WordPress 被駭後核心檔案被改名怎麼辦?先不要急著重灌

WordPress 網站打不開、後台進不去,不一定是資料庫壞掉。這篇整理核心檔案被改名或被竄改時的排查、備份、清理與還原順序。

WordPress 被駭後核心檔案被改名怎麼辦?先不要急著重灌

WordPress 網站突然打不開,很多人第一個反應是:

資料庫是不是壞了?

不一定。

有時候問題在檔案層。

例如 WordPress 核心檔案被批次改名、被插入惡意程式,或 wp-config.php 被動過,網站就可能整個跑不起來。

先不要做三件事

遇到這種狀況,先不要:

  • 直接重灌 WordPress。
  • 直接把可疑檔案刪光。
  • 直接把檔名全部改回來。

這些動作可能會破壞線索,也可能漏掉後門。

比較穩的第一步,是先把現場保存下來。

排查順序

可以照這個順序看:

網域
→ DNS
→ Cloudflare / CDN
→ 主機
→ Web server
→ PHP
→ WordPress 核心檔案
→ 外掛 / 主題
→ 資料庫

如果網域、DNS、Cloudflare、主機都正常,但網站仍然 500、空白或後台進不去,就要看檔案層。

檔案層要看什麼?

重點不是只看首頁。

要進 SFTP 或 SSH 看:

  • WordPress 核心檔案是否存在。
  • wp-login.phpwp-load.phpwp-settings.php 是否被改名。
  • wp-config.php 是否被竄改。
  • .htaccess 是否被改。
  • wp-content/uploads 裡是否有 PHP。
  • 外掛或主題目錄是否多了陌生檔案。
  • 檔案修改時間是否集中在同一天。

如果很多核心檔案同時多了一串奇怪後綴,通常代表有批次腳本動過檔案。

建議處理流程

先照這樣做:

  1. 暫時隔離網站,避免繼續對外服務。
  2. 備份目前檔案與資料庫。
  3. 保存 access log 和 error log。
  4. 記錄可疑檔案清單與修改時間。
  5. 下載乾淨 WordPress core 對比。
  6. 重新部署乾淨核心檔案。
  7. 檢查 wp-config.php
  8. 檢查 uploads、外掛、主題是否有後門。
  9. 檢查資料庫的管理員、options、cron。
  10. 更換所有密碼與 WordPress salts。
  11. 更新核心、外掛、主題。
  12. 加上備份、WAF、2FA 和監控。

為什麼不能只換核心檔案?

因為攻擊入口可能還在。

如果後門藏在 uploads、舊外掛、主題檔案或資料庫裡,只換 WordPress core 可能幾天後又復發。

清理 WordPress 被駭,不是把網站打開就結束。

要找到入口,補上防線。

下一步

如果你是中小品牌,不一定要自己排完整套。

至少要確保三件事:

  1. 有可還原的備份。
  2. 知道主機、網域、Cloudflare、WordPress 管理員是誰掌握。
  3. 有人定期更新與巡檢。

網站平常沒事時,這些看起來都不急。

真的出事時,它們就是救不救得回來的差別。

延伸閱讀:

看完教學,覺得 WordPress 還是太麻煩?

不想自己跟速度、外掛、主機纏鬥,交給我們處理。

免費網站健檢 聊聊我的網站規劃

3 分鐘看出速度、SEO、安全性的問題。

MO DESIGN STUDIO

我們專注品牌網站設計、行銷著陸頁與整合式 CMS 流程,協助團隊打造有感的線上體驗。

← 返回部落格