复,他们之前连后台地址都还是默认的 /admin,改完当天就再没收到异常登录提醒。