跳到主要內容
網站資安 元伸科技 元伸科技 · · 9 分鐘閱讀

網站被駭怎麼辦?緊急應變 SOP 與事後復原完整指南

網站遭駭客入侵時的緊急應變 SOP,從發現異常、隔離威脅到完整復原的步驟指南,幫助企業主在最短時間內恢復正常營運。

網站被駭 資安應變 網站復原 緊急處理 資安SOP
分享
網站被駭時應立即執行四步驟應變:隔離威脅(下線網站、更換密碼)、保全證據、清除威脅並修復漏洞、完整復原系統。最重要的是保持冷靜,避免倉促刪除檔案破壞證據。台灣中小企業平均需45天復原,但按照正確SOP處理可大幅縮短時間並降低損失。

網站被駭的第一時間:冷靜比什麼都重要

每棟大樓都有火災逃生計畫,但你的網站有「被駭應變計畫」嗎?

對大多數企業主而言,發現網站被駭的那一刻,就像半夜聞到煙味一樣令人恐慌——不知道火從哪裡燒起、不知道該先搶救什麼、更不知道該打給誰。然而,就像火災逃生一樣,事先有計畫、臨場能冷靜,才是把損害降到最低的關鍵

根據資安研究機構統計,台灣中小企業網站遭到入侵後,平均需要 45 天才能完全復原。而其中有超過 60% 的企業,是因為在第一時間做出了錯誤的處理決策(例如直接刪除被駭檔案、倉促還原備份卻沒有找到入侵點),反而讓問題更加嚴重。

這篇指南將帶你走過從「發現異常」到「完整復原」的每一個步驟,讓你在危機來臨時,能夠有條不紊地應對。即使你不是技術人員,也能依照這份 SOP 做出正確的初步處理,並在必要時有效地與資安專家溝通協作。

如何判斷網站是否已被入侵?

在進入應變流程之前,首先要確認你的網站是否真的被駭了。以下是六大類常見的入侵跡象,只要發現其中任何一項,就應該立即提高警覺:

網站被駭的六大常見跡象

1. 首頁或內容頁面被竄改

這是最明顯的跡象。網站首頁出現了不明文字、賭博廣告、色情內容,或是駭客的署名頁面。有些比較隱蔽的攻擊,會在頁面中植入肉眼不易察覺的隱藏連結或 iframe。

2. 搜尋結果出現異常

在 Google 搜尋你的網站時,發現搜尋描述出現日文、簡體中文或其他不明文字。更嚴重的情況是,Google 在搜尋結果中直接標示「這個網站可能已遭入侵」的安全警告。你也可以透過 Google Search Console 的「安全性問題」報告來確認。

3. 流量與使用者行為異常

GA4 數據顯示流量來源突然大幅改變、跳出率異常飆高,或是出現大量來自不明國家的訪問。伺服器的 CPU 和記憶體使用率莫名飆高,也是一個危險信號。

4. 帳號與權限遭到竄改

後台出現了你從未建立的管理員帳號,或是你的管理員密碼突然失效。檢查 FTP、SSH 和資料庫的登入記錄,看看是否有來自不明 IP 的存取。

5. 被列入黑名單或發送垃圾郵件

你的主機 IP 被列入郵件黑名單,導致公司信件無法正常寄出。或是收到客戶反映,他們收到了以你公司名義發送的釣魚郵件。

6. 檔案與程式碼遭到篡改

伺服器上出現了不明的 PHP 或 JavaScript 檔案,特別是包含 base64_decodeevalexec 等可疑函式的程式碼。.htaccess 檔案被竄改,也是常見的入侵手法。

小提醒: 有些入侵行為非常隱蔽,不會留下明顯痕跡。建議定期使用 Sucuri SiteCheckGoogle Safe Browsing 等工具主動掃描你的網站。

緊急應變 SOP:黃金 24 小時處理流程

確認網站被駭之後,接下來的 24 小時至關重要。以下是我們根據多年網站維護經驗整理出的四階段應變流程:

黃金 24 小時緊急應變 SOP

Step 1:立即隔離(0-1 小時)

目標:阻止傷害繼續擴大

這是最優先、最緊急的步驟。就像消防員到場後的第一件事是阻止火勢蔓延,你要做的是立即切斷駭客的存取管道:

  • 啟用網站維護模式或暫時將網站下線,避免訪客受到惡意程式影響
  • 更換所有管理員密碼,包括 CMS 後台、FTP、SSH、資料庫、主機控制面板
  • 通知主機商,請他們協助檢查伺服器層級的異常活動
  • 通知團隊成員,統一由負責人協調後續處理,避免各自行動造成混亂

千萬不要: 在尚未保全證據前就急著刪除被駭的檔案。這些檔案是後續分析入侵途徑的重要證據。

Step 2:保全證據(1-4 小時)

目標:完整記錄被駭狀態

在清除惡意程式之前,你需要先完整保存「犯罪現場」:

  • 完整備份被駭狀態的網站檔案與資料庫(標記為「被駭備份」,與正常備份分開存放)
  • 下載並保存 access log、error log、FTP log 等伺服器日誌
  • 截圖記錄被竄改的頁面、異常的搜尋結果、可疑的後台操作記錄
  • 記錄發現時間、異常行為描述、已採取的處理步驟

這些資料不僅對後續的漏洞分析至關重要,若涉及個資外洩或需要法律追訴,也是必要的佐證。

Step 3:清除威脅(4-12 小時)

目標:移除所有惡意程式與後門

這是整個應變流程中技術含量最高的步驟,建議由專業人員執行:

  • 使用掃毒工具(如 Sucuri、Wordfence、ClamAV)全站掃描
  • 逐一檢查近期被修改的檔案,比對乾淨版本找出差異
  • 搜尋並移除所有後門程式(backdoor),駭客通常會在多處植入後門以確保能再次進入
  • 檢查資料庫是否被注入惡意內容,特別是 wp_options(WordPress)或使用者資料表
  • 移除所有不明的管理員帳號和 API 金鑰

Step 4:復原上線(12-24 小時)

目標:安全地恢復對外服務

確認威脅已完全清除後,就可以準備恢復網站上線:

  • 若有乾淨的備份,可以在清除惡意程式後還原至乾淨狀態
  • 在測試環境先行驗證,確認網站功能正常、沒有殘留的惡意程式
  • 恢復對外服務後,持續監控至少 48 小時,觀察是否有再次入侵的跡象
  • 在 Google Search Console 中提交重新審查,請求移除安全警告標示

事後復原:從備份還原到安全強化

緊急應變處理完畢後,接下來的工作同樣重要——確保網站徹底復原,並強化安全防護以避免再次發生。

事後復原五大步驟

還原備份的正確做法

備份還原看似簡單,實際上有很多眉角需要注意:

  • 找到最近的乾淨備份——確認該備份的時間點在入侵發生之前。如果無法確定入侵的確切時間,可能需要回溯更早的備份
  • 驗證備份完整性——還原前先確認備份檔案本身沒有被感染
  • 在隔離環境中測試——切勿直接還原到正式環境。先在測試環境中還原,確認一切正常後再上線
  • 保留被駭期間的資料——如果入侵期間有客戶下的訂單或提交的表單,需要手動將這些資料遷移到乾淨的系統中

SEO 損害修復

網站被駭往往會對 SEO 造成嚴重影響,需要積極修復:

  • 在 Google Search Console 中提交安全性問題審查
  • 使用 site:yourdomain.com 在 Google 搜尋,找出並移除所有被注入的垃圾頁面
  • 若有頁面被 Google 標記為惡意,需逐一提交 URL 檢查並請求重新索引
  • 重新提交最新的 Sitemap,幫助搜尋引擎重新爬取正確的內容
  • 監控關鍵字排名的恢復情況,通常需要 2-4 週才能回到被駭前的水準

通知相關方

根據情況,你可能需要通知以下對象:

  • 客戶——特別是如果有個資外洩的疑慮,依照《個人資料保護法》可能有通知義務
  • 合作夥伴——如果你的網站與其他系統有 API 串接,需通知對方檢查是否受到影響
  • 主管機關——若涉及重大個資外洩事件,依法需向主管機關通報

預防勝於治療:降低再次被駭的風險

經歷過一次被駭之後,最重要的是確保不會再發生。以下是從網路層到資料層的四層防護策略:

預防再次被駭的四層防護

第一層:網路防護

  • 啟用 CDN 與 WAF(網站應用程式防火牆)——Cloudflare 是最受歡迎的選擇,免費方案就能提供基本的 DDoS 防護和 WAF
  • 設定地區存取限制,封鎖來自高風險地區的異常流量
  • 啟用 HTTPS,確保資料傳輸加密

第二層:伺服器防護

  • 定期更新作業系統和伺服器軟體(Apache、Nginx、PHP)
  • 使用 SSH 金鑰驗證取代密碼登入,並更改預設的 SSH 連接埠
  • 設定伺服器層級的防火牆規則(iptables 或 CSF)
  • 啟用自動化日誌監控,在偵測到異常存取時即時通知

第三層:應用程式防護

  • 定期更新 CMS、外掛與佈景主題——絕大多數的入侵都是透過已知漏洞發動的
  • 實作輸入驗證與輸出編碼,防止 SQL Injection 和 XSS 攻擊
  • 設定正確的檔案權限(目錄 755、檔案 644),上傳目錄禁止執行 PHP
  • 移除所有不必要的外掛、佈景主題和測試帳號

第四層:資料防護

  • 建立自動備份排程——每日備份資料庫、每週備份完整檔案,並保留至少 30 天的備份歷史
  • 實施異地備份,不要只存放在同一台主機上
  • 所有管理帳號啟用雙因素驗證(2FA)
  • 遵循最小權限原則——每個帳號只給予執行任務所需的最低權限

想深入了解更多網站安全基礎知識,推薦閱讀我們的網站安全防護必備指南中小企業網站資安指南

何時該尋求專業資安協助?

雖然這份指南提供了完整的應變步驟,但以下情況建議直接尋求專業資安團隊的協助:

  1. 無法確認入侵途徑——如果不知道駭客是怎麼進來的,清除再多惡意程式也只是治標不治本
  2. 涉及客戶個資外洩——需要專業的鑑識分析來確認外洩範圍,並協助法律合規程序
  3. 反覆被駭——如果同一網站短期內多次被入侵,代表根本原因尚未解決
  4. 電商或金流網站——涉及線上交易的網站,任何安全問題都可能導致巨大的財務損失和法律責任
  5. 缺乏技術人力——如果公司內部沒有具備資安專業的 IT 人員,不要勉強自行處理

選擇資安服務廠商時,注意確認對方是否具備實際的事件處理經驗,而不是只提供掃描工具。你也可以考慮與你的網站設計公司簽訂包含資安監控的維護合約,在平時就建立合作關係,遇到事件時才能快速響應。

結語:建立應變計畫,化危機為轉機

網站被駭從來不是「會不會發生」的問題,而是「什麼時候發生」的問題。在數位環境中,沒有任何系統是百分之百安全的。但差別在於——有準備的企業能在最短時間內恢復正常營運,沒準備的企業可能因此流失客戶、損害品牌信譽,甚至面臨法律問題

現在就開始行動吧:

  1. 列印這份 SOP,放在團隊都能取得的地方
  2. 確認你有可用的備份,並測試備份的還原流程
  3. 盤點目前的安全防護,參考四層防護模型補強不足之處
  4. 指定一位負責人,在事件發生時統一協調應變

預防永遠勝於治療,但當意外真的發生時,一份清晰的應變計畫就是你最有力的武器。如果你對網站安全防護有任何疑問,元伸科技歡迎聯絡我們,的專業團隊可以為你的網站進行安全健檢,幫助你建立完整的資安防護體系。

上一篇

你會用 ChatGPT 驗收自己的網站嗎?3 個必問問題幫你找出盲點

下一篇

AI 建站工具 vs AI-Ready 網站:用 AI 做的網站,不等於 AI 看得懂的網站

你的網站,AI 看得懂嗎?

免費檢測 25 項 AI-Ready 指標(robots.txt、Schema、llms.txt、SSR、E-E-A-T 等),10 秒知道你的網站對 ChatGPT、Perplexity、Google AI Overview 的友善程度。

免費 AI 能見度診斷(25 項評分) 更多洞見

相關文章

網站資安
中小企業網站資安入門:5 個最常見的攻擊手法與防禦策略
網站資安 網站資安 中小企業 駭客攻擊 元伸科技 · · 8 分鐘閱讀

中小企業網站資安入門:5 個最常見的攻擊手法與防禦策略

深入解析中小企業網站最常遭遇的 5 大資安攻擊手法,提供具體防禦策略與實用工具建議,幫助企業主建立基礎資安防線。

閱讀更多
網站資安
Cloudflare 網站防護全攻略:從流量過濾到效能加速的實戰指南
網站資安 Cloudflare CDN DDoS 防護 元伸科技 · · 7 分鐘閱讀

Cloudflare 網站防護全攻略:從流量過濾到效能加速的實戰指南

深入解析 Cloudflare 的 CDN 加速、DDoS 防護、WAF 防火牆、Bot 管理等核心功能,幫助企業有效過濾惡意流量、提升網站速度與安全性。

閱讀更多
網站資安
網站資安防護入門:保護你的網站免受駭客攻擊
網站資安 網站資安 網站安全 防駭客 元伸科技 · · 6 分鐘閱讀

網站資安防護入門:保護你的網站免受駭客攻擊

中小企業網站資安防護完整指南,涵蓋常見攻擊手法、8 大防護措施、免費檢測工具與被駭緊急處理 SOP,幫你建立基礎資安防線。

閱讀更多