早上打開後台,卻發現被登出,首頁還跳轉到陌生頁面,我們多半會先懷疑是 WordPress 網站被駭。更麻煩的是,有些中毒不是「立刻壞掉」,而是悄悄塞 SEO 垃圾頁、植入後門,讓企業在不知不覺中流失流量與客戶信任。
我們整理一套偏實務的排查與清理流程,從止血、找入口、移除後門,到恢復營運與後續的網站安全防護。就算團隊沒有工程師,也能用清楚的步驟降低技術門檻,避免每次出事都只能靠運氣。
先止血再處理,避免損失擴大
第一個目標不是「馬上修好」,而是先把影響範圍縮小,保住資料與商業損失。特別是有會員、表單、金流、或線上課程系統架設的網站,一旦被駭,風險會直接碰到個資與交易紀錄。
我們通常先做三件事,順序不要亂:
- 隔離網站對外行為:先啟用維護模式或暫時回應 503,必要時把 DNS 切到暫停頁,避免惡意程式繼續散播或導流。
- 保留現場備份:把「目前被入侵狀態」完整備份一份(檔案與資料庫),存到離線或不同帳號空間,這份是用來追查入口與比對異動。
- 收斂存取權限:先改主機控制台、FTP/SFTP、資料庫、WordPress 管理員的密碼,並停用可疑帳號,避免駭客持續登入。
下表是我們常見的症狀與優先處置,讓判斷更快:
| 症狀 | 常見原因 | 先做什麼 |
|---|---|---|
| 首頁被改、跳轉、出現賭博內容 | 佈景主題或外掛被植入惡意碼 | 先下線隔離,備份現場 |
| Google 收錄大量垃圾頁 | 資料庫被寫入隱藏內容或自動產頁 | 封鎖對外,準備清理資料庫 |
| 後台無法登入、出現不明管理員 | 憑證外洩或外掛漏洞被提權 | 先停用登入入口,改主機層密碼 |
| 網站變慢、CPU 飆高 | 挖礦程式、惡意爬蟲、後門常駐 | 先看主機監控與存取記錄 |
止血做得好,後面的清理才不會一邊修,一邊又被重新寫回去。
WordPress 中毒排查,先找入口再找後門
2026 年 2 月的安全觀察中,攻擊者最常利用的仍是外掛漏洞與舊版軟體。近期統計也常提到,惡意軟體感染、後門植入、SEO 垃圾頁是前三大類型,而且攻擊頻率很高。這代表我們排查時不能只看「哪裡壞了」,而要追到「從哪裡進來」和「還留了什麼」。
檔案層面,我們優先看這些位置
多數惡意檔案會藏在看起來「很正常」的地方:
wp-content/uploads/出現.php或可執行檔,尤其是檔名像圖片但其實不是圖片。- 外掛或佈景主題資料夾裡,多出陌生的
.php,或原檔案被加上一段看不懂的加密字串。 wp-includes/、wp-admin/這類核心資料夾若被改過,通常代表入侵者動得很深。
做法上,我們會用「全新官方版本」覆蓋 WordPress 核心檔案,並把外掛、佈景主題逐一比對來源。只要是來源不明、很久沒更新、或已停止維護的外掛,先停用或移除,因為它很可能就是入口。
資料庫層面,SEO 垃圾與隱藏跳轉常在這裡
很多 WordPress 網站被駭,其實檔案看起來乾淨,但資料庫被寫入惡意內容。常見位置包含:
wp_options裡的可疑選項(例如自動載入的內容突然變很大),或siteurl、home被改。wp_posts、wp_postmeta被插入隱藏連結、iframe、或針對搜尋引擎的內容。wp_users出現陌生管理員,或wp_usermeta的權限被改寫。
這一段最容易卡住,原因是「看得到垃圾頁,但不知道是誰生出來的」。我們會把時間軸拉出來,比對異動時間、管理員登入紀錄、與外掛安裝更新時間,通常就能縮小範圍。想理解後門常見的藏法,可以參考這篇對後門排查的整理:在被入侵的 WordPress 找後門並修復。
清理與復原流程,讓網站回到可營運狀態
清理不是「刪掉可疑檔案就好」,而是要保證駭客回不來,網站也不會因為誤刪而掛掉。我們習慣用一條可重複執行的流程,降低每次事件處理的技術門檻。
- 建立乾淨的復原點:若有可信任的「未中毒備份」,先在測試環境還原驗證,再決定要走還原或原地清理。
- 全面更新與移除風險外掛:先更新 WordPress 核心、佈景主題、外掛,並刪除不使用的外掛與樣板。
- 替換被污染的檔案:核心檔案用官方版本覆蓋,外掛與佈景主題以原始來源重新安裝,避免「表面乾淨,裡面還留針」。
- 手動清理惡意碼與垃圾資料:針對常見的惡意腳本、跳轉碼、SEO 垃圾頁進行比對與移除,並檢查是否有自動產頁機制。若你遇到典型的惡意腳本插入案例,這篇也有整理排除方向:解決 WordPress 惡意腳本攻擊的方法。
- 重設所有憑證與金鑰:包含 WordPress 使用者密碼、資料庫密碼、主機面板、SMTP、第三方 API key,並更新 WordPress 的安全金鑰,避免舊 Cookie 仍可用。
- 驗證是否還有殘留行為:觀察是否還會自動新增檔案、建立陌生帳號、或對外發出奇怪請求。有些感染與外掛供應鏈相關,例如曾出現特定網域樣式的惡意行為紀錄,可以參考案例背景:WordPress 外掛惡意程式案例。
清理完成後再上線,並不是龜毛,而是為了讓企業真的能回到正常營運,不必反覆停機。
做好網站安全防護與 WordPress網站維運,才算真正結案
事件處理結束後,我們會把重點放在「讓同一種事不再發生」,這也是提升營運效能的關鍵。因為網站一停機,損失的不只是訂單,還有客服量、廣告成本、與品牌信任。
我們建議把網站安全防護納入固定的 WordPress網站維護 與 WordPress網站維運 節奏,重點包含:更新策略(哪些可自動更新,哪些要先測試)、每日備份與異地備份、登入保護(2FA、限制嘗試次數)、權限最小化、檔案異動監控、主機層防火牆與惡意流量阻擋。這些看似零散,長期做下來會讓維護成本下降,團隊也不用每次都緊急救火。
對中小企業來說,網站常同時承擔企業形象網站、招募、詢價表單、甚至線上課程系統架設的入口。當我們把維運流程標準化,包含效能檢查與基本的 SEO 優化建議(例如垃圾頁清除後的索引整理、站內結構檢查),整體會更穩,也更省人力。
如果我們正在規劃或重整 WordPress 網頁設計,也會把安全與維運直接寫進架構,例如外掛選型、權限規劃、備份與監控設計,讓後續不必靠個人記憶維持品質。豐遠資訊也常以數位轉型顧問的角度協助企業把「網站管理」變成可交接、可追蹤的工作,而不是一個人的壓力。
結語:把「被駭處理」變成可複製的日常能力
面對 WordPress 網站被駭,我們最怕的不是修一次,而是修完又復發。先止血、再排查入口與後門、最後用維運制度把風險壓下來,網站才能回到穩定接案、招生、成交的節奏。當我們把這套流程做成固定的網站維護服務,企業就能用更低的技術門檻,換到更高的營運穩定度。
如果你希望有人協助釐清現況、建立維運規範,或評估是否需要重做安全架構,我們可以一起把需求拆清楚,整理成可執行的數位方案,並安排 預約諮詢,讓網站回到可放心運作的狀態。
