你的网站被黑了,收录一夜归零?别刷手机了,现在就去关站

早上打开站长工具,收录量直接变0;搜自己品牌名,首页蹦出一堆博彩链接——这感觉像开门发现家里被撬了,连门锁都被人换了。别查日志、别翻代码,第一件事:立刻让网站“断网”。

第一步:立即隔离,防止二次伤害

马上联系主机商,开维护模式,或者进主机控制面板一键关站。实在不行,把网站根目录临时重命名为 old-site-2024 这种谁都看不懂的名字。

关站不是逃避,是给黑客踩下急刹车。我见过一个做本地装修的客户,发现被黑后冲进去删 index.php,结果黑客脚本正躲在后台自动重建文件——他删一个,对方传三个,折腾三天才想起来先断电。

关完站,立刻改四类密码:服务器 SSH 密码、FTP 账号、数据库 root 密码、网站后台管理员密码。全换成“大小写字母+数字+符号”组合,别用生日、公司名、123456。

如何彻底清理恶意代码和文件?

别信“删掉几个黑文件就万事大吉”。黑客喜欢埋多层后门:在 header.php 插一行 eval,又在 /wp-content/uploads/ 里藏个伪装成 .jpg 的 PHP 文件,再在数据库 wp_options 表里写个定时执行的恶意选项。

你得有“干净底片”才能比对。如果有定期备份,就拿最近一次安全备份,逐个核对:

  • 根目录下的 index.phpindex.html 文件大小和修改时间
  • 主题里的 functions.phpfooter.php
  • WordPress 用户上传目录 /wp-content/uploads/(重点查后缀是 .php .phtml .js 的“图片”)

没备份?那就硬核点:
✅ 先导出数据库(别丢客户数据)
✅ 清空全部网站文件
✅ 从官网重新下载最新版 WordPress 程序包,只上传 wp-adminwp-includes 和默认主题
✅ 再把备份的数据库和真正需要的图片(比如产品图)放回去

笨,但管用。就像装修漏水的房子,不如拆掉重砌。

被黑期间产生的垃圾页面,怎么处理?

黑客生成的那些 /casino//bet-2024/ 页面,删了不等于消失——搜索引擎还记着呢。你得明确告诉它:“这页死了,永远没了。”

如果知道具体 URL,比如 yoursite.com/bet/,就在服务器配置里(Nginx 或 Apache)加一条规则,让它返回 410 Gone 状态码。比 404 更狠,搜索引擎收到就秒删索引。

更多时候,URL 是动态拼出来的,根本列不完。这时候,直接编辑网站根目录的 robots.txt,加一行:

Disallow: /

保存上传。所有爬虫立刻停手——相当于给整栋楼拉闸。等你确认网站彻底干净了,再删掉这行。

怎么向搜索引擎提交“康复证明”?

网站重新上线后,别干等。打开两个地方,马上动手:

👉 Google Search Console:进左侧菜单「安全与人工操作」→「安全问题」→ 点「请求审核」。填一段人话就行:

“本站于X月X日遭入侵,已清除全部恶意代码,更新了程序与插件,并加强了登录防护。请重新审核。”

👉 百度搜索资源平台:进「网站安全」→「安全申诉」→ 同样提交说明。再顺手点一下「URL提交」,把首页、产品页、关于我们这几个核心页面手动推一遍。不是求快,是告诉百度:“我活过来了,来认个门。”

恢复收录期间,如何加速搜索引擎重新信任?

审核通过≠立马恢复。接下来一周,你要让搜索引擎觉得:“这站真稳,真有人在用心管。”

  • 保证服务器不宕机,访问不报 500 错误
  • 每天发一篇真实内容:客户案例、施工过程记录、材料对比实拍——别堆关键词,写点人话
  • 在站长工具里跑一遍死链检查,把被黑时生成的垃圾内链、清理时误删的正常链接全补上或 301 跳转
  • 如果有合作过的本地建材市场、设计工作室网站,问问能不能在他们“合作伙伴”页给你挂个正常链接。熟人介绍,比群发外链管用十倍

别天天盯着索引数刷新,看抓取频次是否回升、新内容有没有被收录,才是关键信号。

怎样避免网站再次被黑?

这次修好,就当给网站打疫苗:

  • 所有插件、主题、WordPress 核心,只要后台提示更新,当天就点“立即更新”
  • 删掉所有不用的插件(特别是那种“免费破解版”“SEO 万能优化”类)、闲置的主题、测试用的 test.php 文件
  • 后台登录地址别用默认的 /wp-admin/,改成 /login-2024/ 这种;开启登录短信或邮箱验证码(用 Wordfence 或 SiteGuard 这类免费插件就能做)
  • 备份不能只存在服务器里。每周用 All-in-One WP Migration 导出一次,存到你自己的电脑或微信文件传输助手(别笑,真有人靠这个救回过站)
  • 每周五花5分钟:打开主机后台,看一眼最近24小时的访问日志,找有没有反复扫 /wp-login.php/xmlrpc.php 的陌生IP

安全不是装个防火墙就完事,是养成习惯。

今天下班前就能执行的一个操作

现在,打开你的 Google Search Console百度搜索资源平台
点进「安全与人工操作」或「网站安全」栏目,看有没有红色警告图标。有,截图存好——这就是明天开工的第一张工单。
没有?也别松气。打开百度或谷歌,搜:

site:yoursite.com 博彩  
site:yoursite.com 赌博  
site:yoursite.com 成人

(把 yoursite.com 换成你自己的域名)
如果跳出结果,哪怕只有1条,也说明还有漏网之鱼。今晚就顺着那个链接,去删文件、加 410、更新 robots.txt。