WordPress 網站被駭前常見的 10 個徵兆

WordPress 網站被駭不一定一開始就會整站掛掉。更常見的是搜尋結果被插廣告、後台多了陌生管理員、主機資源突然暴增、或備份還原後又再次感染。你越早看出徵兆，越有機會在影響擴大前處理。

這篇不是要製造恐慌，而是讓你用站長看得懂的方式判斷：哪些現象只是設定問題，哪些可能代表網站已經有安全風險。

你會先搞懂這幾件事

• WordPress 被駭常見徵兆不只是一個首頁被改掉。
• 搜尋結果、信件退信、主機資源與檔案異常都可能是線索。
• 初步排查要先保留現況，不要急著亂刪檔案。
• 備份很重要，但如果入口沒有補掉，還原後可能再次被感染。
• 遇到客戶資料、付款、信箱外洩疑慮時，應該提高處理優先順序。

1. 陌生管理員帳號

到 WordPress 後台「使用者」檢查是否有不認識的管理員帳號。可疑線索包含：

• 帳號名稱像隨機字串。
• Email 不是公司或站長信箱。
• 建立時間接近網站開始異常的時間。
• 原本不是管理員的帳號被改成管理員。

如果看到陌生管理員，不要只刪帳號就結束。你還要追：它是怎麼被建立的，是弱密碼、外掛漏洞、資料庫被改，還是主機帳號被登入。

2. 網站被導向奇怪網址

如果使用者點進網站會被導向陌生網址，常見來源包含：

• WordPress 外掛或主題被插入惡意 JavaScript。
• .htaccess 被改寫。
• 資料庫中的文章、選項或 widget 被插入跳轉碼。
• CDN 或 DNS 設定被動過。

先確認跳轉只發生在特定瀏覽器、特定頁面、手機版，還是所有使用者都會遇到。不同情況會指向不同排查方向。

3. 搜尋結果出現不屬於自己的廣告文字

如果 Google 搜尋結果出現博弈、成人、藥品或你從未寫過的廣告文字，可能是 SEO spam。這類感染不一定會改首頁，而是插入大量隱藏頁面或 sitemap。

你可以檢查：

• Google Search Console 是否有安全性或手動處置警告。
• 網站是否多出奇怪 URL。
• wp-content/uploads/ 是否出現陌生 PHP 檔。
• sitemap 是否出現非本站內容。

4. 主機資源突然暴增

如果 cPanel Resource Usage 顯示 CPU、I/O、Entry Processes 突然暴增，可能是：

• 網站被暴力破解。
• 惡意程式在背景大量發信或連線。
• WordPress 外掛異常。
• 流量真的增加，但快取或主機規格不足。

你可以先看 cPanel 資源用量監控教學，把正常流量與異常行為分開判斷。

5. 大量寄信或被列入黑名單

主機突然大量寄信，可能代表：

• WordPress 表單被濫用。
• SMTP 帳號密碼外洩。
• 惡意程式在主機上直接寄信。
• Email SPF、DKIM、DMARC 設定不完整，導致冒名信更容易影響網域信譽。

先檢查信箱密碼、寄信紀錄、表單外掛與 Email DNS 設定。如果網域已被列入黑名單，修補後也需要時間恢復信譽。

6. 外掛或主題出現陌生檔案

用 cPanel File Manager 或 SFTP 查看網站檔案時，如果發現：

• 隨機檔名的 PHP 檔。
• 圖片資料夾中出現 PHP 檔。
• 外掛目錄出現不屬於該外掛的檔案。
• 檔案修改時間集中在異常發生前後。

就要提高警覺。不要只刪單一檔案，因為入口可能還在。

7. .htaccess 或設定檔被改寫

.htaccess 被改寫可能導致跳轉、攔截搜尋引擎或讓特定路徑執行惡意行為。你可以比對：

• 是否有陌生 rewrite rule。
• 是否針對特定 user-agent 或 referrer 轉址。
• 是否把 PHP 執行權限打開到不該執行的目錄。

如果你不熟 .htaccess，建議先備份現況，再請工程師判讀，不要直接複製網路上的規則覆蓋。

8. Google Search Console 或安全工具跳警告

Search Console、安全外掛、Imunify360、主機商通知都可能提供線索。收到警告時要看：

• 警告時間。
• 受影響 URL。
• 偵測到的問題類型。
• 是否有重複感染。
• 是否需要提交重新審查。

如果你的 cPanel 有安全工具警告，可以搭配 cPanel 主機安全檢查清單 做基礎盤點。

9. 登入紀錄出現異常 IP

WordPress 後台、安全外掛、cPanel 或主機 log 中，如果看到陌生 IP 重複登入、短時間大量失敗、或成功登入時間不合理，就要檢查帳號與密碼。

建議處理：

• 立刻更換管理員密碼。
• 啟用 2FA。
• 移除不必要的管理員帳號。
• 檢查外掛與主題更新。
• 若是 VPS，檢查 SSH 登入紀錄與系統帳號。

10. 備份還原後又再次被感染

如果你還原備份後，過幾天又出現同樣問題，通常代表入口沒有補掉。常見原因：

• 還原的備份本身已經被感染。
• 弱密碼或管理員帳號還在。
• 外掛或主題漏洞沒有更新。
• 主機帳號、FTP、Email 或資料庫密碼外洩。
• 同帳號底下其他網站也被感染。

這時候不要一直還原同一份備份。要先找入口，再決定清理、重建或搬遷。

接下來該怎麼做

你可以照這個順序處理：

1. 先做一份現況備份，保留排查證據。
2. 更換 WordPress、cPanel、FTP、資料庫、Email 密碼。
3. 檢查管理員帳號與 2FA。
4. 更新 WordPress、外掛、主題與 PHP 版本。
5. 比對檔案、資料庫與 .htaccess。
6. 檢查主機資源、寄信紀錄與 Search Console。
7. 清理後重新掃描，並觀察是否復發。

你也可以先看 WordPress 安全性強化教學 與 cPanel 網站備份與還原教學，把日常維護補起來。

需要協助判斷目前環境是否安全？

如果你已經有網站、VPS、cPanel、WordPress、AI 工具或掃描報告，但不確定哪些問題要先處理，可以到侃瑞科技官方網站取得初步判斷。

查看資安健檢服務

延伸閱讀

• WordPress 官方 Hardening WordPress 文件
• Google Search Central：被駭網站說明
• WordPress 搜尋結果出現賭博、色情或奇怪日文？
• cPanel 主機安全檢查清單