网站被黑了,百度收录一堆博彩页面,流量暴跌怎么办?

刚搜自己公司名字,首页全是“澳门真人娱乐”“体育投注入口”,点进去却是你家官网——后台登不上,网站卡成PPT,上周还排前三的关键词今天连首页都摸不着边。别盯着数据发呆,现在最该干的,是抢在百度把你的站彻底拉黑前,把它“摘出来”。

第一步:别急着报备,先做网站“隔离”与取证

很多人第一反应是冲去百度站长平台点提交。停!这等于警察还没来,你先把现场扫干净了——连脚印都没留,怎么查案?

马上联系你的主机商或运维,把网站切到维护模式,或者让服务器返回 503 状态码。做不到的话,至少关掉网站的写入权限(比如禁用FTP上传、关闭后台文章发布功能)。
同时,立刻备份当前所有文件和数据库——不是清理完再备份,是“此刻就备份”。我上个月帮一个做建材批发的客户处理,他手快删了黑链,结果没备份,5分钟后同一后门又把首页挂满赌博广告。

备份完,打开文件管理器,重点盯三样东西:

  • 被篡改页面的URL(比如 yourdomain.com/index.html
  • 页面源码里异常的 <script><iframe> 标签(尤其是base64加密那段)
  • 服务器里新冒出来的PHP文件,路径像 /uploads/xxx.php/cache/123.php

截图!每一步都截。这些图以后就是你跟百度解释“真不是我干的”的身份证。

怎么判断网站被攻击的类型和影响范围?

不是所有问题都要找百度。先分清你撞上的是哪一种:

  • 内容被改:百度搜 site:yourdomain.com,摘要里蹦出“彩票”“棋牌”——这是要报备的。
  • 用户中毒:安全工具(比如百度云观测、腾讯御界)扫出“恶意JS”“下载器木马”——这也得报。
  • 网站打不开:页面一直转圈,但百度收录的标题摘要还是正常的——这是服务器扛不住,找机房,不用惊动百度。

影响有多大?看被污染的页面数量。
首页被改,修一天能上线;
全站几百个产品页都被批量生成博彩内容,就得按“重症”处理。去年帮一家做工业阀门的客户擦屁股,黑客塞了两千多个垃圾页面进百度,光清理+等恢复就耗了三周多。

清理与修复:如何彻底根除后门防止反复?

删掉网页上看到的黑链,就像扫地只扫浮灰——地板缝里的蟑螂卵还在。

最省心的办法:用你三个月前的完整备份,直接覆盖线上文件。没有备份?那就得动手挖:

  • 用FTP工具按修改时间排序,揪出最近24小时被改过的PHP/JS文件
  • /wp-content/plugins/(WordPress)、/data/(织梦)这些目录里来历不明的PHP文件
  • 把所有权限设成 644(文件)和 755(文件夹),砍掉 777 这种裸奔权限

密码必须全换:后台登录、数据库、FTP、服务器SSH,一个都不能漏。
最后一步:装个靠谱的WAF(比如阿里云WAF、腾讯云网站管家),它比人工盯屏管用十倍——大部分SQL注入、XSS攻击,它当场就拦了。

向百度报备的核心流程与正确姿势

确认网站干净、漏洞补好、密码全换完,再登录百度搜索资源平台。路径很短:网站支持 → 网站安全 → 网站被黑

填表时记住三句话:

  • 问题是什么:“X月X日遭攻击,首页及产品页被植入博彩跳转代码,百度收录大量异常页面。”
  • 证据在哪:粘贴3–5个被黑页面的真实URL(比如 yourdomain.com/product/a123.html
  • 怎么解决的:“已删除全部恶意文件,修复CMS漏洞,更新至最新版,WAF已启用。”

附件只传两类图:
① 黑页截图(带浏览器地址栏和百度搜索结果页)
② 安全扫描报告(百度云观测或360网站监测的“发现恶意代码”那页)

提交后,通常3–5个工作日有反馈。别催,催也没用——审核员每天看几百份,证据扎实的,反而审得最快。

报备后,如何加速百度收录的恢复与排名回流?

百度删垃圾页面不是秒删,是排队处理。你想插队?主动推。

登录百度搜索资源平台,做两件事:

  1. 更新并提交sitemap:确保XML地图里只包含你现在的正常页面,删掉所有被黑页的URL
  2. 手动提交核心页:把首页、产品列表页、最新几篇原创文章的URL,一条条粘进去提交(别偷懒用API,新手容易出错)

顺便干件小事:下周内发2–3篇真正有用的干货文(比如“阀门选型避坑指南”),保持更新频率。百度蜘蛛爱逛勤快的站,新内容一爬,旧垃圾自然就被挤下去了。

今天就能执行的具体操作步骤

  1. 立刻检查:打开百度,搜 site:你的域名,看搜索摘要有没有“博彩”“棋牌”这类词;用手机再访问一遍网站,试试会不会自动跳转
  2. 切维护模式:登录你的主机控制面板(比如宝塔、cPanel),找到“网站设置”,开启“维护模式”或配置 503 响应
  3. 备份+截图:用FTP连服务器,把整个网站文件夹打包下载;打开被黑页面,按 Ctrl+Shift+I 调出开发者工具,截图 <head><body> 里的异常代码
  4. 覆盖或查杀:有备份就直接覆盖;没备份就用D盾(Windows)或ClamAV(Linux)全盘扫,删掉所有可疑PHP文件
  5. 改密码+打补丁:进后台把管理员密码改成12位以上;进数据库把root密码也改了;WordPress就更新到最新版,织梦就关掉会员注册入口
  6. 去百度报备:今天就打开百度搜索资源平台(https://ziyuan.baidu.com),走“网站安全→网站被黑”流程,把刚才截图的黑页URL和证据图全传上去
  7. 推干净链接:报备完别关网页,顺手点进“数据提交→手动提交”,把你网站的首页、最新产品页、最新文章页URL各贴一条,点提交

做完这七步,你已经把最危险的72小时扛过去了。后面的事,交给百度和时间——而你能做的,就是明天开始,每周备份一次,每月更新一次程序。