WordPress 被駭後核心檔案被改名怎麼辦?先不要急著重灌
WordPress 網站打不開、後台進不去,不一定是資料庫壞掉。這篇整理核心檔案被改名或被竄改時的排查、備份、清理與還原順序。

WordPress 網站突然打不開,很多人第一個反應是:
資料庫是不是壞了?
不一定。
有時候問題在檔案層。
例如 WordPress 核心檔案被批次改名、被插入惡意程式,或 wp-config.php 被動過,網站就可能整個跑不起來。
先不要做三件事
遇到這種狀況,先不要:
- 直接重灌 WordPress。
- 直接把可疑檔案刪光。
- 直接把檔名全部改回來。
這些動作可能會破壞線索,也可能漏掉後門。
比較穩的第一步,是先把現場保存下來。
排查順序
可以照這個順序看:
網域
→ DNS
→ Cloudflare / CDN
→ 主機
→ Web server
→ PHP
→ WordPress 核心檔案
→ 外掛 / 主題
→ 資料庫
如果網域、DNS、Cloudflare、主機都正常,但網站仍然 500、空白或後台進不去,就要看檔案層。
檔案層要看什麼?
重點不是只看首頁。
要進 SFTP 或 SSH 看:
- WordPress 核心檔案是否存在。
wp-login.php、wp-load.php、wp-settings.php是否被改名。wp-config.php是否被竄改。.htaccess是否被改。wp-content/uploads裡是否有 PHP。- 外掛或主題目錄是否多了陌生檔案。
- 檔案修改時間是否集中在同一天。
如果很多核心檔案同時多了一串奇怪後綴,通常代表有批次腳本動過檔案。
建議處理流程
先照這樣做:
- 暫時隔離網站,避免繼續對外服務。
- 備份目前檔案與資料庫。
- 保存 access log 和 error log。
- 記錄可疑檔案清單與修改時間。
- 下載乾淨 WordPress core 對比。
- 重新部署乾淨核心檔案。
- 檢查
wp-config.php。 - 檢查 uploads、外掛、主題是否有後門。
- 檢查資料庫的管理員、options、cron。
- 更換所有密碼與 WordPress salts。
- 更新核心、外掛、主題。
- 加上備份、WAF、2FA 和監控。
為什麼不能只換核心檔案?
因為攻擊入口可能還在。
如果後門藏在 uploads、舊外掛、主題檔案或資料庫裡,只換 WordPress core 可能幾天後又復發。
清理 WordPress 被駭,不是把網站打開就結束。
要找到入口,補上防線。
下一步
如果你是中小品牌,不一定要自己排完整套。
至少要確保三件事:
- 有可還原的備份。
- 知道主機、網域、Cloudflare、WordPress 管理員是誰掌握。
- 有人定期更新與巡檢。
網站平常沒事時,這些看起來都不急。
真的出事時,它們就是救不救得回來的差別。
延伸閱讀:
Related Reading
延伸閱讀
WordPress
WordPress 是什麼?2026 新手入門完整介紹(功能、費用、適合誰)
>-

WordPress
WordPress 內部連結策略:讓 SEO 權重翻倍的連結佈局指南 (2026)
內部連結是最便宜也最常被忽略的 SEO 槓桿。這篇教你用支柱文與群集文的連結架構,讓 Google 更懂你的網站主題,縮短新文章起量時間。

WordPress
WordPress 結構化資料設定:讓 Google 秀出精選摘要的 Schema 教學 (2026)
想讓 Google 更快看懂你的內容、在搜尋結果秀出精選摘要?Schema 是最低成本高報酬做法。這篇用 WordPress 新手可執行的方式,教你設定 Article 與 FAQ Schema。