昨天老张的茶叶网店突然打不开,点进去全是赌博广告;李姐的摄影博客首页变成黑底白字的勒索信息,还写着‘付0.5个比特币,否则删库’——这些不是段子,是真事儿。网站被黑,不是大公司专属,小站点、个人博客、用WordPress搭的展示页,一样可能中招。
第一步:别慌,先断网
发现异常别急着修,先让网站‘静音’。登录你的主机控制面板(比如cPanel),临时停用网站,或把域名解析暂时指向一个空白页面。这能阻止黑客继续读取用户数据、发垃圾邮件、跳转恶意链接。就像家里发现漏水,第一反应不是擦水,而是关总闸。
第二步:查日志,找入口
打开主机后台的访问日志(access.log)和错误日志(error.log),重点看被黑前24小时的记录。搜这些关键词:
wp-admin/admin-ajax.php?action=\
shell.php
cmd.php
eval(base64_decode(
/wp-content/uploads/.*\.(php|jsp|asp)
第三步:清后门,不靠删文件
很多人一急就全删wp-content/plugins,结果插件配置丢了、图片没了。更稳妥的是:用干净的WordPress源码包,只覆盖核心文件(wp-admin、wp-includes、根目录下的wp-*.php),保留wp-config.php和wp-content/(但要进wp-content下逐个检查)。
特别盯紧这几个地方:
– wp-content/themes/当前主题目录里有没有奇怪的php文件(比如a.php、x.php)
– wp-content/plugins/下有没有非官方来源的插件,名字像‘seo-helper-v2’‘backup-manager-pro’这种
– wp-content/uploads/里有没有.php扩展名的文件(正常上传图都是.jpg/.png)
第四步:换钥匙,堵漏洞
改三样东西,立刻做:
– 后台管理员密码(别再用‘123456’或‘admin123’)
– 数据库密码(在wp-config.php里改,同时进phpMyAdmin同步更新)
– FTP/主机控制面板密码(很多黑产是扫弱口令进来的)
顺手关掉不用的登录入口:比如WordPress默认登录地址是/wp-login.php,可以装插件如‘WPS Hide Login’把它改成/login888.php,减少机器人爆破次数。
第五步:日常防黑小动作
不用装一堆安全插件,记住这三件小事:
• 每次WordPress提示有新版本,当天抽10分钟更新(尤其4.x升5.x这种大版本)
• 插件只从官网wordpress.org下载,别信QQ群里发的‘破解版SEO插件’
• 本地写文章用Wordpress App或离线编辑器,别养成习惯在后台直接贴别人网站复制的代码(有些代码暗藏js跳转)
网站不是铁盒子,是活的。被黑不是失败,是提醒你该换个更结实的锁了。