独立站运营笔记——网站被黑自救篇丨出海笔记

“被黑中毒”的网站

今天讲点貌似偏技术，实则是运营，大家只要网站做大或者不小心很有可能遇到的，主要自己不小心或者惹了人，都有可能，不是危言耸听。

故事中的“可怜人”——没错，是我：

最近有两个站突然不正常，一个老站，一个新站，症状如下：

1 登陆后台速度变慢，特别是用Elementor编辑页面的时候；

2 谷歌搜索品牌词，出现网站结果一堆“日文”结果的TD(标题和描述)，跳转到卖乒乓球的，卖男性zhuang*yang的——显然是被植入不良代码了。（谷歌后发现日文病毒原来很常见）

为了让大家理解，我在网上找了张图（避免被同行“不小心

”抄袭，还是不放自己的了）

大概就是上面这张图的样子，很明显example.com应该是展示英文结果的，但确是显示了日文title和discription。

专业术语叫“Japanese Keyword Hack”，大家可以谷歌一下。

3 谷歌搜索品牌词，出现网站结果几个网站“西班牙”的博客文章——查询后显然被人破解录入文章。

4 服务器后台网站时不时出站流量激增——貌似被爬虫之类攻击了，其实我是上了CDN了，应该不会这么容易被攻击的，所以很诡异。

首先我是用wordpress建站的，这个方法适用于wordpress，为什么我要用wordpress，之前有篇文章分享过，

但其实更重要的一个原因是，wordpress做SEO真的是YYDS，不接受反驳，懂的都懂。

如果大家还理解不了，后面有时间我再写一篇文章解释吧。

曲折的解决过程

结果肯定是解决了，否则我不会这么轻松给大家分享，我写文章的风格一般都是直接了当，但这件事困扰了我差不多1周，所以这次写多几行字，希望大家也可以闭坑，所以重点讲一下我的解决过程，要解决上面的问题，主要需要做以下几件事：

1 清除不良代码或者“病毒”（严格意义来说这种植入的代码不能叫病毒，但为了让大家理解，我把这种攻击都叫做病毒吧）

2 Ban掉不良IP，避免不良攻击，影响访问。

3 刷新谷歌收录结果，把日文，西语的结果统统去掉，免得影响品牌调性，还可能让我网站SEO排名下降。

我的公众号读者大部分是不是搞技术的，所以我尽量说小白都能操作的解决方法：

然并卵的杀毒插件

说干就干，我直接搜索了几个wordpress的杀毒插件：

这上面红框的几个我都全试过了，包括排第一的著名杀毒软件wordfence，还有ninjia，确实也扫描出问题的问题文件和病毒，wordfence还一度被我折腾得死机......

一堆wordpress主程序不相关的文件被发现，比如正常的叫做

index.php, 然后多出了一个index2343.php,

很明显是马甲，

打开也发现里面有一堆乱码，甚至index也是乱码。

抓到攻击机器人

然后看下有没有人攻击我的网站后台，用wordfence看了一下下我一跳：

好多个乌克兰登陆的有木有!!!

我觉得没这么黑吧？我再仔细观察了和验证了一下，虚惊一场——发现原来是上网的梯子伪装而已，实际登陆ip是自己，都不知道梯子的哪个程序员这么恶趣味要伪装乌克兰...

但我继续深挖，发现了有好几个同意前缀的加拿大ip多次用没注册的账户登陆后台或者用admin用户名，这引起了我的注意，全部失败但，其中有一个还成功了，查看行为记录，果然发西班牙语哪个zhuang yang （防和谐）药广告贴就是你吧！行为属性提示是“bot

”(机器人)，果然，抓到你了，果断拉入黑名单！

野火烧不尽

正当我沾沾自喜以为终于搞定的时候，过不到2小时，那些被杀掉的文件又死灰复燃了，甚至我把index文件更新写死都没用，保存重新打开前面仍然是一堆乱码，就算改为只读也没用，

有完没

完！显然，病毒未能彻底被清除。

然后我觉得不行了，我得求助谷歌了，（大家千万别用度娘，因为结果都是一堆自媒体搬来搬去的东西，绝对会误导你，直接英文谷歌），但我发现我也错了，英文谷歌老外也是和中文一样是搬运的，都是那些乱七八糟“10招教你解决网站被黑”的一堆没用的为了SEO的软文！！

我恼火了，自己来吧，我偏不信，没有杀毒软件能搞定的，在我尝试了N个杀毒软件之后，皇天不负有心人有心人，终于找到一个云端的杀毒帮我把问题搞定了，这个工具他们客服回复很及时，而且后面说如果我搞不定直接帮我进服务器杀，我觉得挺好的：简单易懂，一键杀毒是他最大的优势，反正为了避免被说打广告，我就不发名字的(M开头的)，需要的可以私信我。绝对没套路，因为：

30天免费试用，杀完毒大家可以退款，绝对是白嫖党的福音；

重要的事情说三遍，老外的东西就是这点好，不过建议大家还是预防胜于治疗，不贵，最低配99美金一年，用着也安心，这种软件大家就别用盗版了；

重要：杀毒前一定全盘备份，特别是数据库

杀毒过程也比较简单，

1 可以恢复的文件恢复为官方wordpress文件

2 可疑的文件单独备份后直接删掉

3 可疑的插件先暂时停掉

4 再用ninjia等几个速度还可以的软件监测也没问题

5 最后用wordfence找出的几个ip/ip段屏蔽掉

完成后观察了2小时，基本没有问题了，我认为算是告一段落了——直到发推文的今天差不多2周了，算一直都很安全了，期间一直开着杀毒，设置每天定时同步。过了几天site网站，还有有零星日文东西没去除（可恶的小/日/本），但基本80%的页面消失了，只能等谷歌更新了。

Last but not least

最后一步，别忘了把所有受影响的谷歌页面，重新在google search-console手动提交，让谷歌尽快更新收录！

才几个月大的小站，这个表现好还可以了，没有花一分钱广告

总结和10条建议

1 当然期间也在fiver上搜过有没有达人可以帮忙杀，果然不少，还便宜（印度，巴基斯坦，孟加拉哥们为了生活不容易），但想了下，最珍贵的是数据，客户信息，和产品机密，还是能自己弄就自己弄好了，除非最后没办法；

2 大家尽量别用不明来路的插件和主题；

3 别省几百块一年，买个正版杀毒安心，当然屌丝可以继续盗版杀毒，也能抵挡一部分坏人，前提是你的杀毒没有毒（好拗口，哈哈）；

4 修改后台唯一登陆链接，只有你知道的独立链接，放机器破解；

5 上CDN，网站ip地址不外泄；

6 严格控制员工登陆权限；

7 安装用户行为log记录插件；

8 没有那么可怕，胆大心细，中毒被黑杀杀杀就是了；

9 找像Alan一样的人做朋友，相信群众的智慧！！（这条纯凑数）

10 最后一条也是最重要的，网站和数据库要，备份!备份! 备份！

先写到这把，反正这个是连载，随时更新。