做网站最怕遇到安全事件：网站突然打不开、被跳转到赌博网站、收到搜索引擎的风险提示……遇到这些情况不要慌，按步骤处理可以把损失降到最低。

第一步：确认攻击类型

不同类型的攻击处理方式不同，先判断属于哪种：

• 网站被篡改（挂马/黑链）：网站页面被植入恶意代码或跳转链接
• DDoS攻击：大量流量涌入，服务器带宽被打满，网站无法访问
• 数据泄露：数据库被拖库，用户信息泄露
• 账号被盗：后台管理账号密码被破解

可以通过网站监控告警、服务器日志、搜索引擎提示（如百度安全中心提示）来判断。

第二步：紧急止损

如果网站能访问

• 立即修改所有管理后台密码（网站后台、数据库、服务器SSH）
• 如果使用的是管理员账号密码过于简单，立即改为强密码
• 临时关闭网站（显示维护页面），避免继续影响用户

如果服务器被完全控制

• 立即断开服务器网络连接或关闭服务器
• 在云控制台修改root密码
• 查看安全组规则，关闭所有可疑端口

第三步：排查入侵路径

止损后要找到黑客是怎么进来的，才能彻底修复：

• 检查SSH登录日志，看是否有异常IP登录记录
• 检查网站文件修改时间，找出被篡改的文件
• 查看数据库访问日志，看是否有异常查询
• 检查是否有新增的管理员账号或SSH公钥
• 如果使用了FTP，检查FTP账号是否泄露

第四步：清理恶意代码

• 用备份恢复：如果有干净的备份，优先用备份恢复，同时检查备份是否也被感染
• 手动清理：对比正常代码和被篡改代码，删除恶意代码段。注意黑客可能留了后门，清理不干净会反复被黑
• 使用安全扫描工具检测残留木马

第五步：修复漏洞

找到入侵路径后，修复对应漏洞：

• 如果是因为弱密码：改为强密码，启用双因素认证
• 如果是因为漏洞：升级CMS和插件到最新版本，删除不再使用的插件
• 如果是因为开放端口过多：重新配置安全组规则

第六步：恢复正常并监控

确认清理干净后，重新上线网站。之后要：

• 开启网站监控，持续观察是否有异常
• 定期检查服务器日志
• 做好日常备份，有问题可以快速恢复

预防措施（亡羊补牢不如防患未然）

• 使用强密码，定期更换
• 服务器SSH使用密钥登录，关闭密码登录
• 及时更新CMS、主题、插件
• 安装网站安全插件（WAF、防篡改等）
• 做好数据备份，至少保留两份，一份异地存储

安全事件发生时，最怕的是慌乱和侥幸心理。按步骤来，该断网断网，该备份备份，修复后还要复盘总结经验教训，避免下次再踩同样的坑。