当网站被黑客攻击/插入恶意代码/奇怪的重定向时,第一目标不是“立即使其变得漂亮”,而是隔离 - 收集证据 - 安全恢复,然后加固以避免再次感染。下面是实战攻略,可以立即应用,优先顺序为P1→P2→P3。
如果您需要一个SLA P1 ≤ 2–4h且有明确负责人的救援框架,可以参考胡志明网站维护服务(故障排除、恢复和加固攻略):胡志明市网站维护服务.
1) 快速识别(5-10 分钟)
常见标志
自动重定向到陌生页面(尤其是从 Google/di 访问时)动态)。
不寻常的损坏界面,嵌入奇怪的弹出窗口/iframe,插入日本/制药链接。
服务器CPU/IO 突然增加,电子邮件/托管报告恶意软件。
Google Search Console 报告安全问题 (恶意软件/欺骗性内容),安全浏览警告“有害网站”。
日志记录许多异常404/5xx,登录暴力破解。
确定范围
整个网站或部分(博客、 /wp-content/uploads、主题/插件)?
仅限 Google/移动客户端 还是全部?
是否也受到制作或登台的影响?
2) P1 – 隔离和保存证据 (0–60)分钟)
目标:防止传播,维持调查现状,恢复 phục lưu thông an toàn。
Bật chế độ cách ly
Tạm chặn public bằng 密码 trên server/ngăn truy cập IP (nếu có thể)。
Hoặc trả 503 Maintenance cho các đường dẫn công cộng (đừng) 302/301)。
如果 WordPress:设置维护页面静态(不运行动态 PHP)。
在接触之前备份取证
快照整个源代码 + DB + 日志(网页、 PHP-FPM、WAF/CDN)来控制稍后检查。
保存副本off-site(异地)。
更改密钥并使会话无效
更改密码(托管/SSH/DB/CMS/FTP), 2FA。
撤销 API 令牌(CDN、付款、SMTP)、使会话无效(全部注销)。
隔离奇怪进程
暂时停止可疑进程cron,杀死进程 PHP/奇怪的命令,临时锁定写入到一个容易插入的目录(例如
/uploads)。
在 P1 阶段,目标是止血。如果没有副本用于调查,请不要急于“清理”。
3)P2 - 调查原因并清理(2-6小时)
3.1确定入口点(攻击向量)
唯一管理员帐户,来自国外的登录尝试IP?
插件/主题刚刚更新更新或从不可靠的来源下载?
在
/uploads、/temp或.htaccess中上传PHP已损坏?数据库注入:奇怪
wp_options、siteurl/home、post meta、菜单中的内容。
3.2 检查恶意代码签名(IOC – 妥协指标)
常见 PHP 模式:
eval(base64_decode(...))、gzinflate、str_rot13、preg_replace('/e', ...)、assert($_POST...)。可疑文件:
/wp-includes/中伪造wp-*.php,随机文件名.ico/.jpg但在/wp-content/mu-plugins/中包含PHP、cron/后门或/wp-content/sessions/。.htaccess根据用户代理/引荐来源添加重定向规则(仅在来自 Google/移动设备时重定向)。
3.3 以安全顺序清理
冻结写入权限(仅技术人员拥有权限)。
从主源替换核心(WP核心、CMS核心)
删除未使用或可疑的插件/主题。
干净安装剩余的插件/主题(下载原始版本)。
扫描并删除:
扫描文件级:查找恶意代码样本,将校验和与干净版本进行比较。
扫描数据库级:在
options/posts/meta/terms中查找奇怪脚本。
删除webshell/后门 (隐藏的PHP文件,奇怪的文件扩展名)。
清理.htaccess/nginxconf(删除奇怪的重定向规则,保留基本重写)。版本)。
重新生成盐、密钥(WP
AUTH_KEY、SECURE_AUTH_KEY...)、更改所有密码。
3.4 检查“智能”重定向
从 Google/移动 访问(使用另一个UA)根据 UA/Referrer 检测规则。
匹配清理前后的日志,确保金钱页面 URL 符合HTTP 200 标准。
4) P3 – 服务恢复和 SEO 清理(第 1-3 天)
4.1 开放受控访问
卸载维护/503,如有必要,部分启用网站。
在前 48-72 小时内将 WAF/CDN 保持在“严格”模式(阻止攻击模式)。
4.2 恢复 SEO信号
在 Google Search Console 中,清理后打开安全问题和请求审核(简要说明“删除了恶意代码、替换了核心/插件、更改了密钥、启用了 WAF”)。
通过删除工具或合理方式删除垃圾网址(如果黑客创建了许多垃圾网页) 410/301。
发回清理站点地图;检查覆盖范围(404/Soft 404/Alternate canonical)。
重新比较robots.txt(确保隔离后不会意外阻止)。
4.3 密切监控 7-14 天
5xx/CPU/IO 图表, 登录号码失败,陌生的国家/地区流量。
Core Web Vitals(避免拉取大量脚本的恶意软件)、GSC 中的点击率/展示次数。
对于有交易的网站,请检查支付网络钩子、测试支付(沙箱/真正的小)以确保确保订单周期没有修改。
5)强化防止再次感染(第1周)
基础设施层
WAF/CDN(Cloudflare/…):启用Bot Fight,阻止攻击国家,速率限制
/wp-login.php,/xmlrpc.php,对敏感路径应用挑战。启用TLS 1.2+、HSTS、HTTP/2/3。
应用层
流程更新:登台→测试→生产,是回滚。
卸载插件/主题无效;最大限度地减少插件数量。
在仪表板中禁用文件编辑(WP
DISALLOW_FILE_EDIT)。分散 FTP/DB/CMS 的最低权限;单独的 CI/CD 帐户。
禁用/限制 XML-RPC,为管理员启用2FA,更改登录 URL(如果适用)。
安全配置层
内容安全策略 (CSP):白名单域script/img/font。
X-Frame-Options / Permissions-Policy / Referrer-Policy。
对内容团队进行网络钓鱼、媒体/脚本上传规则方面的培训。
向用户提供透明通知(级别取决于受影响的数据)。
对高风险用户组强制密码更改;使旧的登录令牌失效。
如果与支付/PCI/PII、法律咨询和监管报告合规性相关。
开启503/维护,暂时屏蔽公众
快照代码 + DB +日志(站外)
正式扫描并删除webshell/后门,清理.htaccess/nginx
扫描DB(选项/帖子/元),编辑
siteurl/home重新生成salts/keys,更改所有密码
打开网站,严格启用WAF/CDN
在 GSC 中请求审核,提交clean站点地图
删除/410垃圾网址,检查机器人/覆盖范围
CSP、HSTS、安全标头、2FA、最低权限
通过分段更新计划、备份3–2–1,测试恢复
监控正常运行时间/5xx、完整性扫描、审核日志
- (更新、清理 404/301、扫描恶意软件、CWV、日志)。
如果您需要每月维护路线图(更新清单、清理重复出现的错误、速度审核/技术 SEO)来保持干净和稳定网站,请参阅 Tan Phat Digital 团队构建的每月网站维护流程:网站维护服务。
6)沟通和法律(不要错过)忘记)
7) 常见问题解答 (FAQ)
被“日本人/制药公司”黑客攻击,文件清理就足够了吗?
通常不。这种形式通常是插入数据库(元、选项、菜单)。需要扫描文件+数据库,编辑.htaccess,重新生成密钥,然后打开WAF。
我应该恢复备份并完成吗?
恢复有助于一个干净的起点,但如果攻击向量没有被覆盖(有问题的插件、泄漏的密钥),该网站就会被破坏。容易再次感染。恢复后总是强化。
Google 需要多长时间才能删除“有害网站”警告?
通常在请求审核后24-72小时,并且非常干净。
仅在从 Google/移动设备访问时重定向,而不是直接访问 → 是否是黑客攻击?
很有可能。攻击者经常使用 UA/Referrer 条件隐藏;请检查.htaccess,插入脚本和日志。
8)摘要清单(打印出来并粘贴在墙上)
P1 – 隔离
P3 – 恢复和 SEO
强化
分享
